В мире современных информационных технологий вопрос безопасности и эффективности операционных систем занимает ключевое положение. В этом контексте Astra Linux Special Edition выделяется как мощное решение, спроектированное для обеспечения высокого уровня защиты данных и гибкости в настройке.
Обзор этой операционной системы включает в себя рассмотрение ее сферы применения, уникального функционала, преимуществ и, конечно, недостатков. Давайте погрузимся в мир Astra Linux Special Edition и рассмотрим, как она сочетает в себе инновационные подходы к безопасности с широкими возможностями для различных областей применения.
- Краткий обзор системы
- Важные отличия от конкурентов
- Защищенный комплекс программ гипертекстовой обработки данных
- Защищенный комплекс программ электронной почты
- Контроль целостности
- Сфера применения
- Госсектор
- Зарубежные партнеры
- Газпром
- РЖД
- “Яндекс”
- Функционал
- Уникальный графический интерфейс
- Система защиты
- Мандатный контроль целостности и замкнутая программная среда
- Мандатное управление доступом
- Защита от эксплуатации уязвимостей
- Регистрация событий
- Технологии разработки безопасного ПО и формальная модель управления доступом
- Дополнительные утилиты
- Преимущества
- Регистрация событий
- Маркировка документов
- Развитые механизмы защиты информации в графической оболочке
- Режим «Киоск»
- Защита адресного пространства процессов
- Недостатки
- Ограниченная совместимость с проприетарным ПО
- Ограниченный рынок поддержки и разработки ПО
- Ограниченные возможности для игр, развлечений и для начинающих пользователей
- Заключение
Краткий обзор системы
Astra Linux, основанная на ядре Linux, представляет собой отечественную операционную систему, внедренную в государственных организациях. Обеспечивает высокий уровень защиты информации, сертифицирована ФСТЭК, ФСБ и Минобороны России. Разработанная как альтернатива Microsoft Windows, она стала широко используемой в образовании, медицине и ключевых отраслях.
Система, признанная деривативом Debian, использует формат пакетов .deb и пакетный менеджер apt. С адаптацией для процессоров «Эльбрус», она также предлагает собственный репозиторий с более чем 20 000 пакетами.
Официально разработанная ООО «РусБИТех-Астра», система поддерживает международные стандарты и признана официальным деривативом Debian.
Важные отличия от конкурентов
В этом разделе мы обращаем внимание на ключевые особенности Astra Linux Special Edition, которые выделяют ее среди конкурентов на рынке операционных систем. Разберем, какие уникальные черты делают Astra Linux привлекательным выбором в сравнении с другими операционными системами.
Защищенный комплекс программ гипертекстовой обработки данных
Специальный программный комплекс для гипертекстовой обработки данных включает в себя браузер Mozilla Firefox и веб-сервер Apache, интегрированный с встроенными средствами защиты информации. Это обеспечивает мандатное разграничение доступа при организации удаленного доступа к информационным ресурсам.
Защищенный комплекс программ электронной почты
Комплекс включает в себя сервер электронной почты, состоящий из агента передачи почты Exim и агента доставки почты Dovecot, а также клиент почты Mozilla Thunderbird. Он обеспечивает интеграцию с ядром операционной системы и базовыми библиотеками, гарантируя мандатное разграничение доступа к почтовым сообщениям в формате Maildir.
Агент передачи почты, используя протокол SMTP, обеспечивает доставку исходящей почты, прием и обработку входящих сообщений для передачи агенту доставки электронной почты.
Контроль целостности
Для выполнения задач контроля целостности используется процедура хэширования в соответствии с ГОСТ Р 34.11-94. Основным инструментом для контроля целостности является программное обеспечение, созданное на базе открытого проекта «Another File Integrity Checker».
Подробный обзор семейства ОС Astra Linux — по ссылке
Сфера применения
Сфера применения Astra Linux Special Edition охватывает широкий спектр государственных и коммерческих областей, подчеркивая свою универсальность и надежность. В данном разделе мы рассмотрим разнообразные области, в которых операционная система проявляет себя как эффективный инструмент, соответствующий требованиям различных секторов.
Госсектор
Система используется в различных государственных учреждениях, таких как в сферах обороны, здравоохранения, науки и образования, финансов, промышленности, торговли и жилищно-коммунального хозяйства. К примеру, она служит основой для построения информационной системы Национального центра управления обороной Российской Федерации.
Зарубежные партнеры
В ноябре 2015 года было заключено соглашение о партнерстве с компанией Huawei, производителем серверов, который приступил к тестированию совместимости своих серверов с операционной системой Astra Linux. В феврале 2019 года было объявлено о внедрении Astra Linux на атомной электростанции в Тяньвань (Китай, провинция Цзянсу).
Газпром
Начиная с января 2019 года, проводится проверка совместимости Astra Linux в корпоративных системах компаний, входящих в группу «Газпром».
РЖД
В 2021 году стартовал процесс внедрения операционной системы в Общество с ограниченной ответственностью «Российские железные дороги» (ОАО РЖД).
Этот этап предполагает активное внедрение и использование Astra Linux в информационной инфраструктуре компании, что способствует повышению эффективности и безопасности функционирования железнодорожной системы.
“Яндекс”
В 2022 году Группа Компаний «Астра» рапортовала о успешном переносе своих ключевых сервисов, таких как «Центр загрузок» (хранилище пакетов операционной системы), «Справочный центр» и сервис технической поддержки, на облачную платформу Yandex Cloud.
Этот шаг подчеркивает стремление к современным технологиям и улучшению облачной инфраструктуры для обеспечения более эффективного и надежного функционирования предоставляемых услуг.
Функционал
Разнообразный и мощный функционал Astra Linux Special Edition является стержнем его привлекательности для пользователей различных сфер деятельности. В данном разделе мы рассмотрим обширный набор возможностей, которые делают операционную систему Astra Linux настоящим инструментом для эффективной работы и обеспечения безопасности.
Уникальный графический интерфейс
Fly — это собственная разработка создателей операционной системы, представляющая собой гибридное графическое окружение пользователя. Оно включает в себя рабочий стол, написанный с применением библиотеки xlib, а также набор графических утилит на Qt.
Эти утилиты были разработаны, в основном, с использованием фреймворка KF5 и PyQt. Особенностью Fly является также его полная интеграция с механизмами защиты информации, встроенными в операционную систему Astra Linux.
Система защиты
Начиная с выпуска 2021 года (1.7/4.7), Astra Linux Special Edition предоставляет три уровня защиты: «Базовый» (или «Орел», несертифицированная версия), «Усиленный» (или «Воронеж») и «Максимальный» (или «Смоленск»). Уровень «Усиленный» включает в себя все функции «Базового» и расширяет их, в то время как «Максимальный» включает все возможности «Усиленного», дополняя их.
В режиме «Усиленный» предоставляются механизмы мандатного контроля целостности и замкнутой программной среды, существенно повышающие уровень защиты от вирусов, взломов и захвата полномочий. Подсистема безопасности PARSEC, входящая в «Усиленный» режим, основана на верифицированной формальной модели управления доступом и информационными потоками (МРОСЛ ДП-модели).
В режиме «Максимальный» доступен полный спектр средств защиты информации, включая мандатное управление доступом для локальной и серверной инфраструктуры. Начиная с режима «Усиленный», интерфейсы средств защиты информации Astra Linux Special Edition значительно сужают поверхность атак, обеспечивая основной уровень защиты от вредоносного воздействия извне.
Мандатный контроль целостности и замкнутая программная среда
Под мандатным контролем целостности (в соответствии с ГОСТ Р 59453.1-2021) понимается система распределения информации и компонентов в операционной системе на определенные уровни целостности. Эти уровни определяют права доступа к изменению объектов, что упрощает администрирование и конфигурирование защиты системы.
Мандатный контроль целостности в Astra Linux Special Edition обеспечивает четкое распределение компонентов по уровням целостности, а подсистема безопасности PARSEC защищает высокоцелостные компоненты от несанкционированной записи, происходящей из компонентов с низким уровнем целостности. Пользователь root в данной операционной системе работает на минимальном уровне целостности 0, что гарантирует сохранение контроля над системой при попытках захвата полномочий с использованием типовых атак на ОС семейства Linux.
Замкнутая программная среда в Astra Linux позволяет ограничить запуск исполняемых файлов и загрузку исполняемых библиотек только с использованием тех, что подписаны цифровой подписью на доверенном ключе. Это обеспечивает защиту от загрузки файлов или библиотек без корректной цифровой подписи.
Мандатное управление доступом
Мандатное управление доступом — это принцип управления доступом, который предполагает распределение информации по определенным уровням конфиденциальности и соблюдение трех основных условий:
- Первое условие предусматривает, что чтение данных разрешено пользователям или процессам с уровнем конфиденциальности, равным или выше, чем у этих данных.
- Второе условие определяет, что запись данных разрешена только процессам с уровнем конфиденциальности, равным или ниже, чем у данных.
- Третье условие гарантирует, что действия процессов не приводят к утечке данных с более высокого уровня конфиденциальности на более низкий.
Таким образом, взаимодействие мандатного контроля целостности, мандатного управления доступом и замкнутой программной среды обеспечивает всеобъемлющую защиту системы. Монитор обращений PARSEC отвечает за наблюдение за соблюдением правил мандатного контроля целостности и мандатного управления доступом.
Защита от эксплуатации уязвимостей
С начала 2018 года в комплект поставки дистрибутива внедрено ядро Linux с улучшенной системой самозащиты (hardened), включающее в себя интеграцию разработок проекта KSPP (Kernel Self Protection Project).
Регистрация событий
Эта операционная система может похвастаться уникальной системой журналирования, интегрированной в каждый компонент операционной системы, которая обеспечивает надежную регистрацию событий при помощи специализированного сервиса.
Технологии разработки безопасного ПО и формальная модель управления доступом
Для улучшения верификации научной основы подсистемы безопасности PARSEC, описанной в МРОСЛ ДП-модели с использованием языка формального метода Event-B, применяется дедуктивный подход. Этот процесс включает инструментальные средства, такие как Rodin для дедуктивной верификации и ProB для проверки моделей методом model checking.
Для подтверждения корректности реализации МРОСЛ ДП-модели в программном коде ОС Astra Linux разрабатываются спецификации функций подсистемы безопасности PARSEC. Данные спецификации затем подвергаются дедуктивной верификации с использованием инструментального средства Frama-C.
Анализ программного кода ОС Astra Linux выполняется в соответствии с передовыми методиками разработки безопасного ПО, такими как Secure Software Development Lifecycle (SSDL). Применяются статический и динамический анализы, учитывая результаты теорий системного программирования, методов верификации, символьных вычислений и искусственного интеллекта. При этом осуществляется приоритизация компонентов ОС с учетом их роли в обеспечении требований безопасности и минимизации поверхности атак.
Разработчики Astra Linux, сотрудничая с Институтом системного программирования им. В. П. Иванникова Российской академии наук (ИСП РАН), принимали активное участие в формировании национальных стандартов ГОСТ Р 59453.1-2021 и ГОСТ Р 59453.2-2021, касающихся формальных моделей управления доступом и их верификации.
Дополнительные утилиты
Помимо вышеуказанных, “Астра Линукс” оснащена следующими инструментами и утилитами:
- Очистка памяти и удаление файлов. Операционная система автоматически проводит очистку неиспользуемых блоков файловой системы при их освобождении, применяя маскирующие последовательности для гарантированного удаления файлов.
- Маркировка документов. Разработанный механизм маркировки позволяет серверу печати (CUPS) добавлять учетные данные в печатаемые документы. Мандатные атрибуты автоматически связываются с заданиями на печать на основе мандатного контекста сетевого соединения. Печать документов без маркировки в мандатном контексте с грифом выше «несекретно» становится невозможной.
- Регистрация событий. Расширенная подсистема протоколирования, интегрированная в каждый компонент операционной системы, обеспечивает надежную регистрацию событий через специальный сервис parlogd.
- Защита информации в графической подсистеме. Графическая подсистема, включающая X-сервер Xorg, пользовательский рабочий стол Fly и различные программы, обеспечивает механизмы защиты информации. Работы проведены по внедрению необходимых механизмов, обеспечивающих мандатное управление доступом в графических приложениях в изолированном окружении.
- Механизм контроля замкнутости программной среды. Реализован механизм, проверяющий неизменность и подлинность загружаемых исполняемых файлов в формате ELF. Проверка основывается на аутентичности, рассчитываемой согласно ГОСТ Р 34.10-2012 и внедряемой в исполняемые файлы в процессе сборки.
- Контроль целостности. Для решения задач контроля целостности используется функция хеширования в соответствии с ГОСТ Р 34.11-94.
Преимущества
Преимущества Astra Linux Special Edition являются ключевыми факторами, определяющими привлекательность этой операционной системы. В данном разделе мы рассмотрим основные преимущества, которые делают Astra Linux выдающимся выбором в различных областях применения.
Регистрация событий
В этой ОС разработана уникальная система логирования, интегрированная в каждый элемент операционной системы и обеспечивающая надежную запись событий с привлечением специализированного сервиса.
Маркировка документов
Преимущества операционной системы также включают в себя возможность использования разработанного механизма маркировки, который дает серверу печати (CUPS) способность добавлять необходимые учетные данные к выводимым документам. Мандатные атрибуты автоматически связываются с заданием для печати на основе мандатного контекста, получаемого через сетевое соединение.
Развитые механизмы защиты информации в графической оболочке
Преимущества операционной системы включают в себя продвинутые механизмы защиты информации в графической оболочке. Графическая подсистема, состоящая из Х-сервера Xorg, пользовательского рабочего стола Fly и других программных средств, предназначенных для пользователей и администраторов, была усиленно обеспечена необходимыми механизмами защиты информации, гарантирующими выполнение мандатного разграничения доступа в графических приложениях.
Рабочий стол пользователя Fly тесно взаимодействует с механизмами защиты информации. На нем реализованы следующие функциональности:
- графическое отображение мандатной метки каждого окна;
- возможность запускать приложения с разными мандатными метками.
Режим «Киоск»
Преимущества операционной системы проявляются в возможности определения степени ограничений через киоск-маску, которая автоматически применяется к правам доступа к файлу при попытке пользователя получить к нему доступ.
Операционная система предлагает систему профилей для настройки прав доступа, представленных в виде готовых наборов для запуска различных программ. Также имеются инструменты для создания пользовательских профилей, соответствующих конкретным задачам.
Защита адресного пространства процессов
Еще одним преимуществом этой ОС является возможность использования формата для исполняемых файлов, который предоставляет возможность устанавливать режим доступа к сегментам в адресном пространстве процесса.
Система сборки программного обеспечения в операционной системе централизована, что гарантирует установку минимально необходимого режима для корректного функционирования программного обеспечения. Кроме того, поддерживается технология NOT EXECUTE BIT, которая поддерживается современными процессорами.
Недостатки
При всем многообразии преимуществ, Astra Linux Special Edition также обладает рядом недостатков, которые важно учитывать при рассмотрении этой операционной системы. В данном разделе мы более детально рассмотрим ограничения, которые могут повлиять на определенные аспекты использования и требуют внимательного анализа.
Ограниченная совместимость с проприетарным ПО
ОС Astra Linux Special Edition может столкнуться с ограничениями в совместимости с некоторым проприетарным программным обеспечением, которое широко используется в коммерческих окружениях, что может создавать неудобства для пользователей, требующих специфических приложений.
Ограниченный рынок поддержки и разработки ПО
В сравнении с некоторыми популярными операционными системами, экосистема поддержки и разработки программного обеспечения для Astra Linux Special Edition может быть менее обширной. Это может повлиять на доступность сторонних приложений и получение актуальной поддержки со стороны разработчиков.
Ограниченные возможности для игр, развлечений и для начинающих пользователей
Astra Linux Special Edition, как ориентированная на корпоративное и государственное использование, может предоставлять ограниченные возможности для игр и развлекательных приложений.
Кроме того, некоторые начинающие пользователи могут столкнуться с незначительными трудностями при освоении этой операционной системы.
Заключение
Astra Linux Special Edition представляет собой мощную операционную систему с уникальным набором функций, разработанным с учетом особых требований в области безопасности и эффективности. Ее широкий функционал и высокий уровень защиты делают ее привлекательным выбором для различных сфер применения, от государственных организаций до промышленных предприятий.
Однако, несмотря на многочисленные преимущества, Astra Linux Special Edition также имеет свои недостатки, которые важно учитывать при рассмотрении ее внедрения. Отсутствие некоторых функций, ограниченная совместимость с некоторым программным обеспечением и сложности в использовании для неподготовленных пользователей — факторы, которые требуют внимательного рассмотрения.
В целом, Astra Linux Special Edition предоставляет надежное и современное решение для тех, кто ценит высокий уровень безопасности и гибкость в настройке. Ее сфера применения охватывает различные отрасли, а уникальные функции делают ее конкурентоспособной на рынке операционных систем, обеспечивая стабильность и защиту в требовательных средах.