САМАЯ БЕЗОПАСНАЯ ОПЕРАЦИОННАЯ СИСТЕМА ASTRA LINUX

УДК 004.451 Иванов Денис Вячеславович курсант 3 курса, офицер боевого управления и управление воздушным движением Челябинское высшее военное авиационное училище штурманов Россия, г. Челябинск e-mail: di9223872@gmail.com Гурулев Дмитрий Вячеславович курсант 3 курса, офицер боевого управления и управление воздушным движением Челябинское высшее военное авиационное училище штурманов Россия, г. Челябинск Научный руководитель: Иванов Денис Александрович капитан, преподаватель Челябинское высшее военное авиационное училище штурманов Россия, г. Челябинск САМАЯ БЕЗОПАСНАЯ ОПЕРАЦИОННАЯ СИСТЕМА ASTRA LINUX Аннотация: В статье рассматриваются характеристики операционной системы ASTRA LINUX. Автор анализирует способы защиты операционной системы, методы преодоления уязвимости ASTRA LINUX, существующие уровни и категории конфиденциальности. В статье приводятся достоинства и недостатки системы ASTRA LINUX. Ключевые слова: операционная система, категории конфиденциальности, ASTRA LINUX. Ivanov Denis Vyacheslavovich 3rd year student combat control officer and air traffic control Chelyabinsk Higher Military Aviation School of Navigators Russia, Chelyabinsk Gurulev Dmitry Vyacheslavovich 3rd year student combat control officer and air traffic control Chelyabinsk Higher Military Aviation School of Navigators Russia, Chelyabinsk Scientific adviser: Ivanov Denis Aleksandrovich captain, teacher Chelyabinsk Higher Military Aviation School of Navigators 1 https://tribune-scientists.ru Журнал «Трибуна ученого» Выпуск 07/2020  Russia, Chelyabinsk THE MOST SAFE OPERATING SYSTEM ASTRA LINUX Abstract: This article discusses the characteristics of the ASTRA LINUX operating system. The author analyzes methods of protecting the operating system, methods for overcoming the ASTRA LINUX vulnerability, existing levels and categories of privacy. The article describes the advantages and disadvantages of the ASTRA LINUX system. Keywords: operating system, privacy categories, ASTRA LINUX. Российская операционная система Astra Linux была создана более 10 лет назад группой компаний с одноименным названием. Система в последнее время активно внедряется на предприятиях и организациях, связанных в оборонно- промышленным комплексом России, а с начала 2018 года отечественную ОС начали внедрять и в Минобороны РФ. Получение сертификата Astra Linux означает, что оснащенные этой ОС компьютеры можно будет применять в системе государственной власти, военного управления, ОПК, для обработки любой информации ограниченного доступа, не боясь иностранных «закладок». Видовое разнообразие Программы в Linux — это не только бинарные ELF (формат двоичных данных), но и множество скриптов на разных языках. Для эффективного размножения вирус должен учитывать все основные скриптовые языки программирования. Вирус для Windows должен научиться заражать только один тип файлов — exe — и вся система в его распоряжении. Как реализуется защита ОС? Astra Linux Special Edition рассматривает одного и того же пользователя в зависимости от действия как разных пользователей (так называемый «мандатный доступ») и создаёт для них отдельные домашние каталоги, одновременный прямой доступ пользователя к которым не допускается. Всего система использует 256 уровней доступа (от 0 до 255) и 64 категории доступа, разграничивающий допуск к различным операциям с файлами, файловой системой, стеком TCP/IP и многое другое. 2 https://tribune-scientists.ru Журнал «Трибуна ученого» Выпуск 07/2020 Принятие решения о запрете или разрешении доступа пользователя или программы к файлу или его блоку принимается на основе типа операции (чтение/запись/исполнение) и шаблонного эталона безопасности на основе собственной запатентованной модели, распространяющейся на информационные потоки в системе. Включающаяся в патент уникальная иерархия позволяет точно отличать пользователя от зловреда или несанкционированного управления извне и самостоятельно определять ОС скомпрометированные (несоответствующие правилам доступа) файлы и препятствовать доступу таким файлам или операциям к дистрибутиву и файловой системе. В Astra Linux отсутствует большая часть известных уязвимостей, которым подвержены операционные системы: зловреды не могут работать с памятью, встраиваться в код ОС или запускаться напрямую из сети. В том случае, если исполняемый код скачивается, его запуск осуществляется в защищенной области памяти, который ограничивает доступ к данным и системе на всех уровнях. Операционная система, её файлы и отдельные элементы хэшируются, протоколируются и сравниваются с эталонными, что позволяет полностью исключить подмену или изменение кода ОС. Как закрываются уязвимости в OC Astra Linux Special Edition Для улучшения безопасности ОС мы используем два подхода архитектурный и процессный. Но в данной статье мы расскажем про первый архитектурный способ, так как, он является более наглядным. Он заключается в том, что мы разрабатываем и внедряем различные средства защиты информации еще на этапе проектирования. Эти средства образуют комплекс средств защиты (КСЗ), который реализует функции безопасности. С помощью КСЗ мы стараемся достичь того, чтобы в системе уже по умолчанию был минимизирован риск возможных потенциальных угроз. Ключевой элемент КСЗ – монитор обращений, созданный чтобы предотвращать несанкционированный доступ и изменение защищаемых 3 https://tribune-scientists.ru Журнал «Трибуна ученого» Выпуск 07/2020 компонентов системы. Монитор предусматривает дискреционное, ролевое и мандатное управление доступом, а также мандатный контроль целостности. Что такое мандатный контроль целостности? Поясним на примере. Ключевым компонентом ОС является ядро. Соответственно, мы обязаны обеспечить для него максимально защищенную среду выполнения в самой операционной системе, чтобы уменьшить количество возможных способов атаки на ядро. Для этого мы реализуем в операционной системе мандатный контроль целостности, за счет чего сегментируем ОС по различным подсистемам — так, чтобы взлом одной подсистемы не повлиял на работоспособность других. Если произойдет взлом непривилегированного пользователя ОС или сетевой подсистемы, системы виртуализации, графического интерфейса или другого компонента, это не повлечет за собой дискредитацию всего КСЗ. При этом надо отметить, что указанные уровни не являются иерархическими, то есть не располагаются друг над другом и полностью изолированы друг от друга с точки зрения возможности прав записи. Принадлежность объекта к тому или иному уровню целостности монитор обращений определяет по битовой маске. Чтобы уровни целостности не воспринимались как иерархические — то есть, например, «уровень 8 имеет больше прав, чем уровень 2», что неверно — каждый из уровней получает свое наименование. Так, например, восьмой уровень целостности называется «Графический сервер», максимально возможный уровень целостности администратора в системе — «Высокий», а нулевой уровень целостности (пользовательский) — «Низкий». Монитор обращений, контролирует и исключает возможность влияния друг на друга процессов с метками разных уровней целостности. Таким образом операционная система получает набор правил, как изолировать друг от друга системные процессы, и теперь понимает, какие именно процессы, даже запущенные пользователем с высокими привилегиями, не имеют права на запись в другие процессы или файлы. 4 https://tribune-scientists.ru Журнал «Трибуна ученого» Выпуск 07/2020 Поэтому если в результате эксплуатации уязвимости (в том числе, нулевого дня) злоумышленник получит контроль над каким-либо процессом в системе и повысит свои полномочия до привилегированного пользователя (например, root), его метка целостности останется прежней, и, соответственно, он не получит возможности влиять на системные процессы, менять настройки или скрыть свое присутствие в системе. Таким образом, значимой мишенью для злоумышленника становится уже не вся операционная система, а только hardened ядро и максимально компактный монитор обращений, что уже существенно сокращает поверхность атаки. Помимо мандатного, есть еще динамический и регламентный контроль целостности. Их применяют для исключения запуска и использования не доверенного или стороннего ПО, а также периодических проверок целостности системы. Уровень конфиденциальности Классический пример уровней конфиденциальности - это степени повышающейся секретности документов (сущностей) «Не секретно» - «ДСП» - «Секретно» - «Совершенно секретно», и соответствующие им уровни доступа к этим документам, назначенные персоналу (субъектам). Очевидно, что в такой системе персоналу с уровнем доступа, например, «ДСП», разрешено читать только документы уровней «ДСП» и «Не секретно», и запрещено читать документы с более высокими уровнями конфиденциальности («Секретно» и «Совершенно секретно»). Не столь очевидно, но персоналу с уровнем конфиденциальности, например, «Секретно», запрещено передавать (преднамеренно или случайно) персоналу с более низким уровнем доступа «ДСП» документы уровня «Секретно» (теоретические подробности можно найти в многочисленных описаниях модели безопасности Белла-ЛаПадулы (англ. Bell-LaPadula). Категории конфиденциальности 5 https://tribune-scientists.ru Журнал «Трибуна ученого» Выпуск 07/2020 Для более точного управления доступом, в дополнение к разделению по уровням конфиденциальности, СЗИ предоставляет возможность разделить материалы по категориям конфиденциальности. Простой пример категорий конфиденциальности имеется в Руководстве по СЗИ ОС СН Смоленск 1.6, п. 4.8.10.7: использование двух категорий «Танки» и «Самолёты». При этом персонал, работающий с «Танками», и имеющий соответствующую категорию конфиденциальности, не сможет ни получать сведения о «Самолётах», ни передавать сведения о «Танках» тем, кто работает с «Самолётами», но, в то же время, условному «Руководителю» могут быть предоставлены одновременно обе категории конфиденциальности, чтобы «Руководитель» мог получать полный объём информации. Итак, с помощью параметров уровень конфиденциальности и категории конфиденциальности СЗИ обеспечивает защиту от несанкционированной передачи информации: Невозможность прочитать информацию, к которой не предоставлен доступ: «нижним» уровням запрещено читать информацию с «верхних» уровней; всем запрещено читать информацию, на которую нет разрешенной категории конфиденциальности; Невозможность передать информацию тому, кому не предоставлен доступ: «верхним» уровням запрещено записывать свою информацию на «ни жни е» уро вни; Журнал «Трибуна ученого» Выпуск 07/2020 6 https://tribune-scientists.ru  в всем запрещено передавать информацию тем, у кого нет соответствующей категории конфиденциальности. Достоинства и недостатки Astra Linux. Сначала перечислим достоинства. Open Source — это свобода программного обеспечения, то есть, никаких платных программ нет. Дело в том, что ядро Linux и любого его дистрибутива имеет открытый исходный код. Благодаря этому, для каждого пользователя становится возможным самостоятельно улучшить и модернизировать работу любой программы. Безопасность. Пользоваться Linux — значит заботиться о безопасности своего компьютера. Дело в том, что на него практически нет вирусов, а значит и угрозы со стороны вредоносного и опасного ПО. Созданная специально для программистов. Встроенные компиляторы, консоли, возможность создавать собственные скрипты и многое другое. Значительно меньше различных тормозов и ошибок. Простая и понятная установка. Говорить о том, что установка Linux легче, чем установка Windows нельзя, но если это будет выполнять уверенный пользователь ПК, то проблем не возникнет. Требует значительно меньших системных ресурсов. Поддержка драйверов для большинства видов устройств: модемов, USB- устройств, периферии. Теперь можно перейти и к недостаткам, которые определяют слабые места Linux. 7 https://tribune-scientists.ru Журнал «Трибуна ученого» Выпуск 07/2020 Освоения. Новичку будет очень трудно освоить совсем другую и неизвестную для него систему. Консоль. К сожалению, без нее невозможно обойтись. Любые действия, связанные с запуском, установкой или удалением программ нужно приписывать определенный код в консоли. Настройка принтеров. Если все остальные внешние устройства настраиваются без проблем и корректно работают, то с принтерами возникает большая проблема. Конечно, уже сегодня существует множество решений такой проблемы, и все же она остается очень актуальной. Права доступа. Для большинства программ и утилит каждый раз придется сталкиваться с правами доступа. Все сделано с целью безопасности. Игры. К сожалению, Linux — система, которая не может похвастаться такими красивыми и мощными играми, как Windows. Но для этого существует оправдания — линукс создавался не для развлечений, а для работы программистов. Очень много отличий по сравнению с Windows. Тому, кто перешел на Linux, сначала будет трудно привыкнуть к новому интерфейсу и визуальной оболочки. Подводя итоги, можно утверждать, что Linux — операционная система, созданная для работы и программирования. Освоить ее может каждый желающий, несмотря на все перечисленные выше недостатки. Анализ последней версии Astra Linux Сommon Edition (Орёл) Astra Linux Common Edition – операционная система общего назначения представляет собой инновационную операционную систему класса Linux, включающую в свой состав компоненты свободного программного обеспечения и авторские решения разработчиков ОС Astra Linux Common Edition, позволяющие расширить возможности её применения в качестве серверной платформы или на рабочих местах пользователей. Для покупки доступны: Серверная и Пользовательская лицензии Орел 2.12 с правом обновления в течении 12 или 36 месяцев. 8 https://tribune-scientists.ru Журнал «Трибуна ученого» Выпуск 07/2020 Особенности Версии Astra Linux Сommon Edition (Орёл): Реализована разработка новой версии операционной системы общего назначения «Astra Linux Common Edition» релиз Орел версия 2.12 Основные изменения коснулись пользовательского интерфейса. Обновлен графический интерфейс. Добавлено новое оформление рабочего стола с возможностью выбора пользовательской цветовой палитры. Доработаны программы для работы с мультимедийными и гипертекстовыми материалами для мобильного режима интерфейса пользователя. Обновлены офисные приложения. Кроме этого, в состав операционной системы общего назначения включено современное ядро Linux 4.15, обеспечивающее корректное функционирование современного оборудования. Список литературы: 1. ОС Astra Linux сертифицирована для обработки секретной информации. [Электронный ресурс] // Режим доступа: URL: https://topwar.ru/158220-os-astra-linux-sertificirovana-dlja-obrabotki-sekretnoj- informacii.html (дата обращения: 06.07.2020 г.). 2. Почему под Linux нет вирусов. [Электронный ресурс] // Режим доступа: URL: http://liberatum.ru/news/pochemu-virusy-ne-zhivut-pod-linux (дата обращения: 06.07.2020 г.). 3. Военный эксперт Виктор Мураховский: Astra Linux — самая защищенная ОС. [Электронный ресурс] // Режим доступа: URL: http://liberatum.ru/e/astra-linux-security (дата обращения: 06.07.2020 г.). Журнал «Трибуна ученого» Выпуск 07/2020 9 https://tribune-scientists.ru