Коллектив Авторов - Цифровой журнал «Компьютерра» № 68
Аналогичным образом обстоят дела и с определением отсутствия в системе НДВ.
Четыре уровня контроля отсутствия НДВ определяют возможность использования системы для обработки конфиденциальной (уровень 4), секретной (уровень 3), совершенно секретной (уровень 2) информации и информации особой важности (уровень 1).
Четыре уровня контроля отсутствия НДВ определяют, какие грифованные документы может обрабатывать информационная система.Чтобы применяться в информационных системах, обрабатывающих определённый вид конфиденциальной информации, программа должна пройти сертификацию на возможность её обработки.
К примеру, операционная система Astra Linux Special Edition отнесена к третьему классу защищённости от НСД и второму уровню контроля отсутствия НДВ.
А вот операционные системы семейства Microsoft Windows 7 сертифицированы по пятому классу защищённости от НСД.
Как видно, сертификат могут получать не только системы на основе свободного программного обеспечения, но и проприетарные системы, если они чётко соответствуют функционалу класса защиты, к которому отнесены. Правда, с контролем отсутствия НДВ в таких системах дела обстоят посложнее, ведь такой контроль предполагает дотошный анализ исходных кодов.
В этом смысле у разработчиков открытых проектов больше возможностей настроить систему на максимальное соответствие стандартам. А значит, больше шансов получить высший балл системы сертификации.
Следует отметить, что экспертиза сложных программных систем — процесс трудоёмкий и далеко не быстрый. Да ещё и дорогостоящий. Кроме этих «антибонусов» есть ещё один: пройдя сертификацию, разработчики не имеют права что-либо модифицировать в своём продукте, ведь всё вплоть до контрольных сумм файлов системы описано и задокументировано до следующей сертификации. Да, это процедура не разовая, а периодическая.
Astra Linux. Релиз «Смоленск»Системы семейства Astra Linux выпускаются ОАО «НПО РусБИТех» в двух вариантах. Первые — общего назначения (Common Edition), распространяемые совершенно свободно. Релизы этих систем носят имена городов воинской славы. Так, текущий релиз Astra Linux Common Edition именуется «Орёл», и в оформлении его инсталлятора, а также в хранителе экрана присутствуют виды этого города.
Второй — специального назначения (Special Edition). Эти дистрибутивы распространяются на коммерческой основе. Релизы специальной версии Astra Linux носят имена городов-героев России и стран СНГ. Текущий релиз именуется «Смоленск», и в розницу одна лицензия на его использование стоит 18 000 рублей. Приобретение более чем одной лицензии требует дополнительных финансовых вложений. Довольно дорого за свободное ПО, не правда ли? Неправда. Понятие «свободное программное обеспечение» вовсе не синоним бесплатного ПО, если учесть, сколько усилий вложено разработчиками в то, чтобы превратить «Смоленск» в вариант защищённой системы, способной поддерживать обработку совершенно секретных документов. Кстати, в конечную стоимость «Смоленска» стоит включить и немалые затраты на её сертификацию.
В основе проекта Astra Linux лежит отлично зарекомендовавший себя дистрибутив Debian GNU/Linux, на базе которого сделаны такие известные системы, как Ubuntu, Linux Mint и, к примеру, мобильный вариант Maemo. Общим отличием debian-ориентированных систем является использование единой системы распространения пакетов программ APT (advanced packaging tool), работающей как локально, так и с удалёнными хранилищами (репозиториями). Система APT настолько популярна, что применяется за пределами Debian и даже Linux. Например, апологет свободы яблочного мира — репозиторий Cydia базируется на системе APT.
В этом смысле выбор Debian GNU/Linux в качестве донора «Смоленска» действительно оправдан. Внутри организации можно создать локальный apt-репозиторий доверенных программ и эффективно решать задачи администрирования даже большой информационной системы.
Что же делает «Смоленск» настолько особенной ОС? Отнесение его к третьему классу защиты от НСД говорит о наличии в этом релизе Astra Linux мандатного метода разграничения доступа (MAC — Mandatory Access Control). MAC применяется наряду с традиционным для POSIX-систем дискреционным методом разграничения доступа (DAC — Discretionary Access Control), при котором за каждым объектом файловой системы закреплён его владелец, определяющий права доступа (чтение, запись, исполнение) для себя, группы, в которую он входит, и всех остальных пользователей. Мандатная система эффективно дополняет дискреционный метод, слабым местом которого является зависимость прав доступа к объектам от желаний их владельцев. Мандатная система, которую частенько именуют системой принудительного контроля доступа, обеспечивает централизованное определение прав доступа к любым объектам системы (не только к файлам, а, к примеру, процессам) на основе меток их конфиденциальности и ранжирование всех пользователей по возможности доступа к ним.
К слову сказать, в базовом релизе Debian GNU/Linux мандатная система представлена модулем SELinux — разработкой Агентства национальной безопасности США. Только вот его использование в сертифицированных у нас системах весьма ограничено. Разработчики Astra Linux реализовали собственный MAC-модуль — компактное и продуманное в администрировании решение, с одной стороны, не уступающее SELinux в функциональности, а с другой — учитывающее особенности эксплуатации системы в реалиях обработки российской конфиденциальной информации. Кроме того, собственная разработка позволяет упростить доказательство отсутствия НДВ, а это весьма важная составляющая процесса сертификации.
Разработка собственного модуля мандатной системы разграничения доступа позволила эффективно модифицировать и другие компоненты системы. Так, на принципах MAC в Astra Linux созданы собственные реализации механизмов многозадачной работы системы с изоляцией адресных пространств выполняющихся процессов и контролируемого межпроцессного взаимодействия, дополнения стандартной для Linux системы регистрации событий технологиями регистрации событий над объектами доступа (файлами, процессами, записями баз данных), основанными на мандатной системе, и режима «киоск» — собственной технологии предоставления пользователю доступа только к определённым программам и только с жёстко определёнными правами.
На базе мандатной системы функционирует ещё одна собственная разработка Astra Linux — менеджер окон Fly. Этот рабочий стол наряду с простотой использования (термины большинства его объектов полностью соответствуют таковым в графическом интерфейсе знакомой абсолютному большинству пользователей Windows XP) обеспечивает разграничение на основе мандатной системы как программ с графическим интерфейсом к ответственному за графический режим X-серверу, так и самого X-сервера к аппаратным средствам графического режима (видеокартам, например). Согласитесь, возможность задать такие правила разграничения доступа — лишний способ закрыть целый ряд потенциальных лазеек.
Менеджер окон FlyКроме собственной мандатной системы, Astra Linux обеспечивает и собственные механизмы очистки оперативной памяти и блоков файловой системы, которые содержали обрабатываемые ранее конфиденциальные данные. Это одно из требований сертификации к подобным системам. Оно реализовано в «Смоленске» в виде автономно функционирующего процесса, доступ к работе которого строго ограничен. А это значит, что ни одна из пользовательских программ не может остановить процесс такой очистки, чтобы скрытно собрать сведения об обрабатываемых ранее секретах.
Ещё одной собственной реализацией требований сертификации в Astra Linux является механизм маркировки печатаемых документов, отражающий уровень их конфиденциальности.
Благодаря полученной в наследство от Debian системе управления программными пакетами APT и наличию в «Смоленске» механизма контроля замкнутости программной среды собственной разработки, разработчики программ получают возможность создавать приложения, имеющие цифровую подпись, а администраторы системы — создавать репозитории таких доверенных программ.
Перечисленные выше возможности распространяются не только на саму операционную систему, но и на ряд ключевых программных продуктов. Так, правилам мандатной системы подчиняются: СУБД PostgreSQL, веб-сервер Apache 2, почтовый сервер Exim и менеджер печати CUPS. Все они модифицированы с учётом условий работы в разработанном в Astra Linux окружении разграничения доступа к информации.