ОС ОН Стрелец

Проведены испытания на бесконфликтное функционирование под управлением ОС ОН «Стрелец» ФЛИР 90001-01 следующих программных продуктов: Kaspersky Endpoint Security для Linux; КриптоПро CSP 5.0; КриптоПро CSP 4.0; ViPNet Client for Linux.

Результаты проверки показали бесконфликтную работу ОС ОН «Стрелец» ФЛИР 90001-01 с перечисленными программными изделиями.

Читайте подробнее в нашем Telegram-канале:

Установка Kaspersky Endpoint Security: https://t.me/os_strelets/56
Установка КриптоПро CSP 4.0: https://t.me/os_strelets/57
Установка КриптоПро CSP 5.0: https://t.me/os_strelets/58
Работа с КриптоПро CSP: https://t.me/os_strelets/59
Установка клиента ViPNet: https://t.me/os_strelets/61

СЗИ ОС соответствуют требованиям документов:

1. «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016);
2. «Профиль защиты операционных систем типа «А» второго класса защиты» ИТ.ОС.А2.П3 (ФСТЭК России, 2017).

СЗИ ОС реализуют следующие функции безопасности:

• идентификация и аутентификация;
• управление доступом;
• регистрация событий безопасности;
• ограничение программной среды;
• изоляция процессов;
• защита памяти;
• контроль целостности;
• обеспечение надежного функционирования;
• фильтрация сетевого потока;
• маркирование документов.

Дополнительно осуществляется совместимость формата передачи мандатных атрибутов в поле опций IP-пакетов при сетевом взаимодействии по протоколам стека TCP/IPv4 с ОС МСВС 3.0, ОС МСВС 5.0 и Astra Linux Special Edition (соответствие ГОСТ Р 58256-2018).

Полный набор функций безопасности и их подробное описание представлено в документе ФЛИР.90001-01 31 01 «ОС ОН «Стрелец». Описание применения», раздел «Описание задачи».

В случае обнаружения уязвимостей в программных модулях изделия устранение уязвимости осуществляется путем установки сертифицированного обновления либо путем принятия иных организационно-технических мер, направленных на затруднение возможности эксплуатации уязвимости. При этом сами меры носят временный характер, а их использование допустимо до момента выпуска соответствующего обновления.

В рамках базовой технической поддержки изготовитель осуществляет предоставление для скачивания (https://www.strelets.net/patchi-i-obnovleniya-bezopasnosti) и рассылку для официальных пользователей обновлений программного обеспечения и дополнительных программных компонент (Патчи и обновления безопасности) для преодоления и разрешения проблем и ошибок, обнаруженных в программном обеспечении.

При получении обновлений изделия, прошедших процедуру инспекционного контроля, перед их установкой необходимо проверить целостность полученных файлов.

Для установки сертифицированных обновлений изделия администратор безопасности должен выполнить следующие действия:

1) провести расчет контрольных сумм файлов обновлений изделия с помощью программы «Средство фиксации и контроля целостности «ФИКС-Unix 1.0» (сертификат соответствия ФСТЭК России № 680 от 30.10.2002 г.) по алгоритму «Уровень-3», либо с использованием встроенного средства подсчета контрольных сумм по алгоритму ГОСТ Р 34.11-2012;

2) сравнить полученные контрольные суммы файлов обновлений с указанными на компакт-диске файлами обновлений изделия. При расхождении контрольных сумм с эталонными значениями необходимо обратиться в службу поддержки производителя;

3) произвести установку файлов обновлений изделия.

Совместимость обеспечивается посредством осуществления доработки комплекса программ управления сетевым экраном NetFilter.

Комплекс программ управления сетевым экраном NetFilter написан на языке Python и предназначен для упрощения управления правилами подсистемы iptables, являющейся средством управления сетевым экраном NetFilter.

Доработки касались учета мандатного разграничения доступа при передаче по сети. При этом обеспечивается совместимость формата передачи мандатных атрибутов в поле опций IP-пакетов при сетевом взаимодействии по протоколам стека TCP/IP с ОС МСВС 3.0, МСВС 5.0 и ОС специального назначения «Astra Linux Special Edition».

После доработки предоставляется возможность задания условия в правиле iptables на мандатную метку, содержащуюся в поле опций IP-пакетов, как в командном интерфейсе ufw так и в графическом интерфейсе.

Использование замкнутой программной среды дает следующие преимущества:

• контроль целостности файлов любого типа до исполнения;
• поддержка алгоритмов криптографических преобразований России и Казахстана;
• возможность интеграции с решениями Рутокен и КриптоПро;
• работа продуктов сторонних разработчиков без их модификации.

Механизм замкнутой программной среды позволяет настроить запуск только подписанных сервисов и исключить возможность пользоваться командной строкой выборочным пользователям.

Механизм основан на реализации функции хеширования в соответствии с ГОСТ Р 34.11-2012 и функций формирования и проверки цифровой подписи в соответствии с ГОСТ Р.34.10-2012.

Механизм подписи усовершенствован по сравнению с другими аналогами и не требует от сторонних разработчиков проведения повторной сертификации из-за изменения контрольных сумм подписанных пакетов.

Для решения задачи создания замкнутой программной среды используются модули ядра Integrity Measurement Architecture (IMA) и Extended Verification Module (EVM).

Модуль IMA предоставляет возможность внедрения контрольной суммы или цифровой подписи в расширенные атрибуты файлов. При обращении к файлу проводится проверка корректности подписи и в случае несоответствия доступ к такому файлу запрещается. При этом модуль IMA контролирует только содержание файла, сохранность самой подписи в расширенных атрибутах файла не производится, выполнение этой функции возложено на модуль EVM.

Модуль EVM используется для контроля за целостностью мета данных файлов, в т. ч. цифровых подписей. После подписывания файлов с помощью IMA проводится подпись расширенных атрибутов и в случае их изменения или сопутствия подписи доступ к такому файлу будет запрещен.

ОС ОН «Стрелец» может работать в составе домена Windows в качестве рабочей станции, сервера и домен контроллера.

ОС ОН «Стрелец» позволяет заменить контроллер домена Windows.

Средства организации домена обеспечивают:

• создание совместимой с Active Directory доменной инфраструктуры;
• единое пространство учетных записей пользователей и групп;
• сквозную аутентификацию в сети;
• централизацию хранения информации об окружении пользователей;
• поддержку создания резервных (альтернативных) контроллеров домена;
• включение в домен рабочих мест под управлением ОС семейства Windows.

Средства интеграции с доменом Windows основаны на Samba 4.8.7, что обеспечивает:

1. Доверительные отношения;
2. Гранулированные политики паролей;
3. Графический инструмент администрирования.

Разработчик изделия принимает на себя обязательства по поиску ошибок реализации и уязвимостей в изделии на протяжении всего его жизненного цикла, а также обязательства по своевременному информированию потребителя о найденных ошибках и уязвимостях, методах безопасного использования изделия.

Разработчик изделия периодически, не реже одного раза в месяц, должен проводить поиск известных (подтвержденных) уязвимостей в общедоступных источниках информации об уязвимостях. В качестве общедоступных источников в первую очередь должна использоваться база данных уязвимостей в составе банка данных угроз безопасности информации ФСТЭК России («www.bdu.fstec.ru»), а также следующие дополнительные источники:

• «https://cve.mitre.org/»;
• «https://nvd.nist.gov/»;
• «https://www.exploit-db.com/»;
• «http://www.rapid7.com/db/»;
• «http://www.cvedetails.com/»;
• «http://www.securitylab.ru/» и другие.

Процедура устранения уязвимостей изделия и сред его функционирования должна обеспечивать возможность обновления программного обеспечения для устранения актуальных уязвимостей, имеющих критический характер для функционирования изделия. Поиск информации в базах данных по уязвимостям изделия и сред его функционирования проводят с целью проверки соответствия изделия требованиям, указанным в технических условиях. При анализе уязвимостей необходимо учитывать следующие критерии: тип ошибки, версию программного обеспечения, подверженную уязвимости, уровни опасности уязвимости, информацию об устранении.

При получении разработчиком ОС сведений о наличии в компоненте ОС уязвимости, которая может быть использована для доступа к информации в обход функций безопасности ОС, разработчик ОС выпускает обновление безопасности ОС.

Обновление безопасности должно пройти контрольные тематические исследования, подтверждающие устранение уязвимости ОС и работоспособность всех функций безопасности ОС с примененным обновлением безопасности ОС. Сертифицированные обновления ОС ОН «Стрелец» выпускаются на диске обновлений ОС ОН «Стрелец».

Установка ОС осуществляется с компакт-диска ОС ОН «Стрелец», который обеспечивает загрузку в режиме «Live».

После загрузки пользователь имеет возможность запускать приложения, установленные на диске, осуществлять подготовительные действия перед установкой ОС на ЖД. Например, протестировать работоспособность устройств ПЭВМ, удалить существующие разделы ЖД и прочее. А также запустить процесс установки ОС на ЖД компьютера.

Установщик ОС обеспечивает:

• установку ОС на компьютеры с архитектурой х86_64, с объемом оперативной памяти не менее 2 ГБ, объемом ЖД не менее 16 ГБ;
• установку ОС как в режиме BIOS, так и в режиме UEFI;
• установку ОС на ЖД с разбиением MBR и GPT;
• проведение первоначальных настроек компьютера, необходимых для инсталляции;
• разбиение ЖД на разделы;
• установку даты и времени;
• конфигурирование сетевых интерфейсов;
• создание учетной записи пользователя.

Описание процесса установки, а также полнофункциональной работы с ОС ОН «Стрелец» приведено в ФЛИР.90001-01 34 01 «ОС ОН «Стрелец». Руководство оператора», раздел «Установка и настройка».