astra linux исходный код
Операционные системы Astra Linux
Оперативные обновления и методические указания
Операционные системы Astra Linux предназначены для применения в составе информационных (автоматизированных) систем в целях обработки и защиты 1) информации любой категории доступа 2) : общедоступной информации, а также информации, доступ к которой ограничен федеральными законами (информации ограниченного доступа).
1) от несанкционированного доступа;
2) в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (статья 5, пункт 2).
Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении. С 17 декабря 2019 года правообладателем, разработчиком и производителем операционной системы специального назначения «Astra Linux Special Edition» является ООО «РусБИТех-Астра».
На web-сайтах https://astralinux.ru/ и https://wiki.astralinux.ru представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения.
Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!
Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.
Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить в статье Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов.
В целях обеспечения соответствия сертифицированных операционных систем Astra Linux Special Edition требованиям, предъявляемым к безопасности информации, ООО «РусБИтех-Астра» осуществляет выпуск очередных и оперативных обновлений.
Очередные обновления (версии) предназначены для:
Оперативные обновления предназначены для оперативного устранения уязвимостей в экземплярах, находящихся в эксплуатации, и представляют собой бюллетень безопасности, который доступен в виде:
Ввиду совершенствования нормативно-правовых документов в области защиты информации и в целях обеспечения соответствия информационных актуальным требованиям безопасности информации, а также обеспечения их долговременной эксплуатации, в том числе работоспособности на современных средствах вычислительной техники, рекомендуется на регулярной основе планировать проведение мероприятий по применению очередных и оперативных обновлений операционной системы.
Операционные системы Astra Linux
Оперативные обновления и методические указания
Операционные системы Astra Linux предназначены для применения в составе информационных (автоматизированных) систем в целях обработки и защиты 1) информации любой категории доступа 2) : общедоступной информации, а также информации, доступ к которой ограничен федеральными законами (информации ограниченного доступа).
1) от несанкционированного доступа;
2) в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (статья 5, пункт 2).
Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении. С 17 декабря 2019 года правообладателем, разработчиком и производителем операционной системы специального назначения «Astra Linux Special Edition» является ООО «РусБИТех-Астра».
На web-сайтах https://astralinux.ru/ и https://wiki.astralinux.ru представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения.
Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!
Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.
Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить в статье Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов.
В целях обеспечения соответствия сертифицированных операционных систем Astra Linux Special Edition требованиям, предъявляемым к безопасности информации, ООО «РусБИтех-Астра» осуществляет выпуск очередных и оперативных обновлений.
Очередные обновления (версии) предназначены для:
Оперативные обновления предназначены для оперативного устранения уязвимостей в экземплярах, находящихся в эксплуатации, и представляют собой бюллетень безопасности, который доступен в виде:
Ввиду совершенствования нормативно-правовых документов в области защиты информации и в целях обеспечения соответствия информационных актуальным требованиям безопасности информации, а также обеспечения их долговременной эксплуатации, в том числе работоспособности на современных средствах вычислительной техники, рекомендуется на регулярной основе планировать проведение мероприятий по применению очередных и оперативных обновлений операционной системы.
Разработчик Astra Linux нарушает GPL
Astra Linux, или «сделай систему правильно!» ссылаясь на ГК 4 прямо кладут на GPL в своем факе на сайте:
. Никто не в праве заставить правообладателя опубликовывать исходные тексты входящих в состав операционных систем программ, являющихся собственной разработкой ОАО «НПО РусБИТех», а также запретить получение вознаграждения при заключении лицензионных договоров на использование операционных систем (п. 5 ст. 1235 ч. 4 ГК РФ)
Хотя их собственные разработки — это, в том числе, и DE на основе KDE 3. На что указывает автор по ссылке выше. Импортозамещаемся потихоньку.
В натуре. Рашкованы они такие. )
Пора вводить чёрный список дистрибутивов. Раз так, тогда хрен его знает, каких зондов они туда навтыкали. Значит им есть что скрывать.
Это один из самых ненужных дистрибутивов. Ещё и жмут исходники. И чем оно лучше винды? Правильно, здесь бэкдоры свои, родные 🙂 ROSA наше всё!
Какое безосновательное заявление. И при чём здесь совок? Мы вроде про современность.
Совок при форме мышления.
Кто-то тут недавно сказки рассказывал о том, что GPL в России имеет юридическую силу.
быдлорашкинбизнесь во всей красе
Если он не имеет юридической силы, то лицензия недействительно и все права защищены. А это в свою очередь значит, что астра вообще не имеет права делать производные работы ни при каких условиях.
Кучи примером есть.
И при чём здесь совок? Мы вроде про современность.
При том что это такая традиция из совка пошла и никуда она не делась. Более того в последнее время РФ катится в совок с огромной скоростью.
Утверждение было «ничего не умели делать сами», но даже ОДИН пример того что делали сами, опровергает это утверждение.
При том что это такая традиция из совка пошла и никуда она не делась. Более того в последнее время РФ катится в совок с огромной скоростью.
Мы катимся не в совок, а в эталонный фашизм. К слову через фашизм в той или иной форме многие страны проходили.
Причина. Наращивание механизмов тотального контроля, оказалось выгоднее экономических уступок населению. Поэтому господствующая часть буржуазии выбрала этот метод подавления рабочего движения.
Наращивание механизмов тотального контроля, оказалось выгоднее экономических уступок населению.
Причём здесь фашизм если речь идёт о не правомочном использований GPL софта?
То-есть торговле не лицензионной продукцией?
Если он не имеет юридической силы, то лицензия недействительно и все права защищены.
А это в свою очередь значит, что астра вообще не имеет права делать производные работы ни при каких условиях.
Причём здесь фашизм если речь идёт о не правомочном использований GPL софта?
То-есть торговле не лицензионной продукцией?
Не при чём. Мы перешли к другой теме.
А вообще интересный вопрос, по закону положения договоров,
если они ему противоречат объявляются не действительными.
То есть они действительно не нарушают закон,
так как, если их цитата правильная, соответствующее требование GPL ему противоречит.
С другой стороны,GPL это явно офёрта,и отменяемое требование есть существенная часть GPL, как лицензионого соглашения.
Если условия наложены на вас (по решению суда, соглашением или иначе), которые противоречат условиям Данной лицензии, они не освобождают вас от условий Данной лицензии. Если вы не можете передать лицензированное произведение так, чтобы одновременно удовлетворить требованиям и Данной лицензии и всем другим обязательствам, а затем, как следствие, вы не можете передавать ее вообще. Например, если вы согласны с условиями, обязывающими вас собирать авторские отчисления для дальнейшей передачи от тех, кому вы передаете Программу, единственный способ удовлетворить этим условиям и Данной лицензии будет полное воздержание от передачи Программы.
Что можно понять как волю не заключать договор, если он по закону не может быть принят полностью.
Но что если наш закон это отменяет?
На самом деле это общемировой тренд. Что-то мы тырили, что-то у нас. Промышленный шпионаж называется, если интересно.
Не исключаю, только масштабы совершенно разные. Совок даже механику для велосипедов копировал, при том с отставанием на три десятка лет.
ГК РФ, статья 1286.1:
4. Лицензиар, предоставивший открытую лицензию, вправе в одностороннем порядке полностью или частично отказаться от договора (пункт 3 статьи 450), если лицензиат будет предоставлять третьим лицам права на использование принадлежащего лицензиару произведения либо на использование нового результата интеллектуальной деятельности, созданного лицензиатом на основе этого произведения, за пределами прав и (или) на иных условиях, чем те, которые предусмотрены открытой лицензией.
5. Автор или иной правообладатель в случае, если исключительное право на произведение нарушено неправомерными действиями по предоставлению или использованию открытой лицензии, вправе требовать применения к нарушителю мер защиты исключительного права в соответствии со статьей 1252 настоящего Кодекса.
Ткните там этих питухов носом туда.
Если код GPLv2, то его можно закрывать и продавать(как я уже писал раньше), если под нашей свободной лицензией, то он ничего не имеет права, кроме как просить.
Я не понимаю метод, используя который можно как-то говорить о разнице в масштабах.
Ты можешь продавать программный продукт и исходный код к нему, но лицензиат получит те же отчуждаемые права на него, что и ты. Проблема с Астрой, как я понял, что они взяли KDE, внесли изменения и не открыли часть исходных кодов. Это видно по содержимому репозитория ftp://mirror.yandex.ru/astra/frozen/orel/1.10/repository/pool/non-free/f/
Коллизии GPL и ГК4 тут нет. Они говорят про собственные разработки. Проблема в том, что часть этих разработок основывается на GPL-софте, а значит они нарушают ее требования.
Если мне память не изменяет, то в GPLv2(про неё могу точно сказать) запрещено вносить любые изменение в текст лицензии(то же касается перевод), а это значит, что если на английском языке в нашей стране нельзя законы принимать, то GPLv2 полностью не имеет юридической силы. Недавно появилась наша лицензия, но это не GPLv2 а наша свободная лицензия, про совместимость можно ещё порассуждать. Я ничего не перепутал?
С разморозкой. Этот трэш уже давно начался, куда раньше всяких «импортозамещений». По факту, GPL в РФ легализована на уровне признания права использования продуктов под GPL без дополнительных лицензий и бумажек. Про открытие исходных кодов ни Царь, ни Наместник, ни Бояре ничего не говорили. А как швабодколюбы-то в свое время радовались, аж на пену исходили, доказывая, что теперь-то в РФ по мановению длани Великого весь гос. софт столманоугоден станет.
Она как имела, так и имеет, но проблема в том, что откатчики кладут на законы.
где там про то, что они имеют право не открывать исходники разработок?
Если код GPLv2, то его можно закрывать и продавать
Еще раз читай текст лицензии.
Если омериканец запатентовал свой gplv2-код, то он может воротить всё как ему угодно.
Всё верно, перечитал.
Поиск по форуму мне выдал следующее: Цитаты
И причем здесь оно? Там про патенты, а тут про то, что в astra не отдают исходники работ, основанных на GPL
Исходники для страждущих выкладываются уже несколько лет, в том числе на яндексе
Всё верно. Если они патентовали изменения, то они соблюли GPL, если просто ссылаются на наше законодательство, то правильно делают, так как у нас нет GPL. Не вижу проблем кроме того, что они нарушают абстрактный дух GPL, которого никогда не существовало(только в умах хомячков).
Я уже приводил ссылку, вот non-free у Астры:
кончай бредить. Где конкретно в нашем законодательстве прописано, что они в любом случае имеют право закрывать исходники?
Я знаю у кого такая реакция на аргументы! Чихайте, кашляйте, шаркайте ногами же, ну! 😀 Вас так же учат?!
Ещё пара цитат:
До конца текущего года в российском законодательстве появится понятие открытой лицензии. Соответствующие поправки в Гражданский кодекс уже одобрены; в силу они вступят 1 октября.
.
Поправки создают юридическую возможность ввести в оборот огромный массив пользовательского контента, кроме того, открывается возможность для более глубокой интеграции свободного ПО в систему государственных закупок. Участники рынка говорят, что отсутствие в законе понятия свободной лицензии фактически тормозило использование свободного ПО в России. К примеру, известны случаи, когда автор сначала разрешал свободное использование своего продукта, но после появления производных передумывал и защищал разработку копирайтом — в результате эти производные формально становились незаконными. В новом законе оговорено, что автор может передумать, только пока произведение не обнародовано.
Значит раньше её не было! Только после этого СПО в РФ стало легальным. Если для просветления мало, то ещё пошарюсь и найду про несовместимость GPL с нашей лицензией.
3dNews
А теперь разупорись и покажи конкретную ссылку на закон, где сказано, что можно закрывать исходники производных работ, несмотря на лицензию. Не чьи-то посты, а конкретную ссылку на закон или постановление.
Статья 1286.1 ГК РФ. Открытая лицензия на использование произведения науки, литературы или искусства
. если иное не предусмотрено открытой лицензией, считается, что.
. новый результат интеллектуальной деятельности, созданный лицензиатом на основе этого произведения, в пределах и на условиях, которые предусмотрены открытой лицензией.
.
3. Открытая лицензия является безвозмездной, если ею не предусмотрено иное.
Одни «если» разрешающие все возможные ограничения в тексте любой свободной лицензии. Отсюда следует, что если GPLv2 разрешает закрывать код и продавать, то это же право автоматически передаётся всем произведениям. Оказывается у нас нет ни одной свободной лицензии все используем только западные, поэтому я буду писать свою свободную EULA, чтобы в РФ не было никаких юридических проблем и затыков с госзакупками и патентными троллями.
Занавес опускается. Тема закрыта.
если GPLv2 разрешает закрывать код
кончай упарываться. GPLv2 не разрешает этого
Coming-out «российского дистрибутива» AstraLinux
Очередные чудеса от разработчиков российского ПО. На официальном сайте «Астры» появилась на первый взгляд ничем не примечательная новость, озаглавленная «Возможное ужесточение антироссийских санкций не угрожает Astra Linux». Вот ее полный текст по состоянию на полночь 15.02.2019:
Astra Linux является единственным развиваемым в России официальным деривативом (производным дистрибутивом) Debian GNU/Linux.
Несмотря на то, что в качестве основы программного кода операционной системы Astra Linux используются наработки международного проекта Debian, риск того, что при дальнейшем ухудшении отношений с Западом доступ к нему будет невозможным, отсутствует.
Это обусловлено тем, что проект Debian основан исключительно на добровольном участии разработчиков по всему миру и не является юридическим лицом, зарегистрированным на территории какого-либо конкретного государства. А значит, он не подпадает под юридические ограничения, связанные с санкционной политикой одних государств по отношению к другим.
Техническая блокировка разработки и получения доступа к операционным системам семейства Debian со стороны отдельных государств также невозможна, так как репозиторий Debian представляет собой многократно дублирующуюся распределенную систему хранения пакетов, состоящую из серверов «первичных зеркал» и «вторичных зеркал», часть из которых также расположена в России и иных, в том числе, дружественных странах.
Важно и то, что операционные системы семейства Debian распространяются под свободной лицензией GNU General Public License и совместимыми с ней другими лицензиями (BSD License, Apache License и др.), юридически не допускающими наложение каких-либо запретов или ограничений на доступ к исходному коду программного обеспечения.
Независимость операционной системы и защиту от различных угроз, связанных с использованием включенного в Astra Linux открытого ПО, обеспечивает наличие собственного репозитория и средств разработки и сборки дистрибутива. Все это подтверждает тот факт, что возможное усиление санкционных ограничений со стороны западных государств не угрожает операционной системе Astra Linux. Чего нельзя сказать о ряде других отечественных операционных систем, использующих наработки коммерческих компаний, зарегистрированных в США и обязанных следовать требованиям законодательства США.
Третий и четвертый абзацы (про неэффективность юридических и технических органичений), судя по всему, были написаны, чтобы закрепить успех: «даже если вдруг чего случится, мы слямзим эти пакеты окольными путями».
Пятый абзац (куда они зачем-то приплели open-source лицензии) буквально продолжает эту мысль: «слямзим, и ничего нам за это не будет».
После таких откровений финальные слова про свои средства сборки и репу выглядят как-то не очень убедительно. А жалкая попытка обосрать конкурентов. так, а что там у конкурентов-то?
Своя репа, свои средства сборки. нет, этот высер определенно был направлен не сюда.
– Так что же говорит этот человек?
– А он попросту соврал! – звучно, на весь театр сообщил клетчатый помошник и, обратясь к Бенгальскому, прибавил:
– Поздравляю вас, гражданин, соврамши!
Как создается ОС, сертифицированная по I классу защиты
Рассказ из первых рук о том, как создается, а потом готовится к сертификации для работы с данными под грифом «особой важности» защищенная ОС Astra Linux.
Что представляет собой Astra Linux?
Astra — отечественный дистрибутив Linux, сочетающий в себе компоненты от сообщества, распространяющиеся по открытым лицензиями типа GPL, MPL, Xiph License и др., и программное обеспечение собственной разработки одноименной группы компаний. Пользовательский функционал закрыт по большей части компонентами из состава открытого программного обеспечения — стандартные механизмы Linux используются для выполнения основных задач, например, запуска приложений, виртуализации, поддержки аппаратного обеспечения или того же Steam. Компоненты собственной разработки в основном решают две ключевые задачи: обеспечения безопасности, а также взаимодействие графического интерфейса операционной системы и человека.
С точки зрения лицензирования дистрибутив является сложным объектом (понятие из ч. 4 ГК РФ), т.е. составным произведением, поэтому распространение его в целом имеет некоторые ограничения. Хотя все компоненты открытого программного обеспечения, входящие в продукт, сохраняют свой свободный статус.
Версии Astra Linux существуют под самые разнообразные платформы. При этом наименование платформы «спрятано» в первую цифру номера версии:
Кстати, версия под каждую платформу имеет свое кодовое имя в честь одного из городов-героев России. Здесь гайдлайнов нет, опираемся на чувство прекрасного.
Среди разрабатываемых версий Astra есть как обычные дистрибутивы, так и защищенные (Special Edition), ориентированные на работу с конфиденциальными данными, сертифицированные по требованиям безопасности информации всех систем сертификации России. С точки зрения пользовательского набора функций версии почти не различаются. Однако система защиты в них выстроена по-разному. Некоторые компоненты специальной версии, требующиеся для работы с конфиденциальными данными, хотя они и не обязательно избыточны для обычных пользователей и бизнеса, в обычную версию не включены,, т.к. нормативная и правовая база Российской Федерации требует их обязательной сертификации.
Базовая версия — что и для кого
Обычная версия Astra Linux ориентирована на корпоративных заказчиков. Для домашних пользователей при использовании в некоммерческих целях лицензия бесплатна — но в развитии мы стремимся удовлетворить потребности именно корпоративного сегмента. В конце концов, мы тоже коммерческая компания, а сегмент домашних пользователей — очень непростой. Для них есть различные дистрибутивы Linux, в том числе бесплатные.
В обычной версии Astra Linux используется дискреционная модель управления доступом — пользователи сами определяют, кому они могут предоставить права доступа к своим файлам. Сторонние программы (браузеры, офисные пакеты и т.п.) запускаются точно так же, как и в других дистрибутивах Linux.
Как и любое другое ПО, обычную версию Astra Linux можно скачать или купить (для организаций) в электронном виде без всякого физического носителя. Кстати, эта версия также размещена на ресурсе международного сообщества Linux, где есть хороший внешний канал.
Следуя общемировым тенденциям, версия активно развивается в направлении поддержки нового оборудования и технологий.
Специальная версия
Помимо обычных версий, у Astra Linux есть так называемые специальные версии — Special Edition, которые разрабатываются с расчетом на сертификацию ФСТЭК России и других систем сертификации. С точки зрения пользовательского функционала специальная версия практически ничем не отличается от обычной. Однако в ней реализованы дополнительные компоненты для повышения безопасности (как раз самописные), в частности:
При этом они включаются и отключаются независимо друг от друга (администратором системы). Для некоторых компонент существуют разные режимы работы. Например, для средства проверки ЭЦП можно включить режим обучения, когда файлы с неверной ЭЦП (или у которых она отсутствует) все-таки запускаются, но на уровне системы выдается предупреждение. Все эти механизмы настраиваются администратором под политику безопасности, определенную руководством. При этом почти вся настройка уже осуществляется как в графическом режиме. Безусловно, администраторам доступен весь набор инструментов консольном исполнении для автоматизации задач по настройке и конфигурированию подсистем безопасности.
Текущая версия Astra Linux Special Edition — Смоленск 1.6.
Специальная версия развивается, как и обычная, однако нововведения в нее попадают только после тестирования и обкатки в обычном релизе.
Как мы готовили специальную версию к сертификации
Каждый безопасник и системный администратор по-своему расставляют приоритеты в вопросах информационной безопасности. Попроси их создать проект защиты некой IT-инфраструктуры, и каждый предложит свое решение, поскольку будет видеть какие-то свои угрозы и акценты. Если речь идет о коммерческих компаниях, решение о том, к чьему мнению прислушиваться, принимает бизнес — на свой страх и риск.
На государственном уровне любой риск необходимо минимизировать, поэтому нужны общие механизмы оценки эффективности защиты, а точнее — подтверждения того, что информационные системы могут устоять перед определенным набором угроз. Для этого в системах должны быть реализованы определенные функции безопасности (например, проверка пароля, функции разграничения доступа и т.п.), а с другой стороны процесс разработки и сам код этой системы должен соответствовать определенным требованиям доверия. Задача системы сертификации и сертифицирующего органа — проверить конкретный продукт на соответствие всем как функциональным условиям, так и требованиям доверия.
Степени секретности
Применительно к системам обработки данных ограниченного доступа важную роль играет характер этих данных — это информация для свободного распространения, персональные данные, ценные медицинские сведения, государственная тайна, в том числе сведения особой важности. Логично, что для каждой степени секретности предусмотрен свой список функциональных требований и критериев оценки «доверенности» кода информационных систем — свой класс защиты, включающий уровень доверия. Список требований для каждого последующего уровня включает в себя список для предыдущего уровня, а также некоторые дополнительные условия. Подобная практика существует во многих странах. При этом каждая настаивает на каких-то своих критериях и даже по-своему разделяет данные по уровням. В России приняты шесть классов, при этом шестой — самый низкий, а первый — наивысший.
Низшие классы — с шестого по четвертый — это требования для защиты персональных данных, а также коммерческой и служебной тайны. На российском рынке продукты, соответствующие этим классам, уже не редкость. Мы же поговорим о сертификации по высшим классам — с третьего по первый — с грифами «секретно», «совершенно секретно» и «особой важности» (живые примеры — чертежи нового истребителя Сухого или общие данные о состоянии критической инфраструктуры в стране, не так давно приравненные к государственной тайне). И здесь самое сложное — даже не функциональные требования (в конце концов, разработать что-то — не проблема), а подтверждения доверия к ОС. Для этого необходима корректная математическая модель управления доступом к данным и обоснование соответствия реального программного продукта этой математической модели. Т.е. процедура разработки системы, ориентированной на работу с секретными данными, многократно усложняется.
Вот пример реакции системы на включение политики MLS (multi level security) в SELinux в дистрибутиве Fedora:
Как мы видим, ни графическая оболочка, ни консольные приложения не умеют по умолчанию корректно обрабатывать ситуацию, когда в системе включена политика работы с несколькими уровнями секретности. Соответственно, всё это необходимо или перерабатывать или делать своё, что и сделано в Astra Linux.
К слову, сертификация не ограничивает свободу системных администраторов по части усиления защиты. Прохождение сертификации отражает удовлетворение минимальных требований, однако каждая компания, государственный орган и даже каждый отдельный безопасник могут усовершенствовать систему так, как считают нужным. Сертификация лишь подтверждает «необходимый минимум» наличия функционала по защите информации и корректность его работы, а также обязательство вендора по сопровождению этого функционала в течение всего жизненного цикла, например:
Подготовка к сертификации
Процедура сертификации на практике довольно длительная. Однако упомянутый релиз сертифицировался в течение всего лишь полугода, что достаточно быстро, поскольку это уже шестая по счету версия, которая проходила проверки. Предыдущие пять релизов (а это порядка десяти лет разработки) Astra Linux шла к тому, чтобы получить сертификаты вплоть до второго класса, и без этих наработок не получилось бы отладить все механизмы защиты, адаптировать код для верификации, пройти нужные проверки и «замахнуться» на первый класс.
При этом необходимо отметить, что в настоящее время, сертификация это не заморозка продукта, а обязательное оперативное устранение выявленных уязвимостей в сертифицированном решении.
Самое главное, что произошло за эти полгода — Astra Linux Special Edition прошла многоуровневую процедуру проверки и анализа программного кода. При этом разные части продукта проверялись по-разному.
Наиболее серьезной проверке подвергалась система безопасности. В ней, кроме стандартной дискреционной используется мандатно-ролевая модель управления доступом и контроля целостности, поддерживающая существующие в России степени секретности информации — «секретно», «совершенно секретно» и т.п. Согласно этой модели, каждой учетной записи пользователя, процессу, файлу или каталогу присваивается метка конфиденциальности, по которой и определяются права доступа. Например, файлы, созданные отделом производства танков уровня «совершенно секретно», недоступны другим отделам с уровнем доступа «секретно» или ниже. Кроме того, всем учетным записям пользователей, процессам, файлам или каталогам присваивается метка целостности, в результате, например, пользовательские низкоцелостные процессы не смогут модифицировать системные высокоцелостные файлы. Даже если в результате эксплуатации уязвимости пользовательский процесс получит системные привилегии, он не сможет повлиять на работоспособность системы.
На скриншоте пример того, как низкоцелостный пользователь получил права суперпользователя, но при этом не может скопировать данные.
Для обоснования безопасности такого предоставления доступа строилась математическая модель, которая проверялась на логическую целостность, замкнутость и корректность.
Далее исходные коды системы безопасности проверялись на соответствие заявленной математической модели. И это довольно сложная и трудоемкая процедура, которая выполнялась совместно с сотрудниками Института системного программирования РАН.
Стоит отметить, что сейчас в России мы можем решать подобные задачи о проверке кода на соответствие математической модели для компонент объемом общей сложностью до 10 тыс. строк. И в эти лимиты система безопасности Astra Linux вполне укладывается. Но ядро Linux — это десятки миллионов строк кода, и инструментов по строгой математической верификации проекта такого объема на данный момент нет не только в компании, но и в стране в целом. Так что для них используются иные механизмы контроля — с помощью инструментов статического и динамического анализа кода от того же Института системного программирования РАН или собственной разработки. Задача данного этапа — проверить код на ошибки, закладки или бекдоры. Прохождение этой проверки обеспечивает высокий уровень доверия к коду и, соответственно, возможность его сертификации на первый класс защиты информации.
Сертификация определяет не только, как выглядит код Astra Linux, но и каким образом продукт (точнее его специальная версия) поставляется пользователю — она распространяется только на дисках. Это связано как с ограничениями нормативных документов: чтобы подтвердить, что программный код не был изменен, так и реальными задачами по долговременному хранению оригинального носителя. Технически это может быть и флешка, но они имеют свойство ломаться, тогда как хранение на оптическом диске более предсказуемо (да и есть гарантия от перезаписи).
Что с конкурентами?
На данный момент сертификацией на такой высокий класс защиты не может похвастаться больше никто.
Но даже если предположить, что завтра появится конкурент с версией ОС, которая гипотетически могла бы соответствовать условиям сертификации, в ближайшее время он не сможет потеснить Astra Linux. Барьером выступит та самая процедура сертификации, а точнее ее часть, касающаяся верификации программного кода. Ресурсы и научные знания для этой процедуры, по нашим оценкам, в России есть только у Института системного программирования РАН и Astra Linux.
Если оценивать научно-технический потенциал компаний, то теоретически сертификацию в России могли бы пройти продукты Microsoft. Компания обладает нужными ресурсами и компетенциями, они даже рассказывают о важности задачи верификации кода на YouTube. Однако открыть исходники они вряд ли решатся. И тем более не будут дорабатывать свою модель безопасности под российские требования (напомню, в США иной список требований к государственной сертификации).
Возможно, тем же путем мог бы пойти Google и Лаборатория Касперского с их проектом защищенной Kaspersky OS.Однако у нас информации на их счет нет. Выйти на сертификацию по второму классу пыталась компания «Базальт». Но нам пока не ясно, есть ли у них технический и научный потенциал.
Кто использует Astra?
На самом деле клиентов у Astra Linux множество, ведь внедрялась система еще до сертификации. Да и потенциальный рынок достаточно велик — это органы военного и государственного управления, работающие с любой информацией ограниченного доступа. В отсутствии сертифицированной ОС эти организации создавали собственные информационные системы — компоновали существующие решения, дорабатывали их в рамках отдельных проектов, чтобы пройти аттестацию для работы с данными, требующими защиты. Однако такие решения дороги и далеко не всегда оптимальны. Предположим, нет системы, которая бы позволяла в рамках одного рабочего места разграничить доступ к трем уровням секретных данных — значит можно использовать три разных компьютера, а ключи от них выдавать под роспись в журнале (т.е. проблему решить можно административным способом, хоть и не самым простым и удобным). Это не соответствует современному уровню развития IT. Да и разработка таких систем требует значительного времени, т.к. тут нужна и индивидуальная модель угроз (актуальных именно для этой системы), и дополнительные компоненты защиты, и сама процедура аттестации.
Серийный продукт — в данном случае Astra Linux Special Edition — дешевле, логичнее, современнее, хоть и требует от администраторов прохождения этапа обучения. Иначе будет сложно настраивать систему безопасности, которой нет аналогов в ПО для широкого круга пользователей.
Astra Linux подходит для внедрения даже на высших уровнях управления. К примеру, на этот продукт планирует перейти Администрация Президента. В планы переход на Astra Linux был включен довольно давно, но на тот момент система не могла быть внедрена, т.к. не имела интеграции с необходимыми компонентами. ОС ведь не существует сама по себе, а встраивается в некую экосистему программных продуктов — антивирусов, систем защиты каналов связи и т.п. С тех пор была выпущена новая версия Astra Linux, под которую уже началась сертификация необходимых решений, например, Антивируса Касперского 10-й версии. И работа с производителями других программных продуктов и систем защиты продолжается.