ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
Фундамент открытого кода: построение защищенных систем и аудит их безопасности
1. Фундамент открытого кода:
построение защищенных систем и
аудит их безопасности
Фадин Андрей Анатольевич
CISSP
Директор департамента программных
разработок
ЗАО «НПО» Эшелон»
af@cnpo.ru г. Москва, 2012 г.
2. Опыт докладчика
● участие в создании защищенных информационных
систем с 2004 года;
● опыт разработки приложений в средах:
ОС МСВС 3.0, Astra Linux «Смоленск», ОС МСВС 5.0;
● опыт консультирования и непосредственного участия
в сертификационных испытаниях СЗИ по
требованиям РД на отсутствие НДВ (в том числе и в
операционных системах);
● профессиональные сертификаты ISC2(CISSP), Cisco,
АИС, ВНИИНС
2
3. Защищенные системы обработки
информации
автоматизация обработки информации
ограниченного доступа
успешное предотвращение угроз безопасности,
действующих в определенной среде
соответствие требованиям и критериям
стандартов информационной безопасности
Специализированный центр защиты информации
Санкт-Петербургского государственного
технического университета,
Зегжда Д.П., Ивашко А.М. www.ssl.stu.neva.ru 3
4. Почему важна связь с open-source
компонентами?
● обеспечение интероперабельности
между различными компонентами;
● увеличение возможностей по
расширению функционала
компонентов;
● сопоставление открытых и защищенных
компонентов, аудит потенциальных
уязвимостей по бюллетеням
безопасности и доступным исходным
текстам (CVE, OSVDB, CWE)
4
5. Перечень защищенных компонентов
● Источники информации по платформам
● Реестр ССЗИ ФСТЭК
http://www.fstec.ru/_doc/reestr_sszi/_reestr_sszi.xls
● Перечень ЦЛСЗ ФСБ
http://clsz.fsb.ru/files/download/sved_po_sertif.pdf
● ВНИИНС «Перечень средств БИЗКТ» http://www.vniins.ru/node/127
● сайты разработчиков СЗИ;
● Публикации, Wikipedia
● сайты поставщиков и пользователей СЗИ
● Реестр СЗИ на ИСПДн http://ispdn.ru/szi/
● ГНУ/Линуксцентр http://www.linuxcenter.ru/shop/sertified_fstek/
● Исключения (чего нет в следующих списках)
● Устаревшие системы или с истекшим сертификатом – например Windows NT
● Системы, которые по имеющейся информации, ещё в процессе сертификации –
пример ROSA 2011
● Системы сертифицированные единичными экземплярами или маленькими
партиями – пример Oracle Enterprise Linux 5 Update 2 ( 1 экз. )
● Системы по которым нет информации об использовании открытых компонентов –
примеры: ОС РВ Багет («Багет 2.0», ос2000), Windows 7
5
7. Защищенные операционные системы (1)
Наименование Вендор Фундамент Сертификация
открытого кода
RHEL 4 ВНИИНС RHEL 4 ФСТЭК:
для IBM S/390 RedHat ОУД-4+, НДВ-4
(старый проект:
Омоним-390ВС)
Mandriva ЗАО НИЦ Mandriva Corporate ФСТЭК:
Corporate Server, Mandriva Server 4 Update 3, НДВ-4, СВТ-5
PowerPack 2008, Mandriva PowerPack
Flash 2008, Mandriva Flash
Trustverse Linux ООО Fedora Core 6 ФСТЭК:
XP Desktop 2008 «ТрастВерс» НДВ-5, СВТ-5,
SE (Infosec) АС-1Г, ИСПДн-К2
ОС Янукс 3.0 ФГУП "НИИ RHEL 5.1, KVM ФСТЭК:
НПО "Луч" Соответстие LSB 3.1 ОУД3+, НДВ-4,
АС-1Г
7
8. Защищенные операционные системы (2)
Наименование Вендоры Фундамент Сертификация
открытого кода
Astra Linux Special РусБИТех Debian 5/6 Минобороны:
Edition (Lenny/Squeeze) СВТ-3, НДВ-2,
1.5 (Смоленск) Ядро 2.6.34-3 РДВ (ТУ)
ФСТЭК: СВТ-3,
НДВ-2, АС-1Б
ОС МСВС 3.0 ВНИИНС RedHat Linux 6.2 и 7, Минобороны:
(КП «АВЗ» и др. RHEL 5 СВТ-2, НДВ-1
окружение) ядра
(МСВС-Э, МСВС-Р, 2.2.20/2.4.32/2.4.37.9/ (истёк срок
ОС «Оливия» и др. 2.6.18-238(el5) сертификата по
проекты линейки) clamAV ФСТЭК: СВТ-3,
Portsentry НДВ-2 )
ОС МСВС 5.0 ВНИИНС RHEL 5. Ядро 2.6.18- Минобороны:
194(el5)/2.6.2x СВТ-2, НДВ-1
8
9. Защищенные операционные системы (3)
Наименование Вендор Фундамент Сертификация
открытого кода
Альт Линукс СПТ ООО «Альт Радикально ФСТЭК:
6.0 Линукс» переработанный СВТ-4, НДВ-4
форк от Mandrake со
своим репозиторием
пакетом "Сизиф“,
ядро 2.6.32
МСВСфера 5.2 VDEL RHEL 5.2 ФСТЭК:
(Desktop/Server) ВНИИНС ОУД-2, НДВ-4,
АС-1Г, ИСПДн-К1
RedHat Linux
9
10. Шлюзы, МЭ, СОВ
Наименование Вендор Фундамент Сертификация
открытого кода
ОС «Атликс», НТЦ «Атлас» RedHat Linux ФСБ
АК «Атликс-VPN», ядро 2.4.19
МЭ «Атликс-МЭ-
А» и др.
МЭ ОАО ЭЛВИС- ALT Linux ФСТЭК:
«ЗАСТАВА-AL», ПЛЮС» МЭ-2, НДВ-3
версия 5.3,
АПКШ «Континет» Информазащ FreeBSD 5.x и ФСТЭК:
версий 3, 3.5 ита/Код выше МЭ-4. НДВ-3
безопасности
Комплекс "Рубикон" ЗАО «НПО Сильно ФСТЭК:
«Эшелон» переработанный МЭ-2, НДВ-2, ТУ
форк IpCop Минобороны:
Ядро 2.6.27 МЭ-2, НДВ-2,
РДВ
10
13. Средства аудита
● Сканер-ВС
● Debian 5/6, nmap, OpenVas 3.x и др.
● ФСТЭК: ТУ, НДВ-4
● Минобороны: НДВ-2, РДВ
● ЗАО «НПО «Эшелон».
● Ревизор Сети
● использование технологий Nessus, nmap;
● ФСТЭК:ТУ
13
14. Выводы
● не хватает «прозрачности» (на SourceForge
240 000 проектов, в России на учете всего
200);
● слабый вклад в открытую кодовую базу
(успешные примеры: Alfresco, Mindtouch,
Greenbone Security, проект Эшелона shreg в
GitHub)
● необходимо сочетание открытого
конкурентного рынка
разработчиков/интеграторов с
централизованным регламентами и
стандартами платформ, протоколов,
форматов, репозиториев. 14