Программное обеспечение Автоматизированной Системы Терминального Доступа 36C

Программное обеспечение Автоматизированной Системы Терминального Доступа 36C(в составе: операционная система «Циркон 36C», программное обеспечение терминального доступа «Циркон 36Т», операционная система «Циркон 36К»), предназначено для защиты от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну, хранимой и обрабатываемой на серверах и рабочих станциях (автономных и в составе локальной вычислительной сети).

Программное обеспечение Автоматизированная Система Терминального Доступа 36C может устанавливаться на однопроцессорных и многопроцессорных серверах и рабочих станциях х64 архитектуры.

ПО АСТД 36С обеспечивает выполнение следующих функций:

1 Идентификацию и аутентификацию пользователя на терминальных серверах по персональному идентификатору и паролю пользователя при входе в систему.

В качестве персональных идентификаторов, при входе в систему с терминальных станций, используются смарт-карты. С помощью персонального идентификатора пользователь имеет возможность входить в систему с нескольких терминальных станций.

2 Программное обеспечение и/или аппаратные средства терминальной станции обеспечивают невозможность несанкционированного изменения хода загрузки программного обеспечения и реализовывать контроль целостности и аутентичности загружаемого ПО.

3 Программное обеспечение терминальной станции не позволяет пользователю самостоятельный запуск задач.

4 Программное обеспечение сервера обеспечивает для пользователя создание замкнутой программной среды (возможность для пользователя запуска только явно заданных администратором задач).

5 Контроль доступа пользователей к защищаемым ресурсам сервера (рабочей станции) в соответствии с матрицей доступа (дискреционный принцип контроля доступа).

6 Управление потоками информации на основе механизма изоляции пользовательских процессов в собственных копиях ОС и подсистемы сетевой фильтрации ядра Netfilter, реализуемое на уровне гипервизора терминального сервера и сервера приложений.

7 Изменение случайным образом расположения в адресном пространстве процесса образа исполняемого файла, подгружаемых библиотек, кучи и стека.

8 Рандомизацию критических областей адресного пространства ядра ОС.

9 Запрет исполнения всех сегментов адресного пространства процесса, содержащих данные.

10 Запрет модификации сегментов адресного пространства процесса, содержащих код.

11 Контроль модификации прав доступа к сегментам адресного пространства процессов.

12 Поддержку мандатного принципа контроля доступа включающую: функции динамического мониторинга, основанные на доменах и динамически подключаемых правилах, задающих режимы доступа к объектам и средства интеграции подсистем мандатного разграничения доступа в сетевой стек (принудительная разметка сетевого трафика в tx-подобном режиме, принудительный контроль сетевого трафика в режиме firewall, поддержка многометочного режима).

13 Ведение системного журнала, в котором осуществляется регистрация действий пользователей по отношению к ресурсам сервера (рабочей станции): запуск системы, все попытки аутентификации пользователей и доступа к данным, запуск процессов, изменение конфигурации ПО и реализованной политики безопасности, инициализация устройств, монтирование отчуждаемых носителей.

14 Контроль целостности ПО, включая средства автоматической периодической проверки целостности и проверки целостности при загрузке определенных исполняемых модулей и данных.

15 Поддержку средств виртуализации с реализацией мандатного разграничения доступа между гостевыми ОС.

16 Автоматизированное тестирование механизмов и функций защиты информации.

17 Очистку оперативной памяти. Очистка оперативной памяти производится путем записи маскирующей информации в память при ее освобождении (перераспределении). При первоначальном назначении или при перераспределении внешней памяти затрудняется доступ субъекта к остаточной информации.

18 Изоляцию программных модулей одного процесса (одного субъекта), от программных модулей других процессов (других субъектов) - т.е. в оперативной памяти ЭВМ программы разных пользователей защищены друг от друга.

19 Надёжное восстановление. Процедуры восстановления после сбоев и отказов оборудования обеспечивают полное восстановление свойств комплекса средств защиты.

Сервера и рабочие станции, на которые устанавливается ПО АСТД 36С, должны удовлетворять тем же требованиям к вычислительной платформе, которые  предъявляются ОС CentOS GNU/Linux 6.5.

В эксплуатации ПО АСТД 36С должно поддерживаться администратором безопасности. Настройка ПО АСТД 36С должна соответствовать требованиям нормативных документов по безопасности информации и эксплуатационной документации.

Перечень функций защиты информации - согласно требованиям в/ч 43753 «Временные требования к программному обеспечению, используемому в автоматизированных системах ИТКС специального назначения».

Комплектность ПО АСТД 36С

В комплект поставки ПО АСТД 36С входят:

- инсталляционный DVD-ROM диск с дистрибутивами ОС «Циркон 36С» и ОС «Циркон 36К» – 1 шт.;

- инсталляционный DVD-ROM диск с дистрибутивом ПО ТД «Циркон 36Т» – 1 шт.;

- формуляр;

- документация в печатном или электронном виде (на СD-ROM диске) – 1 комплект;

- сертификат на право использования;

- упаковка.

Состав поставляемого программного обеспечения с контрольными суммами приводится  на прилагаемом CD-ROM диске в папках «Циркон 36С_КС, «ЦИРКОН 36Т_КС».

Эксплуатационная документация на ПО АСТД 36С поставляется в виде брошюр или в электронном виде в следующем составе:

- Операционная  система  «Циркон 36С». Руководство администратора. Часть 1. СДЕМ.501100.265РА.

- Операционная  система  «Циркон 36С». Руководство администратора. Часть 2. СДЕМ.501100.265РА1.

- Операционная  система  «Циркон 36С». Руководство администратора. Среда виртуализации. СДЕМ.501100.265РА2.

- Программное обеспечение Автоматизированной Системы Терминального Доступа 36C. Краткое руководство администратора. СДЕМ.501100.265РА3.

- Операционная  система  «Циркон 36С». Руководство пользователя. СДЕМ.501100.265РП.

- Программный комплекс «Администрирование». Руководство системного программиста. СДЕМ.501100.265РСП.

Дополнительно в комплект может входить следующая документация:

- Операционная   система  «Циркон  36С».  Конструкторская документация. СДЕМ.501100.265КД.

- Операционная   система  «Циркон  36С».  Описание применения. СДЕМ.501100.265ПР.

- Операционная   система  «Циркон  36С».  Описание программы. СДЕМ.501100.265ОП.

- Программное обеспечение Автоматизированной Системы Терминального Доступа 36C. Технические условия СДЕМ.501100.265ТУ.

Указания по эксплуатации

При эксплуатации автоматизированных систем в защищенном исполнении (АСЗИ), функционирующих на базе ПО АСТД 36С, необходимо обеспечить выполнение следующих мер защиты:

- исключить наличие доступных внешнему нарушителю каналов выноса (утечки) информации;

- исключить возможности сетевого доступа внешнего нарушителя к серверам и терминальным станциям, функционирующим под управлением ПО АСТД 36С;

- исключить доступ внешнего нарушителя к используемым в АСЗИ отчуждаемым носителям данных;

- исключить обработки в АСЗИ данных (файлов), доступных внешнему нарушителю;

- обеспечить разрушение канала управления (эксплуатации) закладками путем модификации и/или фильтрации вносимых в АСЗИ данных, доступных внешнему нарушителю;

- обеспечить периодичность резервного копирования и наличие резервных технических средств достаточное для оперативного восстановления информации с резервных копий.

Данный перечень мер защиты может уточняться исходя из состава, назначения и условий эксплуатации конкретных АСЗИ с учетом  соответствующей модели угроз и нарушителя.

В процессе эксплуатации администрирование ПО АСТД 36С должно выполняться администратором безопасности. Настройка ПО АСТД 36С должна соответствовать требованиям нормативных документов по безопасности информации и эксплуатационной документации.

 Для выполнения ПО АСТД 36С заявленных функций по защите от НСД к информации должны быть реализованы следующие организационно-распорядительные и технические меры:

1. Обеспечена сохранность оборудования и физическая целостность серверов и терминальных станций.

2. Ведется журнал учета работы серверов и терминальных станций, проведения регламентных мероприятий и внесения изменений в конфигурацию технических и программных средств.

3. Назначен администратор (создана административная группы или подразделение), обеспечивающий установку, настройку и сопровождение ПО АСТД 36С.

4. Разработаны нормативные документы, определяющие порядок допуска пользователей к серверам и терминальным станциям, назначения им прав доступа.

5. Разработаны инструкции для пользователей, определяющие их обязанности по обеспечению сохранности персональных идентификаторов и паролей, порядку работы на серверах и терминальных станциях, а также в среде виртуальных машин.

6. После установки ПО АСТД 36С созданы учётные записи ролей и пользователей (способных их применить), выполняющих административные функции по управлению ПО АСТД 36С.

7. После установки ПО АСТД 36С проверен состав группы пользователей гипервизора KVM. Данная группа не должна содержать пользователей, а доступ к настройке данной группы должен иметь только пользователь root.

8. Созданы учётные записи ролей и пользователей (способных их применить), выполняющих административные функции по управлению средствами виртуализации. Данные учетные записи должны быть включены в состав группы пользователей KVM.

9. Реализованы мероприятия по периодическому отслеживанию открытых источников на предмет поиска информации от обнаруженных уязвимостях в пакетах программ ПО АСТД 36С.

10. Реализованы мероприятия по антивирусной защите и обеспечению свободной от вирусов программной среды серверов системы.

11. Реализованы мероприятия по выполнению периодического тестирования и резервирования ПО АСТД 36С.

12. Реализованы организационно-технические меры по недопущению использования на объектах информатизации несанкционированных внешних носителей информации и установлению порядка использования санкционированных внешних носителей информации (USB флеш накопителями, CD, DVD и т.п.).  

 При эксплуатации ПО АСТД 36С обновлению подлежат пакеты программ, входящие в состав дистрибутива. Применение обновления заключается в замене исполняемых файлов, собранных из пакетов, содержащих обновленные программы.

Разработчик устанавливает следующие типы обновлений:

- обновление, направленное на устранение уязвимостей ПО АСТД 36С;

- обновление, направленное на добавление функции (функций) безопасности ПО АСТД 36С, на совершенствование реализации функции (функций) безопасности, на расширение числа поддерживаемых аппаратных платформ;

- обновление, не влияющее на безопасность ПО АСТД 36С (изменение интерфейса средства защиты информации и иных функций, не влияющее на функции безопасности).

 При использовании в ОС «Циркон 36С» для хранения данных пользователей файловых систем, отличных  от  ext3, в обязательном порядке должно быть проведено исследование корректности реализации механизмов дискреционного контроля доступом для данных файловых систем.

Модификация сетевых настроек виртуальных машин на уровне операционных систем гипервизора, включая создание виртуальных машин, должна выполняться с помощью следующих штатных утилит, расположенных в каталоге  /opt/z36c.

Должно быть запрещено подключение в виртуальные машины с высоким уровнем конфиденциальности и с разрешенной «многометочностью» сетевых интерфейсов из подсетей с низким уровнем конфиденциальности.

При эксплуатации АСЗИ, функционирующих на базе ПО АСТД 36С, должны быть обеспечены:

- период контроля целостности файлов не менее 24 часа;

- период тестирования механизмов разграничения доступа не менее 1 часа;

- период непрерывной работы (период контроля целостности в режиме загрузки с защищенного от записи носителя) не менее 30 суток. Контроль  целостности должен охватывать все файлы,  содержащие  критические данные (конфигурационные файлы, файлы, содержащие исполняемый  код операционной системы гипервизора, и все файлы, содержащиеся в виртуальной машине);

- периодичность смены аутентифицирующей информации пользователями не реже 1 раза в 6 месяцев;

- максимальное число неудачных попыток аутентификации пользователями  не более 8.

В АСЗИ, функционирующих на базе ПО АСТД 36С, должны использоваться серверы с цифровыми процессорами, поддерживающими технологии VT-x и ЕРТ,  а в случае необходимости предоставления доступа виртуальных машин к физическому  устройству сервера (например, сетевой карте), чипсет сервера должен поддерживать технологию VT-d.

При эксплуатации АСЗИ, функционирующих на базе ПО АСТД 36С, защита неочищенной оперативной памяти, областей свопинга и остаточной информации во внешней памяти должна быть обеспечена механизмами разграничения доступа ПО АСТД 36С.

При эксплуатации АСЗИ, функционирующих на базе ПО АСТД 36С, с помощью штатной настройки МКД и службы печати, а также дополнительных организационно-технических мер должна быть обеспечена защита от угроз, связанных с нарушением МКД при печати, и простановка корректной квалификационной метки на распечатанных документах.

При эксплуатации АСЗИ, функционирующих на базе ПО АСТД 36С, расчет эталонных значений  контрольных сумм объектов контроля ПО АСТД 36С производить только в режиме загрузки с доверенного защищенного от записи носителя (установочного диска ОС «Циркон 36С»). Контрольные суммы объектов контроля целостности должны храниться на отчуждаемом носителе, зарегистрированном установленным порядком и подключаемом  к системе  только в режиме загрузки с доверенного защищенного от записи носителя (установочного диска ОС «Циркон 36С»). Для проведения автоматизированного периодического контроля необходимо использовать их  копию.

Все программное обеспечение АСЗИ, функционирующее  под управлением ПО АСТД 36С, должно пройти тематические исследования, обосновывающие отсутствие влияния на реализованное  разграничение доступа (МКД и ДКД) и встроенные механизмы защиты  (аутентификация, контроль целостности, аудит, контроль  ввода/вывода).  Данные исследования должны быть проведены по методике, согласованной с в/ч 43753.

Для программного обеспечения АСЗИ, функционирующего  под управлением ПО АСТД 36С, должна быть подтверждена корректность  и полнота использования механизмов рандомизации и защиты страниц сегментов адресного пространства процесса, реализованных в ОС «Циркон 36С».

Для программного обеспечения АСЗИ, встраиваемого в ВМ с доминирующей меткой, должны быть проведены дополнительные тематические исследования, подтверждающие безопасность реализации механизма контроля и защиты передачи информации между ВМ разных категорий (отсутствие несанкционированного перетекания информации между различными категориями и реализации механизмов защиты: аутентификации, аудита и др.). 

При развертывании и эксплуатации АСЗИ, функционирующих  под управлением ПО АСТД 36С, в качестве хостовой операционной системы, гостевой операционной системы и операционной системы, устанавливаемой в виртуальной машине с доминирующей меткой, должны использоваться дистрибутивы ОС «Циркон 36С», сборка которых выполнялась с различными  ключами рандомизации. Организационными мерами должен быть ограничен круг лиц, имеющих доступ к используемым  в АСЗИ  дистрибутивам  ОС «Циркон 36С».

При развертывании и эксплуатации АСЗИ, функционирующих  под управлением ПО АСТД 36С, настройками ОС «Циркон 36С» должна быть исключена возможность  запуска  на исполнение кода из томов файловых систем, доступных пользователю на запись.

Сертификат соответствия СФ/014-2925