Сертификат AM Test Lab
Номер сертификата: 222
Дата выдачи: 25.04.2018
Срок действия: 25.04.2023
- Введение
- Архитектура и системные требования СЗИ НСД Dallas Lock Linux
- Работа с СЗИ НСД Dallas Lock Linux
- 3.1. Установка продукта
- 3.2. Подсистема контроля целостности
- 3.3. Подсистема идентификации и аутентификации
- 3.4. Подсистема управления доступом
- 3.5. Подсистема гарантированной зачистки информации
- 3.6. Подсистема контроля устройств
- 3.7. Подсистема регистрации и учета
- Выводы
Введение
Одна из важных составляющих работ по обеспечению безопасности информационных систем — защита рабочих станций и серверов от несанкционированного доступа (НСД). Она заключается в контроле входа пользователя в систему, разграничении доступа, контроле целостности и т. д. На нашем рынке не так много сертифицированных продуктов, которые позволяют решать эти задачи.
Одно из таких решений — это система защиты информации от НСД Dallas Lock Linux. Разработкой и созданием продуктов линейки Dallas Lock занимается Центр защиты информации ООО «Конфидент» с 1992 года. СЗИ Dallas Lock прошла эволюционный путь развития от простого замка на включение компьютера, работающего под управлением MS-DOS, до распределенной системы, удовлетворяющей современным требованиям безопасности.
Продукты Центра защиты информации ООО «Конфидент» регулярно проходят сертификацию в системе сертификации ФСТЭК России, а также в отраслевых системах сертификации, а сама компания имеет соответствующие лицензии ФСБ России, ФСТЭК России, Роскомнадзора и Министерства обороны России.
СЗИ НСД Dallas Lock прошла сертификационные испытания на соответствие 5 классу защищенности от НСД и 4 уровню контроля отсутствия НДВ (сертификат соответствия ФСТЭК России № 3594 от 4 июля 2016).
СЗИ НСД Dallas Lock Linux — система защиты информации от несанкционированного доступа накладного типа, предназначенная для защиты конфиденциальной информации, в том числе содержащейся в автоматизированных системах до класса защищенности 1Г включительно, в государственных информационных системах до 1 класса защищенности включительно, в информационных системах персональных данных для обеспечения 1 уровня защищенности ПДн, в автоматизированных системах управления производственными и технологическими процессами до 1 класса защищенности включительно.
СЗИ НСД Dallas Lock Linux обеспечивает защиту рабочих станций и серверов под управлением ОС семейства Linux. При использовании совместно с СЗИ Dallas Lock 8.0 предназначенной для защиты Windows-платформ СЗИ Dallas Lock 8.0, возможно построение комплексной системы защиты информации в гетерогенной среде с централизованным управлением СЗИ Dallas Lock 8.0 и Dallas Lock Linux через Сервер безопасности Dallas Lock.
Архитектура и системные требования СЗИ НСД Dallas Lock Linux
Архитектура Dallas Lock Linux состоит из следующих подсистем:
- Подсистема идентификации и аутентификации
- Подсистема управления доступом
- Подсистема гарантированной зачистки информации
- Подсистема контроля устройств (аппаратной среды)
- Подсистема контроля целостности
- Подсистема регистрации и учета
Рисунок 1. Архитектура СЗИ НСД Dallas Lock Linux
СЗИ НСД Dallas Lock Linux работает на компьютерах под управлением следующих операционных систем семейства Linux:
- Debian 7.11 х64 (systemd, версия ядра 3.18).
- CentOS 7 x64 (версия ядра 3.18, 4.4). Поддерживаются все минорные версии дистрибутива в рамках указанного мажорного релиза.
- Red Hat Enterprise Linux Server 7 x64 (версия ядра 3.18, 4.4). Поддерживаются все минорные версии дистрибутива в рамках указанного мажорного релиза.
- Fedora 24 х64 (версия ядра 4.4, 3.18).
- OpenSUSE 42 x64 (версия ядра 4.4). Поддерживаются все минорные версии дистрибутива в рамках указанного мажорного релиза.
- Ubuntu 16.04 x64 (версия ядра 4.4). Поддерживаются все минорные версии дистрибутива в рамках указанного мажорного релиза.
- ЛотОС2 2.1 x64 (версия ядра 3.18).
- Alt Linux 8 (будет доступно в рамках планового обновления).
Изделие предназначено для использования на технических средствах (ТС), таких как: персональные компьютеры, портативные компьютеры (ноутбуки), сервера и ТС с поддержкой виртуальных сред (например, KVM).
Изделие поставляется в виде установочных пакетов для каждой из заявленных поддерживаемых операционных систем. В состав пакетов входит локальный клиент СЗИ НСД. Настройка и управление СЗИ НСД Dallas Lock Linux осуществляется через графическую (реализовано для Linux и Windows) или консольную оболочки администрирования.
Работа с СЗИ НСД Dallas Lock Linux
Установка продукта
Установка продукта осуществляется из стандартного для Linux пакета. При установке СЗИ НСД требуется скачивание дополнительных пакетов из глобальной сети. Если производится установка на автономный компьютер, необходимо, чтобы в локальной сети был расположен официальный репозиторий соответствующего дистрибутива операционной системы и были выполнены соответствующие настройки инфраструктуры.
Следует обратить внимание, что все сервисы, которые требуют создания пользователей в системе, рекомендуется устанавливать до установки СЗИ НСД. В противном случае, если после установки СЗИ НСД возникла необходимость установить какой-либо сервис, который требует создания в системе специального пользователя, можно создать его средствами СЗИ НСД (с флагом «системный») до установки сервиса. Необходимо учитывать, что этот способ может не привести к тому, что сервис установится корректно.
После установки системы защиты необходимо следить за сроком действия корневого и пользовательского сертификатов и при необходимости вовремя их обновлять. Данный сертификат используется для взаимодействия между системой защиты и консолью управления. Для проверки срока действия сертификата необходимо выполнить команду openssl x509 -noout -text -in <путь к сертификату>. В результате выполнения команды будут предоставлены данные по сертификату, в том числе и срок действия.
Кроме установки самого СЗИ необходимо определить, каким образом будет осуществляться управление. Существует три возможных варианта управления:
- локально установить оболочку администрирования (консольную и/или графическую);
- установить графическую оболочку администрирования на АРМ под управлением Windows;
- централизованным управлением через сервер безопасности Dallas Lock 8.0.
В нашем обзоре мы будем использовать локальную консольную и графическую оболочку администрирования.
Подсистема контроля целостности
Подсистема реализует контроль целостности аппаратной среды, целостность объектов файловой системы и целостность программных компонентов СЗИ, а также восстановление целостности для программных компонентов средства защиты информации.
Основу механизмов контроля целостности представляет проверка соответствия контролируемого объекта эталонному образцу. Для этого используются контрольные суммы.
Рисунок 2. Контроль целостности устройств СЗИ НСД Dallas Lock Linux
В консольной оболочке администрирования ishl аналогичная настройка будет выглядеть следующим образом:
policies
hardware-integrity-set
set-check-on-boot yes
set-generate-audit yes
execute
При использовании консольной оболочки администрирования необходимые команды можно записать в файл и вызвать их, выполнив следующую команду: ishl –f <имя файла>
Подсистема идентификации и аутентификации
Подсистема идентификации и аутентификации реализует механизмы проверки пользователей при каждом входе в операционную систему и в консольное приложение управления СЗИ НСД. Проверяется имя пользователя и пароль.
Подсистема содержит механизмы проверки качества (надежности) задаваемого пароля при его изменении пользователем.
Рисунок 3. Настройка пароля в СЗИ НСД Dallas Lock Linux
В СЗИ НСД для усиления процедур идентификации и аутентификации возможно применение аппаратных идентификаторов. В идентификаторе может храниться ключ (сертификат) для усиленной аутентификации пользователя.
Подсистема управления доступом
Подсистема управления доступом реализует механизмы, направленные на разграничение доступа пользователей к защищаемым объектам — к объектам файловой системы и к накопителям информации.
СЗИ НСД Dallas Lock Linux позволяет гибко задавать пользователям права на доступ к защищаемым объектам. После задания прав пользователи могут работать только с теми объектами, доступ к которым им разрешен, и совершать над ними только санкционированные операции.
При настройке доступа к файлам и каталогам предусмотрено управление как классическими правами UNIX, так и списками расширенного контроля доступа через POSIX ACL.
Рисунок 4. Настройка прав доступа на файл в СЗИ НСД Dallas Lock Linux
Подсистема гарантированной зачистки информации
Подсистема контроля гарантированной зачистки информации реализует очистку освобождаемых областей оперативной памяти, гарантированную зачистку объектов ФС и внешних подключаемых накопителей.
Гарантированная очистка памяти функционирует с момента установки СЗИ НСД и не требует ввода дополнительных команд в консольном приложении управления средством защиты информации.
Для очистки остаточной информации на съемных накопителях и объектов ФС необходимо использовать дополнительную утилиту, поставляемую совместно с СЗИ НСД.
Рисунок 5. Гарантированное удаление объекта файловой системы в СЗИ НСД Dallas Lock Linux
Подсистема контроля устройств
Подсистема контроля устройств реализует разграничение доступа пользователей и групп пользователей к блочным устройствам (сменным накопителям информации), ограничения доступа к беспроводным устройствам передачи информации, устройствам вывода на печать в целях предотвращения несанкционированной утечки информации.
Подсистема регистрации и учета
Подсистема регистрации и учета (подсистема анализа) реализует возможность аудита событий, производимых пользователями над защищаемыми объектами, аудита событий входов (выходов) в информационную систему, в т. ч. сетевых, аудита системных событий, отчуждения информации на накопители или твердую копию, а также фиксацию таких событий в журналах информационной безопасности.
Рисунок 6. Настройка аудита файлов в СЗИ НСД Dallas Lock Linux
Выводы
На сегодняшний день для обработки информации в государственных информационных системах, информационных системах персональных данных или в автоматизированных системах управления производственными и технологическими процессами организациям требуется выполнять требования регулятора — Приказы №17, №21 и №31 ФСТЭК России. Так и СЗИ НСД Dallas Lock Linux предназначена для использования в информационных системах персональных данных 1 уровня защищенности, в государственных информационных системах 1 класса защищенности и автоматизированных систем управления производственными и технологическими процессами до 1 класса защищенности включительно, создания защищенных многопользовательских автоматизированных систем до класса защищенности 1Г включительно.
Процесс установки прост и интуитивно понятен. Администратору безопасности предоставляется возможность управления паролями, доступом к объектам файловой системы, подсистемой контроля целостности.
Достоинства
- Наличие механизмов удаленного и централизованного управления (в т. ч. оболочка администрирования для Windows).
- Наличие механизмов проверки подлинности клиентских частей СЗИ, сервера безопасности (OpenSSL).
- Поддержка работы на большом наборе наиболее популярных дистрибутивов Linux.
- Механизмы централизованного управления для клиентских частей СЗИ НСД Dallas Lock Linux и сервера безопасности СЗИ Dallas Lock 8.0.
- Защита от подмены ядра и процедур инициализации.
- Собственный механизм дискреционного доступа и аудита доступа.
- Для консольной оболочки администрирования есть возможность выполнять команды из файла.
Недостатки
- До развертывания системы защиты рекомендуется установить все сервисы, которые создают учетные записи.
- Необходимо следить за сроком действия корневого и пользовательского сертификатов и при необходимости вовремя их обновлять.
- На несколько объектов файловой системы нельзя установить права доступа и политику аудита.