Фундамент открытого кода:
построение защищенных систем и
аудит их безопасности
Фадин Андрей Анатольевич
CISSP
Директор департамента программных
разработок
ЗАО «НПО» Эшелон»
[email protected] г. Москва, 2012 г.
Опыт докладчика
● участие в создании защищенных информационных
систем с 2004 года;
● опыт разработки приложений в средах:
ОС МСВС 3.0, Astra Linux «Смоленск», ОС МСВС 5.0;
● опыт консультирования и непосредственного участия
в сертификационных испытаниях СЗИ по
требованиям РД на отсутствие НДВ (в том числе и в
операционных системах);
● профессиональные сертификаты ISC2(CISSP), Cisco,
АИС, ВНИИНС
2
Защищенные системы обработки
информации
3
Специализированный центр защиты информации
Санкт-Петербургского государственного
технического университета,
Зегжда Д.П., Ивашко А.М. www.ssl.stu.neva.ru
автоматизация обработки информации ограниченного доступа
успешное предотвращение угроз безопасности, действующих в определенной среде
соответствие требованиям и критериям стандартов информационной безопасности
Почему важна связь с open-source
компонентами?
● обеспечение интероперабельности
между различными компонентами;
● увеличение возможностей по
расширению функционала
компонентов;
● сопоставление открытых и защищенных
компонентов, аудит потенциальных
уязвимостей по бюллетеням
безопасности и доступным исходным
текстам (CVE, OSVDB, CWE)
4
Перечень защищенных компонентов
● Источники информации по платформам ● Реестр ССЗИ ФСТЭК
http://www.fstec.ru/_doc/reestr_sszi/_reestr_sszi.xls
● Перечень ЦЛСЗ ФСБ
http://clsz.fsb.ru/files/download/sved_po_sertif.pdf
● ВНИИНС «Перечень средств БИЗКТ» http://www.vniins.ru/node/127
● сайты разработчиков СЗИ;
● Публикации, Wikipedia
● сайты поставщиков и пользователей СЗИ ● Реестр СЗИ на ИСПДн http://ispdn.ru/szi/
● ГНУ/Линуксцентр http://www.linuxcenter.ru/shop/sertified_fstek/
● Исключения (чего нет в следующих списках) ● Устаревшие системы или с истекшим сертификатом – например Windows NT
● Системы, которые по имеющейся информации, ещё в процессе сертификации –
пример ROSA 2011
● Системы сертифицированные единичными экземплярами или маленькими
партиями – пример Oracle Enterprise Linux 5 Update 2 ( 1 экз. )
● Системы по которым нет информации об использовании открытых компонентов –
примеры: ОС РВ Багет («Багет 2.0», ос2000), Windows 7
5
Компоненты построения защищенных
систем
Операционная система
Сетевая инфраструктура (шлюз, МЭ, СОВ)
Среда прикладной разработки
Средства аудита системы
6
Защищенные операционные системы (1)
7
Наименование Вендор Фундамент
открытого кода
Сертификация
RHEL 4
для IBM S/390
(старый проект:
Омоним-390ВС)
ВНИИНС
RedHat
RHEL 4 ФСТЭК:
ОУД-4+, НДВ-4
Mandriva
Corporate Server,
PowerPack 2008,
Flash
ЗАО НИЦ
Mandriva
Mandriva Corporate
Server 4 Update 3,
Mandriva PowerPack
2008, Mandriva Flash
ФСТЭК:
НДВ-4, СВТ-5
Trustverse Linux
XP Desktop 2008
SE
ООО
«ТрастВерс»
(Infosec)
Fedora Core 6 ФСТЭК:
НДВ-5, СВТ-5,
АС-1Г, ИСПДн-К2
ОС Янукс 3.0
ФГУП "НИИ
НПО "Луч"
RHEL 5.1, KVM
Соответстие LSB 3.1
ФСТЭК:
ОУД3+, НДВ-4,
АС-1Г
8
Наименование Вендоры Фундамент
открытого кода
Сертификация
Astra Linux Special
Edition
1.5 (Смоленск)
РусБИТех Debian 5/6
(Lenny/Squeeze)
Ядро 2.6.34-3
Минобороны:
СВТ-3, НДВ-2,
РДВ (ТУ)
ФСТЭК: СВТ-3,
НДВ-2, АС-1Б
ОС МСВС 3.0
(КП «АВЗ» и др.
окружение)
(МСВС-Э, МСВС-Р,
ОС «Оливия» и др.
проекты линейки)
ВНИИНС RedHat Linux 6.2 и 7,
RHEL 5
ядра
2.2.20/2.4.32/2.4.37.9/
2.6.18-238(el5)
clamAV
Portsentry
Минобороны:
СВТ-2, НДВ-1
(истёк срок
сертификата по
ФСТЭК: СВТ-3,
НДВ-2 )
ОС МСВС 5.0 ВНИИНС RHEL 5. Ядро 2.6.18-
194(el5)/2.6.2x
Минобороны:
СВТ-2, НДВ-1
Защищенные операционные системы (2)
9
Наименование Вендор Фундамент
открытого кода
Сертификация
Альт Линукс СПТ
6.0
ООО «Альт
Линукс»
Радикально
переработанный
форк от Mandrake со
своим репозиторием
пакетом "Сизиф“,
ядро 2.6.32
ФСТЭК:
СВТ-4, НДВ-4
МСВСфера 5.2
(Desktop/Server)
VDEL
ВНИИНС
RHEL 5.2 ФСТЭК:
ОУД-2, НДВ-4,
АС-1Г, ИСПДн-К1
RedHat Linux
Защищенные операционные системы (3)
Шлюзы, МЭ, СОВ
Наименование Вендор Фундамент
открытого кода
Сертификация
ОС «Атликс»,
АК «Атликс-VPN»,
МЭ «Атликс-МЭ-
А» и др.
НТЦ «Атлас» RedHat Linux
ядро 2.4.19
ФСБ
МЭ
«ЗАСТАВА-AL»,
версия 5.3,
ОАО ЭЛВИС-
ПЛЮС»
ALT Linux ФСТЭК:
МЭ-2, НДВ-3
АПКШ «Континет»
версий 3, 3.5
Информазащ
ита/Код
безопасности
FreeBSD 5.x и
выше
ФСТЭК:
МЭ-4. НДВ-3
Комплекс "Рубикон" ЗАО «НПО
«Эшелон»
Сильно
переработанный
форк IpCop
Ядро 2.6.27
ФСТЭК:
МЭ-2, НДВ-2, ТУ
Минобороны:
МЭ-2, НДВ-2,
РДВ
10
Среда прикладной разработки
● МСВС
● СУБД «Линтер» 5.9 (НДВ-2, СВТ-2)
● СУБД «Линтер-ВС» 6.0/7.0 (PostgreSQL 8.4.4)
● ПС Конструктор и др. (Qt Designer,Qt 2.3/3/4/4.6.x)
● Сервер-ГОД (Apache 2.x)
● GCC 2.94.4, 3.3.6, 4.1.3, Python 2.5
● AstraLinux
● СУБД (PostgreSQL 8.4.0)
● Qt 4.5
● Python 2.5, PHP 5.2, Perl 5.10,eclipse, QtCreator
● GCC 4.3
11
Наименование Разработ
чик
Фундамент
открытого кода
Сертификация
ВНИИНС
Среда прикладной разработки
● Альт Линукс СПТ 6.0
● PHP 5.3.3, C/C++, Perl 5.12, Python 2.6.6,
Ruby 1.9.2 gcc 4.5
● Middleware: ИВК Юпитер 5.0 (ФСТЭК,
Минобороны; НСД-3, НДВ-2, АС-1Б)
12
Наименование Разработ
чик
Фундамент
открытого кода
Сертификация
ВНИИНС
Средства аудита
● Сканер-ВС
● Debian 5/6, nmap, OpenVas 3.x и др.
● ФСТЭК: ТУ, НДВ-4
● Минобороны: НДВ-2, РДВ
● ЗАО «НПО «Эшелон».
● Ревизор Сети
● использование технологий Nessus, nmap;
● ФСТЭК:ТУ
13
Выводы
● не хватает «прозрачности» (на SourceForge
240 000 проектов, в России на учете всего
200);
● слабый вклад в открытую кодовую базу
(успешные примеры: Alfresco, Mindtouch,
Greenbone Security, проект Эшелона shreg в
GitHub)
● необходимо сочетание открытого
конкурентного рынка
разработчиков/интеграторов с
централизованным регламентами и
стандартами платформ, протоколов,
форматов, репозиториев. 14