Фундамент открытого кода:

построение защищенных систем и

аудит их безопасности

Фадин Андрей Анатольевич

CISSP

Директор департамента программных

разработок

ЗАО «НПО» Эшелон»

af@cnpo.ru г. Москва, 2012 г.

Опыт докладчика

● участие в создании защищенных информационных

систем с 2004 года;

● опыт разработки приложений в средах:

ОС МСВС 3.0, Astra Linux «Смоленск», ОС МСВС 5.0;

● опыт консультирования и непосредственного участия

в сертификационных испытаниях СЗИ по

требованиям РД на отсутствие НДВ (в том числе и в

операционных системах);

● профессиональные сертификаты ISC2(CISSP), Cisco,

АИС, ВНИИНС

2

Защищенные системы обработки

информации

3

Специализированный центр защиты информации

Санкт-Петербургского государственного

технического университета,

Зегжда Д.П., Ивашко А.М. www.ssl.stu.neva.ru

автоматизация обработки информации ограниченного доступа

успешное предотвращение угроз безопасности, действующих в определенной среде

соответствие требованиям и критериям стандартов информационной безопасности

Почему важна связь с open-source

компонентами?

● обеспечение интероперабельности

между различными компонентами;

● увеличение возможностей по

расширению функционала

компонентов;

● сопоставление открытых и защищенных

компонентов, аудит потенциальных

уязвимостей по бюллетеням

безопасности и доступным исходным

текстам (CVE, OSVDB, CWE)

4

Перечень защищенных компонентов

● Источники информации по платформам ● Реестр ССЗИ ФСТЭК

http://www.fstec.ru/_doc/reestr_sszi/_reestr_sszi.xls

● Перечень ЦЛСЗ ФСБ

http://clsz.fsb.ru/files/download/sved_po_sertif.pdf

● ВНИИНС «Перечень средств БИЗКТ» http://www.vniins.ru/node/127

● сайты разработчиков СЗИ;

● Публикации, Wikipedia

● сайты поставщиков и пользователей СЗИ ● Реестр СЗИ на ИСПДн http://ispdn.ru/szi/

● ГНУ/Линуксцентр http://www.linuxcenter.ru/shop/sertified_fstek/

● Исключения (чего нет в следующих списках) ● Устаревшие системы или с истекшим сертификатом – например Windows NT

● Системы, которые по имеющейся информации, ещё в процессе сертификации –

пример ROSA 2011

● Системы сертифицированные единичными экземплярами или маленькими

партиями – пример Oracle Enterprise Linux 5 Update 2 ( 1 экз. )

● Системы по которым нет информации об использовании открытых компонентов –

примеры: ОС РВ Багет («Багет 2.0», ос2000), Windows 7

5

Компоненты построения защищенных

систем

Операционная система

Сетевая инфраструктура (шлюз, МЭ, СОВ)

Среда прикладной разработки

Средства аудита системы

6

Защищенные операционные системы (1)

7

Наименование Вендор Фундамент

открытого кода

Сертификация

RHEL 4

для IBM S/390

(старый проект:

Омоним-390ВС)

ВНИИНС

RedHat

RHEL 4 ФСТЭК:

ОУД-4+, НДВ-4

Mandriva

Corporate Server,

PowerPack 2008,

Flash

ЗАО НИЦ

Mandriva

Mandriva Corporate

Server 4 Update 3,

Mandriva PowerPack

2008, Mandriva Flash

ФСТЭК:

НДВ-4, СВТ-5

Trustverse Linux

XP Desktop 2008

SE

ООО

«ТрастВерс»

(Infosec)

Fedora Core 6 ФСТЭК:

НДВ-5, СВТ-5,

АС-1Г, ИСПДн-К2

ОС Янукс 3.0

ФГУП "НИИ

НПО "Луч"

RHEL 5.1, KVM

Соответстие LSB 3.1

ФСТЭК:

ОУД3+, НДВ-4,

АС-1Г

8

Наименование Вендоры Фундамент

открытого кода

Сертификация

Astra Linux Special

Edition

1.5 (Смоленск)

РусБИТех Debian 5/6

(Lenny/Squeeze)

Ядро 2.6.34-3

Минобороны:

СВТ-3, НДВ-2,

РДВ (ТУ)

ФСТЭК: СВТ-3,

НДВ-2, АС-1Б

ОС МСВС 3.0

(КП «АВЗ» и др.

окружение)

(МСВС-Э, МСВС-Р,

ОС «Оливия» и др.

проекты линейки)

ВНИИНС RedHat Linux 6.2 и 7,

RHEL 5

ядра

2.2.20/2.4.32/2.4.37.9/

2.6.18-238(el5)

clamAV

Portsentry

Минобороны:

СВТ-2, НДВ-1

(истёк срок

сертификата по

ФСТЭК: СВТ-3,

НДВ-2 )

ОС МСВС 5.0 ВНИИНС RHEL 5. Ядро 2.6.18-

194(el5)/2.6.2x

Минобороны:

СВТ-2, НДВ-1

Защищенные операционные системы (2)

9

Наименование Вендор Фундамент

открытого кода

Сертификация

Альт Линукс СПТ

6.0

ООО «Альт

Линукс»

Радикально

переработанный

форк от Mandrake со

своим репозиторием

пакетом "Сизиф“,

ядро 2.6.32

ФСТЭК:

СВТ-4, НДВ-4

МСВСфера 5.2

(Desktop/Server)

VDEL

ВНИИНС

RHEL 5.2 ФСТЭК:

ОУД-2, НДВ-4,

АС-1Г, ИСПДн-К1

RedHat Linux

Защищенные операционные системы (3)

Шлюзы, МЭ, СОВ

Наименование Вендор Фундамент

открытого кода

Сертификация

ОС «Атликс»,

АК «Атликс-VPN»,

МЭ «Атликс-МЭ-

А» и др.

НТЦ «Атлас» RedHat Linux

ядро 2.4.19

ФСБ

МЭ

«ЗАСТАВА-AL»,

версия 5.3,

ОАО ЭЛВИС-

ПЛЮС»

ALT Linux ФСТЭК:

МЭ-2, НДВ-3

АПКШ «Континет»

версий 3, 3.5

Информазащ

ита/Код

безопасности

FreeBSD 5.x и

выше

ФСТЭК:

МЭ-4. НДВ-3

Комплекс "Рубикон" ЗАО «НПО

«Эшелон»

Сильно

переработанный

форк IpCop

Ядро 2.6.27

ФСТЭК:

МЭ-2, НДВ-2, ТУ

Минобороны:

МЭ-2, НДВ-2,

РДВ

10

Среда прикладной разработки

● МСВС

● СУБД «Линтер» 5.9 (НДВ-2, СВТ-2)

● СУБД «Линтер-ВС» 6.0/7.0 (PostgreSQL 8.4.4)

● ПС Конструктор и др. (Qt Designer,Qt 2.3/3/4/4.6.x)

● Сервер-ГОД (Apache 2.x)

● GCC 2.94.4, 3.3.6, 4.1.3, Python 2.5

● AstraLinux

● СУБД (PostgreSQL 8.4.0)

● Qt 4.5

● Python 2.5, PHP 5.2, Perl 5.10,eclipse, QtCreator

● GCC 4.3

11

Наименование Разработ

чик

Фундамент

открытого кода

Сертификация

ВНИИНС

Среда прикладной разработки

● Альт Линукс СПТ 6.0

● PHP 5.3.3, C/C++, Perl 5.12, Python 2.6.6,

Ruby 1.9.2 gcc 4.5

● Middleware: ИВК Юпитер 5.0 (ФСТЭК,

Минобороны; НСД-3, НДВ-2, АС-1Б)

12

Наименование Разработ

чик

Фундамент

открытого кода

Сертификация

ВНИИНС

Средства аудита

● Сканер-ВС

● Debian 5/6, nmap, OpenVas 3.x и др.

● ФСТЭК: ТУ, НДВ-4

● Минобороны: НДВ-2, РДВ

● ЗАО «НПО «Эшелон».

● Ревизор Сети

● использование технологий Nessus, nmap;

● ФСТЭК:ТУ

13

Выводы

● не хватает «прозрачности» (на SourceForge

240 000 проектов, в России на учете всего

200);

● слабый вклад в открытую кодовую базу

(успешные примеры: Alfresco, Mindtouch,

Greenbone Security, проект Эшелона shreg в

GitHub)

● необходимо сочетание открытого

конкурентного рынка

разработчиков/интеграторов с

централизованным регламентами и

стандартами платформ, протоколов,

форматов, репозиториев. 14

Спасибо за внимание.

Для связи:

a@cnpo.ru

15