защищенный комплекс программ печати и учета документов ос astra linux
Система защищенного секретного электронного документооборота «Пергамент» (СЗЭД «Пергамент»)
Программный комплекс разработан в соответствии с нормативно-правовыми актами Российской Федерации:
Система разработана на платформе Linux по принципу трехзвенной архитектуры «клиент — сервер приложений — СУБД» и предназначена для организации и осуществлении защищенного электронного документооборота между организациями (предприятиями) под ОС Astra Linux Special Edition с функцией автоматического ведения секретного делопроизводства.
СЗЭД «Пергамент» сертифицирован в системе сертификации средств защиты информации по требованиям безопасности информации Министерства обороны Российской Федерации (Сертификат соответствия № 3916 от 30 марта 2018 года, выдан на 3 года):
В состав программного комплекса входит программное изделие «Технологическая платформа» (Сертификат МО РФ № 3917 от 30 марта 2018 года, выдан на 3 года):
Разрешается установка программного комплекса в автоматизированные системы с классом защищённости от несанкционированного доступа к информации до «1Б» включительно (РД АС. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации). Максимальный гриф секретности обрабатываемой информации — «Совершенно секретно».
Ведется сертификация программного комплекса в системе сертификации ФСТЭК России.
Решение о проведении сертификации № 6199 от 24 июня 2019 года выданный ФСТЭК Российской Федерации. Ожидаемый результат проведения сертификации — через 5—6 месяцев.
Функциональные возможности модуля электронного документооборота
Функциональные возможности модуля секретного дело производства
Взаимодействие со средствами ЭП
Прорабатывается возможность применения как программных, так и аппаратно-программных средств электронной подписи в системе (может включаться в комплект поставки дополнительно при наличии сертифицированного средства ЭП).
Программное изделие «Компонент защиты информации Пергамент»
Для обеспечения защиты информации в составе программного комплекса СЗЭД «Пергамент» применяется программное изделие «Компонент защиты информации Пергамент».
Операционные системы Astra Linux
Оперативные обновления и методические указания
Операционные системы Astra Linux предназначены для применения в составе информационных (автоматизированных) систем в целях обработки и защиты 1) информации любой категории доступа 2) : общедоступной информации, а также информации, доступ к которой ограничен федеральными законами (информации ограниченного доступа).
1) от несанкционированного доступа;
2) в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (статья 5, пункт 2).
Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении. С 17 декабря 2019 года правообладателем, разработчиком и производителем операционной системы специального назначения «Astra Linux Special Edition» является ООО «РусБИТех-Астра».
На web-сайтах https://astralinux.ru/ и https://wiki.astralinux.ru представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения.
Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!
Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.
Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить в статье Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов.
В целях обеспечения соответствия сертифицированных операционных систем Astra Linux Special Edition требованиям, предъявляемым к безопасности информации, ООО «РусБИтех-Астра» осуществляет выпуск очередных и оперативных обновлений.
Очередные обновления (версии) предназначены для:
Оперативные обновления предназначены для оперативного устранения уязвимостей в экземплярах, находящихся в эксплуатации, и представляют собой бюллетень безопасности, который доступен в виде:
Ввиду совершенствования нормативно-правовых документов в области защиты информации и в целях обеспечения соответствия информационных актуальным требованиям безопасности информации, а также обеспечения их долговременной эксплуатации, в том числе работоспособности на современных средствах вычислительной техники, рекомендуется на регулярной основе планировать проведение мероприятий по применению очередных и оперативных обновлений операционной системы.
Руководство администратора ОС «Astra Linux Special Edition»
Введение
Назначение системы и область применения
Операционная системы (ОС) специального назначения «Astra Linux Special Edition» предназначена для построения автоматизированных систем в защищенном исполнении, обрабатывающих информацию, содержащую сведения, составляющие государственную тайну с грифом не выше «совершенно секретно».
Комплекс средств защиты (КСЗ, подсистема безопасности PARSEC) предназначен для реализации функций ОС по защите информации от НСД и предоставления администратору безопасности информации средств управления функционированием КСЗ.
В состав КСЗ входят следующие основные подсистемы:
КСЗ обеспечивает реализацию следующих функций ОС по защите информации от НСД:
Перечень эксплуатационной документации, с которыми необходимо ознакомиться администратору
Подготовка к работе
Состав и содержание дистрибутивного носителя данных представлен в таблице
| Путь расположения и название дистрибутива | Назначение |
| smolensk-1.6-20.06.2018_15.56.gost | Файл с контрольной суммой образа ОС специального назначения «Astra Linux Special Edition» созданой с использованием алгоритма gost |
| smolensk-1.6-20.06.2018_15.56.iso | Образ ОС специального назначения «Astra Linux Special Edition». |
| smolensk-1.6-20.06.2018_15.56.md5 | Файл с контрольной суммой образа ОС специального назначения «Astra Linux Special Edition» созданой с использованием алгоритма md5 |
DVD-диск с дистрибутивом ОС содержит все необходимые файлы для выполнения полной или частичной установки на жесткий диск целевого компьютера, имеющего устройство чтения DVD-дисков. ОС можно также установить с USB-накопителя или по сети.
Установка с DVD-диска (запуск программы установки)
Выполнение программы установки ОС начинается с ее запуска, а затем, после выбора во входном меню конкретных параметров пользовательского интерфейса, начинается работа самой программы в интерактивном или автоматическом режимах.
В самом начале загрузки программы установки на экране монитора появляется логотип ОС, меню, переключатель «Русский» – «English» (для изменения языка меню). Меню программы установки содержит следующие пункты:
1) «Графическая установка»;
3) «Режим восстановления».
Чтобы начать установку ОС, следует выбрать пункт «Графическая установка» или «Установка» с помощью клавиш со стрелками на клавиатуре и нажать для запуска программы. Произойдет переход к программе установки в графическом или в текстовом режиме, соответственно.
Пункт «Режим восстановления» запускает ОС в текстовом режиме непосредственно
с DVD-диска с дистрибутивом ОС для использования при восстановлении нарушенной работоспособности уже установленной ОС.
После этого на экране будет показана командная строка загрузки, и можно будет ввести дополнительные параметры.
Программа установки в графическом и в текстовом режимах имеет одинаковую функциональность, т. к. в обоих случаях используются одни и те же модули, т. е. отличаются они только на уровне пользовательского интерфейса.
Для программы установки в графическом режиме требуется 1 ГБ свободного пространства на диске.
Графическая установка и первичная настройка
Для графической установки ОС необходимо:
«Дополнительные настройки ОС» оставить настройки по умолчанию.
Описание дополнительных функции безопасности ОС:
1) «Включить режим замкнутой программной среды»
При выборе данного пункта будет включен механизм, обеспечивающий проверку неизменности и подлинности загружаемых исполняемых файлов формата ELF (см. РУСБ.10015-01 97 01-1);
2) «Запретить установку бита исполнения»
При выборе данного пункта будет включен режим запрета установки бита исполнения, обеспечивающий предотвращение несанкционированного создания пользователями или непреднамеренного создания администратором исполняемых сценариев для командной оболочки (см. РУСБ.10015-01 97 01-1);
3) «Использовать по умолчанию ядро Hardened»
При выборе данного пункта будет обеспечено использование средств ограничения доступа к страницам памяти (см. РУСБ.10015-01 97 01-1);
4) «Запретить вывод меню загрузчика»
При выборе данного пункта будет запрещен вывод меню загрузчика Grub. В процессе загрузки будет загружаться ядро ОС, выбранное по умолчанию;
5) «Включить очистку разделов страничного обмена»
При выборе данного пункта будет включен режим очистки памяти разделов подкачки swap (см. РУСБ.10015-01 97 01-1);
6) «Включить очистку освобождаемых областей для EXT-разделов»
При выборе данного пункта будет включен режим очистки блоков ФС непосредственно при их освобождении (см. РУСБ.10015-01 97 01-1);
7) «Включить блокировку консоли»
При выборе данного пункта будет блокирован консольный вход в систему для пользователя и запуск консоли из графического интерфейса сессии пользователя (см. РУСБ.10015-01 97 01-1);
8) «Включить блокировку интерпретаторов»
При выборе данного пункта будет блокировано интерактивное использование интерпретаторов (см. РУСБ.10015-01 97 01-1);
9) «Включить межсетевой экран ufw»
При выборе данного пункта будет включен межсетевой экран ufw и запущена фильтрация сетевых пакетов в соответствии с заданными настройками (см. РУСБ.10015-01 97 01-1);
10) «Включить системные ограничения ulimits»
При выборе данного пункта будут включены системные ограничения, установленные
файле /etc/security/limits.conf (см. РУСБ.10015-01 97 01-1);
11) «Отключить возможность трассировки ptrace»
При выборе данного пункта будет отключена возможность трассировки и отладки выполнения программного кода (см. РУСБ.10015-01 97 01-1);
12) «Отключить автоматическую настройку сети»
При выборе данного пункта будет отключена автоматическая настройка сети в процессе установки ОС;
13) «Установить 32-х битный загрузчик»
При выборе данного пункта из системы будет удален 64-х битный загрузчик EFI и установлен 32-х битный загрузчик EFI.
ВНИМАНИЕ! Выбор данной опции при установке на 64-х битную вычислительную машину с поддержкой EFI может привести к тому, что установленная система не загрузится.
Описание операций (Управление работой)
Описание программы «Управление политикой безопасности» (fly-admin-smc)
Программа предназначена для управления политикой безопасности (ПБ), а также управления единым пространством пользователя (ЕПП). В частности, позволяет управлять:
При работе с политиками безопасности программа выполняет те же действия, что консольная утилита ald-admin. Запускается в режиме администратора. Для вызова привилегированных действий запрашивается авторизация.
Главное окно программы содержит меню (Меню), панель инструментов (Панель инструментов) и боковую панель для навигации по дереву настроек ПБ (Панель навигации) с рабочей панелью справа.
Меню программы содержит следующие пункты:
На панели инструментов располагаются подвижные панели с кнопками быстрой навигации по дереву функциональных категорий данных на боковой панели ([Перейти к родительскому элементу дерева], [Перейти к первому дочернему элементу дерева], [Перейти к предыдущему или родительскому элементу дерева], [Перейти к следующему элементу дерева]), кнопками, которые повторяют аналогичные пункты меню «Правка» (см. Меню) и выпадающим списком для установки фильтра отображения категорий данный на рабочей панели.
Щелчком правой кнопки мыши на панели меню или на панели инструментов открывается контекстное меню с флагами установки показа на панели инструментов соответствующих подвижных панелей с этими кнопками.
Настройки политики безопасности по своему функциональному и смысловому значению объединяются в группы и структурно организуются в дереве настроек ПБ, которое отображается на боковой панели навигации: «Аудит», «Группы», «Мандатные атрибуты», «Замкнутая программная среда», «Мандатные атрибуты», «Мандатный контроль целостности», «Монитор безопасности», «Настройки безопасности», «Политики учетной записи», «Пользователи», «Привилегии» и «Устройства и правила».
Щелчком левой кнопки мыши на знаке в вершине дерева или щелчком левой кнопки мыши на названии вершины эта вершина разворачивается, если была свернута и, наоборот, сворачивается, если была развернута. После разворачивания вершины появляются названия разделов и/или сводов разделов, входящих в эту вершину. Для оперативного перемещения по дереву используются кнопки панели инструментов (см. Панель инструментов).
Терминальная вершина дерева настроек политики безопасности называется разделом, а нетерминальная вершина — сводом разделов. Раздел или свод разделов выделяется щелчком левой кнопки мыши на нем. После выделения справа на появляется соответствующая форма рабочей панели с элементами для настройки соответствующих параметров ПБ. При наведении курсора на элемент управления появляется подсказка. Значения параметров устанавливаются в режиме администратора.
Описание разделов программы «Управление политикой безопасности» (fly-admin-smc)
Панель «Настройки аудита». Рабочая панель содержит вкладки :
Панель «Настройки аудита»
В дерево навигации настроек политики безопасности в «Аудит» входят также своды разделов «Группы» и «Пользователи» с персональными настройками аудита, соответственно, групп и пользователей. При выделении свода разделов активируется соответствующая вкладка на рабочей панели.
При выделении любого раздела, входящего в «Группы» или «Пользователи», на рабочей панели отображаются персональные настройки аудита соответствующей группы или пользователя.
Настройки политики безопасности для групп пользователей. На рабочей панели в табличном виде отображается список групп пользователей.
Столбцы: «Наименование» (со значком порядка сортировки справа) — имя группы; «Gid» — идентификационный номер группы; «Системная» — отметка для системных групп.
Двойным щелчком левой кнопки мыши на названии группы в таблице открывается раздел этой группы в дереве навигации, а на рабочей панели появляются вкладки:
Настройки политики безопасности
Для работы с подсистемой протоколированием имеется ряд графических утилит, которые могут быть использованы для настройки параметров регистрации событий и просмотра протоколов:
Выставите флаги настроек согласно таблице 8:
Таблица 8. Значения настроек аудита.
| Разряд | Ключ | Событие | Успех | Отказ |
| 16 | w | Net | Нет флага | флаг |
| 15 | e | Rename | Нет флага | Флаг |
| 14 | h | Chroot | флаг | Флаг |
| 13 | p | Cap | Нет флага | Флаг |
| 12 | m | Mac | Нет флага | Флаг |
| 11 | r | Acl | Нет флага | Флаг |
| 10 | a | Audit | Нет флага | Флаг |
| 9 | g | Gid | Нет флага | Флаг |
| 8 | i | Uid | Нет флага | Флаг |
| 7 | l | Module | Нет флага | Флаг |
| 6 | t | Mount | флаг | Флаг |
| 5 | n | Chown | Нет флага | Флаг |
| 4 | d | Chmod | Нет флага | Флаг |
| 3 | u | Delete | Нет флага | Флаг |
| 2 | x | Exec | Нет флага | Флаг |
| 1 | c | Crate | Нет флага | Флаг |
| 0 | o | open | Нет флага | Флаг |
Замкнутая программная среда
Настройки замкнутой программной среды. Рабочая панель содержит вкладки:
На панели навигации в настройки ПБ «Замкнутая программная среда» входят разделы «Ключи» и «Подпись». При выделении раздела активируется соответствующая вкладка на рабочей панели.
Настройка замкнутой программной среды в АИС «ВЕБС» не требуется.
Мандатное управление доступом и целостностью. Рабочая панель содержит вкладки:
Вкладки содержит элементы для настройки, соответственно, категорий, уровней целостности и конфиденциальности. На вкладке в табличном виде отображается список содержащихся элементов. В столбцах отображается: разряд (для категорий) или уровень (для уровней целостности и конфиденциальности) и наименование отображаемого элемента.
Мандатный контроль целостности
Настройка мандатного контроля целостности. Рабочая панель содержит элементы управления:
На рабочей панели отображается монитор безопасности.
Группа настроек включает:
Двойным щелчком левой кнопки мыши на названии шаблона на рабочей панели отображается соответствующая выделенному шаблону вкладка (рис. 61) с информацией о ключах и значениях, а в дереве навигации открываются разделы с шаблонами.
| Настройка | Параметры |
| Параметры ядра | По умолчанию |
| Политика консоли и интерпретаторов | По умолчанию |
| Настройка очистки памяти | /dev/sda1, /, ext4, сигнатура, 1 |
| Системный параметры | По умолчанию |
Политики учетной записи
Группа настроек включает:
Параметры настроек политики учетной записи, представлены в таблице
Настройки ПБ для пользователей. На рабочей панели в табличном виде отображается список пользователей. Столбцы: «Наименование» (со значком порядка сортировки справа) — имя пользователя; «UID» — идентификационный номер пользователя; «GECOS» — информация из учетной записи пользователя; «Группа» — группа пользователя; «Системная» — отметка для системных групп; «Дом.каталог» — домашний каталог пользователя; «Оболочка» — имя оболочки.
Двойным щелчком левой кнопки мыши на имени пользователя в таблице открывается раздел этого пользователя в дереве навигации, а на рабочей панели появляются вкладки c элементами настройки:
Настройка режима киоска осуществляется администратором на максимальном уровне мандатного контроля целостности, установленного в ОС. Элементы управления:
Настройки политики безопасности для пользователей с персональными привилегиями. На рабочей панели отображается список пользователей с персональными привилегиями.
Для каждого пользователя с персональными привилегиями указывается: «Linux» и «Parsec» — списки флагов включения, соответственно, Linux-и Parsec-привилегий (Флаги включения Linux- и Parsec-привилегий). Флаг переключается щелчком левой кнопки мыши на знаке слева от него.
Параметры настроек раздела «Привилегии» оставить по умолчанию.
Устройства и правила
Настройки ограничения на правила и размещения устройств. Рабочая панель содержит вкладки:
Двойным щелчком на элементе таблице на рабочей панели отображаются настройки:
Параметры настроек устройств представлены в таблице:
| Устройства (Общие) | |
| Права | Согласно матрице доступа |
| МРД | По умолчанию |
| Аудит | Выставить все галки |
| Правила | По умолчанию |
Описание Linux- и Parsec-привилегий
Флаги включения Parsec-привилегий:
Аварийные ситуации
Исправление ошибок на диске
После сбоя питания может появится надпись при загрузке:
/dev/sda1: UNEXPECTED INCONSISTENCY: RUN fsck MANUALLY.
fsck died with exit status 4
Для решения проблемы потребуется провести проверку диска вручную, для этого:
Пройти первичную настройку:
Сброс счетчика неудачных попыток входа
В случае, если пароль известен:
Чтобы обнулить счётчик неудачных попыток входа для пользователя из группы astra-admin необходимо выполнить следующие шаги:
1) Перезагрузить машину;
2) Дождаться появления меню загрузчика и нажать клавишу «e»;
3) На запрос «Введите имя пользователя» ввести root;
4) На запрос пароля нужно ввести пароль для загрузчика (Пароль задаётся во время установки ОС, в самом конце);
5) В появившейся загрузочной записи нужно отредактировать сточку, начинающуюся со слова linux (на скриншоте отмечена галкой). В этой строчке нужно удалить «ro quiet splash» (подчёркнуто на скриншоте) и дописать в конец: «init=/bin/bash»;
6) Нажмите F10, чтобы загрузить систему и дождитесь такого приглашения командной строки:
9) Перезагрузите машину.
Другой способ обнулить счётчик неудачных попыток входа для пользователя из группы astra-admins:
1) Загрузить с установочного диска ОС СН «Astra Linux Special Edition» и выбрать «Режим восстановления»
2) Выбрать устройство, используемое в качестве корневой системы. (/dev/sda1 к примеру).
3) Запустить оболочку в /dev/sda*
4) Перейти в терминал и выполнить chroot /target