Механизмы безопасности ОС "Циркон 36С"

1. Механизмы мандатного разграничения доступа пользователей(групп пользователей) к обрабатываемой информации.

Механизмы реализуются на уровне гипервизора терминального сервера и сервера приложений на основе изоляции пользовательских процессов в собственных копиях ОС и подсистемы сетевой фильтрации Netfilter ядра ОС «Циркон 36С»

ОС «Циркон 36С» обеспечивает мандатное разграничение доступа пользователей (групп пользователей) к обрабатываемой информации.

Решение позволяет:

• загружать в гостевые изолированные пользовательские домены унаследованные приложения и операционные системы (в том числе Windows), а также ПО, для которого проведение исследований на выявление недекларированных возможностей (НДВ) сильно затруднено (отсутствуют исходные тексты, ПО большого объема и т.п.). При этом контроль целостности ПО, загружаемого в изолированные пользовательские домены осуществляется средствами ОС «Циркон 36С» с использованием доверенных алгоритмов;
• существенно сократить программный код, способный оказать влияние на механизмы мандатного разграничения доступа, а также другие механизмы защиты, вынесенные с уровня пользовательской ОС (аудит действий пользователя, контроль целостности, контроль использования ресурсов сервера), что дает возможность повысить степень верификации реализации данных механизмов защиты;
• снизить сложность анализа формальной модели разграничения доступа (рассматривается только сетевое взаимодействие между пользовательскими доменами и доступ изолированных копий ОС к ресурсам сервера).

Контроль целостности ПО, загружаемого в изолированные пользовательские домены осуществляется средствами ОС «Циркон 36С» с использованием доверенных алгоритмов.

2. Механизмы контроля целостности и обеспечения невозможности изменения хода загрузки ПО терминала, реализуемые доработкой прошивки ПО терминала и ее аппаратно-программной защитой от возможной модификации.

Терминал не содержит собственных средств хранения информации, движущихся частей и обладает пониженным энергопотреблением (около 5 Вт).

Решение позволяет:

• обеспечить на терминале изолированную программную среду, в которой отсутствуют санкционированные средства ее нарушения, а также модификации алгоритмов работы механизмов защиты, реализованных в терминальном ПО (аудит действий пользователя, в том числе, контроль используемых USB-носителей и вводимой/выводимой с помощью них информации, контроль целостности ПО терминала);
• существенно снизить объем ПО терминала, обрабатывающего внешние данные, для которого необходимо проводить анализ по поиску уязвимостей, способных привести к реализации угроз безопасности (внешние данные, передаваемые с помощью USB-носителей, рассматриваются как основной канал атак на информационную систему со стороны внешнего нарушителя);
• обеспечить работу на одном терминале одновременно с несколькими серверами (виртуальными машинами) через различные окна виртуального рабочего стола терминала. При этом, с учетом обоснованной  изолированности пользовательских доменов и уникальности меток информационной безопасности  различных виртуальных машин, на одном физическом сервере, достигается возможность переноса информации между окнами в соответствии с заданными правилами безопасности.

3. Механизмы многоуровневого аудита действий пользователей.

Решение позволяет:

• в случае нарушения конфиденциальности, целостности или доступности информации, определить все субъекты и выполняемые ими действия, а также все используемые объекты, причастные к произошедшему инциденту;
• выявлять нарушения реализованных на объекте информатизации организационных мер обеспечения ИБ(например, попытки использования незарегистрированных USB-носителей);
• регистрировать все действия администраторов системы, в том числе, по всем изменениям политики безопасности системы.

Аудит ведется на уровне терминала, гипервизора и пользовательских  ОС. В процуссе аудита обеспечивается хранение регистрируемых данных всех компонентов системы на специально выделенном сервере, доступ к которому строго ограничен.

4. Механизмы дискреционного разграничения доступа каждого пользовательского домена.

Решение позволяет:

• реализовать принцип ограниченной осведомленности для формально равнодопущенных пользователей одного домена;
• обеспечить защиту конфигурационных и исполняемых файлов ПО пользовательского домена от их случайной модификации.

Платформа «ЦИРКОН» реализует принцип ограниченной осведомленности для формально равнодопущенных пользователей системы.

5. Механизмы контроля целостности ПО серверов.

Решение позволяет:

• Выполнять с заданной периодичностью контроль целостности ПО, установленного на серверах и АРМ системы;
• Выполнять контроль целостности ПО серверов при его загрузке с доверенного, защищенного от записи носителя.

6. Механизмы, существенно затрудняющие использование уязвимостей ПО, функционирующего в пользовательских доменах.

Решение позволяет:

• Строго ограничить перечень процессов системы;
• Выполнять контроль целостности сегментов процессов сервера, содержащих код и неизменяемые данные;
• Выполнять контроль запрета исполнения сегментов процесса, содержащих данные;
• Рандомизировать виртуальное адресное пространство процесса;
• Рандомизировать дистрибутив ОС «Циркон 36С».

Данные механизмы обеспечивают изолированную программную среду пользователя на серверах системы и практическую невозможность применения эксплойтов, создаваемых для заимствованного при разработке системы ПО. Использование платформы «ЦИРКОН» позволяет отказаться от необходимости применения существующих аппаратно-программных модулей доверенной загрузки на серверах системы.