Механизмы безопасности ОС "Циркон 36С"
1. Механизмы мандатного разграничения доступа пользователей(групп пользователей) к обрабатываемой информации.
Механизмы реализуются на уровне гипервизора терминального сервера и сервера приложений на основе изоляции пользовательских процессов в собственных копиях ОС и подсистемы сетевой фильтрации Netfilter ядра ОС «Циркон 36С»
ОС «Циркон 36С» обеспечивает мандатное разграничение доступа пользователей (групп пользователей) к обрабатываемой информации.
Решение позволяет:
- загружать в гостевые изолированные пользовательские домены унаследованные приложения и операционные системы (в том числе Windows), а также ПО, для которого проведение исследований на выявление недекларированных возможностей (НДВ) сильно затруднено (отсутствуют исходные тексты, ПО большого объема и т.п.). При этом контроль целостности ПО, загружаемого в изолированные пользовательские домены осуществляется средствами ОС «Циркон 36С» с использованием доверенных алгоритмов;
- существенно сократить программный код, способный оказать влияние на механизмы мандатного разграничения доступа, а также другие механизмы защиты, вынесенные с уровня пользовательской ОС (аудит действий пользователя, контроль целостности, контроль использования ресурсов сервера), что дает возможность повысить степень верификации реализации данных механизмов защиты;
- снизить сложность анализа формальной модели разграничения доступа (рассматривается только сетевое взаимодействие между пользовательскими доменами и доступ изолированных копий ОС к ресурсам сервера).
Контроль целостности ПО, загружаемого в изолированные пользовательские домены осуществляется средствами ОС «Циркон 36С» с использованием доверенных алгоритмов.
2. Механизмы контроля целостности и обеспечения невозможности изменения хода загрузки ПО терминала, реализуемые доработкой прошивки ПО терминала и ее аппаратно-программной защитой от возможной модификации.
Терминал не содержит собственных средств хранения информации, движущихся частей и обладает пониженным энергопотреблением (около 5 Вт).
Решение позволяет:
- обеспечить на терминале изолированную программную среду, в которой отсутствуют санкционированные средства ее нарушения, а также модификации алгоритмов работы механизмов защиты, реализованных в терминальном ПО (аудит действий пользователя, в том числе, контроль используемых USB-носителей и вводимой/выводимой с помощью них информации, контроль целостности ПО терминала);
- существенно снизить объем ПО терминала, обрабатывающего внешние данные, для которого необходимо проводить анализ по поиску уязвимостей, способных привести к реализации угроз безопасности (внешние данные, передаваемые с помощью USB-носителей, рассматриваются как основной канал атак на информационную систему со стороны внешнего нарушителя);
- обеспечить работу на одном терминале одновременно с несколькими серверами (виртуальными машинами) через различные окна виртуального рабочего стола терминала. При этом, с учетом обоснованной изолированности пользовательских доменов и уникальности меток информационной безопасности различных виртуальных машин, на одном физическом сервере, достигается возможность переноса информации между окнами в соответствии с заданными правилами безопасности.
3. Механизмы многоуровневого аудита действий пользователей.
Решение позволяет:
- в случае нарушения конфиденциальности, целостности или доступности информации, определить все субъекты и выполняемые ими действия, а также все используемые объекты, причастные к произошедшему инциденту;
- выявлять нарушения реализованных на объекте информатизации организационных мер обеспечения ИБ(например, попытки использования незарегистрированных USB-носителей);
- регистрировать все действия администраторов системы, в том числе, по всем изменениям политики безопасности системы.
Аудит ведется на уровне терминала, гипервизора и пользовательских ОС. В процуссе аудита обеспечивается хранение регистрируемых данных всех компонентов системы на специально выделенном сервере, доступ к которому строго ограничен.
4. Механизмы дискреционного разграничения доступа каждого пользовательского домена.
Решение позволяет:
- реализовать принцип ограниченной осведомленности для формально равнодопущенных пользователей одного домена;
- обеспечить защиту конфигурационных и исполняемых файлов ПО пользовательского домена от их случайной модификации.
Платформа «ЦИРКОН» реализует принцип ограниченной осведомленности для формально равнодопущенных пользователей системы.
5. Механизмы контроля целостности ПО серверов.
Решение позволяет:
- Выполнять с заданной периодичностью контроль целостности ПО, установленного на серверах и АРМ системы;
- Выполнять контроль целостности ПО серверов при его загрузке с доверенного, защищенного от записи носителя.
6. Механизмы, существенно затрудняющие использование уязвимостей ПО, функционирующего в пользовательских доменах.
Решение позволяет:
- Строго ограничить перечень процессов системы;
- Выполнять контроль целостности сегментов процессов сервера, содержащих код и неизменяемые данные;
- Выполнять контроль запрета исполнения сегментов процесса, содержащих данные;
- Рандомизировать виртуальное адресное пространство процесса;
- Рандомизировать дистрибутив ОС «Циркон 36С».
Данные механизмы обеспечивают изолированную программную среду пользователя на серверах системы и практическую невозможность применения эксплойтов, создаваемых для заимствованного при разработке системы ПО. Использование платформы «ЦИРКОН» позволяет отказаться от необходимости применения существующих аппаратно-программных модулей доверенной загрузки на серверах системы.
ОС «Циркон 36С» и ПО терминального доступа «Циркон 36Т» являются базовыми элементами защищенной интеграционной платформы для построения АСЗИ, в которой реализованы:
- механизмы мандатного разграничения доступа на базе виртуализации;
- механизмы дискреционного разграничения доступа;
- механизмы аудита действий пользователей;
- средства аутентификации в соответствии с ГОСТ;
- средства контроля целостности ПО серверов и терминалов в соответствии с ГОСТ;
- аппаратно-программная защита прошивки терминалов от модификации;
- дополнительные механизмы защиты ОС от уязвимостей программного кода.