Фундамент открытого кода:построение защищенных систем и     аудит их безопасностиФадин Андрей АнатольевичCISSPДиректор деп...
Опыт докладчика● участие в создании защищенных информационных  систем с 2004 года;● опыт разработки приложений в средах:  ...
Защищенные системы обработкиинформацииавтоматизация обработки информацииограниченного доступауспешное предотвращение угроз...
Почему важна связь с open-sourceкомпонентами?● обеспечение интероперабельности  между различными компонентами;● увеличение...
Перечень защищенных компонентов● Источники информации по платформам  ● Реестр ССЗИ ФСТЭК    http://www.fstec.ru/_doc/reest...
Компоненты построения защищенныхсистем    Операционная система      Сетевая инфраструктура (шлюз, МЭ,      СОВ)      Среда...
Защищенные операционные системы (1)Наименование       Вендор        Фундамент              Сертификация                   ...
Защищенные операционные системы (2)Наименование          Вендоры    Фундамент                 Сертификация                ...
Защищенные операционные системы (3)Наименование       Вендор   Фундамент           Сертификация                           ...
Шлюзы, МЭ, СОВНаименование         Вендор         Фундамент        Сертификация                                    открыто...
Среда прикладной разработки● МСВС  ●   СУБД «Линтер» 5.9 (НДВ-2, СВТ-2)  ●   СУБД «Линтер-ВС» 6.0/7.0 (PostgreSQL 8.4.4)  ...
Среда прикладной разработки● Альт Линукс СПТ 6.0  ● PHP 5.3.3, C/C++, Perl 5.12, Python 2.6.6,    Ruby 1.9.2 gcc 4.5● Midd...
Средства аудита● Сканер-ВС  ● Debian 5/6, nmap, OpenVas 3.x и др.  ● ФСТЭК: ТУ, НДВ-4  ● Минобороны: НДВ-2, РДВ  ● ЗАО «НП...
Выводы● не хватает «прозрачности» (на SourceForge  240 000 проектов, в России на учете всего  200);● слабый вклад в открыт...
Спасибо за внимание.     Для связи:     a@cnpo.ru                       15
Upcoming SlideShare
Loading in …5
×

Фундамент открытого кода: построение защищенных систем и аудит их безопасности

2,345 views

Published on

Фадин А.А.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
2,345
On SlideShare
0
From Embeds
0
Number of Embeds
141
Actions
Shares
0
Downloads
18
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Фундамент открытого кода: построение защищенных систем и аудит их безопасности

  1. 1. Фундамент открытого кода:построение защищенных систем и аудит их безопасностиФадин Андрей АнатольевичCISSPДиректор департамента программныхразработокЗАО «НПО» Эшелон»af@cnpo.ru г. Москва, 2012 г.
  2. 2. Опыт докладчика● участие в создании защищенных информационных систем с 2004 года;● опыт разработки приложений в средах: ОС МСВС 3.0, Astra Linux «Смоленск», ОС МСВС 5.0;● опыт консультирования и непосредственного участия в сертификационных испытаниях СЗИ по требованиям РД на отсутствие НДВ (в том числе и в операционных системах);● профессиональные сертификаты ISC2(CISSP), Cisco, АИС, ВНИИНС 2
  3. 3. Защищенные системы обработкиинформацииавтоматизация обработки информацииограниченного доступауспешное предотвращение угроз безопасности,действующих в определенной средесоответствие требованиям и критериямстандартов информационной безопасностиСпециализированный центр защиты информацииСанкт-Петербургского государственноготехнического университета,Зегжда Д.П., Ивашко А.М. www.ssl.stu.neva.ru 3
  4. 4. Почему важна связь с open-sourceкомпонентами?● обеспечение интероперабельности между различными компонентами;● увеличение возможностей по расширению функционала компонентов;● сопоставление открытых и защищенных компонентов, аудит потенциальных уязвимостей по бюллетеням безопасности и доступным исходным текстам (CVE, OSVDB, CWE) 4
  5. 5. Перечень защищенных компонентов● Источники информации по платформам ● Реестр ССЗИ ФСТЭК http://www.fstec.ru/_doc/reestr_sszi/_reestr_sszi.xls ● Перечень ЦЛСЗ ФСБ http://clsz.fsb.ru/files/download/sved_po_sertif.pdf ● ВНИИНС «Перечень средств БИЗКТ» http://www.vniins.ru/node/127 ● сайты разработчиков СЗИ; ● Публикации, Wikipedia ● сайты поставщиков и пользователей СЗИ ● Реестр СЗИ на ИСПДн http://ispdn.ru/szi/ ● ГНУ/Линуксцентр http://www.linuxcenter.ru/shop/sertified_fstek/● Исключения (чего нет в следующих списках) ● Устаревшие системы или с истекшим сертификатом – например Windows NT ● Системы, которые по имеющейся информации, ещё в процессе сертификации – пример ROSA 2011 ● Системы сертифицированные единичными экземплярами или маленькими партиями – пример Oracle Enterprise Linux 5 Update 2 ( 1 экз. ) ● Системы по которым нет информации об использовании открытых компонентов – примеры: ОС РВ Багет («Багет 2.0», ос2000), Windows 7 5
  6. 6. Компоненты построения защищенныхсистем Операционная система Сетевая инфраструктура (шлюз, МЭ, СОВ) Среда прикладной разработки Средства аудита системы 6
  7. 7. Защищенные операционные системы (1)Наименование Вендор Фундамент Сертификация открытого кодаRHEL 4 ВНИИНС RHEL 4 ФСТЭК:для IBM S/390 RedHat ОУД-4+, НДВ-4(старый проект:Омоним-390ВС)Mandriva ЗАО НИЦ Mandriva Corporate ФСТЭК:Corporate Server, Mandriva Server 4 Update 3, НДВ-4, СВТ-5PowerPack 2008, Mandriva PowerPackFlash 2008, Mandriva FlashTrustverse Linux ООО Fedora Core 6 ФСТЭК:XP Desktop 2008 «ТрастВерс» НДВ-5, СВТ-5,SE (Infosec) АС-1Г, ИСПДн-К2ОС Янукс 3.0 ФГУП "НИИ RHEL 5.1, KVM ФСТЭК: НПО "Луч" Соответстие LSB 3.1 ОУД3+, НДВ-4, АС-1Г 7
  8. 8. Защищенные операционные системы (2)Наименование Вендоры Фундамент Сертификация открытого кодаAstra Linux Special РусБИТех Debian 5/6 Минобороны:Edition (Lenny/Squeeze) СВТ-3, НДВ-2,1.5 (Смоленск) Ядро 2.6.34-3 РДВ (ТУ) ФСТЭК: СВТ-3, НДВ-2, АС-1БОС МСВС 3.0 ВНИИНС RedHat Linux 6.2 и 7, Минобороны:(КП «АВЗ» и др. RHEL 5 СВТ-2, НДВ-1окружение) ядра(МСВС-Э, МСВС-Р, 2.2.20/2.4.32/2.4.37.9/ (истёк срокОС «Оливия» и др. 2.6.18-238(el5) сертификата попроекты линейки) clamAV ФСТЭК: СВТ-3, Portsentry НДВ-2 )ОС МСВС 5.0 ВНИИНС RHEL 5. Ядро 2.6.18- Минобороны: 194(el5)/2.6.2x СВТ-2, НДВ-1 8
  9. 9. Защищенные операционные системы (3)Наименование Вендор Фундамент Сертификация открытого кодаАльт Линукс СПТ ООО «Альт Радикально ФСТЭК:6.0 Линукс» переработанный СВТ-4, НДВ-4 форк от Mandrake со своим репозиторием пакетом "Сизиф“, ядро 2.6.32МСВСфера 5.2 VDEL RHEL 5.2 ФСТЭК:(Desktop/Server) ВНИИНС ОУД-2, НДВ-4, АС-1Г, ИСПДн-К1 RedHat Linux 9
  10. 10. Шлюзы, МЭ, СОВНаименование Вендор Фундамент Сертификация открытого кодаОС «Атликс», НТЦ «Атлас» RedHat Linux ФСБАК «Атликс-VPN», ядро 2.4.19МЭ «Атликс-МЭ-А» и др.МЭ ОАО ЭЛВИС- ALT Linux ФСТЭК:«ЗАСТАВА-AL», ПЛЮС» МЭ-2, НДВ-3версия 5.3,АПКШ «Континет» Информазащ FreeBSD 5.x и ФСТЭК:версий 3, 3.5 ита/Код выше МЭ-4. НДВ-3 безопасностиКомплекс "Рубикон" ЗАО «НПО Сильно ФСТЭК: «Эшелон» переработанный МЭ-2, НДВ-2, ТУ форк IpCop Минобороны: Ядро 2.6.27 МЭ-2, НДВ-2, РДВ 10
  11. 11. Среда прикладной разработки● МСВС ● СУБД «Линтер» 5.9 (НДВ-2, СВТ-2) ● СУБД «Линтер-ВС» 6.0/7.0 (PostgreSQL 8.4.4) ● ПС Конструктор и др. (Qt Designer,Qt 2.3/3/4/4.6.x) ● Сервер-ГОД (Apache 2.x) ● GCC 2.94.4, 3.3.6, 4.1.3, Python 2.5● AstraLinux ● СУБД (PostgreSQL 8.4.0) ● Qt 4.5 ● Python 2.5, PHP 5.2, Perl 5.10,eclipse, QtCreator ● GCC 4.3 11
  12. 12. Среда прикладной разработки● Альт Линукс СПТ 6.0 ● PHP 5.3.3, C/C++, Perl 5.12, Python 2.6.6, Ruby 1.9.2 gcc 4.5● Middleware: ИВК Юпитер 5.0 (ФСТЭК, Минобороны; НСД-3, НДВ-2, АС-1Б) 12
  13. 13. Средства аудита● Сканер-ВС ● Debian 5/6, nmap, OpenVas 3.x и др. ● ФСТЭК: ТУ, НДВ-4 ● Минобороны: НДВ-2, РДВ ● ЗАО «НПО «Эшелон».● Ревизор Сети ● использование технологий Nessus, nmap; ● ФСТЭК:ТУ 13
  14. 14. Выводы● не хватает «прозрачности» (на SourceForge 240 000 проектов, в России на учете всего 200);● слабый вклад в открытую кодовую базу (успешные примеры: Alfresco, Mindtouch, Greenbone Security, проект Эшелона shreg в GitHub)● необходимо сочетание открытого конкурентного рынка разработчиков/интеграторов с централизованным регламентами и стандартами платформ, протоколов, форматов, репозиториев. 14
  15. 15. Спасибо за внимание. Для связи: a@cnpo.ru 15

×