Downloaded 21 times
More Related Content
Similar to Фундамент открытого кода: построение защищенных систем и аудит их безопасности
Фундамент открытого кода: построение защищенных систем и аудит их безопасности
- 1. Фундамент открытого кода: построениезащищенных систем и аудит их безопасности Фадин Андрей Анатольевич CISSP Директор департамента программных разработок ЗАО «НПО» Эшелон» af@cnpo.ru г. Москва, 2012 г.
- 2. Опыт докладчика ● участиев создании защищенных информационных систем с 2004 года; ● опыт разработки приложений в средах: ОС МСВС 3.0, Astra Linux «Смоленск», ОС МСВС 5.0; ● опыт консультирования и непосредственного участия в сертификационных испытаниях СЗИ по требованиям РД на отсутствие НДВ (в том числе и в операционных системах); ● профессиональные сертификаты ISC2(CISSP), Cisco, АИС, ВНИИНС 2
- 3. Защищенные системы обработки информации автоматизацияобработки информации ограниченного доступа успешное предотвращение угроз безопасности, действующих в определенной среде соответствие требованиям и критериям стандартов информационной безопасности Специализированный центр защиты информации Санкт-Петербургского государственного технического университета, Зегжда Д.П., Ивашко А.М. www.ssl.stu.neva.ru 3
- 4. Почему важна связьс open-source компонентами? ● обеспечение интероперабельности между различными компонентами; ● увеличение возможностей по расширению функционала компонентов; ● сопоставление открытых и защищенных компонентов, аудит потенциальных уязвимостей по бюллетеням безопасности и доступным исходным текстам (CVE, OSVDB, CWE) 4
- 5. Перечень защищенных компонентов ●Источники информации по платформам ● Реестр ССЗИ ФСТЭК http://www.fstec.ru/_doc/reestr_sszi/_reestr_sszi.xls ● Перечень ЦЛСЗ ФСБ http://clsz.fsb.ru/files/download/sved_po_sertif.pdf ● ВНИИНС «Перечень средств БИЗКТ» http://www.vniins.ru/node/127 ● сайты разработчиков СЗИ; ● Публикации, Wikipedia ● сайты поставщиков и пользователей СЗИ ● Реестр СЗИ на ИСПДн http://ispdn.ru/szi/ ● ГНУ/Линуксцентр http://www.linuxcenter.ru/shop/sertified_fstek/ ● Исключения (чего нет в следующих списках) ● Устаревшие системы или с истекшим сертификатом – например Windows NT ● Системы, которые по имеющейся информации, ещё в процессе сертификации – пример ROSA 2011 ● Системы сертифицированные единичными экземплярами или маленькими партиями – пример Oracle Enterprise Linux 5 Update 2 ( 1 экз. ) ● Системы по которым нет информации об использовании открытых компонентов – примеры: ОС РВ Багет («Багет 2.0», ос2000), Windows 7 5
- 6. Компоненты построения защищенных систем Операционная система Сетевая инфраструктура (шлюз, МЭ, СОВ) Среда прикладной разработки Средства аудита системы 6
- 7. Защищенные операционные системы(1) Наименование Вендор Фундамент Сертификация открытого кода RHEL 4 ВНИИНС RHEL 4 ФСТЭК: для IBM S/390 RedHat ОУД-4+, НДВ-4 (старый проект: Омоним-390ВС) Mandriva ЗАО НИЦ Mandriva Corporate ФСТЭК: Corporate Server, Mandriva Server 4 Update 3, НДВ-4, СВТ-5 PowerPack 2008, Mandriva PowerPack Flash 2008, Mandriva Flash Trustverse Linux ООО Fedora Core 6 ФСТЭК: XP Desktop 2008 «ТрастВерс» НДВ-5, СВТ-5, SE (Infosec) АС-1Г, ИСПДн-К2 ОС Янукс 3.0 ФГУП "НИИ RHEL 5.1, KVM ФСТЭК: НПО "Луч" Соответстие LSB 3.1 ОУД3+, НДВ-4, АС-1Г 7
- 8. Защищенные операционные системы(2) Наименование Вендоры Фундамент Сертификация открытого кода Astra Linux Special РусБИТех Debian 5/6 Минобороны: Edition (Lenny/Squeeze) СВТ-3, НДВ-2, 1.5 (Смоленск) Ядро 2.6.34-3 РДВ (ТУ) ФСТЭК: СВТ-3, НДВ-2, АС-1Б ОС МСВС 3.0 ВНИИНС RedHat Linux 6.2 и 7, Минобороны: (КП «АВЗ» и др. RHEL 5 СВТ-2, НДВ-1 окружение) ядра (МСВС-Э, МСВС-Р, 2.2.20/2.4.32/2.4.37.9/ (истёк срок ОС «Оливия» и др. 2.6.18-238(el5) сертификата по проекты линейки) clamAV ФСТЭК: СВТ-3, Portsentry НДВ-2 ) ОС МСВС 5.0 ВНИИНС RHEL 5. Ядро 2.6.18- Минобороны: 194(el5)/2.6.2x СВТ-2, НДВ-1 8
- 9. Защищенные операционные системы(3) Наименование Вендор Фундамент Сертификация открытого кода Альт Линукс СПТ ООО «Альт Радикально ФСТЭК: 6.0 Линукс» переработанный СВТ-4, НДВ-4 форк от Mandrake со своим репозиторием пакетом "Сизиф“, ядро 2.6.32 МСВСфера 5.2 VDEL RHEL 5.2 ФСТЭК: (Desktop/Server) ВНИИНС ОУД-2, НДВ-4, АС-1Г, ИСПДн-К1 RedHat Linux 9
- 10. Шлюзы, МЭ, СОВ Наименование Вендор Фундамент Сертификация открытого кода ОС «Атликс», НТЦ «Атлас» RedHat Linux ФСБ АК «Атликс-VPN», ядро 2.4.19 МЭ «Атликс-МЭ- А» и др. МЭ ОАО ЭЛВИС- ALT Linux ФСТЭК: «ЗАСТАВА-AL», ПЛЮС» МЭ-2, НДВ-3 версия 5.3, АПКШ «Континет» Информазащ FreeBSD 5.x и ФСТЭК: версий 3, 3.5 ита/Код выше МЭ-4. НДВ-3 безопасности Комплекс "Рубикон" ЗАО «НПО Сильно ФСТЭК: «Эшелон» переработанный МЭ-2, НДВ-2, ТУ форк IpCop Минобороны: Ядро 2.6.27 МЭ-2, НДВ-2, РДВ 10
- 11. Среда прикладной разработки ●МСВС ● СУБД «Линтер» 5.9 (НДВ-2, СВТ-2) ● СУБД «Линтер-ВС» 6.0/7.0 (PostgreSQL 8.4.4) ● ПС Конструктор и др. (Qt Designer,Qt 2.3/3/4/4.6.x) ● Сервер-ГОД (Apache 2.x) ● GCC 2.94.4, 3.3.6, 4.1.3, Python 2.5 ● AstraLinux ● СУБД (PostgreSQL 8.4.0) ● Qt 4.5 ● Python 2.5, PHP 5.2, Perl 5.10,eclipse, QtCreator ● GCC 4.3 11
- 12. Среда прикладной разработки ●Альт Линукс СПТ 6.0 ● PHP 5.3.3, C/C++, Perl 5.12, Python 2.6.6, Ruby 1.9.2 gcc 4.5 ● Middleware: ИВК Юпитер 5.0 (ФСТЭК, Минобороны; НСД-3, НДВ-2, АС-1Б) 12
- 13. Средства аудита ● Сканер-ВС ● Debian 5/6, nmap, OpenVas 3.x и др. ● ФСТЭК: ТУ, НДВ-4 ● Минобороны: НДВ-2, РДВ ● ЗАО «НПО «Эшелон». ● Ревизор Сети ● использование технологий Nessus, nmap; ● ФСТЭК:ТУ 13
- 14. Выводы ● не хватает«прозрачности» (на SourceForge 240 000 проектов, в России на учете всего 200); ● слабый вклад в открытую кодовую базу (успешные примеры: Alfresco, Mindtouch, Greenbone Security, проект Эшелона shreg в GitHub) ● необходимо сочетание открытого конкурентного рынка разработчиков/интеграторов с централизованным регламентами и стандартами платформ, протоколов, форматов, репозиториев. 14
- 15. Спасибо за внимание. Для связи: a@cnpo.ru 15