Механизмы безопасности ОС "Циркон 36С"

 

1. Механизмы мандатного разграничения доступа пользователей(групп пользователей) к обрабатываемой информации.

Механизмы реализуются на уровне гипервизора терминального сервера и сервера приложений на основе изоляции пользовательских процессов в собственных копиях ОС и подсистемы сетевой фильтрации Netfilter ядра ОС «Циркон 36С»

ОС «Циркон 36С» обеспечивает мандатное разграничение доступа пользователей (групп пользователей) к обрабатываемой информации.

mandat

Решение позволяет:

  • загружать в гостевые изолированные пользовательские домены унаследованные приложения и операционные системы (в том числе Windows), а также ПО, для которого проведение исследований на выявление недекларированных возможностей (НДВ) сильно затруднено (отсутствуют исходные тексты, ПО большого объема и т.п.). При этом контроль целостности ПО, загружаемого в изолированные пользовательские домены осуществляется средствами ОС «Циркон 36С» с использованием доверенных алгоритмов;
  • существенно сократить программный код, способный оказать влияние на механизмы мандатного разграничения доступа, а также другие механизмы защиты, вынесенные с уровня пользовательской ОС (аудит действий пользователя, контроль целостности, контроль использования ресурсов сервера), что дает возможность повысить степень верификации реализации данных механизмов защиты;
  • снизить сложность анализа формальной модели разграничения доступа (рассматривается только сетевое взаимодействие между пользовательскими доменами и доступ изолированных копий ОС к ресурсам сервера).

Контроль целостности ПО, загружаемого в изолированные пользовательские домены осуществляется средствами ОС «Циркон 36С» с использованием доверенных алгоритмов.

2. Механизмы контроля целостности и обеспечения невозможности изменения хода загрузки ПО терминала, реализуемые доработкой прошивки ПО терминала и ее аппаратно-программной защитой от возможной модификации.

Терминал не содержит собственных средств хранения информации, движущихся частей и обладает пониженным энергопотреблением (около 5 Вт).

term1

Решение позволяет:

  • обеспечить на терминале изолированную программную среду, в которой отсутствуют санкционированные средства ее нарушения, а также модификации алгоритмов работы механизмов защиты, реализованных в терминальном ПО (аудит действий пользователя, в том числе, контроль используемых USB-носителей и вводимой/выводимой с помощью них информации, контроль целостности ПО терминала);
  • существенно снизить объем ПО терминала, обрабатывающего внешние данные, для которого необходимо проводить анализ по поиску уязвимостей, способных привести к реализации угроз безопасности (внешние данные, передаваемые с помощью USB-носителей, рассматриваются как основной канал атак на информационную систему со стороны внешнего нарушителя);
  • обеспечить работу на одном терминале одновременно с несколькими серверами (виртуальными машинами) через различные окна виртуального рабочего стола терминала. При этом, с учетом обоснованной  изолированности пользовательских доменов и уникальности меток информационной безопасности  различных виртуальных машин, на одном физическом сервере, достигается возможность переноса информации между окнами в соответствии с заданными правилами безопасности.

3. Механизмы многоуровневого аудита действий пользователей.

Решение позволяет:

  • в случае нарушения конфиденциальности, целостности или доступности информации, определить все субъекты и выполняемые ими действия, а также все используемые объекты, причастные к произошедшему инциденту;
  • выявлять нарушения реализованных на объекте информатизации организационных мер обеспечения ИБ(например, попытки использования незарегистрированных USB-носителей);
  • регистрировать все действия администраторов системы, в том числе, по всем изменениям политики безопасности системы.

Аудит ведется на уровне терминала, гипервизора и пользовательских  ОС. В процуссе аудита обеспечивается хранение регистрируемых данных всех компонентов системы на специально выделенном сервере, доступ к которому строго ограничен.

4. Механизмы дискреционного разграничения доступа каждого пользовательского домена.

Решение позволяет:

  • реализовать принцип ограниченной осведомленности для формально равнодопущенных пользователей одного домена;
  • обеспечить защиту конфигурационных и исполняемых файлов ПО пользовательского домена от их случайной модификации.

Платформа «ЦИРКОН» реализует принцип ограниченной осведомленности для формально равнодопущенных пользователей системы.

5. Механизмы контроля целостности ПО серверов.

Решение позволяет:

  • Выполнять с заданной периодичностью контроль целостности ПО, установленного на серверах и АРМ системы;
  • Выполнять контроль целостности ПО серверов при его загрузке с доверенного, защищенного от записи носителя.

6. Механизмы, существенно затрудняющие использование уязвимостей ПО, функционирующего в пользовательских доменах.

Решение позволяет:

  • Строго ограничить перечень процессов системы;
  • Выполнять контроль целостности сегментов процессов сервера, содержащих код и неизменяемые данные;
  • Выполнять контроль запрета исполнения сегментов процесса, содержащих данные;
  • Рандомизировать виртуальное адресное пространство процесса;
  • Рандомизировать дистрибутив ОС «Циркон 36С».

Данные механизмы обеспечивают изолированную программную среду пользователя на серверах системы и практическую невозможность применения эксплойтов, создаваемых для заимствованного при разработке системы ПО. Использование платформы «ЦИРКОН» позволяет отказаться от необходимости применения существующих аппаратно-программных модулей доверенной загрузки на серверах системы.

ОС «Циркон 36С» и ПО терминального доступа «Циркон 36Т» являются базовыми элементами защищенной интеграционной платформы для построения АСЗИ, в которой  реализованы:

  • механизмы мандатного разграничения доступа на базе виртуализации;
  • механизмы дискреционного разграничения доступа;
  • механизмы аудита действий пользователей;
  • средства аутентификации в соответствии с ГОСТ;
  • средства контроля целостности ПО серверов и терминалов в соответствии с ГОСТ;
  • аппаратно-программная защита прошивки терминалов от модификации;
  • дополнительные механизмы защиты ОС от уязвимостей программного кода.