Профессиональное сообщество
лидеров цифровой трансформации
Редакция Global CIO

Безопасность Astra Linux


Операционная система Astra Linux основана на дистрибутиве Debian, при этом ее уровень безопасности существенно выше, чем у известного международного проекта. Разработка началась в начале 2010-х, и сейчас Astra Linux – безусловный лидер в своем сегменте, занимающий 76% рынка ОС. Заказчики выбирают ее по ряду причин. Один из важнейших факторов – это наличие сертификатов всех российских регуляторов (Минобороны РФ, ФСТЭК России и ФСБ), что позволяет задействовать платформу для работы с информацией любого уровня конфиденциальности, вплоть до «совершенно секретно» и «особой важности». Среди других весомых преимуществ продукта встроенные средства защиты информации (СЗИ), грамотно налаженный процесс безопасной разработки, включающий работу с уязвимостями, а еще привлечение в рамках программы Bug Bounty независимых ИБ-исследователей: они анализируют код продукта и получают денежное вознаграждение за найденные баги.

Уязвимости под контролем

В число важнейших аспектов, которые составляют основу защищенности Astra Linux, входят безопасная разработка и управление уязвимостями (Vulnerability Management, VM), выстроенное на базе концепции Secure by Design. Это означает, что механизмы защиты закладываются еще на стадии архитектурного проектирования. Архитектурный подход реализуется через встроенные средства контроля, что минимизирует риск компрометации всей системы при обнаружении уязвимости. Все пакеты репозитория Main ОС Astra Linux проходят такой контроль.

Для эффективного учета и анализа выявленных угроз разработчики Astra Linux используют собственную базу данных управления уязвимостями AVM (Astra Vulnerability Management). Она интегрируется с международными и российскими ресурсами, такими как база CVE и портал БДУ ФСТЭК России. Такой формат сотрудничества позволяет не только оперативно узнавать о новых уязвимостях, но и своевременно фиксировать исправленные проблемы с присвоением уникального идентификатора ASE, что облегчает процесс дальнейшей поддержки и обновления системы. Нередко команда разработчиков Astra Linux находит и устраняет уязвимости раньше и быстрее, чем это делают в Debian.

Встроенные СЗИ

Встроенные средства защиты информации доступны в усиленном («Воронеж») и максимальном («Смоленск») режимах безопасности ОС Astra Linux. Расскажем коротко о наиболее важных из них.

Мандатный контроль целостности (МКЦ) – это распределение информации или компонентов системы по заданным уровням целостности, на основе которых назначаются права доступа к изменению объектов. Он нужен, чтобы защитить высокоцелостные компоненты от изменений со стороны низкоцелостных компонентов или непривилегированных пользователей, и защищает от записи файлы и папки, в первую очередь системные. В Astra Linux 1.8 появилась специальная метка безопасности файлов и каталогов SSI (System Secret Integrity). Доступ к чтению или выполнению объектов с этой меткой есть только у процессов, уровень целостности которых не ниже, чем у самого такого объекта.

Замкнутая программная среда (ЗПС) ограничивает запуск исполняемых файлов и загрузку библиотек только теми, что подписаны электронной цифровой подписью на доверенном ключе. Это защищает систему от запуска и загрузки неподписанного или некорректно подписанного кода и в итоге повышает общий уровень ее безопасности.

Мандатное управление доступом (МРД) – принцип, при котором информация распределяется по заданным уровням конфиденциальности с соблюдением трех основных условий. Первое – чтение данных доступно пользователям или процессам с уровнем конфиденциальности не ниже, чем у данных. Второе – запись данных доступна процессам с уровнем конфиденциальности не выше, чем у данных. Третье – действия процессов не должны приводить к утечке данных с более высокого уровня конфиденциальности на низкий.

Эти и другие средства стали основой архитектуры безопасности Astra Linux, именно они обеспечивают многоуровневую защиту от различных угроз.

Общественный контроль

«Группа Астра» первой из российских компаний-разработчиков операционных систем в 2023 году присоединилась к развернутой на платформе BI.ZONE программе Bug Bounty. Ее суть в том, что исследователи безопасности, которые найдут уязвимости и сообщат о них вендору, могут получить до 250 000 рублей в зависимости от критичности найденной ошибки. Это способствует привлечению внешних экспертов к повышению степени безопасности ОС и является важным шагом в борьбе с киберугрозами. Примерно за полтора года независимые багхантеры предоставили более двенадцати валидных отчетов и заработали на этом в общей сложности 2 млн рублей. Благодаря программе команда разработчика смогла наладить максимально эффективный процесс устранения потенциальных уязвимостей в системе до выхода обновлений.

Все под наблюдением

Несмотря на технологические меры, самым слабым звеном в ИБ-ландшафте остаются сотрудники. Около 85% ИT-специалистов главной причиной киберинцидентов называет человеческий фактор: как неосознанные действия, так и злонамеренные. С Astra Linux можно минимизировать подобные риски с помощью аудита, журналирования событий и строгих мер контроля доступа, которые позволяют отслеживать и управлять действиями пользователей.

2416

Комментировать могут только авторизованные пользователи.
Предлагаем Вам в систему или зарегистрироваться.

фильтр
Предметная область
Отрасль
Управление
Мы используем файлы cookie в аналитических целях и для того, чтобы обеспечить вам наилучшие впечатления от работы с нашим сайтом. Заходя на сайт, вы соглашаетесь с Политикой использования файлов cookie.