Как Astra Linux устроена с точки зрения безопасности, какие средства защиты встроены в систему и от каких угроз она защищает, читайте в нашем обзоре.
Группа компаний «Астра» — один из лидеров российского рынка информационных технологий в области разработки ПО и средств защиты информации. В основе экосистемы — Astra Linux, защищенная, масштабируемая и оптимизированная для высоких нагрузок сертифицированная российская операционная система. Также в портфеле вендора — средства виртуализации, управления доменом и резервного копирования, VDI, инфраструктурные платформы, СУБД, корпоративная почта и мобильное рабочее место.
Astra Linux Special Edition — это российская операционная система со встроенными средствами защиты информации. По данным разработчиков, к 2023 году продукт используют уже порядка 20 тысяч организаций, а общее количество инсталляций превысило 2,5 млн, что обеспечивает Astra Linux долю в порядка 75% рынка отечественных ОС.
В зависимости от своих целей, компании могут выбирать специализированный вариант ОС:
Вне зависимости от выбранной версии, компании получают систему с полным набором средств защиты информации (СЗИ), которые и составляют основное преимущество Astra Linux Special Edition.
Разработчики подчеркивают: максимальная защищенность — это ключевая особенность их системы. Она может прямо «из коробки» эффективно противостоять основным киберугрозам, снизить ущерб от вредоносной активности.
Сервисы безопасности Astra Linux позволяют блокировать попытки вредоносного ПО внедриться в систему под видом обычных программ, предотвращают нежелательные действия пользователей и администраторов, предотвращают подмену данных, подключение съемных носителей и несанкционированное копирование информации из системы и в нее.
Кроме того, это единственная операционная система в России, которая полностью соответствует требованиям безопасности информации всех основных регуляторов страны. Разработчики опирались на актуальную законодательную базу, в том числе:
Это позволяет использовать Astra Linux для обработки информации с ограниченным доступом — от персональных данных до государственной тайны «особой важности». Все это возможно благодаря встроенным в Astra Linux средствам защиты информации. Поговорим о них подробнее.
С 2021 г. в Astra Linux Special Edition предусмотрено три режима (или уровня) защищенности в зависимости от приобретенной лицензии СЗИ: «Усиленный» («Воронеж»), «Максимальный» («Смоленск»), а также «Базовый» («Орёл») несертифицированный режим.
Режимы защищенности Astra Linux Special Edition
«Воронеж». На этом уровне в системе работают СЗИ собственной разработки ГК «Астра», входящие в подсистему безопасности PARSEC. В первую очередь это механизмы мандатного контроля целостности и замкнутой программной среды, которые противостоят угрозе целостности информации.
Эти СЗИ существенно повышают защищенность Astra Linux от взлома, заражения вредоносным ПО, внедрения программных закладок, получения несанкционированных прав и т. д. В таком режиме Astra Linux Special Edition обеспечивает формирование основного рубежа обороны от нарушителей (поверхности атаки), и разработчики рекомендуют заказчикам работать с ОС именно на этом или на «Максимальном» уровнях защищенности.
«Смоленск». Максимальный уровень защищенности дополняет возможности «Усиленного» режима функциями мандатного управления доступом (МРД) для защиты от угрозы конфиденциальности информации. Суть этого принципа в распределении информации по явно заданным уровням конфиденциальности и выполнении следующих условий:
Эти прозрачные правила позволяют пользователям и администраторам систем учитывать человеческий фактор при работе с ОС. Угрозы случайной компрометации или несанкционированных изменений информации значительно сокращаются благодаря возможности четко распределить данные по условным уровням: например, «открытая», «служебная», «важная», «очень важная». А для более тонкой настройки разработчики предусмотрели неиерархические категории, позволяющие привязать информацию к структурным подразделениям: например, «отдел персонала», «бухгалтерия», «отдел продаж», «руководство компании» и т.д.
Есть также базовый уровень защищённости «Орёл» (несертифицированной операционной системы), он не может применяться в корпоративных системах, системах критической информационной инфраструктуры, а также для обработки информации ограниченного доступа, к которой предъявляются требования по защите информации.
В Astra Linux в режимах «Воронеж» и «Смоленск» организован контроль целостности системы и ее компонентов. Файлы, процессы, учетные записи пользователей и прочие компоненты ОС Astra Linux Special Edition распределяются по уровням целостности, после чего штатными средствами безопасности можно защищать компоненты более высокого уровня целостности от несанкционированной записи из компонентов с меньшим уровнем.
Этот подход формализован в ГОСТ Р 59453.1-2021 «Защита информации. Формальная модель управления доступом. Часть 1. Общие положения», который создан ГК «Астра» совместно с ИСП РАН. Это первый случай в отечественной практике стандартизации, когда мандатный контроль целостности (МКЦ) получил официальное определение.
Безопасный запуск процессов в ОС Astra Linux Special Edition
Как отмечают разработчики, явно заданные уровни целостности, в отличие от предоставляемых прав доступа при штатном дискреционном управлении доступом ОС Linux делают администрирование и настройку защиты прозрачнее. Даже суперпользователь root, который в обычных ОС семейства Linux имеет практически полный набор прав, в ОС Astra Linux Special Edition по умолчанию работает на минимальном уровне целостности 0. Таким образом, перехват его полномочий не откроет злоумышленникам доступ к управлению всей системой.
Наличие МКЦ в ОС Astra Linux Special Edition дает возможность разрабатывать и внедрять новые уникальные технологии защиты. Например, адаптированную контейнерную виртуализацию которая в сочетании с МКЦ позволяет создавать для недоверенного программного обеспечения «песочницы». В таких безопасных зонах недоверенное ПО не будет представлять опасности для всей остальной системы.
Безопасный запуск приложений в Astra Linux
При включенной функции ЗПС запуск исполняемых файлов и загрузка исполняемых библиотек возможна только при наличии электронной цифровой подписи на доверительном ключе. Это значительно усложняет эксплуатацию уязвимостей, а в большинстве случаев делает ее неэффективной, поскольку остающиеся у нарушителя незначительные возможности обойти защиту практически полностью перекрываются включенным МКЦ.
Во-первых, внедрить нелегитимную ЭЦП может только пользователь с высоким уровнем целостности. Во-вторых, даже если «зараженный» файл удастся разместить в системе, а нарушитель смог проэксплуатировать заложенную в этом файле уязвимость и получил, например, root-привилегии, он продолжит работу на том же низком уровне целостности.
Помимо этого, в ОС Astra Linux Special Edition имеются еще дополнительные СЗИ, включая запрет запуска интерпретаторов, ограничение прав непривилегированных пользователей с созданием собственных профилей безопасности. Каждый такой профиль содержит перечень имен каталогов или файлов, права доступа к которым надо дополнительно ограничить.
Подробнее обо всех технологиях безопасности в Astra Linux Special Edition можно узнать в библиотеке ГК «Астра».
Разработчики ОС Astra Linux Special Edition создали прозрачный и удобный продукт, основанный на отечественных доверенных технологиях, безопасность которых научно обоснована. Система представляет привлекательный вариант для цифровизации и импортозамещения, причем разработчики заявляют о возможности построения гетерогенных систем для одновременного применения ОС Astra Linux и Windows при переходе на российскую платформу.
Соответствие требованиям регуляторов «из коробки» обеспечивает совместимость Astra Linux с ГИС. Набор встроенных средств позволяет выстраивать безопасные виртуальные среды, централизованно управлять ИТ-инфраструктурами любого масштаба. При этом компании не приходится нести расходы на многие дополнительные средства: от уже упомянутых антивирусов до систем электронной подписи.
erid: Kra248buo
* Реклама, Рекламодатель ООО «РусБИТех-Астра», ИНН 7726388700
Отечественная отрасль микроэлектроники переживает подъем – уже сейчас доля отечественных производителей составляет более 25%, а к 2030 году они могут занять почти половину рынка.
Максим Казенков — DevOps-специалист по информационной безопасности VK.
Цифровизация и внедрение ИИ заставляют нефтегазовые компании выходить за рамки формальной отчетности по безопасности.
Инфраструктурный ресерч в России выходит на новый уровень.
В условиях стремительной цифровизации и обострения геополитической обстановки вопрос кибербезопасности перестал быть узкоспециализированной темой – он стал вопросом национальной безопасности России.
В интервью для Cyber Media Евгений рассказал о современных трендах в резервном копировании, новых киберугрозах для систем хранения данных, типичных ошибках компаний при организации защиты резервных копий и о том, как правильно строить стратегию сохранения данных с учетом принципов информационной безопасности.
Победитель премии «Киберпросвет–2025» в номинации «Киберволонтер года» Артем Гулюк — действующий сотрудник управления по противодействию киберпреступности УВД Брестского облисполкома Республики Беларусь.
Российский рынок информационной безопасности за последние годы пережил радикальные изменения: уход западных вендоров, рост числа кибератак, развитие отечественных решений и появление новых форматов продвижения.
Специалисты по ИБ и киберпреступники находятся в постоянном соперничестве — кто кого победит в текущем «раунде», окажется ли «броня» крепче «снаряда».
Георгий Кумуржи — специалист по анализу защищенности департамента киберзащиты одного из банков и преподаватель РТУ МИРЭА.
