Блокировка интерпретаторов astra linux что это

Блокировка интерпретаторов astra linux что это

⁠76.2. Блокировка интерпретаторов (запрет запуска скриптов)

При включении блокировки интерпретаторов блокируется несанкционированное использование интерпретатора для выполнения кода напрямую из командной строки.

⁠76.2.1. Блокировка интерпретаторов (запрет запуска скриптов) в ЦУС

Для включения режима блокировки интерпретаторов необходимо в Центре управления системой перейти в раздел Система → Настройки безопасности .

В открывшемся окне следует отметить пункт Ограничить запуск интерпретаторов языков программирования в интерактивном режиме и нажать кнопку Применить . Поле Интерпретаторы должно содержать разделённый запятыми список ограниченных интерпретаторов:

Как мы закрываем уязвимости в ОС Astra Linux Special Edition

Операционных систем без уязвимостей не бывает — вопрос лишь в том, как эффективно разработчики их выявляют и закрывают. Наша ОС Astra Linux Special Edition здесь не исключение: мы постоянно проверяем и тестируем код на ошибки, нарушения логики, прочие баги и оперативно их устраняем. Иначе бы ФСТЭК России вряд ли сертифицировала Astra Linux на обработку данных, составляющих гостайну. Но о сертификации мы поговорим подробней в другом посте. А в этом расскажем о том, как организована работа над уязвимостями Astra Linux и взаимодействие с отечественным банком данных угроз безопасности информации.

Фото: Leonhard Foeger/Reuters

Подход первый, архитектурный

Для улучшения безопасности ОС мы используем два подхода. Первый, архитектурный, заключается в том, что мы разрабатываем и внедряем различные средства защиты информации еще на этапе проектирования. Эти средства образуют комплекс средств защиты (КСЗ), который реализует функции безопасности. С помощью КСЗ мы стараемся достичь того, чтобы в системе уже по умолчанию был минимизирован риск возможных потенциальных угроз.

Архитектура комплекса средств защиты Astra LInux Special Edition

Ключевой элемент КСЗ – монитор обращений, созданный чтобы предотвращать несанкционированный доступ и изменение защищаемых компонентов системы. Монитор предусматривает дискреционное, ролевое и мандатное управление доступом, а также мандатный контроль целостности.

Что такое мандатный контроль целостности? Поясним на примере. Ключевым компонентом ОС является ядро. Соответственно, мы обязаны обеспечить для него максимально защищенную среду выполнения в самой операционной системе, чтобы уменьшить количество возможных способов атаки на ядро.

Для этого мы реализуем в операционной системе мандатный контроль целостности, за счет чего сегментируем ОС по различным подсистемам — так, чтобы взлом одной подсистемы не повлиял на работоспособность других. Если произойдет взлом непривилегированного пользователя ОС (уровень целостности 0) или сетевой подсистемы (уровень целостности 1), системы виртуализации (уровень целостности 2), графического интерфейса (уровень целостности 8) или другого компонента, это не повлечет за собой дискредитацию всего КСЗ (уровень целостности 63).

При этом надо отметить, что указанные уровни не являются иерархическими, то есть не располагаются друг над другом и полностью изолированы друг от друга с точки зрения возможности прав записи. Принадлежность объекта к тому или иному уровню целостности монитор обращений определяет по битовой маске.

Чтобы уровни целостности не воспринимались как иерархические — то есть, например, «уровень 8 имеет больше прав, чем уровень 2», что неверно — каждый из уровней получает свое наименование. Так, например, восьмой уровень целостности называется «Графический сервер», максимально возможный уровень целостности администратора в системе — «Высокий», а нулевой уровень целостности (пользовательский) — «Низкий».

Монитор обращений, о котором рассказывалось в нашей предыдущей статье, контролирует и исключает возможность влияния друг на друга процессов с метками разных уровней целостности.

Таким образом операционная система получает набор правил, как изолировать друг от друга системные процессы, и теперь понимает, какие именно процессы, даже запущенные пользователем с высокими привилегиями, не имеют права на запись в другие процессы или файлы.

Поэтому если в результате эксплуатации уязвимости (в том числе, нулевого дня) злоумышленник получит контроль над каким-либо процессом в системе и повысит свои полномочия до привилегированного пользователя (например, root), его метка целостности останется прежней, и, соответственно, он не получит возможности влиять на системные процессы, менять настройки или скрыть свое присутствие в системе.

Принцип работы изолированных уровней целостности

Таким образом, значимой мишенью для злоумышленника становится уже не вся операционная система, а только hardened ядро и максимально компактный монитор обращений, что уже существенно сокращает поверхность атаки.

Помимо мандатного, есть еще динамический и регламентный контроль целостности. Их применяют для исключения запуска и использования недоверенного или стороннего ПО, а также периодических проверок целостности системы.

Динамический контроль вычисляет и проверяет электронную цифровую подпись исполняемых файлов в момент их запуска. Если ЭЦП нет или она неправильная, в запуске программ будет отказано. В какой-то степени это реализация концепции белых списков, но за счет использования иерархии ключей, выданных разработчикам программного обеспечения.

Работа с динамическим контролем целостности

Регламентный контроль проверяет целостность и неизменность ключевых для системы файлов, сравнивая их контрольные суммы с эталонными значениями. Это могут быть как конфигурационные файлы, так и любые другие.

Таким образом в ОС применяется эшелонированная защита от уязвимостей в приложениях и их подмены, чем минимизируется вред от угроз безопасности, в том числе и тех, которые используют уязвимости «нулевого» дня.

Подход второй, процессный

Вместе с архитектурным мы параллельно используем процессный подход: постоянно выявляем и собираем сведения об уязвимостях, прорабатываем эту информацию и передаем результаты в банк данных уязвимостей ФСТЭК России. Так мы готовим и выпускаем плановые и оперативные обновлений ОС. Ищем уязвимости как в открытых источниках, так и самостоятельно — особенно в тех частях ПО, которые полностью разрабатываем сами. Много информации мы получаем от партнеров, занимающихся аналогичными исследованиями — тестированием и изучением безопасности операционных систем.

Организация работ по выявлению уязвимостей

Исследования безопасности в первую очередь ведутся в отношении компонентов, которые входят в состав ОС Astra Linux Special Edition («Смоленск»). Вместе с тем уязвимости закрываются также и для версии Astra Linux Common Edition, как в рамках обновлений безопасности, так и в процессе планового обновления компонентов системы.

Как только мы получаем сведения об уязвимости, проверяем, насколько она актуальна для наших пользователей. Если уязвимость не является критической, то описываем ее в ближайшем выпуске бюллетеня безопасности на официальном сайте. Уведомления об выпуске бюллетеней отправляются пользователю по электронной̆ почте, адрес которой̆ обязательно указывается в лицензионном договоре. Для критических уязвимостей в течение нескольких дней выпускаются методические указания: каким образом можно устранить ее своими силами, не дожидаясь кумулятивного обновления безопасности. В списке бюллетеней безопасности они отмечены буквами MD (мethodical direction).

Здесь хорошим примером является уязвимость, информация о которой была опубликована здесь же, на Хабре. К слову, автор данной статьи с нами заранее не связывался и предварительно не уведомлял о том, что им выявлена данная уязвимость и готовится материал. В качестве иллюстрации мы решили привести тайминг работ над уязвимостью с момента размещения текста на ресурсе.

Итак, ночью, в 4 утра, 9 июля 2019 года была опубликована сама статья, о том, что при манипуляциях с размером экрана виртуальной машины можно увидеть окна под блокировщиком экрана.

Стоит отметить, что для эксплуатации продемонстрированной на видео уязвимости нужно совершить ряд дополнительных действий: необходимо сначала установить на виртуальную машину Astra Linux, а затем и на гостевую машину дополнительные пакеты, которые отвечают за изменение разрешения виртуальной машины «на лету», но при этом не входят в состав сертифицированной операционной системы.

10 июля 2019 года сведения об уязвимости опубликованы в БДУ ФСТЭК. Серьёзность уязвимости была определена как средняя (базовая оценка по метрике CVSS 2.0 составила 4,9, по метрике CVSS 3.0 — 4).

12 июля нами опубликован бюллетень безопасности № 20190712SE16MD для Astra Linux Special Edition версии 1.6 и бюллетень безопасности № 20190712SE15MD для Astra Linux Special Edition версии 1.5. Аналогичное обновление безопасности получил и релиз Astra Linux Common Edition.

Таким образом, с момента размещения информации об уязвимости среднего уровня опасности до выпуска корректирующего патча для всех версий Astra Linux (где возможно использование виртуализации) прошло меньше 4 дней.

Схема выпуска оперативных обновлений для Astra Linux

Не реже чем раз в квартал мы выпускаем обновления безопасности — оперативные обновления, которые устраняют ранее неизвестные уязвимости, в том числе прикладного ПО, библиотек и функций ОС, не реализующих требования безопасности. Если угрозы безопасности, реализуемые с использованием уязвимости, нельзя исключить компенсирующими мерами, проводятся работы по доработке ОС. После завершения доработки и тестирования обновления безопасности на сайте также публикуется бюллетень и само обновление. За первые полгода 2019 года было выпущено два кумулятивных обновления для ОС Astra Linux Special Edition версии 1.6, закрывших сотни различных уязвимостей. Сейчас к выпуску готовится третье.

Наконец, мы активно взаимодействуем с сообществом разработчиков:

• сообщаем в багтрекеры проектов о самостоятельно обнаруженных ошибках;
• передаем в проекты готовые исправления недостатков, закрытые нами;
• обращаемся к коммьюнити с просьбами оказать содействие в устранении недостатков — знание логики работы программы позволяет на порядок быстрее получить исправление нежели реверсивный инжиниринг, проводимый собственными силами;
• используем и включаем в свои обновления все выпускаемые сообществом исправления. Мы понимаем, что тем самым повышаем качество продукта. При этом применяем методы контроля и обеспечения доверия, о которых писали в предыдущей статье.

Открытость — это важно

Поскольку наша ОС сертифицирована ФСТЭК России, мы в первую очередь добавляем информацию о найденных уязвимостях в банк данных угроз безопасности информации (БДУ) ФСТЭК для официальной публикации: если вы зайдете в БДУ, то найдете информацию о более чем 350 устраненных уязвимостей в разных версиях Astra Linux, а также подробную информацию по ним.

Таким образом мы обеспечиваем открытость в работе. Благодаря этому пользователи — и регулятор в том числе — могут быть в определенной степени уверены в том, что безопасность действительно находится под контролем. Мало получить обновление, нужно понимать, какие конкретно уязвимости оно закрыло.

Пока что наш архитектурно-процессный подход по поддержанию безопасности ОС полностью себя оправдывает — мы успешно соблюдаем высокий уровень защищенности информационных систем с ОС Astra Linux Special Edition. А открытый доступ к информации об уязвимостях через БДУ ФСТЭК повышает уровень доверия к нашему продукту.

Будем рады ответить на вопросы о безопасности нашей системы в комментариях. Также, если вам интересно узнать что-то новое о системе, оставляйте ваши пожелания — мы их обязательно учтем при дальнейшей работе с блогом.

• Блог компании ГК «Астра»
• Информационная безопасность
• Разработка под Linux
• Софт

Безопасность в ОС Astra Linux Special Edition 1.7

Очное обучение. Курсы проводятся во всех региональных учебных центрах Академии АйТи или на базе заказчика.

Экспресс

Онлайн класс. Удаленное подключение к очным курсам. Для обучения достаточно иметь доступ в Интернет. Время онлайн трансляции курса устанавливается в зависимости от города проведения очного обучения. Предусмотрено предоставление записей слушателям в отдаленных часовых поясах.

Экспресс+

Забронировать курс

Спасибо за интерес к нашему курсу! Обратитесь через форму «Запросить информацию» для получения более точной информации о датах обучения.

Заявка на бронирование добавлена в корзину, теперь нужно завершить заказ.

Аннотация

В этом курсе изучается работа серверных возможностей Astra Linux – настройка, обслуживание и защита сетевых сервисов, сервера баз данных и других. Этот курс пригодится продвинутым системным администраторам, специалистам по сетевым технологиям, интеграторам продуктов и услуг.

Успешное окончание обучения по программе данного курса позволит специалистам:

• освоить модели безопасности;
• познакомиться с нормативными документами ФСТЭК России;
• узнать принципы построения защищенной операционной системы;
• понять принципы мандатного контроля целостности и мандатного управления доступом;
• научится работать с Astra Linux Special Edition при использовании различных режимов функционирования ее средств защиты информации (Базовый, Усиленный, Максимальный);
• настраивать локальные политики безопасности;
• настраивать учетные записи пользователей и групп, в соответствии с политикой безопасности предприятия;
• настраивать режим замкнутой программной среды;
• настраивать режим киоска;
• настраивать подсистему аудита;
• администрировать подсистемы мандатного контроля целостности и мандатного управления доступом;
• понять особенности работы сетевых служб при использовании мандатных уровней доступа;
• понять мандатное управление доступом в СУБД PostgreSQL;
• научится настраивать Astra Linux Special Edition в соответствии с рекомендациями, изложенными в Red Book;
• настраивать печать документов с маркировкой;
• настраивать защищенные каналы с помощью OpenVPN.

Целевая аудитория

Администраторы информационной безопасности (уполномоченные по защите информации)

Системные администраторы

Расписание

Модуль 1. Компьютерная безопасность, общие сведения. Построение защищенных операционных систем. Формальные модели управления доступом

• История развития теории и практики обеспечения компьютерной безопасности. Основные понятия и определения
• Принципы построения защищенной операционной системы
• Подходы к построению защищенных операционных систем
• Архитектура подсистемы защиты операционной системы
• Основные функции подсистемы защиты операционной системы
• Идентификация, аутентификация и авторизация субъектов доступа
• Управление доступом к объектам операционной системы
• Правила управления доступом
• Основные модели управления доступом
• Сравнительный анализ моделей управления доступом

Модуль 2. Нормативные документы ФСТЭК России, регламентирующие требования безопасности информации

• Основополагающие законы и подзаконные акты в области информационной безопасности
• Основные стандарты в области информационной безопасности
• Обзор нормативно-правовых актов ФСТЭК России по вопросам защиты информации ограниченного доступа
• Обзор нормативно-правовых актов, руководящих и методических документов ФСТЭК России по вопросам сертификации средств защиты информации
• Требования ФСТЭК России к сертифицированным операционным системам

Модуль 3. Архитектура и режимы функционирования средств защиты информации Astra Linux Special Edition

• Особенности и преимущества операционной системы Astra Linux Special Edition
• Архитектура подсистемы защиты PARSEC операционной системы Astra Linux Special Edition
• Режимы функционирования (Базовый, Усиленный, Максимальный) средств защиты информации операционной системы Astra Linux Special Edition
• Практическая работа: Архитектура и режимы функционирования средств защиты информации Astra Linux Special Edition

Модуль 4. Мандатный контроль целостности в Astra Linux Special Edition

• Определение мандатного контроля целостности
• Уровни целостности
• Работа на низком и высоком уровне целостности
• Управление мандатным контролем целостности
• Администрирование ОС при включенном режиме мандатного контроля целостности

Модуль 5. Мандатное управление доступом в Astra Linux Special Edition

• Дискреционное и мандатное управление доступом
• Реализация мандатного управления доступом
• Уровни конфиденциальности и неиерархические категории
• Мандатные метки корневого и системных каталогов
• Администрирование мандатного управления доступом
• PARSEC-привилегии
• Практическая работа: Организация файловой системы для работы пользователей в рамках мандатного управления доступом и мандатного контроля целостности.

Модуль 6. Настройка подсистемы аудита в Astra Linux Special Edition

• Архитектура аудита PARSEC
• Утилита просмотра журналов аудита
• Настройка политики аудита
• Практическая работа: Администрирование аудита в рамках реализации мандатного контроля целостности. Настройка аудита

Модуль 7. Реализация замкнутой программной среды. Проверка целостности подсистемы защиты

• Возможности замкнутой программной среды
• Механизм контроля целостности исполняемых файлов
• Настройка модуля digsig_verif
• Подписывание программного обеспечения
• Регламентный контроль целостности
• Практическая работа: Работа администратора и пользователей в режиме замкнутой программной среды.

Модуль 8. Режим киоска

• Назначение режима киоск
• Графический киоск
• Запуск приложений в графическом киоске в разных режимах
• Настройка ограничений пользователя по запуску программ
• Системный киоск
• Практическая работа: Настройка графического киоска. Работа в режиме киоска.

Модуль 9. Сетевое взаимодействие в Astra Linux Special Edition

• Внедрение меток безопасности в IPv4 и IPv6 пакеты
• Особенности работы сетевых служб при использовании мандатного управления доступом. Механизм privsock
• Создание защищенных каналов с помощью OpenVPN
• Виды соединений и принципы работы OpenVPN
• Установка и быстрая настройка сервера OpenVPN
• Настройка клиента OpenVPN
• Расширенные настройки OpenVPN и управление сертификатами
• Диагностика работы OpenVPN
• Маркировка документов, отправляемых на печать
• Настройка межсетевого экрана (ufw, gufw). Фильтрация сетевого трафика по меткам конфиденциальности
• Практическая работа: Основные настройки системы и сетевых служб с точки зрения мандатного управления доступом. Настройка OpenVPN. Настройка межсетевого экрана.

Модуль 10. Мандатное управление доступом в СУБД PostgreSQL

• Управление доступом к защищаемым ресурсам БД
• Конфигурационные параметры для настройки работы сервера СУБД с мандатным управлением доступа
• Средства управления мандатным доступом к объектам БД
• Целостность мандатных атрибутов кластера БД
• Особенности создания правил и триггеров
• Система привилегий СУБД
• Практическая работа: Работа пользователей с разными мандатными уровнями с БД, в которой данные имеют различные метки безопасности.

Модуль 11. Дополнительные функции безопасности системы

• Монитор безопасности
• Общие настройки безопасности
• Установка квот на использование ресурсов
• Блокировка системных параметров и действий пользователя
• Управление безопасностью ядра и модулей
• Дополнительные настройки безопасности для пользователей системы

Модуль 12. Red Book: настройка безопасной конфигурации для Astra Linux Special Edition 1.7

• Действия перед установкой Astra Linux Special Edition
• Действия во время установки Astra Linux Special Edition
• Действия после установки Astra Linux Special Edition
• Изменение настроек политики учетной записи пользователя
• Настройка межсетевого экрана
• Системные параметры
• Блокировка одновременной работы с разными уровнями конфиденциальности в пределах одной сессии
• Блокировка интерпретаторов и bash
• Режим замкнутой программной среды
• Политика очистки памяти
• Мандатный контроль целостности, защита файловой системы
• Действия в процессе эксплуатации Astra Linux Special Edition
• Практическая работа: Настройка защищенного режима работы Astra Linux Special Edition в соответствии с Astra Linux Red-Book.

Сертификат вендора и Удостоверение о повышении квалификации в Академии АйТи

Предварительные требования:

• успешное окончание курса«AL-1702. Администрирование ОС Astra Linux Special Edition 1.7» или эквивалентная подготовка;
• успешное окончание курса «AL-1703. Расширенное администрирование ОС Astra Linux Special Edition 1.7» или эквивалентная подготовка.

0 отзывов

Array ( [DISPLAY_DATE] => Y [DISPLAY_NAME] => Y [DISPLAY_PICTURE] => Y [DISPLAY_PREVIEW_TEXT] => Y [AJAX_MODE] => N [IBLOCK_TYPE] => Reviews [IBLOCK_ID] => 47 [NEWS_COUNT] => 20 [SORT_BY1] => ACTIVE_FROM [SORT_ORDER1] => DESC [SORT_BY2] => SORT [SORT_ORDER2] => ASC [USE_FILTER] => Y [FILTER_NAME] => arrFilter [FIELD_CODE] => Array ( ) [PROPERTY_CODE] => Array ( [0] => COMMENT [1] => USER [2] => STATUS [3] => COURSE ) [CHECK_DATES] => 1 [DETAIL_URL] => [PREVIEW_TRUNCATE_LEN] => 0 [ACTIVE_DATE_FORMAT] => d.m.Y [SET_TITLE] => [SET_BROWSER_TITLE] => N [SET_META_KEYWORDS] => N [SET_META_DESCRIPTION] => Y [SET_STATUS_404] => N [INCLUDE_IBLOCK_INTO_CHAIN] => [ADD_SECTIONS_CHAIN] => [HIDE_LINK_WHEN_NO_DETAIL] => [PARENT_SECTION] => 0 [PARENT_SECTION_CODE] => [INCLUDE_SUBSECTIONS] => 1 [CACHE_TYPE] => A [CACHE_TIME] => 0 [CACHE_NOTES] => [CACHE_FILTER] => [CACHE_GROUPS] => Y [PAGER_TEMPLATE] => .default [DISPLAY_TOP_PAGER] => [DISPLAY_BOTTOM_PAGER] => 1 [PAGER_TITLE] => Новости [PAGER_SHOW_ALWAYS] => [PAGER_DESC_NUMBERING] => [PAGER_DESC_NUMBERING_CACHE_TIME] => 36000 [PAGER_SHOW_ALL] => [AJAX_OPTION_JUMP] => N [AJAX_OPTION_STYLE] => Y [AJAX_OPTION_HISTORY] => N [AJAX_OPTION_ADDITIONAL] => [COMPONENT_TEMPLATE] => list-review [~DISPLAY_DATE] => Y [~DISPLAY_NAME] => Y [~DISPLAY_PICTURE] => Y [~DISPLAY_PREVIEW_TEXT] => Y [~AJAX_MODE] => N [~IBLOCK_TYPE] => Reviews [~IBLOCK_ID] => 47 [~NEWS_COUNT] => 20 [~SORT_BY1] => ACTIVE_FROM [~SORT_ORDER1] => DESC [~SORT_BY2] => SORT [~SORT_ORDER2] => ASC [~USE_FILTER] => Y [~FILTER_NAME] => arrFilter [~FIELD_CODE] => Array ( [0] => [1] => ) [~PROPERTY_CODE] => Array ( [0] => COMMENT [1] => USER [2] => STATUS [3] => COURSE [4] => ) [~CHECK_DATES] => Y [~DETAIL_URL] => [~PREVIEW_TRUNCATE_LEN] => [~ACTIVE_DATE_FORMAT] => d.m.Y [~SET_TITLE] => N [~SET_BROWSER_TITLE] => N [~SET_META_KEYWORDS] => N [~SET_META_DESCRIPTION] => Y [~SET_STATUS_404] => N [~INCLUDE_IBLOCK_INTO_CHAIN] => N [~ADD_SECTIONS_CHAIN] => N [~HIDE_LINK_WHEN_NO_DETAIL] => N [~PARENT_SECTION] => [~PARENT_SECTION_CODE] => [~INCLUDE_SUBSECTIONS] => Y [~CACHE_TYPE] => A [~CACHE_TIME] => 36000000 [~CACHE_NOTES] => [~CACHE_FILTER] => N [~CACHE_GROUPS] => Y [~PAGER_TEMPLATE] => .default [~DISPLAY_TOP_PAGER] => N [~DISPLAY_BOTTOM_PAGER] => Y [~PAGER_TITLE] => Новости [~PAGER_SHOW_ALWAYS] => N [~PAGER_DESC_NUMBERING] => N [~PAGER_DESC_NUMBERING_CACHE_TIME] => 36000 [~PAGER_SHOW_ALL] => N [~AJAX_OPTION_JUMP] => N [~AJAX_OPTION_STYLE] => Y [~AJAX_OPTION_HISTORY] => N [~AJAX_OPTION_ADDITIONAL] => [~COMPONENT_TEMPLATE] => list-review [SET_LAST_MODIFIED] => [SECTION_URL] => [IBLOCK_URL] => [STRICT_SECTION_CHECK] => [PAGER_BASE_LINK_ENABLE] => N [PAGER_BASE_LINK] => [INTRANET_TOOLBAR] => [CHECK_PERMISSIONS] => 1 [MESSAGE_404] => [SHOW_404] => N [FILE_404] => [USE_PERMISSIONS] => [GROUP_PERMISSIONS] => Array ( [0] => 1 ) )

Об этом курсе отзывов пока нет. Будьте первым.

Курс Безопасность в ОС Astra Linux Special Edition 1.7

Научить слушателей настраивать Astra Linux Special Edition в соответствии с рекомендациями, изложенными в Red Book.

Аудитория

• администраторы безопасности OC Linux

• системные администраторы, обеспечивающие безопасность сетевой инфраструктуры посредством ОС Astra Linux Special Edition

• соискатели на получение смежной компетенции специалиста по информационной безопасности

Предварительная подготовка

Успешное окончание курсов

После окончания курса выпускники будут знать и уметь

• нормативные документы ФСТЭК России;

• принципы построения защищенной операционной системы;

• понимать принципы мандатного контроля целостности и мандатного управления доступом;

• работать с Astra Linux Special Edition при использовании различных режимов функционирования ее средств защиты информации (Базовый, Усиленный, Максимальный);

• настраивать локальные политики безопасности;

• настраивать учетные записи пользователей и групп, в соответствии с политикой безопасности предприятия;

• настраивать режим замкнутой программной среды;

• настраивать режим киоска;

• настраивать подсистему аудита;

• администрировать подсистемы мандатного контроля целостности и мандатного управления доступом;

• понимать особенности работы сетевых служб при использовании мандатных уровней доступа;

• понимать мандатное управление доступом в СУБД PostgreSQL;

• настраивать Astra Linux Special Edition в соответствии с рекомендациями, изложенными в Red Book;

• настраивать печать документов с маркировкой;

• настраивать защищенные каналы с помощью OpenVPN

Расписание и цены

Форма обучения	Академ. часы	Ближайшая группа	Цена
Частные лица	Организации
Дистанционный

Место проведения:
Красноярск, Время начала занятий местное
27.11.2023 10:00:00
Место проведения:
Москва, Время начала занятий московское
27.11.2023 10:00:00
27.11.2023 10:00:00

Форма обучения	Академ. часы	Ближайшая группа	Цена
Частные лица	Организации
Дистанционный

Место проведения:
Красноярск, Время начала занятий местное
27.11.2023 10:00:00

Форма обучения	Академ. часы	Ближайшая группа	Цена
Частные лица	Организации
Дистанционный

Место проведения:
Москва, Время начала занятий московское
27.11.2023 10:00:00
27.11.2023 10:00:00
Заказать обучение

Спасибо за оставленную заявку, в ближайшее время наш менеджер свяжется и согласует с вами детали проведения курсов.

Этот курс набирает желающих участников. Отправьте заявку на участие, а когда наберётся достаточное количество, мы с вами свяжемся.

Заказать обучение
Пожалуйста, укажите как вас зовут
Контактный телефон
Пожалуйста, укажите свой контактный телефон
Особые пожелания
Отправить заявку —> Отправить заявку
Программа курса

МОДУЛЬ 1. Компьютерная безопасность, общие сведения. Построение защищенных операционных систем. Формальные модели управления доступом

• История развития теории и практики обеспечения компьютерной безопасности. Основные понятия и определения;

• Принципы построения защищенной операционной системы;

• Подходы к построению защищенных операционных систем;

• Архитектура подсистемы защиты операционной системы;

• Основные функции подсистемы защиты операционной системы;

• Идентификация, аутентификация и авторизация субъектов доступа;

• Управление доступом к объектам операционной системы;

• Правила управления доступом;

• Основные модели управления доступом;

• Сравнительный анализ моделей управления доступом.

МОДУЛЬ 2. Нормативные документы ФСТЭК России, регламентирующие требования безопасности информации

• Основополагающие законы и подзаконные акты в области информационной безопасности;

• Основные стандарты в области информационной безопасности;

• Обзор нормативно-правовых актов ФСТЭК России по вопросам защиты информации ограниченного доступа;

• Обзор нормативно-правовых актов, руководящих и методических документов ФСТЭК России по вопросам сертификации средств защиты информации;

• Требования ФСТЭК России к сертифицированным операционным системам.

МОДУЛЬ 3. Архитектура и режимы функционирования средств защиты информации Astra Linux Special Edition

• Особенности и преимущества операционной системы Astra Linux Special Edition;

• Архитектура подсистемы защиты PARSEC операционной системы Astra Linux Special Edition;

• Режимы функционирования (Базовый, Усиленный, Максимальный) средств защиты информации операционной системы Astra Linux Special Edition.

Практическая работа: Архитектура и режимы функционирования средств защиты информации Astra Linux Special Edition

МОДУЛЬ 4. Мандатный контроль целостности в Astra Linux Special Edition

• Определение мандатного контроля целостности;

• Работа на низком и высоком уровне целостности;

• Управление мандатным контролем целостности;

• Администрирование ОС при включенном режиме мандатного контроля целостности.

МОДУЛЬ 5. Мандатное управление доступом в Astra Linux Special Edition

• Дискреционное и мандатное управление доступом;

• Реализация мандатного управления доступом;

• Уровни конфиденциальности и неиерархические категории;

• Мандатные метки корневого и системных каталогов;

• Администрирование мандатного управления доступом;

Практическая работа: Организация файловой системы для работы пользователей в рамках мандатного управления доступом и мандатного контроля целостности.

МОДУЛЬ 6. Настройка подсистемы аудита в Astra Linux Special Edition

Продолжительность модуля/практической работы: 90 мин/30 мин

• Архитектура аудита PARSEC;

• Утилита просмотра журналов аудита;

• Настройка политики аудита.

Практическая работа: Администрирование аудита в рамках реализации мандатного контроля целостности. Настройка аудита.

МОДУЛЬ 7. Реализация замкнутой программной среды. Проверка целостности подсистемы защиты

• Возможности замкнутой программной среды;

• Механизм контроля целостности исполняемых файлов;

• Настройка модуля digsig_verif;

• Подписывание программного обеспечения;

• Регламентный контроль целостности.

Практическая работа: Работа администратора и пользователей в режиме замкнутой программной среды.

МОДУЛЬ 8. Режим киоска

• Назначение режима киоск;

• Запуск приложений в графическом киоске в разных режимах;

• Настройка ограничений пользователя по запуску программ;

Практическая работа: Настройка графического киоска. Работа в режиме киоска.

МОДУЛЬ 9. Сетевое взаимодействие в Astra Linux Special Edition

• Внедрение меток безопасности в IPv4 и IPv6 пакеты;

• Особенности работы сетевых служб при использовании мандатного управления доступом. Механизм privsock;

• Создание защищенных каналов с помощью OpenVPN:

— Виды соединений и принципы работы OpenVPN;

— Установка и быстрая настройка сервера OpenVPN;

— Настройка клиента OpenVPN;

— Расширенные настройки OpenVPN и управление сертификатами;

— Диагностика работы OpenVPN;

• Маркировка документов, отправляемых на печать;

• Настройка межсетевого экрана (ufw, gufw). Фильтрация сетевого трафика по меткам конфиденциальности.

Практическая работа: Основные настройки системы и сетевых служб с точки зрения мандатного управления доступом. Настройка OpenVPN. Настройка межсетевого экрана.

МОДУЛЬ 10. Мандатное управление доступом в СУБД PostgreSQL

• Управление доступом к защищаемым ресурсам БД;

• Конфигурационные параметры для настройки работы сервера СУБД с мандатным управлением доступа;

• Средства управления мандатным доступом к объектам БД;

• Целостность мандатных атрибутов кластера БД;

• Особенности создания правил и триггеров;

• Система привилегий СУБД.

Практическая работа: Работа пользователей с разными мандатными уровнями с БД, в которой данные имеют различные метки безопасности.

МОДУЛЬ 11. Дополнительные функции безопасности системы

• Общие настройки безопасности;

• Установка квот на использование ресурсов;

• Блокировка системных параметров и действий пользователя;

• Управление безопасностью ядра и модулей;

• Дополнительные настройки безопасности для пользователей системы.

Практическая работа

МОДУЛЬ 12. Red Book: настройка безопасной конфигурации для Astra Linux Special Edition 1.7

• Действия перед установкой Astra Linux Special Edition;

• Действия во время установки Astra Linux Special Edition;

• Действия после установки Astra Linux Special Edition:

— Изменение настроек политики учетной записи пользователя;

— Настройка межсетевого экрана;

— Блокировка одновременной работы с разными уровнями конфиденциальности в пределах одной сессии

— Блокировка интерпретаторов и bash;

— Режим замкнутой программной среды;

— Политика очистки памяти;

— Мандатный контроль целостности, защита файловой системы;

— Действия в процессе эксплуатации Astra Linux Special Edition.

Практическая работа: Настройка защищенного режима работы Astra Linux Special Edition в соответствии с Astra Linux Red-Book.

ИТОГОВОЕ ТЕСТИРОВАНИЕ