CC BY
194. Колыханов Д. Заглянем в завтра // Таможня. 2015. № 7 (366). С. 14-15.
5. Бормотова Е. Г., Липатова Н. Г. Межведомственное информационное взаимодействие для обеспечения выполнения контрольных функций таможенными органами: монография. М.: Изд-во Российской таможенной академии, 2014. 210 с.
6. Маховикова Г. А., Павлова Е. Е. Таможенное дело. М.: Юрайт, 2014. 408 с.
7. Электронное взаимодействие. Юридически значимые аспекты: сборник / подготовлен и издан ООО «Газинформсервис» при поддержке Экспертного центра электронного государства D-Russia.ru [Электронный ресурс]. URL: http://www.gaz-is.ru/files/Electronnoe_ vzaimodeistvie_sbornik_ gis.pdf.
А. Ф. Беззубов, В. Е. Оплетин, И. В. Синицын
ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ВЕДОМСТВЕННОГО ВУЗА ПОСРЕДСТВОМ ПРОГРАММНЫХ ПРОДУКТОВ В РАМКАХ ИМПОРТОЗАМЕЩЕНИЯ
В статье рассмотрен один из актуальнейших аспектов проблемы импортозамещения в таможенных органах - обеспечение информационной безопасности. Представлены результаты анализа программного обеспечения общего назначения с открытым кодом. Это позволит достичь необходимого уровня информационной безопасности ведомственного вуза (на примере Российской таможенной академии) и его функциональной устойчивости.
Ключевые слова: информационная безопасность; программное обеспечение с открытым кодом; вычислительные системы; импортозамещение; ведомственный вуз.
В настоящее время в Российской таможенной академии, ведомственном вузе ФТС России, используются разнообразные вычислительные системы (ВС), сети и коммуникации как универсального, так и специального назначения. Укомплектованы они в основном структурными единицами иностранного производства, что делает работу вуза зависимой от импорта основных видов обеспечения средств вычислительной техники.
Проведем анализ современных, независимых от импорта версий программных продуктов, которые могут быть использованы в Российской таможенной академии, с точки зрения их защищенности и обеспечения устойчивости функционирования.
В программном обеспечении выделяют общее и специальное программное обеспечение [1; 2]. Под общим программным обеспечением (ОПО) понимается комплекс программ, предназначенных для решения наиболее универсальных задач, необходимых для подавляющего числа пользователей [3; 4].
Типичным примером ОПО могут служить операционные системы (ОС). В настоящее время в Российской таможенной академии в основном используется семейство операционных систем MS Windows.
Операционная система - самая важная часть программного обеспечения любой ВС. ОС представляет собой комплекс управляющих и обрабатывающих программ, которые, с одной стороны, выступают как интерфейс взаимодействия
между устройствами ВС вместе с прикладными программами и человеком, а с другой - предназначены для управления устройствами ВС, вычислительными процессами, эффективного автоматизированного распределения вычислительных ресурсов между вычислительными процессами и организации надежных вычислений.
В современных ОС для обеспечения требуемого уровня защищенности и устойчивости функционирования должны быть реализованы следующие механизмы [5]:
1. Мандатное разграничение доступа.
Принятие решения о запрете или разрешении доступа субъекта к объекту принимается на основе операции типа чтение/запись/исполнение, мандатного контекста безопасности, связанного с каждым субъектом, и мандатной метки, связанной с объектом. Для работы пользователей и разработки прикладных программ необходима системная библиотека с удобным программным интерфейсом доступа к механизму мандатного разграничения доступа.
2. Изоляция модулей.
Ядро ОС должно обеспечивать для каждого процесса в системе собственное изолированное адресное пространство. Данный механизм изоляции основан на страничном механизме защиты памяти, а также механизме трансляции виртуального адреса в физический. Любой доступ нескольких процессов к одному и тому же участку памяти должен обрабатываться диспетчером доступа.
3. Маркировка документов.
Механизм маркировки позволяет серверу печати проставлять необходимые учетные данные в выводимых на печать документах. Мандатные атрибуты автоматически связываются с заданием для печати на основе мандатного контекста получаемого сетевого соединения. Субъектам доступа, работающим в мандатном контексте с грифом выше «несекретно», вывод на печать документов без маркировки не представляется возможным.
4. Регистрация событий.
Подсистема протоколирования должна быть интегрирована во все компоненты операционной системы и осуществлять надежную регистрацию событий с использованием специального сервиса.
5. Защита информации в графической подсистеме.
В графической подсистеме целесообразно использовать Х-сервер Хо^, пользовательский рабочий стол, а также ряд программных средств, предназначенных как для пользователей, так и для администраторов системы.
Рабочий стол пользователя должен быть интегрирован с механизмами защиты информации.
6. Ограничение действий пользователя (режим «киоск»).
Режим «киоск» служит для ограничения прав пользователей в системе.
Степень этих ограничений задается маской «киоска», которая накладывается на права доступа к файлу при любой попытке пользователя получить доступ.
Для установки прав доступа существует система профилей - файлы с готовыми наборами прав доступа для запуска каких-либо программ. Специальные средства позволяют создать такие профили под любые пользовательские задачи.
7. Защита адресного пространства процессов.
В операционной системе для исполняемых файлов используется формат, позволяющий установить режим доступа к сегментам в адресном пространстве
процесса. Централизованная система сборки программного обеспечения гарантирует установку минимально необходимого набора функций для гарантированной работы программного обеспечения.
8. Контроль замкнутости программной среды.
Этот механизм обеспечивает проверку неизменности и подлинности загружаемых исполняемых файлов в формате ELF. Проверка производится на основе проверки векторов аутентичности, рассчитанных в соответствии с ГОСТ Р 34.10-2012 и внедряемых в исполняемые файлы в процессе сборки [6].
Существует возможность предоставления сторонним разработчикам программного средства для внедрения векторов аутентичности в разрабатываемое ими программное обеспечение.
9. Контроль целостности.
Для решения задач контроля целостности применяется функция хэширования в соответствии с ГОСТ Р 34.11-2012 [7]. Базовой утилитой контроля целостности является программное средство на основе открытого проекта «Another File Integrity Checker».
10. Организация домена.
При наличии нескольких ВС специальных комплексов они могут быть объединены в сетевые структуры, которые поддерживают различные подсистемы на базе открытых стандартов LDAP.
Далее рассмотрим особенности применения используемых в Российской таможенной академии операционных систем и возможность их замены на ОС с открытым кодом. Для обработки информации в вузе в настоящее время в основном применяются ОС MS Windows - 7,8.1,10 и MS Windows Server 2008 R2, 2012 R2. Данные операционные системы являются системами с закрытым кодом, который содержит несколько миллионов инструкций, что делает практически невозможным анализ таких ОС с целью нахождения в них деструктивных вставок [1; 2; 8]. Разработчиком этих ОС является компания Microsoft, головной офис которой находится в США.
Операционные системы MS Windows - 7,8.1,10; MS Windows Server 2008 R2, 2012 R2 требуют сложного квалифицированного системного сопровождения. Простые ошибки в их администрировании могут приводить к фатальным последствиям в устойчивости работы системы и потерям важной информации при несанкционированном доступе к ней.
Проблемы усугубляются отсутствием в нашей стране полной спецификации на основную файловую систему NTFS, которая является важной частью безопасности данной операционной системы. Кроме того, для этих ОС проблематично создавать комплексы эффективно работающих антивирусных систем.
Достаточно длительный период эксплуатации операционных систем семейства MS Windows (более 10 лет) позволил более глубоко проанализировать их потенциальные уязвимости, что существенно повысило вероятность эффективных деструктивных воздействий злоумышленников (нарушителей) на этот вид ОС.
Из вышеперечисленного следует, что ОС MS Windows - 7,8.1,10; MS Windows Server 2008 R2, 2012 R2 в перспективе нецелесообразно использовать в Российской таможенной академии.
Рассмотрим существующие операционные системы с открытым кодом, которые могут применяться в Российской таможенной академии.
Операционная система МСВС 5.0 - это мобильная, многопользовательская, многозадачная операционная система, поддерживающая симметричные многопроцессорные архитектуры и работающая как в режиме командной строки, так и в режиме графического интерфейса. Она сертифицирована в системе сертификации средств защиты информации по требованиям безопасности информации.
Защищенная операционная система Astra Linux Special Edition («Смоленск») прошла сертификацию на соответствие:
- требованиям руководящего документа «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Решение председателя Гостехкомиссии России от 30.03.1992) - по третьему классу защищенности [9];
- требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларирован-ных возможностей» (приказ председателя Гостехкомиссии России от 04.06.1999 № 114) - по второму уровню контроля [10];
- реальным и декларируемым в документации функциональным возможностям.
Компанией АО «МЦСТ» для ВС с архитектурой «Эльбрус» создана, сопровождается и постоянно развивается ОС «Эльбрус» (семейство Linux Debian). Она основана на базе ядра Linux 2.6.33 ОС «эльбрус» и обеспечивает многозадачный и многопользовательский режимы работы. Для нее разработаны особые механизмы управления процессами, виртуальной памятью, прерываниями, сигналами, синхронизацией, поддержка тегированными вычислениями [11].
Для использования ВС серии «Эльбрус» в ответственных системах проделана фундаментальная работа по преобразованию ОС Linux в операционную систему, поддерживающую режим работы в реальном времени, для чего были реализованы актуальные оптимизации в ядре, а на базе стандартной библиотеки управления потоками вычислений и синхронизацией libpthread была создана собственная оптимизированная библиотека Elpthread. В ходе работы в режиме реального времени на такой ОС можно устанавливать различные режимы обработки внешних прерываний, планирования вычислений, обменов с дисковыми накопителями и некоторые другие.
Основой такой ОС является библиотека. Glibc (GNU C Library) - свободно распространяемая библиотека Си, которая обеспечивает системные вызовы и основные функции, такие как open, malloc, printf и т. д. Glibc используется в различных ОС и на разных архитектурах, чаще всего х86-машинах с ОС Linux. Также официально поддерживаются архитектуры SPARC и «Эльбрус».
В ядро ОС «Эльбрус» встроен комплекс средств защиты информации (КСЗИ) от несанкционированного доступа (НСД). Полное функционирование КСЗИ ОС «Эльбрус» должно обеспечивать требуемый уровень защиты информации от НСД при работе ВС в составе специализированных автоматизированных систем. КСЗИ реализуется использованием системных вызовов, библиотек подпрограмм, конфигурированием системы. КСЗИ от НСД ОС «Эльбрус» предоставляет возможность применять средства вычислительной техники (СВТ) серии «Эльбрус» в составе ВС для построения автоматизированных систем с классами защищенности от НСД. В этом случае СВТ:
а) соответствуют требованиям второго класса защищенности от НСД [9];
б) позволяют проводить сертификацию ОПО СВТ по второму уровню контроля недекларированных возможностей [10].
Результаты анализа показали, что наиболее полно вышеперечисленным требованиям соответствуют ОС Linux МСВС-5.0, Astra Linux Spécial Edition «Смоленск» и ОС «Эльбрус». Эти подсистемы поддерживают архитектуру х64 и могут быть рекомендованы для использования в вычислительных системах Российской таможенной академии универсального и специального назначения, в том числе и для обработки конфиденциальной информации. Большинство дистрибутивов Linux распространяется под свободной лицензией, что означает возможность изменения кода ОС под свои нужды. Открытость кода гарантирует отсутствие шпионских модулей в системе, а также позволяет всем желающим вносить свой посильный вклад в разработку ОС. Именно за счет открытости сообщество Linux быстро развивается, что, в свою очередь, положительно сказывается на скорости разработки и качестве поддержки пользователей свободного ПО.
Для работы с нережимной информацией может применяться ОС LINUX UBUNTU последних версий. Данные ОС являются открытыми и поставляются с исходными программными кодами. Это значительно упрощает модернизацию и исправление ошибок в ОС и гарантирует отсутствие деструктивных закладок. Данные ОС бесплатные, так как базируются на открытой и свободной ОС Linux семейства Debian, платной является только техническая поддержка. При этом предпочтительнее использовать ОС «Эльбрус», поддерживающую режим работы в реальном времени, что важно для специальных мобильных объектов, применяемых в Российской таможенной академии. Отметим также, что ОС «Эльбрус» очень эффективно использует отечественное техническое обеспечение.
К общему прикладному программному обеспечению можно отнести офисное программное обеспечение. В Российской таможенной академии применяются офисные комплексы семейства Microsoft Office, производимые в США. Исследования показывают, что они неустойчивы к воздействию макровирусов, что может привести к разрушению ВС. Кроме того, в них закрыт исходный код, поэтому невозможна защита от воздействия деструктивных вкладышей.
OpenOffice - многофункциональное офисное ПО, обладающее большой эффективностью. Несмотря на то, что это ПО принадлежит американской корпорации oracle, оно имеет открытый код, поэтому его можно использовать в Российской таможенной академии.
Libreoffice - офисное ПО, обладающее широкими функциональными возможностями, большой эффективностью и надежностью. По форматам документов оно имеет высокую степень совместимости с документами MS office различных версий, а также открытый код, что позволяет проводить контроль деструктивных закладок. Этот офис разрабатывается и поддерживается сообществом программистов. Имеется очень жесткий контроль по выполнению макросов, что препятствует внедрению в него компьютерных вирусов. Данный комплекс является свободно-бесплатным, что позволяет использовать его в качестве основной офисной системы в Российской таможенной академии.
При рассмотрении вопроса импортозамещения в области программного обеспечения в вузе необходимо учитывать риски, которые связаны с возможным
изменением порядка регулирования закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд, а также с недостаточным финансированием развития информационно-коммуникационных технологий в таможенных органах [12].
Проведенный комплексный анализ программного обеспечения, которое можно использовать в Российской таможенной академии, позволяет сформулировать следующие аргументы в пользу использования ОС семейства Linux вместо ОС семейства Windows:
- ОС Linux представляет собой бесплатную операционную систему. Практически все операционные системы на основе Linux распространяются бесплатно (исключая коммерческие версии для корпоративного сегмента);
- данная ОС имеет бесплатные прикладные программы и приложения, что обеспечивает доступ к большому количеству бесплатного ПО, которое готово к установке в любом дистрибутиве Linux «прямо из коробки»;
- система обладает повышенным уровнем безопасности, так как берет свое начало от семейства Unix. Все загружаемые из репозитариев программы проходят проверку. Это сделано для того, чтобы свести к минимуму риск заражения компьютера вредоносным ПО;
- одним из основных преимуществ любого дистрибутива Linux является бережное и разумное использование ресурсов системы. Запустить Linux возможно даже на компьютере с устаревшими компонентами;
- обеспечение конфиденциальности является одним из самых весомых аргументов в современных условиях. С учетом этого применение ОС Windows 10 представляется опасным, так как она имеет настройки, позволяющие системе передавать конфиденциальные данные за рубеж. В любом же дистрибутиве Linux хозяином положения является пользователь, где конфиденциальные данные имеют реальную защиту от утечки информации;
- широкий спектр настроек интерфейса ОС Linux предоставляет возможность пользователю организовать свое рабочее пространство таким, каким он хочет его видеть.
Использование программного обеспечения на основе открытого кода позволит выполнять в Российской таможенной академии все функции, которые требуют применения информационно-коммуникационных технологий, а также обеспечить достаточный уровень информационной безопасности.
Использованные источники
1. Таненбаум Э, Уэзеролл Д. Компьютерные сети. СПб.: Питер, 2012. 960 с.
2. Олифер В. Г., Олифер Н. А. Сетевые операционные системы. СПб.: Питер, 2012. 544 с.
3. Толковый словарь по вычислительным системам = Dictionary of Computing / под ред. В. Иллингуорта и др.; пер. с англ. А. К. Белоцкого и др.; под ред. Е. К. Масловского. М.: Машиностроение, 1990. 560 с.
4. Батоврин В. К. Толковый словарь по системной и программной инженерии. М.: ДМК Пресс, 2012. 280 с.
5. Мельников В. П., Клейменов С. А., Петраков А. М. Информационная безопасность и защита информации. М.: Академия, 2011. 332 с.
6. ГОСТ Р 34.10-2012. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи [Электронный ресурс]. URL: http://gostrf.eom/normadata/1/4293788/4293788463.pdf (34.10-2012).
7. ГОСТ Р 34.11-2012. Информационная технология. Криптографическая защита информации. Функция хэширования [Электронный ресурс]. URL: http://gostrf.com/standart/52/ 52502.htm (34.11-2012).
8. Маглинец Ю. А. Анализ требований к автоматизированным информационным системам. М.: Бином, 2008. 235 с.
9. http://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/385-rukovodyashchij-dokument-reshenie-predsedatelya-gostekhkomissii-rossii-ot-30-marta-1992-g2.
10. http://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/382-rukovodyashchij-dokument-prikaz-predsedatelya-gostekhkomissii-rossii-ot-4-iyunya-1999-g-n-114.
11. http://www.mcst.ru/os_elbrus.
12. Данилин Д. В., Мантусов В. Б., Саенко В. В., Липатова Н. Г., Сомов Ю. И. Концептуальные положения импортозамещения в таможенных органах Российской Федерации // Вестник Российской таможенной академии. 2016. № 3. С. 7-11.
