Миналата есен се возих някъде с метрото. Както обикновено, имам значка за смокинг на сакото си. което се вижда ясно. Обикновено почти никой не го забелязва, т.к. много скромен процент от ИТ хората знаят за Linux като цяло (въпреки факта, че сред тълпата има малко техници). Но ето двама типични червенооки в колата, гледат и гледат, все едно съм момиче с деколте. След няколко спирки не издържах - дойдох сам и попитах дали са превъзбудени от моя пингвин? Те се кикотят и мърморят нещо за това, че са разработчици на WSWS. По това време не чух нищо за WSVS и си помислих, че това е нещо малко софтуерче (може би визуално студио?). Тогава прави запитвания и открива това чудо – Мобилната система на Въоръжените сили. Както ни казва Уикипедия, това е - " защитени операционна системас общо предназначение. Разработен на базата на GNU/Linux Red Hat OS.
Бързо разбрах какво е какво, каква система е и как различните сегменти от населението се отнасят към нея. Затова по-долу ще изразя моето субективно мнение, което се оказа трудно, но - бих искал - справедливо.
И така, имаме Red Hat Linux от 2002 г., първоначално съдържащ ядрото 2.2 и впоследствие надграден до най-новите версии на клона 2.4.x. боклуци? да Тази система използва работна среда, който е изрязан и леко облагороден Equinox, наричан тук като лосове(QT версия на ekinox). Изглежда старомодно, но някак прекалено – дори по-сурово от оцелялата до днес EcomStation. последна версия- WSWS 3.0 - получи интерфейс като Win XP Luna и дори частично премина от fltk към qt3. Но, по един или друг начин, WSWS използва стар софтуер, стар работен плот и по всякакъв възможен начин се противопоставя на съвременните тенденции - уж в името на сигурността. Няма да я ритна за това, тъй като аз самият обичам бизнес среда, а не „фотоалбум“ с ярки опаковки от бонбони вместо работен плот.
Смисълът е друг. Голяма част от WSWS е GPL2 лицензиран код, който не може да бъде присвоен и преразпространен под собствено име. Ако компилираната програма е покрита от GPL2, тогава доставчикът трябва дапредостави на потребителя източниктова са програми - директно или чрез препратка. Какво направи VNIINS като разработчик на "домашна" ОС? Тази организация присвои целия код за себе си, предавайки получената сборка на Linux като своя интелектуална собственост.
Невъзможно е да получите WSWS кода, но това не е всичко. В някои програми в рамките на WSVS всички препратки към авторите на тези програми са изтрити, навсякъде същият VNIINS е посочен от разработчика. Как да го нарека, ако не bydlyachestvo, кражба и redneck, характерни за руските военни институции? Разпространението на тази ОС е по същество продажба на крадени стоки. Цената, между другото, не е напълно известна. Според някои доклади кутия с WSVS струва 18 000 рубли през 2007 г. Не е зле за работа, 90% извършена от общността? Ако някой се интересува от това къде и как кодът е откраднат, тогава в мрежата има достатъчно хора, които дадоха достоен упрек на този занаят. По-конкретно се пише за плюенето на GPL2, например, .
По същество четенето на коментарите на потребителите на WSWS е калай за това, което е. Е, например:
Руският Linux за руските офицери не е смешен. Това е моята сурова реалност. Нарича се WSWS и работи... странно. Например, папките не се отварят за първи път. И в сървъра под него е невъзможно да се променят здраво свързаните параметри и по принцип htaccess не работи. (тиц).
Например, извън кутията, той не знае как да върти трупи правилно, така че ако просто поставите WSWS и го оставите сам, след известно време системата ще погълне всичко свободно мястои колапс.
Ако настроите потребителя на локал, различен от руски, тогава ще бъде невъзможно да влезете в системата, тъй като локалният мениджър на прозорци Elk (откраднат FLTK) е премахнал всички преводи, с изключение на руски (включително английски).
И най-интересният проблем там е този. Създавайте текстов файл. В X терминала (това не работи от текстова конзола) изпълняваме скрипта, съдържащ "cat filename". Изпълняваме този скрипт, пренасочвайки изхода му към друг файл. И виждаме, че изходният файл е със седем байта по-голям от оригиналния: системата е добавила нещо към началото му (изглежда като няколко безсмислени знака). (тиц).
> Да кажем, че изобщо нямах браузър (освен lynx). И в рецензиите се споменава нейният браузър.
Има браузър. Нарича се ГОДИНА (показване на хипертекстови данни). Продава се като отделен модул за отделни пари, около 15 хиляди рубли, ако вакуумът в главата ми не ме промени. (тиц).
Кофти система. За съжаление, на работа трябва да се забърквате с него.
Основен браузър - KGOD (Клиент за обработка на хипертекст) - Mozilla 0.9 или така
Офис пакет - KP "Office" - бъги версия на OpenOffice.
Накратко, претенциите към разработчиците непрекъснато валят с изискване да го поправят - но можете да чакате месеци за поправка. (тици)
WSWS 3.0 излезе около 2002 г., беше базиран на RedHat 7.3, ако не се лъжа. Включва ядро 2.2.x, работният плот беше KDE версия 2. Последните издания са собствена компилация, ядро 2.4, slave. маса ЕЛК. Той беше избран специално поради приликата с Windows. Нито браузърът GOD, нито сървърът GOD, нито KP Office (OpenOffice 1.0), нито DBMS Linter (PostgreSQL 7.3) са включени в стандартната доставка, а се продават отделно. Системата се провали напълно. Трудно е да се каже какво ни попречи да направим нормална Linux дистрибуция, дали трудността със сертифицирането, или персоналът от програмисти от студенти, или желанието да спечелим повече пари, като правим повече изследователска и развойна работа. Във всеки случай, въпреки че заповедта за внедряване на това творение е издадена през 2002 г., системата никога не е била напълно внедрена дори в организациите-майки. На местата, където работят по него, хората инсталират NT 4.0 и MSOffice97 в емулатори и ги използват. Проблемът с внедряването все още е в баналната липса на специалисти по linux. Преди цялото това предприятие беше лобирано от заместник-министъра на отбраната по въоръженията Московски, сега шефът се смени и ВНИИНС изпитва трудности. Нещата не станаха, те подготвят KP Office 2.0 (OpenOffice 2.0), разработват други програми ... (
Със сигурност поне някои от нашите читатели са се замисляли каква операционна система се използва в нашите въоръжени сили. В крайна сметка всички разбираме, че Windows не може да се инсталира на нито една ракетна система, която е на бойно дежурство. Днес ще отворим леко завесата на тайната и ще говорим за WSWS OS. Този т.нар Мобилна системаИмето му говори за обхвата на приложение, но ние ще кажем за това как е подреден в общи линии.
Предпоставки за създаване
За първи път критерии за безопасност компютърни системиса формулирани в края на 60-те години. В средата на 80-те години в Съединените щати всички тези разработки бяха събрани в един документ. Така се ражда "Оранжевата книга" на Министерството на отбраната - първият стандарт за сигурност на компютърните системи. Следват подобни документи в европейските страни и Канада. През 2005 г. на тяхна база е изготвен международният стандарт за сигурност ISO/IEC 15408 „Общи критерии за сигурност”.
В Русия подобни изследвания са проведени в 22-ри ЦНИИ на Министерството на отбраната. Крайният резултат от разработките беше получаването през 2002 г. на OS WSWS във въоръжените сили на Руската федерация. През 2008 г. беше приет вариант на държавния стандарт, базиран на изискванията на ISO/IEC.
Защо армията се нуждае от собствена ОС
Операционните системи, които използваме ежедневно, не са подходящи за държавна употреба по отношение на параметрите за сигурност. Държавната техническа комисия към президента на Руската федерация ги формулира, както следва:
- Информацията трябва да бъде защитена от неоторизиран достъп, както отвътре, така и отвън.
- Системата не трябва да съдържа недокументирани функции, с други думи, не трябва да има "великденски яйца" в кода на операционната система.
В допълнение, защитената операционна система трябва да има многостепенна йерархична структура за достъп и отделни административни функции.
По този начин задачата за създаване на специализирана затворена операционна система не е толкова проста, колкото изглежда на пръв поглед. Липсата на недокументирани функции предполага, че изходният код и техническо описаниевсички работни процедури ще бъдат подробно проучени в сертификационния център. И това е областта на търговските тайни на корпорациите на собствениците или интелектуалната собственост на разработчиците. Подобен парадокс кара човек да гледа към отворени операционни системи, тъй като е почти невъзможно да се получи пълна техническа документация за патентован софтуер.
Изисквания на GOST R
FSTEC като служба, отговорна за информационна сигурноств цялата страна е установено разделение на операционната система според степента на защита на обработваната информация. За удобство всички данни са обобщени в една таблица.
От таблицата се вижда, че според редица изисквания са установени три групи и девет класа на защита срещу неоторизиран достъп и вече е направено допълнително разделение според тях за допускане до различни видове конфиденциална информация.
В сърцето на Linux
Защо Linux е толкова удобен, че доброволно се приема да служи в държавния апарат? Всъщност в по-голямата си част обикновените потребители се страхуват от него, като адски тамян. Нека да го разберем. Първо, нека обърнем внимание на лиценза, под който се разпространява Linux. Това е така нареченият GPL2 - универсалният публичен или безплатен лиценз. Всеки може да получи изходния код и да създаде свой собствен продукт въз основа на него. С други думи, никой не си прави труда да вземе най-добрите Linux дистрибуции и да ги използва в разработването на собствена сигурна операционна система.
Световен опит публични институциипоказва, че преходът към безплатен софтуер се случва навсякъде, идеята е търсена и напълно се оправдава. Водещите страни в света като САЩ, Германия, Япония и Китай и Индия, които бързо се приближават към тях, активно използват Linux в обществената сфера и образованието.
WSWS и неговото съдържание
Мобилната система версия 3.0 работи в армията десетилетие и половина, сега се заменя с по-усъвършенстван продукт и можем спокойно да погледнем "под капака" на ветерана. И така, това е мрежова операционна система, работеща в многопотребителски режим с използване GUIпотребител. Поддържа хардуерни платформи:
- Intel.
- IBM System/390.
СПАПК/Елбрус.
Беше базиран на най-добрите Linux дистрибуции, налични по това време. Много системни модули бяха заимствани от RedHat Linux и прекомпилирани, за да отговорят на изискванията на Министерството на отбраната. С други думи, мобилната система на въоръжените сили е Linux RPM дистрибуция с всички свързани приложни програмии инструменти за разработка.
Поддръжката на файлови системи е на нивото от началото на века, но тъй като най-често срещаните от тях вече съществуват тогава, този показател не е критичен.
WSWS версии
Въпреки факта, че това е мрежова операционна система, тя няма хранилища, познати на всеки потребител на Linux. софтуер. Целият софтуер се доставя на инсталационни компактдискове. Всяка програма, която се използва в тази система, е предварително сертифицирана от Министерството на отбраната. И тъй като процедурата далеч не е бърза, през всичките петнадесет години работа бяха пуснати ограничен брой версии и промени в тях.
Разработчикът на WSWS е Всеруският научноизследователски институт за автоматизация на управлението в неиндустриалната сфера. На неговия Официална страницаможете да намерите информация за версиите на WSWS, които се поддържат в момента и имат необходимите сертификати за сигурност от Министерството на отбраната.
Мобилната система на въоръжените сили за 2017 г. е представена от два поддържани комплекта:
- OS WSWS 3.0 FLIR 80001-12 (промяна № 6).
OS WSWS 3.0 FLIR 80001-12 (промяна № 4).
Версия 5.0, която се намира на уебсайта на ВНИИНС, има сертификат за сигурност от Министерството на отбраната, но никога не е била официално приета за доставка на войските.
Наследник на WSWS
Следващата защитена операционна система, която беше представена като заместител на WSWS, която служи десетилетие и половина, беше Astra Linux OS. За разлика от своя предшественик, който получи сертификат за сигурност само от Министерството на отбраната, Astra получи всички възможни сертификати в Русия, а това са документи от Министерството на отбраната, ФСБ и ФСТЕК. Благодарение на това той може да се използва във всякакви държавни агенции, а наличието на няколко версии, адаптирани за различни хардуерни платформи, допълнително разширява обхвата му. В резултат на това той може да обедини под свой контрол всички устройства - от мобилно до стационарно сървърно оборудване.
Astra Linux е модерна Linux дистрибуция, базирана на deb пакети, използва най-новата версия на ядрото и актуален софтуер. Списъкът с поддържаните процесори и техните архитектури също е разширен, за да включва модерни дизайни. Списъкът с официално публикувани версии ни позволява да се надяваме на успеха на този софтуерен продукт, поне в публичния сектор и отбранителната индустрия.
Накрая
В този материал говорихме за WSWS OS - основната операционна система на въоръжените сили на Руската федерация, която вярно служи "на служба" в продължение на 15 години и все още е на "боен пост". Освен това накратко описва нейния наследник. Може би това ще подтикне някои от нашите читатели да погледнат какво е Linux и да формират безпристрастно мнение за продукта.
Мобилната система на въоръжените сили (MSMS) е защитена, многопотребителска, многозадачна операционна система (ОС) с общо предназначение, споделяща време, разработена на базата на операционната система Red Hat Linux. ОС осигурява многостепенно приоритизиране с превантивна многозадачност, организация на виртуалната памет и пълна мрежова поддръжка; работи с мултипроцесорни (SMP - симетрична многопроцесорна обработка) и включени клъстерни конфигурации Intel платформи, IBM S390, MIPS (комплекси от серия Baguet, произведени от Korund-M) и SPARC (Elbrus-90micro). Характеристика на OS WSVS 3.0 е вградените средства за защита срещу неоторизиран достъп, които отговарят на изискванията на Ръководния документ на Държавната техническа комисия към президента на Руската федерация за средства от клас 2 Информатика. Инструментите за сигурност включват задължителен контрол на достъпа, списъци за контрол на достъпа, модел за подражание и разширени инструменти за одит (регистриране на събития). MSVS OS е предназначена за изграждане на стационарни защитени автоматизирани системи. Разработчикът на WSVS е Всеруският изследователски институт за автоматизация на управлението в непромишлената сфера на името на V.I. В. В. Соломатина (ВНИИНС). Приет за доставка на въоръжените сили на Руската федерация през 2002 г.
Файловата система OS MSVS 3.0 поддържа имена на файлове с дължина до 256 знака с възможност за създаване на имена на файлове и директории на руски език, символни връзки, квотна система и списъци с права за достъп. Има възможност за монтиране на файлови системи FAT и NTFS, както и ISO-9660 (CD). Механизмът на квотите ви позволява да контролирате използването на дисково пространство от потребителите, броя на стартираните процеси и количеството памет, разпределено за всеки процес. Системата може да бъде конфигурирана да издава предупреждения, когато ресурсите, поискани от потребителя, достигнат определената квота.
WSWS 3.0 OS включва графична система, базирана на X Window. За работа в графична среда две мениджъри на прозорци: IceWM и KDE. Повечето от програмите в WSWS OS са проектирани да работят в графична среда, което създава благоприятни условия не само за работата на потребителите, но и за преминаването им от Windows към WSWS.
WSVS 3.0 OS се доставя в конфигурация, която в допълнение към основната контролна програма (ядро) включва набор от допълнителни софтуерни продукти. Самата ОС се използва като базов елементорганизиране на автоматизирани работни места (АРМ) и изграждане на автоматизирани системи. Допълнителен софтуер (софтуер) може да бъде инсталиран по избор и е фокусиран върху максималната автоматизация на управлението и администрирането на домейни, което ви позволява да намалите разходите за обслужване на работни станции и да се концентрирате върху изпълнението на целевата им задача от потребителите. Инсталационната програма ви позволява да инсталирате операционната система от стартиращ CD или по мрежата чрез FTP. Обикновено първо се инсталира и конфигурира инсталационният сървър от дисковете, а след това останалите компютри се инсталират по мрежата. Инсталационният сървър в работещия домейн изпълнява задачата за актуализиране и възстановяване на софтуера на работните станции. Нова версиясе излага само на сървъра и след това се случва автоматична актуализацияСофтуер на работното място. Ако софтуерът е повреден на работните станции (например, когато програмният файл е изтрит или контролните суми на изпълнимите или конфигурационните файлове не съвпадат), съответният софтуер автоматично се преинсталира.
По време на инсталацията администраторът получава подкана да избере един от стандартните типове инсталация или потребителска инсталация. Стандартните типове се използват при инсталиране на стандартни работни станции и покриват основните типични опции за организиране на работни места на базата на OS WSWS 3.0. Всеки стандартен тип определя набор от софтуерни продукти за инсталиране, дискова конфигурация, набор от файлови системи и набор от системни настройки. Персонализираната инсталация ви позволява изрично да зададете всички посочени характеристики окончателна системадо избора на отделни софтуерни пакети. Ако изберете персонализирана инсталация, можете да инсталирате WSWS 3.0 на компютър, който вече има инсталирана друга операционна система (например Windows NT).
OS WSWS 3.0 включва единна документационна система (ESD) с информация за различни аспекти от функционирането на системата. ESD се състои от сървър за документи и база данни, съдържаща описателни текстове, които могат да бъдат достъпни чрез браузъри. При инсталиране на допълнителен софтуер, съответните секции за справка се инсталират в базата данни ESD. ESD може да се хоства локално на всяко работно място или може да бъде разпределен специален сървър за документация в домейна на WSWS OS. Последната опция е полезна в големи домейни на WSWS OS за спестяване на общо дисково пространство, опростяване на процеса на управление и актуализиране на документацията. Достъпът до документация от други работни станции е възможен чрез уеб браузъра, доставен с OS WSWS 3.0.
MSVS 3.0 OS е русифицирана както в буквено-цифров, така и в графичен режим. Поддържат се виртуални терминали, превключването между които се извършва с помощта на клавишна комбинация.
Ключов момент по отношение на целостта на системата е операцията по регистриране на нови потребители на WSWS OS, когато се определят потребителските атрибути, включително атрибутите за сигурност, според които системата за контрол на достъпа ще контролира допълнително работата на потребителя. Основата за мандатния модел е информацията, въведена при регистрация на нов потребител.
За прилагане на дискреционен контрол на достъпа се използват традиционните Unix механизми на битове за контрол на достъпа и списъци за контрол на достъпа (ACL). И двата механизма се прилагат на ниво файлова система WSWS 3.0 OS и се използват за задаване на права за достъп до обекти на файловата система. Битовете ви позволяват да дефинирате права за три категории потребители (собственик, група, други), но това не е достатъчно гъвкав механизъм и се използва при задаване на права за повечето OS файлове, които се използват по същия начин от основната част на потребители. Като се използва ACLвъзможно е да се задават права на ниво отделни потребители и/или групи от потребители и по този начин да се постигне значителна детайлност при задаването на права. Списъците се използват при работа с файлове, които изискват например задаване на различни права за достъп за няколко конкретни потребители.
Спецификации OS WSWS 3.0:
| Параметър | Характеристика |
| Система за информационна сигурност | вградена |
| Модел на информационна сигурност | Дискреционен модел, мандатен модел, модел за подражание |
| GIS съвместимост с други операционни системи | "Омоним-390ВС", "Оливия", WSWS 5.0 |
| Ядро | 2.4.32 (всъщност 2.4.37.9) |
| Файловата система е задължителна | EXT2, EXT3 |
| Поддръжка за други файлови системи | FAT16, FAT32, NTFS (ro), ISO9660 |
| Дължина на името на файла | до 256 знака |
| Графична подсистема | X-прозорец |
| Графична система | Xorg-x11-7.3 |
| Тип | клиентски сървър |
| мениджър на прозорци | Elk, TWM, KDE, IceWM |
| Графична обвивка | Елк-1.9.9 |
| поддържа многопроцесорни системи | До 32 процесора |
| RAM | 64 GB |
| Вградени услуги | DNS, FTP, Telnet, NTP, FTP, TFTP, SFTP, DHCP, RIP, BGP, OSPF, PPP, PPTP |
| Поддържани гуми | ISA, всички PCI, SCSI, IDE, SATA, SAS, AGP, USB 2.0 |
| Включени инструменти за разработка: | |
| Програмни езици | C/C++, Perl, Python, Shell, Tcl |
| C/C++ компилатор | 2.95.4, 3.3.6, 4.1.3 |
| Системна библиотека | glibc-2.3.6 |
| QT | 4.6.3 |
| Дебъгер | gdbver 6.8 |
| Опции за инсталиране | CD-ROM, HDD, мрежа |
Инсталиране на OS WSWS 3.0
Практическият урок ще разгледа процеса на инсталиране на WSWS OS на компютър или сървър компютърна мрежа. Процесът на инсталиране на WSWS 3.0 OS се състои от следните стъпки:
- Зареждане на компютър или сървър на компютърна мрежа от носител за съхранение, който съдържа комплект за разпространение с OS WSWS 3.0. След като процесът на зареждане приключи, изображението, показано на фиг. 1, ще се покаже на екрана. 2.1. За да продължите, натиснете клавиша<Ввод> (
).
Фигура 2.1. Екран за стартиране на съветника за инсталиране на WSWS 3.0 OS.
- Извършва се инициализация на ядрото на WSWS OS и откриване на хардуер, след което на екрана се показва изображението, показано на фиг. 1. 2.2. За да продължите, натиснете бутона<Готово>.
Фигура 2.2. Екран за открити устройства.
- Екранът показва "Поздрав", показан на фиг. 2.3. За да продължите, натиснете бутона<Да>.
Фигура 2.3. Добре дошъл екран.
- Избор на модела на мишката, свързан към компютъра (фиг. 2.4). Поради факта, че манипулаторът на мишката в по-нататъшна работаняма да се използва, изберете "Без мишка" и натиснете бутона<Да>.
Фигура 2.4. Изберете модела на мишката, свързан към компютъра.
- маркиране харддиск- един от най-важните моменти при инсталирането на WSWS OS. Не защото разделянето на твърдия диск е толкова сложно, а защото грешките, направени по време на него, могат да бъдат коригирани много трудно и този процес може да бъде изпълнен със загуба на данни.
Подобна информация.
WSWS 3.0е сигурна, многопотребителска, многозадачна операционна система със споделяне на време, разработена на Linux. Операционната система осигурява многостепенна система за приоритизиране с превантивна многозадачност, организация на виртуалната памет и пълна мрежова поддръжка; работи с многопроцесорни (SMP - symmetrical multiprocessing) и клъстерни конфигурации на Intel, MIPS и SPARC платформи. Характеристика на WSVS 3.0 е вграденото средство за защита срещу неоторизиран достъп, което отговаря на изискванията на Ръководния документ на Държавната техническа комисия към президента на Руската федерация за клас 2 компютърно оборудване. Инструментите за сигурност включват задължителен контрол на достъпа, списъци за контрол на достъпа, модел за подражание и разширени инструменти за одит (регистриране на събития).
Файловата система WSWS 3.0 поддържа имена на файлове с дължина до 256 знака с възможност за създаване на имена на файлове и директории на руски език, символни връзки, квотна система и списъци с права за достъп. Има възможност за монтиране на файлови системи FAT и NTFS, както и ISO-9660 (CD). Механизмът на квотите ви позволява да контролирате използването на дисково пространство от потребителите, броя на стартираните процеси и количеството памет, разпределено за всеки процес. Системата може да бъде конфигурирана да издава предупреждения, когато ресурсите, поискани от потребителя, достигнат определената квота.
WSWS 3.0 включва графична система, базирана на X Window. За работа в графична среда се доставят два мениджъра на прозорци: IceWM и KDE. Голяма част от програмите в WSWS са графично ориентирани, което създава благоприятни условия не само за работата на потребителите, но и за преминаването им от Windows към WSWS.
WSWS 3.0 се доставя в конфигурация, която в допълнение към ядрото включва набор от допълнителни софтуерни продукти. Самата операционна система се използва като основен елемент при организацията на автоматизираните работни места (АРМ) и изграждането на автоматизирани системи. Допълнителен софтуер може да бъде инсталиран по избор и е фокусиран върху максималната автоматизация на управлението и администрирането на домейни, което ви позволява да намалите разходите за поддръжка на работни станции и да се концентрирате върху изпълнението на целевата им задача от потребителите. Инсталационната програма ви позволява да инсталирате операционната система от стартиращ CD или по мрежата чрез FTP. Обикновено първо се инсталира и конфигурира инсталационният сървър от дисковете, а след това останалите компютри се инсталират по мрежата. Инсталационният сървър в работещия домейн изпълнява задачата за актуализиране и възстановяване на софтуера на работните станции. Новата версия се качва само на сървъра и след това софтуерът се актуализира автоматично на работните станции. Ако софтуерът е повреден на работните станции (например, когато програмният файл е изтрит или контролните суми на изпълнимите или конфигурационните файлове не съвпадат), съответният софтуер автоматично се преинсталира.
По време на инсталацията администраторът получава подкана да избере един от стандартните типове инсталация или потребителска инсталация. Стандартните типове се използват при инсталиране на стандартни работни места и покриват основните типични опции за организиране на работни места на базата на OS WSWS 3.0 (фиг. 1). Всеки стандартен тип дефинира набор от инсталирани софтуерни продукти, дискова конфигурация, набор от файлови системи и редица системни настройки. Персонализираната инсталация ви позволява изрично да зададете всички посочени характеристики на крайната система до избора на отделни софтуерни пакети. Ако изберете персонализирана инсталация, можете да инсталирате WSWS 3.0 на компютър, който вече има инсталирана друга операционна система (като Windows NT).
Структурата на WSWS 3.0 включва единна документационна система (ESD) с информация за различни аспекти от функционирането на системата. ESD се състои от сървър за документи и база данни, съдържаща описателни текстове, които могат да бъдат достъпни чрез браузъри. При инсталиране на допълнителен софтуер, съответните секции за справка се инсталират в базата данни ESD. ESD може да се хоства локално на всяко работно място или може да бъде разпределен специален сървър за документация в WSWS домейна. Последната опция е полезна в големи WSWS домейни за спестяване на общо дисково пространство, опростяване на процеса на управление и актуализиране на документацията. Достъпът до документация от други работни станции е възможен чрез уеб браузъра, доставен с WSWS 3.0.
WSVS 3.0 е русифициран както в буквено-цифров, така и в графичен режим. Поддържат се виртуални терминали, превключването между които се извършва с помощта на клавишна комбинация.
Ключов момент по отношение на целостта на системата е операцията по регистриране на нови потребители на WSWS, когато се определят потребителски атрибути, включително атрибути за сигурност, според които системата за контрол на достъпа ще контролира допълнително работата на потребителя. Основата за мандатния модел е информацията, въведена при регистрация на нов потребител.
За прилагане на дискреционен контрол на достъпа се използват традиционните Unix механизми на битове за контрол на достъпа и списъци за контрол на достъпа (ACL). И двата механизма са реализирани на ниво файлова система WSWS 3.0 и служат за задаване на права за достъп до обектите на файловата система. Битовете ви позволяват да дефинирате права за три категории потребители (собственик, група, други), но това не е достатъчно гъвкав механизъм и се използва при задаване на права за повечето OS файлове, които се използват по същия начин от основната част на потребители. С помощта на ACL е възможно да се задават права на ниво отделни потребители и/или групи от потребители и по този начин да се постигне значително ниво на детайлност при задаването на права. Списъците се използват при работа с файлове, които изискват например задаване на различни права за достъп за няколко конкретни потребители.
Един от съществените недостатъци на традиционните Unix системи от гледна точка на сигурността е наличието на суперпотребител с най-широки правомощия. Характеристика на WSWS 3.0 е децентрализацията на функциите на суперпотребител. Задачата на системното администриране е разделена на няколко части, за които има администратори за конфигурация, сигурност и одит. От гледна точка на операционната система, тези администратори са обикновени потребители, на които се дава възможност за стартиране на специални административни програми и достъп до съответните конфигурационни файлове. Създаване на акаунти системни администраторивъзниква по време на фазата на инсталиране на WSWS 3.0.
Всеки от администраторите е отговорен за изпълнението само на собствените си задачи, например администраторът на конфигурацията управлява файлови системи, мрежови интерфейси, конфигуриране на системни услуги и т.н. Администраторът по сигурността отговаря за политиката за сигурност и контролира системните настройки, свързани със сигурността: минималната дължина на паролата, броят на неуспешните опити за влизане на потребителя и т.н. В същото време се регистрират всички събития, свързани със сигурността, включително действията на администраторите. Управлението на одита е отговорност на администратора на одита, който може например да „почисти“ регистрационните файлове за одит.
Децентрализацията на функциите на суперпотребителя позволява да се приложи принципът на "четирите очи". Например, регистрирането на нов потребител на WSWS 3.0 е процес в две стъпки. Първо администраторът на конфигурацията създава акаунт за новия потребител и след това администраторът по сигурността регистрира новия потребител в базата данни за защита. Едва след това става възможно влизането на нов потребител в системата.
За изпълнение на административни задачи пакетът за разпространение включва пакета "Инструменти за администриране", който включва програми за управление на потребители, файлове, сигурност, одит, системни и мрежови настройки.
Първата задача, която трябва да бъде изпълнена след инсталирането на WSWS 3.0, е администраторът да дефинира политиката за сигурност, която се прилага в организацията. Един от компонентите на тази задача е да конфигурирате механизма за задължителен контрол на достъпа. На фиг. 2 показва изглед на програмата за управление на идентификационни данни, която ви позволява да конфигурирате набор от WSWS 3.0 субект и обект идентификационни данни. В горната част на прозореца на програмата се конфигурират нива на сигурност, възможните стойности на които могат да бъдат например „не поверително“ и „поверително“. В долната част се създава набор от категории, които описват предметната област, за която се отнася информацията: „служители“ „ технически средства" и така нататък. Възможно е да се създават надмножества от категории (например „Категория_1_2“), включително няколко отделни категории и други надмножества. Работата с нива е най-удобна, когато те са представени в десетична форма, тъй като нивата имат йерархична организация. От своя страна, когато работите с категории, е удобно да ги представяте в двоична форма, тъй като категориите не са йерархичен набор.
На фиг. 3 показва изглед на един от прозорците на програмата за управление на потребителите. Тази програма може да се изпълнява само от администратори за конфигурация и сигурност. В същото време всеки от тях може да задава или променя само онези потребителски атрибути, управлението на които е в неговата компетентност.
На фиг. Фигура 4 показва пример на прозорец на програма за управление на файлове, който ви позволява да преглеждате и променяте стойностите на атрибутите на файла. Визуализацията на дървовидната структура на файловата система в лявата част на прозореца улеснява навигацията в нея и избора на желания файл. Дясната част показва атрибутите на избрания файл, групирани според функционалното им предназначение. Всяка група има отделен раздел. Разделът Общи съдържа традиционни Unix файлови атрибути като тип, размер, брой твърди връзки, дискреционни атрибути и времеви отпечатъци. Характеристика на файловете WSWS 3.0 е наличието на задължителни атрибути и разширяването на дискреционните атрибути със списък с права за достъп. Задължителните атрибути са представени в раздела "Етикет на мандата". За да управлявате ACL на файла, разделът „Разрешения“ е маркиран. Освен това, когато избирате директории, за които е възможно да създадете ACL по подразбиране, се активира разделът „Права за достъп по подразбиране“. На фиг. 5 показва изгледа на прозореца за работа с файла ACL. Възможно е да добавите както единичен запис за потребител или група, така и множество записи с еднакви права за достъп. Както при предишната програма, само администратори за конфигурация и сигурност могат да стартират програмата за управление на файлове. Всеки от тях може да променя само тези атрибути на файла, чието управление е в неговата компетентност.
Услуги на WSWS 3.0
WSWS, както всяка друга операционна система, служи за създаване на оптимални условия за изпълнение на услуги и приложения, които осигуряват автоматизация и повишават ефективността на работата на потребителите.
Една от основните услуги на всяка операционна система е услугата за печат. WSWS 3.0 включва система за печат, която ви позволява да отпечатвате документи в съответствие с изискванията за сигурни системи. Сред характеристиките на системата за печат WSWS 3.0, които я отличават от подобни системи, е поддръжката на задължителния механизъм за контрол на достъпа, който позволява на етапа на генериране на задание за печат да се определи нивото на поверителност на документа и автоматично да се изпрати задание на конкретен принтер в съответствие с правилата за печат, приети в тази организация. Всеки отпечатан лист автоматично се маркира с идентификационни данни на документа, включително фамилното име на потребителя, който е отпечатал документа, и името на компютъра, от който е изпратено заданието за печат. Едно от предимствата на системата за печат е нейната неизменност по отношение на приложенията, които имат достъп до услугата за печат. Това означава, че тя не е обвързана с съществуващи приложенияи не се променя, когато се появят нови приложения. Вследствие на това приложенията за печат трябва да вземат предвид маркировката на листа и да оставят място за това. Фактът на отпечатване се записва в специален журнал за регистриране на възпроизвеждането на отпечатани документи. За да работите с този дневник, използвайте специална програма, което ви позволява да преглеждате, редактирате някои полета от записи и да ги отпечатвате (фиг. 6).
Важен елемент от системата за сигурност WSWS 3.0 е системата за идентификация/удостоверяване. Потребителят трябва да въведе правилната парола, за да се удостовери успешно. Очевидно качеството на избраната парола определя устойчивостта на системата срещу проникване на нарушители в нея. За генериране на потребителски пароли WSWS 3.0 включва специална програма (фиг. 7).
За наблюдение на компютрите в домейна се използва система за наблюдение на производителността (CF), която се състои от сървър и специални агенти. Агентите са инсталирани на компютри в домейна и докладват състоянието си на сървъра. Системата CF ви позволява да получавате информация за различни аспекти на функционирането на компютрите (състоянието на процесите, дисковата подсистема, подсистемите на ядрото) и да наблюдавате производителността мрежови услуги(ftp, ssh и др.). Информацията, получена от сървъра, се натрупва в специални дневници, което позволява да се наблюдава не само текущото състояние на домейна, но и да се изследва състоянието му през целия период на работа на системата.
WSWS домейн
WSWS 3.0 се използва за създаване на домейни, върху които се изграждат защитени автоматизирани системи. Физически домейнът е реализиран като локална мрежа от компютри, повечето от които се използват за организиране на потребителски задачи. Някои от тях са необходими за организирането на споделени ресурси, като файлов сървър, сървър на база данни, сървър за печат, пощенски сървър. Логично WSWS домейнът е набор от компютри, които прилагат единна политика за сигурност и формират единно административно пространство. Единна политика за сигурност предполага, че всички компютри в домейн поддържат един набор от субекти и обекти за достъп, атрибути за сигурност, както и единни правила за дискреционен и задължителен контрол на достъпа. В този смисъл WSWS домейнът също е защитен домейн.
Единното пространство за администриране предполага еднакво администриране на информационни ресурси (компютри) от WSWS домейна. Неговата основа е единичното потребителско пространство на WSWS домейна.
- За всеки потребител на домейн на работното му място се поддържа Сметка, който включва необходимата информация за потребителя (логическо име, парола, пълно име и атрибути за защита на потребителя). Тази информацияизползвани за извършване на процедури за идентификация/удостоверяване на потребител, когато той влезе в WSWS домейна.
- На всеки компютър от домейна със споделени ресурси (сървър), на който този потребител може да работи, има точно същия акаунт за него, както на работното му място.
- Работното място на администратора по сигурността поддържа база данни с информация за всички потребители на домейна, включително техния акаунт, разширена информация (например позиция, име/номер на отдел), както и името на неговия компютър и всички сървъри, до които има достъп.
Така акаунтът е единичен за този потребителв домейна на WSWS и чрез него потребителят има достъп до информационни ресурсидомейн.
Хетерогенни домейни
На този моментпри разработването на защитена автоматизирана система за основа се вземат съществуващи локални мрежи, в които като правило доминират сървърите и работните места База на Windows NT. Невъзможността за незабавен преход на една организация към платформата WSWS създава проблем за нейната интеграция с Windows. Тук могат да се разграничат два аспекта: изборът на оптимална стратегия за преход към WSWS и техническите трудности, които съпътстват този преход.
В резултат на анализа на информационните потоци в защитена автоматизирана система е възможно да се идентифицират области, които са най-важни от гледна точка на сигурността. На първо място, тези области включват потоци за импортиране / експортиране на информация, тъй като именно чрез тези потоци поверителната информация (както получена отвън, така и генерирана вътре) навлиза във външния свят: сървъри за печат и експортиране на информация на дискове и ленти. Вторите по важност са областите за съхранение на информация: файлови сървъри и потребителски работни станции.
В процеса на превръщане на Windows мрежа в сигурна автоматизирана система, първо трябва да се модифицират онези секции от мрежата, които са най-критични по отношение на сигурността. Първата стъпка е да се минимизират и контролират изходящите информационни потоци. Както споменахме, WSWS 3.0 има разработена система за отчитане и контрол на отпечатването на документи и позволява в мрежа, изградена на собствена база, да се изпълняват изискванията за издаване на печатни документи за хартиено копие.
Втората стъпка е да мигрирате файловите сървъри от платформата Windows. WSWS 3.0 осигурява разработена система за управление на потребителския достъп до информационните ресурси на операционната система, която ви позволява да организирате защитата на потребителските данни на правилното ниво.
При интегрирането на WSWS и Windows възникват редица технически проблеми, най-важните от които са проблеми със съвместимостта на схемите за идентификация/удостоверяване на потребителите, принципите за контрол на потребителския достъп, използвани в тези системи за кодиране на кирилица.
Първите два проблема са, че в средата на Windows NT схемата за влизане на потребители в NT домейна се поддържа въз основа на една база данни, съхранявана на специален контролен сървър - домейн контролер. Тази схемакоренно различна от схемата, използвана в WSWS. В допълнение, на архитектурата на Windows NT липсва поддръжка за задължителен контрол на достъпа и не може да нанесе много от атрибутите за сигурност на операционната система WSWS към нея. Windows системите използват CP1251 кодиране, докато WSWS 3.0 (като наследство от Linux) използва KOI8-R, но натрупаните данни (което изисква Windows среда) обикновено се съхраняват в CP1251. В същото време представянето на данни на потребителите, тяхното въвеждане и редактиране се извършва в средата на WSWS, така че е необходимо да се прекодира в движение. В допълнение, за решаване на проблеми с управлението на данни (например задачата за сортиране на данни), кодирането CP1251 е по-приемливо от KOI8-R.
За изграждане на защитена автоматизирана система, базирана на WSWS 3.0 с възможност за времева съвместимост с NT, беше разработена система терминален достъп(фиг. 8). Тази системави позволява да организирате работата с Windows приложения в WSWS, както следва: файлови и печатни сървъри, както и клиентски сайтове са изградени на базата на WSWS 3.0, а сървър за приложения, базиран на NT Terminal Server Edition, е разпределен за работа с Windows приложения , достъпът до които се осъществява по специален начин . Едно от предимствата на тази опция е гъвкавостта при организиране на работата на потребителите, които реално получават възможността да работят едновременно в две операционни среди и да използват приложенията на всяка от тях. Недостатък е необходимостта от създаване на сървър за приложения със специален достъп, което води до ограничения в политиката за сигурност. В резултат на това задачата за интегриране на WSWS и Windows NT се решава чрез създаване на WSWS домейн с базиран на NT сървър на приложения и използване на система за терминален достъп.
Нека сега разгледаме как един потребител работи в разнороден WSWS домейн. Потребителят влиза в домейна през своята работна станция. За достъп до Windows NT сървър на приложения, потребителят осъществява достъп до клиент за терминален достъп. В специална база данни, съхранявана на сървъра на приложения, има съответствие между името на потребителя и името на неговия компютър, което се използва при картографиране на мрежови устройства за този потребител. В резултат на това, когато работи в NT сесия, потребителят вижда само съдържанието на своята домашна директория като мрежово устройство на работното си място, както и споделените домейни (файлови сървъри и принтери). Може да изпълнява Windows приложения, но ще работи само с ограничен набор от файлове (собствени или споделени), съхранявани на компютри, работещи с WSWS 3.0.
За организиране на печатането на поверителни документи в домейна е разпределен сървър за печат, базиран на WSWS, който отговаря за изпълнението и отчитането на печата, което предотвратява неотчетено дублиране на изходни поверителни документи. Може да се свърже за отпечатване на неповерителна информация местни принтерикъм ARM. Потребител, работещ с Windows приложенияили WSWS, изпраща документа за печат, като няма значение къде се намира документът - на локалната машина или на файловия сървър. С помощта на WSWS се анализира нивото на конфиденциалност на документа. Ако документът е поверителен, заданието се пренасочва към сървъра за печат; ако не е, документът се отпечатва локално.
Предложените опции ви позволяват да организирате постепенен преход от информационна инфраструктура към Базиран на Windows NT към защитено автоматизирани системиобработка на информация на базата на WSWS 3.0.
Литература
1. Държавна техническа комисия на Русия. Ръководен документ. Компютърни съоръжения. Защита срещу неоторизиран достъп до информация. Индикатори за сигурност от неоторизиран достъп до информация. Москва, 1992 г
2. Д.В. Ефанов. Счетоводна система за отпечатване на документи // ACS и контролери. 2001, №1
Андрей Тюлин- служител на Министерството на отбраната на Руската федерация. Игор Жуков, Дмитрий Ефанов ([имейл защитен]) - служители на Всеруския научноизследователски институт за автоматизация на управлението в непромишлената сфера (Москва).
Зареждане...