Toamna trecută, am mers undeva cu metroul. Ca de obicei, am o insignă de smoking prinsă pe geacă. care este clar vizibil. De obicei, aproape nimeni nu-l observă, pentru că. un procent foarte modest de oameni din IT știu despre Linux în general (în ciuda faptului că sunt puțini tehnicieni în rândul mulțimii). Dar iată doi oameni tipici cu ochi roșii în mașină, care se uită și se holbează, de parcă aș fi o fată cu decolteu. După câteva opriri, nu am putut să suport - am venit și eu însumi și i-am întrebat dacă sunt supraexcitați de pinguinul meu? Ei chicotesc și mormăie ceva despre a fi dezvoltatori WSWS. Nu am auzit nimic despre WSVS la acel moment și m-am gândit în sinea mea că este ceva software mic (poate Studio vizual?). Apoi a făcut cercetări și a descoperit acest miracol - Sistemul mobil al Forțelor Armate. După cum ne spune Wikipedia, este - " protejat sistem de operare scop general. Dezvoltat pe baza sistemului de operare Red Hat GNU/Linux.
Am aflat rapid ce este ce, ce fel de sistem era și cum se raportează diferite segmente ale populației la acesta. Prin urmare, mai jos voi expune părerea mea subiectivă, care s-a dovedit a fi dură, dar - aș dori - corectă.
Deci, avem Red Hat Linux din 2002, care conținea inițial nucleul 2.2 și ulterior actualizat la cele mai recente versiuni ale ramurii 2.4.x. Deșeuri? Da. Acest sistem folosește mediu de lucru, care este un echinocțiu tăiat și ușor înnobilat, numit aici ca elan(versiunea QT a ekinox). Pare vechi, dar cumva prea mult - chiar mai grav decât EcomStation care a supraviețuit până în zilele noastre. ultima versiune- WSWS 3.0 - a primit o interfață la Win XP Luna și chiar s-a mutat parțial de la fltk la qt3. Dar, într-un fel sau altul, WSWS folosește software vechi, un desktop vechi și se opune în orice mod posibil tendințelor moderne - presupus de dragul securității. Nu o voi da cu piciorul pentru asta, deoarece eu însumi iubesc un mediu de lucru de afaceri și nu un „album foto” cu ambalaje strălucitoare de bomboane în loc de un desktop.
Ideea este alta. O mare parte din WSWS este cod cu licență GPL2 care nu poate fi însușit și redistribuit sub propriul nume. Dacă programul compilat este acoperit de GPL2, atunci furnizorul trebuie sa furniza utilizatorului sursă acestea sunt programe - direct sau prin referință. Ce a făcut VNIINS ca dezvoltator al unui sistem de operare „domestic”? Această organizație și-a însușit întregul cod, preluând ansamblul Linux rezultat drept proprietate intelectuală.
Este imposibil să obțineți codul WSWS, dar asta nu este tot. În unele programe din cadrul WSVS, toate referințele la autorii acestor programe au fost șterse, peste tot același VNIINS este indicat de dezvoltator. Cum să-l numesc, dacă nu bydlyachestvo, furt și roșu, caracteristic unităților militare ruse? Distribuția acestui OS este în esență vânzarea de bunuri furate. Costul, apropo, nu este complet cunoscut. Potrivit unor rapoarte, o cutie cu WSVS a costat 18.000 de ruble în 2007. Nu e rău pentru munca făcută în proporție de 90% de comunitate? Dacă cineva este interesat de unde și cum este furat codul, atunci există destui oameni în rețea care au dat o mustrare demnă acestui meșteșug. Mai exact, este scris despre spit pe GPL2, de exemplu, .
În esență, citirea comentariilor utilizatorilor WSWS este o cutie pentru ceea ce este. Ei bine, de exemplu:
Linux rusesc pentru ofițerii ruși nu este amuzant. Aceasta este realitatea mea dură. Se numește WSWS și funcționează... ciudat. De exemplu, folderele nu se deschid prima dată. Și în serverul de sub acesta, este imposibil să modificați parametrii bine conectați și, în principiu, htaccess nu funcționează. (tyts).
De exemplu, din cutie, el nu știe să rotească corect buștenii, așa că dacă doar puneți WSWS și îl lăsați în pace, după un timp sistemul va înghiți totul loc liberși prăbușire.
Dacă setați utilizatorul la o altă locație decât rusă, atunci va fi imposibil să vă conectați la sistem, deoarece managerul de ferestre local Elk (FLTK furat) a fost eliminată toate traducerile, cu excepția rusă (inclusiv engleză).
Și cea mai interesantă eroare de acolo este aceasta. Crea fisier text. În terminalul X (acest lucru nu funcționează dintr-o consolă de text), rulăm scriptul care conține „nume fișier pisică”. Rulăm acest script, redirecționând rezultatul său către un alt fișier. Și vedem că fișierul de ieșire este cu șapte octeți mai mare decât cel original: sistemul a adăugat ceva la începutul său (pare câteva caractere fără sens). (tyts).
> Să presupunem că nu am avut deloc un browser (altul decât Lynx). Și în recenzii, browserul ei este menționat.
Există un browser. Se numește YEAR (Hypertext Data Display). Se vinde ca modul separat pentru bani separati, aproximativ 15k ruble, daca vidul din capul meu nu ma schimba. (tyts).
Sistem stângaci. Din păcate, la serviciu, trebuie să te încurci cu asta.
Browser primar - KGOD (client de procesare hipertext) - Mozilla 0.9 sau cam asa ceva
Suita de birou - KP "Office" - o versiune buggy a OpenOffice.
Pe scurt, pretențiile adresate dezvoltatorilor se revarsă în mod constant cu cerința de a o remedia - dar puteți aștepta luni pentru o remediere. (tyts)
WSWS 3.0 a apărut în jurul anului 2002, era bazat pe RedHat 7.3 dacă nu mă înșel. Include nucleul 2.2.x, desktop-ul era versiunea 2 a KDE. Cele mai recente versiuni sunt propria lor versiune, kernel 2.4, slave. masa ELK. El a fost ales special din cauza asemănării cu Windows. Nici browserul GOD, nici serverul GOD, nici KP Office (OpenOffice 1.0), nici DBMS Linter (PostgreSQL 7.3) nu sunt incluse în livrarea standard, dar sunt vândute separat. Sistemul a eșuat lamentabil. Este greu de spus ce ne-a împiedicat să facem o distribuție Linux normală, fie dificultatea cu certificarea, fie personalul de programatori de la studenți, fie dorința de a obține mai mult aluat făcând mai multă muncă de cercetare și dezvoltare. În orice caz, deși ordinul de implementare a acestei creații a fost emis în 2002, sistemul nu a fost niciodată implementat pe deplin nici măcar în organizațiile-mamă. În acele locuri în care lucrează la el, oamenii instalează NT 4.0 și MSOffice97 în emulatori și le folosesc. Problema implementării constă în continuare în lipsa banală de specialiști Linux. Anterior, toată această întreprindere a fost făcută lobby de către ministrul adjunct al apărării pentru armament Moskovsky, acum șeful s-a schimbat, iar VNIINS are dificultăți. Lucrurile nu s-au ridicat, ei pregătesc KP Office 2.0 (OpenOffice 2.0), dezvoltă alte programe... (
Cu siguranță, cel puțin unii dintre cititorii noștri s-au gândit la ce sistem de operare este folosit în forțele noastre armate. La urma urmei, înțelegem cu toții că Windows nu poate fi instalat pe niciun sistem de rachete care este în serviciu de luptă. Astăzi vom deschide ușor vălul secretului și vom vorbi despre sistemul de operare WSWS. Acest așa-zis Sistem mobil Numele său vorbește despre domeniul de aplicare, dar vom spune despre modul în care este aranjat în termeni generali.
Condiții preliminare pentru creare
Pentru prima dată criterii de siguranță sisteme informatice au fost formulate la sfârșitul anilor 1960. La mijlocul anilor '80 în Statele Unite, toate aceste evoluții au fost adunate într-un singur document. Astfel a luat naștere „Cartea Portocalie” a Ministerului Apărării – primul standard pentru securitatea sistemelor informatice. În urma documentelor similare au apărut în țările europene și Canada. În anul 2005, pe baza acestora, a fost elaborat standardul internațional de securitate ISO/IEC 15408 „Criterii generale de securitate”.
În Rusia, studii similare au fost efectuate la cel de-al 22-lea Institut Central de Cercetare al Ministerului Apărării. Rezultatul final al evoluțiilor a fost primirea în 2002 a OS WSWS în Forțele Armate ale Federației Ruse. O variantă a standardului de stat bazată pe cerințele ISO/IEC a fost adoptată în 2008.
De ce armata are nevoie de propriul sistem de operare
Sistemele de operare pe care le folosim zilnic nu sunt potrivite pentru uz guvernamental din punct de vedere al parametrilor de securitate. Comisia tehnică de stat din subordinea președintelui Federației Ruse le-a formulat după cum urmează:
- Informațiile trebuie protejate împotriva accesului neautorizat, atât din interior, cât și din exterior.
- Sistemul nu ar trebui să conțină caracteristici nedocumentate, cu alte cuvinte, nu ar trebui să existe „ouă de Paște” în codul OS.
În plus, un sistem de operare securizat trebuie să aibă o structură de acces ierarhică pe mai multe niveluri și funcții de administrare separate.
Astfel, sarcina de a crea un sistem de operare închis specializat nu este atât de simplă pe cât pare la prima vedere. Absența caracteristicilor nedocumentate sugerează că codul sursă și descriere tehnica toate procedurile de lucru vor fi studiate temeinic în centrul de certificare. Și aceasta este zona secretelor comerciale ale corporațiilor proprietarilor sau proprietatea intelectuală a dezvoltatorilor. Un astfel de paradox face să privim spre sistemele de operare deschise, deoarece este aproape imposibil să obțineți documentație tehnică completă pentru software-ul proprietar.
Cerințe GOST R
FSTEC ca serviciu responsabil pentru securitatea informatieiîn toată țara s-a stabilit o împărțire a sistemului de operare în funcție de gradul de protecție a informațiilor prelucrate. Pentru comoditate, toate datele sunt rezumate într-un singur tabel.
Din tabel se poate observa că, în conformitate cu o serie de cerințe, sunt stabilite trei grupuri și nouă clase de protecție împotriva accesului neautorizat și se face deja o împărțire ulterioară în funcție de acestea pentru admiterea la diferite tipuri. informații confidențiale.
În centrul Linuxului
De ce este Linux atât de convenabil încât este luat de bunăvoie să servească în aparatul de stat? Într-adevăr, în cea mai mare parte, utilizatorilor obișnuiți le este frică de el, ca de tămâie. Să ne dăm seama. În primul rând, să acordăm atenție licenței sub care este distribuit Linux. Aceasta este așa-numita GPL2 - licența publică universală sau gratuită. Oricine poate obține codul sursă și poate construi propriul produs pe baza acestuia. Cu alte cuvinte, nimeni nu se deranjează să ia cele mai bune distribuții Linux și să le folosească în dezvoltarea propriului sistem de operare securizat.
Experiență mondială institutii publice arată că trecerea la software-ul liber are loc peste tot, ideea este solicitată și se justifică pe deplin. Țările lider ale lumii, cum ar fi SUA, Germania, Japonia și China și India, care se apropie rapid de ele, folosesc activ Linux în sfera publică și în educație.
WSWS și conținutul acestuia
Versiunea 3.0 a sistemului mobil a funcționat în armată timp de un deceniu și jumătate, acum este înlocuită cu un produs mai avansat și ne putem uita în siguranță „sub capota” veteranului. Deci, acesta este un sistem de operare de rețea care rulează în modul multi-utilizator GUI utilizator. Suporta platforme hardware:
- Intel.
- IBM System/390.
SPAPC/Elbrus.
S-a bazat pe cele mai bune distribuții Linux disponibile la acea vreme. Multe module de sistem au fost împrumutate de la RedHat Linux și recompilate pentru a îndeplini cerințele Departamentului de Apărare. Cu alte cuvinte, sistemul mobil al Forțelor Armate este o distribuție Linux RPM cu toate cele legate programe de aplicațieși instrumente de dezvoltare.
Suportul pentru sistemele de fișiere este la nivelul începutului de secol, dar din moment ce cele mai comune dintre ele existau deja atunci, acest indicator nu este critic.
versiuni WSWS
În ciuda faptului că acesta este un sistem de operare de rețea, acesta nu are depozite familiare niciunui utilizator Linux. software. Tot software-ul este furnizat pe CD-uri de instalare. Orice program care este utilizat în acest sistem este pre-certificat de către Departamentul Apărării. Și, deoarece procedura este departe de a fi rapidă, pe parcursul celor cincisprezece ani de muncă, au fost lansate un număr limitat de versiuni și modificări ale acestora.
Dezvoltatorul WSWS este Institutul de Cercetare All-Rusian pentru Automatizarea Controlului în Sfera Non-Industrială. Pe a lui Pagina Oficială puteți găsi informații despre versiunile de WSWS care sunt acceptate în prezent și au certificatele de securitate necesare de la Departamentul Apărării.
Sistemul mobil al Forțelor Armate pentru anul 2017 este reprezentat de două ansambluri susținute:
- OS WSWS 3.0 FLIR 80001-12 (modificare nr. 6).
OS WSWS 3.0 FLIR 80001-12 (modificare nr. 4).
Versiunea 5.0, aflată pe site-ul VNIINS, are un certificat de securitate de la Ministerul Apărării, dar nu a fost niciodată acceptată oficial pentru aprovizionarea trupelor.
Succesor al WSWS
Următorul sistem de operare securizat, care a fost prezentat ca înlocuitor pentru WSWS care a funcționat timp de un deceniu și jumătate, a fost Astra Linux OS. Spre deosebire de predecesorul său, care a primit un certificat de securitate doar de la Ministerul Apărării, Astra a primit toate certificatele posibile în Rusia, iar acestea sunt documente de la Ministerul Apărării, FSB și FSTEC. Datorită acestui fapt, poate fi utilizat în orice agenție guvernamentală, iar prezența mai multor versiuni adaptate pentru diferite platforme hardware își extinde și mai mult domeniul de aplicare. Drept urmare, poate uni sub controlul său toate dispozitivele - de la echipamente mobile la echipamente de server staționare.
Astra Linux este o distribuție Linux modernă bazată pe pachete deb, care utilizează cea mai recentă versiune de kernel și software-ul actualizat. Lista procesoarelor acceptate și arhitecturile acestora a fost, de asemenea, extinsă pentru a include modele moderne. Lista versiunilor publicate oficial ne permite să sperăm la succesul acestui produs software, cel puțin în sectorul public și industria de apărare.
In cele din urma
În acest material, am vorbit despre sistemul de operare WSWS - principalul sistem de operare al Forțelor Armate ale Federației Ruse, care a servit cu fidelitate „în serviciu” timp de 15 ani și se află încă într-un „post de luptă”. În plus, a descris pe scurt succesorul ei. Poate că acest lucru îi va determina pe unii dintre cititorii noștri să se uite la ce este Linux și să-și formeze o opinie imparțială despre produs.
Sistemul mobil al forțelor armate (MSMS) este un sistem de operare (OS) securizat, multi-utilizator, multitasking, de uz general, cu timp partajat, dezvoltat pe baza sistemului de operare Red Hat Linux. Sistemul de operare oferă prioritizare pe mai multe niveluri cu multitasking preventiv, organizare a memoriei virtuale și suport complet pentru rețea; funcționează cu configurații multiprocesor (SMP - symmetrical multiprocessing) și cluster pe platformele Intel, IBM S390, MIPS (complexe din seria Baguet fabricate de Korund-M) și SPARC (Elbrus-90micro). O caracteristică a OS WSVS 3.0 este mijloacele de protecție încorporate împotriva accesului neautorizat, care îndeplinesc cerințele Documentului de îndrumare al Comisiei Tehnice de Stat sub președintele Federației Ruse pentru mijloacele de clasa 2 informatică. Instrumentele de securitate includ controlul obligatoriu al accesului, listele de control al accesului, modelul de rol și instrumentele avansate de audit (înregistrare evenimente). MSVS OS este conceput pentru a construi sisteme automate staționare securizate. Dezvoltatorul WSVS este Institutul de Cercetare All-Rusian al Automatizării Controlului în Sfera Neindustrială, numit după V.I. V. V. Solomatina (VNIINS). Acceptat pentru furnizare către Forțele Armate RF în 2002.
Sistemul de fișiere OS MSVS 3.0 acceptă nume de fișiere de până la 256 de caractere cu capacitatea de a crea nume de fișiere și directoare în limba rusă, legături simbolice, un sistem de cote și liste de drepturi de acces. Este posibil să montați sisteme de fișiere FAT și NTFS, precum și ISO-9660 (CD-uri). Mecanismul de cotă vă permite să controlați utilizarea spațiului pe disc de către utilizatori, numărul de procese lansate și cantitatea de memorie alocată fiecărui proces. Sistemul poate fi configurat să emită avertismente atunci când resursele solicitate de utilizator se apropie de cota specificată.
Sistemul de operare WSWS 3.0 include un sistem grafic bazat pe X Window. Pentru a lucra într-un mediu grafic, doi manageri de ferestre: IceWM și KDE. Majoritatea programelor din sistemul de operare WSWS sunt concepute pentru a funcționa într-un mediu grafic, care creează condiții favorabile nu numai pentru munca utilizatorilor, ci și pentru tranziția acestora de la Windows la WSWS.
Sistemul de operare WSVS 3.0 este livrat într-o configurație care, pe lângă programul de control principal (kernel), include un set de produse software. Sistemul de operare în sine este folosit ca element de bază organizarea staţiilor de lucru automatizate (AWP) şi construcţia de sisteme automatizate. Software-ul suplimentar (software) poate fi instalat la alegere și este axat pe automatizarea maximă a managementului și administrării domeniului, ceea ce vă permite să reduceți costul de deservire a stațiilor de lucru și să vă concentrați pe finalizarea sarcinii țintă de către utilizatori. Programul de instalare vă permite să instalați sistemul de operare de pe un CD bootabil sau prin rețea prin FTP. De obicei, serverul de instalare este instalat și configurat mai întâi de pe discuri, iar apoi restul computerelor sunt instalate prin rețea. Serverul de instalare din domeniul care rulează îndeplinește sarcina de actualizare și restaurare a software-ului pe stațiile de lucru. O noua versiune este așezat numai pe server și apoi se întâmplă actualizare automata Software la locul de muncă. Dacă software-ul este deteriorat pe stațiile de lucru (de exemplu, când fișierul de program este șters sau sumele de verificare ale fișierelor executabile sau de configurare nu se potrivesc), software-ul corespunzător este reinstalat automat.
În timpul instalării, administratorului i se solicită să selecteze fie unul dintre tipurile de instalare standard, fie o instalare personalizată. Tipurile standard sunt utilizate la instalarea pe stații de lucru standard și acoperă principalele opțiuni tipice pentru organizarea locurilor de muncă bazate pe OS WSWS 3.0. Fiecare tip standard definește un set de produse software care urmează să fie instalate, o configurație de disc, un set de sisteme de fișiere și un set de setarile sistemului. Instalarea personalizată vă permite să setați în mod explicit toate caracteristicile specificate sistem final până la alegerea pachetelor software individuale. Dacă alegeți o instalare personalizată, puteți instala WSWS 3.0 pe un computer care are deja instalat un alt sistem de operare (de exemplu, Windows NT).
OS WSWS 3.0 include un sistem de documentare unificat (ESD) cu informații despre diferite aspecte ale funcționării sistemului. ESD constă dintr-un server de documentație și o bază de date care conține texte de descriere care pot fi accesate prin intermediul browserelor. Când instalați software suplimentar, secțiunile de referință corespunzătoare sunt instalate în baza de date ESD. ESD poate fi găzduit local la fiecare loc de muncă sau un server de documentație special poate fi alocat în domeniul WSWS OS. Ultima opțiune este utilă în domeniile mari ale sistemului de operare WSWS pentru a economisi spațiu total pe disc, a simplifica procesul de gestionare și a actualiza documentația. Accesul la documentația de pe alte stații de lucru este posibil prin intermediul browserului Web furnizat cu OS WSWS 3.0.
MSVS 3.0 OS este rusificat atât în mod alfanumeric, cât și în mod grafic. Sunt acceptate terminale virtuale, comutarea între care se realizează folosind o combinație de taste.
Un moment cheie în ceea ce privește integritatea sistemului este operațiunea de înregistrare a noilor utilizatori ai sistemului de operare WSWS, când sunt determinate atributele utilizatorului, inclusiv atributele de securitate, conform cărora sistemul de control al accesului va controla în continuare munca utilizatorului. Baza modelului de mandat o constituie informațiile introduse la înregistrarea unui nou utilizator.
Pentru a implementa controlul discreționar al accesului, sunt utilizate mecanismele tradiționale Unix de biți de control al accesului și liste de control al accesului (ACL). Ambele mecanisme sunt implementate la nivel Sistemul de fișiere WSWS 3.0 OS și sunt utilizate pentru a seta drepturi de acces la obiectele sistemului de fișiere. Biții vă permit să definiți drepturi pentru trei categorii de utilizatori (proprietar, grup, alții), cu toate acestea, acesta nu este un mecanism suficient de flexibil și este utilizat atunci când setați drepturi pentru majoritatea fișierelor OS care sunt utilizate în același mod de partea principală a utilizatorii. Cu ajutorul ACL-urilor, este posibilă setarea drepturilor la nivelul utilizatorilor individuali și/sau a grupurilor de utilizatori și, astfel, obținerea unui nivel semnificativ de detaliu în stabilirea drepturilor. Listele sunt utilizate atunci când lucrați cu fișiere care necesită, de exemplu, setarea unor drepturi de acces diferite pentru mai mulți utilizatori specifici.
Specificații OS WSWS 3.0:
| Parametru | Caracteristică |
| Sistem de securitate a informațiilor | incorporat |
| Model de securitate a informațiilor | Model discreționar, model de mandat, model de urmat |
| Compatibilitate GIS cu alte sisteme de operare | „Omonim-390VS”, „Olivia”, WSWS 5.0 |
| Nucleu | 2.4.32 (2.4.37.9 de fapt) |
| Sistemul de fișiere este obligatoriu | EXT2, EXT3 |
| Suport pentru alte sisteme de fișiere | FAT16, FAT32, NTFS (ro), ISO9660 |
| Lungimea numelui fișierului | până la 256 de caractere |
| Subsistemul grafic | fereastră X |
| Sistem grafic | Xorg-x11-7.3 |
| Tip de | client server |
| manager de ferestre | Elk, TWM, KDE, IceWM |
| Înveliș grafic | Elan-1.9.9 |
| A sustine sisteme multiprocesor | Până la 32 de procesoare |
| Berbec | 64 GB |
| Servicii încorporate | DNS, FTP, Telnet, NTP, FTP, TFTP, SFTP, DHCP, RIP, BGP, OSPF, PPP, PPTP |
| Anvelope suportate | ISA, toate PCI, SCSI, IDE, SATA, SAS, AGP, USB 2.0 |
| Instrumentele de dezvoltare au inclus: | |
| Limbaje de programare | C/C++, Perl, Python, Shell, Tcl |
| compilator C/C++ | 2.95.4, 3.3.6, 4.1.3 |
| Biblioteca de sistem | glibc-2.3.6 |
| QT | 4.6.3 |
| Depanator | gdbver 6.8 |
| Opțiuni de instalare | CD-ROM, HDD, Rețea |
Instalarea sistemului de operare WSWS 3.0
În timpul lecției practice, se va lua în considerare procesul de instalare a sistemului de operare WSWS pe un PC sau un server de rețea de computere. Procesul de instalare a sistemului de operare WSWS 3.0 constă din următorii pași:
- Încărcarea unui PC sau a unui server de rețea de calculatoare de pe un mediu de stocare care conține un kit de distribuție cu OS WSWS 3.0. După finalizarea procesului de pornire, imaginea prezentată în Fig. 1 va fi afișată pe ecran. 2.1. Pentru a continua, apăsați tasta<Ввод> (
).
Figura 2.1. Ecranul de lansare al asistentului de instalare a sistemului de operare WSWS 3.0.
- Se efectuează inițializarea nucleului OS WSWS și detectarea hardware-ului, după care imaginea prezentată în Fig. 1 este afișată pe ecran. 2.2. Pentru a continua, apăsați butonul<Готово>.
Figura 2.2. Ecranul dispozitivelor descoperite.
- Ecranul afișează „Salut”, prezentat în Fig. 2.3. Pentru a continua, apăsați butonul<Да>.
Figura 2.3. Ecran de bun venit.
- Selectarea modelului mouse-ului conectat la computer (Fig. 2.4). Datorită faptului că manipulatorul mouse-ului în munca in continuare nu va fi folosit, selectați „Fără mouse” și apăsați butonul<Да>.
Figura 2.4. Selectați modelul de mouse conectat la computer.
- marcaj hard disk- unul dintre cele mai cruciale momente în timpul instalării sistemului de operare WSWS. Nu pentru că partiționarea hard disk-ului este atât de complicată, ci pentru că greșelile făcute în timpul acesteia pot fi corectate doar cu mare dificultate, iar acest proces poate fi plin de pierderi de date.
Informații similare.
WSWS 3.0 este un sistem de operare sigur, multi-utilizator, cu timp partajat, multitasking dezvoltat pe Linux. Sistemul de operare oferă un sistem de prioritizare pe mai multe niveluri cu multitasking preventiv, organizare a memoriei virtuale și suport complet pentru rețea; funcționează cu configurații multiprocesor (SMP - symmetrical multiprocessing) și cluster pe platformele Intel, MIPS și SPARC. O caracteristică a WSVS 3.0 este mijlocul de protecție încorporat împotriva accesului neautorizat, care îndeplinește cerințele Documentului de îndrumare al Comisiei Tehnice de Stat sub președintele Federației Ruse pentru clasa 2 de echipamente informatice. Instrumentele de securitate includ controlul obligatoriu al accesului, listele de control al accesului, modelul de rol și instrumentele avansate de audit (înregistrare evenimente).
Sistemul de fișiere WSWS 3.0 acceptă nume de fișiere de până la 256 de caractere, cu posibilitatea de a crea nume de fișiere și directoare în limba rusă, legături simbolice, un sistem de cote și liste de drepturi de acces. Este posibil să montați sisteme de fișiere FAT și NTFS, precum și ISO-9660 (CD-uri). Mecanismul de cotă vă permite să controlați utilizarea spațiului pe disc de către utilizatori, numărul de procese lansate și cantitatea de memorie alocată fiecărui proces. Sistemul poate fi configurat să emită avertismente atunci când resursele solicitate de utilizator se apropie de cota specificată.
WSWS 3.0 include un sistem grafic bazat pe X Window. Pentru a lucra într-un mediu grafic, sunt furnizați doi manageri de ferestre: IceWM și KDE. Majoritatea programelor din WSWS sunt orientate grafic, ceea ce creează condiții favorabile nu numai pentru munca utilizatorilor, ci și pentru trecerea acestora de la Windows la WSWS.
WSWS 3.0 este livrat într-o configurație care, pe lângă nucleu, include un set de produse software suplimentare. Sistemul de operare în sine este folosit ca element de bază în organizarea stațiilor de lucru automatizate (AWP) și construcția sistemelor automatizate. Software-ul suplimentar poate fi instalat la alegere și este axat pe automatizarea maximă a managementului și administrării domeniului, ceea ce vă permite să reduceți costurile de întreținere a stațiilor de lucru și să vă concentrați pe finalizarea sarcinii țintă de către utilizatori. Programul de instalare vă permite să instalați sistemul de operare de pe un CD bootabil sau prin rețea prin FTP. De obicei, serverul de instalare este instalat și configurat mai întâi de pe discuri, iar apoi restul computerelor sunt instalate prin rețea. Serverul de instalare din domeniul care rulează îndeplinește sarcina de actualizare și restaurare a software-ului pe stațiile de lucru. Noua versiune este încărcată doar pe server și apoi software-ul este actualizat automat pe stațiile de lucru. Dacă software-ul este deteriorat pe stațiile de lucru (de exemplu, când fișierul de program este șters sau sumele de verificare ale fișierelor executabile sau de configurare nu se potrivesc), software-ul corespunzător este reinstalat automat.
În timpul instalării, administratorului i se solicită să selecteze fie unul dintre tipurile de instalare standard, fie o instalare personalizată. Tipurile standard sunt utilizate la instalarea pe locuri de muncă standard și acoperă principalele opțiuni tipice pentru organizarea locurilor de muncă bazate pe OS WSWS 3.0 (Fig. 1). Fiecare tip standard definește un set de produse software instalate, o configurație de disc, un set de sisteme de fișiere și o serie de setări de sistem. Instalarea personalizată vă permite să setați în mod explicit toate caracteristicile specificate ale sistemului final până la selectarea pachetelor software individuale. Dacă alegeți o instalare personalizată, puteți instala WSWS 3.0 pe un computer care are deja instalat un alt sistem de operare (cum ar fi Windows NT).
Structura WSWS 3.0 include un sistem de documentare unificat (ESD) cu informații despre diferite aspecte ale funcționării sistemului. ESD constă dintr-un server de documentație și o bază de date care conține texte de descriere care pot fi accesate prin intermediul browserelor. Când instalați software suplimentar, secțiunile de referință corespunzătoare sunt instalate în baza de date ESD. ESD poate fi găzduit local la fiecare loc de muncă sau un server special de documentație poate fi alocat în domeniul WSWS. Ultima opțiune este utilă în domeniile WSWS mari pentru a economisi spațiu total pe disc, a simplifica procesul de gestionare și a actualiza documentația. Accesul la documentație de la alte stații de lucru este posibil prin intermediul browserului Web furnizat cu WSWS 3.0.
WSVS 3.0 este rusificat atât în mod alfanumeric, cât și în mod grafic. Sunt acceptate terminale virtuale, comutarea între care se realizează folosind o combinație de taste.
Un punct cheie în ceea ce privește integritatea sistemului este operațiunea de înregistrare a noilor utilizatori ai WSWS, atunci când sunt determinate atributele utilizatorului, inclusiv atributele de securitate, conform cărora sistemul de control al accesului va controla în continuare activitatea utilizatorului. Baza modelului de mandat o constituie informațiile introduse la înregistrarea unui nou utilizator.
Pentru a implementa controlul discreționar al accesului, sunt utilizate mecanismele tradiționale Unix de biți de control al accesului și liste de control al accesului (ACL). Ambele mecanisme sunt implementate la nivelul sistemului de fișiere WSWS 3.0 și servesc la setarea drepturilor de acces la obiectele sistemului de fișiere. Biții vă permit să definiți drepturi pentru trei categorii de utilizatori (proprietar, grup, alții), cu toate acestea, acesta nu este un mecanism suficient de flexibil și este utilizat atunci când setați drepturi pentru majoritatea fișierelor OS care sunt utilizate în același mod de partea principală a utilizatorii. Cu ajutorul ACL-urilor, este posibilă setarea drepturilor la nivelul utilizatorilor individuali și/sau a grupurilor de utilizatori și, astfel, obținerea unui nivel semnificativ de detaliu în stabilirea drepturilor. Listele sunt utilizate atunci când lucrați cu fișiere care necesită, de exemplu, setarea unor drepturi de acces diferite pentru mai mulți utilizatori specifici.
Unul dintre dezavantajele semnificative ale sistemelor tradiționale Unix, din punct de vedere al securității, este prezența unui superutilizator cu cele mai extinse puteri. O caracteristică a WSWS 3.0 este descentralizarea funcțiilor superutilizatorului. Sarcina de administrare a sistemului este împărțită în mai multe părți, pentru care există administratori de configurare, securitate și audit. Din punct de vedere al sistemului de operare, acești administratori sunt utilizatori obișnuiți, cărora li se oferă posibilitatea de a lansa programe administrative speciale și acces la cele corespunzătoare fișierele de configurare. Crearea conturilor administratorii de sistem are loc în timpul fazei de instalare a WSWS 3.0.
Fiecare dintre administratori este responsabil pentru îndeplinirea numai a propriilor sarcini, de exemplu, administratorul de configurare gestionează sistemele de fișiere, interfețele de rețea, configurarea serviciilor de sistem și așa mai departe. Administratorul de securitate este responsabil pentru politica de securitate și controlează setările sistemului legate de securitate: lungimea minimă a parolei, numărul de încercări eșuate de conectare a utilizatorului și așa mai departe. În același timp, sunt înregistrate toate evenimentele legate de securitate, inclusiv acțiunile administratorilor. Managementul auditului este responsabilitatea administratorului de audit, care poate, de exemplu, „curăța” jurnalele de audit.
Descentralizarea funcțiilor superutilizatorului permite implementarea principiului „patru ochi”. De exemplu, înregistrarea unui nou utilizator WSWS 3.0 este un proces în doi pași. Mai întâi, administratorul de configurare creează un cont pentru noul utilizator, iar apoi administratorul de securitate înregistrează noul utilizator în baza de date de securitate. Abia după aceea devine posibil ca un nou utilizator să intre în sistem.
Pentru a efectua sarcini administrative, pachetul de distribuție include pachetul „Instrumente de administrare”, care include programe pentru gestionarea utilizatorilor, fișierelor, securitate, auditare, setări la nivel de sistem și de rețea.
Prima sarcină care trebuie finalizată după instalarea WSWS 3.0 este ca administratorul să definească politica de securitate care este implementată în organizație. Una dintre componentele acestei sarcini este configurarea mecanismului de control al accesului obligatoriu. Pe fig. 2 prezintă o vedere a programului de gestionare a motorului de acreditări care vă permite să configurați un set de acreditări pentru subiect și obiect WSWS 3.0. În partea superioară a ferestrei programului, sunt configurate niveluri de securitate, ale căror posibile valori pot fi, de exemplu, „nu confidențial” și „confidențial”. În partea de jos, sunt create un set de categorii care descriu domeniul la care se referă informațiile: „angajați” „ mijloace tehnice" etc. Este posibil să creați superseturi de categorii (de exemplu, „Categoria_1_2”), inclusiv mai multe categorii separate și alte superseturi. Lucrul cu niveluri este cel mai convenabil atunci când acestea sunt reprezentate în formă zecimală, deoarece nivelurile au o organizare ierarhică. La rândul său, atunci când lucrați cu categorii, este convenabil să le reprezentați în formă binară, deoarece categoriile nu sunt un set ierarhic.
Pe fig. 3 prezintă o vedere a uneia dintre ferestrele programului de gestionare a utilizatorilor. Acest program poate fi rulat numai de administratori de configurare și securitate. Totodată, fiecare dintre ei poate seta sau modifica doar acele atribute de utilizator, a căror gestionare este de competența sa.
Pe fig. Figura 4 prezintă un exemplu de fereastră de program de gestionare a fișierelor care vă permite să vizualizați și să modificați valorile atributelor fișierului. Vizualizarea structurii arborescente a sistemului de fișiere în partea stângă a ferestrei facilitează navigarea prin acesta și selectarea fișierului dorit. Partea din dreapta arată atributele fișierului selectat, grupate în funcție de scopul lor funcțional. Fiecare grup are o filă separată. Fila General conține atribute tradiționale ale fișierului Unix, cum ar fi tipul, dimensiunea, numărul de linkuri hard, atributele discreționare și marcajele de timp. O caracteristică a fișierelor WSWS 3.0 este prezența atributelor obligatorii și extinderea atributelor discreționare cu o listă de drepturi de acces. Atributele obligatorii sunt prezentate în fila „Etichetă mandat”. Pentru a gestiona ACL-ul fișierului, fila „Permisiuni” este evidențiată. Mai mult, la selectarea directoarelor pentru care este posibil să se creeze un ACL în mod implicit, fila „Drepturi de acces implicit” este activată. Pe fig. 5 arată vizualizarea ferestrei pentru lucrul cu fișierul ACL. Este posibil să adăugați atât o singură intrare pentru un utilizator sau grup, cât și mai multe intrări cu aceleași drepturi de acces. Ca și în cazul programului anterior, numai administratorii de configurare și securitate pot rula programul de gestionare a fișierelor. Fiecare dintre ele poate modifica doar acele atribute ale dosarului, a căror gestionare este de competența sa.
Servicii WSWS 3.0
WSWS, ca orice alt sistem de operare, servește la crearea condițiilor optime pentru execuția serviciilor și aplicațiilor care asigură automatizarea și sporesc eficiența muncii utilizatorilor.
Unul dintre serviciile principale ale oricărui sistem de operare este serviciul de imprimare. WSWS 3.0 include un sistem de imprimare care vă permite să imprimați documente în conformitate cu cerințele pentru sistemele securizate. Printre caracteristicile sistemului de imprimare WSWS 3.0, care îl deosebesc de sisteme similare, se numără suportul mecanismului de control al accesului obligatoriu, care permite, în etapa generării unei lucrări de imprimare, să se determine nivelul de confidențialitate a documentului și să se trimită automat lucrare către o anumită imprimantă în conformitate cu regulile de imprimare adoptate în această organizație. Fiecare foaie tipărită este etichetată automat cu acreditările documentului, inclusiv numele de familie al utilizatorului care a tipărit documentul și numele computerului de la care a fost trimisă lucrarea de imprimare. Unul dintre avantajele sistemului de imprimare este invarianța acestuia față de aplicațiile care accesează serviciul de imprimare. Asta înseamnă că nu este legată de ea aplicatii existenteși nu se modifică atunci când apar aplicații noi. În consecință, aplicațiile de imprimare trebuie să țină cont de marcarea colilor și să lase spațiu pentru aceasta. Faptul de tipărire este înregistrat într-un jurnal special pentru înregistrarea reproducerii documentelor tipărite. Pentru a lucra cu acest jurnal, utilizați program special, care vă permite să vizualizați, să editați unele câmpuri de înregistrări și să le imprimați (Fig. 6).
Un element important al sistemului de securitate WSWS 3.0 este sistemul de identificare/autentificare. Utilizatorul trebuie să introducă parola corectă pentru a se autentifica cu succes. Evident, calitatea parolei alese determină rezistența sistemului la pătrunderea intrușilor în el. Pentru a genera parole de utilizator, WSWS 3.0 include un program special (Fig. 7).
Pentru a monitoriza computerele de domeniu, se folosește un sistem de monitorizare a performanței (CF), care constă dintr-un server și agenți speciali. Agenții sunt instalați pe computerele de domeniu și raportează starea lor către server. Sistemul CF vă permite să obțineți informații despre diverse aspecte ale funcționării computerelor (starea proceselor, subsistemul discului, subsistemele nucleului) și să monitorizați performanța servicii de rețea(ftp, ssh etc.). Informațiile primite de server sunt acumulate în jurnale speciale, ceea ce face posibilă observarea nu numai a stării curente a domeniului, ci și studierea stării acestuia pe întreaga perioadă de funcționare a sistemului.
domeniul WSWS
WSWS 3.0 este folosit pentru a crea domeniile pe care sunt construite sisteme automate securizate. Din punct de vedere fizic, domeniul este implementat ca o rețea locală de computere, majoritatea fiind folosite pentru a organiza joburile utilizatorilor. Unele dintre ele sunt necesare pentru organizarea resurselor partajate, cum ar fi un server de fișiere, un server de baze de date, un server de imprimare, server de mail. În mod logic, domeniul WSWS este un set de computere care implementează o singură politică de securitate și formează un singur spațiu de administrare. O singură politică de securitate implică faptul că toate computerele dintr-un domeniu suportă un singur set de subiecte și obiecte de acces, atribute de securitate, precum și reguli uniforme pentru controlul discreționar și obligatoriu al accesului. În acest sens, domeniul WSWS este, de asemenea, un domeniu de securitate.
Un singur spațiu de administrare presupune o administrare uniformă a resurselor informaționale (calculatoare) domeniului WSWS. Baza sa este spațiul de utilizator unic al domeniului WSWS.
- Pentru fiecare utilizator de domeniu de la locul său de muncă este acceptat Cont, care include informațiile necesare despre utilizator (nume logic, parolă, nume complet și atribute de securitate a utilizatorului). Aceasta informatie folosit pentru a efectua proceduri de identificare/autentificare pentru un utilizator atunci când acesta intră în domeniul WSWS.
- Pe fiecare computer al domeniului cu resurse partajate (server) pe care acest utilizator poate lucra, există exact același cont pentru el ca la locul său de muncă.
- Locul de muncă al administratorului de securitate menține o bază de date cu informații despre toți utilizatorii domeniului, inclusiv contul lor, informații extinse (de exemplu, poziția, numele/numărul departamentului), precum și numele computerului său și toate serverele la care are acces.
Astfel, contul este unic pentru acest utilizatorîn domeniul WSWS și prin intermediul acestuia accesul utilizatorului la resurse informaționale domeniu.
Domenii eterogene
Pe acest moment la dezvoltarea unui sistem automatizat securizat, cel existent rețele locale, care sunt de obicei dominate de servere și stații de lucru activate Baza Windows NT. Imposibilitatea trecerii imediate a unei organizații la platforma WSWS creează problema integrării acesteia cu Windows. Aici se pot distinge două aspecte: alegerea strategiei optime pentru trecerea la WSWS și dificultățile tehnice care însoțesc această tranziție.
Ca urmare a analizei fluxurilor de informații într-un sistem automatizat securizat, este posibilă identificarea zonelor care sunt cele mai importante din punct de vedere al securității. În primul rând, aceste zone includ fluxurile de import/export de informații, deoarece prin aceste fluxuri intră informațiile confidențiale (atât primite din exterior, cât și generate în interior) în lumea exterioară: serverele de imprimare și exportul de informații pe discuri și benzi. Al doilea ca important sunt zonele de stocare a informațiilor: serverele de fișiere și stațiile de lucru ale utilizatorilor.
În procesul de transformare a unei rețele Windows într-un sistem automatizat securizat, acele secțiuni ale rețelei care sunt cele mai critice din punct de vedere al securității trebuie mai întâi modificate. Primul pas este de a minimiza și controla fluxurile de informații de ieșire. După cum am menționat, WSWS 3.0 are un sistem dezvoltat de contabilizare și control al tipăririi documentelor și permite, într-o rețea construită pe bază proprie, implementarea cerințelor de emitere a documentelor tipărite pentru copie tipărită.
Al doilea pas este migrarea serverelor de fișiere de pe Platforme Windows. WSWS 3.0 prevede un sistem dezvoltat pentru gestionarea accesului utilizatorilor la resursele informaționale ale sistemului de operare, care vă permite să organizați protecția datelor utilizatorului la nivelul corespunzător.
La integrarea WSWS și Windows apar o serie de probleme tehnice, dintre care cele mai importante sunt probleme de compatibilitate a schemelor de identificare/autentificare a utilizatorilor, principii de control al accesului utilizatorilor utilizate în aceste sisteme de codare chirilice.
Primele două probleme sunt că, în mediul Windows NT, schema de conectare a utilizatorilor în domeniul NT este suportată pe baza unei singure baze de date stocate pe un server de control special - un controler de domeniu. Această schemă fundamental diferită de schema utilizată în WSWS. În plus, arhitectura Windows NT nu are suport pentru controlul accesului obligatoriu și nu poate mapa multe dintre atributele de securitate ale sistemului de operare WSWS la aceasta. Sistemele Windows folosesc codificarea CP1251, în timp ce WSWS 3.0 (ca moștenire de la Linux) utilizează KOI8-R, cu toate acestea, datele acumulate (care necesită Mediul Windows) sunt de obicei stocate în CP1251. În același timp, prezentarea datelor către utilizatori, introducerea și editarea acestora are loc în mediul WSWS, deci este necesară transcodarea din mers. În plus, pentru rezolvarea problemelor de gestionare a datelor (de exemplu, sarcina de sortare a datelor), codificarea CP1251 este mai acceptabilă decât KOI8-R.
Pentru a construi un sistem automatizat securizat bazat pe WSWS 3.0 cu posibilitatea de compatibilitate temporală cu NT, a fost dezvoltat un sistem de acces terminal (Fig. 8). Acest sistem vă permite să organizați lucrul cu aplicațiile Windows în WSWS după cum urmează: serverele de fișiere și de imprimare, precum și site-urile client, sunt construite pe baza WSWS 3.0, iar un server de aplicații bazat pe NT este alocat pentru a lucra cu aplicațiile Windows Terminal Server Ediție accesată într-un mod special. Unul dintre avantajele acestei opțiuni este flexibilitatea în organizarea muncii utilizatorilor, care au de fapt posibilitatea de a lucra simultan în două medii de operare și de a folosi aplicațiile fiecăruia dintre ele. Dezavantajul este necesitatea creării unui server de aplicații cu acces special, ceea ce duce la restricții în politica de securitate. Ca rezultat, sarcina integrării WSWS și Windows NT este rezolvată prin crearea unui domeniu WSWS cu un server de aplicații bazat pe NT și folosind un sistem de acces terminal.
Să luăm acum în considerare modul în care un utilizator lucrează într-un domeniu WSWS eterogen. Utilizatorul intră în domeniu prin stația sa de lucru. Pentru a accesa un server de aplicații Windows NT, utilizatorul accesează un client de acces terminal. Într-o bază de date specială stocată pe serverul de aplicații, există o corespondență între numele de utilizator și numele computerului său, care este utilizată la maparea unităților de rețea pentru acest utilizator. Ca rezultat, atunci când lucrează într-o sesiune NT, utilizatorul vede doar conținutul directorului său principal ca o unitate de rețea la locul său de muncă, precum și partajări de domenii (servere de fișiere și imprimante). Poate rula aplicații Windows, dar va funcționa numai cu un set limitat de fișiere (proprii sau partajate) stocate pe computere care rulează WSWS 3.0.
Pentru a organiza tipărirea documentelor confidențiale din domeniu, este alocat un server de imprimare bazat pe WSWS, care este responsabil de implementarea și contabilizarea tipăririi, ceea ce previne duplicarea necontabilizată a documentelor confidențiale de ieșire. Poate fi conectat pentru a imprima informații neconfidențiale imprimante locale la ARM. Utilizator care lucrează cu aplicații Windows sau WSWS, trimite documentul pentru imprimare și nu contează unde se află documentul - pe mașina locală sau pe serverul de fișiere. Cu ajutorul WSWS se analizează nivelul de confidențialitate al documentului. Dacă documentul este confidențial, lucrarea este redirecționată către serverul de imprimare; dacă nu, documentul este tipărit local.
Opțiunile propuse vă permit să organizați o tranziție treptată de la infrastructura informațională la Bazat pe Windows NT la protejat sisteme automatizate prelucrarea informațiilor bazată pe WSWS 3.0.
Literatură
1. Comisia Tehnică de Stat a Rusiei. Document de orientare. Dotări informatice. Protecție împotriva accesului neautorizat la informații. Indicatori de securitate de la accesul neautorizat la informații. Moscova, 1992
2. D.V. Efanov. Sistem de contabilitate imprimare documente // ACS și controlere. 2001, №1
Andrei Tyulin- angajat al Ministerului Apărării al Federației Ruse. Igor Jukov, Dmitri Efanov ([email protected]) - angajați ai Institutului de Cercetare All-Russian pentru Automatizarea Controlului în Sfera NeIndustrială (Moscova).
Se încarcă...