Константин Попадюшкин, заместитель директора ЗАО «МВП «СВЕМЕЛ».
ОС «Циркон 36» разработана на базе CentOS GNU/Linux 6.5 и содержит программный пакет KVM, являющийся модулем ядра и реализующий средства виртуализации.
Основные механизмы обеспечения безопасности, реализуемые ОС «Циркон 36С»:
Гарантируемое мандатное (принудительное) разграничение доступа пользователей (групп пользователей) к обрабатываемой информации. Реализуется на уровне гипервизора терминального сервера и сервера приложений на основе механизма изоляции пользователей с равными правами в собственных копиях ОС. При этом, для сетевых сервисов (СУБД, почтовый сервер) выделяются специальные общие домены, доступ к которым может быть разрешен из нескольких пользовательских доменов.
Использование на терминалах системы в качестве пользовательского интерфейса технологии «тонкого» клиента.
Многоуровневый аудит действий пользователя, основными задачами которого являются:
Модификация прошивки терминала с внедрением механизмов контроля целостности ПО терминала и обеспечением невозможности изменения хода загрузки терминала.
Механизмы контроля целостности ПО сервера.
Механизмы дискреционного разграничения доступа ОС «Циркон» пользовательского домена.
Данные механизмы позволяют реализовать принцип ограниченной осведомленности для формально равно допущенных пользователей одного домена, защитить конфигурационные и исполняемые файлы ПО пользовательского домена от их случайной модификации.
Шаги дискреционного разграничения доступа реализованы в ядре ОС.
Все это существенно затрудняющие использование уязвимостей ПО, функционирующего в доменах под управлением ОС «Циркон».
Данные механизмы позволяют реализовать изолированную программную среду пользователя на серверах системы и обеспечить практическую невозможность применения эксплойтов, создаваемых для заимствованного при разработке системы ПО.
- Развитие платформы видятся в реализация рандомизации размещения функций в секции кода исполняемого файла во время загрузки его в память процесса (Разрабатывается совместно с ИСП РАН).
Уважаемые коллеги! Для прохода в здание РАН просим принести документ, удостоверяющий личность.
