В ходе работ были обновлены основные компоненты операционной системы специального назначения (далее – ОС СН), при этом основные усилия разработчиков были направлены на:
- повышение защищенности операционной системы;
- повышение качества и удобства использования программного обеспечения;
- обеспечение поддержки современного оборудования.
- дополнительно к ранее существующим режимам работы (стандартный рабочий стол, планшетный режим) графического менеджера окон FLY добавлен мобильный режим работы на современном оборудовании, оснащенном сенсорными экранами
Внесенные изменения повышают безопасность обработки информации и расширяют возможности для работы с современным компьютерным оборудованием:
- Ядро ОС СН Linux 4.2, обеспечивающее поддержку современных средств вычислительной техники (СВТ).
- Ядро ОС СН Linux 4.2 с набором изменений PaX, обеспечивающее работу программного обеспечения в режиме наименьших привилегий и защиту от эксплуатации различных уязвимостей в программном обеспечении.
- В механизме создания замкнутой программной среды, реализованном в ядре ОС СН, реализованы новые функциональные возможности:
– поддержка ГОСТ Р 34.11-2012 и ГОСТ Р 34.10-2012 с длиной хэш-кода 256 бит;
– возможность сохранения в расширенных атрибутах файловой системы цифровой подписи файла и ее автоматической динамической проверки ядром ОС СН. - В программных средствах, предназначенных для автоматизированного регламентного контроля целостности, реализована поддержка ГОСТ Р 34.11-2012 с длиной хэш-кода 256 бит (по умолчанию) и ГОСТ Р 34.11-2012 с длиной хэш-кода 512 бит (рекомендации по применению).
- В средствах аутентификации с использованием локальной базы данных пользователей реализована поддержка ГОСТ Р 34.11-2012 и возможность сквозной аутентификации пользователя с применением плагинов от производителей различных типов аппартно-програмнных модулей аутентификации и загрузки.
- В программных средствах организации единого пространства пользователей (сетевого домена) Astra Linux Directory (ALD) реализованы:
– поддержка ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012 при аутентификации посредством Kerberos;
– реализована возможность сквозной аутентификации пользователя в сетевом домене ALD с использованием перспективных изделий АПМДЗсемейства «МАКСИМ» с доверенным сетевым адаптером;
– модернизированы средства управления доверительными отношениями между доменами ALD и средства авторизации пользователей ALD при взаимодействии между доменами;– реализованы дополнительные возможности удаленного управления рабочими местами и серверами в домене ALD. - Обновлена версия защищенной СУБД на основе PostgreSQL версии 9.4, в которой реализованы механизмы контроля доступа на основе ДП-модели управления доступом и информационными потоками.
- В состав защищенной СУБД добавлены средства создания кластеров высокой доступности.
- Графический менеджер окон FLY переведен на современную библиотеку графических примитивов Qt 5.5.
- Дополнительно к ранее существующим режимам работы (стандартный рабочий стол, планшетный режим) графического менеджера окон FLY добавлен мобильный режим работы на современном оборудовании, оснащенном сенсорными экранами.
- В графической подсистеме ОС СН на основе X.org разработан защищенный буфер обмена данными для копирования информации между графическими приложениями, исполняемыми с разными мандатными контекстами в изолированном окружении.
- Реализован графический интерфейс управления средствами «киоск» через механизмы графического менеджера окон FLY.
- Разработан графический интерфейс администратора для настройки сетевых служб и защищенных серверов печати, электронной почты, гипертекстовой обработки документов и СУБД.
- Средства централизованного аудита доработаны по результатам эксплуатации ОС СН в целях обеспечения соответствия требованиям к системам защиты информации автоматизированных систем органов военного управления.
- Разработаны и включены в состав ОС СН средства для создания Live-CD/USB установочных образов с обеспечением режима «только для чтения».
- В состав ОС СН внесены изменения, направленные на устранение уязвимостей в программных компонентах, выявленных в процессе эксплуатации.
Работы проводились совместно с Академией ФСБ России и Институтом системного программирования РАН. В ходе работ обеспечена реализация средствами защиты, встроенными в операционную систему и входящую в ее состав СУБД, способа обеспечения безопасности информационных потоков (патент № 2525481), разработанного специалистами ИКСИ Академии ФСБ России. Кроме того, Институтом системного программирования РАН проведена верификация средств защиты информации на соответствие формальной модели.