Страницы: < 1 2 3 4 5 6 7 8 9 10 11 12 13 >
Автор: 12 | 69105 | 23.02.2017 12:42 |
На объектах с КИ используем Сканер-ВС (считали контрольные суммы, проверку затирания, аудит паролей и сети), на объектах с ГТ ситуация более прозаичная...
|
Автор: Human | 69106 | 23.02.2017 13:39 |
Для Иван, ЗАО "Связь-Союз" | 69104
"Хотелось бы расспросить того кто аттестовал ОИ(АС) на базе ПЭВМ с ОС AstraLinux, есть такие?" Как-то звучит двусмысленно.... Это же форум. Поэтому вы пишите свой вопрос. И если кому-то будет чем ответить, то это, скорее всего, произойдет. |
Автор: oko | 69111 | 23.02.2017 20:04 |
to Иван
Ничем от АС, в которых Windows+СЗИ НСД, не отличается... Сложности, скорее, у эксплуатантов с непривычки... |
Автор: Иван, Связь-Союз | 69119 | 24.02.2017 04:56 |
1. Можно ли провести ЛСИ ПЭВМ с ОС Windows(запуск тестов, разрешение экрана и т.п.), затем переставить ОС Windows на ОС AstraLinux?
2. Либо использовать виртуальную машину Windows на ПЭВМ с ОС AstraLinux и запустить тесты под виртуальной машиной. 3. Для ПЭВМ с ОС Windows используем СЗИ SN7 c Соболем/SNTMC, а с AstraLinux (3/1В) - ни чего этого не надо? Соболь/SNTMC - обязательно только для 1А(из сообщений форума). 4. Аттестация: снятие КС(нюансы с: ~(тильда), .(точкой); ФИКС(ОС Windows)) - что использовать? Пока все. |
Автор: oko | 69120 | 24.02.2017 11:07 |
to Иван
1. Про СИ ПЭМИН лучше погуглите (пояндексите, ага) соответствующую ветку форума. Там вопросы разницы результатов СИ под Win и под Lin на одной и той же машине обсуждались. Мое мнение: если совпадает драйверная база (что, в части тестов, в принципе, возможно) - измеряйте под той ОС, для которой имеются тесты. 2. Аналогично 1. Только для накопителей будете некоторую задержку отклика получать, что не есть гуд... и с клавиатурами могут быть проблемы... и с периферийным оборудованием, ага :) 3. Де юре пока не надо. Новый СТР не читал, что там про доверенную загрузку для ГТ сказано - не знаю. Но сам уже давно придерживаюсь правила: для "публичных" АС (рассчитанных на несколько отделов) нужна СДЗ (тот же Соболь, если разъемы имеются и UEFI не шалит), а для АС в рсп, где, фактически, только "доверенные" сотрудники работают, хватит и "мобильного шасси" с доп. орг.мерами. 4. Fix-Unix. Но его придется собирать под конкретную версию Астры (сталкивался с проблемой запуска уже скомпилированного Fix из Астры 1.0 в Астре 1.4). Зато можно подготовить заранее, если на руках имеется установочный дистрибутив Астры. В ином случае... хмм... копайте в сторону Live-CD самоличной сборки на базе Linux. И драйверы почти под все оборудование "вшить" можно, и через Wine запустить ФИКС-Windows, Терьер (от него пользы мало), Агент инвентаризации (пользы никакой, ибо будет данные эмулятора-неэмулятора Wine списывать) + тесты ПЭМИН для *nix и набор скриптов сбора информации по установленному ПО и настройкам основных файлов конфигураций. Увы, такие скрипты придется под конкретную ОС писать (т.е. для Астры и, к примеру, Росы будут отличаться, пусть и не сильно). ЗЫ Можно ФИКС-Windows и из-под Live-Windows запускать. Но тогда придется иметь хорошую поддержку ext3/ext4 файловых систем. Что, по-моему, еще нормально для Win не реализовано. ЗЗЫ Проверено, из-под Wine все прекрасно запускается и работает. Главное для Live-CD Linux - точку монтирования корня установленной Астры (например, /mnt/Astra) потом в отчетах того же ФИКС заменить на "/" :) |
Автор: Мимо | 69121 | 24.02.2017 14:05 |
Интересно, ФИКС-Unix 1.0 реализует алгоритм ГОСТ 34.11-2012 ? Начиная с Астры 1.5 контрольные суммы снимаются этим алгоритмом. К тому же стоит учесть, что если на объекте будет включен режим ЗПС, то неподписанные модули не запустятся.
|
Автор: oko | 69122 | 24.02.2017 17:45 |
to Мимо
Имея права root (а иначе как?), снять ЗПС не проблема. Что касается ГОСТ 2012... если так хочется - снимайте aide.check из состава Астры... И, кстати, вопрос: разве в формуляре Астры теперь приводятся КС на конкретные файлы, а не на полный дистрибутив (ядро, initrd, фс в squash)? Если нет, то какая вам разница с этим fix-unix? Используйте любое другое средство - благо, снятие КС с целью подтверждения верного дистрибутива можно проводить на любой другой машине. *в сторону* только чек дистрибутива смысла не имеет особого... imho, снимать КС нужно для последующих проверок, что не менялась целостность критически важных файлов в процессе эксплуатации программной среды АС... |
Автор: Dfg | 69124 | 25.02.2017 08:52 |
А даёт ли сейчас астра что-нибудь в плане централизированного контроля состояния среды Арм для сетей?
Например раскрутили astra linux directory (кстати большой вопрос можно ли использовать это для иод и гт) а что в плане центральной консоли непрерывного контроля защищенности? На ПК пытаются подобрать пароль - админ получил алерт. На ПК вырубили зпс - админ получил алерт. На ПК завёлся неизвестный исполняемый файл, админ получил алерт. |
Автор: 12 | 69131 | 25.02.2017 19:22 |
to Dfg
В Астре (начиная с 1.4) имеется написанная на php графическая среда для мониторинга логов на базе ossec не все то, что Вы описали, работает из коробки - нужно мааалость поработать напильником, настраивая политики сбора событий >> astra linux directory (кстати большой вопрос можно ли использовать это для иод и гт) нигде (пока что!) прямого запрета нет, выбирайте исходя из начальных условий. Военные, например, питают страсть к ALD |
Автор: Dfg | 69133 | 26.02.2017 15:58 |
Тут дело не в запрете, а в том какие компоненты они сертифицировали в составе своей ОС.
Ald и Ossec у них как сертифицирован? Oseec это например вполне самостоятельный продукт, который должен сертифицирован осы как система обнаружения вторжений. А Ald это тоже считай внешняя система аутентификации и разграничения доступа, это немножно не то что и встроенный login. Что касается напильника и написания скриптов, это уже по идее разработка, и те "велосипеды" которые будут ваять на каждом объекте линуксоиды, должны сами по себе проходить оценку соответствия заявленным функциям. Кто знает качество кода написанных на коленке скриптов костыльной обвязки. |
Просмотров темы: 72356