Selles ülevaates proovin installida RedHat Enterprice Linuxi koopia Vene Föderatsiooni kaitseministeeriumi vajadustele, et näha, kuidas see kaasaegses riistvaras töötab. WSWS-i viimane number ilmus juba 2011. aastal, kuid see on endiselt Vene sõjaväes "kasulik":
Alustame installimist
Installime FUJITSU LIFEBOOK N532 sülearvutile, mis töötab minu jaoks stabiilselt Linuxis ja Windowsis. See sülearvuti ilmus 2012. aastal, vaid aasta pärast WSWS 5.0.
Alglaadimisaken – RedHat Enterprice Linuxi eemaldatud koopia:
Nad olid isegi liiga laisad, et teha tavalist alglaadimisakent, vahetasid tausta / logo, eemaldasid mittevajalikud nupud ja kõik.
Installimise jätkamiseks vajutage lihtsalt sisestusklahvi:
Retrostiilis MS-DOS installer käivitati, kuid enne WSWS 5 väljaandmist oli peaaegu kõigil distributsioonidel graafiline installer. Debianil on ka tekstipõhine installer, kuid see on palju lihtsam ja selgem kui see. Meilt küsitakse, kas kontrollida installi-DVD-d või mitte. Kontrollime igaks juhuks üle:
Plaat on kirjutatud normaalselt, vigu pole. Järgmisena palutakse meil kontrollida täiendavaid kandjaid, kuid mul pole neid.
Ketta partitsioonide tööriist on laaditud kõigi valitud partitsioonide kustutamise võimalusega. Mis siis, kui ametnik kodumaise IT-tööstuse mõistusele toetudes lihtsalt sisestusklahvi vajutab?
Nüüd alustame ketta partitsioonidega. Sellesse arvutisse on installitud veel kaks operatsioonisüsteemi ja ma valisin "Loo kohandatud partitsioon"
Meil on 30 GB kasutamata vormindamata ruumi, valige "Kasuta vaba ruumi ja loo vaikepartitsioon" ja kuvatakse partitsioonitõrge: soovitud partitsioone ei saa eraldada
Klõpsake "Jah" ja saame automaatse jagamise vea:
Klõpsake "Jah" ja valige "Loo kohandatud jaotus"
Kuna see "dos fdisk" ei näita, kui palju on hõivatud ja vaba, et mitte midagi kogemata kustutada, otsustasin vaadata partitsioonid mõnes teises OS-is ja vajutasin taaskäivitamist (mäletan msdos-st alt + ctrl + del).
Arvuti lihtsalt rippus nende sõnade küljes, kuid reageerib CapsLockile. Ootame veel 15 minutit ja vajutame lihtsalt lähtestamist. Laadime teise OS-i, veendume, et vaba partitsioon on õigesti valitud, jätkame installimist ja jõuame ketta partitsioonide etappi. Failisüsteemide valik pole siin rikkalik, ainult ext2, ext3 ja vfat (mis ekraanile ei mahtunud).
Jätame kõik vaikimisi, see tähendab, et kasutame grubi:
Lihtsalt vajutage sisestusklahvi
Järgmisena palutakse meil luua parool, et muuta grubi alglaadimisvalikuid
Pidin sisestama pika parooli
Nüüd alustame alglaaduri installimist. Sülearvutisse on installitud Debiani ja Ubuntu uusimad versioonid, kuid installija ei leidnud neid. Selle tulemusena kaob pärast MCVS-i installimist operatsioonisüsteemide valimise menüü ja peate taastama grubi LiveCD kaudu.
Operatsioonisüsteemide loendi liugur allosas, justkui öeldes, et seal on midagi muud. Üritasin seda liigutada vajutades TAB, Ctrl, Ctrl+tab ja muid kiirklahve. Kuid liugur, millises asendis see oli, jäi sellesse asendisse:
Klõpsake nuppu Jah ja jätkake installimisega:
Valige alglaaduri installimise koht. Installin alglaaduri MBR-i kõikidele Linuxidele, st /dev/sda-le, kuid viimaste Windowsi kasutajate jaoks on see keeruline küsimus. Või teavad kõik Vene Föderatsiooni sõjaväelased Unixeid?
Järgmisena tuleb võrgu seadistamine.
Meil pole võrguühendusi, valige "Ei" ja vajutage sisestusklahvi
Avaneb aken, milles palutakse sisestada täiendavad võrgusätted:
Nagu näete, pole siin "tühista" ja "ei" nuppe. On ainult "jah" ja "tagasi". See oleks loogiline, kui installiksime süsteemi võrgu kaudu, kuid meil on DVD täieliku programmide komplektiga. Vajutame sisestusklahvi.
Jätsite välja "värav" tühjaks. Olenevalt teie võrgukeskkonnast võib hiljem tekkida probleeme
klõpsake nuppu Jätka ja meil palutakse uuesti sisestada täiendavad võrguparameetrid. Üldiselt naaseme esimesse võrguseadete aknasse ja näitame, et peame võrguliidese konfigureerima, kuigi meil seda pole.
Teil palutakse sisestada võrgu nimi. Valige "Käsitsi" ja leidke võrgu nimi
Valige ajavöönd:
Valige juurkasutaja parool (vähemalt kuus tähemärki):
Valige installitavate pakettide loend. Mina valisin kõik
Järgmiseks tuleb sõltuvuskontroll, mille järel avaneb installilogi aadressiga aken:
Paigaldusprotsess:
Ma ei saa aru, kas probleem on fontides või kodeeringus?
Installimine saavutab 100% ja installija tervitab meid rõõmsalt installimise lõppemise kohta, palub meil irdkandja keelata ja vajutada taaskäivitamiseks sisestusklahvi. Vajutame Enter ja arvuti lihtsalt tardub, nagu eelmisel korral.
Vajutame toitenuppu, ootame paar minutit ja oh õudust, kõik on inglise keeles. Või on see Vene sõjaväes selline vene keel?
Kus on meie Debian ja Ubuntu? On ainult üks WSWS. Aga see on okei, selle saab parandada, installides uuesti Grubi alglaaduri LiveCD kaudu.
Allalaadimiseks vajutage lihtsalt sisestusklahvi
Süsteem on rumal 15 sekundit ja näitab vigu: Mälu krahhi tuuma jaoks (0x0 kuni 0x0) ei ole lubatud; ei saa Synapticsi riistvara päringuid teha
ja jätkab allalaadimist, allalaadimise ajal avaneb seadete menüü
Valige lihtsalt "Välju" ja vajutage sisestusklahvi. 10 sekundi pärast avaneb see ekraan, kus pole ainsatki vihjet graafikale. Sisestage oma kasutajanimi ja parool ning süsteem on tööks valmis:
Muide, pöörake tähelepanu, siia on installitud kernel 2.6.18. See tuum tuli välja viis aastat varem kui WSWS 5.0. Jah, viie aastaga oli võimalik ehitada terveid tööstusi, nagu stalinistlikes viieaastaplaanides, aga peaaegu 10 aastat on juba möödas! Tol kaugemal ajal hakkasin Linuxi vastu huvi tundma. Kuigi võib-olla on nad koodi turvalisust auditeerinud viis aastat.
Olgu, proovime kasutada seda, mis meil on.
Proovin graafikat käivitada. Niksis peate graafika käivitamiseks tavaliselt sisestama startx, sisestama startx:
#startx
ja saada vead:
Siin avasin meelega vealogi /var/log/Xorg.0.log, et teha selgeks, mis toimub: süsteem ei saa laadida standardseid fbdev ja vesa draivereid.
Peame lihtsalt süsteemi taaskäivitama ja naasma töötava OS-i juurde, sisestama reboot ja taaskäivitame taaskäivituse:
Proovin installida VirtualBoxi kaudu:
Sisestame ka juurlogi, parooli ja startxi
Loomulikult ei soovita VNIINS turvakaalutlustel X-i administraatorina käivitada. Ja miks siis pärast esimest käivitamist või installiprogrammis endas ei tehtud turvakaalutlustel ettepanekut luua lihtsaid kasutajaid, nagu paljudes teistes distributsioonides?
O_o, tundub, et töötab.
WSWS 5.0 töölaud
Seega näeme ilusat kerget töölauda, mis simuleerib vanu Windowsi ja KDE-d. Kuid see on lihtsalt kaunistatud avatud lähtekoodiga töölaud
11 aastat tagasi välja antud failihaldur näeb välja nagu maha võetud konquerror
Süsteemisalves ajaindikaator koos kalendriga, klaviatuuripaigutuse lüliti ja juurdepääsetavuse taseme indikaator (kuid see on tõenäolisem WSWS-i arendajatelt).
WSWS 5.0 seaded
Linuxis ei käitata mõnda programmi (nt Chromium) turvakaalutlustel administraatorina, seega loome esmalt uue kasutaja ja logime selle kaudu sisse:Start - seaded - ELK juhtpaneel, kasutajahaldus - uue kasutaja lisamine:
Parool peab olema vähemalt 8 tähemärki pikk!
Turvaatribuudid on muljetavaldavad, kuid me ei puuduta neid:
Kasutaja loomine õnnestus. Väljume seansist ja siseneme otse juurkonsooli kontole, kus meid tervitatakse hunniku veaga:
Väljume sellest kontost, vajutades Ctrl + D, logime sisse uue kasutajana ja käivitame startx. X-id käivitusid, kuid nad ei reageeri hiire liikumisele ja klaviatuuri otseteedele. Virtuaalse masina taaskäivitamine ei aidanud, ka selle konto x-id ei tööta. Olgu, peate käivitama administraatorina, mis on turvarikkumine.
Meil on ekraani eraldusvõime 800x600, proovime seda muuta. Minge jaotisse "Juhtpaneel" ja valige ikoon "Monitor". Avaneb aken teatega, et meil ei ole faili xorg.conf ja ekraan on loomise ajal tume. Looge see või mitte?
Klõpsake "Jah"
Konfiguratsiooni lähtestamise viga:
Pärast seda avaneb monitori sätetega aken. Püüame midagi muuta, kuid ei reageeri. Tähelepanuväärne on see, et see aken näitab Windows 95 ekraani näidet.Ja kui vajutate nuppu Jah ja Loobu, siis aken ei sulgu ja midagi ei juhtu. Akna saab sulgeda ainult ristil klõpsates.
Menüüs "Süsteem" on üksus "Ekraani eraldusvõime vahetamine". Valime selle ja avame salves programmi, millel on ainult kaks üksust: 800x600 ja 640x480 ning sagedus 60Hz. Kuid FreeDOS-is õnnestus mul see kõrgemaks seada ja isegi sagedust muuta. Siit järeldus, et OS WSVS-is on graafika kehvem kui DOS-is!
Vaatame teavet seadmete kohta:
Pärast OK klõpsamist avaneb järgmine aken:
WSWS 5.0 programmid
Huvitav on see, et kui liigutame hiirekursori EDE programmidest KDE-sse, muutub hiirekursori värv.Selle põhjuseks on asjaolu, et WSWS-i töölaud on segu EDE ja KDE töölaudadest.
Net. Selles kategoorias on kokku kümme programmi, sealhulgas ELK Browser, IRC, Wireshark, GFTP, Mail Monitor, Network Monitor ning PPP häälestus ja võrguseadmete haldus.
Võrguseadmete haldus
Meiliklient ei käivitu:
ELK Browser brauser on Aurora brauseri täpne koopia. Vaata, nad nimetasid selle ümber ELK-ks, kuid unustasid logo muuta:
ELK brauser:
Kommunaalteenused
Utiliites on juba 4 terminali: ELK-terminal, X-terminal, Console ja terminal superkasutaja režiimis. Kas sa tead, miks neid nii palju on? Kuna WSWS-i töölaud on EDE ja KDE segu. Nad isegi ei mõelnud mittevajalike utiliitide eemaldamisele, kõik oli seatud vaikimisi, nii et nad jätsid selle.
Sel põhjusel on palju programme kahest erinevast lauaarvutist, kuid samade võimalustega. See kehtib eriti piltide, dokumentide (PDF, DJVU jne) ja tekstiredaktorite vaatamise kohta.
Emacsi tekstiredaktor WSWS-is:
Teaduslik. KDE ainus teaduslik kalkulaator, mis ilmus 2005. aastal:
Graafika. Selles jaotises avaldatakse kõik KDE + Xsane 2007 programmid.
Mängud. Mängud sisaldavad valikut KDE mänge, sealhulgas sõjalisi mänge Minesweeper ja Parachutes:
Multimeedia. Lihtne meediapleier, audio-CD-mängija, K3b (CD/DVD-kirjutaja), helitugevuse reguleerimise ja salvestustarkvara.
Heli kontrollimiseks peate virtuaalsesse süsteemi laadima filmi .. Heli ja video ei tööta siin üldse. Panin VirtualBOXi seadetesse Alsa, Oss, SoundBlaster16 - miski ei tööta. Proovisin ogv, ogg, mp4 - mõnel juhul nõuab see koodekite installimist, teistel näitab viga:
Proovime installida ffmpeg:
Avage Start - ELK juhtpaneel - programmihaldur
pakendiloendeid kontrollitakse mõni sekund enne käivitamist
proovige leida ffmpeg
See on Vene sõjaväes selline vene keel!
ffmpeg sattus installitud pakettide loendisse. Oss ja alsa (helisüsteemid) otsing ei andnud üldse tulemusi. Ka Office'i ja firefoxi päringud ei andnud tulemusi.
k3b annab käivitamisel vea, et MIME tüüpi ei leitud. Peate 10 korda nuppu OK vajutama ja siis käivitub:
Süsteemi väljalülitamine:
Välja tooma...
1. WSWS ei tööta tänapäevastel seadmetel
2. Süsteemi tuum, nagu kogu tarkvara, ilmus 11 aastat tagasi, seega kaasaegseid seadmeid ei toetata.
3. Ekraani eraldusvõimeks on seatud 800x600 ja see ei muutu
4. Videosüsteem töötab ainult emulaatoris, kuid see näitab pärast töö lõpetamist vigu.
5. Heli ei tööta üldse
6. Graafika töötab ainult administraatorina, mis on turvarikkumine
7. Vaikimisi on väljalülitamise ja taaskäivitamise käsud saadaval ainult konsooli kaudu ja töötavad ainult emulaatoris.
Üldised järeldused.
WSVS5.0 – 2011. aastal kopeeritud RedHat Enterprice Linux5.0 (2007) poolt, ei tööta 2011. aastal välja antud arvutites õigesti. Jah, Vene armees üldiselt on tuntav iha sügava antiikaja järele, näiteks lennukit kandev ristleja "Admiral Kuznetsov" oma hüppelauaga katapuldi asemel, mille tõttu on lennukid sunnitud lendama puuduliku laskemoonaga. ja mõnikord kukkuda vette lennuki õhkutõusmise ajal ja kütteõli elektrijaamaga, vajades reisi ajal tankimist ...
Kindlasti on vähemalt osa meie lugejatest mõelnud, millist operatsioonisüsteemi meie kaitseväes kasutatakse. Lõppude lõpuks mõistame me kõik, et Windowsi ei saa installida ühelegi raketisüsteemile, mis on lahingus. Täna avame veidi saladuseloori ja räägime WSWS OS-ist. See on nn mobiilne süsteem, mille nimi ütleb rakendusala kohta, kuid me räägime teile selle üldisest paigutusest.
Loomise eeldused
Esimest korda sõnastati arvutisüsteemide turvalisuse kriteeriumid eelmise sajandi 60ndate lõpus. 80. aastate keskel koguti Ameerika Ühendriikides kõik need arengud ühte dokumenti. Nii sündis kaitseministeeriumi "oranž raamat" - esimene arvutisüsteemide turvalisuse standard. Järgmised sarnased dokumendid ilmusid Euroopa riikides ja Kanadas. 2005. aastal koostati nende alusel rahvusvaheline turvastandard ISO / IEC 15408 "Üldised turvakriteeriumid".
Venemaal viidi sarnased uuringud läbi Kaitseministeeriumi 22. Keskuuringute Instituudis. Arenduste lõpptulemuseks oli OS WSWS kättesaamine Vene Föderatsiooni relvajõududes 2002. aastal. ISO/IEC nõuetel põhinev riikliku standardi variant võeti vastu 2008. aastal.
Miks on sõjaväel vaja oma operatsioonisüsteemi
Igapäevaselt kasutatavad operatsioonisüsteemid ei ole turvaparameetrite poolest riigikasutusse sobivad. Vene Föderatsiooni presidendi juures asuv riiklik tehniline komisjon sõnastas need järgmiselt:
- Teave peab olema kaitstud volitamata juurdepääsu eest nii seest kui väljast.
- Süsteem ei tohiks sisaldada dokumenteerimata funktsioone, teisisõnu, OS-koodis ei tohiks olla "lihavõttemune".
Lisaks peab turvalisel operatsioonisüsteemil olema mitmetasandiline hierarhiline juurdepääsustruktuur ja eraldi haldusfunktsioonid.
Seega pole spetsiaalse suletud operatsioonisüsteemi loomise ülesanne nii lihtne, kui esmapilgul tundub. Dokumenteerimata funktsioonide puudumine tähendab, et sertifitseerimiskeskuses uuritakse põhjalikult kõigi tööprotseduuride lähtekoodi ja tehnilist kirjeldust. Ja see on omanike ettevõtete või arendajate intellektuaalomandi ärisaladuste valdkond. Selline paradoks paneb vaatama avatud operatsioonisüsteemide poole, sest patenteeritud tarkvara täielikku tehnilist dokumentatsiooni on peaaegu võimatu hankida.
GOST R nõuded
FSTEC kui infoturbe eest vastutav teenus kogu riigis on kehtestanud operatsioonisüsteemide jaotuse töödeldava teabe kaitseastme järgi. Mugavuse huvides on kõik andmed koondatud ühte tabelisse.
Tabelist on näha, et mitmete nõuete kohaselt kehtestatakse volitamata juurdepääsu eest kolm gruppi ja üheksa kaitseklassi ning nende järgi tehakse juba edasine jaotus erinevat liiki konfidentsiaalsele teabele juurdepääsuks.
Linuxi keskmes
Miks on Linux nii mugav, et seda võetakse meelsasti riigiaparaadis teenima? Tõepoolest, tavakasutajad kardavad teda enamasti nagu põrgu viirukit. Selgitame välja. Esiteks pöörame tähelepanu litsentsile, mille alusel Linuxi levitatakse. See on niinimetatud GPL2 – universaalne avalik ehk tasuta litsents. Igaüks võib hankida lähtekoodi ja ehitada selle põhjal oma toote. Teisisõnu, keegi ei viitsi võtta parimaid Linuxi distributsioone ja kasutada neid oma turvalise OS-i arendamisel.
Riigiasutuste maailmakogemus näitab, et üleminek vabale tarkvarale toimub kõikjal, idee on nõutud ja õigustab end igati. Maailma juhtivad riigid nagu USA, Saksamaa, Jaapan ning neile kiiresti lähenevad Hiina ja India kasutavad Linuxi avalikus sfääris ja hariduses aktiivselt.
WSWS ja selle sisu
Mobiilisüsteemi versioon 3.0 on sõjaväes töötanud poolteist aastakümmet, nüüd asendub see arenenuma tootega ja võime julgelt veterani "kapoti alla" vaadata. Niisiis, see on võrgu operatsioonisüsteem, mis töötab mitme kasutaja režiimis ja kasutab graafilist kasutajaliidest. Toetab riistvaraplatvorme:
- Intel.
- IBM System/390.
SPAPC/Elbrus.
See põhines sel ajal saadaolevatel parimatel Linuxi distributsioonidel. Paljud süsteemimoodulid laenati RedHat Linuxilt ja kompileeriti uuesti, et need vastaksid kaitseministeeriumi nõuetele. Teisisõnu, relvajõudude mobiilsüsteem on Linuxi RPM-i distributsioon koos kõigi sellega seotud rakendusprogrammide ja arendustööriistadega.
Failisüsteemide tugi on küll sajandi alguse tasemel, kuid kuna levinuim neist oli juba siis olemas, pole see näitaja kriitiline.
WSWS versioonid
Hoolimata asjaolust, et tegemist on võrguoperatsioonisüsteemiga, pole sellel ühelegi Linuxi kasutajale tuttavaid tarkvarahoidlaid. Kogu tarkvara tarnitakse installi-CD-del. Kõik selles süsteemis kasutatavad programmid on kaitseministeeriumi poolt eelnevalt sertifitseeritud. Ja kuna protseduur pole kaugeltki kiire, on kogu viieteistkümne tööaasta jooksul välja antud piiratud arv versioone ja nende muudatusi.
WSWS-i arendaja on ülevenemaaline mittetööstusliku sfääri juhtimise automatiseerimise uurimisinstituut. Selle ametlikult lehelt leiate teavet WSWS-i praegu toetatud versioonide kohta, millel on kaitseministeeriumi nõutavad turvasertifikaadid.
Relvajõudude 2017. aasta mobiilset süsteemi esindavad kaks toetatud assambleed:
- OS WSWS 3.0 FLIR 80001-12 (muudatus nr 6).
OS WSWS 3.0 FLIR 80001-12 (muudatus nr 4).
VNIINS-i veebisaidil asuval versioonil 5.0 on kaitseministeeriumi turvasertifikaat, kuid seda ei antud kunagi ametlikult vägedele tarnimiseks.
WSWS-i järglane
Järgmine turvaline operatsioonisüsteem, mida esitleti poolteist aastakümmet teeninud WSWS-i asendajana, oli Astra Linux OS. Erinevalt oma eelkäijast, mis sai turvasertifikaadi ainult kaitseministeeriumilt, sai Astra Venemaal kõik võimalikud sertifikaadid ning need on kaitseministeeriumi, FSB ja FSTECi dokumendid. Tänu sellele saab seda kasutada kõigis valitsusasutustes ja mitmete erinevate riistvaraplatvormide jaoks kohandatud versioonide olemasolu laiendab selle ulatust veelgi. Selle tulemusel saab see ühendada oma kontrolli all kõik seadmed - mobiilseadmetest statsionaarsete serveriseadmeteni.
Astra Linux on kaasaegne deb-pakettidel põhinev Linuxi distributsioon, mis kasutab uusimat kerneli versiooni ja ajakohast tarkvara. Toetatavate protsessorite ja nende arhitektuuride loendit on samuti laiendatud, et hõlmata kaasaegseid disainilahendusi. Ametlikult avaldatud versioonide nimekiri lubab loota selle tarkvaratoote edule vähemalt avalikus sektoris ja kaitsetööstuses.
Lõpuks
Selles materjalis rääkisime WSWS OS-ist - Vene Föderatsiooni relvajõudude peamisest operatsioonisüsteemist, mis on ustavalt "teenistuses" teeninud 15 aastat ja on endiselt "lahingupostil". Lisaks kirjeldas lühidalt tema järeltulijat. Võib-olla paneb see mõned meie lugejad vaatama, mis on Linux ja kujundama toote kohta erapooletu arvamuse.
WSWS 3.0 on Linuxis välja töötatud turvaline, mitme kasutajaga ajajagamise ja mitme ülesandega operatsioonisüsteem. Operatsioonisüsteem pakub mitmetasandilist prioriteetide seadmise süsteemi koos ennetava multitegumtöötluse, virtuaalse mälu korraldamise ja täieliku võrgutoega; töötab mitme protsessoriga (SMP - sümmeetriline multiprotsessor) ja klastri konfiguratsioonidega Inteli, MIPS ja SPARC platvormidel. WSVS 3.0 funktsioon on sisseehitatud volitamata juurdepääsu eest kaitsmise vahend, mis vastab Vene Föderatsiooni presidendi alluvuse riikliku tehnilise komisjoni juhendi nõuetele arvutiseadmete klassi 2 kohta. Turvatööriistad hõlmavad kohustuslikku juurdepääsukontrolli, juurdepääsukontrolli loendeid, eeskuju ja täiustatud audititööriistu (sündmuste logimine).
WSWS 3.0 failisüsteem toetab kuni 256 tähemärgi pikkuseid failinimesid koos võimalusega luua venekeelseid faili- ja katalooginimesid, sümboolseid linke, kvoodisüsteemi ja juurdepääsuõiguste loendeid. Võimalik on ühendada FAT ja NTFS failisüsteeme, samuti ISO-9660 (CD-sid). Kvoodimehhanism võimaldab teil kontrollida kasutajate kettaruumi kasutamist, käivitatud protsesside arvu ja igale protsessile eraldatud mälu mahtu. Süsteemi saab konfigureerida väljastama hoiatusi, kui kasutaja taotletud ressursid lähenevad määratud kvoodile.
WSWS 3.0 sisaldab X aknal põhinevat graafikasüsteemi. Graafilises keskkonnas töötamiseks on kaasas kaks aknahaldurit: IceWM ja KDE. Enamik WSWS-i programme on graafiliselt orienteeritud, mis loob soodsad tingimused mitte ainult kasutajate tööks, vaid ka nende üleminekuks Windowsilt WSWS-ile.
WSWS 3.0 tarnitakse konfiguratsioonis, mis sisaldab lisaks tuumale ka komplekti täiendavaid tarkvaratooteid. Operatsioonisüsteemi ennast kasutatakse põhielemendina automatiseeritud tööjaamade (AWP) korraldamisel ja automatiseeritud süsteemide ehitamisel. Lisatarkvara saab installida soovi korral ja see on keskendunud domeenihalduse ja administreerimise maksimaalsele automatiseerimisele, mis võimaldab teil vähendada tööjaamade ülalpidamiskulusid ja keskenduda kasutajate poolt nende sihtülesande täitmisele. Installiprogramm võimaldab installida OS-i buutivalt CD-lt või võrgu kaudu FTP kaudu. Tavaliselt installitakse ja konfigureeritakse esmalt ketastelt installiserver ning seejärel ülejäänud arvutid üle võrgu. Töötava domeeni installiserver täidab tööjaamade tarkvara värskendamise ja taastamise ülesande. Uus versioon laaditakse üles ainult serverisse ja seejärel uuendatakse tarkvara automaatselt tööjaamades. Kui tarkvara on tööjaamades kahjustatud (näiteks kui programmifail on kustutatud või käivitatava või konfiguratsioonifailide kontrollsummad ei ühti), installitakse vastav tarkvara automaatselt uuesti.
Installimise ajal palutakse administraatoril valida üks standardsetest installitüüpidest või kohandatud installimine. Standardtüüpe kasutatakse standardsetele töökohtadele paigaldamisel ja need hõlmavad peamisi tüüpilisi töökohtade korraldamise võimalusi OS WSWS 3.0 baasil (joonis 1). Iga standardtüüp määratleb installitud tarkvaratoodete komplekti, ketta konfiguratsiooni, failisüsteemide komplekti ja mitmed süsteemisätted. Kohandatud installimine võimaldab teil selgesõnaliselt seadistada kõik lõpliku süsteemi määratud omadused kuni üksikute tarkvarapakettide valikuni. Kui valite kohandatud installi, saate installida WSWS 3.0 arvutisse, kuhu on juba installitud mõni muu operatsioonisüsteem (nt Windows NT).
WSWS 3.0 struktuur sisaldab ühtset dokumentatsioonisüsteemi (ESD), mis sisaldab teavet süsteemi toimimise erinevate aspektide kohta. ESD koosneb dokumentatsiooniserverist ja kirjeldustekste sisaldavast andmebaasist, millele pääseb ligi brauserite kaudu. Lisatarkvara installimisel paigaldatakse ESD andmebaasi vastavad viiteosad. ESD-d saab majutada kohapeal igas töökohas või WSWS-i domeenis saab eraldada spetsiaalse dokumentatsiooniserveri. Viimane võimalus on kasulik suurtes WSWS-domeenides, et säästa kogu kettaruumi, lihtsustada haldusprotsessi ja värskendada dokumentatsiooni. Juurdepääs dokumentidele muudest tööjaamadest on võimalik WSWS 3.0-ga kaasas oleva veebibrauseri kaudu.
WSVS 3.0 on venestatud nii tähtnumbrilises kui ka graafilises režiimis. Toetatakse virtuaalseid terminale, mille vahel vahetamine toimub klahvikombinatsiooni abil.
Süsteemi terviklikkuse seisukohalt on võtmepunktiks WSWS-i uute kasutajate registreerimine, mil määratakse kasutaja atribuudid, sealhulgas turvaatribuudid, mille järgi juurdepääsukontrollisüsteem hakkab edasi kontrollima kasutaja tööd. Mandaadimudeli aluseks on uue kasutaja registreerimisel sisestatud info.
Suvalise juurdepääsukontrolli rakendamiseks kasutatakse traditsioonilisi Unixi juurdepääsukontrolli bittide ja juurdepääsukontrolli loendite (ACL) mehhanisme. Mõlemad mehhanismid on rakendatud WSWS 3.0 failisüsteemi tasemel ja neid kasutatakse failisüsteemi objektide juurdepääsuõiguste määramiseks. Bitid võimaldavad teil määrata õigused kolme kasutajakategooria jaoks (omanik, rühm, teised), kuid see ei ole piisavalt paindlik mehhanism ja seda kasutatakse enamiku OS-i failide õiguste määramisel, mida põhiosa kasutab samal viisil. kasutajad. ACL-ide abil on võimalik seada õigusi üksikute kasutajate ja/või kasutajate rühmade tasemel ning seeläbi saavutada õiguste seadmisel oluline detailsus. Loendeid kasutatakse failidega töötamisel, mis nõuavad näiteks mitme konkreetse kasutaja jaoks erinevate juurdepääsuõiguste määramist.
Traditsiooniliste Unixi süsteemide üks olulisi puudusi turvalisuse seisukohast on kõige ulatuslikumate volitustega superkasutaja olemasolu. WSWS 3.0 tunnuseks on superkasutaja funktsioonide detsentraliseerimine. Süsteemihalduse ülesanne on jagatud mitmeks osaks, mille jaoks on konfiguratsiooni-, turva- ja auditiadministraatorid. Operatsioonisüsteemi seisukohalt on need administraatorid tavakasutajad, kellele on antud võimalus käivitada spetsiaalseid administreerimisprogramme ja ligi pääseda vastavatele konfiguratsioonifailidele. Süsteemiadministraatori kontode loomine toimub WSWS 3.0 installimise ajal.
Iga administraator vastutab ainult oma ülesannete täitmise eest, näiteks haldab konfiguratsiooniadministraator failisüsteeme, võrguliideseid, konfigureerib süsteemiteenuseid jne. Turvaadministraator vastutab turvapoliitika eest ja kontrollib turvalisusega seotud süsteemisätteid: parooli minimaalset pikkust, ebaõnnestunud kasutaja sisselogimiskatsete arvu jne. Samal ajal logitakse kõik turvalisusega seotud sündmused, sealhulgas administraatorite tegevused. Auditi haldamine on auditi administraatori ülesanne, kes saab näiteks auditi logisid "puhastada".
Superkasutajate funktsioonide detsentraliseerimine võimaldab rakendada "nelja silma" põhimõtet. Näiteks uue WSWS 3.0 kasutaja registreerimine on kaheetapiline protsess. Esiteks loob konfiguratsiooniadministraator uuele kasutajale konto ja seejärel registreerib turvaadministraator uue kasutaja turvaandmebaasi. Alles pärast seda saab süsteemi siseneda uuel kasutajal.
Haldusülesannete täitmiseks sisaldab jaotuspakett paketti "Administration Tools", mis sisaldab programme kasutajate, failide, turvalisuse, auditeerimise, kogu süsteemi ja võrgusätete haldamiseks.
Esimene ülesanne, mis tuleb pärast WSWS 3.0 installimist lõpetada, on administraatoril määratleda organisatsioonis rakendatav turbepoliitika. Selle ülesande üks komponente on kohustusliku juurdepääsukontrolli mehhanismi konfigureerimine. Joonisel fig. 2 näitab mandaadimootori halduri programmi vaadet, mis võimaldab teil konfigureerida WSWS 3.0 subjekti ja objekti mandaate. Programmi akna ülaosas on konfigureeritud turbetasemed, mille võimalikud väärtused võivad olla näiteks “mitte konfidentsiaalne” ja “konfidentsiaalne”. Alumises osas luuakse palju kategooriaid, mis kirjeldavad ainevaldkonda, kuhu teave kuulub: “töötajad”, “tehnilised vahendid” jne. Võimalik on luua kategooriate superkomplekte (näiteks "Kategooria_1_2"), sealhulgas mitut eraldi kategooriat ja muid superkomplekte. Tasemetega töötamine on kõige mugavam, kui need on esitatud kümnendkohana, kuna tasemetel on hierarhiline korraldus. Kategooriatega töötamisel on omakorda mugav neid binaarsel kujul esitada, kuna kategooriad ei ole hierarhiline komplekt.
Joonisel fig. 3 näitab vaadet ühele kasutajahaldusprogrammi aknast. Seda programmi saavad käivitada ainult konfiguratsiooni- ja turbeadministraatorid. Samal ajal saab igaüks neist määrata või muuta ainult neid kasutaja atribuute, mille haldamine on tema pädevuses.
Joonisel fig. Joonisel 4 on näide failihaldusprogrammi aknast, mis võimaldab vaadata ja muuta faili atribuutide väärtusi. Failisüsteemi puustruktuuri visualiseerimine akna vasakpoolses osas hõlbustab selles navigeerimist ja soovitud faili valimist. Parempoolne osa näitab valitud faili atribuute, mis on rühmitatud vastavalt nende funktsionaalsele otstarbele. Igal rühmal on eraldi vahekaart. Vahekaart Üldine sisaldab traditsioonilisi Unixi failiatribuute, nagu tüüp, suurus, kõvade linkide arv, valikulised atribuudid ja ajatemplid. WSWS 3.0 failide eripäraks on kohustuslike atribuutide olemasolu ja valikuliste atribuutide laiendamine juurdepääsuõiguste loendiga. Kohustuslikud atribuudid on esitatud vahekaardil "Mandaadi silt". Faili ACL-i haldamiseks on vahekaart "Load" esile tõstetud. Veelgi enam, kui valite kataloogid, mille jaoks on vaikimisi võimalik ACL-i luua, aktiveeritakse vahekaart "Vaikimisi juurdepääsuõigused". Joonisel fig. 5 näitab faili ACL-iga töötamise akna vaadet. Võimalik on lisada nii ühe kasutaja või grupi üks kirje kui ka mitu samade juurdepääsuõigustega kirjet. Sarnaselt eelmise programmiga saavad failihaldusprogrammi käivitada ainult konfiguratsiooni- ja turbeadministraatorid. Igaüks neist saab muuta ainult neid faili atribuute, mille haldamine on tema pädevuses.
WSWS 3.0 teenused
WSWS, nagu iga teinegi operatsioonisüsteem, loob optimaalsed tingimused teenuste ja rakenduste täitmiseks, mis tagavad automatiseerimise ja suurendavad kasutajate töö tõhusust.
Mis tahes OS-i üks peamisi teenuseid on printimisteenus. WSWS 3.0 sisaldab printimissüsteemi, mis võimaldab printida dokumente vastavalt turvasüsteemide nõuetele. WSWS 3.0 printimissüsteemi funktsioonide hulgas, mis seda sarnastest süsteemidest eristab, on kohustusliku juurdepääsukontrolli mehhanismi tugi, mis võimaldab prinditöö loomise etapis määrata dokumendi konfidentsiaalsuse taseme ja automaatselt saata töö konkreetsele printerile vastavalt selles organisatsioonis vastuvõetud printimisreeglitele. Igale prinditud lehele märgitakse automaatselt dokumendi mandaadid, sealhulgas dokumendi printinud kasutaja perekonnanimi ja selle arvuti nimi, kust prinditöö saadeti. Üks printimissüsteemi eeliseid on selle muutumatus printimisteenusele juurdepääsu saavate rakenduste suhtes. See tähendab, et see ei ole seotud olemasolevate rakendustega ega muutu uute rakenduste ilmumisel. Sellest tulenevalt peavad trükirakendused arvestama lehtede märgistamisega ja jätma selleks ruumi. Trükkimise fakt registreeritakse trükitud dokumentide paljundamise registreerimiseks spetsiaalses ajakirjas. Selle ajakirjaga töötamiseks kasutatakse spetsiaalset programmi, mis võimaldab vaadata, redigeerida mõningaid kirjete välju ja neid printida (joonis 6).
WSWS 3.0 turvasüsteemi oluline element on identifitseerimis-/autentimissüsteem. Edukaks autentimiseks peab kasutaja sisestama õige parooli. Ilmselt määrab valitud parooli kvaliteet süsteemi vastupidavuse sissetungijate sellesse tungimisele. Kasutajate paroolide genereerimiseks sisaldab WSWS 3.0 spetsiaalset programmi (joonis 7).
Domeeniarvutite jälgimiseks kasutatakse jõudluse jälgimise süsteemi (CF), mis koosneb serverist ja spetsiaalsetest agentidest. Agendid installitakse domeeniarvutitesse ja annavad oma olekust serverile teada. CF-süsteem võimaldab hankida teavet arvutite toimimise erinevate aspektide kohta (protsesside olek, ketta alamsüsteem, kerneli alamsüsteemid) ja jälgida võrguteenuste (ftp, ssh jne) tervist. Serverile vastuvõetud teave kogutakse spetsiaalsetesse logidesse, mis võimaldab jälgida mitte ainult domeeni hetkeseisu, vaid ka uurida selle olekut kogu süsteemi tööperioodi jooksul.
WSWS domeen
WSWS 3.0 kasutatakse domeenide loomiseks, millele on ehitatud turvalised automatiseeritud süsteemid. Füüsiliselt on domeen realiseeritud arvutite kohaliku võrguna, millest enamikku kasutatakse kasutajate tööde korraldamiseks. Mõned neist on vajalikud jagatud ressursside korraldamiseks, näiteks failiserver, andmebaasiserver, prindiserver, meiliserver. Loogiliselt võttes on WSWS-domeen arvutite kogum, mis rakendab ühtset turbepoliitikat ja moodustavad ühtse haldusruumi. Ühtne turbepoliitika tähendab, et kõik domeeni arvutid toetavad ühtset juurdepääsuobjektide ja -objektide komplekti, turbeatribuute, aga ka ühtseid reegleid suvalise ja kohustusliku juurdepääsu kontrollimiseks. Selles mõttes on WSWS-i domeen ka turvadomeen.
Ühtne haldusruum eeldab WSWS-i domeeni teaberessursside (arvutite) ühtset haldamist. Selle aluseks on WSWS-i domeeni ühe kasutaja ruum.
- Iga domeeni kasutaja jaoks tema töökohal peetakse kontot, mis sisaldab kasutaja kohta vajalikku teavet (loogiline nimi, parool, täisnimi ja kasutaja turvaatribuudid). Seda teavet kasutatakse kasutaja tuvastamiseks/autentimiseks, kui ta siseneb WSWS-i domeeni.
- Igas jagatud ressurssidega (server) domeeni arvutis, kus see kasutaja saab töötada, on tema jaoks täpselt sama konto, mis tema töökohal.
- Turvaadministraatori töökohal on andmebaas, mis sisaldab teavet kõigi domeeni kasutajate kohta, sealhulgas nende konto, laiendatud teave (näiteks ametikoht, osakonna nimi/number), samuti oma arvuti ja kõigi serverite nimi, millele tal on juurdepääs.
Seega on konto antud kasutaja jaoks ainuke WSWS domeeni sees ja just selle kaudu kontrollitakse kasutaja ligipääsu domeeni inforessurssidele.
Heterogeensed domeenid
Praegu võetakse turvalise automatiseeritud süsteemi väljatöötamisel aluseks olemasolevad kohalikud võrgud, kus reeglina domineerivad Windows NT-l põhinevad serverid ja tööjaamad. Organisatsiooni viivitamatu WSWS-platvormile ülemineku võimatus tekitab probleemi selle integreerimisel Windowsiga. Siin saab eristada kahte aspekti: WSWS-ile ülemineku optimaalse strateegia valik ja selle üleminekuga kaasnevad tehnilised raskused.
Turvalises automatiseeritud süsteemis infovoogude analüüsi tulemusena on võimalik välja selgitada turvalisuse seisukohalt kõige olulisemad valdkonnad. Esiteks hõlmavad need valdkonnad teabe impordi / ekspordi vooge, kuna just nende voogude kaudu satub konfidentsiaalne teave (nii väljastpoolt saadud kui ka seespool loodud) välismaailma: prindiserveritesse ja teabe eksportimiseks ketastele ja lintidele. Tähtsuselt teisel kohal on teabe salvestamise valdkonnad: failiserverid ja kasutajate tööjaamad.
Windowsi võrgu turvaliseks automatiseeritud süsteemiks muutmisel tuleb esmalt muuta neid võrguosi, mis on turvalisuse seisukohast kõige olulisemad. Esimene samm on väljundinfovoogude minimeerimine ja juhtimine. Nagu mainitud, on WSWS 3.0-l välja töötatud süsteem dokumentide trükkimise arvestuseks ja kontrollimiseks ning see võimaldab oma baasil ehitatud võrgus rakendada paberkoopiale trükitud dokumentide väljastamise nõudeid.
Teine samm on failiserverite migreerimine Windowsi platvormilt. WSWS 3.0 pakub välja arendatud süsteemi kasutajate juurdepääsu haldamiseks operatsioonisüsteemi teaberessurssidele, mis võimaldab teil korraldada kasutajaandmete kaitse õigel tasemel.
WSWS-i ja Windowsi integreerimisel kerkivad esile mitmed tehnilised probleemid, millest olulisemad on kasutajatuvastus-/autentimisskeemide ühilduvusprobleemid, nendes kirillitsa kodeerimissüsteemides kasutatavad kasutaja juurdepääsukontrolli põhimõtted.
Esimesed kaks probleemi seisnevad selles, et Windows NT keskkonnas toetatakse kasutajate NT domeeni sisselogimise skeemi, mis põhineb ühel spetsiaalsel juhtserveril - domeenikontrolleris - salvestatud andmebaasil. See skeem erineb põhimõtteliselt WSWS-is kasutatavast skeemist. Lisaks puudub Windows NT arhitektuuril kohustusliku juurdepääsukontrolli tugi ja sellega ei saa seostada paljusid WSWS-i operatsioonisüsteemi turbeatribuute. Windowsi süsteemid kasutavad CP1251 kodeeringut, samas kui WSWS 3.0 (Linuxist pärit pärandina) kasutab KOI8-R, kuid kogutud andmed (millega töötamiseks on vaja Windowsi keskkonda) salvestatakse tavaliselt CP1251-sse. Samal ajal toimub andmete esitamine kasutajatele, nende sisestamine ja redigeerimine WSWS keskkonnas, mistõttu on vaja käigu pealt transkodeerida. Lisaks on andmehaldusprobleemide lahendamiseks (näiteks andmete sorteerimise ülesanne) CP1251 kodeering vastuvõetavam kui KOI8-R.
WSWS 3.0-l põhineva turvalise automatiseeritud süsteemi ehitamiseks koos võimalusega ajaliselt ühilduda NT-ga, töötati välja terminali juurdepääsusüsteem (joonis 8). See süsteem võimaldab korraldada tööd Windowsi rakendustega WSWS-is järgmiselt: faili- ja prindiserverid, samuti kliendisaidid on ehitatud WSWS 3.0 baasil ning töötamiseks on eraldatud NT Terminal Server Editionil põhinev rakendusserver. Windowsi rakendused, millele juurdepääs on erilisel viisil. Selle valiku üheks eeliseks on paindlikkus kasutajate töö korraldamisel, kes saavad reaalselt võimaluse töötada samaaegselt kahes töökeskkonnas ja kasutada neist kummagi rakendusi. Puuduseks on vajadus luua spetsiaalse juurdepääsuga rakendusserver, mis toob kaasa piirangud turvapoliitikas. Selle tulemusena lahendatakse WSWS-i ja Windows NT integreerimise ülesanne, luues WSWS-domeeni NT-põhise rakendusserveriga ja kasutades terminali juurdepääsusüsteemi.
Vaatleme nüüd, kuidas kasutaja heterogeenses WSWS-domeenis töötab. Kasutaja siseneb domeeni oma tööjaama kaudu. Windows NT rakendusserverile juurdepääsuks pääseb kasutaja juurde terminali juurdepääsukliendile. Rakendusserverisse salvestatud spetsiaalses andmebaasis on vastavus kasutajanime ja tema arvuti nime vahel, mida kasutatakse selle kasutaja võrgudraivide kaardistamisel. Sellest tulenevalt näeb kasutaja NT-seansis töötades oma töökohal võrgukettana ainult oma kodukataloogi sisu, aga ka domeenijagamisi (failiservereid ja printereid). See võib käitada Windowsi rakendusi, kuid töötab ainult piiratud hulga failidega (oma või jagatud), mis on salvestatud arvutitesse, kus töötab WSWS 3.0.
Konfidentsiaalsete dokumentide printimise korraldamiseks domeenis eraldatakse WSWS-il põhinev prindiserver, mis vastutab printimise teostamise ja arvestuse eest, mis hoiab ära konfidentsiaalsete väljunddokumentide arvestuseta dubleerimise. Mittekonfidentsiaalse teabe printimiseks on võimalik ühendada kohalikud printerid tööjaamadega. Windowsi rakendustega või WSWS-iga töötav kasutaja saadab dokumendi printimiseks ja pole vahet, kus dokument asub - kohalikus masinas või failiserveris. WSWS-i abil analüüsitakse dokumendi konfidentsiaalsustaset. Kui dokument on konfidentsiaalne, suunatakse töö prindiserverisse, kui mitte, prinditakse dokument kohapeal.
Pakutud valikud võimaldavad korraldada järkjärgulist üleminekut Windows NT-l põhinevalt infoinfrastruktuurilt turvalistele automatiseeritud infotöötlussüsteemidele, mis põhinevad WSWS 3.0-l.
Kirjandus
1. Venemaa Riiklik Tehniline Komisjon. Juhenddokument. Arvutiseadmed. Kaitse volitamata juurdepääsu eest teabele. Turvanäitajad volitamata juurdepääsu eest teabele. Moskva, 1992
2. D.V. Efanov. Dokumentide printimise arvestussüsteem // ACS ja kontrollerid. 2001, nr 1
Andrei Tyulin- Vene Föderatsiooni kaitseministeeriumi töötaja. Igor Žukov, Dmitri Efanov ([e-postiga kaitstud]) - Ülevenemaalise mittetööstusliku sfääri juhtimisautomaatika uurimisinstituudi töötajad (Moskva).
