Мобильная система вооружённых сил (ос мсвс): защищённая операционная система общего назначения. На страже конфиденциальной информации Мсвс 3.0 6 ошибка диска
МСВС 3.0 - защищенная многопользовательская многозадачная ОС с разделением времени, разработанная на основе Linux. Операционная система обеспечивает многоуровневую систему приоритетов с вытесняющей многозадачностью, виртуальную организацию памяти и полную сетевую поддержку; работает с многопроцессорными (SMP - symmetrical multiprocessing) и кластерными конфигурациями на платформах Intel, MIPS и SPARC. Особенность МСВС 3.0 - встроенные средства защиты от несанкционированного доступа, удовлетворяющие требованиям Руководящего документа Гостехкомиссии при Президенте РФ по классу 2 средств вычислительной техники . Средства защиты включают мандатное управление доступом, списки контроля доступа, ролевую модель и развитые средства аудита (протоколирования событий).
Файловая система МСВС 3.0 поддерживает имена файлов длинной до 256 символов с возможностью создания русскоязычных имен файлов и каталогов, символьные ссылки, систему квот и списки прав доступа. Существует возможность монтирования файловых систем FAT и NTFS, а также ISO-9660 (компакт-диски). Механизм квотирования позволяет контролировать использование пользователями дискового пространства, количество запускаемых процессов и объем памяти, выделяемой каждому процессу. Система может быть настроена на выдачу предупреждений при приближении запрошенных пользователем ресурсов к заданной квоте.
В состав МСВС 3.0 входит графическая система на основе X Window. Для работы в графической среде поставляются два оконных менеджера: IceWM и KDE. Большинство программ в МСВС ориентировано на работу в графической среде, что создает благоприятные условия не только для работы пользователей, но также и для их перехода с ОС Windows на МСВС.
МСВС 3.0 поставляется в конфигурации, которая кроме ядра включает набор дополнительных программных продуктов. Сама операционная система используется как базовый элемент организации автоматизированных рабочих мест (АРМ) и построении автоматизированных систем. Дополнительное программное обеспечение может устанавливаться по выбору, и ориентировано на максимальную автоматизацию управления и администрирования домена, что позволяет уменьшить затраты на обслуживание АРМов и сконцентрироваться на выполнении пользователями их целевой задачи. Программа инсталляции позволяет установить ОС с загрузочного компакт-диска или по сети по протоколу FTP. Обычно сначала с дисков устанавливается и настраивается инсталляционный сервер, а затем по сети происходит инсталляция остальных компьютеров. Инсталляционный сервер в работающем домене выполняет задачу обновления и восстановления ПО на рабочих местах. Новая версия выкладывается только на сервере и затем происходит автоматическое обновление ПО на рабочих местах. При повреждении ПО на рабочих местах (например, при удалении файла программы или несовпадении контрольных сумм исполняемых или конфигурационных файлов), автоматически происходит повторная установка соответствующего ПО.
При инсталляции администратору предлагается выбрать либо один из стандартных типов инсталляции, либо настраиваемую инсталляцию. Стандартные типы используются при установке на стандартные рабочие места и охватывают основные типовые варианты организации рабочих мест на базе ОС МСВС 3.0 (рис. 1). Каждый стандартный тип определяет набор инсталлируемых программных продуктов, конфигурацию диска, набор файловых систем и ряд системных настроек. Настраиваемая инсталляция позволяет явно задать все указанные характеристики конечной системы вплоть до выбора индивидуальных программных пакетов. При выборе настраиваемой инсталляции можно установить МСВС 3.0 на компьютер с уже установленной другой операционной системой (например, Windows NT).
В состав МСВС 3.0 входит единая система документации (ЕСД) с информацией о самых разных аспектах функционирования системы. ЕСД состоит из сервера документации и базы данных, содержащей тексты описаний, доступ к которым возможен через браузеры. При установке дополнительного программного обеспечения в базу данных ЕСД устанавливаются соответствующие справочные разделы. ЕСД может размещаться локально на каждом рабочем месте, либо в домене МСВС может быть выделен специальный сервер документации. Последний вариант полезно использовать в доменах МСВС большой размерности для экономии суммарного дискового пространства, упрощения процесса управления и обновления документации. Доступ к документации с остальных рабочих мест возможен через Web-браузер, поставляемый вместе с МСВС 3.0.
МСВС 3.0 русифицирована как в алфавитно-цифровом, так и в графическом режимах. Поддерживаются виртуальные терминалы, переключение между которыми осуществляется с помощью комбинации клавиш.
Ключевым моментом с точки зрения целостности системы является операция регистрации новых пользователей МСВС, когда определяются атрибуты пользователя, включая атрибуты безопасности, в соответствии с которыми система управления доступом будет в дальнейшем контролировать работу пользователя. Основу для мандатной модели составляет информация, вводимая при регистрации нового пользователя.
Для реализации дискреционного управления доступом используются традиционные для Unix механизмы бит прав доступа и списков прав доступа (ACL - access control list). Оба механизма реализуются на уровне файловой системы МСВС 3.0 и служат для задания прав доступа к объектам файловой системы. Биты позволяют определять права для трех категорий пользователей (владелец, группа, остальные), однако, это не достаточно гибкий механизм и применяется при задании прав для большинства файлов ОС, одинаковым образом используемых основной частью пользователей. С помощью списков ACL можно задавать права на уровне отдельных пользователей и/или групп пользователей, и, тем самым, достичь существенной детализации в задании прав. Списки применяются при работе с файлами, для которых требуется, например, задать разные права доступа для нескольких определенных пользователей.
Одним из существенных недостатков традиционных Unix-систем, с точки зрения безопасности, является наличие суперпользователя, имеющего самые широкие полномочия. Особенность МСВС 3.0 - децентрализация функций суперпользователя. Задача администрирования системы разделена на несколько частей, для выполнения которых существуют администраторы конфигурирования, безопасности и аудита. С точки зрения операционной системы эти администраторы являются обычными пользователями, которым предоставлена возможность запуска специальных административных программ и доступ к соответствующим конфигурационным файлам. Создание учетных записей системных администраторов происходит на этапе установки МСВС 3.0.
Каждый из администраторов отвечает за выполнение только своих задач, например, администратор конфигурирования управляет файловыми системами, сетевыми интерфейсами, настройкой системных служб и т.п. Администратор безопасности отвечает за политику безопасности и контролирует настройки системы, относящиеся к безопасности: минимальная длина пароля, количество неудачных попыток входа пользователя в систему и т.п. При этом протоколируются все события, имеющие отношение к безопасности, в том числе и действия администраторов. За управление аудитом отвечает администратор аудита, который может, например, «почистить» журналы аудита.
Децентрализация функций суперпользователя позволяет реализовать принцип «четырех глаз». Например, регистрация нового пользователя МСВС 3.0 выполняется в два этапа. Сначала администратор конфигурирования создает учетную запись для нового пользователя, а затем администратор безопасности регистрирует нового пользователя в базе данных системы защиты. Только после этого становится возможным вход нового пользователя в систему.
Для выполнения задач по администрированию в состав дистрибутива входит пакет «Средства администрирования», который включает программы по управлению пользователями, файлами, безопасностью, аудитом, общесистемными и сетевыми настройками.
Первая задача, которая должна быть выполнена после установки МСВС 3.0, заключается в формировании администратором политики безопасности, реализуемой в данной организации. Одной из составляющих этой задачи является настройка механизма мандатного управления доступом. На рис. 2 показан вид программы управления мандатным механизмом, которая позволяет настроить множество мандатных атрибутов субъектов и объектов МСВС 3.0. В верхней части окна программы происходит настройка уровней безопасности, возможными значениями которых могут быть, например, «не конфиденциально» и «конфиденциально». В нижней части создается множество категорий, описывающих предметную область, к которой относится информация: «сотрудники» «технические средства» и т.п. Возможно создание надмножеств категорий (например, «Категория_1_2»), включающих в себя несколько отдельных категорий и других надмножеств. Работа с уровнями наиболее удобна при представлении их в десятичном виде, так как уровни имеют иерархическую организацию. В свою очередь, при работе с категориями удобно представление их в двоичном виде, так как категории - это не иерархическое множество.
На рис. 3 представлен вид одного из окон программы управления пользователями. Запуск этой программы возможен только администраторами конфигурирования и безопасности. При этом каждый из них может установить или изменить только те атрибуты пользователя, управление которыми входит в его компетенцию.
На рис. 4 приведен пример окна программы управления файлами, позволяющего просматривать и изменять значения атрибутов файлов. Визуализация древовидной структуры файловой системы в левой части окна облегчает навигацию по ней и выбор нужного файла. В правой части показываются атрибуты выбранного файла, сгруппированные по своему функциональному назначению. Для каждой группы выделена отдельная закладка. В закладке «Основные» представлены такие традиционные для Unix атрибуты файла, как тип, размер, количество жестких ссылок, дискреционные атрибуты и временные метки. Особенностью файлов МСВС 3.0 является наличие мандатных атрибутов и расширение дискреционных атрибутов списком прав доступа. Мандатные атрибуты представлены в закладке «Мандатная метка». Для управления ACL файла выделена закладка «Права доступа». Причем, при выборе каталогов, для которых возможно создание ACL по умолчанию, активизируется закладка «Права доступа по умолчанию». На рис. 5 представлен вид окна работы с ACL файла. Возможно добавление как единичной записи для пользователя или группы, так и множества записей с одинаковыми правами доступа. Как и в случае предыдущей программы, запуск программы управления файлами возможен только администраторами конфигурирования и безопасности. Каждый из них может изменить только те атрибуты файла, управление которыми входит в его компетенцию.
Службы МСВС 3.0
МСВС, как и любая другая операционная система, служит для создания оптимальных условий для выполнения сервисов и приложений, обеспечивающих автоматизацию и повышение эффективности труда пользователей.
Одной из основных служб любой ОС является служба печати . В состав МСВС 3.0 входит система печати, позволяющая осуществлять печать документов в соответствии с требованиями, предъявляемыми к защищенным системам. Среди особенностей системы печати МСВС 3.0, отличающих ее от аналогичных систем, является поддержка механизма мандатного управления доступом, которая позволяет на этапе формирования задания на печать определить уровень конфиденциальности документа и автоматически направить задание на определенный принтер в соответствии с правилами печати, принятыми в данной организации. Каждый напечатанный лист автоматически маркируется учетными атрибутами документа, включающими фамилию пользователя, распечатавшего документ и имя компьютера, с которого было отправлено задание на печать. Одним из достоинств системы печати является ее инвариантность по отношению к приложениям, которые обращаются к службе печати. Это означает, что она не привязана к существующим приложениям и не изменяется при появлении новых приложений. Как следствие, приложения, выводящие на печать, должны учитывать маркировку листов и оставлять для этого свободное место. Факт печати регистрируется в специальном журнале учета размножения печатных документов. Для работы с этим журналом используется специальная программа, позволяющая просматривать, редактировать некоторые поля записей и распечатывать их (рис. 6).
Важным элементом системы защиты МСВС 3.0 является система идентификации/аутентификации. Для успешной аутентификации пользователю необходимо ввести правильный пароль. Очевидно, качество выбранного пароля определяет стойкость системы к проникновению в нее злоумышленников. Для генерации паролей пользователей в состав МСВС 3.0 входит специальная программа (рис. 7).
Для осуществления мониторинга компьютеров домена применяется система контроля функционирования (КФ), состоящая из сервера и специальных агентов. Агенты устанавливаются на компьютеры домена и сообщают серверу об их состоянии. Система КФ позволяет получать информацию о различных аспектах функционирования компьютеров (состояние процессов, дисковой подсистемы, подсистем ядра) и контролировать работоспособность сетевых служб (ftp, ssh и т.д.). Информация, поступающая на сервер, накапливается в специальных журналах, что позволяет наблюдать не только текущее состояние домена, но и изучать его состояние за весь период функционирования системы.
Домен МСВС
МСВС 3.0 используется для создания доменов, на основе которых создаются защищенные автоматизированные системы. Физически домен реализуется в виде локальной сети компьютеров, большинство из которых служит для организации рабочих мест пользователей. Некоторые из них необходимы для организации ресурсов общего пользования, таких как файловый сервер, сервер баз данных, сервер печати, почтовый сервер. Логически домен МСВС представляет собой множество компьютеров, реализующих единую политику безопасности и образующих единое пространство администрирования. Единая политика безопасности подразумевает, что на всех компьютерах домена поддерживаются единые множества субъектов и объектов доступа, атрибутов безопасности, а также действуют единые правила дискреционного и мандатного управления доступом. В этом смысле, домен МСВС является также доменом безопасности.
Единое пространство администрирования подразумевает единообразное администрирование информационных ресурсов (компьютеров) домена МСВС. Его основой является единое пространство пользователей домена МСВС.
- Для каждого пользователя домена на его рабочем месте поддерживается учетная запись, включающая необходимую информацию о пользователе (логическое имя, пароль, Ф.И.О. и атрибуты безопасности пользователя). Данная информация используется для выполнения процедур идентификации/аутентификации пользователя при его входе в домен МСВС.
- На каждом компьютере домена с общими ресурсами (сервере), на котором может работать данный пользователь, для него существует точно такая же учетная запись, как и на его рабочем месте.
- На рабочем месте администратора безопасности поддерживается база данных с информацией о всех пользователях домена, включающая их учетную запись, расширенную информацию (например, должность, название/номер отдела), а также имя его компьютера и всех серверов, к которым он имеет доступ.
Таким образом, учетная запись является единой для данного пользователя в рамках домена МСВС и именно через нее происходит управление доступом пользователя к информационным ресурсам домена.
Гетерогенные домены
На данный момент при разработке защищенной автоматизированной системы за основу берутся существующие локальные сети, в которых, как правило, доминируют серверы и рабочие места на базе Windows NT. Невозможность мгновенного перехода организации на платформу МСВС порождает проблему ее интеграции с Windows. Здесь можно выделить два аспекта: выбор оптимальной стратегии перехода на МСВС и технические сложности, которые сопутствуют этому переходу.
В результате анализа информационных потоков в защищенной автоматизированной системе можно выделить участки, наиболее важные с точки зрения безопасности. Прежде всего, к таким участкам относятся потоки импорта/экспорта информации, так как именно через эти потоки конфиденциальная информация (как полученная извне, так и порожденная внутри) попадает во внешний мир: серверы печати и экспорт информации на диски и ленты. Вторыми по значимости являются участки хранения информации: файловые серверы и рабочие станции пользователей.
В процессе превращения Windows-сети в защищенную автоматизированную систему в первую очередь должны модифицироваться те участки сети, которые являются наиболее критическими с точки зрения безопасности. Первым шагом является минимизация и контроль выходных информационных потоков. Как было сказано, МСВС 3.0 обладает развитой системой учета и контроля печати документов, и позволяет в сети, построенной на своей основе реализовать требования по выдачи печатных документов на твердую копию.
Вторым шагом является перенос файловых серверов с платформы Windows. В МСВС 3.0 предусмотрена развитая система управления доступом пользователей к информационным ресурсам операционной системы, что позволяет организовать защиту данных пользователей на должном уровне.
При интеграции МСВС и Windows возникает целый ряд проблем технического характера, наиболее важными из которых являются проблемы совместимости схем идентификации/аутентификации пользователей, принципов управления доступом пользователей, используемых в этих системах кириллических кодировок.
Первые две проблемы заключаются в том, что в среде Windows NT поддерживается схема входа пользователей в домен NT на основе единой базы данных, хранящейся на специальном управляющем сервере - контроллере домена. Данная схема принципиально отличается от схемы, используемой в МСВС. Кроме того, в архитектуре Windows NT отсутствует поддержка мандатного управления доступом и на нее невозможно отобразить множество атрибутов безопасности операционной системы МСВС. В Windows-системах используется кодировка CP1251, в то время как в МСВС 3.0 (как наследие от Linux) используется KOI8-R, однако, накопленные данные (для работы с которыми и требуется среда Windows), как правило, хранятся именно в CP1251. При этом представление данных пользователям, их ввод и редактирование происходит в среде МСВС, поэтому приходится осуществлять перекодирование «на лету». Кроме того, для решения задач управления данными (например, задача сортировки данных) кодировка CP1251 более приемлема, чем KOI8-R.
Для построения защищенной автоматизированной системы на базе МСВС 3.0 с возможностью временной совместимости с NT была разработана система терминального доступа (рис. 8). Данная система позволяет организовать в МСВС работу с Windows-приложениями следующим образом: серверы файлов и печати, а также клиентские места строятся на базе МСВС 3.0, а для работы с Windows-приложениями выделяется сервер приложений на базе NT Terminal Server Edition, доступ к которому осуществляется специальным образом. Одно из достоинств данного варианта - это гибкость в организации работы пользователей, которые фактически получают возможность работать одновременно в двух операционных средах и использовать приложения каждой из них. Недостаток - необходимость создания сервера приложений со специальным доступом, что приводит к появлению ограничений в политике безопасности. В результате, задача интеграции МСВС и Windows NT решается путем создания домена МСВС с сервером приложений на базе NT и использования системы терминального доступа.
Рассмотрим теперь, как работает пользователь в гетерогенном домене МСВС. Пользователь входит в домен через свой АРМ. Для обращения к серверу приложений на базе Windows NT пользователь обращается к клиенту терминального доступа. В специальной базе данных, хранящейся на сервере приложений, имеется соответствие между именем пользователя и именем его компьютера, которое используется при подключении сетевых дисков для данного пользователя. В результате, работая в сеансе NT, пользователь в качестве сетевого диска на своем рабочем месте видит только содержимое своего домашнего каталога, а также общие ресурсы домена (файловые серверы и принтеры). Он может запускать приложения Windows, но будет работать только с ограниченным множеством файлов (своих или общих), хранящихся на компьютерах с МСВС 3.0.
Для организации печати конфиденциальных документов в домене выделяется сервер печати на базе МСВС, который отвечает за осуществление и учет печати, что предотвращает безучетное размножение выходных конфиденциальных документов. Для печати не конфиденциальной информации возможно подключение локальных принтеров к АРМ. Пользователь, работая с приложениями Windows или МСВС, посылает документ на печать, причем не имеет значения, где находится документ - на локальной машине или на сервере файлов. С помощью средств МСВС происходит анализ уровня конфиденциальности документа. Если документ является конфиденциальным, задание перенаправляется на сервер печати, если нет, - документ печатается локально.
Предложенные варианты позволяют организовать постепенный переход от информационной инфраструктуры на основе Windows NT к защищенным автоматизированным системам обработки информации на основе МСВС 3.0.
Литература
1. Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Москва, 1992
2. Д.В. Ефанов. Система учета печати документов // АСУ и контроллеры. 2001, №1
Андрей Тюлин - сотрудник МО РФ. Игорь Жуков , Дмитрий Ефанов ([email protected]) - сотрудники Всероссийского научно-исследовательского института автоматизации управления в непромышленной сфере (Москва).
Как определить поддерживается ли операционной системой оборудование данного компьютера?
Какие варианты установки предоставляет ОС МСВС 3.0?
Какие сетевые протоколы поддерживает программа установки?
В каких случаях требуется создание загрузочных дискет?
Перечислите основные этапы установки?
Какой загрузчик используется для загрузки ядра ОС?
Перечислите основные этапы загрузки ядра?
Что такое lilo и lilo.conf?
Как удалить LILO и восстановить исходный загрузчик?
Для чего используется механизм модулей ядра?
В каких случаях требуется использовать RAM-диск?
Как настроить использование RAM-диска при загрузке?
Чем различаются загрузочные дискеты boot, bootnet и drivers? Как их создать? Как их проверить?
Что такое программный пакет, зависимости пакетов?
Какие возможности предоставляют менеджеры пакетов?
Какой менеджер пакетов используется для управления программным обеспечением?
Как установить пакет с компакт-диска, по сети?
Установка ОС МСВС 3.0
Основные этапы установки
Установка с компакт-диска включает следующие шаги:
приглашение к установке и напоминание о документации;
выбор манипулятора «мышь»;
разбиение диска на разделы;
настройка загрузчика;
настройка сети;
установка имени компьютера;
выбор часового пояса;
выбор комплексов для установки;
установка пакетов;
установка пароля пользователя root;
создание загрузочных дискет;
настройка видеокарты и монитора;
При установке по сети с использованием сервера необходимо произвести несколько дополнительных предварительных шагов:
изготовление комплекта дискет для загрузки компьютера и организации сетевого доступа к серверу;
выбор варианта сетевой установки;
настройка сети и организация сетевого доступа к серверу.
Установка с компакт-диска
Перед началом установки нужно настроить BIOS компьютера так, чтобы первым в списке загрузочных устройств был компакт-диск, и вставить компакт-диск с загрузочным модулем ОС МСВС 3.0 в привод компакт-дисков.
Если BIOS не поддерживает загрузку с компакт-диска, необходимо дополнительно вставить в дисковод дискету boot и настроить BIOS компьютера так, чтобы первым в списке загрузочных устройств была дискета. Современные компьютеры как правило поддержисают загрузку с компакт-диска, поэтому необходимость в загрузочной дискете может возникнуть только при установке ОС МСВС 3.0 на «старый» компьютер.
Затем следует перезагрузить компьютер. На экране монитора появится приглашение:
В формате данного приглашения существует возможность передачи дополнительных параметров программе установки. Например, команда:
boot: MCBC mem=128M
сообщает программе установки, что объем оперативной памяти данного компьютера равен 128 Мбайт.
Для начала загрузки программы установки нужно нажать клавишу. Начнется загрузка ядра ОС МСВС 3.0, сопровождаемая диагностическими сообщениями, затем стартует программа установки, которая в автоматическом режиме загрузит драйверы привода компакт-дисков и контроллеров жестких дисков, присутствующих в компьютере и поддерживаемых ОС МСВС 3.0.
Если инициализация завершилась ошибкой, это значит, что для данного типа привода компакт-дисков или жесткого диска необходимо загрузить дополнительный драйвер. Программа установки предложит список драйверов, в котором требуется выбрать соответствующий драйвер, и нажать кнопку «Да».
Если загрузка производилась с дискеты boot, после запуска программы установки появится диалоговое окно «Диск драйверов» с указанием вставить дискету drivers с драйверами в дисковод. При этом дискету boot необходимо извлечь и вставить дискету drivers.
После загрузки требующихся драйверов на экране монитора появится приглашение (рис. 9-1).
1.1.41.Выбор манипулятора «мышь»
Следующим после приглашения ОС МСВС 3.0 появится диалоговое окно «Выбор мыши» (рис. 9-2).Выбрать вид «мыши», например, «Обычная мышь PS/2» и, если «мышь» имеет две кнопки, то можно задействовать эмуляцию трехкнопочного режима. Для этого нужно включить эмуляцию третьей кнопки и нажать кнопку «Да».
1.1.42.Разбиение жесткого диска на разделы
Появится диалоговое окно «Разбиение диска» (рис. 9-3) и будет предложен выбор утилиты разбиения разделов жестких дисков: «Автоматическое разбиение», Disk Druid или fdisk.В большинстве случаев разбиение жестких дисков, дисковых массивов, томов LVM происходит в программе Disk Druid. Причем режим «Автоматическое разбиение» является частным случаем работы с Disk Druid с автоматическим расчетом пропорций дискового пространства в соответствии с реально установленным оборудованием. В случае необходимости низкоуровневой работы с жестким диском нужно использовать утилиту fdisk.
Выделить Disk Druid и нажать клавишу.
В появившемся диалоговом окне «Разбиение» (рис. 9-4) появится список доступных дисков и существующих разделов.
Также в этом окне имеются кнопки для работы с разделами: «Новый», «Редактировать», «Удалить», «RAID», «Да», «Назад».
В нижней строке приведены подсказки для использования горячих клавиш: «F1-Помощь, F2-Новый, F3-Правка, F4-Удалить, F5-Сброс, F12-Да».
В общем случае ОС МСВС 3.0 устанавливается на компьютер с чистым жестким диском. В этом случае можно произвести разбиение или используя программу Disk Druid, или выбрав автоматическое разбиение.
Для успешной установки ОС МСВС 3.0 достаточно создать два раздела: корневой раздел «/» и раздел свопинга (swap). Размер корневого раздела должен составлять не менее 1200 Мбайт.
На отдельные разделы можно вынести каталоги /boot, /home, /var, /tmp и другие. Это позволяет изолировать, например, домашние каталоги пользователей от корневой файловой системы.
ВНИМАНИЕ. В ОС МСВС 3.0 нельзя размещать на отдельном разделе каталог /usr!
Для вынесения каталога на отдельный раздел необходимо создать раздел с файловой системой «ext3» и назначить ему точку монтирования, соответствующую названию каталога.
Для создания раздела выбрать кнопку «Новый» и нажать клавишу. В появившемся диалоговом окне «Добавить раздел» (редактирование нового раздела) (рис.9-5):
выбрать тип файловой системы (для раздела свопинга – «swap», в остальных случаях – «ext3»).
размер раздела в мегабайтах (при необходимости можно «растянуть» раздел на весь диск);
точку монтирования, для корневого раздела - это «/», для раздела свопинга задание точки монтирования не требуется.
По завершении работы по созданию разделов, в окне «Разбиение» нажать кнопку «Да».
На экране монитора появится диалоговое окно «Сохранить изменения».
Нажать кнопку «Да».
Следующий шаг – форматирование созданных разделов. На экране мнитора появится диалоговое окно с заголовком «Внимание!» и перечнем разделов, которые будут отформатированы при нажатии кнопки «Да» (рис. 9-6).
1.1.43.Настройка загрузчика
На экране появится диалоговое окно «Настройка загрузчика» (рис. 9-7). В этом окне необходимо выбрать вариант установки системы с загрузчиком или без него. Загрузчик позволяет иметь в системе несколько вариантов ее старта, либо осуществляет выбор загружаемой ОС (если их более одной). В режиме без загрузчика ядро ОС МСВС 3.0 будет монопольно загружаться в данной системе.
Нажать кнопку «Да».
Далее на экране появится диалоговое окно (рис. 9-8) с предложением ввести дополнительные параметры, которые будут использоваться при загрузке. По умолчанию в данном окне установлен флаг использования режима LBA32 (использование 32-битных логических адресов блоков жесткого диска), так как этот режим в большинстве случаев требуется для поддержки дисков большой емкости.
В случае наличия в компьютере пишущего IDE-привода компакт-дисков, в поле ввода параметров программа установки поместит строку вида «hdc=ide-scsi» (например, если привод подключен в режиме Master ко второму IDE-контроллеру).
Если никаких других параметров ни загрузчику LILO, ни ядру передавать не нужно, рекомендуется не менять параметры, предложенные программой установки, и нажать кнопку «Да».
Следующая процедура в настройке загрузчика – это задание пароля на доступ к изменению стартовых параметров системы. Так как при наличии загрузчика существует возможность передачи специализированных параметров ядра с клавиатуры при старте системы, то для обеспечения необходимого уровня безопасности данная возможность защищается паролем. В следующем появившемся диалоговом окне (рис. 9-9) введите пароль, размер которого не должен быть меньше 8-ми символов. Подтвердите пароль повторным введением его на следующей строке окна.
Нажать кнопку «Да».
На экране появится диалоговое окно выбора загрузочных разделов (рис.9-10), с предложением указать другие загрузочные разделы, которые можно будет загружать с помощью загрузчика ОС МСВС 3.0. Например, если на компьютере есть другая ОС, можно присвоить ей метку и загружать с помощью загрузчика ОС МСВС 3.0.
Ввести необходимые данные в соответствующих строках и нажать кнопку «Да».
В следующем окне (Рис. 9-11) задается местоположение загрузчика на диске. Возможны два варианта: основная загрузочная запись (MBR) жесткого диска (рекомендуется в большинстве случаев), либо загрузочный сектор (boot record) соответствующего раздела, куда производится установка.
Произвести выбор и нажать кнопку «Да».
1.1.44.Настройка сети
В случае обнаружения программой установки хотя бы одной сетевой карты, на экране появится последовательность диалоговых окон «Настройка сети для ethX» (рис. 9-12), где X – порядковый номер, в которых осуществляется настройка параметров для каждой сетевой карты.
Протоколы автоматической настройки сетевых параметров BOOTP и DHCP используются при наличии в сети специального сервера, предоставляющего службу автоматического конфигурирования по запросу клиентской машины.
Если DHCP-сервер отсутствует, необходимо установить сетевые параметры явно, для чего выберите «Активизировать при загрузке». После этого в окне будут подсвечены несколько строк, в которых нужно указать параметры сетевого соединения.
Сетевые адреса представляются в формате десятично-точечной записи (например, 192.168.1.1). Информация по заполнению полей должна быть предоставлена администратором сети.
Сетевой адрес – IP-адрес компьютера в сети.
Сетевая маска – параметр, характеризующий класс сегмента сети.
Шлюз по умолчанию – узел, обслуживающий коммуникации данной локальной сети с внешними сегментами сети.
Первичный сервер имен – узел, поддерживающий службу разрешения доменных имен по протоколу DNS в IP-адреса. В соответствующих полях ввести IP-адреса дополнительных серверов имен (DNS). Если в сети используется один сервер имен, эти поля можно оставить пустыми.
Нажать кнопку «Да».
|
|
| Рис. 9-13. Установка имени компьютера. |
|
|
| Рис. 9-14. Выбор часового пояса. |
Затем необходимо задать имя компьютера. На экране появится следующее диалоговое окно «Установка имени компьютера» (рис. 9-13), в котором следует заполнить соответствующее поле. Имя также должно быть согласовано с администратором сети.
Нажать кнопку «Да».
1.1.45.Выбор часового пояса
На экране появится следующее диалоговое окно «Выбор часового пояса», в котором производится настройка параметров времени системы. В ОС МСВС 3.0 отсчет времени осуществляется в локальном режиме, т.е. аппаратные часы системы однозначно определяют ее время без дополнительного преобразования относительно различных точек отсчета типа UTC.
В окне следует выбрать наиболее близко соответствующий месту расположения компьютера временной пояс России, с указанием разницы поясного времени относительно «нулевого» пояса – Европа/Москва (рис. 9-14).
Нажать кнопку «Да».
1.1.46.Выбор и установка пакетов
На экране появится диалоговое окно «Выбор комплексов» (рис. 9-15).
В этом диалоговом окне предлагается выбрать следующие комплексы:
Базовая конфигурация ОС;
Подсистема графического интерфейса;
Средства разработки.
Выбор группы «Базовая конфигурация ОС» обязателен, в нем содержатся все необходимые компоненты для функционирования ОС МСВС 3.0 в базовом варианте (без дополнительных средств).
Режим установки "Все (включая необязательные)" означает установку всех пакетов дистрибутива, включая модификации ядра ОС, неспецифичные для данного компьютера и набор пакетов, необходимых для изготовления загрузочного диска ОС МСВС 3.0.
Для более детального выбора пакетов (возможно, для экономии дискового пространства, занимаемого ОС) нужно отметить опцию «Индивидуальный выбор пакетов» и нажать кнопку «Да». Появится окно «Выбор пакетов» (рис. 9-16) со списком групп пакетов и самих пакетов.
Группу можно свернуть/развернуть, если подвести к ней линию подсветки и нажать клавишу. Для получения информации о пакете нужно подвести к нему линию подсветки и нажать клавишу. Включение/выключение пакетов в список для установки осуществляется нажатием на клавишу.
После завершения выбора пакетов нажать кнопку «Да».
Если был выбран индивидуальный список пакетов для установки, может возникнуть ситуация, когда среди них появятся неудовлетворенные зависимости. Это означает, что в выбранном списке присутствуют пакеты, для установки которых требуются другие пакеты с загрузочного диска ОС МСВС 3.0, которые не были отмечены. Разрешение зависимостей пакетов будет произведено автоматически программой установки.
После завершения выбора пакетов на экране появится диалоговое окно «Начало установки». В этом окне будет содержаться информация о файле /root/log, в который программа установки после окончания работы сохранит список установленных пакетов.
Реальное разбиение диска и установка пакетов начнется только после нажатия кнопки «Да» в окне «Начало установки». При необходимости до этого момента еще можно прервать процесс установки путем перезагрузки компьютера. В этом случае все данные на жестких дисках останутся без изменений.
Для начала установки пакетов нажать кнопку «Да».
На экране появится окно «Установка пакета» (рис. 9-17).
На этом этапе можно наблюдать процесс установки выбранных пакетов, который производится автоматически. Для каждого пакета выводится его краткое описание, а также отображается статистическая информация о процессе установки текущего пакета и всех пакетов вместе.
1.1.47.Установка пароля суперпользователя
На экране появится диалоговое окно «Пароль пользователя root» (рис. 9-18). Задать пароль в строке «Пароль» и подтвердить его ввод в строке «Подтвердите пароль» (ограничения на вид и размер пароля определяются требованиями безопасности, предъявляемыми к системе; по умолчанию, размер пароля – не менее восьми символов). При задании пароля с клавиатуры, из соображений обеспечения безопасности, вместо вводимых символов на экран выводятся звездочки. Нажать кнопку «Да».
1.1.48.Создание загрузочных дискет
На экране появится следующее диалоговое окно «Комплект загрузочных дискет» (рис. 9-19). Комплект загрузочных дискет может потребоваться в случае повреждения загрузочной записи на жестком диске.
Для создания загрузочных дискет нажать кнопку «Да». Далее следовать инструкциям, предлагаемым в диалоговых окнах.
Если создание загрузочного комплекта не требуется, нажать кнопку «Нет». В дальнейшем можно будет создать загрузочный диск с помощью графической утилиты или команды mkbootdisk.
1.1.49.Настройка видеокарты и монитора
На следующей стадии требуется настроить графическую систему. Для этого в диалоговых окнах, следуя инструкциям, ввести информацию о видеокарте и мониторе.
Если программа установки автоматически определит тип видеокарты, появится информация о ней (рис. 9-20).
 |
| Рис. 9-19. Создание загрузочных дискет. |
|
|
| Рис. 9-20. Выбор видеокарты. |
Иначе, появится диалоговое окно «Выберите карту». Выбрать ее тип из списка. Если в списке нет нужной видеокарты, выбрать «Неуказанная карта».
В окне «Выбор сервера» выбрать X-сервер, с которым способна работать имеющаяся видеокарта.
После этого появится диалоговое окно «Настройка монитора» (рис. 9-21). Если программа установки автоматически не определит тип монитора, выбрать соответствующий монитор из списка «Изменить».
При необходимости можно указать параметры монитора «вручную». Для этого выбрать в списке пункт тип «Другой» и задать рабочую частоту развертки изображения по вертикали и горизонтали (60~100Гц).
Нажать кнопку «Да».
После выбора монитора на экране появится окно «Дополнительно» (рис. 9-22). Выбрать в окне необходимую глубину цвета и разрешение монитора. Кроме этого, в данном окне можно выбрать режим входа в систему «Графический» (рекомендуется) или «Текстовый». В случае выбора графического входа в систему система графического интерфейса будет запускаться по умолчанию. Произвести выбор и нажать кнопку «Да».
После настройки графической системы появится информационное окно «Установка завершена» (Рис. 9-23) с сообщением «Поздравляем, установка ОС МСВС 3.0 завершена».
Нажать кнопку «Да» для перезагрузки. Компьютер начнет перезагружаться. Во время перезагрузки лоток с компакт-диском автоматически выдвинется. Снимите диск с лотка.
 |
| Рис. 9-23. Установка завершена. |
|
|
| Рис. 9-24. Метод установки |
В этом обзоре я попытаюсь установить копию RedHat Enterprice Linux для нужд МО РФ, чтобы посмотреть как оно работает на современном железе. Последний выпуск МСВС был аж в 2011 году, но он все еще продолжает быть "полезным" в армии РФ:
Приступаем к установке
Устанавливать будем на ноутбук FUJITSU LIFEBOOK N532, который у меня работает стабильно в Линукс и в Виндовс. Этот ноутбук выпущен в 2012 году, всего на год позже МСВС 5.0.
Загрузочное окно - урезанная копия RedHat Enterprice Linux:
Они даже поленились сделать нормальное загрузочное окно, поменяли фон/логотип, удалили ненужные кнопки и всё.
Для продолжения установки просто нажимаем Enter:
Загрузился установщик в ретро-стиле MS-DOS, но до выпуска МСВС 5 уже почти все дистрибутивы имели графический установщик. В Дебиане тоже есть текстовый инсталлер, но он гораздо проще и понятнее чем этот. От нас спрашивают, проверить установочный DVD или нет. Давайте проверим на всякий случай:
Диск записан нормально, ошибок нет. Далее нас спрашивают проверить дополнительные носители, но их у меня нет.
Инструмент разметки дисков загрузился с выбранной опцией удаления всех разделов. А вдруг офицер, понадеявшись на разум отечественной ИТ-индустрии просто нажмёт Enter ?
Теперь приступаем к разметке диска. На этом компе установлены две другие ОС и я выбрал "Создать собственное разбиение"
У нас есть 30Гб неиспользуемого неотформатированного пространства, выбираем "Использовать свободное место и создать разбиение по умолчанию" и получаем ошибку разбиения: невозможно распределить запрошенные разделы
Нажимаем "Да" и получаем ошибку автоматического разбиения:
Нажимаем "Да" и выбираем "Создать собственное разбиение"
Так как этот "досовский fdisk" не показывает сколько занято и свободно, чтобы случайно ничего не удалить я решил просмотреть разделы в другой ОС и нажал перезагрузку (alt+ctrl+del помню из мсдос).
Компьютер просто завис на этих словах, но реагирует на CapsLock. Ждём ещё минут 15 и просто жмём ресет. Загружаем другую ОС, убеждаемся в правильности выбора свободного раздела, продолжаем установку и доходим до этапа разметки дисков. Выбор файловых систем тут не богат, только ext2, ext3 и vfat (который не уместился на экране).
Оставим всё по умолчанию, то есть будем использовать grub:
Просто жмём Enter
Далее нас просят создать пароль на изменение параметров загрузки grub
пришлось ввести длинный пароль
Теперь приступаем к установке загрузчика. На ноутбуке установлены последние версии Дебиана и Убунты, но инсталлер не нашел их. В результате после установки МСВС, пропадёт меню выбора операционных систем и придется восстанавливать grub через LiveCD.
Ползунок списка операционных систем в самом низу, как бы говоря что еще что-то есть. Я пытался переместить его нажимая TAB, Ctrl, Ctrl+tab и другие сочетания клавиш. Но ползунок в каком положении был, в таком и остался:
Нажимаем Да и продолжаем установку:
Выбираем куда установить загрузчик. Я во всех линуксах устанавливаю загрузчик в главную загрузочную запись MBR, то есть на /dev/sda, но для недавних пользователей винды это сложный вопрос. Или все военные РФ знают Юниксы?
Далее идет настройка сети.
Ни каких сетевых подключений у нас нет, выбираем "Нет" и жмём Enter
открылось окошко с просьбой ввести дополнительные параметры настройки сети:
Как видите, кнопок "отмена" и "не надо", тут нет. Есть только "да" и "назад". Это было бы логично, если бы мы устанавливали систему по сети, но у нас DVD-диск с полным комплектом программ. Жмём Enter.
Вы оставили незаполненным поле "шлюз". В зависимости от вашего сетевого окружения, в дальнейшем могут быть проблемы
нажимаем продолжить и нас опять просят ввести дополнительные параметры сети. В общем возвращаемся к первому окну настройки сети и указываем что нужно настроить сетевой интерфейс, хотя его у нас нет.
Просят ввести имя сети. Выбираем "Вручную" и придумываем имя сети
Выбираем свой часовой пояс:
Выбираем пароль пользователя root (не меньше шести символов):
Выбираем список пакетов для установки. Я выбрал все
Дальше идет проверка зависимостей, после чего открылось окошко с адресом журнала установки:
Процесс установки:
Я не пойму, это проблемы с шрифтами или с кодировками?
Установка доходит до 100% и инсталлер радостно приветствует нас о завершении установки, просит отключить съёмные носители и нажать Enter для перезагрузки. Нажимаем Enter и компьютер просто зависает, как в прошлый раз.
Нажимаем кнопку Power, ждём несколько минут и о, ужас, всё на английском. Или это такой русский язык в российской армии?
Где наши Дебиан и Убунта? Тут только один МСВС. Но ничего страшного, это можно исправить переустановкой загрузчика Grub через LiveCD.
Просто нажимаем Enter для загрузки
Система тупит 15 сек и показывает ошибки: Memory for crash kernel (0x0 to 0x0) notwithin permissable; unable to query Synaptics hardware (не могу опросить тачпад)
и продолжает загрузку, в процессе загрузки открывается меню настроек
Просто выбираем "Выход" и жмём Enter. Через 10 секунд открывается вот такой экран, где нет ни единого намёка на графику. Вводим логин и пароль и система готова к работе:
Кстати, обратите внимание, тут установлено ядро 2.6.18. Это ядро вышло , на пять лет раньше чем МСВС 5.0. Да за пять лет можно было целые отрасли промышленности построить, как в сталинских пятилетках, но уже прошло почти 10 лет! В то далёкое время я только начинал интересоваться Линуксами. Хотя может они пять лет проводили аудит безопасности кода.
Ладно, попробуем пользоваться тем что есть.
Пытаемся запустить графику. В никсах для запуска графики, обычно нужно вводить startx, вводим startx:
#startx
и получаем ошибки:
Тут я специально открыл лог ошибок /var/log/Xorg.0.log, чтобы было понятно в чем дело: система не может загрузить стандартные драйвера fbdev и vesa.
Нам остаётся только перезагрузить систему и вернуться в рабочие ОС, вводим reboot и опять получаем зависание при перезагрузке:
Пробуем установить через VirtualBox:
Так же вводим логин root, пароль и startx
Конечно же, ВНИИНС в целях безопасности не рекомендует запускать иксы от администратора. Да и почему тогда после первого запуска или в самом инсталлере не было предложено в целях безопасности создать простых пользователей, как во многих других дистрибутивах?
О_о, оно оказывается работает.
Рабочий стол МСВС 5.0
Итак, что мы видим - красивый легковесный рабочий стол, симулирующий старые Windows и KDE. Но это всего лишь приукрашенный опенсорсный десктоп
Файловый менеджер, выпущенный 11 лет назад, сильно похож на урезанный konquerror
В системном трэе индикатор времени с календарём, переключатель раскладки клавиатуры и индикатор уровней доступности (но это уже скорее от разработчиков МСВС).
Настройки МСВС 5.0
В Линуксе, некоторые программы (например Chromium) в целях безопасности не запускаются от пользователя root, по этому мы первым делом создадим нового пользователя и зайдем в систему через него:Пуск - настройки - панель управления ELK, управление пользователями - добавить нового пользователя:
Пароль должен быть не менее 8 символов!
Атрибуты безопасности впечатляют, но мы не будем их трогать:
Пользователь создан успешно. Выходим из сессии и попадаем прямо в консольный аккаунт root, где нас приветствует куча ошибок:
Выходим из этого аккаунта нажатием Ctrl+D, логинимся под новым пользователем и запускаем startx. Иксы запустились, но на движение мыши и на клавиатурные сочетания не реагируют. Перезапуск виртуальной машины не помог, иксы в этой учетной записи тоже не работают. Ладно, придется работать от root, что является нарушением безопасности.
Разрешение экрана у нас 800x600, пробуем изменить его. Переходим в "Панель управления" и выбираем значок "Монитор". Открывается окошко с сообщением что у нас нет файла xorg.conf и что во время его создания экран будет тёмным. Создать его или нет?
Нажимаем "Да"
Ошибка инициализации конфигурации:
После чего открывается окно с настройками монитора. Пробуем что-либо изменить но никакой реакции. Примечательно, что в этом окне показан пример экрана Windows 95. А при нажатии кнопок "Да" и "Отмена" окно не закрывается и ничего не происходит. Закрыть окно можно только нажатием на крестик.
В меню "Системные" есть пункт "Переключение разрешений экрана". Выбираем его и нам открывается программка в трэе с всего двумя пунктами: 800x600 и 640x480 и частотой 60Гц. А зато в ОС FreeDOS у меня получалось выставить и выше и даже менять частоту. Отсюда вывод что в ОС МСВС графика хуже чем в ДОС!
Смотрим информацию о оборудовании:
После нажатия "ОК" открывается вот такое окно:
Программы МСВС 5.0
Интересно, что когда мы переводим указатель мыши из программ EDE в KDE, цвет указателя мыши меняется.Это потому что рабочий стол МСВС представляет собой смесь рабочих столов EDE и KDE.
Сеть. Всего десять программ в этой категории, среди которых ELK-обозреватель, IRC, Wireshark, GFTP, почтовый монитор, сетевой монитор и настройка PPP и управление устройствами сети.
Управление устройствами сети
Почтовый клиент не запускается:
Браузер ELK-обозреватель представляет собой точную копию браузера Aurora. Смотрите, они переименовали его на ELK, но забыли поменять логотип:
ELK-браузер:
Утилиты
В утилитах аж 4 терминала: ELK-terminal, X-терминал, Консоль и терминал в режиме суперпользователя. А знаете почему их так много? Потому что рабочий стол МСВС - это смесь EDE с KDE. Они даже недодумались удалить ненужные утилиты, все как по умолчанию ставилось так они и оставили.
По этой причине здесь много программ из двух разных рабочих столов, но с одинаковыми возможностями. Это особенно касается просмотра картинок, документов (PDF, DJVU и т.д) и текстовых редакторов.
Текстовый редактор Emacs в МСВС:
Научные . В научных только калькулятор KDE, который выпущен в 2005 году:
Графика. В этом разделе все программы из KDE + Xsane 2007 года выпуска.
Игры. В играх набор игр из KDE, среди которых военные игры Сапёр и Парашюты:
Мультимедиа . Простой медиапроигрыватель, проигрыватель аудиодисков, K3b (запись CD/DVD), регулятор звука и программа для звукозаписи.
Для проверки звука, нужно загрузить в виртуальную систему какой-нибудь фильм.. Звук и видео тут вообще не работают. Ставил в настройках VirtualBOX Alsa, Oss, SoundBlaster16 - ничего не работает. Пробовал ogv, ogg, mp4 - в одних случаях требует установить кодеки, в других - показывает ошибку:
Попробуем установить ffmpeg:
Открываем Пуск - Панель управления ELK - Менеджер программ
перед запуском несколько секунд проверяются списки пакетов
попробуем найти ffmpeg
Вот это такой русски язык в российской армии!
ffmpeg оказался в списке установленных пакетов. А поиск по запросам oss и alsa (звуковые системы) не дал вообще ни каких результатов. Запросы office и firefox тоже не дали никаких результатов.
k3b при запуске выдаёт ошибку, что не удается найти тип Mime. Нужно нажать 10 раз OK и тогда он запуститься:
Выключение системы:
Выводи...
1. На современно оборудовании МСВС не работает
2. Ядро системы как и весь софт выпущено 11 лет назад, соответственно современное оборудование не поддерживается
3. Разрешение экрана установлено в 800x600 и не меняется
4. Видеосистема работает только в эмуляторе, но показывает ошибки после завершения работы.
5. Звук вообще не работает
6. Графика работает только у пользователя root, что является нарушением безопасности
7. Команды выключения и перезагрузки по умолчанию доступны только через консоль и работают только в эмуляторе.
Общий выводы.
МСВС5.0 - скопированный в 2011 году RedHat Enterprice Linux5.0 (2007 года), некорректно работает уже на компьютерах выпущенных в 2011 году. Да в Российской Армии вообще заметна тяга к глубокой старине, например, авианесущий крейсер "Адмирал Кузнецов" с своим трамплином вместо катапульты, из-за которого самолёты вынуждены летать с неполным боезапасом и иногда падают в воду при взлёте для самолётов и с мазутной силовой установкой, нуждающейся в дозаправке во время похода...
Наверняка хотя бы некоторые из наших читателей задумывались о том, какую операционную систему используют в наших Вооруженных Силах. Ведь мы же все понимаем, что не может на каком-нибудь ракетном комплексе, находящемся на боевом дежурстве, стоять Windows. Сегодня мы немного приоткроем завесу тайны и расскажем об ОС МСВС. Это так называемая Мобильная система О сфере применения говорит ее название, а вот о том, как она в общих чертах устроена, мы и расскажем.
Предпосылки создания
Впервые критерии безопасности компьютерных систем были сформулированы еще в конце 60-х годов прошлого века. В середине 80-х годов в США все эти наработки были собраны в один документ. Так родилась "Оранжевая книга" Минобороны - первый стандарт безопасности компьютерных систем. Следом подобные документы появились в европейский странах и Канаде. В 2005 году на их основе был подготовлен международный стандарт безопасности ISO/IEC 15408 "Общие критерии защищенности".
В России аналогичные исследования проводились в 22-м Центральном НИИ Министерства обороны. Конечным результатом разработок стало поступление в 2002 году ОС МСВС в Вооруженные Силы РФ. Вариант государственного стандарта на основе требований ISO/IEC был принят в 2008 году.
Зачем военным своя ОС
Оперативные системы, которые мы используем ежедневно, не подходят для использования в госструктурах по параметрам обеспечения безопасности. Гостехкомиссия при президенте РФ сформулировала их следующим образом:
- Информация должная быть защищена от несанкционированного доступа, причем как изнутри, так и снаружи.
- Система не должна содержать недокументированных возможностей, другими словами, никаких «пасхальных яиц» в коде ОС быть не должно.
Кроме того, защищенная операционная система должна обладать многоуровневой иерархической структурой доступа и иметь разделенные функции администрирования.
Таким образом, задача создания специализированной закрытой ОС оказывается не такой простой, как кажется на первый взгляд. Отсутствие недокументированных возможностей предполагает, что исходный код и техническое описание всех процедур работы будут досконально изучены в центре сертификации. А это - область коммерческой тайны корпораций владельцев или интеллектуальная собственность разработчиков. Такой парадокс заставляет обратить взоры в сторону открытых ОС, потому как получить полную техническую документацию на проприетарное программное обеспечение практически невозможно.
Требования ГОСТ Р
ФСТЭК, как службой, ответственной за информационную безопасность в масштабах всей страны, установлено разделение ОС по степени защиты обрабатываемой информации. Для удобства все данные сведены в одну таблицу.
Из таблицы видно, что, по ряду требований, установлено три группы и девять классов защищенности от несанкционированного доступа, а уже по ним производится дальнейшее разделение для допуска к различного рода конфиденциальной информации.
В основе Linux
Чем же так удобен Linux, что его охотно берут на службу в государственный аппарат? Ведь в большинстве своем простые пользователи боятся его, как черт ладана. Давайте разберемся. Для начала обратим внимание на лицензию, под которой распространяется "Линукс". Это так называемая GPL2 - универсальная публичная, или свободная, лицензия. Любой может получить исходный код и на его основе создать свой продукт. Другими словами, никто не мешает взять лучшие дистрибутивы Linux и использовать их в разработке собственной защищенной ОС.
Мировой опыт работы государственных учреждений показывает, что переход на свободное программное обеспечение происходит повсеместно, идея востребована и вполне себя оправдывает. Ведущие страны мира, такие как США, Германия, Япония и стремительно приближающиеся к ним Китай и Индия, активно используют Linux в госсфере и образовании.
МСВС и ее содержимое
Мобильная система версии 3.0 проработала в войсках полтора десятка лет, на смену ей сейчас приходит более совершенный продукт, а мы можем спокойно заглянуть "под капот" ветерану. Итак, это сетевая ОС, работающая в многопользовательском режиме с использованием графического интерфейса пользователя. Поддерживает аппаратные платформы:
- Intel.
- IBM System/390.
SPAPC/"Эльбрус".
В основе ее лежат лучшие дистрибутивы Linux, доступные в то время. Многие модули системы были заимствованы у RedHat Linux и перекомпилированы с учетом требований Министерства обороны. Иными словами, мобильная система Вооруженных Сил представляет собой RPM-дистрибутив Linux со всеми сопутствующими прикладными программами и средствами разработки.
Поддержка файловых систем находится на уровне начала века, но поскольку наиболее распространенные из них тогда уже существовали, этот показатель не является критическим.
Версии МСВС
Несмотря на то что это сетевая ОС, у нее нет привычных любому линуксоиду репозиториев программного обеспечения. Все ПО поставляется в комплекте на установочных компакт-дисках. Любая программа, которая используется в этой системе, предварительно проходит сертификацию в Министерстве обороны. А поскольку процедура это далеко не быстрая, за все полтора десятка лет работы было выпущено ограниченное количество версий и изменений к ним.
Разработчиком МСВС является Всероссийский НИИ автоматизации управления в непромышленной сфере. На его официальной странице можно найти данные о версиях МСВС, которые поддерживаются в настоящее время и имеют положенные сертификаты безопасности от Министерства обороны.
Мобильная система Вооруженных Сил на 2017 год представлена двумя поддерживаемыми сборками:
- ОС МСВС 3.0 ФЛИР 80001-12 (изменение № 6).
ОС МСВС 3.0 ФЛИР 80001-12 (изменение № 4).
Версия 5.0, находящаяся на сайте ВНИИНС, имеет сертификат безопасности МО, но официально на снабжение в войска так и не была принята.
Преемница МСВС
Следующей защищенной ОС, которую представили как замену отслужившей полтора десятка лет МСВС, стала ОС Astra Linux. В отличие от предшественницы, получившей сертификат безопасности только от Министерства обороны, "Астра" получила все возможные сертификаты в России, а это документы от МО, ФСБ и ФСТЭК. Благодаря этому она может использоваться в любых госорганах, а наличие нескольких версий, адаптированных под разные аппаратные платформы, еще больше расширяет сферу ее применения. В итоге она может объединять под своим управлением все устройства - от мобильных до стационарного серверного оборудования.
Astra Linux представляет собой современный Linux-дистрибутив на основе deb-пакетов, в нем используется свежая версия ядра и актуальное программное обеспечение. Перечень поддерживаемых процессоров и их архитектур также расширен и включает современные образцы. Список официально издаваемых версий позволяет надеяться на успех этого программного продукта как минимум в госсфере и оборонке.
В заключение
В этом материале мы рассказали об ОС МСВС - основной операционной системе Вооруженных Сил РФ, верой и правдой прослужившей "в строю" 15 лет и до сих пор еще находящейся на "боевом посту". Кроме того, коротко охарактеризовали ее преемницу. Возможно, кого-то из наших читателей это подтолкнет посмотреть, что такое Linux, и составить о продукте непредвзятое мнение.
Год Выпуска
: 2010
Версия
: МСВС 3.0 Build 4, 5, 6
Разработчик
: ВНИИНС
Сайт разработчика
:http://www.vniins.ru/
Архитектура
: x86
Таблэтка
: Не требуется
Язык интерфейса
: Русский
Описание
: ОС МСВС 3.0 – это мобильная, многопользовательская, многозадачная операционная система, поддерживающая симметричные многопроцессорные архитектуры и работающая как в режиме командной строки, так и в режиме графического интерфейса.
Основное назначение ОС МСВС 3.0 – управление ресурсами системы и процессами, использующими эти ресурсы при вычислениях.
ОС МСВС 3.0 – это инструментальное средство для управления техническими средствами и задачами в следующих областях:
- автоматизированные системы управления производством;
- автоматизированные системы управления технологическим процессом;
- информационные ресурсы;
- системы массового обслуживания;
- системы сбора и анализа информации;
- многопользовательские системы общего назначения.
ВОЗМОЖНОСТИ ОС МСВС 3.0
- ОС МСВС 3.0 сертифицирована в системе сертификации средств защиты информации по требованиям безопасности информации Министерства Обороны РФ по:
- 2 классу защищенности информации от НСД согласно РД;
- 1 уровню контроля отсутствия недекларированных возможностей согласно РД.
Сертификат соответствия №126 от 17 декабря 2002 года.
- ОС МСВС 3.0 сертифицирована в системе сертификации средств защиты информации по требованиям безопасности информации Государственной технической комиссии при Президенте РФ по:
- 3 классу защищенности информации от НСД согласно РД;
"Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации."
- 2 уровню контроля отсутствия недекларированных возможностей согласно РД.
"Защита от несанкционированного доступа к информации. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей."
Скриншоты
