Сравнение операционных Unix-подобных систем, наиболее перспективных для импортозамещения с точки зрения ИБ

в 7:01, , рубрики: linux, open source, Блог компании ГК ЛАНИТ, импортозамещение, информационная безопасность, Ланит

Сейчас организации, выполняющие требования регуляторов и законодательства по информационной безопасности, размышляют над вопросом, чем заменить зарубежные операционные системы, действия сертификатов которых было досрочно прекращено, чтобы обеспечить соответствие мерам защиты информации.

В этой статье в блоге ЛАНИТ я пытаюсь частично ответить на данный вопрос для тех, кто готов будет изменить и, возможно, перестроить свою информационную инфраструктуру. Пост поможет ИБ-специалистам определиться с заменой операционных систем и значительно сэкономит их время по поиску нужной информации.

Сравнение операционных Unix-подобных систем, наиболее перспективных для импортозамещения с точки зрения ИБ - 1

Для начала предоставим список операционных систем сертификаты которых больше не являются действительными:

  • Microsoft Windows Server 2016,

  • Microsoft Windows 10,

  • Red Hat Enterprise Linux 8,

  • Red Hat Enterprise Linux 7,

  • SUSE Linux Enterprise Server 12 SP3,

  • SUSE Linux Enterprise Server for SAP Applications 15 SP3,

  • Стрелец. (Об этом случае будет отдельно упомянуто далее.)

Обращаю ваше внимание, что таким образом на данный момент нет ни одной операционной системы семейства Windows имеющей действующий сертификат ФСТЭК России. При этом, конечно, всё ещё есть сертификаты с действующим сроком поддержки до 2023 года:

  • Microsoft Windows Server Datacenter 2012 R2,

  • Microsoft Windows Server Standard 2012 R2,

  • Windows 8.1,

  • Microsoft Windows Server Standard 2012,

  • Microsoft Windows Server Datacenter 2012.

Ещё раз подчеркну, что в этой статье преимущественно описан взгляд со стороны обеспечения информационной безопасности, поэтому рассматривались следующие параметры.

  1. Первичным и главным критерием отбора операционных систем для составления сравнительной характеристики являлся факт присутствия в них функциональности средства защиты информации, который подтверждается наличием действующего сертификата ФСТЭК России.

  2. Вторым критерием по важности признаются возможности обеспечения безопасности с помощью встроенного функционала и с помощью интеграции сторонних средств защиты информации. Причём, учитывалось только следующее.

    1. Официально подтверждённые факты совместимости со стороны разработчиков (сертификаты совместимости, заявления производителей и поставщиков ПО, документация на ПО и т.п.). Это делается для того, чтобы исключить их некорректную работу (хотя, конечно, полностью этого делать нельзя), а как следствие - возникновение ряда угроз безопасности информации (например, УБИ.037 или УБИ.205).

    2. Сертифицированные средства защиты информации (ФСТЭК России или ФСБ России).

  3. Третьим фактором являлось наличие общесистемного функционала и совместимость с распространённым прикладным программным обеспечением. Не учитывать это для формирования рейтинга операционных систем нельзя. Однако этому аспекту было уделено меньше внимания, чем остальным.

В итоге для сравнения были выбраны следующие операционные системы:

Далее представлен небольшой список кандидатов для анализа, которые были рассмотрены, но по тем или иным причинам не вошли в вышеуказанный список.

  • ОС Topaz Linux: имеет действующий до 06.05.2027 сертификат ФСТЭК России (№4541), однако она предназначена для встраивания в промышленные контроллеры от одноимённой фирмы. Не рассмотрена из-за своей специфичности.

  • ОС «Циркон 37К»: имеет действующий до 23.09.2026 сертификат ФСТЭК России (№4444). Не рассмотрена ввиду крайне малого количества необходимой для сравнения информации.  

  • ОС GosLinux: имеет действующий до 14.03.2024 сертификат ФСТЭК России (№4072). Разработчик «РЕД СОФТ» (в актуальном списке есть их система «РЕД ОС»), однако сама система по всей видимости используется только для нужд ФССП России. Не рассмотрена из-за своей специфичности.  

  • ОС «Стрелец». Разработчик НППКТ (в актуальном списке есть их система ЗОС «ОСнова»), однако действие сертификата ФСТЭК было досрочно прекращено. К сожалению не было найдено информации о причинах такого решения, но данный факт удивителен, ведь до недавнего времени это был один из допустимых кандидатов.

  • ОС «МСВСфера» Разработчик НППКТ, однако не имеет действующего сертификата ФСТЭК. Также специфична тем, что разрабатывалась для нужд Вооружённых сил РФ.

Сравнительная характеристика

Сравнение операционных Unix-подобных систем, наиболее перспективных для импортозамещения с точки зрения ИБ - 2

Таблицы расположены в порядке значимости критериев оценки (от наиболее важного к наименее существенному). По возможности указаны версии программного обеспечения и предоставлены ссылки на подтверждающие материалы.

Если в подтверждении используется сертификат совместимости, в котором не указана версия ПО, то это значит, что стороны заключили договор о сотрудничестве (партнёрстве) и до сих пор придерживаются его.

Информация о сертификатах ФСТЭК России и ФСБ России представлена в таблице 1.

Таблица 1. Сертификаты

AlterOS

(версия 7.5)

«Альт 8 СП»

«СинтезМ»

(версия 7.5)

«ОСнова»

(версия 2.5.1)

РОСА «КОБАЛЬТ»

(версия 7.9)

«РЕД ОС»

(версия 7.3

«МУРОМ»)

Astra Linux Special Edition

(версия 1.7 «Смоленск»)

Сертификат ФСТЭК России


(№4393, действует до 26.04.2026)


(№ 3866, действует до 10.08.2023)


(№ 4399, действует до 30.04.2026)


(№4381, действует до 31.03.2026)


(№ 4039, действует до 07.12.2023)


(№ 4060, действует до 12.01.2024)


(№ 2557, действует до 27.01.2026)

Уровень доверия

4

4

4

4

4

4

2 и 1

Сертификат ФСБ России


(№ СФ / СЗИ-0283, действует до 08.08.2024)


(№ СФ / СЗИ-0216, действует до 31.10.2022)


(№ СФ / СЗИ-0342, действует до 04.04.2024)

и

(№ СФ / СЗИ-0343, действует до 04.04.2024)

Сертифицированная серверная реализация

Встроенные функции обеспечения информационной безопасности в таблице 2.

Таблица 2. Функции обеспечения ИБ

ОС / Функция

AlterOS

(версия 7.5)

«Альт 8 СП»

«СинтезМ»

(версия 7.5)

«ОСнова»

(версия 2.5.1)

РОСА «КОБАЛЬТ»

(версия 7.9)

«РЕД ОС»

(версия 7.3

«МУРОМ»)

Astra Linux Special Edition

(версия 1.7 «Смоленск»)

Защита виртуальной инфраструктуры

Межсетевое экранирование

Поддержка двухфакторной идентификации и аутентификации пользователей

Аудит и журналирование событий безопасности

Контроль целостности и резервное копирование

Организация доступа через SSH

Дискреционное разграничение доступа

Мандатное разграничение доступа

Ролевое разграничение доступа

Разграничение доступа к внешним устройствам

Гарантированное стирание данных с помощью полной их перезаписи

Гарантированное стирание данных с невозможностью их восстановления

Совместимые средства криптографической защиты информации (СКЗИ) представлены в таблице 3.

Таблица 3. СКЗИ

ОС / СКЗИ

AlterOS

(версия 7.5)

«Альт 8 СП»

«СинтезМ»

(версия 7.5)

«ОСнова»

(версия 2.5.1)

РОСА «КОБАЛЬТ»

(версия 7.9)

«РЕД ОС»

(версия 7.3

«МУРОМ»)

Astra Linux Special Edition

(версия 1.7 «Смоленск»)

JaCarta

(подтверждение)

(x86_64)

(aarch64)

(подтверждение)

(подтверждение)

(подтверждение)

(JaCarta-2 ГОСТ ОС206-2.F27)

(JaCarta PKI JC200)

(JaCarta PKI JC200)

Рутокен

(подтверждение)

(подтверждение)

(x86_64)

(aarch64)

(e2k/e2kv4)

(ppc64le)

(подтверждение)

(подтверждение)

(подтверждение)

(подтверждение)

(подтверждение)

ViPNet CSP

(версия 4.4.2)

(подтверждение)

(x86_64)

(подтверждение)

(подтверждение)

(подтверждение)

(подтверждение)

ViPNet 4U for Linux

(x86_64)

(подтверждение)

(подтверждение)

(подтверждение)

(подтверждение)

MS_KEY K"-"АНГАРА

(подтверждение)

(подтверждение)

(подтверждение)

Континент-АП

(версия 4.1)

(x86_64)

ПАК Соболь 4

(x86_64)

КриптоПро CSP

(версия 5.0 R2)

(x86_64)

(подтверждение)

(подтверждение)

(подтверждение)

КриптоПро Ngate

(версия 1.0)

МагПро КриптоПакет

(версия 4.0)

(подтверждение)

(подтверждение)

(подтверждение)

АПМДЗ КРИПТОН-ЗАМОК

(подтверждение)

(подтверждение)

Совместимые средства защиты информации (СЗИ) представлены в таблице 4.

Таблица 4. СЗИ

ОС / СЗИ

AlterOS

(версия 7.5)

«Альт 8 СП»

«СинтезМ»

(версия 7.5)

«ОСнова»

(версия 2.5.1)

РОСА «КОБАЛЬТ»

(версия 7.9)

«РЕД ОС»

(версия 7.3 «МУРОМ»)

Astra Linux Special Edition

(версия 1.7 «Смоленск»)

Staffcop Enterprise

(версия 1)

(подтверждение)

SharxBase 5 (средство виртуализации)

(подтверждение)

Скала-Р (средство виртуализации)

(версия 1.95)


(подтверждение)

InfoWatch Traffic Monitor

(версия 7.1)

(подтверждение)

Avanpost IDM

(версия 6.0)

(подтверждение)

(подтверждение)

СКДПУ НТ

(подтверждение)

RedCheck

(версия 2.6.8)


(подтверждение)

Efros Config Inspector

(версия 4)

Гарда БД

(версия 4.19)

(подтверждение)

Secret Net LSP

(версия 1.9)

(подтверждение)

(подтверждение)

Dallas Lock Linux (версия 2.0)

KOMRAD Enterprise SIEM

(версия 3.0)

(подтверждение)


(подтверждение)

Сканер-ВС

(версия 3.0)

(подтверждение)

Numa Arce

(подтверждение)

Аккорд-АМДЗ

(подтверждение)

(подтверждение)

Blitz Identity Provider

(версия 5.7)

(подтверждение)

КИБ Серчинформ

(версия 5.0)

(подтверждение)

(подтверждение)

Solar Dozor

(версия 7)

(подтверждение)

Solar appScreener

(версия 3.9)

(подтверждение)

Стахановец

(версия 9)

(подтверждение)

DATAPK ITM

(подтверждение)

Kaspersky Endpoint Security 11 для Linux

(подтверждение)

(подтверждение)

(подтверждение)

Kaspersky Security Center 13

(подтверждение)

Dr.Web Enterprise Security Suite

(версия 12)

(подтверждение)

(подтверждение)

Антивирус VR Protect для Linux (версия 1)

(подтверждение)

(подтверждение)

Кибер Бэкап

(версия 15 и выше)

(подтверждение)

Guardant ID 2.0

MaxPatrol SIEM 7.0

PT Application Inspector 4.0

PT Industrial Security Incident Manager

(версия 4)

Доменная реализация представлена в таблице 5.

Таблица 5. Доменная реализация ОС

ОС / Реализация

AlterOS

(версия 7.5)

«Альт 8 СП»

«СинтезМ»

(версия 7.5)

«ОСнова»

(версия 2.5.1)

РОСА «КОБАЛЬТ»

(версия 7.9)

«РЕД ОС»

(версия 7.3

«МУРОМ»)

Astra Linux Special Edition

(версия 1.7 «Смоленск»)

FreeIPA

Samba DC

Своя разработка 

Поддержка систем управления баз данных (СУБД) представлена в таблице 6.

Таблица 6. СУБД

ОС / СУБД

AlterOS

(версия 7.5)

«Альт 8 СП»

«СинтезМ»

(версия 7.5)

«ОСнова»

(версия 2.5.1)

РОСА «КОБАЛЬТ»

(версия 7.9)

«РЕД ОС»

(версия 7.3

«МУРОМ»)

Astra Linux Special Edition

(версия 1.7 «Смоленск»)

Postgres Pro

(версия 14)

Postgres Pro Enterprise

(версия 13)

(подтверждение)

(подтверждение)

MariaDB

(версия 10.9)

LibreOffice

(версия 7.4)

Firebird

(версия 4.0)

РЕД База Данных

(версия 3.0.9)

(подтверждение)

Jatoba

(версия 3)

(подтверждение)

(подтверждение)

CronosPRO

(версия 7.1)

(подтверждение)

Циркон

(подтверждение)

ЛИНТЕР 6.0 (БАСТИОН)

(подтверждение)


(подтверждение)

(подтверждение)

Здесь стоит упомянуть, что некоторые из перечисленных выше СУБД являются средствами защиты информации (таблица 7).

Таблица 7. СУБД-СЗИ

Postgres Pro

(версии: 11.16.2 и 14.4.1)

Postgres Pro Enterprise

(версии: 11.16.1, 13.7.1 и 14.4.1)

РЕД База Данных

(версия 3.0)

Jatoba

(версия 3)

ЛИНТЕР 6.0 (БАСТИОН)

Сертификат ФСТЭК России


(№3637, действует до 05.10.2024)

(№4063, действует до 16.01.2024)


(№2729, действует до 08.10.2023)


(№4327, действует до 19.11.2025)


(№2601, действует до 30.03.2026)

Уровень доверия

4

4

4

5

2

Совместимость с программным обеспечением общего назначения представлена в таблице 8.

Таблица 8. Общее ПО

ОС / ПО

AlterOS

(версия 7.5)

«Альт 8 СП»

«СинтезМ»

(версия 7.5)

«ОСнова»

(версия 2.5.1)

РОСА «КОБАЛЬТ»

(версия 7.9)

«РЕД ОС»

(версия 7.3

«МУРОМ»)

Astra Linux Special Edition

(версия 1.7 «Смоленск»)

Средство миграции данных Pragmatic Tools Migrator

(версия 2.0)

(подтверждение)

(подтверждение)

(подтверждение)

Пакет офисных программ LibreOffice

(версия 7.4)

Пакет офисных программ AlterOffice

(версия 2.0)

Пакет офисных программ "Циркон"

(версия 6.1)

(подтверждение)

(подтверждение)

Пакет офисных программ "Р7-Офис"

(версия 6.4.2)

(подтверждение)

(подтверждение)

(подтверждение)

(подтверждение)

Web-браузер Firefox

(версия 104.0)

Web-браузер "Яндекс.Браузер"

(версия 22.5.4)

(подтверждение)

Web-браузер Chromium-gost

(версия 72)

Web-браузер "СПУТНИК"

(версия 4.1)

(подтверждение)

(подтверждение)

Средство виртуализации VMware

(версия 16.2.2)

Средство виртуализации HOSTVM

(версия 4.4.8)

(подтверждение)

Средство виртуализации Utinet Glovirt

(подтверждение)

(подтверждение)

(подтверждение)

Средство виртуализации Citrix

Средство виртуализации TidalScale

(подтверждение)

Средство виртуализации "АЭРОДИСК"

(версия 3.6.0)

(подтверждение)

Средство виртуализации Veil

(версия 5.1.2)

(подтверждение)

Средство виртуализации "Р-Виртуализация"

(версия 7.0)

(подтверждение)

(подтверждение)

Средство виртуализации "РУСТЭК"

(2021.2.3)

(подтверждение)

Средство работы с почтой Mozilla Thunderbird

(версия 102.2.0)

Платформа контейнеризации Deckhouse (Kubernetes)

(версия 1.25)

Средство контентной фильтрации SkyDNS

(версия 3.0)

Комплекс информационной безопасности "САКУРА"

(версия 2.26)

(подтверждение)

(подтверждение)

Результаты анализа

Сравнение операционных Unix-подобных систем, наиболее перспективных для импортозамещения с точки зрения ИБ - 3

В результате проведённого анализа можно резюмировать следующее.

  • Большинство сертификатов ФСТЭК России рассмотренных операционных систем подтверждают, что они соответствуют четвертому уровню доверия. Следовательно, они могут применяться:

    • на объектах критической информационной инфраструктуры (КИИ)
      первой категории и ниже;

    • в государственных информационных системах (ГИС) первого класса защищённости и ниже;

    • в автоматизированных системах управления производственными и технологическими процессами (АСУ ТП) первого класса защищённости и ниже;

    • в информационных системах персональных данных (ИСПДн) при необходимости обеспечения первого уровня защищённости персональных данных и ниже.

  • Ожидаемым лидером по всем параметрам отбора является ОС Astra Linux Special Edition, который имеет сертификат ФСТЭК России, подтверждающий соответствие второму и первому уровням доверия и позволяющий применять систему при обработке информации, содержащей сведения, составляющие государственную тайну. Это также подтверждается сертификатами ФСБ России.

Итоговый список операционных систем в соответствии с выбранными критериями оценки выстроился следующим образом:

  • ОС Astra Linux Special Edition,

  • «РЕД ОС»,

  • ОС «Альт 8 СП»,

  • ОС РОСА «КОБАЛЬТ»,

  • ОС «AlterOS»,

  • ЗОС «СинтезМ»,

  • ЗОС «ОСнова».

Безусловно, необходимо дать некоторые пояснения, почему рейтинг получился именно таким. 

«РЕД ОС» по параметрам сопоставима с ОС Astra Linux Special Edition, однако её уровень доверия ниже и не имеет сертификатов ФСБ России. Расположение защищённых операционных систем (ЗОС) на последних местах обосновывается их ограниченной совместимостью со средствами защиты информации. ЗОС «СинтезМ» превосходит ЗОС «ОСнова» из-за возможности обрабатывать информацию, содержащую сведения, составляющие государственную тайну. Учитывая это в некоторых особых условиях ЗОС «СинтезМ» может подойти больше, чем даже решения, находящиеся выше в списке, однако специфичность самой системы (она применяется в качестве гостевой операционной системы для виртуальных машин) не позволяет рекомендовать её на данные позиции в подавляющем числе случаев. В остальном места распределены относительно анализируемых параметров. 

Этот рейтинг может быть пересмотрен в случае появления новой информации от разработчиков операционных систем или программных продуктов.

Спасибо за прочтение. Надеюсь, собранная информация будет полезна. Если вы не согласны со сформированным рейтингом, то напишите в комментариях свой вариант с обоснованием вашей позиции. Также будет крайне ценным ваш личный опыт внедрения и эксплуатации этих систем, поделитесь по возможности.

Автор:
Scarlet_Chinch

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js