SlideShare a Scribd company logo

СУБД PostgreSQL ИЗ ДИСТРИБУТИВА ОПЕРАЦИОННОЙ СИСТЕМЫ СПЕЦИАЛЬНОГО НАЗНАЧЕНИЯ "Astra Linux Special Edition" ДЛЯ ОБРАБОТКИ СВЕДЕНИЙ, СОСТАВЛЯЮЩИХ ГОСУДАРСТ

Download as PPT, PDF
Michael Oreshin, profile picture
Michael Oreshin

Документ описывает сертификацию и доработку системы управления базами данных PostgreSQL для работы с государственными тайнами в составе операционной системы Astra Linux Special Edition. Он включает в себя информацию о сертификациях, реализациях мандатного разграничения доступа и аудита событий безопасности. Также рассматриваются изменения в производительности системы из-за внедрения новых средств защиты информации.

Technology
1 of 19
Downloaded 17 times
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РУССКИЕ БАЗОВЫЕ ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ СУБД PostgreSQL ИЗ ДИСТРИБУТИВА ОПЕРАЦИОННОЙ СИСТЕМЫ СПЕЦИАЛЬНОГО НАЗНАЧЕНИЯ "Astra Linux Special Edition" ДЛЯ ОБРАБОТКИ СВЕДЕНИЙ, СОСТАВЛЯЮЩИХ ГОСУДАРСТВЕННУЮ ТАЙНУ СУБД PostgreSQL ИЗ ДИСТРИБУТИВА ОПЕРАЦИОННОЙ СИСТЕМЫ СПЕЦИАЛЬНОГО НАЗНАЧЕНИЯ "Astra Linux Special Edition" ДЛЯ ОБРАБОТКИ СВЕДЕНИЙ, СОСТАВЛЯЮЩИХ ГОСУДАРСТВЕННУЮ ТАЙНУ БЕЗОПАСНОСТЬ И БЫСТРОДЕЙСТВИЕБЕЗОПАСНОСТЬ И БЫСТРОДЕЙСТВИЕ
СЕРТИФИКАЦИЯ СУБД PostgreSQL В СОСТАВЕ ОС СН "Astra Linux Special Edition" 2 Номер сертификата Дата выдачи Срок действия Система сертификации № 1339 24.09.2010 г. 15.09.2018 г. Минобороны России № 2557 27.01.2012 г. 27.01.2018 г. ФСТЭК России № СФ/014-2234 04.10.2013 г. 04.10.2018 г. ФСБ России ОС СН "Astra Linux Special Edition" сертифицирована на соответствие: - 3 классу защищенности СВТ от НСД; - 2 уровню контроля отсутствия НДВ.
ПЕРЕЧЕНЬ ПРОГРАММНЫХ СРЕДСТВ СУБД В СОСТАВЕ ОС СН "Astra Linux Special Edition" 3 В состав сертифицированного дистрибутива ОС СН "Astra Linux Special Edition" 1.4 включены следующие программные средства СУБД:  СУБД PostgreSQL 9.3.3;  расширение PostGIS 2.1.1;  патч для технологической платформы 1С-Предприятие 8;  программное средство администрирования pgAdmin III 1.18.1;  программное средство репликации Slony-I 2.1.4. В состав сертифицированного дистрибутива ОС СН "Astra Linux Special Edition" 1.4 включены следующие программные средства СУБД:  СУБД PostgreSQL 9.3.3;  расширение PostGIS 2.1.1;  патч для технологической платформы 1С-Предприятие 8;  программное средство администрирования pgAdmin III 1.18.1;  программное средство репликации Slony-I 2.1.4.
ДОРАБОТКА СУБД PostgreSQL ДЛЯ ОБЕСПЕЧЕНИЯ ТРЕБОВАНИЙ ПО ЗАЩИТЕ ИНФОРМАЦИИ 4 Все программные средства, включаемые в состав ОС СН "Astra Linux Special Edition" должны соответствовать требованиям нормативных документов по защите информации ФСБ, ФСТЭК и Минобороны России. Все программные средства, включаемые в состав ОС СН "Astra Linux Special Edition" должны соответствовать требованиям нормативных документов по защите информации ФСБ, ФСТЭК и Минобороны России. В дополнение к имеющимся средствам защиты в СУБД PostgreSQL встраиваются средства защиты информации, обеспечивающие:  мандатное разграничение доступа;  регистрацию событий безопасности (аудит). В дополнение к имеющимся средствам защиты в СУБД PostgreSQL встраиваются средства защиты информации, обеспечивающие:  мандатное разграничение доступа;  регистрацию событий безопасности (аудит).
РАЗЛИЧИЯ В РАЗГРАНИЧЕНИИ ДОСТУПА База данных Схема Таблица Запись Поле (столбец) Функция Дискреционное разграничение доступа Мандатное разграничение доступа + + + + + + + + + + Объекты и метаданые Доработанная СУБД PostgreSQL Обычная СУБД PostgreSQL 5
ПРИМЕР ФОРМИРОВАНИЯ МАНДАТНЫХ МЕТОК РАЗГРАНИЧЕНИЯ ДОСТУПА К ДАННЫМ 0x0 (0000) РуководствоОбщий доступ Отдел 1 Отдел 2 Отдел 3 Виды данных и уровни доступа Подразделения и категории доступа Общий доступ {0,0x0} Служебная тайна {1,0x0} Конфиден- циальные {2,0x0} Государственная тайна {3,0x0} {0,0x1} {1,0x1} {2,0x1} {3,0x1} {0,0x2} {1,0x2} {2,0x2} {3,0x2} {0,0x4} {1,0x4} {2,0x4} {3,0x4} {0,0x8} {1,0x8} {2,0x8} {3,0x8} 0x1 (0001) 0x2 (0010) 0x4 (0100) 0x8 (1000) 0 1 2 3 Диапазон значений иерархических уровней доступа: от 0 до 255 Диапазон значений неиерархических категорий доступа: 64 двоичных разряда 6
ПРИМЕР ОБЛАСТИ ВИДИМОСТИ ДАННЫХ ПРИ МАНДАТНОМ РАЗГРАНИЧЕНИИ ДОСТУПА Виды данных и уровни доступа Подразделения и категории доступа Общий доступ Служебная тайна Конфиден- циальные Государственная тайна 0 1 2 3 {0,0x0} - мандатная метка минимального доступа к данным {3,0xF} - мандатная метка максимального доступа к данным Область видимости данных для пользователя с мандатной меткой {2,0x9} (1001) 7 0x0 (0000) РуководствоОбщий доступ Отдел 1 Отдел 2 Отдел 3 0x1 (0001) 0x2 (0010) 0x4 (0100) 0x8 (1000) {0,0x0} {1,0x0} {2,0x0} {3,0x0} {3,0x1} {0,0x2} {1,0x2} {2,0x2} {3,0x2} {0,0x4} {1,0x4} {2,0x4} {3,0x4} {0,0x8} {1,0x8} {2,0x8} {3,0x8} {0,0x1} {1,0x1} {2,0x1}
База данных {3,0xF} CCR = Off Схема {3,0xF} CCR = Off Таблица-1 {3,0xF} CCR = Off ПРИМЕР РЕАЛИЗАЦИИ МАНДАТНОГО РАЗГРАНИЧЕНИЯ ДОСТУПА 8 Запись {3,0x0} Запись {2,0x8} Запись {1,0x0} Запись {0,0x0} Запись {3,0x0} Запись {2,0x0} Запись {1,0x0} Запись {0,0x0} Область видимости пользователя с мандатной меткой {3,0xF} Таблица-2 {2,0x1} CCR = On Запись Запись Запись Запись Запись Запись Запись Запись CCR (Container clearance required) - учет мандатных атрибутов контейнера
ПРИМЕР РЕАЛИЗАЦИИ МАНДАТНОГО РАЗГРАНИЧЕНИЯ ДОСТУПА 9 Область видимости пользователя с мандатной меткой {3,0x0} База данных {3,0xF} CCR = Off Схема {3,0xF} CCR = Off Таблица-1 {3,0xF} CCR = Off Запись {3,0x0} Запись {2,0x8} Запись {1,0x0} Запись {0,0x0} Запись {3,0x0} Запись {2,0x0} Запись {1,0x0} Запись {0,0x0} Таблица-2 {2,0x1} CCR = On Запись Запись Запись Запись Запись Запись Запись Запись
ПРИМЕР РЕАЛИЗАЦИИ МАНДАТНОГО РАЗГРАНИЧЕНИЯ ДОСТУПА 10 Область видимости пользователя с мандатной меткой {2,0x9} База данных {3,0xF} CCR = Off Схема {3,0xF} CCR = Off Таблица-1 {3,0xF} CCR = Off Запись {3,0x0} Запись {2,0x8} Запись {1,0x0} Запись {0,0x0} Запись {3,0x0} Запись {2,0x0} Запись {1,0x0} Запись {0,0x0} Таблица-2 {2,0x1} CCR = On Запись Запись Запись Запись Запись Запись Запись Запись
ПРИМЕР РЕАЛИЗАЦИИ МАНДАТНОГО РАЗГРАНИЧЕНИЯ ДОСТУПА 11 Область видимости пользователя с мандатной меткой {2,0x8} База данных {3,0xF} CCR = Off Схема {3,0xF} CCR = Off Таблица-1 {3,0xF} CCR = Off Запись {3,0x0} Запись {2,0x8} Запись {1,0x0} Запись {0,0x0} Запись {3,0x0} Запись {2,0x0} Запись {1,0x0} Запись {0,0x0} Таблица-2 {2,0x1} CCR = On Запись Запись Запись Запись Запись Запись Запись Запись
ПРИМЕР РЕАЛИЗАЦИИ МАНДАТНОГО РАЗГРАНИЧЕНИЯ ДОСТУПА 12 Область видимости пользователя с мандатной меткой {2,0x1} База данных {3,0xF} CCR = Off Схема {3,0xF} CCR = Off Таблица-1 {3,0xF} CCR = Off Запись {3,0x0} Запись {2,0x8} Запись {1,0x0} Запись {0,0x0} Запись {3,0x0} Запись {2,0x0} Запись {1,0x0} Запись {0,0x0} Таблица-2 {2,0x1} CCR = On Запись Запись Запись Запись Запись Запись Запись Запись
ПРИМЕР РЕАЛИЗАЦИИ МАНДАТНОГО РАЗГРАНИЧЕНИЯ ДОСТУПА 13 Область видимости пользователя с мандатной меткой {0,0x0} База данных {3,0xF} CCR = Off Схема {3,0xF} CCR = Off Таблица-1 {3,0xF} CCR = Off Запись {2,0x8} Запись {1,0x0} Запись {0,0x0} Запись {3,0x0} Запись {2,0x0} Запись {1,0x0} Запись {0,0x0} Таблица-2 {2,0x1} CCR = On Запись Запись Запись Запись Запись Запись Запись Запись Запись {3,0x0}
РЕГИСТРАЦИЯ СОБЫТИЙ БЕЗОПАСНОСТИ ИНФОРМАЦИИ 14 Средства аудита доработанной СУБД PostgreSQL обеспечивают регистрацию следующих событий:  использование идентификационного и аутентификационного механизма;  запрос на доступ к защищаемому ресурсу;  создание, уничтожение и изменение объектов СУБД;  действия по изменению правил разграничения доступа. Средства аудита доработанной СУБД PostgreSQL обеспечивают регистрацию следующих событий:  использование идентификационного и аутентификационного механизма;  запрос на доступ к защищаемому ресурсу;  создание, уничтожение и изменение объектов СУБД;  действия по изменению правил разграничения доступа. Для каждого события регистрируется следующая информация:  дата и время;  объект доступа к которому применяется регистрируемое действие;  субъект, осуществляющий регистрируемое действие;  тип события;  результат завершения события. Для каждого события регистрируется следующая информация:  дата и время;  объект доступа к которому применяется регистрируемое действие;  субъект, осуществляющий регистрируемое действие;  тип события;  результат завершения события.
ЖУРНАЛ РЕГИСТРАЦИИ СОБЫТИЙ БЕЗОПАСНОСТИ 15
ОЦЕНКА УВЕЛИЧЕНИЯ ОБЪЕМА БАЗЫ ДАННЫХ 16 CCR (1 байт)Уровень (1 байт) Категория (8 байт) Структура мандатной метки объекта Пример расчета увеличения размера таблицы: - размер мандатной метки таблицы: 9 байт; - размер признака учета мандатных атрибутов: 1 байт; - размер мандатной метки одной записи: 9 байт; - увеличение размера таблицы с 1 млн. записей: 9 + 1 + 9 х 1000000 ≈ 9МБ. Признак учета мандатных атрибутов контейнера
ИЗМЕНЕНИЕ СКОРОСТИ ВЫПОЛНЕНИЯ ОСНОВНЫХ ОПЕРАЦИЙ ПРИ МАНДАТНОМ РАЗГРАНИЧЕНИИ ДОСТУПА К ЗАПИСЯМ 17 +1% Время выполнения запросов в PostgreSQL INSERT SELECT UPDATE DELETE Приращение времени выполнения запросов в доработанном PostgreSQL +8% +12% +24% В таблицах с записями малого размера приращение времени выполнения запросов наиболее заметно. Абсолютное приращение времени выполнения запросов линейно зависит от количества записей. В таблицах с записями малого размера приращение времени выполнения запросов наиболее заметно. Абсолютное приращение времени выполнения запросов линейно зависит от количества записей.
ИЗМЕНЕНИЕ СКОРОСТИ ВЫПОЛНЕНИЯ ОСНОВНЫХ ОПЕРАЦИЙ ПРИ МАНДАТНОМ РАЗГРАНИЧЕНИИ ДОСТУПА К ЗАПИСЯМ 18 +1% Время выполнения запросов в PostgreSQL INSERT SELECT UPDATE DELETE Приращение времени выполнения запросов в доработанном PostgreSQL +8% +12% +24% +4% +0.5% +6% +12% Абсолютное приращение времени выполнения запросов постоянно для одинакового количества записей и не зависит от размера записей. Абсолютное приращение времени выполнения запросов постоянно для одинакового количества записей и не зависит от размера записей.
НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РУССКИЕ БАЗОВЫЕ ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ СПАСИБО ЗА ВНИМАНИЕ! www.rusbitech.ru www.astralinux.ru

More Related Content

PDF
Лекция 9. ZooKeeper
Technopark
 
PDF
#RuPostgresLive 4: как писать и читать сложные SQL-запросы
Nikolay Samokhvalov
 
PPTX
Apache cassandra (rus)
Dmitriy Gutman
 
PPTX
Tomato Engine: Как мы создавали онлайн шутер с авторитарным сервером
DevGAMM Conference
 
PDF
"Building data streams" Константин Евтеев (Avito)
AvitoTech
 
PDF
Обработка дедлоков в MySql
spariev
 
PPTX
Взломать сайт на ASP.NET
Positive Hack Days
 
PPT
Сергей Париев - "обработка дедлоков в MySql"
railsclub
 
Лекция 9. ZooKeeper
Technopark
 
#RuPostgresLive 4: как писать и читать сложные SQL-запросы
Nikolay Samokhvalov
 
Apache cassandra (rus)
Dmitriy Gutman
 
Tomato Engine: Как мы создавали онлайн шутер с авторитарным сервером
DevGAMM Conference
 
"Building data streams" Константин Евтеев (Avito)
AvitoTech
 
Обработка дедлоков в MySql
spariev
 
Взломать сайт на ASP.NET
Positive Hack Days
 
Сергей Париев - "обработка дедлоков в MySql"
railsclub
 

What's hot (15)

PDF
Как мы храним 75 млн пользователей (Денис Бирюков)
Ontico
 
PPTX
Подводные камни прикладной криптографии, I
Vladimir Kochetkov
 
PPTX
СУБД 2013 Лекция №9 "Безопасность баз данных"
Technopark
 
DOCX
По результатам беседы по телефону
Andrew Dorfman
 
PPTX
Практическое использование средств криптографии в .NET, Java и PHP
Vladimir Kochetkov
 
PDF
Долгожданный релиз pg_pathman 1.0 / Александр Коротков, Дмитрий Иванов (Post...
Ontico
 
PDF
Call of Postgres: Advanced Operations (part 3)
Alexey Lesovsky
 
PPTX
Новые возможности языка SQL в Firebird 3.0
Alexey Kovyazin
 
PPTX
СУБД 2013 Лекция №8 "Конфигурирование базы данных"
Technopark
 
PDF
How to debug
Vsevolod Solovyov
 
PPTX
Oracle how to live without cloud control
Anton Bushmelev
 
PPTX
СУБД 2013 Лекция №4 "Расширенные возможности работы с базами данных. Триггеры...
Technopark
 
DOCX
PowerShell Web Access Руководство по использованию
Andrey Markin
 
PPTX
directx
Dmitry Andreev
 
PPTX
High Load 2009 Dimaa Rus Ready 16 9
HighLoad2009
 
Как мы храним 75 млн пользователей (Денис Бирюков)
Ontico
 
Подводные камни прикладной криптографии, I
Vladimir Kochetkov
 
СУБД 2013 Лекция №9 "Безопасность баз данных"
Technopark
 
По результатам беседы по телефону
Andrew Dorfman
 
Практическое использование средств криптографии в .NET, Java и PHP
Vladimir Kochetkov
 
Долгожданный релиз pg_pathman 1.0 / Александр Коротков, Дмитрий Иванов (Post...
Ontico
 
Call of Postgres: Advanced Operations (part 3)
Alexey Lesovsky
 
Новые возможности языка SQL в Firebird 3.0
Alexey Kovyazin
 
СУБД 2013 Лекция №8 "Конфигурирование базы данных"
Technopark
 
How to debug
Vsevolod Solovyov
 
Oracle how to live without cloud control
Anton Bushmelev
 
СУБД 2013 Лекция №4 "Расширенные возможности работы с базами данных. Триггеры...
Technopark
 
PowerShell Web Access Руководство по использованию
Andrey Markin
 
directx
Dmitry Andreev
 
High Load 2009 Dimaa Rus Ready 16 9
HighLoad2009
 
Ad

Similar to СУБД PostgreSQL ИЗ ДИСТРИБУТИВА ОПЕРАЦИОННОЙ СИСТЕМЫ СПЕЦИАЛЬНОГО НАЗНАЧЕНИЯ "Astra Linux Special Edition" ДЛЯ ОБРАБОТКИ СВЕДЕНИЙ, СОСТАВЛЯЮЩИХ ГОСУДАРСТ (20)

PDF
Павел Лузанов, Postgres Professional. «PostgreSQL для пользователей Oracle»
Mail.ru Group
 
PDF
Эксперименты с Postgres в Docker и облаках — оптимизация настроек и схемы ва...
Nikolay Samokhvalov
 
PDF
Общий план комплексного аудита информационной безопасности
grishkovtsov_ge
 
PPT
SAMag2007 Conference: PostgreSQL 8.3 presentation
Nikolay Samokhvalov
 
PDF
Time series data in a relational database. TimescaleDB and PipelineDB extensi...
Ivan Muratov
 
PDF
Использование передовых возможностей кибербезопасности.pdf
trenders
 
PDF
Аксёнов_Разработка_общей_схемы_СЗИ.pdf
trenders
 
ODP
Firebird 2.5 - вектор дальнейшего развития, Dmitry Yemanov, (in Russian)
Alexey Kovyazin
 
PDF
Лекция Android. БД SQLite, ContentProvider, Loader
Александр Брич
 
PDF
Java осень 2013 лекция 6
Technopark
 
PDF
Node.js for enterprise 2021 - JavaScript Fwdays 3
Timur Shemsedinov
 
PDF
Механизмы мониторинга баз данных: взгляд изнутри / Дмитрий Еманов (Firebird P...
Ontico
 
PDF
Web осень 2013 лекция 6
Technopark
 
PPTX
GRANIT — Global Russian Advanced Network Initiative
ARCCN
 
PPTX
High Load 2009 Dimaa Rus Ready
HighLoad2009
 
PDF
Database security
Mikhail Vanin
 
PDF
Александр Коротин. Безопасность систем управления турбинами в электроэнергетике
Kaspersky
 
PDF
Безопасность Центров Обработки Данных
Cisco Russia
 
PPTX
How optimize PL/SQL by decrease overhead for context switching between SQL an...
IgorMelnikov6
 
PDF
Cisco Threat Defense (Cisco Stealthwatch)
Cisco Russia
 
Павел Лузанов, Postgres Professional. «PostgreSQL для пользователей Oracle»
Mail.ru Group
 
Эксперименты с Postgres в Docker и облаках — оптимизация настроек и схемы ва...
Nikolay Samokhvalov
 
Общий план комплексного аудита информационной безопасности
grishkovtsov_ge
 
SAMag2007 Conference: PostgreSQL 8.3 presentation
Nikolay Samokhvalov
 
Time series data in a relational database. TimescaleDB and PipelineDB extensi...
Ivan Muratov
 
Использование передовых возможностей кибербезопасности.pdf
trenders
 
Аксёнов_Разработка_общей_схемы_СЗИ.pdf
trenders
 
Firebird 2.5 - вектор дальнейшего развития, Dmitry Yemanov, (in Russian)
Alexey Kovyazin
 
Лекция Android. БД SQLite, ContentProvider, Loader
Александр Брич
 
Java осень 2013 лекция 6
Technopark
 
Node.js for enterprise 2021 - JavaScript Fwdays 3
Timur Shemsedinov
 
Механизмы мониторинга баз данных: взгляд изнутри / Дмитрий Еманов (Firebird P...
Ontico
 
Web осень 2013 лекция 6
Technopark
 
GRANIT — Global Russian Advanced Network Initiative
ARCCN
 
High Load 2009 Dimaa Rus Ready
HighLoad2009
 
Database security
Mikhail Vanin
 
Александр Коротин. Безопасность систем управления турбинами в электроэнергетике
Kaspersky
 
Безопасность Центров Обработки Данных
Cisco Russia
 
How optimize PL/SQL by decrease overhead for context switching between SQL an...
IgorMelnikov6
 
Cisco Threat Defense (Cisco Stealthwatch)
Cisco Russia
 
Ad

More from Michael Oreshin (20)

PDF
Облака: от сказки к реальности Олег Ананьев Бизнес Талисман
Michael Oreshin
 
PDF
5 ключевых вопросов внедрения мониторинга SLA для облачных платформ Владимир ...
Michael Oreshin
 
PPTX
Идеальный сервис для идеального пользователя. Михаил Ляпин. МегаЛабс
Michael Oreshin
 
PPTX
Российский рынок IaaS. J'son & partners
Michael Oreshin
 
PPTX
Service-as-a-Грабли. Алексей Грачев. EMC
Michael Oreshin
 
PPTX
Облачный рынок в России в и в мире. Взгляд Parallels.
Michael Oreshin
 
PPTX
Обеспечение безопасности виртуальной инфраструктуры. Сергей Кузнецов
Michael Oreshin
 
PDF
Startpack. Портал управления сервисами и биллинг, как сервис. Алексей Федоров
Michael Oreshin
 
PPTX
SafeNet Authentication Service
Michael Oreshin
 
PPTX
NGS Swivel "Не свисти паролей не будет!" Алексей Комаров
Michael Oreshin
 
PDF
Облачные сервисы установка на интеграцию Игорь Гоннебный
Michael Oreshin
 
PDF
Удобный сайт: сплетни и советы Марина Тоцкая
Michael Oreshin
 
PPT
"Облвчный CRM" Алексей Фитискин. ASOFT
Michael Oreshin
 
PPTX
"Упрости себе жизнь. Бизнес с облаком" Юлия Щеглова Microsoft
Michael Oreshin
 
PPTX
"Обзор возможности бухгалтерии.контур" Мария Заволокина СКБ Контур
Michael Oreshin
 
PPT
"Облака для девочек: Вступление" Михаил Орешин "Eurocloud Russia - RCCPA"
Michael Oreshin
 
PDF
«Онлайн-маркетинг ПО — как начать без бюджета и заработать», — Мария Першко, ...
Michael Oreshin
 
PDF
“Продавать глобально. Налаживаем каналы продажи с онлайна” — Виталий Янко, ди...
Michael Oreshin
 
PDF
«Служба техподдержки — зачем нужна и чем влияет на прибыль?» — Артем Данилов,...
Michael Oreshin
 
PDF
«Как создать help к продукту за час и заработать на этом» — Денис Журавлев, г...
Michael Oreshin
 
Облака: от сказки к реальности Олег Ананьев Бизнес Талисман
Michael Oreshin
 
5 ключевых вопросов внедрения мониторинга SLA для облачных платформ Владимир ...
Michael Oreshin
 
Идеальный сервис для идеального пользователя. Михаил Ляпин. МегаЛабс
Michael Oreshin
 
Российский рынок IaaS. J'son & partners
Michael Oreshin
 
Service-as-a-Грабли. Алексей Грачев. EMC
Michael Oreshin
 
Облачный рынок в России в и в мире. Взгляд Parallels.
Michael Oreshin
 
Обеспечение безопасности виртуальной инфраструктуры. Сергей Кузнецов
Michael Oreshin
 
Startpack. Портал управления сервисами и биллинг, как сервис. Алексей Федоров
Michael Oreshin
 
SafeNet Authentication Service
Michael Oreshin
 
NGS Swivel "Не свисти паролей не будет!" Алексей Комаров
Michael Oreshin
 
Облачные сервисы установка на интеграцию Игорь Гоннебный
Michael Oreshin
 
Удобный сайт: сплетни и советы Марина Тоцкая
Michael Oreshin
 
"Облвчный CRM" Алексей Фитискин. ASOFT
Michael Oreshin
 
"Упрости себе жизнь. Бизнес с облаком" Юлия Щеглова Microsoft
Michael Oreshin
 
"Обзор возможности бухгалтерии.контур" Мария Заволокина СКБ Контур
Michael Oreshin
 
"Облака для девочек: Вступление" Михаил Орешин "Eurocloud Russia - RCCPA"
Michael Oreshin
 
«Онлайн-маркетинг ПО — как начать без бюджета и заработать», — Мария Першко, ...
Michael Oreshin
 
“Продавать глобально. Налаживаем каналы продажи с онлайна” — Виталий Янко, ди...
Michael Oreshin
 
«Служба техподдержки — зачем нужна и чем влияет на прибыль?» — Артем Данилов,...
Michael Oreshin
 
«Как создать help к продукту за час и заработать на этом» — Денис Журавлев, г...
Michael Oreshin
 

СУБД PostgreSQL ИЗ ДИСТРИБУТИВА ОПЕРАЦИОННОЙ СИСТЕМЫ СПЕЦИАЛЬНОГО НАЗНАЧЕНИЯ "Astra Linux Special Edition" ДЛЯ ОБРАБОТКИ СВЕДЕНИЙ, СОСТАВЛЯЮЩИХ ГОСУДАРСТ

  • 1. НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РУССКИЕ БАЗОВЫЕ ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ СУБД PostgreSQL ИЗ ДИСТРИБУТИВА ОПЕРАЦИОННОЙ СИСТЕМЫ СПЕЦИАЛЬНОГО НАЗНАЧЕНИЯ "Astra Linux Special Edition" ДЛЯ ОБРАБОТКИ СВЕДЕНИЙ, СОСТАВЛЯЮЩИХ ГОСУДАРСТВЕННУЮ ТАЙНУ СУБД PostgreSQL ИЗ ДИСТРИБУТИВА ОПЕРАЦИОННОЙ СИСТЕМЫ СПЕЦИАЛЬНОГО НАЗНАЧЕНИЯ "Astra Linux Special Edition" ДЛЯ ОБРАБОТКИ СВЕДЕНИЙ, СОСТАВЛЯЮЩИХ ГОСУДАРСТВЕННУЮ ТАЙНУ БЕЗОПАСНОСТЬ И БЫСТРОДЕЙСТВИЕБЕЗОПАСНОСТЬ И БЫСТРОДЕЙСТВИЕ
  • 2. СЕРТИФИКАЦИЯ СУБД PostgreSQL В СОСТАВЕ ОС СН "Astra Linux Special Edition" 2 Номер сертификата Дата выдачи Срок действия Система сертификации № 1339 24.09.2010 г. 15.09.2018 г. Минобороны России № 2557 27.01.2012 г. 27.01.2018 г. ФСТЭК России № СФ/014-2234 04.10.2013 г. 04.10.2018 г. ФСБ России ОС СН "Astra Linux Special Edition" сертифицирована на соответствие: - 3 классу защищенности СВТ от НСД; - 2 уровню контроля отсутствия НДВ.
  • 3. ПЕРЕЧЕНЬ ПРОГРАММНЫХ СРЕДСТВ СУБД В СОСТАВЕ ОС СН "Astra Linux Special Edition" 3 В состав сертифицированного дистрибутива ОС СН "Astra Linux Special Edition" 1.4 включены следующие программные средства СУБД:  СУБД PostgreSQL 9.3.3;  расширение PostGIS 2.1.1;  патч для технологической платформы 1С-Предприятие 8;  программное средство администрирования pgAdmin III 1.18.1;  программное средство репликации Slony-I 2.1.4. В состав сертифицированного дистрибутива ОС СН "Astra Linux Special Edition" 1.4 включены следующие программные средства СУБД:  СУБД PostgreSQL 9.3.3;  расширение PostGIS 2.1.1;  патч для технологической платформы 1С-Предприятие 8;  программное средство администрирования pgAdmin III 1.18.1;  программное средство репликации Slony-I 2.1.4.
  • 4. ДОРАБОТКА СУБД PostgreSQL ДЛЯ ОБЕСПЕЧЕНИЯ ТРЕБОВАНИЙ ПО ЗАЩИТЕ ИНФОРМАЦИИ 4 Все программные средства, включаемые в состав ОС СН "Astra Linux Special Edition" должны соответствовать требованиям нормативных документов по защите информации ФСБ, ФСТЭК и Минобороны России. Все программные средства, включаемые в состав ОС СН "Astra Linux Special Edition" должны соответствовать требованиям нормативных документов по защите информации ФСБ, ФСТЭК и Минобороны России. В дополнение к имеющимся средствам защиты в СУБД PostgreSQL встраиваются средства защиты информации, обеспечивающие:  мандатное разграничение доступа;  регистрацию событий безопасности (аудит). В дополнение к имеющимся средствам защиты в СУБД PostgreSQL встраиваются средства защиты информации, обеспечивающие:  мандатное разграничение доступа;  регистрацию событий безопасности (аудит).
  • 5. РАЗЛИЧИЯ В РАЗГРАНИЧЕНИИ ДОСТУПА База данных Схема Таблица Запись Поле (столбец) Функция Дискреционное разграничение доступа Мандатное разграничение доступа + + + + + + + + + + Объекты и метаданые Доработанная СУБД PostgreSQL Обычная СУБД PostgreSQL 5
  • 6. ПРИМЕР ФОРМИРОВАНИЯ МАНДАТНЫХ МЕТОК РАЗГРАНИЧЕНИЯ ДОСТУПА К ДАННЫМ 0x0 (0000) РуководствоОбщий доступ Отдел 1 Отдел 2 Отдел 3 Виды данных и уровни доступа Подразделения и категории доступа Общий доступ {0,0x0} Служебная тайна {1,0x0} Конфиден- циальные {2,0x0} Государственная тайна {3,0x0} {0,0x1} {1,0x1} {2,0x1} {3,0x1} {0,0x2} {1,0x2} {2,0x2} {3,0x2} {0,0x4} {1,0x4} {2,0x4} {3,0x4} {0,0x8} {1,0x8} {2,0x8} {3,0x8} 0x1 (0001) 0x2 (0010) 0x4 (0100) 0x8 (1000) 0 1 2 3 Диапазон значений иерархических уровней доступа: от 0 до 255 Диапазон значений неиерархических категорий доступа: 64 двоичных разряда 6
  • 7. ПРИМЕР ОБЛАСТИ ВИДИМОСТИ ДАННЫХ ПРИ МАНДАТНОМ РАЗГРАНИЧЕНИИ ДОСТУПА Виды данных и уровни доступа Подразделения и категории доступа Общий доступ Служебная тайна Конфиден- циальные Государственная тайна 0 1 2 3 {0,0x0} - мандатная метка минимального доступа к данным {3,0xF} - мандатная метка максимального доступа к данным Область видимости данных для пользователя с мандатной меткой {2,0x9} (1001) 7 0x0 (0000) РуководствоОбщий доступ Отдел 1 Отдел 2 Отдел 3 0x1 (0001) 0x2 (0010) 0x4 (0100) 0x8 (1000) {0,0x0} {1,0x0} {2,0x0} {3,0x0} {3,0x1} {0,0x2} {1,0x2} {2,0x2} {3,0x2} {0,0x4} {1,0x4} {2,0x4} {3,0x4} {0,0x8} {1,0x8} {2,0x8} {3,0x8} {0,0x1} {1,0x1} {2,0x1}
  • 8. База данных {3,0xF} CCR = Off Схема {3,0xF} CCR = Off Таблица-1 {3,0xF} CCR = Off ПРИМЕР РЕАЛИЗАЦИИ МАНДАТНОГО РАЗГРАНИЧЕНИЯ ДОСТУПА 8 Запись {3,0x0} Запись {2,0x8} Запись {1,0x0} Запись {0,0x0} Запись {3,0x0} Запись {2,0x0} Запись {1,0x0} Запись {0,0x0} Область видимости пользователя с мандатной меткой {3,0xF} Таблица-2 {2,0x1} CCR = On Запись Запись Запись Запись Запись Запись Запись Запись CCR (Container clearance required) - учет мандатных атрибутов контейнера
  • 9. ПРИМЕР РЕАЛИЗАЦИИ МАНДАТНОГО РАЗГРАНИЧЕНИЯ ДОСТУПА 9 Область видимости пользователя с мандатной меткой {3,0x0} База данных {3,0xF} CCR = Off Схема {3,0xF} CCR = Off Таблица-1 {3,0xF} CCR = Off Запись {3,0x0} Запись {2,0x8} Запись {1,0x0} Запись {0,0x0} Запись {3,0x0} Запись {2,0x0} Запись {1,0x0} Запись {0,0x0} Таблица-2 {2,0x1} CCR = On Запись Запись Запись Запись Запись Запись Запись Запись
  • 10. ПРИМЕР РЕАЛИЗАЦИИ МАНДАТНОГО РАЗГРАНИЧЕНИЯ ДОСТУПА 10 Область видимости пользователя с мандатной меткой {2,0x9} База данных {3,0xF} CCR = Off Схема {3,0xF} CCR = Off Таблица-1 {3,0xF} CCR = Off Запись {3,0x0} Запись {2,0x8} Запись {1,0x0} Запись {0,0x0} Запись {3,0x0} Запись {2,0x0} Запись {1,0x0} Запись {0,0x0} Таблица-2 {2,0x1} CCR = On Запись Запись Запись Запись Запись Запись Запись Запись
  • 11. ПРИМЕР РЕАЛИЗАЦИИ МАНДАТНОГО РАЗГРАНИЧЕНИЯ ДОСТУПА 11 Область видимости пользователя с мандатной меткой {2,0x8} База данных {3,0xF} CCR = Off Схема {3,0xF} CCR = Off Таблица-1 {3,0xF} CCR = Off Запись {3,0x0} Запись {2,0x8} Запись {1,0x0} Запись {0,0x0} Запись {3,0x0} Запись {2,0x0} Запись {1,0x0} Запись {0,0x0} Таблица-2 {2,0x1} CCR = On Запись Запись Запись Запись Запись Запись Запись Запись
  • 12. ПРИМЕР РЕАЛИЗАЦИИ МАНДАТНОГО РАЗГРАНИЧЕНИЯ ДОСТУПА 12 Область видимости пользователя с мандатной меткой {2,0x1} База данных {3,0xF} CCR = Off Схема {3,0xF} CCR = Off Таблица-1 {3,0xF} CCR = Off Запись {3,0x0} Запись {2,0x8} Запись {1,0x0} Запись {0,0x0} Запись {3,0x0} Запись {2,0x0} Запись {1,0x0} Запись {0,0x0} Таблица-2 {2,0x1} CCR = On Запись Запись Запись Запись Запись Запись Запись Запись
  • 13. ПРИМЕР РЕАЛИЗАЦИИ МАНДАТНОГО РАЗГРАНИЧЕНИЯ ДОСТУПА 13 Область видимости пользователя с мандатной меткой {0,0x0} База данных {3,0xF} CCR = Off Схема {3,0xF} CCR = Off Таблица-1 {3,0xF} CCR = Off Запись {2,0x8} Запись {1,0x0} Запись {0,0x0} Запись {3,0x0} Запись {2,0x0} Запись {1,0x0} Запись {0,0x0} Таблица-2 {2,0x1} CCR = On Запись Запись Запись Запись Запись Запись Запись Запись Запись {3,0x0}
  • 14. РЕГИСТРАЦИЯ СОБЫТИЙ БЕЗОПАСНОСТИ ИНФОРМАЦИИ 14 Средства аудита доработанной СУБД PostgreSQL обеспечивают регистрацию следующих событий:  использование идентификационного и аутентификационного механизма;  запрос на доступ к защищаемому ресурсу;  создание, уничтожение и изменение объектов СУБД;  действия по изменению правил разграничения доступа. Средства аудита доработанной СУБД PostgreSQL обеспечивают регистрацию следующих событий:  использование идентификационного и аутентификационного механизма;  запрос на доступ к защищаемому ресурсу;  создание, уничтожение и изменение объектов СУБД;  действия по изменению правил разграничения доступа. Для каждого события регистрируется следующая информация:  дата и время;  объект доступа к которому применяется регистрируемое действие;  субъект, осуществляющий регистрируемое действие;  тип события;  результат завершения события. Для каждого события регистрируется следующая информация:  дата и время;  объект доступа к которому применяется регистрируемое действие;  субъект, осуществляющий регистрируемое действие;  тип события;  результат завершения события.
  • 16. ОЦЕНКА УВЕЛИЧЕНИЯ ОБЪЕМА БАЗЫ ДАННЫХ 16 CCR (1 байт)Уровень (1 байт) Категория (8 байт) Структура мандатной метки объекта Пример расчета увеличения размера таблицы: - размер мандатной метки таблицы: 9 байт; - размер признака учета мандатных атрибутов: 1 байт; - размер мандатной метки одной записи: 9 байт; - увеличение размера таблицы с 1 млн. записей: 9 + 1 + 9 х 1000000 ≈ 9МБ. Признак учета мандатных атрибутов контейнера
  • 17. ИЗМЕНЕНИЕ СКОРОСТИ ВЫПОЛНЕНИЯ ОСНОВНЫХ ОПЕРАЦИЙ ПРИ МАНДАТНОМ РАЗГРАНИЧЕНИИ ДОСТУПА К ЗАПИСЯМ 17 +1% Время выполнения запросов в PostgreSQL INSERT SELECT UPDATE DELETE Приращение времени выполнения запросов в доработанном PostgreSQL +8% +12% +24% В таблицах с записями малого размера приращение времени выполнения запросов наиболее заметно. Абсолютное приращение времени выполнения запросов линейно зависит от количества записей. В таблицах с записями малого размера приращение времени выполнения запросов наиболее заметно. Абсолютное приращение времени выполнения запросов линейно зависит от количества записей.
  • 18. ИЗМЕНЕНИЕ СКОРОСТИ ВЫПОЛНЕНИЯ ОСНОВНЫХ ОПЕРАЦИЙ ПРИ МАНДАТНОМ РАЗГРАНИЧЕНИИ ДОСТУПА К ЗАПИСЯМ 18 +1% Время выполнения запросов в PostgreSQL INSERT SELECT UPDATE DELETE Приращение времени выполнения запросов в доработанном PostgreSQL +8% +12% +24% +4% +0.5% +6% +12% Абсолютное приращение времени выполнения запросов постоянно для одинакового количества записей и не зависит от размера записей. Абсолютное приращение времени выполнения запросов постоянно для одинакового количества записей и не зависит от размера записей.
  • 19. НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РУССКИЕ БАЗОВЫЕ ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ СПАСИБО ЗА ВНИМАНИЕ! www.rusbitech.ru www.astralinux.ru

Editor's Notes

  • #2: Примечания к слайду 1
  • #3: Примечания к слайду 1
  • #4: Примечания к слайду 1
  • #5: Примечания к слайду 1
  • #6: Примечания к слайду 1
  • #7: Примечания к слайду 1
  • #8: Примечания к слайду 1
  • #9: Примечания к слайду 1
  • #10: Примечания к слайду 1
  • #11: Примечания к слайду 1
  • #12: Примечания к слайду 1
  • #13: Примечания к слайду 1
  • #14: Примечания к слайду 1
  • #15: Примечания к слайду 1
  • #16: Примечания к слайду 1
  • #17: Примечания к слайду 1
  • #18: Примечания к слайду 1
  • #19: Примечания к слайду 1
  • #20: Примечания к слайду 1