МИНОБРНАУКИ РОССИИ

Федеральное государственное бюджетное образовательное учреждение

высшего образования
«Казанский национальный исследовательский технологический
университет»
(ФГБОУ ВО КНИТУ)
ИХТИ, ФЭТИБ
(название института, факультета)

Кафедра Информационная безопасность

ОТЧЕТ

по преддипломной практике

ООО «НПО ВС»

(название предприятия, организации, учреждения)

на тему Реализация мандатного разграничения доступа в ОС СН Astra Linux

1.6 в ходе функционирования службы каталогов FreeIPA

Выполнил студент ______________________________________________

(Фамилия И.О., подпись)

Руководитель практики
от предприятия, _______________________________________________
организации, учреждения (Фамилия И.О., подпись)

Руководитель практики
от кафедры ________________________________________________
(Фамилия И.О., подпись)

Казань, 2021 г.
 СОДЕРЖАНИЕ

Введение...................................................................................................................3
История создания организации..............................................................................4
Организационная структура предприятия............................................................7
Задание по практике и его выполнение...............................................................10
Организационная структура предприятия..........................................................10
Реализация мандатного разграничения доступа в ОС СН Astra Linux............11
Реализация мандатного разграничения доступа в ОС СН Astra Linux 1.6 в
ходе функционирования службы каталогов FreeIPA.........................................13
Заключение............................................................................................................21
Список литературы...............................................................................................22

2
 ВВЕДЕНИЕ

Преддипломная практика проходила в «ICL» в подразделении НПО

ВС в отделе разработки средств и систем защиты информации в сроки с
12.04.2021 по 22.05.2021 года.
Основные цели практики:
– изучение производственной и организационной структуры
предприятия, основных видов его деятельности;
– получение и выполнение индивидуального задания;
– ведение и оформление дневника практики;
– подготовка отчета по практике и представление его руководителю
практики.
В ходе прохождения практики была изучена теория реализации
мандатных меток посредством подсистемы безопасности PARSEC,
реализовано мандатное разграничение в ОС СН Astra Linux 1.6, а также
было реализовано мандатное разграничения доступа в ходе
функционирования службы каталогов FreeIPA.

3
 История создания организации

В 1991 году одним из крупнейших производителей вычислительных

комплексов (ЭВМ) в СССР Казанским производственным объединением
вычислительных систем (КПО ВС) и крупнейшим производителем
компьютеров Великобритании International Computers Limited (ICL) было
создано советско-британское совместное предприятие «ICL-КПО ВС»,
зарегистрированное 2 июля 1991 года в Министерстве финансов РСФСР.
28 января 1992 года между Кабинетом министров Татарстана и
«International Computers Limited» было подписано соглашение о
сотрудничестве в области производства и внедрения новейших
информационных технологий и оборудования. Проект предусматривал
разработку, производство, сбыт и обслуживание технических и
программных средств и технологий «ICL», в том числе микропроцессоров
архитектуры SPARC-RISC, операционной системы UNIX 4.0, серверов
DRS-6000, на базе СП «ICL-КПО ВС», c уставным фондом 8 млн долларов
США. Гарантом выполнения соглашения выступило правительство
Татарстана, которое обязалось за первые три года вложить в предприятие 50
млн долларов, полученных от продажи экспортной квоты добытой в
республике нефти (500 тыс. тонн в год).
30 сентября 1994 года предприятие было преобразовано в
акционерное общество закрытого типа, а 11 июля 1997 года в открытое
акционерное общество. 49 % акций, которыми владело правительство
Татарстана, были выкуплены сотрудниками компании.
21 апреля 2000 года вышло постановление Кабинета Министров РТ “О
мерах по поддержке высокотехнологичного производства средств
информатизации в ОАО «ICL-КПО ВС»”, в котором предприятие
официально объявлялось генеральным поставщиком средств
информатизации для нужд бюджетных организаций Республики Татарстан

4
и главным подрядчиком работ по созданию единой информационной
системы органов государственной власти и республиканского управления.
В 2000 году «ICL-КПО ВС» было награждено премией «Газпрома» за
внедрение систем информационной безопасности автоматизированная
система управления (АСУ) ОАО «Газпром» в 1998—2000 годах. После
создания средств защиты информации центральному (СЗИ)
производственно-диспетчерскому управлению (ЦПДУ), компания была
назначена ведущим системным интегратором систем защиты информации
ОАО «Газпром», разрабатывала и реализовала Единую комплексную
систему информационной безопасности «Газпрома». Оборот фирмы в 2000
году составил 250 млн руб., увеличившись на 70 % по сравнению с
предыдущим годом.
В 2001 году компания «ICL-КПО ВС» получила сертификат качества
на соответствие требованиям ISO 9001. В то время в ней работало 450
сотрудников.
В 2002 году головная компания «ICL», приобретённая японской
корпорацией «Fujitsu», была переименована в «Fujitsu Services Limited».
Название казанской компании осталось неизменным.
С 2007 года чистая прибыль, получаемая компанией, направлялась
только на развитие.
Компания планировала строительство нового завода, близ аэропорта
«Казань». Проект был утверждён, но в виду финансово-экономического
кризиса не смог привлечь требуемый объём инвестиций (10-20 млн
долларов США), и потому в 2009 году был «заторможен».
В 2010 году компания нарастила объём продаж на 62 % по сравнению
с предыдущим годом, он достиг 3,2 млрд рублей.
Согласно оценке CNews Analytics, в 2010 году ОАО «ICL-КПО ВС»
стало крупнейшей российской ИТ-компанией вне Москвы и Санкт-
Петербурга, а в 2011 году уступило эту позицию только новосозданной
Группе компаний «Татинтек» (Альметьевск). Согласно оценке журнала
5
Эксперт, в 2011 году компания находилась в тройке крупнейших
российских ИТ-компаний в области производства оборудования. Кроме
того, в 2011 году ОАО «ICL-КПО ВС» занимало 11 строку в рейтинге
крупнейших ИТ-компании России в сфере защиты информации.
В 2012 году было начато строительство Завода промышленной
электроники «ICL-КПО ВС». 24 мая 2012 года Президент Татарстана
заложил капсулу с посланием потомкам в основание фундамента завода. По
словам директора ОАО «ICL-КПО ВС», «строительство завода поможет
вернуть Казани статус компьютерной столицы страны».
Строительство завода запланировано в селе Усады Лаишевского
района Татарстана в 3 очереди. По окончании строительства на площади 8
га будут возведены 3 производственных комплекса и 2 инженерных центра.
Общий объём финансирования строительства первой очереди — 600 млн
рублей. Завершить строительство первой очереди планируется в первом
квартале 2013 года. Полностью завод будет запущен в 2017 году.
Суммарная производственная мощность предприятия по выпуску
персональных компьютеров, ноутбуков, серверов и других изделий, должна
составить 1 млн изделий в год.
9 апреля 2013 года в селе Усады Лаишевского района была запущена
первая очередь завода «ICL КПО ВС», который будет производить
промышленную электронику и компьютерную технику — компьютеры,
ноутбуки, серверы под брендом «ICL RAY», а также под брендом Fujitsu —
по заказу Fujitsu Technology Solutions.
В июне 2013 года ОАО «ICL-КПО ВС» вышло из группы Fujitsu.
Контрольный пакет, ранее принадлежавший Fujitsu Technology Solutions
(Нидерланды), приобрело ООО «Научно-производственное объединение
вычислительных систем» (ООО «НПО ВС»). В результате компания стала
владельцем 62,28% акций ICL.
В 2014 году «ICL-КПО ВС» провела ребрендинг в рамках своей
структуры. Компания начала расширение с помощью специализации, когда
6
под единым «зонтичным брендом» «ICL» на рынок ИТ-аутсорсинга
самостоятельно вышла первая компания «зонтика» — «ICL Services».

Организационная структура предприятия

Группа компаний ICL включает ООО «НПО ВС», ОАО «ICL-КПО

ВС», ОАО «КПО ВС», ICL Services, ООО «ICL Инжиниринг», 6 научно-
технических центров, производственно-коммерческий центр,
представительства в Москве, Санкт-Петербурге, Астрахани, Воронеже и
Краснодаре и более 130 авторизованных сервисных центров в различных
городах России.
ООО «Научно-производственное объединение вычислительных
систем» (ООО «НПО ВС») – российский разработчик и поставщик
продуктов и комплексных решений в области информационных технологий.
Данное предприятие является самостоятельным юридическим лицом, не
имеющим иностранных инвестиций, располагает собственными площадями,
необходимым производственным потенциалом, аттестованными
автоматизированными системами для выполнения разработок, носящих
конфиденциальный характер.
Деятельность ООО «НПО ВС» направлена на решение задач, которые
стоят перед любым развивающимся бизнесом. Спектр услуг, решений и
сервисов компании способен удовлетворить запросы различных категорий
заказчиков: крупных корпораций, компаний малого и среднего бизнеса, а
также частных пользователей.
Компания осуществляет следующий вид деятельностей:
– проведение научно-исследовательских работ;
– создание и сопровождение ИТ-инфраструктуры предприятия:
– систем комплексной защиты информации;
– автоматизированных систем управления;
– систем обработки данных;
– информационных систем, в том числе специального назначения;
7
 – общесистемного и прикладного ПО;
– оперативных и учетных систем;
– телекоммуникационных систем и структурированных кабельных
сетей;
– обеспечение информационной и физической безопасности
предприятия:
– создания ИТ-инфраструктуры предприятия заказчика и обеспечения
ИБ;
– формирование стратегии предприятия заказчика в области ИБ;
– решение текущих тактических задач предприятия в области ИТ и
ИБ;
– оказание технической поддержки средств обеспечения ИБ и ИТ-
инфраструктуры;
– создание систем защиты персональных данных;
– аутсорсинг ИТ-инфраструктуры;
– проведение технического обучения специалистов;
– автоматизированных систем видеонаблюдения за периметром;
– автоматизированных систем видеосопровождения движущихся
объектов на периметре;
– разработка программных продуктов;
– защита информации:
– в системах управления;
– локальных вычислительных сетях;
– программно-аппаратных комплексах;
– телекоммуникационных системах;
– проведение комплекса работ для подготовки к аттестации объекта
ЭВТ;
– осуществление деятельности, связанной с использованием
сведений, составляющих государственную тайну, и обеспечение ее защиты.
Ключевыми же направлениями деятельности предприятия являются:
8
 – обеспечение информационной безопасности;
– проведение сертификационных испытаний средств защиты
информации на соответствие требованиям по безопасности информации на
базе испытательной лаборатории;
– проектирование, внедрение и сопровождение инженерно-
технических средств охраны;
– создание и техническое сопровождение компонентов ИТ-
инфраструктуры;
– проведение научно-исследовательских работ, разработка
программных продуктов специального назначения.
ООО «НПО ВС» аккредитована в качестве испытательной
лаборатории в системах сертификации Министерства обороны, ФСТЭК
России и ГАЗПРОМСЕРТ.
Испытательная лаборатория ООО «НПО ВС» осуществляет:
– разработку программы и методики сертификационных испытаний и
согласование ее с Органом по сертификации;
– разработку программы и методики аттестации производства;
– проведение сертификационных испытаний;
– подготовку отчетной документации;
– подачу материалов сертификационных испытаний на экспертизу в
Орган по сертификации, согласование разработанной документации с
Органом по сертификации.

9
 Задание по практике и его выполнение

Задание на преддипломную практику заключалось в разработке

организационной структуры вымышленного предприятия и в реализации
мандатного разграничения доступа в ОС СН Astra Linux 1.6 в ходе
функционирования службы каталогов FreeIPA.

Организационная структура предприятия

Организационная структура предприятия выглядит следующим

образом (рис. 1):

Рис. 1. Организационная структура предприятия.

В данной организации:
 Директор имеет уровень допуска «совершенно секретно»;
 Директор по работе с корпоративным и государственным сегментами
имеет уровень допуска «секретно»;
 Сотрудники отдела продаж корпоративным клиентам имеют уровень
допуска «для служебного пользования»;
 Сотрудники отдела продаж государственным клиентам имеют
уровень допуска «секретно»;

10
  Финансовый директор имеет уровень допуска «для служебного
пользования»;
 Сотрудники отдела финансового планирования и анализа имеют
уровень допуска «для служебного пользования»;
 Сотрудники отдела договорного обеспечения и логистики имеют
уровень допуска «для служебного пользования»;
 Исполнительный директор имеет уровень допуска «совершенно
секретно»;
 Сотрудники отдела разработки СЗИ имеют уровень допуска
«совершенно секретно»;
 Сотрудники 1 отдела имеют уровень допуска «совершенно секретно».

Реализация мандатного разграничения доступа в ОС СН Astra Linux

Реализация мандатного управления доступом в ОС СН Astra Linux

основана на подсистеме безопасности PARSEC, самостоятельно
разработанной ОАО «НПО «РусБИТех» и включающей соответствующие
программный интерфейс и модуль расширения ядра ОС СН,
поддерживающий виртуальную файловую систему /parsecfs, и набор
системных вызовов, позволяющих уполномоченным пользователям
управлять политикой безопасности ОС СН.

11
 Рис 2. Архитектура подсистемы защиты ОС СН.
Помимо мандатного управления доступом, подсистема безопасности
PARSEC также реализует мандатный контроль целостности и
дополнительные функции аудита. На рис. 2 показано место подсистемы
безопасности PARSEC в архитектуре ОС СН и порядок её взаимодействия с
другими компонентами ОС СН.
Модуль PARSEC устанавливает в ядре ОС СН собственные
обработчики контролируемых информационных потоков, которые получают
управление всякий раз, когда необходимо принять решение, следует ли
разрешить или запретить то или иное обращение субъекта к сущности. Эти
обработчики функционируют автономно, непосредственное взаимодействие
модуля PARSEC с другими компонентами подсистемы защиты происходит
лишь в тех случаях, когда клиентская программа получает информацию о
действующей политике безопасности или модифицирует эту политику. Рис.
3 иллюстрирует внутреннюю архитектуру модуля PARSEC. Подсистема
МАС – подсистема Mandatory Access Control.

Рис 3. Архитектура модуля PARSEC.

12
 Файл «/etc/parsec/mac_levels» содержит перечисление
поддерживаемых в данном экземпляре ОС СН наименований мандатных
уровней.

Реализация мандатного разграничения доступа в ОС СН Astra Linux 1.6

в ходе функционирования службы каталогов FreeIPA

После установки серверного и клиентского программного обеспечения, а

также настройки и подключения клиентского хоста к серверу FreeIPA
можно приступить к настройке и реализации мандатного разграничения
доступа в клиентских хостах ОС СН Astra Linux 1.6 посредством службы
FreeIPA.

Настройка и работа происходит следующим образом:

Необходимо создать учетные записи пользователей (рис. 4).

13
 Рис. 4. Создание ученой записи пользователя.
После этого нужно отредактировать пользователя, заполнив его
«Должность» (рис. 5).

Рис. 5. Редактирование пользователя.

На следующем снимке все необходимые учетные записи созданы (рис.
6).

14
 Рис. 6. Созданные учётные записи пользователей.
Далее необходимо переименовать уровни конфиденциальности для
наглядности (рис. 7, рис. 8).

15
Рис. 7. Изменение имени уровня конфиденциальности.

16
 Рис. 8. Результат переименовывания уровней конфиденциальности.
Теперь нужно каждому пользователю, в соответствии с его уровнем
допуска, выдать уровни конфиденциальности (рис. 9).

17
 Рис. 9. Установка максимального уровня конфиденциальности одному из
пользователей.
Теперь при входе в учётную запись пользователя в окне атрибутов
безопасности можно будет выбрать уровень конфиденциальности,
соответствующий уровню допуска пользователя (рис. 10, рис. 11).

18
Рис. 10. Окно входа в учётную запись.

19
Рис. 11. Демонстрация уровня конфиденциальности «секретно».

20
 ЗАКЛЮЧЕНИЕ

В процессе прохождения преддипломной практики в организации

ООО «НПО ВС» мной была изучена документация предприятия, были
произведены реализация, настройка и тестирование мандатного
разграничения доступа в ОС СН Astra Linux 1.6 в ходе функционирования
службы каталогов FreeIPA.
Таким образом, за время проведения производственной практики был
выполнен полный объем запланированных по плану-графику работ и
составлен отчет о проделанной работе.

21
 СПИСОК ЛИТЕРАТУРЫ

1. История ICL: [Электронный ресурс]. URL:

http://www.icl.ru/company/history/ (дата обращения: 22.05.2021)
2. ГОСТ Р 50922-96. Защита информации. Основные термины и
определения. - М.: Изд-во стандартов, 1996.
3. Закон Российской Федерации "О персональных данных" от 27.07.2006
№ 152 // Российская газета.
4. Приказ ФСТЭК "Об утверждении состава и содержания
организационных и технических мер по обеспечению безопасности
персональных данных при их обработке в информационных системах
персональных данных " от 18.02.2013 № 21 // Российская газета.
5. Постановление Правительства РФ "Об утверждении Требований к
защите персональных данных при их обработке в информационных системах
персональных данных" от 01.11.2012 № 1119 // Российская газета.
6. Устав Акционерного Общества Открытого типа междугородной и
международной электрической связи "Ростелеком" [Электронный ресурс] /.
— Электрон. текстовые дан. — Москва: 1993. — Режим доступа:
https://www.company.rt.ru/ir/corporate_governance/docs/%D0%A3%D1%81%D1
%82%D0%B0%D0%B2.pdf, свободный (дата обращения: 22.05.2021)
7. Указ Президента РФ от 30 ноября 1995 г. N 1203 "Об утверждении
перечня сведений, отнесенных к государственной тайне". — Москва: 1995.

22