Разработка RESTful сервиса с использованием языка python и wsgi модуля для защищенной автоматизированной системы

Nukopol

New member
Сообщения
12
#1
Здравствуйте!
Прошу помощи в вопросе использования программного обеспечения в составе Astra Linux Smolensk 1.6.
Необходимо разработать RESTful сервис с использованием языка python для защищенной автоматизированной системы, работающей с информацией категорий "секретно" и "совершенно секретно".
В составе дистрибутива имеется два модуля apache2 для python:
1) libapache2-mod-wsgi - находится на основном диске и предназначен для интепретатора Python 2.X.
2) libapache2-mod-wsgi-py3 - находится на диске разработчика и и предназначен для интепретатора Python 3.X.

В документации "Условия эксплуатации Astra Linux SE" указана следующая фраза: "модуль wsgi_mod для Apache не применять при включенном режиме AstraMode (см. РУСБ.10015-16 95 01-1) ".
Собственное тестирование показало, что при использовании libapache2-mod-wsgi-py3 мандатный контекст корректно учитывается при доступе к файлам.

Какой из этих модулей может быть использован при эксплуатации такой автоматизированной системы?
Может ли ПО с диска разработчика быть использовано в эксплуатируемой защищенной АС?
Какие "подводные камни" необходимо еще учесть?
Возможно ли пройти аттестацию такой АС?
 

Montfer

New member
Сообщения
2 364
#2
По таким вопросам вам лучше обращаться к разработчику напрямую, а не через форум.
 

oko

New member
Сообщения
1 257
#3
to Nukopol
Про конкретику применения модуля python в SE не подскажу, а вот по защищенности АС... Все зависит от класса АС, доп. требований к АС (определяемых ТЗ, если оно есть) и линией регулятора, по которой применяется АС (ФСТЭК России; МО РФ; ФСБ России; иное)...
Например, в некоторых АС "гражданского направления" (см. РД АС от НСД 90х гг.), необходимо: <целостность программной среды обеспечивается отсутствием в АС средств разработки и отладки программ>. Конечно, никто не заставляет вырезать тот же bash/sh из состава Astra Linux, но доступ штатных пользователей к созданию и запуску "левых" bash/sh-скриптов должен быть запрещен любым легитимным способом, читай (средствами КСЗИ в составе Astra Linux). Аналогичная ситуация будет и с python, не говоря уже о gcc и иже с ним...
В иных АС того же направления необходимо: <целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ при обработке и (или) хранении защищаемой информации>. Как трактовать подобное - рекомендую уточнить у регулятора, либо у соответствующего лицензиата...
Какой случай "ваш" также следует определиться самостоятельно, либо с привлечением лицензиата, исходя из реалий АС...
К сожалению, более подробное обсуждение уже будет "за гранью фола"...

*в сторону*

Главное, не говорить регуляторам о возможностях конвейера команд, ага...