Наука безопасности операционных платформ

В главном здании Российской академии наук прошла IV научно-практическая конференция OS DAY, подготовленная девятью компаниями и организациями: Институтом системного программирования (ИСП) РАН, DZ Systems, ГосНИИАСом, «Свемелом», «Базальт СПО», «Открытой мобильной платформой», «Лабораторией Касперского», «РусБИТех-Астра» и «Тайзен.ру». OS DAY обретает статус площадки, на которой формулируются и корректируются подходы к разработке отечественного программного обеспечения и операционных платформ. В конференции приняли участие свыше 200 участников, заинтересованных в развитии операционных систем, более 30 докладчиков рассказали о своих разработках. В зале, отведенном для мероприятия, яблоку негде было упасть. В этом убедился корреспондент журнала Connect и выяснил, что сегодня в центре внимания представителей научных институтов, разработчиков операционных платформ и производителей программного обеспечения.

Первая конференция в 2014 г. была организована усилиями Института системного программирования РАН и группой компаний DZ Systems. В этом году список соорганизаторов расширился, а мероприятие примерило формат коммуникационной площадки для теоретиков и практиков системного программирования, производителей аппаратного обеспечения и заказчиков. Три года назад на конференции рассуждали о том, следует ли направлять усилия на разработку операционных систем в нашей стране, в 2015-м, когда появились трудности с использованием импортного программного обеспечения, зашла речь о прикладных задачах. В прошлом году участники OS DAY обменивались опытом встраивания операционных систем в разные аппаратные платформы.

Лейтмотивом IV конференции OS DAY стала тема обеспечения качества операционных платформ, неотъемлемым слагаемым которого является безопасность. В настоящее время уровень информационной безопасности в значительной мере определяется качеством ПО. Ошибки в исполняемом коде приводят к потере стабильности работы программы, уязвимостям защиты, из-за ошибок в программе пользователи могут обходить средства разграничения прав доступа и т. д. На конференции отмечалось, что границы между ошибками программистов, закладками и несанкционированными возможностями весьма размыты. Очевидно, что за безопасностью операционных систем стоят научные разработки. Осознание данного тезиса участниками рынка показывает, что сегодня отечественные компании не только нуждаются в результатах научных исследований, но и готовы за них платить.

Директор Института системного программирования РАН Арутюн Аветисян

Участие в конференции представителей разных сегментов ИТ-индустрии – отрадное и закономерное явление. По словам директора Института системного программирования РАН Арутюна Аветисяна, развивать направление разработки операционных платформ можно только в рамках сообщества, кооперации, в одиночку сил на это не хватит. Причем важно рассматривать эффективные средства разработки в комплексе, с позиций функциональности, продуктивности и удобства использования, внедрять инструменты, поддерживающие жизненный цикл разработки безопасного ПО.

Если говорить о современных вызовах в сегменте операционных платформ, то один из них связан с замещением импортных программных продуктов отечественными ради достижения технологической независимости. Прилагаемые в этом направлении усилия не должны приводить к снижению уровня культуры разработчиков. Одна из опасностей кроется в том, что импортозамещение может содействовать продвижению на рынке компаний с невысокой культурой разработки. Нужно быть осторожными и думать от этом, заметил директор ИСП РАН Арутюн Аветисян. Еще она проблема – кадры высшей квалификации, способные осуществлять мониторинг киберугроз. Для решения задач, связанных с кибербезопасностью, нужно создавать комплексную программу исследований угроз в данной сфере, нацеленную на разработку технологий и развитие кадрового потенциала.

В зале во время работы конференции

Об основных направлениях повышения защищенности операционных систем говорил в своем выступлении на конференции заместитель директора Федеральной службы по техническому и экспортному контролю России Виталий Лютиков. Подготовленным ФСТЭК национальным стандартом защиты информации предусмотрены мероприятия, реализация которых, как ожидается, позволит свести к минимуму появление уязвимостей при разработке операционных систем. Применение стандарта носит добровольный характер, но регулятор рекомендует разработчикам и производителям операционных систем оценить необходимость его внедрения в процесс создания продуктов. Одна из актуальных проблем сегодня продиктована тем, что внутренние процедуры реагирования на уязвимости у разработчиков не отработаны.

На конференции выступили несколько представителей ФСТЭК. Их доклады были посвящены требованиям по обеспечению безопасности информации, а также банку данных угроз безопасности как инструменту для разработчика ПО. Представители ФСТЭК признают, что сформулированные в середине 1990-х гг. требования безопасности устарели. Сегодня немало угроз, которые не учтены данными требованиями. В частности, на первый план выходит вопрос о наличии уязвимостей. В ряде выступлений на конференции подчеркивался тезис о том, что обеспечение защиты – это процесс, а не состояние. Новые требования регулятора к операционным платформам постепенно становятся строже, при этом важно, чтобы они были выполнимыми.

В течение двух дней на конференции обсуждались разные аспекты темы «операционная система как платформа». В частности, речь шла о моделировании и верификации политик безопасности управления доступом, технологиях жизненного цикла разработки безопасного ПО, подходах к построению автоматизированных систем в защищенном исполнении, корпоративных мобильных платформах, элементах защиты страиваемых систем, платформах для встраиваемых решений и Интернета вещей, способах получения сведений об угрозах и уязвимостях. Выступления, рассказывающие о реализованных и реализуемых проектах, а также большое количество вопросов из зала давали пищу для размышлений и корректировки видения того или иного вопроса.

Руководитель управления перспективных технологий «Лаборатории Касперского» Андрей Духвалов

Новой революцией в сфере ИТ руководитель управления перспективных технологий «Лаборатории Касперского» Андрей Духвалов назвал подключение всевозможных устройств к Интернету. По его прогнозам, в скором времени объем трафика, создаваемого и потребляемого такими устройствами, превысит объем трафика, создаваемого людьми. Наряду с преимуществами подключения к Сети человеку нужно быть готовым к дополнительным рискам. Обеспечить кибербезопасность в новых условиях можно при использовании ОС с интегрированными средствами защиты.

Одна из особенностей OS DAY – возможность живого диалога между игроками рынка и представителями научных учреждений, регуляторов, которые во многом определяют направления разработки ИТ-инструментов и формируют заказ на ПО. Здесь же присматриваются к возможностям сотрудничества и расширения партнерства разработчики программным продуктов.

Заместитель директора по базовым информационным технологиям научно-технического предприятия «Криптософт» Валерий Егоров

Многие выступления на конференции были посвящены перспективам создания и потенциалу операционных систем отечественного производства. Одну из них в своем кратком докладе, прозвучавшем под занавес первого дня мероприятия, представил заместитель директора по базовым информационным технологиям научно-технического предприятия «Криптософт» Валерий Егоров. Он сознательно выбрал тезисный стиль выступления, чтобы дать возможность аудитории задать уточняющие вопросы. И расчет оправдался – зал устроил докладчику коллективное интервью, которое завершилось заслуженными аплодисментами.

Компания «Криптософт» почти два десятка лет занимается разработкой многопользовательской защищенной операционной системы QP ОС, построенной по принципу монолитного ядра. Важно отметить, что данная разработка не является клоном другой операционной системы, создавалась, что называется, с нуля. QP ОС функционирует на платформах x86, x64, ARMv7 и MIPS64 (по словам Валерия Егорова, полноценно на первых двух). Система рассчитана для использования во встроенных решениях, в серверах (почтовых, виртуальных машин), а также в качестве системного ПО для рабочих станций. В настоящее время разрабатываются прикладные программы платформы QP ОС. Под управлением системы работают две СУБД, выбор – за заказчиком. Производительность системы можно было оценить на стенде компании, развернутом в холле помещения, где проводилась конференция.

При разработке системы особое внимание было уделено безопасности системы и контролю доступа к данным. По словам Валерия Егорова, изначальный подход к созданию системы и решений на ее основе – максимальная защищенность. QP ОС сертифицирована ФСБ России. Система поддерживает широкий спектр периферийного оборудования. Для нее создан полный стек заново написанных драйверов, в том числе сетевых, учитывающих специфику системы. Для QP ОС разработаны собственный компилятор с языка С и компоновщик программ, собственная среда программирования и дизайнер окон. Система поддерживает платформу .NET и язык программирования C#, для которых созданы специальные визуальные интерфейсы.

Под управлением QP ОС функционирует гипервизор QP VMM, позволяющий создавать виртуальные машины для гостевых ОС Windows, Linux, QP ОС и др. Компания готова предоставлять систему для тестирования.

С докладами на конференции выступили представители университетов России и Белоруссии, а также компаний Intel, Samsung, «Свемел», «НеоБит», «РедСофт». На мероприятии было объявлено о сотрудничестве группы компании DZ Systems и Университета Иннополис. Предметом совместной работы станет, в частности, развитие операционной системы «Фантом» на базе «Эльбруса». В планах Университета Иннополис и DZ Systems – тестирование, доработка «Фантома» и создание на ее основе экосистемы. О системе, которая написана с нуля и не использует чужого кода, в Иннополисе говорят, что это шаг вперед и с точки зрения преподавания.

Генеральный директор DZ Systems Дмитрий Завалишин

Отвечая на вопрос, что ждут партнеры от этого проекта, генеральный директор DZ Systems Дмитрий Завалишин сказал следующее: «В идеале, систему, которая похожа на Linux тем, что в ней можно будет скомпилировать, запустить линуксовую прикладную программу, но при этом обеспечить ту самую «вечную жизнь». Программу, которую не нужно останавливать при перезагрузке информационной системы».

Интерес к системе со стороны Иннополиса доцент Университета Евгений Зуев объяснил тем, что это не Linux и не Unix, а нечто новое, построенное на нестандартных принципах. Система обладает ясным концептом – персистентная память, неограниченное время жизни прикладных программ, к тому же она компактная.

Работа двухдневной конференции, посвященной созданию операционных платформ, завершилась обсуждением положений резолюции. По мнению представителей профессионального сообщества, сегодня очевидна необходимость реализации комплексной программы исследований и разработок в области системного программирования и информационной безопасности под патронажем ИСП РАН. Участие индустриальных партнеров в реализации такой программы даст возможность апробировать и внедрять новые инструменты, определять дальнейшие направления разработок.

Важно обеспечить гармонизацию государственных информационных систем и их переход на отечественное офисное ПО. Одно из предложений, адресованных регуляторам и органам по стандартизации, продиктовано необходимостью отказаться от предусмотренных в государственных стандартах требований использования проприетарных форматов документов, буквально привязывающих пользователей к пакету MS Office.

Участники конференции указывают на необходимость поддержки отечественных операционных платформ для создания безопасного, надежного и эффективного программного обеспечения. Для успешного перехода на отечественное офисное ПО предлагается провести аудит государственных информационных систем.

Одна из рекомендаций состоит в создании межведомственного государственного органа для координации разработки нормативных актов и подготовки предложений госорганам по применению средств защиты информации. Минкомсвязи России предлагается решить вопрос о переходе государственных ведомств на средства электронной подписи под ОС, включенные в единый реестр ПО.

www.connect-wit.ru

 

Следите за нашими новостями в Телеграм-канале Connect


Поделиться:



Следите за нашими новостями в
Телеграм-канале Connect

Спецпроект

Медицинские задачи для ИИ

Подробнее
Спецпроект

Цифровой Росатом

Подробнее


Подпишитесь
на нашу рассылку