В этом году в центре внимания традиционной практической конференции оказалось выполнение стандартов, регламентирующих создание безопасного ПО.
В России часто хорошо проводят первое мероприятие по той или иной тематике, однако до следующих конференций, а также конкретных шагов по их итогам дело порой не доходит — свою устойчивость любая конференция показывает лишь со временем, отметил Дмитрий Завалишин из DZ Systems на открытии девятой конференции OS DAY, посвященной технологическому обеспечению безопасности операционных систем.
«Первая конференция OS DAY прошла в 2014 году и имела целью собрать всех, кто занимается операционными системами, для выстраивания целостной, а не «кусочной» экосистемы создания и развития системного ПО, включая и инфраструктурные аппаратно-программные решения», — рассказал участникам конференции Завалишин.
|
|
| Арутюн Аветисян: «Конференция OS DAY стала сегодня площадкой для обсуждения процессов и механизмов создания безопасных ОС, обеспечения инструментов их сопровождения и надежной поддержки жизненного цикла обновлений» |
В нынешнем году тематика конференции приобрела особую актуальность: ее участники обсудили не только технологии разработки операционных систем, но и внутреннее строение систем, а также новые компоненты, которые могут повысить безопасность российских ОС — как проприетарных, так и построенных на платформах Open Source. Вместе с тем Роман Симаков из «РЕД Софт» отметил: «Неудивительно, что в условиях ограничений резко возрос интерес к Open Source. Однако санкционная риторика привела к тому, что доверие к такому ПО оказалось сильно подорванным, и сейчас чрезвычайно важно понимать, какие инструменты надо применять и какие требования строго соблюдать, чтобы не бояться Open Source».
На проблему инструментов и методик обратил внимание и Алексей Новодворский, «Базальт СПО»: «Важные, но несрочные еще недавно задачи обеспечения безопасности ОС оказались сегодня актуальны как никогда: назрела реальная необходимость сделать то, о чем давно уже говорилось, но все руки не доходили. Пришло время реально выполнять давно известные распоряжения и соблюдать действующие стандарты».
Действительно, в стране давно приняты стандарты и требования по безопасности к средствам контейнеризации, виртуализации и пр. (например, ГОСТ Р 56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования»), регламентирующие содержание и порядок выполнения работ, связанных с созданием безопасного системного ПО и формированием безопасной среды его эксплуатации, обеспечивающей обнаружение и устранение ошибок и недокументированных возможностей.
Валерий Егоров, «Криптософт», рассказал о технологиях безопасности в экосистеме QP ОС — проприетарной отечественной операционной системы, обеспечивающей комплексную защиту на всех уровнях, включая и защиту от еще неизвестных атак. Сергей Яковлев, «Лаборатория Касперского», выступил с сообщением об устройстве механизмов безопасности в кибериммунной системе KasperskyOS. Кибериммунность — локализация скомпрометировавшего себя компонента, с тем чтобы предотвратить дальнейшее распространение угрозы и обеспечить целостность системы. В этой ОС существует возможность настройки безопасного выполнения каждой конкретной задачи, что, в частности, позволяет строить надежное решение из любых компонентов Open Source — правда, с потерей быстродействия. KasperskyOS совместима с POSIX и имеет простой язык настройки задания правил межпроцессного взаимодействия.
Алексей Родионов, «РЕД Софт», рассказал о принципах построения модульной инфраструктуры автоматизированной сборки дистрибутива, используя в качестве примера «РЕД ОС». Особенностям применения статического анализа кода в ОС «Аврора», сертифицированной ФСТЭК и ФСБ, посвятил свое выступление Газибаганд Багомедов, «Открытая мобильная платформа». Программно-аппаратное средство доверенной загрузки данной ОС размещается непосредственно в микропроцессоре «Байкал-М» и поддерживает, в частности, загрузку «Авроры», ALT Linux и Astra Linux. Олег Дьяков из компании «Аладдин Р.Д.» познакомил слушателей с технологическими особенностями разработки доверенных встраиваемых ОС для защищенных микроконтроллеров.
Владимир Тележников и Александр Оружейников, «РусБИТех-Астра», обсудили с участниками конференции секреты применения средств защиты информации в ОС Astra Linux для исключения уязвимостей нулевого дня, а Евгений Синельников, «Базальт СПО», рассказал о групповых политиках и политике безопасности в ОС «Альт».
«Только вместе, перейдя от модели конкуренции к кооперации, исключив любые проявления шовинизма, можно создать доверительную среду разработки системного ПО», — резюмировал Арутюн Аветисян, директор ИСП РАН.