Безопасность встраиваемых систем¶

Требованиям по безопасности ФСТЭК:¶

«Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (Приказ ФСТЭК России от 02 июня 2020 г. №76) сертификация по уровню доверия
«Требованиям безопасности информации к операционным системам» (Приказ ФСТЭК России от 19 августа 2016 г., №119), «Профиль защиты ОС по типу и классу защиты. ИТ.ОС.А4.ПЗ»

Применение защиты:¶

КИИ по категории значимости (компонентов критической информационной инфраструктуры)
АСУ ТП по классу защищенности (автоматизированных систем управления техническими процессами)

Рынок российских систем на базе Linux:¶

TOP-5 Российских операционных систем в 2022 году

ASTRA LINUX
ROSA LINUX
АЛЬТ LINUX
РЕД ОС
AlterOS

специализированные

ОС АВРОРА (под мобильные устройства)
ОС ЭЛЬБРУС (под архитектуру)

Отличия встраиваемых систем¶

Аппаратные отличия от процессоров общего назначения

Процессор заточен под конкретные задачи (контроллеры камеры и прочее оборудование)
Низкое энергопотребление
Низкая стоимость
Не требователен к охлаждению
Имеет встроенные специализированные промышленные интерфейсы
Прост в обвязке и разработке оборудования с его применением
Имеет миниатюрные размеры

Отличие операционной системы от процессоров общего назначения

Измененное ядро с учетом аппаратного окружения
Производители процессоров вносят правки в ядра линукс
Производители не передают свои патчи в сообщество Linux
Разработчикам оборудования производители процессоров предоставляют минимальный пакет Linux для дальнейшей модернизации самим разработчиком

Проблематика разработчиков оборудования¶

Необходимость использовать в встраиваемых системах не сертифицированные версии Linux
Использование готовых переданных производителем чипов версий Linux
Для использования во встроенных системах в ядро Linux вносятся существенные изменения
Нет возможности обновления ядра Linux в том числе и по безопасности
Нет возможности сертификации таких систем и созданного оборудования
Не ведется реестр изменений производителей чипов в ядре Linux

Разработанные механизмы¶

Создан сервис для совместной разработки с учетом контроля версий и управления проектами.
- Создан набор инструментов для сборки ядра и приложений
- Перенесены исходники ядра Linux в систему с контролем изменений
- Перенесены исходники сервисов окружения Linux
- Создано программное обеспечение с необходимым функционалом
- Разрабатываются и переносятся драйверы для встраиваемых устройств
- Создан пакет поддержки аппаратных средств целевой платформы
Создана система конвеерной сборки и хранения образов.
- Сборка из исходников компилятора, под конкретную архитектуру чипа
- Сборка из исходников системного загрузчика (u-boot)
- Сборка из исходников ядра Linux
- Сборка корневой файловой системы
- Cборка из исходников окружения Linux (сервисы и библиотеки) на основе buildroot
- Сборка пользовательских приложений
Отладка ядра с окружением и драйверами на конкретной плате собственного производства
- Разработан дизайн платы с необходимыми интерфейсами
- Профилирование приложения и ядра
- Профилирование памяти
- Разрабатываются инструменты автоматического тестирования

Инициатива¶

Создать на базе КубГТУ систему контроля версий и изменений Linux для встраиваемых систем.
Создать инструменты регистрации разработчиками необходимых сервисов и патчей к Linux
Создать реестр поддерживаемых процессоров
Создать на базе некоммерческих ассоциаций в партнерстве с разработчиками оборудования сообщества заинтересованных компаний и специалистов для решения вопроса проведения сертификации ФСТЭК на соотвествие требованиям безопасности информации (Linux для встраиваемых систем).