KasperskyOS

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску
KasperskyOS
Изображение логотипа
Процесс загрузки KasperskyOS в эмуляторе QEMU
Процесс загрузки KasperskyOS в эмуляторе QEMU
Разработчик Лаборатория Касперского
Семейство ОС частично POSIX-совместимая
Исходный код Закрытый
Первый выпуск февраль 2015
Тип ядра микроядро
Лицензия проприетарная
Состояние эксплуатация
Веб-сайт os.kaspersky.ru

KasperskyOS — проприетарная частично POSIX-совместимая микроядерная операционная система. Она предназначена для разработки ИТ-продуктов для отраслей с повышенными требованиями к кибербезопасности, надежности и предсказуемости работы.

Цель KasperskyOS — обеспечить защиту ИТ-систем от вредоносного кода и эксплуатации уязвимостей, а также снизить риски, связанные с ошибками в коде, случайными или намеренными повреждающими действиями.

Разработку KasperskyOS ведёт «Лаборатория Касперского». Операционная система не является модификацией какой-либо из существующих ОС; в её основе — микроядро собственной разработки, написанное с нуля, без использования сторонних библиотек и кода.

Особенности

[править | править код]

Безопасность

[править | править код]

В основе KasperskyOS лежит комбинация различных архитектурных подходов к безопасности, включая MILS и FLASK, а также собственные технологии «Лаборатории Касперского».

В соответствии с архитектурным подходом MILS (Multiple Independent Levels of Security) безопасная ИТ-система состоит из изолированных доменов безопасности и ядра разделения, контролирующего взаимодействия доменов друг с другом.

Все межпроцессные взаимодействия происходят только через монитор безопасности (Kaspersky Security System) и через типизированные интерфейсы. Изолированные программные компоненты могут содержать уязвимости или вредоносный код, но система в любом случае остается безопасной.

В соответствии с архитектурой FLASK система безопасности KasperskyOS разделена на две части: точку применения политик (микроядро) и точку принятия решений по политикам (монитор безопасности). Отделение логики принятия решений безопасности от их применения упрощает анализ системы, и влечет за собой непротиворечивость политик безопасности.

Микроядерная архитектура

[править | править код]

Основой KasperskyOS служит микроядро, написанное на языке C (стандарт С99). Оно содержит всего около 100 тысяч строк кода. Это принципиально снижает число потенциальных уязвимостей и упрощает формальную верификацию. Для сравнения: в открытом монолитном ядре Linux около 21 млн строк.

Микроядро отвечает за необходимый минимум низкоуровневых механизмов, которые могут выполняться только в привилегированном режиме:

Основные принципы безопасности KasperskyOS

Драйверы, файловые системы, сетевые стеки и другие модули работают в пространстве пользователя в виде отдельных процессов и взаимодействуют с ядром с помощью системных вызовов.

В микроядре KasperskyOS предусмотрено только три системных вызова, что значительно уменьшает поверхность атаки на него.

Микроядерная архитектура KasperskyOS обеспечивает изоляцию компонентов ИТ-системы. Единственный вид межпроцессных взаимодействий, предоставляемый ядром, — синхронный обмен IPC-сообщениями («запросом» и «ответом»). Каждое сообщение передается монитору безопасности Kaspersky Security System для проверки на соответствие заданной политике безопасности. Микроядро KasperskyOS доставит сообщение, только если это взаимодействие напрямую разрешено политикой.

Монитор безопасности

[править | править код]

Подсистема Кaspersky Security System — это монитор безопасности, который контролирует все взаимодействия между компонентами, и единственная точка принятия решений безопасности. Микроядро KasperskyOS доставляет сообщение, только если Kaspersky Security System разрешает его доставку, основываясь на заданном наборе политик безопасности. В случае отрицательного вердикта передача блокируется и могут быть предприняты шаги по восстановлению штатной работы системы.

Для конструирования политик разработан специальный язык описания политик — Policy Specification Language (PSL). Синтаксис PSL позволяет комбинировать в одной политике несколько моделей безопасности, включая конечные и временные автоматы, TE (Type Enforcement), модели ролевого доступа (RBAC) и др. Также можно разрабатывать собственные классы политик. При этом язык PSL достаточно выразительный — описание строится в терминах самой задачи.

PSL избавляет разработчика от необходимости писать реализацию политики безопасности или самостоятельно конфигурировать KSS. Код монитора, оптимизированный под выбранную задачу, генерируется из PSL-описания специальным компилятором.

Аппаратная совместимость

[править | править код]

KasperskyOS поддерживает архитектуры x86, x86_64, ARMv5, ARMv7, ARMv8 и MIPS32.

Протестированные аппаратные платформы: Intel Generic и Atom CPUs, NXP i.MX6 (Solo, Duo и Quad), NXP i.MX27, TI Sitara AM335x, TI Sitara AM43xx, HiSilicon Kirin620, MIPS24k.

Версия KasperskyOS Community Edition[1] позволяет разрабатывать учебные приложения для запуска на эмуляторе QEMU (x86_64) или на Raspberry Pi 4 Model B.

История создания

[править | править код]

Разработка началась 11 ноября 2002 года, что отражено в рабочем названии «11.11»[2]. Впервые операционная система была анонсирована в октябре 2012 года в блоге Евгения Касперского[3]. В декабре 2013 стало известно о бета-тестировании системы компаниями-партнёрами[4].

Во-первых, наша система — узкоспециализированная, она разрабатывается для решения конкретной задачи, и не предназначена для игры в Half-Life, редактирования видео или общения в соцсетях. Во-вторых, мы работаем над методом написания ПО, которое в принципе (by design) не будет способно выполнять незаявленную в нем функциональность… это вещь доказываемая и проверяемая.Евгений Касперский 16.10.2012

В ходе работ над защищённой ОС появился модуль Kaspersky Security System, который может быть также встроен в PikeOS[англ.] или Linux. В феврале 2015 года было объявлено о партнёрстве с компанией SYSGO[англ.]), производителем PikeOS[5].

18 августа 2016 года было объявлено о завершении работы над операционной системой и стало известно о первом партнёре, на чьём оборудовании будет установлена KasperskyOS — это маршрутизаторы (коммутаторы уровня L3) компании Kraftway[6].

15 февраля 2017 года система была официально выпущена[7].

В 2019 году «Лаборатория Касперского» разрабатывает защищенную мобильную ОС на базе существующей KasperskyOS.[8]

В апреле 2021 года был представлен первый коммерческий продукт на базе KasperskyOS — шлюз для промышленного интернета вещей Kaspersky IoT Secure Gateway 100[9]. Шлюз был разработан совместно с Апротех, дочерним предприятием «Лаборатории Касперского» и является первым устройством со свойством кибериммунности.

В ноябре 2021 года «Лаборатория Касперского» выпустила в открытый доступ бесплатную версию ОС, предназначенную для обучения — KasperskyOS Community Edition[10].

В июле 2022 года «Лаборатория Касперского» представила второй кибериммунный шлюз семейства Kaspersky IoT Secure Gateway — KISG 1000. Решение разработано совместно с компанией Апротех[11].

В июне 2023 года в «Лаборатории Касперского» рассказали о разработке смартфона на базе KasperskyOS. На тот момент прототип устройства уже был оснащён базовыми приложениями, такими как звонки и SMS[12]. В апреле 2024 года Евгений Касперский в рамках инновационного саммита «Systeme Electric» продемонстрировал исследовательский образец гаджета от разработчика «Аквариус»[13].

В апреле 2024 года «Лаборатория Касперского» продемонстрировала прототип магазина приложений для устройств со своей операционной системой[14].

Применение

[править | править код]
IoT-шлюз KISG 100 на базе аппаратной платформы Siemens SIMATIC IOT2040

KasperskyOS примененяется в областях, где существуют повышенные требования к кибербезопасности, надежности и предсказуемости работы:

  • Интернет вещей (IoT и IIoT) и умный город
  • Транспорт
  • Инфраструктура виртуальных рабочих столов (VDI)
  • Корпоративные мобильные устройства

На базе KasperskyOS существует несколько продуктов, как проходящих пилотирование, так и доступных на рынке.

В решение Kaspersky IoT Infrastructure Security[15] входят IoT-шлюзы:

  • IoT-шлюз KISG 1000 на базе аппаратной платформы Advantech UTX-3117
    Kaspersky IoT Secure Gateway (KISG) 100. Это первый вышедший на рынок «кибериммунный» шлюз, разработанный совместно с Апротех — дочерним предприятием «Лаборатории Касперского». KISG 100 не позволяет получить доступ к оборудованию извне, поскольку выступает в роли дата-диода, пропуская данные только в одном направлении. Для обработки и анализа информация передается в облачные платформы. Устройство построено на аппаратной платформе Siemens Simatic IOT2040.
  • KISG 1000. Шлюз агрегирует данные, собранные с различных устройств, и передает их в корпоративную сеть или облачные платформы по сотовым сетям или Ethernet. В шлюзе имеется межсетевой экран, технология предотвращения и обнаружения вторжений, функции мониторинга подключенных устройств, а также работа через централизованную систему управления.
    Kaspersky Thin Client на базе аппаратной платформы TONK TN-1200

В состав решения Kaspersky Secure Remote Workspace[16] входит тонкий клиент Kaspersky Thin Client, построенный на аппаратной платформе TONK TN-1200. Он предоставляет доступ к удаленным виртуальным рабочим столам на платформе виртуализации Базис. Workplace (ранее Скала-Р ВРМ) и по протоколу RDP.

Использование

[править | править код]

В рамках пилотного проекта «Умный город» в Оренбурге[17] на базе шлюзов KISG 1000 организована облачная диспетчерская для различных жилых и административных городских объектов.

Шлюзы KISG 1000 используются для построения безопасной инфраструктуры в проекте РЖД «СМАРТ. Обогрев стрелок».[18]

Апротех совместно с Челябинским трубопрокатным заводом реализовал цифровой сервис «Мониторинг станков». В его рамках станки с ЧПУ посредством шлюзов KISG 100 подключаются к облачной платформе Siemens MindSphere и обеспечивают мониторинг и визуализацию технологических процессов.[19]

Шлюзы KISG 100 используются в цифровом сервисе по мониторингу станков, разработанном Апротех для «СтанкоМашКомплекса».[20]

Шлюз KISG 100 обеспечивает безопасную передачу данных со станков холдинга «Ленполиграфмаш». С помощью интеграционных адаптеров от компании «Синимекс» данные преобразовываются в события для ERP- и MES-систем на платформе «1С: Предприятие». Решения «1С: Предприятия» в реальном времени предоставляют пользователям визуализированные данные — оценку стоимости работ и простоя оборудования, временные и количественные параметры производства.

Безопасная автомобильная платформа на базе операционной системы KasperskyOS[200], встроена в высокопроизводительный блок управления Ajunic (немецкая компания AVL Software and Functions GmbH). Он может применяться, например, в системах содействия водителю (ADAS).[21]

Министерство цифрового развития и связи Оренбургской области включило решение Kaspesky Secure Remote Workspace в перечень типовых автоматизированных рабочих мест, которые органы исполнительной власти могут использовать при построении своей инфраструктуры в рамках исполнения Постановления Правительства от 16 ноября 2015 г № 1236 «Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд».

«Лаборатория Касперского» совместно с российским производителем электроники «Систэм Электрик» объявила о планах выпуска мини-компьютеров на базе KasperskyOS для обеспечения безопасности энергосетей в промышленном производстве и на энергетических объектах[22].

  • QNX — POSIX-совместимая микроядерная ОС реального времени

Примечания

[править | править код]
  1. KasperskyOS Community Edition. Дата обращения: 5 марта 2022. Архивировано 5 марта 2022 года.
  2. Российские специалисты создали уникальную ОС. Российская газета. Дата обращения: 29 мая 2017. Архивировано 19 апреля 2019 года.
  3. ЛК пишет свою операционную систему? Подтверждаем слухи и опровергаем домыслы! Архивная копия от 22 октября 2020 на Wayback Machine // eugene.kaspersky.ru
  4. «Лаборатория Касперского» приступила к тестированию собственной ОС. Подробности Архивировано 30 июня 2015 года. // CNews, 4.12.2013
  5. Kaspersky Security System — новая эра в защите критически важных информационных систем. Дата обращения: 6 марта 2015. Архивировано 6 апреля 2017 года.
  6. Первым пользователем операционной системы «Лаборатории Касперского» станет Kraftway. vedomosti.ru. Дата обращения: 18 августа 2016. Архивировано 29 ноября 2020 года.
  7. 7 ответов на 7 вопросов про 11-11. — Nota Bene. Дата обращения: 15 февраля 2017. Архивировано 29 сентября 2020 года.
  8. «Лаборатория Касперского» тестирует свою ОС для смартфонов. Дата обращения: 5 марта 2019. Архивировано 16 марта 2019 года.
  9. Hannover Messe. Kaspersky IoT Secure Gateway 100. Дата обращения: 5 марта 2022. Архивировано 5 марта 2022 года.
  10. «Лаборатория Касперского» представила KasperskyOS Community Edition — бесплатную и открытую защищённую операционную систему. ixbt.com (19 ноября 2021). Дата обращения: 19 ноября 2021. Архивировано 19 ноября 2021 года.
  11. «Лаборатория Касперского» представляет новое поколение шлюзов для защиты индустриального интернета вещей. kaspersky.ru (4 июля 2022). Дата обращения: 1 августа 2022. Архивировано 1 августа 2022 года.
  12. В "Лаборатории Касперского" рассказали о работе над прототипом смартфона. РИА Новости (22 июня 2023). Дата обращения: 28 июня 2023. Архивировано 28 июня 2023 года.
  13. В России представили первый отечественный смартфон на KasperskyOS. Hi-tech Mail.ru (15 апреля 2024). Дата обращения: 16 апреля 2024.
  14. «Лаборатория Касперского» показала прототип магазина приложений для KasperskyOS. 3dnews.ru (19 апреля 2024). Дата обращения: 22 апреля 2024.
  15. Kaspersky IoT Infrastructure Security. os.kaspersky.ru. Дата обращения: 5 марта 2022. Архивировано 5 марта 2022 года.
  16. Kaspersky Secure Remote Workspace. os.kaspersky.ru. Дата обращения: 5 марта 2022. Архивировано 5 марта 2022 года.
  17. Обзор Kaspersky IoT Secure Gateway, шлюза для построения безопасных систем интернета вещей. Anti-Malware. Дата обращения: 5 марта 2022. Архивировано 5 марта 2022 года.
  18. АО "НИИАС" "РЖД". Умный обогрев стрелок. Дата обращения: 5 марта 2022. Архивировано 5 марта 2022 года.
  19. «Апротех» представила решение для обработки промышленных данных на базе KasperskyOS. cnews.ru. Дата обращения: 5 марта 2022. Архивировано 5 марта 2022 года.
  20. Cоглашение о расширении сотрудничества по оснащению станков кибериммунными шлюзами. СтанкоМашКомплекс. Дата обращения: 5 марта 2022. Архивировано 5 марта 2022 года.
  21. Kaspersky and AVL Software and Functions develop secure autonomous driving controller (англ.). ITP.net. Дата обращения: 5 марта 2022. Архивировано 5 марта 2022 года.
  22. Как у Google и Huawei. В России создадут устройства для защиты от хакеров на KasperskyOS. Газета.ru (20 июня 2023). Дата обращения: 20 июня 2023. Архивировано 20 июня 2023 года.