Добрица И. В., ФСБ России
1. Распоряжение Правительства Российской Федерации от 20 октября 2010 г р «О государственной программе Российской Федерации «Информационное сообщество (2011 – 2020 годы)»». 2. Распоряжение Правительства Российской Федерации от 2 декабря 2011 года 2161-р «О внесении изменений в государственную программу Российской Федерации «Информационное сообщество (2011 – 2020 годы)»». 2
1. Отечественной среды сборки операционной системы и приложений на свободном ПО. 2. Отечественной системы управления базами данных на основе открытых разработок. 3. Российской среды разработки ПО. 4. Набора архитектурных стандартов и типовых компонентов для совместимости программ между собой. 5. Базового пакета прикладного ПО, включая драйверы и средства обеспечения информационной безопасности. 6. Национального фонда алгоритмов и программ (НФАП) (госприклад.рф). 7. Пакета типовых решений и размещение его в НФАП. 8. Территориальной распределенной инфраструктуры технической и методической поддержки свободного ПО. 3
взаимодействие ГОиО с НФАП с целью получения различных пакетов свободного ПО; использование ГОиО свободного ПО, полученного в НФАП, в качестве общесистемного и специального ПО; техническая и методическая поддержка свободного ПО, используемого в ГОиО. 4
5 I. Анализ безопасности ПО, разрабатываемого в НПП II. Безопасность взаимодействия ГОиО с НФАП
Безопасность ПО Безопасность ПО – отсутствие в его составе проблемных участков кода. Проблемные участки кода при определенных условиях могут привести к некорректному функционированию ПО, вызвать нарушение целостности, доступности и безопасности обрабатываемой информации, а также быть причиной уязвимостей или серьёзных сбоев в работе системы. Анализ безопасности ПО Анализ безопасности ПО – исследования, направленные на выявление проблемных участков кода ПО и оценку степени их опасности. 6
Для ПО, которое будет разрабатываться в НПП, выявление проблемных участков кода – актуальная задача, поскольку большая часть кода базового пакета прикладного ПО, драйверов, СУБД (особенно на начальных этапах разработки) будет фактически полностью заимствована из различных Open Source-проектов, а также репозиториев свободного ПО. 7
Проводился анализ более 61 миллиона строк кода в 291 OpenSource-проекте, среди которых ядро Linux, ядро Linux в Android, Samba, Apache и PHP. Среди наиболее интересных результатов отмечены следующие: в Linux-ядре, используемом в Android, обнаружено 359 дефектов; около 50% из всех дефектов, обнаруженных в коде проанализированных Open Source-проектов, были отнесены к категории повышенного риска, т.е. они могли вызывать проблемы в безопасности и привести к падению системы (у Android этот процент был ниже и составил 25%) наиболее распространенные ошибки в коде – это проблемы, приводящие к повреждению данных в памяти, разыменование NULL- указателя, утечка ресурсов. 8
Практика показала, что ошибки и дефекты кода, выявленные в каком- либо Open Source-проекте, иногда долгое время не устраняются и даже тиражируются в другие программы 9
Возможность в автоматизированном режиме за приемлемые временные интервалы проводить исследования больших объёмов исходного кода, представленного различных языках программирования высокого уровня. 10
1. В информационных системах ГОиО должно использоваться проверенное безопасное ПО. 2. Реализацию сервиса анализа безопасности ПО необходимо предусмотреть в составе НПП на самом начальном этапе её создания. 3. Для реализации сервиса анализа ПО необходимо использовать отечественные разработки. 11
В НФАП для дальнейшего распространения в ГОиО должно передаваться уже проверенное безопасное ПО. 12
1. Портал «госприклад.рф» станет мишенью для сетевых атак хакеров. Цели атак - целостности и доступности портала, а также несанкционированные доступ к контенту НФАП. 2. В результате несанкционированного доступа к контенту НФАП на нем может быть размещено ПО со встроенными уязвимостями, или заведомо вредоносное ПО. Последствия распространения такого ПО в ГОиО очевидны. 13
1. Особое внимание необходимо уделить вопросам сетевой безопасности, проблемам контроля доступа к порталу, а также контроля целостности и достоверности контента НФАП. 2. Ограничить количество пользователей портала по принципу ведомственной принадлежности ГОиО, разрешив взаимодействие с порталом ограниченному кругу лиц ГОиО. 3. В рамках создания НПП предусмотреть разработку типового защищённого ведомственного фонда алгоритмов и программ (ФАП). 14
1. Обеспечение информационной безопасности при использовании НПП в ГОиО сложная научно-техническая проблема. Решать эту проблему необходимо на начальной стадии создания НПП. 2. Анализ безопасности ПО один из актуальных вопросов обеспечения информационной безопасности при использовании НПП в ГОиО. В НПП необходимо реализовать отдельный независимый сервис по анализу безопасности всего разрабатываемого ПО. 3. При разработке портала «госприклад.рф» особое внимание необходимо уделить вопросам сетевой безопасности, проблемам контроля доступа к порталу, а также контроля целостности и достоверности контента НФАП. Для дальнейшего распространения пакетов программ внутри ГОиО, в рамках создания НПП целесообразно предусмотреть разработку типового защищённого ведомственного ФАП. 15
1. Распоряжение Правительства Российской Федерации от 20 октября 2010 г р «О государственной программе Российской Федерации «Информационное сообщество (2011 – 2020 годы)»». 2. Распоряжение Правительства Российской Федерации от 2 декабря 2011 года 2161-р «О внесении изменений в государственную программу Российской Федерации «Информационное сообщество (2011 – 2020 годы)»». 3. Шурупов Д. Coverity осуществила очередную проверку кода Open Source-проектов Карпов А. 90 ошибок в open-source проектах. open-source-projects-ru/. 16