KasperskyOS — проприетарная частично POSIX-совместимая микроядернаяоперационная система. Она предназначена для разработки ИТ-продуктов для отраслей с повышенными требованиями к кибербезопасности, надежности и предсказуемости работы.
Цель KasperskyOS — обеспечить защиту ИТ-систем от вредоносного кода и эксплуатации уязвимостей, а также снизить риски, связанные с ошибками в коде, случайными или намеренными повреждающими действиями.
Разработку KasperskyOS ведёт «Лаборатория Касперского». Операционная система не является модификацией какой-либо из существующих ОС; в её основе — микроядро собственной разработки, написанное с нуля, без использования сторонних библиотек и кода.
В основе KasperskyOS лежит комбинация различных архитектурных подходов к безопасности, включая MILS и FLASK, а также собственные технологии «Лаборатории Касперского».
В соответствии с архитектурным подходом MILS (Multiple Independent Levels of Security) безопасная ИТ-система состоит из изолированных доменов безопасности и ядра разделения, контролирующего взаимодействия доменов друг с другом.
Все межпроцессные взаимодействия происходят только через монитор безопасности (Kaspersky Security System) и через типизированные интерфейсы. Изолированные программные компоненты могут содержать уязвимости или вредоносный код, но система в любом случае остается безопасной.
В соответствии с архитектурой FLASK система безопасности KasperskyOS разделена на две части: точку применения политик (микроядро) и точку принятия решений по политикам (монитор безопасности). Отделение логики принятия решений безопасности от их применения упрощает анализ системы, и влечет за собой непротиворечивость политик безопасности.
Микроядерная архитектура
Основой KasperskyOS служит микроядро, написанное на языке C (стандарт С99). Оно содержит всего около 100 тысяч строк кода. Это принципиально снижает число потенциальных уязвимостей и упрощает формальную верификацию. Для сравнения: в открытом монолитном ядре Linux около 21 млн строк.
Микроядро отвечает за необходимый минимум низкоуровневых механизмов, которые могут выполняться только в привилегированном режиме:
взаимодействие с подсистемой безопасности (Kaspersky Security System).
Основные принципы безопасности KasperskyOS
Драйверы, файловые системы, сетевые стеки и другие модули работают в пространстве пользователя в виде отдельных процессов и взаимодействуют с ядром с помощью системных вызовов.
В микроядре KasperskyOS предусмотрено только три системных вызова, что значительно уменьшает поверхность атаки на него.
Микроядерная архитектура KasperskyOS обеспечивает изоляцию компонентов ИТ-системы. Единственный вид межпроцессных взаимодействий, предоставляемый ядром, — синхронный обмен IPC-сообщениями («запросом» и «ответом»). Каждое сообщение передается монитору безопасности Kaspersky Security System для проверки на соответствие заданной политике безопасности. Микроядро KasperskyOS доставит сообщение, только если это взаимодействие напрямую разрешено политикой.
Монитор безопасности
Подсистема Кaspersky Security System — это монитор безопасности, который контролирует все взаимодействия между компонентами, и единственная точка принятия решений безопасности. Микроядро KasperskyOS доставляет сообщение, только если Kaspersky Security System разрешает его доставку, основываясь на заданном наборе политик безопасности. В случае отрицательного вердикта передача блокируется и могут быть предприняты шаги по восстановлению штатной работы системы.
Для конструирования политик разработан специальный язык описания политик — Policy Specification Language (PSL). Синтаксис PSL позволяет комбинировать в одной политике несколько моделей безопасности, включая конечные и временные автоматы, TE (Type Enforcement), модели ролевого доступа (RBAC) и др. Также можно разрабатывать собственные классы политик. При этом язык PSL достаточно выразительный — описание строится в терминах самой задачи.
PSL избавляет разработчика от необходимости писать реализацию политики безопасности или самостоятельно конфигурировать KSS. Код монитора, оптимизированный под выбранную задачу, генерируется из PSL-описания специальным компилятором.
Аппаратная совместимость
KasperskyOS поддерживает архитектуры x86, x86_64, ARMv5, ARMv7, ARMv8 и MIPS32.
Протестированные аппаратные платформы: Intel Generic и Atom CPUs, NXP i.MX6 (Solo, Duo и Quad), NXP i.MX27, TI Sitara AM335x, TI Sitara AM43xx, HiSilicon Kirin620, MIPS24k.
Версия KasperskyOS Community Edition[1] позволяет разрабатывать учебные приложения для запуска на эмуляторе QEMU (x86_64) или на Raspberry Pi 4 Model B.
История создания
Разработка началась 11 ноября 2002 года, что отражено в рабочем названии «11.11»[2]. Впервые операционная система была анонсирована в октябре 2012 года в блоге Евгения Касперского[3]. В декабре 2013 стало известно о бета-тестировании системы компаниями-партнёрами[4].
Во-первых, наша система — узкоспециализированная, она разрабатывается для решения конкретной задачи, и не предназначена для игры в Half-Life, редактирования видео или общения в соцсетях. Во-вторых, мы работаем над методом написания ПО, которое в принципе (by design) не будет способно выполнять незаявленную в нем функциональность… это вещь доказываемая и проверяемая.Евгений Касперский 16.10.2012
В ходе работ над защищённой ОС появился модуль Kaspersky Security System, который может быть также встроен в PikeOS[англ.] или Linux. В феврале 2015 года было объявлено о партнёрстве с компанией SYSGO[англ.]), производителем PikeOS[5].
18 августа2016 года было объявлено о завершении работы над операционной системой и стало известно о первом партнёре, на чьём оборудовании будет установлена KasperskyOS — это маршрутизаторы (коммутаторы уровня L3) компании Kraftway[6].
15 февраля 2017 года система была официально выпущена[7].
В 2019 году «Лаборатория Касперского» разрабатывает защищенную мобильную ОС на базе существующей KasperskyOS.[8]
В апреле 2021 года был представлен первый коммерческий продукт на базе KasperskyOS — шлюз для промышленного интернета вещей Kaspersky IoT Secure Gateway 100[9]. Шлюз был разработан совместно с Апротех, дочерним предприятием «Лаборатории Касперского» и является первым устройством со свойством кибериммунности.
В ноябре 2021 года «Лаборатория Касперского» выпустила в открытый доступ бесплатную версию ОС, предназначенную для обучения — KasperskyOS Community Edition[10].
В июле 2022 года «Лаборатория Касперского» представила второй кибериммунный шлюз семейства Kaspersky IoT Secure Gateway — KISG 1000. Решение разработано совместно с компанией Апротех[11].
В июне 2023 года в «Лаборатории Касперского» рассказали о разработке смартфона на базе KasperskyOS. На тот момент прототип устройства уже был оснащён базовыми приложениями, такими как звонки и SMS[12]. В апреле 2024 года Евгений Касперский в рамках инновационного саммита «Systeme Electric» продемонстрировал исследовательский образец гаджета от разработчика «Аквариус»[13].
В апреле 2024 года «Лаборатория Касперского» продемонстрировала прототип магазина приложений для устройств со своей операционной системой[14]. В июле 2024 года компания запустила платформу «Kaspersky Appicenter» для корпоративных клиентов и промышленных предприятий[15].
Применение
IoT-шлюз KISG 100 на базе аппаратной платформы Siemens SIMATIC IOT2040
KasperskyOS примененяется в областях, где существуют повышенные требования к кибербезопасности, надежности и предсказуемости работы:
Интернет вещей (IoT и IIoT) и умный город
Транспорт
Инфраструктура виртуальных рабочих столов (VDI)
Корпоративные мобильные устройства
Продукты
На базе KasperskyOS существует несколько продуктов, как проходящих пилотирование, так и доступных на рынке.
В решение Kaspersky IoT Infrastructure Security[16] входят IoT-шлюзы:
IoT-шлюз KISG 1000 на базе аппаратной платформы Advantech UTX-3117Kaspersky IoT Secure Gateway (KISG) 100. Это первый вышедший на рынок «кибериммунный» шлюз, разработанный совместно с Апротех — дочерним предприятием «Лаборатории Касперского». KISG 100 не позволяет получить доступ к оборудованию извне, поскольку выступает в роли дата-диода, пропуская данные только в одном направлении. Для обработки и анализа информация передается в облачные платформы. Устройство построено на аппаратной платформе Siemens Simatic IOT2040.
KISG 1000. Шлюз агрегирует данные, собранные с различных устройств, и передает их в корпоративную сеть или облачные платформы по сотовым сетям или Ethernet. В шлюзе имеется межсетевой экран, технология предотвращения и обнаружения вторжений, функции мониторинга подключенных устройств, а также работа через централизованную систему управления.Kaspersky Thin Client на базе аппаратной платформы TONK TN-1200
В состав решения Kaspersky Secure Remote Workspace[17] входит тонкий клиент Kaspersky Thin Client, построенный на аппаратной платформе TONK TN-1200. Он предоставляет доступ к удаленным виртуальным рабочим столам на платформе виртуализации Базис. Workplace (ранее Скала-Р ВРМ) и по протоколу RDP.
Использование
В рамках пилотного проекта «Умный город» в Оренбурге[18] на базе шлюзов KISG 1000 организована облачная диспетчерская для различных жилых и административных городских объектов.
Шлюзы KISG 1000 используются для построения безопасной инфраструктуры в проекте РЖД «СМАРТ. Обогрев стрелок».[19]
Апротех совместно с Челябинским трубопрокатным заводом реализовал цифровой сервис «Мониторинг станков». В его рамках станки с ЧПУ посредством шлюзов KISG 100 подключаются к облачной платформе Siemens MindSphere и обеспечивают мониторинг и визуализацию технологических процессов.[20]
Шлюзы KISG 100 используются в цифровом сервисе по мониторингу станков, разработанном Апротех для «СтанкоМашКомплекса».[21]
Шлюз KISG 100 обеспечивает безопасную передачу данных со станков холдинга «Ленполиграфмаш». С помощью интеграционных адаптеров от компании «Синимекс» данные преобразовываются в события для ERP- и MES-систем на платформе «1С: Предприятие». Решения «1С: Предприятия» в реальном времени предоставляют пользователям визуализированные данные — оценку стоимости работ и простоя оборудования, временные и количественные параметры производства.
Безопасная автомобильная платформа на базе операционной системы KasperskyOS[200], встроена в высокопроизводительный блок управления Ajunic (немецкая компания AVL Software and Functions GmbH). Он может применяться, например, в системах содействия водителю (ADAS).[22]
Министерство цифрового развития и связи Оренбургской области включило решение Kaspesky Secure Remote Workspace в перечень типовых автоматизированных рабочих мест, которые органы исполнительной власти могут использовать при построении своей инфраструктуры в рамках исполнения Постановления Правительства от 16 ноября 2015 г № 1236 «Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд».
«Лаборатория Касперского» совместно с российским производителем электроники «Систэм Электрик» объявила о планах выпуска мини-компьютеров на базе KasperskyOS для обеспечения безопасности энергосетей в промышленном производстве и на энергетических объектах[23].
См. также
QNX — POSIX-совместимая микроядерная ОС реального времени
macOS — проприетарная операционная система компании Apple. Является преемницей Mac OS 9.
Ядро́ — центральная часть операционной системы (ОС), обеспечивающая приложениям координированный доступ к ресурсам компьютера, таким как процессорное время, память, внешнее аппаратное обеспечение, внешнее устройство ввода и вывода информации. Также обычно ядро предоставляет сервисы файловой системы и сетевых протоколов.
АО «Лаборато́рия Каспе́рского» — международная компания, специализирующаяся на разработке систем защиты от компьютерных вирусов, спама, хакерских атак и прочих киберугроз. Компания ведёт свою деятельность более чем в 200 странах и территориях мира. Центральный офис «Лаборатории Касперского» находится в Москве.
Микроядро или μ-ядро — ядро операционной системы, реализующее минимальный набор функций.
Экзоядро — ядро операционной системы, предоставляющее лишь функции для взаимодействия между процессами и безопасного выделения и освобождения ресурсов.
Гибридное ядро — модифицированные микроядра, позволяющие для ускорения работы запускать модули ОС в пространстве ядра.
L4 — микроядро второго поколения, разработанное Йохеном Лидтке в 1993 году.
Kaspersky Internet Security (KIS) — линейка программных продуктов, разработанная компанией «Лаборатория Касперского» на базе «Антивируса Касперского» для комплексной защиты домашних персональных компьютеров и мобильных устройств в реальном времени от известных и новых угроз.
Антиви́рус Каспе́рского — антивирусное программное обеспечение, разрабатываемое Лабораторией Касперского. Предоставляет пользователю защиту от вирусов, троянских программ, шпионских программ, руткитов, adware, а также от неизвестных компоненту "файловый антивирус" угроз с помощью проактивной защиты, включающей компонент HIPS. Первоначально, в начале 1990-х, именовался -V, затем — AntiViral Toolkit Pro.
Windows IoT, ранее — Windows Embedded — семейство встраиваемых операционных систем Microsoft Windows для применения в специализированных устройствах. Существует несколько категорий продуктов для создания широкого спектра устройств, начиная от простых контроллеров реального времени и заканчивая POS-системами, такими как киоск самообслуживания или кассовый аппарат и промышленными системами. Windows Embedded доступна через специализированных дистрибьюторов Microsoft и должна поставляться конечному потребителю только вместе с устройством. Отличается более выгодной ценой по сравнению с настольными версиями, возможностями блокировки образа (Lockdown), продленным сроком доступности и продажи.
Flux Advanced Security Kernel (FLASK) — архитектура безопасности операционной системы, которая обеспечивает гибкую поддержку политик безопасности. Прототип архитектуры FLASK был реализован в исследовательской операционной системе Fluke. Некоторые компоненты и интерфейсы Flask были позже портированы из прототипа Fluke в OSKit. Архитектура Flask была реализована для операционной системы Linux для того, чтобы передать технологию многочисленным сообществам пользователей и разработчиков.
Kaspersky Crystal — программа для комплексной защиты персонального компьютера от вирусов и других типов вредоносных программ, включающая в себя также средства родительского контроля, резервного копирования, шифрования данных, менеджер паролей.
Kaspersky Password Manager — инструмент управления учётными записями в интернете и приложениях от Лаборатории Касперского. Программа автоматизирует ввод паролей и других данных на веб-страницах, избавляя пользователя от необходимости создавать и запоминать пароли. Вся информация хранится в специальной базе данных на компьютере в зашифрованном виде. Используются следующие симметричные алгоритмы шифрования: DES, 3DES, 3DES TWO KEY, RC2, RC4, AES. Программа встраивается модулем во многие браузеры.
XNU — ядро компьютерных операционных систем, разрабатываемое компанией Apple и используемое в ОС семейства macOS. Исходные коды ядра были опубликованы под открытой лицензией как часть ОС Darwin.
Flame — компьютерный червь, поражающий компьютеры под управлением операционной системы Microsoft Windows версий XP, 7, Vista.
Genode OS Framework — открытая микроядерная операционная система, которая предоставляет унифицированное окружение для создания приложений, работающих как поверх ядра Linux, так и поверх микроядер Fiasco.OC, OKL4, L4ka::Pistachio и некоторых других. Паравиртуализованное ядро L4Linux, работающее поверх ядра Fiasco.OC, позволяет запускать в Genode прикладные программы для Linux. При этом ядро L4Linux не имеет непосредственного доступа к аппаратному обеспечению, а использует сервисы Genode через набор драйверов. В настоящее время Genode поддерживает Qt5, WebKit, а также различные компоненты Linux и BSD.
Azure Sphere — операционная система на базе ядра Linux, созданная Microsoft для IoT-приложений. Microsoft впервые выпустила операционную систему, которая основывалась на ядре Linux, и вторую операционную систему, которая основывалась на Unix-подобной операционной системе, разработанной компанией Xenix. Однако компания имеет невыпущенные дистрибутивы Linux.
Атом — проект российского электромобиля, разрабатываемый компанией АО «Кама» при участии ПАО «КАМАЗ».
Android Things — устаревшая платформа встраиваемой операционной системы на базе Android от Google, запущенная в 2018 году и полностью отключённая 5 января 2022 года.
Апроте́х — научно-производственное объединение, дочернее предприятие компании «Лаборатория Касперского». Развивает кибериммунные продукты на базе KasperskyOS и услуги для промышленного интернета вещей и цифровой трансформации 4.0.
Эта страница основана на статье Википедии. Текст доступен на условиях лицензии CC BY-SA 4.0; могут применяться дополнительные условия. Изображения, видео и звуки доступны по их собственным лицензиям.
