CC BY
73ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
А. Ф. Беззубое, И. В. Синицын
ПРИМЕНЕНИЕ ВЫЧИСЛИТЕЛЬНЫХ СИСТЕМ ОТЕЧЕСТВЕННОГО ПРОИЗВОДСТВА КАК СРЕДСТВО ПОВЫШЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ВУЗА
Статья посвящена анализу влияния технического обеспечения вычислительных систем, используемых в Российской таможенной академии, на ее информационную безопасность. Приведены рекомендации по использованию технического обеспечения вычислительных систем для решения проблем информационной безопасности ведомственного вуза.
Ключевые слова: информационная безопасность; техническое обеспечение; вычислительные системы; импортозамещение; ведомственный вуз.
В последнее время в России все большее внимание уделяется проблеме импор-тозамещения в сфере информационных технологий. В условиях перехода государственных предприятий и организаций на отечественные информационно-вычислительные системы необходимо учитывать тот факт, что вычислительная техника является одной из самых импортозависимых отраслей. Использование вычислительной техники, функционирующей на импортных комплектующих и программном обеспечении, в значительной мере ослабляет информационную безопасность государственных учреждений и организаций.
В Российской таможенной академии в настоящее время находят применение различные по составу и назначению вычислительные системы, что во многом определяет политику деятельности вуза в области импортозамещения при переходе на отечественную элементную базу [1]. Наличие импортных электронных компонентов в вычислительной технике представляет определенные угрозы информационной безопасности. Угрозы можно рассматривать в двух аспектах.
Так, одни угрозы обусловлены непосредственной зависимостью оснащения Российской таможенной академии средствами электронно-вычислительной техники (ЭВТ) иностранного производства. К таким средствам ЭВТ можно отнести системные блоки автоматизированных рабочих станций и серверов, а также марш-
1 2 3
рутизаторы , коммутаторы и концентраторы .
1 Маршрутизатор - сетевой компьютер, который предназначен для связи различных сетей различных архитектур.
2 Коммутатор - устройство, предназначенное для соединения компьютеров в сети, в пределах одного или нескольких сегментов.
3 Концентратор - устройство, которое предназначено для построения компьютерной сети.
106 -
ВЕСТНИК российской ТАМОЖЕННОЙ АКАДЕМИИ • № 2 • 2017
А. Ф. Беззубов, И. В. Синицын
Другие угрозы сводятся к утечке информации из-за использования всевозможных «закладок», внедренных в элементы импортной ЭВТ на этапе ее производства.
Проведем анализ современных технических средств, используемых в образовательном процессе Российской таможенной академии, с позиции уязвимости информации.
Под техническим обеспечением вычислительных сетей [2; 3] понимается совокупность аппаратных средств, необходимых для реализации программного и информационного обеспечения. Рассмотрим некоторые составляющие технического обеспечения - базовую систему ввода-вывода (BIOS) и объединенный расширяемый микропрограммный интерфейс (англ. Unified Extensible Firmware Interface - UEFI). Эти составляющие являются наиболее уязвимыми с точки зрения безопасности современных вычислительных систем и в некотором смысле способом деструктивного воздействия программных комплексов на техническое обеспечение.
BIOS состоит из четырех основных частей:
- дополнительного микрокода;
- программы самотестирования после включения (англ. Power-On Self-Test -POST);
- микропрограмм взаимодействия CPU1 с устройствами и контроллерами;
- памяти CMOS и утилиты управления ею.
BIOS практически не защищена от внешних программных деструктивных воздействий. Исключением является аппаратный запрет на запись в виде установки специальной перемычки. Кроме этого имеется опасная возможность нарушения безопасности схемы BIOS, которая позволяет любому программному загрузчику, в том числе содержащему руткит, загружаться раньше операционной системы [4]. Под термином «руткит» (англ. Rootkit) понимается набор утилит или специальный модуль ядра операционной системы, которые злоумышленник устанавливает на взломанной им компьютерной системе сразу после получения прав суперпользователя. Руткит позволяет взломщику закрепиться во взломанной системе и скрыть следы своей деятельности путем скрытия файлов, процессов, а также самого присутствия руткита в системе. Поэтому в вычислительных системах не следует применять средства технического обеспечения, использующие BIOS.
С точки зрения обеспечения защищенности главной особенностью UEFI является безопасный протокол загрузки. Он позволяет установить один или несколько ключей в прошивку2 системы. После включения режима «безопасная загрузка» UEFI предотвращает загрузку исполняемых файлов или драйверов, если они не подписаны одним из заранее установленных ключей. Набор специальных ключей дает возможность поддерживать связь между операционной системой и прошивкой. Интерфейс может добавлять дополнительные ключи в так называемые «белый список» или «черный список» в прошивке. Зарегистрированные в списке исключения (в «черном списке») ключи не будут срабатывать при загрузке [4]. Тем самым в UEFI закрывается очень опасный пробел в безопасности схемы
1 CPU (central processing unit) - центральный процессор.
2 Прошивка - содержимое энергонезависимой памяти компьютера или любого цифрового вычислительного устройства, в котором содержится его микропрограмма.
BIOS, позволяющий любому загрузчику, в том числе содержащему руткит, загружаться раньше операционной системы. В отличие от BIOS UEFI загружает только подтвержденные загрузчики операционной системы в случае, если разрешена безопасная загрузка, что исключает возможность нахождения вредоносного программного обеспечения в загрузчиках. Следовательно, в вычислительных системах целесообразно применять средства технического обеспечения, использующие UEFI.
В вычислительных системах важное значение имеет применение отечественных электронных элементов. В настоящее время в России изготавливается универсальный CPU, с помощью которого решаются задачи, удовлетворяющие требованиям, предъявляемым к современным вычислительным системам. Микропроцессор «Эльбрус-4С» (1891ВМ8Я) - многоядерный универсальный высокопроизводительный микропроцессор, построенный в соответствии с улучшенной архитектурой «эльбрус».
«эльбрус-4С» представляет собой систему на кристалле, содержащую четыре вычислительных ядра, кэш-память 2-го уровня общим объемом 8 Мегабайт, три контроллера памяти, три канала межпроцессорного обмена и канал ввода-вывода. Каждое ядро процессора декодирует и отправляет на исполнение до 23 операций за такт [5].
Рабочая тактовая частота микросхемы составляет 800 МГц. Кристалл выполнен по технологической норме 65 нм, средняя рассеиваемая мощность составляет 45 Вт. Имеются возможности для значительного снижения рассеиваемой мощности.
Основная сфера применения микропроцессоров «Эльбрус-4С» - серверы, настольные и мобильные компьютеры, мощные встраиваемые вычислители, предназначенные для работы в сферах с повышенными требованиями к информационной безопасности, рабочему диапазону температур, длительности жизненного цикла продукции.
Особенности данной архитектуры позволяют эффективно использовать процессор «эльбрус-4С» в системах цифровой интеллектуальной обработки сигналов, в математическом моделировании, научных расчетах и других сферах с повышенными требованиями к вычислительной мощности [6].
Отметим, что в традиционных компьютерных архитектурах типа RISC или CISC (х86, PowerPC, SPARC, MIPS, ARM) на вход процессора поступает поток инструкций, которые рассчитаны на последовательное исполнение. Процессор может детектировать независимые операции, запускать их параллельно (супер-скалярность) и даже менять их порядок (внеочередное исполнение) [2]. Однако динамический анализ зависимостей и поддержка внеочередного исполнения имеют свои ограничения: лучшие современные процессоры способны анализировать и запускать до четырех команд за такт. Кроме того, соответствующие блоки внутри процессора потребляют заметное количество энергии.
В архитектуре «Эльбрус» основную работу по анализу зависимостей и оптимизации порядка операций берет на себя компилятор. На вход процессора поступают так называемые «широкие команды», в каждой из которых закодированы инструкции для всех исполнительных устройств процессора, которые должны быть запущены в данном такте. От процессора не требуется анализировать зависимости между операндами или переставлять операции между широкими командами - все это выполняет компилятор на основе анализа исходного
А. Ф. Беззубов, и. В. синицын
кода и планирования ресурсов процессора. В результате аппаратная часть процессора может быть проще и экономичнее.
Компилятор «Эльбруса» способен анализировать исходный код гораздо тщательнее, чем аппаратная часть RISC/CISC процессора, и находить большее количество независимых операций. Поэтому в архитектуре «Эльбрус» выше число параллельно работающих исполнительных устройств, чем в традиционных архитектурах, и на многих алгоритмах она демонстрирует непревзойденную архитектурную скорость.
Ниже представлены характерные особенности архитектуры «Эльбрус».
Возможности архитектуры «Эльбрус»:
- шесть каналов арифметико-логических устройств (АЛУ), работающих параллельно;
- регистровый файл из 256 84-разрядных регистров;
- аппаратная поддержка циклов, в том числе с возможностью конвейеризации, что существенно повышает эффективность использования ресурсов процессора;
- программируемое асинхронное устройство предварительной подкачки данных с отдельными каналами считывания (позволяет сократить время доступа к памяти и полнее использовать АЛУ);
- поддержка спекулятивных вычислений и однобитовых предикатов (позволяет уменьшить число переходов и параллельно исполнять несколько ветвей программы);
- использование «широкой команды», способной при максимальном заполнении задать в одном такте до 23 операций.
Эмуляция архитектуры у. 86
Еще на этапе проектирования процессора «Эльбрус» у разработчиков было понимание важности поддержки программного обеспечения, написанного для архитектуры Intel х86. Для этого была реализована система динамической (т. е. в процессе исполнения программы) трансляции двоичных кодов х86 в коды процессора «Эльбрус». Фактически система двоичной трансляции создает виртуальную машину, в которой работает гостевая операционная система для архитектуры х86. Благодаря нескольким уровням оптимизации удается достичь высокой скорости работы оттранслированного кода. Качество эмуляции архитектуры х86 подтверждается успешным запуском на платформе «Эльбрус» более 20 операционных систем (в том числе несколько версий Windows) и сотен приложений.
Защищенный режим исполнения программ
Суть данного режима заключается в том, чтобы гарантировать работу программы только с инициализированными данными, проверять все обращения к памяти на принадлежность к допустимому диапазону адресов и обеспечивать межмодульную защиту (например, защищать вызывающую программу от ошибки в библиотеке). Все эти проверки осуществляются аппаратно. Для защищенного режима имеются полноценный компилятор С/С++ и библиотека run-time поддержки.
Даже в обычном, «незащищенном», режиме работы микропроцессора «Эльбрус» имеются особенности, повышающие надежность системы. Так, стек связующей
информации (цепочка адресов возврата при процедурных вызовах) отделен от стека пользовательских данных и недоступен для таких вирусных атак, как подмена адреса возврата. Следует отдельно отметить, что в настоящее время вирусов для платформы «Эльбрус» просто не существует.
Отечественная компания АО «МЦСТ»1 запустила в производство опытную партию универсальных микропроцессоров «Эльбрус-8С». Расчетная рабочая частота - 1,3 ГГц, тонкопленочная технология производства - 28 нм, вычислительная мощность составляет 250 гигафлопс. Кристалл микропроцессора спроектирован по технологии 28 нм, имеет восемь процессорных ядер с улучшенной 64-разрядной архитектурой «Эльбрус» 3-го поколения, кэш-память 2-го уровня общим объемом 4 мегабайта и 3-го уровня объемом 16 мегабайт [5].
Таким образом, в Российской таможенной академии целесообразно применять указанные выше вычислительные системы, построенные на отечественных электронных элементах. Вычислительная техника на основе подобных микросхем может обеспечить более высокий уровень защиты данных, так как с высокой степенью вероятности гарантирует отсутствие программных и аппаратных вредоносных «закладок». По своим функциональным возможностям она без проблем может заменить многие зарубежные образцы. Создание крупносерийного производства современных российских микропроцессоров позволит выйти на качественно новый и более «массовый» уровень импортозамещения.
Также необходимо подчеркнуть, что современная операционная система «Эльбрус» ориентирована на вышеописанное техническое обеспечение, а непосредственное использование микропроцессоров «Эльбрус-4С» и «Эльбрус-8С» позволит создавать высокопроизводительные рабочие станции и серверы для надежного обеспечения образовательного процесса ведомственного вуза.
Использованные источники
1. Данилин Д. В., Мантусов В. Б., Саенко В. В., Липатова Н. Г., Сомов Ю. И. Концептуальные положения импортозамещения в таможенных органах Российской Федерации // Вестник Российской таможенной академии. 2016. № 3. С. 7-11.
2. Таненбаум Э., Уэзеролл Д. Компьютерные сети. СПб.: Питер, 2012. 960 с.
3. Толковый словарь по вычислительным системам = Dictionary of Computing / под ред. В. Иллингуорта и др.; пер. с англ. А. К. Белоцкого и др.; под ред. Е. К. Масловского. М.: Машиностроение, 1990. 560 с.
4. Мельников В. П., Клейменов С. А., Петраков А. М. Информационная безопасность и защита информации. М.: Академия, 2011. 332 с.
5. АО «МЦСТ». Российские микропроцессоры и вычислительные комплексы [Электронный ресурс]. URL: http://www.mcst.ru/sum_komplekss.
6. Беззубов А. Ф, Оплетин В. Е, Синицын И. В. Обеспечение информационной безопасности ведомственного вуза посредством программных продуктов в рамках импортозамещения // Вестник Российской таможенной академии. 2016. № 4. С. 113-119.
1 АО «МЦСТ», правопреемник ТОО «Московский Центр SPARC-технологий», начало свою деятельность в апреле 1992 г. на базе отделений Института точной механики и вычислительной техники имени С. А. Лебедева (ИТМ и ВТ) - лидера отечественного электронного машиностроения. Лучшие достижения института - БЭСМ, «Эльбрус-1КБ», «Эльбрус-1», «Эльбрус-2» - составляли основу вычислительных ресурсов в главных наукоемких отраслях нашего общества - космос, атомная энергетика, фундаментальная и прикладная наука.
110 -
ВЕСТНИК российской ТАМОЖЕННОЙ АКАДЕМИИ • № 2 • 2017
