Применение ОСРВ Embox для создания доверенного ПЛК (Антон Бондарев, OSDAY-2025)

Короткая ссылка: 20250619K

Докладчик: Антон Бондарев

В современнном мире требования к безопасности цифровых системы постоянно увеличиваются.
Особенно это актуально для узлов критической инфраструктуры например в автоматизированных системах управления технологическим процессом (АСУ-ТП). При этом угрозы становились все более технологическими и для их уменьшения возникает потребность в новых подходах к безопасности. Одним из таких подходов является “Secure by Design” предложенный компанией «Лаборатория Касперского».
В докладе рассмотрен подход к созданию доверенных АСУ-ТП на основе статически заданных требований. В процессе сборки создается изолированное программное окружение в котором происходит сборка как прикладного так и системного ПО. Данный подход применяется в проекте открытой ОСВР Embox при создании элементов доверенной АСУ-ТП. При построении доверенных узлов используется отечественная элементная база.

Видео

on youtube

Thesis

В современном мире цифровая безопасность имеет колоссальное значение, особенно это заметно в такой области как АСУ-ТП, ведь атака на объекты которые управляют производством может привести к техногенной катастрофе.

Существуют разные подходы к увеличению безопасности и надежности ПО доказавшие свою эффективность: использования языков программирования высокого уровня, использование анализаторов кода, использование различных видов тестирования и так далее. Наибольшего эффекта можно достичь, если процесс разработки будет включать необходимые части. Причем сам процесс должен включать требования к качеству, надежности и безопасности конечного продукта.

Еще одним способом обеспечения надежности и безопасности, является ограничение функциональности системы только той которая используются. И максимальная проверка конечной функциональности на этапе проектирования системы. Это можно достичь, если использовать специальный язык на котором можно описать как желаемые характеристики конечной системы, так и характеристики отдельных модулей.

Системе сборки ОСРВ Embox использует специализированного языка (DSL) описания модулей (Mybuild) которые описывает, все части модули включая ядерные и прикладные, а также статически заданные требования к конечной системе. На основе этих требований и описаний модулей, строится внутренняя модель (граф) системы, которая анализируется статически, сквозным образом.

В процессе сборки Embox создает изолированное программное окружение, включающее, такие части как: внутренний компилятор, характеристики и функции ядра, необходимые функции для требуемых подсистем (файловая, сетевая и так далее), стандартная библиотека и остальные необходимые части необходимые для корректной функциональности прикладного и системного ПО конечной системы.

Таким образом получается конечный образ имеющий всю необходимую функциональность, но исключающую другую. Получаемое программное окружение является уникальным и не совместимым для других конфигураций системы, что позволяет исключить запуск не зарегистрированного в процессе проектирования ПО, резко уменьшить количество строчек кода и функциональность которая нуждается в проверке.

Подобный подход, создание статического изолированного программного окружения для сборки прикладного ПО, можно применить и для создания ПЛК, ведь их потенциальных функционал строго ограничен и предназначен для обеспечения работы конечной программы разработанная на языках МЭК 61131-3. В проекте Embox произвели доработки открытых проектов поддерживающих МЭК языки, что позволило запустить программы разработанные на этих языках на отечественных микроконтроллерах, в частности на МК К1921ВГ015.