tag:blogger.com,1999:blog-7950588665299698035.post4729873464589693218..comments2023-05-05T14:03:04.748+03:00Comments on Walking entropy generator: Мои размышления на тему сомнений успеха СПО в госсектореRoger DeeGreezehttp://www.blogger.com/profile/05561378808652018805noreply@blogger.comBlogger10125tag:blogger.com,1999:blog-7950588665299698035.post-79394233578669391362010-01-21T20:50:54.641+03:002010-01-21T20:50:54.641+03:00>Что-то я вас вижу чуть ли везде, где мелькают ...>Что-то я вас вижу чуть ли везде, где мелькают слова ИСПДН, 152-ФЗ и всё что связано с ПД :)<br /><br />Тема стоит на мониторинге Сети ;)<br /><br />>Тут скорее встаёт вопрос, кто бы профинансировал тому же "Эшелону" проверку этих средств и сертифицировал их.<br /><br />Мало профинансировать, тут еще надо в серию пустить. Например Информзащита делала СекретНет для ЦБ под Unix - но все права у ЦБ и больше никто этим не воспользуется.<br /><br />Т.ч. скорее всего это должны будут оплатить интеграторы. Например тот же Эшелон, или Инфосистемы Джет (которые с *nix-ами давно работают), или Информзащита (которая сейчас активно продвигает Linux XP)Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-7950588665299698035.post-43273923857421840012010-01-19T22:58:50.561+03:002010-01-19T22:58:50.561+03:00будет спрос на взлом юникс систем, будут дыры
В то...<i>будет спрос на взлом юникс систем, будут дыры</i><br />В том-то и весь цимес. К таким ситуациям СПО готово лучше, чем ППО. Уязвимости отслеживаются в открытом софте гораздо быстрее и латаются оперативнее. Ну и в силу архитектуры последствия таких вломов не такие страшные. Хотя взлом редхатовских серверов показал, что даже в серьёзной инфраструктуре бывают дырки. Но заметьте, они извлекли из этого урок и провели серьёзнве мероприятия. Майкрософт же ничему не учится. Хотя, возможно, они просто пали жертвой своей же стратегии. По признанию одного из главных разработчиков ядра Windows "мы уже сами не понимаем как оно работает".<br /><br /><i>замечательно, только мы завязываем нашу систему на конкретном человеке</i><br />Это другой плюс СПО. Это как раз уход от vendor lock-in. Вы всегда можете выбирать поставщика услуг. Поскольку код открыт, то и шанс найти человека который с этим работал гораздо выше. Ну и в нормальных конторах когда человек уходит, он санчала себе замену ищет и вводит её в курс дела.<br />Ну и в большинстве случае так называемый "человеческий фактор" про который любят все говорить - банальнейшая жадность работодателя.<br /><br /><i>А если 2-3 программиста пройдет через предприятие, то в базе откровенный бардак.</i><br />Вот для этого, кстати, некоторые компании вроде Google выпускают специальные инструкцию по стилю программирования. Что есть верный подход.<br /><br />Упрощаю совсем - нужно одно ООО, которое ообъединило бы несколько СПО проектов<br />Ни в коем разе. Лучше иметь несколько крупных компаний и кучу мелких. Собственно, именно так дело сейчас в СПО и обстоит. Есть монстры типа IBM, RedHat, Novell и есть компании помельче. Выбирайте по соотношению цена/качество. Но как верно заметили, да для бизнеса проще иметь какую-то мегаконтору,которая будет поддерживать этот софт даже в случае ядерного удара. но интероперабельность в этом случае дико страдает.Roger DeeGreezehttps://www.blogger.com/profile/05561378808652018805noreply@blogger.comtag:blogger.com,1999:blog-7950588665299698035.post-47010762690327563242010-01-19T22:22:40.937+03:002010-01-19T22:22:40.937+03:00Roger DeeGreeze,
По поводу безопасности спорить не...Roger DeeGreeze,<br />По поводу безопасности спорить не буду, ибо проверить по факту - невозможно, было бы 50% пользователей иксов, 50% винды, во тогда была бы статистика, а пока это просто теория, будет спрос на взлом юникс систем, будут дыры, щас же легче найти лазейку через неопытного пользователя с паролем "123" или отключенным фаервалом, под виндой и через него попасть в сеть.<br />Скажу не как программист, а как менеджер, программиста на оклад взять - замечательно, только мы завязываем нашу систему на конкретном человеке. Такая же ситуация сейчас с 1С - разрабатывают на предприятие систему, потом уходят, в итоге предприятие у разбитого корыта - не может обновить базу. А если 2-3 программиста пройдет через предприятие, то в базе откровенный бардак. Это еще одна причина для директора или менеджера выбрать проприетарное решение.<br />Так вот к чему это я веду. Это не Российские предприятия не готовы к СПО, это СПО на данный момент не готово к Российский предприятиям. Вот когда в самом СПО будет какая-то система управления, тогда вот эти проблемы о которых вы говорите они уйдут сами собой. Упрощаю совсем - нужно одно ООО, которое ообъединило бы несколько СПО проектов, для совместного продвижения, обучения, саппорта, соответсвенно для нескольких программных продуктов, что создало бы определенный бренд. Иначе в СПО сообществе получается либо лебедь, рак и щука либо Греция до н.э, кому что нравится.Mikkeyhttps://www.blogger.com/profile/00634116974167459888noreply@blogger.comtag:blogger.com,1999:blog-7950588665299698035.post-36561317953876466632010-01-19T21:09:15.511+03:002010-01-19T21:09:15.511+03:002Mikkey:
Хороший, годный вопрос. Но ответ на него ...2Mikkey:<br />Хороший, годный вопрос. Но ответ на него состоит из двух частей.<br /><br />Во-первых. Вопрос защищённости:<br />В ответе ЖЖ-юзеру toparenko чуть выше я дал ему описание таких вещей как RSBAC, grsecurity, SELinux. почитайте внимательно ЧТО это такое и каков их функционал. Заметьте, ничего подобного под Windows нет даже близко. Хотя нет, вру. "Песочницу" для запуска потенциально небезопасных приложений Microsoft наконец-то вкрутило. Через одно место оно работает, ибо уже тут же нашли уязвимости, но сам факт, что они наконец-то начали это понимать радует.<br />А подобного рода средств под Windows нет потому, что это требует очень глубоких изменений в ядре системы. Как вы понимаете, закрытое ПО таким образом пропатчить нельзя.<br />ещё одна штука касающаяся безопасности - это так называемые hardened-сборки Linux. предназначенные как раз для эксплуатации в системах, в которых требуется высокая защищённость. Если отвлечься от Linux, то есть такая система как OpenBSD. Разработчики этой системы как никто смотрят в сторону параноидальной безопасности, и поэтому очень тщательно следят за кодом. Какие возможности по безопасности предлагает OpenBSD Вы можете найти сами. Список их таков, что любая форточка даже с дополнительными СЗИ отсосёт не разгибаясь и очень громко причмокивая. Кстати, большая часть коммерческих продуктов наработки всфере безопасности тырит почему-то именно у СПО. Нет, у них и свои ноу-хау есть. но тем не менее. <br /><br />Вторая часть. А нафига оно надо? Отвечаю. В случае с ППО (проприоретарным программным обеспечением) мы имеем дело с зарубежными компаниями. И покупая у них данную продукцию мы отдаём деньги совершенно другой стране и спонсируем экномику совершенно другой, нередко чуждой нам страны. <br />Ещё одним ключевым моментом является формат данных применяемых в этих программах. В этом случае мы наблюдаем так называемый vendor lock-in. Другими словами - привязку к производителю. подсаживая на свою продукцию производитель опять же надёжно прикручивает нас к своему карману и может устанавливать какие угодно цены. Если бы не СПО, кстати, ценники на туже продукцию Microsoft до сих пор пор были бы просто астрономическими. Польза от конкуренции налицо. :)<br />Туда же можно отнести большие проблемы при взаимодействии и обмене данными. Ибо та же майкрософт сама же является притчей во языцех, когда её не в первый раз ловят на том ,что она собственные же спецификации не соблюдает. В случае СПО такого не будет ,поскольку будет единый открытый документ описывающий необходимое и не допускающий разночтений.<br />Ещё один момент - настраиваемость. В случае с ППО вы обязаны кушать то, что вам дают. На запрос о новом функционале вы обязаны милостиво ждать, когда барин соизволит что-то сделать. Ну, или платите огромные суммы за премиум поддержку, чтобы получить нужное. Вопрос ,у вас есть эти деньги? может лучше эти суммы потратить на что-то другое? В случае с СПО мы берём программиста на окладе и поддерживаем открытое решение, которое можно сделать таким, каким оно нужно именно Вам. Вы можете доработать необходимую программу по своему вкусу. Были бы спецы.<br />Всё это способствует тому ,что у нас появятся свои специалисты, свои технологии, свои идеи. И у будет куда большая независимость в сфере электронных технологий. Банально, заезжено, но увы - это факт.Roger DeeGreezehttps://www.blogger.com/profile/05561378808652018805noreply@blogger.comtag:blogger.com,1999:blog-7950588665299698035.post-83620274514628241752010-01-19T20:25:05.868+03:002010-01-19T20:25:05.868+03:00Остался не отвеченным только один вопрос, а зачем ...Остался не отвеченным только один вопрос, а зачем переводить имеющиеся системы на СПО? Только вот не надо бред про защищенность и т.д, если будет распространение Линуха (или любой другой оси) достигать 90% в течении 20 лет, то будут для него (нее) теже 110000 уязвимостей (а то и больше) как щас на винду. Стройте новые решения на СПО, а дальше уже будет видно кто круче.Mikkeyhttps://www.blogger.com/profile/00634116974167459888noreply@blogger.comtag:blogger.com,1999:blog-7950588665299698035.post-59297926547754698232010-01-19T18:25:13.489+03:002010-01-19T18:25:13.489+03:002toparenko:
Что-то я вас вижу чуть ли везде, где м...2toparenko:<br />Что-то я вас вижу чуть ли везде, где мелькают слова ИСПДН, 152-ФЗ и всё что связано с ПД :)<br /><br /><i>М.б. здесь 152-ФЗ и сможет как-то помочь. Т.к. работать на раельно защищаенных форточках будет гораздо неудобнее, чем на сертифицированном Линуксе.</i><br />Помнится в ru_sysadmins я поднимал эту тему, вы вроде мне тогда ответили, что сделать защищённую систему на никсах можно, тот тот ещё секс в отлчие от форточек. Что-то поменялось за эти пару месяцев? <br /><br /><i>Другой вопрос, что бизнес будет гораздо труднее переводить т.к. перестраивать уже существующие системы, которые делались на форточках будет весьма дорого...</i><br />А кто бы, собственно, спорил? Всё так. Очевидно же.<br /><br /><i>Не сказал бы, что для ИСПДн К2 так уж трудно найти</i><br />По ИСПДН К2 как раз проблем нет, о чём и речь. <br /><br /><i>на К1 одной ОСи мало, требуется совместимое ППО и СПО</i><br />Есть очень хорошие решения для защиты Linux-серверов и рабочих станций, но это индивидуальные проекты. Тут скорее встаёт вопрос, кто бы профинансировал тому же "Эшелону" проверку этих средств и сертифицировал их. Я говорю например о том же SELinux, grsecuriry, RSBAC и других полезных штуках.Roger DeeGreezehttps://www.blogger.com/profile/05561378808652018805noreply@blogger.comtag:blogger.com,1999:blog-7950588665299698035.post-18592825947746890672010-01-19T17:47:52.714+03:002010-01-19T17:47:52.714+03:00>6. Наличие специалистов.
Это действительно пр...>6. Наличие специалистов.<br /><br />Это действительно проблема для гос./муниципалов<br /><br />>3. ....<br />Моя очень широкая практика как эникея так и системного администратора показывает, что большинство людей очень плохо приспосабливается к чему-то кардинально новому. Не забываем ещё о том, что мы имеем дело с госслужащими, которые внедрению чего-то нового противятся ещё больше.<br /><br />М.б. здесь 152-ФЗ и сможет как-то помочь. Т.к. работать на раельно защищаенных форточках будет гораздо неудобнее, чем на сертифицированном Линуксе.<br /><br />Другой вопрос, что бизнес будет гораздо труднее переводить т.к. перестраивать уже существующие системы, которые делались на форточках будет весьма дорого...<br /><br />>10. ... В связи с наличием в нашем законодательством 152-ФЗ "О защите персональных данных" возникает проблема сертификации СПО-решений которые можно использовать в информационных системах обработки персональных данных (ИСПДН). Если до второй категории можно хоть и с большим трудом, но сделать реализацию на Linux можно, то для первой категории таких решений на текущий момент нет вообще.<br /><br />Не сказал бы, что для ИСПДн К2 так уж трудно найти - см. http://community.livejournal.com/personal_data/tag/linux<br /><br />Для К1 действительно труднее. Но на 3А/2А/1В итак немного решений - не исключаю, что спрос породит и предложения...<br />Пока это только МСВС<br />И здесь уже следует работать с производителями ПО для соответствующеих секторов экономики - т.к. на К1 одной ОСи мало, требуется совместимое ППО и СПОAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-7950588665299698035.post-47352173080919998162010-01-19T14:46:50.230+03:002010-01-19T14:46:50.230+03:00извините, но читать белое на чёрном...чуть эпилепт...извините, но читать белое на чёрном...чуть эпилептиком не сталAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-7950588665299698035.post-77532040126428275362010-01-19T14:05:47.062+03:002010-01-19T14:05:47.062+03:00Скажите честно, вы хоть раз работали в очень больш...Скажите честно, вы хоть раз работали в очень больших организациях? А в госучреждениях? Так вот. Специфика работы подобного рода учреждений такова, что помимо убеждения там ещё надо иметь очень большой вес (в плане авторитета) и предоставить серьёзные обоснования, чтобы всё это реализовать. Но этого мало - вам ещё потребуется пройти через уйму совещений и согласований, прежде чем вообще какой-то результат появится. В федеральных масштабах это выливается в очень большой объём работы. <br />И перечитайте внимательно текст ещё раз.Roger DeeGreezehttps://www.blogger.com/profile/05561378808652018805noreply@blogger.comtag:blogger.com,1999:blog-7950588665299698035.post-39071576205225796822010-01-19T13:29:27.940+03:002010-01-19T13:29:27.940+03:00Принципиально, все эти проблемы вполне решаемы. До...Принципиально, все эти проблемы вполне решаемы. Достаточно навыка убеждения.Anonymoushttps://www.blogger.com/profile/07531431437793029372noreply@blogger.com