«Автоматизация и информатизация ТЭК»

Скрытые каналы в автоматизированных системах – невидимая часть айсберга

УДК: 004.056
DOI: -

Авторы:

¹ МИРЭА - Российский технологический университет, Москва, Россия
² РГУ нефти и газа (НИУ) имени И.М. Губкина, Москва, Россия

Ключевые слова: скрытый канал, коммуникационный канал, информационный поток, контроль информационных потоков, политика безопасности, информационное невлияние, технический канал утечки информации, побочное электромагнитное излучение

Аннотация:

Контроль скрытых каналов является важным условием доверия к автоматизированным системам, осуществляющим обработку критичной информации, в том числе на предприятиях ТЭК. В исследованиях, посвященных данной проблематике, зачастую внимание приковано к отдельным инфраструктурным слоям, например сетевому или системному. Вместе с тем требования руководящих документов не ограничиваются привязкой к конкретному уровню, а значит, диктуют необходимость учитывать любые пути распространения информации, не предусмотренные разработчиками системы. К настоящему времени проведено большое число исследований, посвященных скрытым каналам в системном, прикладном программном обеспечении, физических средах. Целью работы является формирование единой методологической основы для создания требований по защите информации, учитывающих наличие скрытых каналов различного типа, и комплексной стратегии их контроля в критичных автоматизированных системах. Важной особенностью проведенного исследования является опора на формальные методы проверки свойств системы, которые дают возможность доказать эффективность принятых мер защиты. В исследовании использованы методы теории языков программирования, теории автоматов, методы оценки защищенности объектов информатизации. Представлен комплексный подход к формализованному представлению технических каналов утечки информации и скрытых каналов, возникающих в автоматизированных системах в защищенном исполнении, суть которого сводится к использованию рекомендованной общей схемы описания скрытых каналов, в том числе к документированию рисков, связанных с возникновением случайных, вероятностных, временных и некоторых иных видов запрещенных информационных потоков в программном обеспечении. Предложенный подход упрощает решение задач описания и анализа угроз безопасности, реализуемых с использованием скрытых и технических каналов утечки информации в автоматизированных системах.

Список литературы:

1. Тимаков А.А. Способ контроля распространения чувствительных данных в программном обеспечении информационных систем // Автоматизация и информатизация ТЭК. – 2025. – № 4(621). – С. 54–61.
2. Поршнев С.В., Беляев Д.О. Скрытые технические каналы утечки информации, обрабатываемой в средствах вычислительной техники: анализ действующей нормативной базы, терминология // Вестник УрФО. Безопасность в информационной сфере. – 2021. – № 1(39). – С. 5–13. – DOI: 10.14529/secur210101
3. Russo A., Sabelfeld A., Li Keqin. Implicit flows in malicious and nonmalicious code // Logics and Languages for Reliability and Security. – IOS Press, 2010. – P. 301–322. – DOI: 10.3233/978-1-60750-100-8-301
4. An Empirical Study of Privacy-Violating Information Flows in JavaScript Web Applications / D. Jang, R. Jhala, S. Lerner, H. Shacham // 17th ACM Conference on Computer and Communications Security, Chicago, Illinois, USA, October 4–8, 2010. – P. 270–283. – DOI: 10.1145/1866307.1866339
5. DTA++: Dynamic Taint Analysis with Targeted Control-Flow Propagation / Kang Min Gyung, S. McCamant, P. Poosankam, Song Dawn // Network and Distributed System Security Symposium, San Diego, California, USA, February 6–9, 2011. – P. 11–25. – URL: https://scispace.com/pdf/dta-dynamic-taint-analysis-with-targeted-control-flow-35u4e33t87.pdf
6. Implicit flows: Can’t live with ‘em, can’t live without p‘em / D. King, B. Hicks, M. Hicks, T. Jaeger // Information Systems Security: 4th International Conference, Hyderabad, India, December 16–20, 2008. – Springer Berlin Heidelberg, 2008. – P. 56–70. – DOI: 10.1007/978-3-540-89862-7_4
7. An Empirical Study of Information Flows in Real-World JavaScript / C.-A. Staicu, D. Schoepe, M. Balliu [et al.] // 14th ACM SIGSAC Workshop on Programming Languages and Analysis for Security, London, United Kingdom, November 15, 2019. – New York, United States: Association for Computing Machinery, 2019. – P. 45–59. – DOI: 10.1145/3338504.335739
8. Sabelfeld A., Sands D. Probabilistic Noninterference for Multi-Threaded Programs // 13th IEEE Computer Security Foundations Workshop, Cambridge, England, July 3–5, 2000. – IEEE, 2000. – P. 200–214. – DOI: 10.1109/CSFW.2000.856937
9. Kozyri E., Chong S., Myers A.C. Expressing Information Flow Properties // Foundations and Trends® in Privacy and Security. – 2022. – Vol. 3, No. 1. – P. 1–102. – DOI: 10.1561/3300000008
10. Broberg N., van Delft B., Sands D. Paragon for Practical Programming with Information-Flow Control // Programming Languages and Systems: 11th Asian Symposium, APLAS 2013, Melbourne, VIC, Australia, December 9–11, 2013. – Springer International Publishing, 2013. – P. 217–232. – DOI: 10.1007/978-3-319-03542-0_16
11. Pullicino K. Jif: Language-based information-flow Security in Java. – 2014. – DOI: 10.48550/arXiv.1412.8639
12. Бузов Г.А., Калинин С.В., Кондратьев А.В. Защита от утечки информации по техническим каналам: учебное пособие. – М.: Горячая линия – Телеком, 2005. – 416 с.
13. Пятачков А.Г. Защита информации, обрабатываемой вычислительной техникой, от утечки по техническим каналам. – М.: РЦИБ "Факел", 2007. – 196 с.