CC BY
42
С.В. Скрыль,
доктор технических наук, профессор
А.М. Сычев,
кандидат технических наук, доцент,
Московский государственный технический университет им. Н.Э. Баумана
М.Ф. Сизинцев,
Воронежский государственный технический университет
КОМПОЗИЦИОННАЯ ФУНКЦИОНАЛЬНАЯ МОДЕЛЬ ПРОТИВОПРАВНЫХ ДЕЙСТВИЙ В ОТНОШЕНИИ СУБЪЕКТОВ, УПРАВЛЯЮЩИХ СВОИМИ АКТИВАМИ ЧЕРЕЗ СИСТЕМЫ ДИСТАНЦИОННОГО БАНКОВСКОГО ОБСЛУЖИВАНИЯ
COMPOSITE FUNCTIONAL MODEL OF ILLEGAL ACTS AGAINST THE PARTIES THAT MANAGE THEIR ASSETS THROUGH REMOTE
BANKING SYSTEMS
Приводятся методические основы формирования функционального описания противоправных действий против клиентов банков, управляющих своими счетами через системы дистанционного банковского обслуживания, как инструмент первичной формализации такого рода действий. Обосновывается идентичность структурного представления функций противоправных действий и соответствующих им функций защиты информации, позволяющая сформировать аналогичную функциональную модель механизмов защиты информации.
The article deals with methodical bases of functional description formation of illegal acts against the banks' customers that manage their accounts through remote banking system as a tool ofprimary formalization of such actions. The article substantiates the identity of the structural representation of illegal actions functions and their corresponding information security functions, which allows to generate a similar functional model of information security mechanisms.
Введение
Интенсивное развитие информационных технологий в кредитно-финансовой сфере привело к появлению одного из перспективных и наиболее развивающихся ее сегментов - систем дистанционного банковского обслуживания (СДБО).
Вместе с тем, широкое внедрение СДБО в практику кредитно-финансовых организаций обусловило и ряд негативных факторов, наиболее значимым из которых является значительный рост противоправных действий в отношении субъектов, управляющих своими активами по сети Интернет через СДБО. Мошенничество в сфере ДБО за последние годы стало сверхприбыльным бизнесом с миллиардными оборотами.
В связи с этим становится актуальной защита информационных ресурсов СДБО от подобного рода противоправных действий.
Противоправные действия в сфере дистанционного банковского обслуживания как объект функционального моделирования
Оценивая результаты исследований специалистов в области защиты информации банковского сектора [1, 2] приходится констатировать лишь создание предпосылок для разработки теоретических и организационно-методических основ борьбы с проти-
воправными действиями в отношении субъектов, управляющих своими активами через СДБО.
Основополагающим направлением методологии защиты информационных ресурсов СДБО от подобного рода противоправных действий здесь может явиться глубокая проработка вопросов формализации исследуемых процессов, в полной мере учитывающая специфику проблемы защиты информации кредитно-финансовых организаций как проблемы борьбы с мошенничеством в сфере ДБО, позволяющая реализовать существующие возможности методологии моделирования систем [3]. Вследствие этого сложилась ситуация, при которой аппарат моделирования процессов защиты информации не достигает уровня адекватности оценки защищенности компьютерной информации [4], необходимого для обоснования способов и средств противодействия мошенничеству в сфере ДБО на основе количественных критериев.
Это обусловливает жесткие требования к методологии функционального моделирования угроз безопасности информации [5] в СДБО как инструмента первичной формализации их воздействия на информацию этих систем. Эти требования относятся, главным образом, к обеспечению адекватности формализованного представления угроз и их соответствию отдельным субъектам и состояниям информационного процесса: источникам, уязвимостям и деструктивным воздействиям. Это приводит к необходимости рассматривать противоправные действия в сфере СДБО как объект функционального моделирования, отражающий субъекты и состояния информационного процесса в рассматриваемых условиях. С учетом адекватного реагирования на угрозы безопасности информации в СДБО закономерности функционального представления противоправных действий в сфере СДБО распространяются и на процессы защиты информации этих систем. Таким образом, наличие детализированной функциональной модели противоправных действий в отношении субъектов, управляющих своими активами по сети Интернет через СДБО, обеспечивает приемлемую адекватность оценки как уровня угрозы безопасности информации в СДБО, так и эффективности противодействия мошенничеству в этой сфере.
Методические положения по построению функциональных моделей
рассматриваемого вида
Сформированные к настоящему времени методологические основы системного анализа в проблематике защиты информации [6] предполагают в качестве начального этапа исследования механизмов защиты формулировку эвристических правил построения моделей этих механизмов. Подобные правила, формируемые в виде методических положений, основываются на интуитивных представлениях о соответствии разрабатываемых моделей объекту исследования. В рассматриваемых условиях эти положения формулируются следующим образом.
Положение 1. С точки зрения методологии информационной безопасности противоправные действия в отношении субъектов, управляющих своими активами через СДБО, представляют собой способ искажения информации в СДБО. В свою очередь искажение информации относится к классу угроз нарушения ее целостности.
Положение 2. Существует механизм следообразования подобного рода действий, отражающий причинно- следственные связи между признаками противоправных действий и набором функций, реализующих угрозы искажения информации в СДБО. При этом, как сам набор функций, так и порядок их реализации детерминированы.
Положение 3. Существует взаимнооднозначное соответствие между функциями рассматриваемого вида угроз и функциями защиты информации от искажения.
Обоснуем эти положения.
Основу первого положения составляет нормативно регулируемая документами по защите информации [7] причинно-следственная связь между отдельными субъектами и состояниями информационного процесса, отражающая системную категорию «угроза информационной безопасности».
В основу второго положения положены результаты систематизации закономерностей практики борьбы с преступлениями в области информационных технологий [8,
9]. При реализации различных подходов к формализации угроз информационной безопасности множество признаков противоправных действий по реализации этих угроз является исходным при формировании функциональных моделей действий как инструмента их первичной формализации. В [5] обосновывается многоуровневый характер функционального описания противоправных действий по реализации угроз информационной безопасности. При этом детерминированность числа уровней данного функционального представления (на практике три-четыре) обусловливает и детерминированность набора описываемых функций и порядка их реализации.
Третье положение вытекает из предыдущего в предположении однозначно соответствующей реакции на противоправные действия в отношении субъектов, управляющих своими активами через СДБО. Это порождает идентичное по форме и противоположное по содержанию функциональное описание действий по защите информации в СДБО.
Изложенные методические положения позволяют сформировать функциональную модель противоправных действий в отношении субъектов, управляющих своими активами через СДБО.
Функциональная модель противоправных действий в сфере дистанционного
банковского обслуживания
Исходя из специфики представления данной модели в виде композиционной структуры функционального описания противоправных действий сформируем множество {ф 1.;■}, i =1, 2,..., I, функций исходного (первого) уровня иерархии данной структуры, установив причинно-следственные связи между признаками такого рода действий и соответствующими им функциями. Результаты представим в виде:
фи = (йл>, (1)
где S1.i - список признаков функции ф1л.
Ниже приводится представленное в формате (1) множество {фи}, i =1, 2,., 17, функций исходного (первого) уровня иерархии композиционной структуры функционального описания противоправных действий в сфере ДБО.
1) Функция «Сканирование портов на сервере сегмента СДБО» (идентификатор фи):
ф1.1 = («SYN сканирование», «TAP IDENT сканирование», «Распределенное сканирование», «Сканирование с использованием прокси-серверов»>. (2)
2) Функция «Установление типа и версии прикладного программного обеспечения (ПО), выполняемого на сервере сегмента СДБО» (идентификатор ф1.2):
ф1.2 = (« Опрос стека TCP/IP удаленного хоста», «Опрос портов»>. (3)
3) Функция «Инициализация функций прикладного ПО сегмента СДБО» (идентификатор ф1.3):
ф1.3 = («Инициализация функций прикладного ПО сегмента СДБО при помощи стандартных средств системного ПО», «Инициализация функций прикладного ПО
сегмента СДБО при помощи вредоносных программ»>. (4)
4) Функция «Вскрытие применяемых в СДБО механизмов паролирования путем подбора паролей» (идентификатор ф1.4):
ф1.4 = («Подбор пароля на основе априорной информации»). (5)
5) Функция «Вскрытие применяемых в СДБО механизмов паролирования путем перехвата информации о пароле» (идентификатор ф1.5):
ф1.5 = («Перехват информации о пароле при помощи программной закладки»). (6)
6) Функция «Внедрение ложного доверенного объекта путем использования уязвимостей сервиса ARP» (идентификатор ф1.6):
ф16 = (« Возможность внедрения ложного доверенного объекта путем использования уязвимостей сервиса ARP в существующей инфраструктуре СДБО», «Попытка внедрения ложного доверенного объекта путем использования уязвимостей сервиса ARP»). (7)
7) Функция «Внедрение ложного доверенного объекта путем использования уязвимостей сервиса DNS» (идентификатор ф1.7):
ф1.7 = (« Возможность внедрения ложного доверенного объекта путем использования уязвимостей сервиса ARP в существующей инфраструктуре СДБО», «Попытка внедрения ложного доверенного объекта путем использования уязвимостей сервиса DNS»). (8)
8) Функция «Внедрение вредоносной программы в сегмент СДБО» (идентификатор ф1.8):
ф18 = («Внедрение вредоносной программы с использованием ее репликативных свойств по вычислительной сети СДБО», «Внедрение вредоносной программы с использованием ее репликативных свойств через носители информации», «Внедрение вредоносной программы путем ее доставки в сегмент СДБО по вычислительной сети», «Модификация легального программного продукта с целью придания ему вредоносных свойств»). (9)
9) Функция «Активация вредоносной программы» (идентификатор ф1.9):
ф1.9 = («Активация вредоносной программы в момент внедрения», «Активация вредоносной программы по наступлении системного события», «Активация вредоносной программы по внешней команде» ). (10)
10) Функция «Анализ комментариев к учетным записям» (идентификатор ф1.10):
ф 1. 10 = («Использование комментариев к учетным записям», «Информативность комментариев к учетным записям (позволяют ли они определить полномочия пользователя)»). (11)
11) Функция «Анализ полномочий на доступ к ресурсам сегмента СДБО» (идентификатор ф1.11):
ф1.11 = («Аудит доступа к защищенной информации (чтение, изменение, удаление)», «Зарегистрированное число попыток реализации несанкционированных функций»). (12)
12) Функция «Выявление настроек маршрутизатора» (идентификатор ф1.12):
ф 1. 12 = («Подмена пакетов», «Отправка сообщений для фиктивных операций», «Модификация в потоке сообщений», «Анализ сетевого трафика»). (13)
13) Функция «Модификация информации в сегменте СДБО» (идентификатор ф1.13): ф1.13 = («Аудит функции модификации информации (время и параметры функции)»). (14)
14) Функция «Удаление информации в сегменте СДБО» (идентификатор ф1.14):
ф1.14 = («Аудит функции удаления информации (время и параметры функции)»). (15)
15) Функция «Создание дополнительной учетной записи с администраторскими полномочиями» (идентификатор ф1.15):
ф 1.15 = («Аудит создания новых учетных записей», «Аудит изменения существующих учетных записей»). (16)
16) Функция «Изменение пароля учетных записей с администраторскими полномочиями» (идентификатор ф1.16):
ф1.16 = («Аудит создания новых учетных записей», «Внеплановое изменение пароля к учетной записи»). (17)
17) Функция «Установка программ удаленного администрирования» (идентификатор ф1.17):
ф1.17 = («Изменение настроек межсетевых экранов», «Изменение списка загрузки системных служб »). (18)
При формировании композиционной структуры исследуемого процесса формат ее функционального описания представим в виде:
фы = (rim, Nm, sm.1(/-1), sm.2(/-1),^, sm.„(/'1},..., smN{l'l)), (19)
где ф1т — идентификатор m-й функции l- го уровня композиционной структуры исследуемого процесса; rim — композиционный признак формирования функции фm;
Nlm -число последовательностей функций l- 1-го уровня, реализующих функцию ф.т';
sm.n"-1 — список функций l-1-го уровня, составляющих n-ю, n = 1, 2, ., Nm, последовательность.
Воспользовавшись (19) и результатами формирования множества функций {фи}, i = 1, 2, ..., 17, исходного (первого) уровня иерархии композиционной структуры исследуемого процесса ((2) - (18)) сформируем множество {ф2.},j = 1, 2, ..., J, функций второго уровня.
1). Функция «Инициализация механизмов функционирования сегмента СДБО» (идентификатор ф2.1):
ф2.1 = (r2.1, 1, s1.1(1)), (20)
где r21 = «Доступ к механизмам функционирования сегмента СДБО»;
s1.1(1) = (ф1.1, фи, фо).
2). Функция «Вскрытие применяемых в СДБО механизмов паролирования» (идентификатор ф2.2):
ф2.2 = (r2.2, 2, s2.1(1), (21)
где r22 = «Манипулирование механизмами паролирования»; s2.1(1) = (ф1.4); s2.2(1) = ( ф 1.5).
3). Функция «Придание статуса доверенного объекта ложному путем использования уязвимостей серверов удаленного поиска» (идентификатор ф2.3):
ф2.3 = (r2.3, 2, s3.1(1), s3.2(1)), (22)
где r23 = «Манипулирование недостатками стандартов поиска IP-адресов»; s3.1(1) = (ф1.6); s3.2(1) = ( ф 1.7).
4). Функция «Придание статуса доверенного объекта вредоносной программе» (идентификатор ф2.4):
ф2.4 = (r2.4, 1, s4.1(1)), (23)
где r24 = «Манипулирование вредоносной программой»; s4.1(1) = (ф 1.8, ф 1.9).
5). Функция «Анализ информации, перехватываемой внедренным доверенным объектом» (идентификатор ф2.5):
ф2.5 = (r2.5, 4, s5.1(1), s5.2(1), s5.3(1), s5.4(1)), (24)
где r2.5 = «Действия ложного доверенного объекта»;
s5.1(1) = (ф1.10, ф1.12); s5.2(1) = (ф1.11, ф1.12); s5.3(1) = (ф1.10, ф1.11, ф1.12); s5.4(1) = (ф1.11, ф1.10, ф\.11).
6). Функция «Искажение информации в сегменте СДБО» (идентификатор ф2.6):
ф2.6 = (Г2.6, 2, 5б.1(1), ^6.2(1)), (25)
где г26 = «Манипулирование информацией СДБО»; я,1(1) = (ф1.1з);
^6.2(1) = (ф1.14).
7). Функция «Ограничение доступа легитимного пользователя к сегменту СДБО» (идентификатор ф2.7):
ф2.7 = (r2.7, 3, s7.1(1), $7.2<'1\ (26)
где г 21 = «Манипулирование функциями администрирования»;
Я7.1(1) = (ф1.15);
Я7.2(1) = (ф1.16);
Я7.3(1) = (ф1.17).
Аналогичным образом на основе множества функций [фу], j = 1, 2, ..., 7, второго уровня иерархии формируется множество [ф3.к], к = 1, 2, ..., К, функций третьего уровня:
1). Функция «Получение информации для доступа в систему ДБО» (идентификатор фз. 1):
фз.1 = (гз.1, 2, Я1.1(2), Я1.2(2)), (27)
где Г3.1 = «Доступ к информационной среде сегмента СДБО ложным доверенным объектом »;
Я1.1(2) = (ф2.1, ф2.2, ф2.3, ф25);
я1.2(2) = ( ф2.1, ф2.2, ф24 ф2.5).
2). Функция «Проведение мошеннической операции» (идентификатор ф3.2):
фз.2 = (Гз.2, 1, Я2.1(2)), (28)
где г32 = «Воздействие на информацию сегмента СДБО»;
Я2.1(2) = (ф26, ф2.7).
Функции фз.1 и фз.2 третьего уровня композиционной структуры исследуемого процесса составляют целевую функцию противоправных действий - «Противоправные действия против клиентов банков, управляющих своими счетами через СДБО» (идентификатор ф4.о). Ее функциональное представление в терминах (19) имеет вид:
ф4.0 = (r4.0, 1 ^Л^Х (29)
где г40 = «Этапы противоправных действий против клиентов банков, управляющих своими счетами через СДБО»;
Я1.1(3) = (фз.ь ф3.2).
Заключение
Приведенное в формате (19) представление (20)—(29) композиционной функциональной модели противоправных действий против клиентов банков, управляющих своими счетами через СДБО, является удобным инструментом для последующего математического представления характеристик такого рода действий. Так, из (19) явно следует последовательный или параллельный порядок выполнения функций, а также их количество, что позволяет непосредственно применять известные и достаточно апробированные аналитические выражения [10] для характеристик отдельных субъектов и состояний информационного процесса. Это, в свою очередь, позволяет количественно оценить как уровень угрозы безопасности информации в СДБО, так и эффективность мер противодействия мошенничеству в этой сфере.
ЛИТЕРАТУРА
1. Обеспечение информационной безопасности бизнеса / А.П. Курило [и др.]. — М.: БДЦ-пресс, 2005. — 512 с.
2. Аудит информационной безопасности / А.П. Курило [и др.]. — М.: Издательская группа «БДЦ-пресс», 2006. — 304 с.
3. Советов Б.Я., Яковлев С.А. Моделирование систем: учебник для вузов. — 3-е изд., перераб. и доп. — М.: Высшая школа, 2001. — 343 с.
4. Оценка защищенности компьютерной информации: пути решения проблемы / С.В. Скрыль [и др.] // Интеллектуальные системы (INTELS’ 2010): Труды Девятого международного симпозиума. — М.: МГТУ им. Н.Э. Баумана, 2010. — С. 564— 566.
5. Функциональное моделирование как методология исследования конфиденциальности информационной деятельности / С.В. Скрыль [и др.] // Интеллектуальные системы (INTELS’ 2010): Труды Девятого международного симпозиума. — М.: МГТУ им. Н.Э. Баумана, 2010. — С. 590 — 593.
6. Шелупанов А.А., Скрыль С.В. Основы системного анализа в защите информации: учебное пособие для студентов высших учебных заведений. — М.: Машиностроение, 2008. — 138 с.
7. ГОСТ Р 51275 - 99. Защита информации. Объект информатизации. Факторы, воз-д е йствующи е на инфор мацию. О бщи е поло жения. - М.: Го сстандарт Рос сии. 2000. - 14 с.
8. Литвинов Д.В., Скрыль С.В., Тямкин А.В. Исследование механизмов противодействия компьютерным преступлениям: организационно-правовые и криминалистические аспекты: монография. — Воронеж: Воронежский институт МВД России, 2009.— 218 с.
9. Мещеряков В. А. Преступления в сфере компьютерной информации: основы теории и практики расследования. — Воронеж: Изд-во Воронежского государственного университета, 2002. - 408 с.
10. Оценка защищенности информационных процессов в территориальных ОВД: модели исследования: монография / под ред. С.В. Скрыля. — Воронеж: Воронежский институт МВД России, 2010. — 217 с.
REFERENCES
1. Obespechenie informatsionnoy bezopasnosti biznesa / A.P. Kurilo [i dr.]. - M.: BDTs-press, 2005. — 512 s.
2. Audit informatsionnoy bezopasnosti. / A.P. Kurilo [i dr.]. - M.: Izdatelskaya gruppa «BDTs-press», 2006 - 304 s.
3. Modelirovanie sistem: uchebnik dlya vuzov. — 3-e izd., pererab. i dop. / B.Ya. Sovetov, S.A. Yakovlev. — M.: Vyisshaya shkola, 2001. — 343 s.
4. Otsenka zaschischennosti kompyuternoy informatsii: puti resheniya problemyi / S.V. Skryil, A.P. Kurilo [i dr.] // Intellektualnyie sistemyi (INTELS’ 2010): Trudyi Devyatogo mezhdunarodnogo simpoziuma. - M.: MGTU im. N.E. Baumana, 2010. - S. 564 -566.
5. Funktsionalnoe modelirovanie kak metodologiya issledovaniya konfidentsialnosti informatsionnoy deyatelnosti / S.V. Skryil, A.A. Malyishev, S.V. Volkova, A.A. Gerasimov // Intellektualnyie sistemyi (INTELS’ 2010): Trudyi Devyatogo mezhdunarodnogo simpoziuma. -M.: MGTU im. N.E. Baumana, 2010. - S. 590 - 593.
6. Osnovyi sistemnogo analiza v zaschite informatsii: uchebnoe posobie dlya studentov vyisshih uchebnyih zavedeniy / A.A. Shelupanov, S.V. Skryil. - M.: Mashinostroenie, 2008. -138 s.
7. GOST R 51275 - 99. Zaschita informatsii. Ob'ekt informatizatsii. Faktoryi, vozdeystvuyuschie na informatsiyu. Obschie polozheniya. - M: Gosstandart Rossii. 2000. - 14 s.
В. Issledovanie mehanizmov protivodeystviya kompyuternyim prestupleniyam: organizat-sionno-pravovyie i kriminalisticheskie aspektyi: monografiya / D.V. Litvinov, S.V. Skryil, A.V. Tyamkin. - Voronezh: Voronezhskiy institut MVD Rossii, 2009. - 21В s.
9. Mescheryakov, V.A. Prestupleniya v sfere kompyuternoy informatsii: osnovyi teorii i praktiki rassledovaniya. - Voronezh: Izd-vo Voronezhskogo gosudarstvennogo universiteta, 2002. - 40В s.
10. Otsenka zaschischennosti informatsionnyih protsessov v territorialnyih OVD: modeli issledovaniya: monografiya / pod red. S.V. Skryilya. - Voronezh: Voronezhskiy institut MVD Rossii, 2010. - 217 s.
