Информационная безопасность образовательного процесса в условиях трансфинитности электронного обучения Текст научной статьи по специальности «Компьютерные и информационные науки»

УДК 371:001.8

Б.У. Хашагульгов, канд. юридич. наук, доц. ЧГПУ, г. Челябинск, E-mail: koloskovaia@cspu.ru

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ОБРАЗОВАТЕЛЬНОГО ПРОЦЕССА В УСЛОВИЯХ ТРАНСФИНИТНОСТИ ЭЛЕКТРОННОГО ОБУЧЕНИЯ

В статье представлены особенности информационной безопасности образовательного пространства вуза, дано понятие трансфинитность, периодизация проблемы информационной безопасности образовательной среды, проанализированы основные структурные компоненты электронной информационной системы современного образовательного учреждения и ведущие методы защиты информации.

Ключевые слова: информатизация, информационная безопасность, образовательный процесс, электронное обучение, электронная информация.

Термин «трансфинитный» (фр. trans + лат. finish - находящийся за пределами конечного), впервые был использован в отечественной педагогике А.В. Петровским. В начале 1990-х автор подразумевал под ним неограниченную самовоспроизво-димость познавательных устремлений творческой личности. Сегодня, по происшествии двух десятилетий, данный термин стал синонимом неограниченной самовоспроизводимоспи научно-технического прогресса.

В значительной степени трансфинитность НТП в современную эпоху обусловлена феноменом ускоренного проникновения в образование электронного обучения (е-Learning) и его разновидностей - мобильного (m-Learning) и дистанционного (d-Learning) обучения [1].

Очевидно, что электронные виды обучения инициируют активное развитие личности - двигателя прогресса. Вместе с тем ни для кого не секрет, что все они весьма условно защищены от антинаучной, антидуховной, заведомо ложной и просто некачественной, неграмотно преподнесенной информации.

Проблема в связи с этим может быть сформулирована следующим образом: как обеспечить стабильное поступление к обучающемуся - реальному и потенциальному пользователю ПК - позитивного познавательного материала, адекватного безопасности общества, личности, государства?

Исследование проблемы в национально-государственных аспектах началось за рубежом в последней трети, а у нас в России - в конце последнего десятилетия минувшего столетия. Было произведено ее соотнесение с развитием традиционных информационных коммуникаций, обозначены исторические этапы ее эволюции [2, 3]. Назовем основные из них:

• первый этап - до 1816 года. Преобладают эпистолярные, возникают наборно-типографические способы информационной связи. Основная задача информационной безопасности заключается в правительственном или церковном контроле доносимых до потребителей сведений с помощью особых чиновных лиц - цензоров, объединенных в специальные учреждения;

• второй этап - после 1816 года. Ознаменован созданием средств электро- и радиосвязи. Достоверность такой связи обеспечивается методом помехоустойчивого кодирования сообщения (сигнала) с его последующим декодированием;

• третий этап - начиная с 1935 года. Связан с появлением радиолокационной и гидроакустической аппаратуры. Политика информационной безопасности в этот период предписывает сочетание организационных и технических мер по защите аппаратуры от воздействия активных маскирующих и пассивных имитирующих радиоэлектронных помех;

• четвертый этап - примерно с 1946 года. Обусловлен изобретением и внедрением в деятельность особых организаций электронно-вычислительных машин (компьютеров). Задачи информационной безопасности решаются, в целом, методами ограничения физического доступа к электронному оборудованию;

• пятый этап - после 1965 года. Созданы локальные электронные коммуникационные сети. Информационная безопасность по-прежнему обеспечивается администрированием доступа к сетевым ресурсам;

• шестой этап - начиная с 1973 года. Характеризуется возникновением и проникновением в элитные социально-профессиональные среды сверхмобильных электротелекоммуникацион-

ных устройств. Образуются группы людей - хакеров, занятых нанесением ущерба информационным базам отдельных пользователей, коопераций пользователей и целых стран. Информационный ресурс становится важнейшим ресурсом государства, а обеспечение его защищенности - обязательной составляющей национальной безопасности. Формируется новая отрасль международной правовой системы - информационное право;

• седьмой этап открывается 1985 годом. Возможности космических средств связи применены к генерированию глобальных информационно-коммуникационных сетей (ИКС). Доступ к сетям приобретают крупные предприятия и организации сферы услуг, системы элитарного обучения. Для обеспечения информационной безопасности возникает необходимость создания макросистемы информационной защиты общества под эгидой международных форумов;

• современный этап развития информационной безопасности (после 2000 г.) отличается широким использованием глобальных ИКС, прочно вошедших в быт и образование «среднестатистических» граждан. В целях обеспечения информационной безопасности государств и общества стали развиваться и трансформироваться в вузовские специальности новые отрасли научного знания, такие, как «Методы и системы защиты информации», «Криптография. Компьютерная безопасность», «Организация и технология защиты информации», «Информационная безопасность телекоммуникационных систем» и др.

Таковы этапы эволюции информационных коммуникаций в мировом сообществе. Даже их краткая характеристика свидетельствует о тенденции перехода средств связи в стадию трансфинитности - ускоренной и часто неподконтрольной са-мовоспроизводимости. Это продуцирует особую актуальность проблемы обеспечения информационной безопасности образовательного процесса в современных информационно-технологических условиях.

Выстраивая систему такой безопасности, нужно иметь четкое представление о ее сущности и составляющих ее компонентах. При этом желательно учитывать, что понятие «информационная безопасность» в разных контекстах имеет различный смысл.

В Доктрине информационной безопасности России оно используется в широком смысловом диапазоне. Имеется в виду защищенность национальных интересов в информационной сфере, определяемых сбалансированными интересами общества, личности, государства.

В Законе РФ «Об информации, информационных технологиях и о защите информации» данное понятие определяется аналогично - как защищенность информационной среды общества, включающая свое формирование, использование и развитие в интересах граждан, организаций, государства.

В нашей статье мы будем понимать информационную безопасность в узком смысле - как защищенность электронной информации локального объекта от любых случайных или злонамеренных воздействий, способных нанести ущерб самой информации, ее владельцам и пользователям или поддерживающей ее инфраструктуре [4]. Задачи обеспечения безопасности в этом (как, впрочем, и в любом другом) случае сводятся к минимизации ущерба, а также к прогнозированию и предотвращению негативных воздействий.

Уточним основные позиции приведенного определения.

Под ущербом, способным быть нанесенным электронной информации (в нашем случае вузовской обучающе-воспита-тельной), следует подразумевать ее искажение, а также частичную или полную аннуляцию в результате воздействия на нее компьютерных вирусов или других вредоносных электронных программ.

Под ущербом, способным быть нанесенным владельцам электронной информации (в нашем случае - преподавателям и студентам, размещающим на вузовских сайтах учебно-программную, учебно-методическую, учебно- и научно-проектную документацию), следует подразумевать нарушение ее конфиденциальности, то есть несанкционированное проникновение в персональные базы данных профессиональных хакеров (что обусловлено возрастающей ценностью научной информации) или юных компьютерных фанатов, осуществляющих взломы электронных программ «из любопытства», «для наращивания мастерства».

Под ущербом, способным быть нанесенным пользователям электронной информации (применительно к нашему случаю опять-таки преподавателям и студентам) следует подразумевать прежде всего отсутствие свободного доступа к полезной познавательной информации и так называемые Б08-атаки. Первый из указанных факторов может быть обусловлен

недостаточной мощностью информационной системы вуза, второй - целенаправленным воздействием на нее различного рода злоумышленников, организующих массированную отправку пакетов данных на вузовские файловые почтовые сервера, чтобы вызвать их перегрузку и на время вывести из строя.

Под ущербом, способным быть нанесенным инфраструктуре, поддерживающей защищенность электронной информации, следует подразумевать естественную (в результате неподконтрольного износа) или искусственную (в результате целенаправленных воздействий) порчу систем электро-, водо-, газоснабжения, системы кондиционирования и т. д., а также недобросовестное хранение и использование электронного оборудования.

В контексте трактовки ключевых позиций базового определения нашей статьи становятся «прозрачными» интересующие нас компоненты безопасности электронной информационной системы (ЭИС) вуза. Показательно, что все эти компоненты связаны с назначением деятельности обслуживающих ЭИС лиц, то есть все без исключения носят функциональный характер. Поэтому на рис. 1, где они представлены «в снятом виде», мы назвали их функциональными компонентами.

Рис. 1. Функциональные компоненты безопасности электронной информационной системы образовательного процесса вуза

Комментируя рисунок, подчеркнем комплексность (неразрывность) зафиксированных на нем компонентов. Недостатки в обеспечении любого из них влекут за собой сбои в работоспособности системы в целом.

Подчеркнем также, что основным в составе перечисленных компонентов мы считаем компонент доступности. Информационные образовательные системы создаются для получения обучающих информационных услуг. Если по тем или иным причинам предоставить эти услуги становится невозможным, это наносит ущерб всем субъектам образовательных отношений, особенно в случаях реализации мобильного (т-Ьеаттф и дистанционного (ё-Ьваттф) обучения [3].

Невосполним ущерб от утраты доступа к электронной информации и в системах управления современными учебными заведениями, отличающихся большим количеством функциональных уровней, среди которых все большую роль играет уровень социальных партнеров образования - предприятий, учреждений, организаций, заинтересованных в подготовке специалистов.

В общем же и целом все выделенные нами компоненты безопасности электронных информационных образовательных систем вполне конкретны и доступны для проведения защитно-профилактических работ. Однако на пути осуществления этих работ в учебных заведениях нередко возникают преграды

- противоречия, наличие которых препятствует магистральной линии развития образования:

- первое, самое распространенное, - противоречие между признанием важности на словах и отсутствием на деле четкой структуры действий по обеспечению безопасности электронных каналов образовательных связей;

- второе, не менее распространенное, - противоречие между усиленной декларацией на государственном уровне необходимости глубокой фильтрации поступающей к обучающемуся электронной информации и крайне недостаточной разработанностью научно-методических и технико-технологических основ такой фильтрации;

- и, наконец, третье, главное с точки зрения рачительного руководителя в образовании, - противоречие между остаточным принципом финансирования образовательных систем и дороговизной комплексных технических процедур по обеспечению информационной безопасности образовательного процесса.

Перечисленные противоречия стимулируют необходимость разработки и внедрения научно обоснованной и нормативно поддержанной системы мер по защите электронной информации в образовательном процессе учебных заведений. Такая система представлена на рис. 2.

Цели управления рисками при обеспечении информационной безопасности формируются с опорой на назначение СОИБ (системы обеспечения информационной безопасности) как таковой. Для построения эффективной СОИБ в учебном заведении необходимо выявить и учесть:

• требования к защите информации, важные для данного объекта защиты;

• нормы национального и международного законодательства в сфере СОИБ;

• наработанные практики (методологии) построения подобных СОИБ.

Комплект нормативных документов по управлению информационной безопасностью образовательного процесса должен основываться:

• на актах федерального законодательства (международных договорах, Конституции РФ, законах, указах Президента, постановлениях Правительства РФ, нормативных актах федеральных министерств и ведомств, органов местного самоуправления и т. д.);

• методических документах государственных органов России (Доктрине информационной безопасности РФ, руководящих документах Федеральной службы по техническому и экспортному контролю /ФСТЭК/, приказах ФСБ);

• стандартах информационной безопасности (международных и национальных);

• рекомендациях и методических указаниях Минобразования России.

Службы, организующие защиту информации в образовательном учреждении, включают в свой состав:

• службу экономической безопасности;

• службу безопасности персонала и студентов (режимный отдел);

• отдел кадров;

• службу информационной безопасности.

Направления работы названных служб формируются с учетом направлений деятельности органов России, контролирующих

состояние защиты информации, таких, как: Комитет Госдумы РФ по безопасности; Совет безопасности РФ; ФСТЭК, ФСБ, МВД, МОиН РФ; Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Безусловно, информационные службы учебного заведения действуют в тесной связи с его руководством, выстраивая единую политику безопасности образовательного процесса. В содержание этой политики (ICT, или security policy - англ.) входят правила, директивы, сложившаяся практика, которые определяют, как в пределах образовательного объекта управлять распределением активов, предназначенных для обеспечения security policy.

При построении такой политики рекомендуется предметно рассматривать следующие аспекты защиты информационной системы: 1) защита объектов системы; 2) защита процессов, процедур и программ обработки информации; 3) защита каналов связи; 4) подавление побочных электромагнитных излучений; 5) управление системой защиты.

По каждому из перечисленных аспектов важно реализовывать следующие процедуры: а) определение информационных и технических ресурсов, подлежащих защите; б) выявление полного множества возможных каналов утечки информации; в) проведение оценки рисков потери информации при имеющемся множестве каналов ее утечки; г) определение требований к системе защиты информации; д) выбор средств защиты, уточнение их характеристик; е) использование выбранных мер защиты; ж) контроль целостности системы защиты и способов управления системой.

Политика информационной безопасности ОУ оформляется в виде документированных требований к функционированию информационной системы. Документы обычно разделяют по уровням детализации процесса защиты. Согласно ГОСТу «Р ИСО/ МЭК 17799 - 2005» таких уровней три (табл. 1).

Таблица 1

Ранжирование документации, определяющей требования к защите информационной системы учебного заведения

Статус уровня Примерные документы, регламентирующие политику безопасности Назначение документов

Верхний Концепция обеспечения информационной безопасности Правила допустимого использования ресурсов информационной системы План обеспечения пополнения ресурсов информационной системы Управление обеспечением информационной безопасности (документы политического характера)

Средний Безопасность данных Безопасность коммуникаций Использование средств криптографической защиты Контентная фильтрация и т. д. Техническое обеспечение информационной безопасности (локальные стандарты)

Нижний Регламенты работ Руководства по администрированию работ Инструкции по эксплуатации отдельных сервисов информационной безопасности и т. д. Организационно-техническое обеспечение информационной безопасности (инструкционные материалы)

При оформлении документов среднего и нижнего уровней важно учитывать предлагающиеся в научной литературе [2; 4; 5] средства и методы защиты электронной информации. В силу недостаточной проработанности вопроса они нередко дублируют друг друга, что наглядно отражено в табл. 2. Однако это не умаляет важности их предметного рассмотрения (возможно - разведения на практике).

Зафиксированные в табл. 2 средства и методы могут быть использованы как самостоятельно, так и в интеграции с другими. Это позволяет создавать системы информационной защиты для сетей любой сложности, не зависящие от используемых платформ. Остановимся на этом подробнее.

Рекомендуемые средства и методы защиты электронной информации

Таблица 2

Средства защиты Методы защиты

Средства контроля несанкционированного доступа - НСД (авторизация, мандатное, избирательное управление, управление доступом на основе ролей, аудит) Аутентификация (идентификация) пользователей (пароль, сертификат, биометрия)

Системы анализа и моделирования информационных потоков (CASE-системы) Анализ информации, поступающей в локальную сеть

Инструменты проверки целостности содержимого дисков Контентная фильтрация дисков

Системы обнаружения и предотвращения вторжений (IDS/IPS) Анализаторы сетевых атак

Анализаторы протоколов Анализ виртуальных частных сетей

Антивирусные средства Средства антивирусной защиты

Межсетевые экраны Межсетевые экраны

Криптографические средства (шифрование, цифровая подпись) Средства шифрования информации, хранящейся в ЭВМ и передаваемой по сетям

Системы резервного копирования Контроль сохранности информации

Системы бесперебойного питания (источники питания, резервирование нагрузки, генераторов напряжения) Системы обнаружения уязвимости сетей

Средства контроля доступа в помещения, предотвращения взлома корпусов и краж оборудования Средства контроля сохранности электронного оборудования

Инструментальные средства анализа систем защиты (мониторинговый программный продукт). Средства защиты инфраструктуры, поддерживающей сохранность электроинформации

Средства аутентификации (идентификации), или авторизации, и администрирование объединяются учеными в интегральный метод, именуемый «Комлекс 3А». Аутентификация и авторизация - это ключевые элементы информационной безопасности. При попытке доступа к электронным активам идентификация дает ответ на вопросы: «Кто вы?» и «Где вы?», - то есть: «Являетесь ли авторизованным пользователем сети?». Функция администрирования при этом отвечает за то, к каким ресурсам конкретный пользователь имеет доступ, в определении объема допустимых для него действий.

Системы шифрования позволяют минимизировать потери в случае несанкционированного доступа к данным, хранящимся на жестком диске или ином носителе, а также открывают возможность перехвата информации при ее пересылке по

электронной почте или передаче по сетевым протоколам. Задача данного средства защиты - обеспечение конфиденциальности. Основные требования к системам шифрования - высокий уровень криптоскойкости и легальность использования на территории соответствующего государства.

Межсетевой экран представляет собой систему, образующую между двумя или более сетями защитный барьер, предохраняющий от несанкционированного попадания в сеть или несанкционированного выхода из нее пакетов данных. Основной принцип действия межсетевых экранов - проверка каждого пакета данных на соответствие входящего и исходящего IP-адресов базе разрешенных адресатов.

Говоря о криптографии и межсетевых экранах, следует упомянуть о защищенных виртуальных частных сетях (Virtual

Private Network - VPN). Их использование позволяет решить проблемы конфиденциальности и целостности информации при ее передаче по открытым коммуникационным каналам.

Внедрение VPN в учебном заведении можно свести к решению трех задач;

- защита информационных потоков между ОУ и его социальными партнерами (шифрование производится только на выходе во внешнюю сеть);

- защита доступа к информационным ресурсам удаленных пользователей сети (в частности, при дистанционном обучении);

- защита информационных потоков между отдельными приложениями внутри локальных образовательных сетей (опыт показывает, что большинство атак в ОУ осуществляется из внутренних сетей).

Фильтрация - эффективное средство защиты от потери конфиденциальной информации или от поступления в локальную сеть невостребованной информации. Она касается проверки исходящей и входящей электронной почты. Средства контентной фильтрации позволяют проверять файлы всех известных форматов. При этом пропускная способность сети практически не меняется.

Все изменения на рабочей станции или на сервере могут быть отслежены администратором сети благодаря технологии проверки содержимого жесткого диска (integrity checking). Технология позволяет отслеживать любые действия с файлами (изменение, удаление, открытие) и идентифицировать активность вирусов, а также обнаруживать несанкционированный доступ к материалам авторизованных пользователей или кражу данных последними у своих коллег. Проверка происходит путем анализа контрольных сумм файлов (CRC-сумм).

Современные антивирусные технологии позволяют выявить практически все известные вирусные программы через сравнение кода подозрительного файла с образцами, хранящимися в антивирусной базе. Кроме того, разработаны технологии моделирования поведения вирусов, позволяющие обнаруживать новые вирусные программы. Выявляемые объекты могут подвергаться лечению, изолироваться или удаляться. Защита от вирусов может быть установлена на рабочие станции, файловые и почтовые сервера, межсетевые экраны, работающие практически в любой из распространенных операционных систем.

Особо хотелось бы сказать о методах защиты актуальной электронной информации от спама - источника неблагона-

Библиографический список

дежности электронной почты. Благодаря спаму, электронная почта всего за несколько лет стала главным каналом распространения вредоносных программ. Спам отнимает у администраторов локальных электронных систем массу времени на просмотр и удаление негативных сообщений.

Фильтры спама значительно уменьшают трудозатраты, связанные с его разбором, снижают интенсивность загрузки серверов, улучшают психологический фон среди пользователей ПК и уменьшают риск заражения ПК новыми вирусами, поскольку сообщения, содержащие вирусы (даже не вошедшие в базы антивирусных программ) часто имеют признаки спама и отфильтровываются. Правда, положительный эффект от фильтрации может быть перечеркнут, если фильтр, наряду с мусорными, удаляет как спам и полезные сообщения.

Избежать указанного негатива можно заблаговременно, не дожидаясь реального нападения на локальную информационную базу данных, с помощью систем обнаружения уязвимостей компьютерных сетей и анализаторов сетевых атак. Эти программные средства моделируют распространенные атаки и определяют, что именно хакер может увидеть в сети и как он может использовать ее ресурсы.

Для противодействия естественным угрозам информационной безопасности в учебном заведении должен быть разработан набор процедур по предотвращению чрезвычайных ситуаций (например, по обеспечению физической защиты данных от пожара). Один из методов, эффективных в таком случае, -резервное копирование с соблюдением регулярности, учетом типов носителей информации, определением способов хранения копий и т. д.

Завершая краткий обзор эпистемологии, средств и методов обеспечения информационной безопасности образовательного процесса, актуальных в условиях трансфинитности электронного обучения, подчеркнем, что с развитием технического прогресса рассмотренные средства и методы неизбежно будут устаревать прежде, чем осуществится их внедрение в жизнедеятельность образовательных учреждений. Это выдвигает на повестку дня осознание важности опережающего противодействия угрозам информационных атак на учебные заведения. Решить же проблему можно только в случае поддержки современных образовательных систем необходимыми финансовыми, нормативными, научно-методическими средствами и компетентными кадрами, способными обеспечить защиту этих систем от вредоносных технических, негативных интеллектуальных и разрушающих духовно-нравственных воздействий.

1. Рубин, Ю. Е-Learning как предпосылка становления интегрированного обучения на российском рынке образовательных услуг // Высш. образование в России. - 2008. - № 6.

2. Стрельцов, А. А. Обеспечение информационной безопасности России: теорет. и методол. основы / под ред. В.А. Садовничего, В.П. Шерстюка. -М.: МЦ НМО, 2002.

3. Трубина, Л.Н. Информационная безопасность учащихся и студенческой молодежи // Роль государственно-общественного управления в обеспечении комплексной безопасности объектов и субъектов образовательной системы: Материалы Междунар. НПК, 17-18 нояб. 2008 г. - Челябинск, 2008.

4. Шинкаренко, И.Р. Преступления в сфере использования компьютерной техники: квалификация, расследование и противодействие: моногр. / И.Р. Шинкаренко, В.О. Голубев, Н.В. Карчевский, И.Ф. Хараберюш. - Донецк: РВВ ЛДУВС, 2007.

5. Уфимцев, Ю.С. Информационная безопасность России / Ю.С. Уфимцев, Е.А. Ерофеев. - М.: Экзамен, 2003.

Статья поступила в редакцию 18.06.10

УДК 316.663.5

В. С. Чернявская, д-р пед. наук, проф. каф. философии и психологии ВГУЭС;

Р.М. Гимаева, ст. преп. ВГУЭС, г. Владивосток, E-mail: tina_v@rambler.ru

СОЦИАЛЬНО-ПСИХОЛОГИЧЕСКИЕ ДЕТЕРМИНАНТЫ ПОТРЕБИТЕЛЬСКИХ ПРЕДПОЧТЕНИЙ СОВРЕМЕННЫХ ЖЕНЩИН- ОСОБЕННОСТИ МОТИВАЦИИ ПОТРЕБИТЕЛЕЙ ПРОДУКТОВ ТВОРЧЕСКОЙ ДЕЯТЕЛЬНОСТИ ДИЗАЙНЕРОВ

Представлено обоснование мотивов выбора одежды, как предмета потребления. Обоснована необходимость психологического рассмотрения экономических категорий связанных с человеческим поведением, мотивацией. Раскрыты результаты психосемантического анализа осознаваемых и неосознаваемых категорий при выборе одежды женщинами, которые различаются по составу и количеству выделяемых факторов. Выявлены постоянно выделяющиеся основные факторы выбора одежды которые входят в общий континуум направленности личности.