CC BY
36
УДК 004.056:336.717
Ю.П. Ехлаков, В.Д. Зыков, Е.Д. Головин
Информационная безопасность портала университета
Рассматриваются размещенные образовательные ресурсы на портале университета. Предлагаются комплексные решения по обеспечению информационной безопасности образовательных ресурсов университета. Особое внимание уделено организационно-техническим мероприятиям.
Портал университета содержит в себе различные образовательные ресурсы (ОР). Требования к их защите включают в себя несколько взаимосвязанных этапов и формируют информационную безопасность портала. Очевидно, что использование комплексного подхода к данному объекту защиты позволит существенно интегрировать существующие методы и средства защиты [1].
Этап анализа возможных угроз образовательных ресурсов необходим для фиксирования на определенный момент времени состояния ОР и определения возможных нежелательных воздействий на каждый компонент образовательного портала. Очевидно, что обеспечить защиту ОР от всевозможных угроз и уязвимостей невозможно, т.к. невозможно полностью установить перечень угроз и способов их реализаций.
Предлагается выбрать из всего множества возможных воздействий те, которые могут реально произойти и нанести серьезный ущерб образовательному порталу. На этапе планирования формируется система зашиты как единая совокупность мер противодействия различной природы. По способам осуществления все меры обеспечения безопасности образовательного портала подразделяются на правовые (законодательные), морально-этические, административные, физические и технические (аппаратные и программные) [2-4].
К правовым мерам защиты относятся действующие в России законы, указы и другие нормативные акты, регламентирующие правила обращения с информацией ограниченного использования и ответственность за их нарушения. К одному из наиболее важных правовых решений необходимо отнести закон «О персональных данных». Данный класс методов защиты препятствует несанкционированному использованию информации и является сдерживающим фактором для потенциальных нарушителей.
К морально-этическим мерам противодействия относятся всевозможные нормы поведения, которые традиционно сложились или складываются в стране или в университете в частности. Эти нормы большей частью не являются обязательными. Морально-этические нормы бывают как неписанные (например, общепризнанные нормы честности при размещении образовательной информации на портале), так и оформленные в виде правил или предписаний — так называемые кодексы работы в сети [2]. В частности, при работе с образовательными ресурсами будут признаны неэтичными умышленные или неумышленные действия, которые:
- нарушают нормальную работу образовательного портала;
- вызывают дополнительные неоправданные затраты ресурсов (машинного времени, памяти, каналов связи и т.п.);
- нарушают целостность хранимой и обрабатываемой информации;
- нарушают интересы других законных пользователей и т.д.
Административные меры защиты — это меры организационного характера, регламентирующие процессы функционирования образовательного портала. При этом обработка информации, использование образовательных ресурсов, деятельность персонала, а также порядок взаимодействия пользователей реализуются таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности. Они включают:
- разработку правил обработки информации в образовательном портале;
- распределение разграничения доступа для различных категорий пользователей образовательных ресурсов;
- регламентированную организацию подготовки и скрытого контроля за работой пользователей и персонала портала;
- мероприятия, осуществляемые при подборе и подготовке персонала (проверка сотрудников, ознакомление их с порядком работы с информацией портала и т.д.);
- мероприятия, осуществляемые при проектировании, разработке программного обеспечения;
- мероприятия, осуществляемые при ремонте и модификациях оборудования.
Физические меры защиты — это механические или электронно-механические устройства и сооружения, предназначенные для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам образовательного портала и защищаемых образовательных ресурсов информации.
Аппаратно-программными средствами защиты называются различные электронные устройства и специальное программное обеспечение, которые выполняют функции защиты (для портала университета наиболее актуальными являются функции идентификации и аутентификации пользователей, разграничение доступа к ресурсам, регистрация событий и т.д.).
Очевидно, что использование системного подхода к вопросам обеспечения безопасности ОР и комплексного использования различных мер защиты на всех этапах жизненного цикла ОР позволяет существенно упростить использование различных средств защиты и вести проектирование на концептуальном уровне.
Определимся с правовыми и организационными вопросами защиты образовательных ресурсов портала университета.
Административные меры играют значительную роль в обеспечении безопасности ОР. Эти меры необходимо использовать тогда, когда другие методы и средства защиты просто недоступны (отсутствуют или слишком дороги), а также при учете человеческого фактора в университете. Это не означает, что систему защиты необходимо строить только на основе административных методов. Этим мерам присущи следующие серьезные недостатки: низкая надежность без соответствующей поддержки со стороны программных, технических и физических средств (люди могут нарушать любые установленные правила, могут возникнуть «непредвиденные» ситуации и пр.).
Административные меры принято заменять более надежными современными физическими, техническими и программно-аппаратными средствами. Они должны обеспечивать эффективное применение других, более надежных методов и средств защиты в части касающейся регламентации действий людей.
Известны следующие универсальные способы защиты образовательных ресурсов порталов от различных угроз воздействий:
- идентификация и аутентификация субъектов доступа (пользователей, процессов и т.д.);
- регистрация и анализ событий, происходящих в ОР;
- контроль доступа к ресурсам ОР;
- контроль целостности объектов ОР;
- шифрование данных;
- резервирование ресурсов и компонентов ОР.
Приведенные универсальные способы защиты могут применяться в различных вариациях, на различных программно-аппаратных платформах и совокупностях в конкретных методах и средствах защиты.
При создании единой системы защиты информации в сетевых образовательных ресурсах необходимо реализовать ряд мер организационного характера.
1. Внесение изменений в нормативные документы образовательных учреждений по повышению качества образования при использовании системы защиты сетевых образовательных ресурсов.
2. Разработка комплекта необходимого документационного обеспечения функционирования системы защиты информации:
- положение о порядке обработки конфиденциальной информации и информации ограниченного распространения в сетевых образовательных ресурсах;
- положение об администраторе информационной безопасности образовательного ресурса;
- разработка политик информационной безопасности образовательного ресурса;
- регламент функционирования сетевого образовательного ресурса и сетевой образовательной системы;
- требования к средствам защиты, включаемых в систему защиты сетевых образовательных ресурсов;
- рекомендации образовательным учреждениям по защите конфиденциальной информации и защите образовательных ресурсов;
- порядок проверки работоспособности системы защиты образовательных ресурсов от воздействия внешних и внутренних угроз;
- требования по обеспечению финансовых гарантий деятельности и ответственности владельцев и пользователей образовательных ресурсов;
- порядок разрешения споров при использовании и распространении образовательных ресурсов.
Таким образом, разработанные организационно-технические мероприятия позволят:
- утвердить основополагающие стандарты в сфере использования средств защиты информации как в деятельности образовательных учреждений, так и других организаций;
- обеспечить поддержку внедрения информационных технологий, обеспечивающих для образовательных учреждений возможность интерактивного информационного обслуживания образовательных потребностей граждан и организаций;
- произвести интеграцию образовательных систем различных образовательных учреждений и организаций, имеющих образовательные ресурсы, и предоставления образовательных услуг на основе общих стандартов и требований в рамках системы образования Российской Федерации, обеспечить реализацию эффективного и защищенного информационного обмена и электронного взаимодействия образовательных учреждений власти между собой, с населением и организациями;
- повысить квалификацию в области развития сетевых образовательных ресурсов, соблюдения авторских прав и обеспечения информационной безопасности в целом;
- увеличить долю программных продуктов отечественного производства, используемых в деятельности образовательных учреждений при создании сетевых образовательных ресурсов;
- реализовать программы в рамках международного информационного взаимодействия как за счет гармонизации российских нормативных требований и стандартов в сфере применения сетевых образовательных ресурсов с международными.
Необходимым условием успешной реализации настоящих мероприятий является максимальная открытость процесса выработки и принятия решений по всем поставленным в ней вопросам при широком их обсуждении с участием общественности, научных и экспертных кругов.
Литература
1. Мещеряков Р.В. Специальные вопросы информационной безопасности / Р.В. Мещеряков, A.A. Шелупанов. - Томск : Изд-во Института оптики атмосферы СО РАН, 2002. -350 с.
2. Давыдова Е.М. Системный анализ исходных данных информационых ресурсов образовательного портала / Е.М. Давыдова, Р.В. Мещеряков, A.A. Шелупанов, Ю.К. Просвиров // Системные проблемы надежности, качества, информационных и электронных технологий : матер. 10-й Междунар. конф. и Российской научной школы. - М. : Радио и связь, 2005. - Ч. 4. - С. 66.
3. Давыдова Е.М. Технологии защиты информационных ресурсов образовательного портала отрасли / Е.М. Давыдова, Р.В. Мещеряков, A.A. Шелупанов // Системные проблемы надежности, качества, информационных и электронных технологий: материалы 10-й Международной конференции и Российской научной школы. - М. : Радио и связь, 2005. - Ч. 4. — С. 65.
4. Давыдова Е.М. Безопасность образовательного портала / Е.М. Давыдова, Р.В. Мещеряков, A.A. Шелупанов // Образовательная среда сегодня и завтра: материалы 2-й Всероссийской НПК / редсовет ; отв. ред. В.И. Солдаткин. - М. : Рособразование, 2005. - С. 255-256.
Ехлаков Юрий Поликарпович
Д-р техн. наук, профессор, зав. каф. автоматизации обработки информации ТУСУРа Тел.: (3822) 53 24 20 Эл. почта: upe@tusur.ru
Зыков Владимир Дмитриевич
Аспирант кафедры комплексной информационной безопасности ЭВС ТУСУРа
Тел.: (3822) 41 34 26
Эл. почта: office@security.tomsk.ru
Головин Евгений Дмитриевич
Канд. техн. наук, зам. директора филиала ТУСУРа в г. Сургуте Тел.: (3462) 52 57 80; 90 94 53 Эл почта: office@keva.tomsk.ru
Y.P. Ehlakov, V.D. Zykov, E.D. Golovin Information security of university portal
In papers the placed educational resources on a university portal are considered. Complex decisions on maintenance of information security of university educational resources are offered. The special attention is given to organizational-technical actions.
