CC BY
115
8. Дробницкий О. Г. Понятие морали. М. : Наука, 1974. 386 с.
9. Ермаков А. Е. Компьютерная лингвистика и анализ текста [Электронный ресурс]. Режим доступа: http://www.osp.ru/ pcworld/2002/09/163968 (дата обращения 22.12.2013).
10. Информационная справка [Электронный ресурс]. Режим доступа: http://www.anticekta. ru/Sects/Iskcon/SO-13.o6.2007.htm (дата обращения 5.12.2008).
11. Караулов Ю. Н. Русский язык и языковая личность. М. : ЛКИ, 2010. 264 с. ISBN 978-5382-01071-7.
12. Леонтьева Н. Н. Автоматическое понимание текстов: системы, модели, ресурсы. М. : Академия, 2006. 304 с. ISBN 5-7695-1842-1.
8. Drobnickij O. G. Concept of morality. Moscow, Nauka, 1974. 386 p.
9. Ermakov A. E. Computational linguistics and text analysis. Available at: http://www.osp.ru/ pcworld/2002/09/163968 (accessed 22 December 2013).
10. Informational part. Available at: http://www. anticekta.ru/Sects/Iskcon/SO-13.06.2007.htm (accessed 22 December 2013).
11. Karaulov Yu. N. RRussian language and linguistic identity. Moscow, LKI, 2010. 264 p. ISBN 978-5-382-01071-7.
12. Leont'eva N. N. Automatic understanding of texts: systems, models, resources. Moscow, Akademija, 2006. 304 p. ISBN 5-7695-1842-1.
УДК 004.75+004.77
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ САЙТОВ ВЫСШИХ УЧЕБНЫХ ЗАВЕДЕНИЙ: ПРОБЛЕМЫ И РЕШЕНИЯ
INFORMATION SECURITY OF UNIVERSITY SITES: PROBLEMS AND SOLUTIONS
© Брумштейн Юрий Моисеевич
Yury M. Brumsteyn кандидат технических наук, доцент кафедры управления качеством, Астраханский государственный университет, Россия.
PhD (Technical), Astrakhan State University, Russia.
© Бондарев Андрей Андреевич
Andrey A. Bondarev начальник отдела Internet-технологий управления телекоммуникаций и вычислительной техники, Астраханский государственный университет. department head, Astrakhan State University, Russia.
Показана роль вузовских сайтов (ВС) в информационном обеспечении деятельности российских вузов. Исследованы причины и структура рисков информационной безопасности, связанных с регистрацией, созданием и эксплуатацией ВС. Проанализированы способы уменьшения или исключения этих рисков, основанные на использовании инженерно-технических, организационных, программно-технических, кадровых и иных решений.
Ключевые слова: вуз, сайт, Интернет, информационная безопасность, структура угроз, управление безопасностью, методы управления.
The role of university websites in the work of Russian universities informational provision is shown. The structure of information security risks associated with registration and operation of university websites is analyzed. Ways to reduce or eliminate these risks, based on the use of engineering, organizational, software and hardware, personnel and other decisions are also studied..
Key words: university, website, Internet, information security threats structure management, security management practices.
Использование сайтов играет важную роль в работе вузов России. При этом обеспечение информационной безопасности (ИБ) вузовских сайтов (ВС) - это не только необходимое условие их эксплуатации [7, с. 5], но и фактор имиджа вуза в информационном пространстве [4]. Кроме того, ИБ ВС крупных вузов может влиять и на ИБ регионов в целом [2]. Специфические вопросы ИБ ВС в существующих публикациях отражены недостаточно полно. Поэтому авторами данной статьи ставилась цель комплексного анализа угроз и методов управления ИБ для ВС. Акцент в работе сделан на практически значимой тематике, актуальной и при обучении студентов по вопросам ИБ ВС [5].
Функциональная характеристика ВС с различных позиций
Основные функции ВС:
- обеспечение дистанционной доступности общей информации о вузе (оперативной и накопленной), предоставляемых им образовательных услугах, научной деятельности и пр.;
- оперативное представление новостной информации;
- размещение материалов учебного и методического характера;
- обеспечение коммуникаций между физическими лицами с использованием вузовских систем электронной почты (ЭП) [3] и гиперссылок на личные странички сотрудников;
- поддержка информационного взаимодействия со школами, другими образовательными заведениями;
- размещение содержаний вузовских научных журналов и текстов, опубликованных в них статей, материалов научных конференций; автоматизированный приём в электронной форме научных и иных материалов к публикации, иногда отражение хода рассмотрения таких материалов в редакциях; обеспечение дискуссионных площадок, например, в виде форумов пользователей на ВС; поддержка технологий дистанционного обучения.
Однако информационное взаимодействие между членами студенческих групп чаще организуется с использованием «социальных сетей», чем через странички ВС или папки (директории) на серверах локальных сетей вузов.
Российские ВС размещены в основном в доменной зоне «га» (редко - «org» и некоторых иных) и относятся ко второму уровню. Домены третьего уровня могут организовываться для решения специальных задач: организации дистанционного обучения (здесь есть специфические проблемы ИБ [10]), учёта научных публикаций сотрудников и студентов вузов и пр. Поддержка сайтов-зеркал для ВС в доменной
зоне «рф» пока не характерна. Филиалы вузов, как правило, имеют не собственные сайты, а отдельные странички на ВС головных организаций. Это позволяет лучше обеспечивать доступность таких страниц, поддерживать необходимый уровень их ИБ.
С позиций Минобрнауки России, ВС должны удовлетворять определённым требованиям [8] в отношении полноты и объективности «раскрытия» информации о вузе, в том числе по плановым показателям набора студентов и аспирантов, стоимостям коммерческого обучения, средним баллам ЕГЭ по набранным абитуриентами. Однако эти правила [8] не полностью предопределяют (унифицируют) архитектуру ВС, поэтому они значительно отличаются по структуре/содержанию. Показателей ВС нет в «критериях эффективности» вузов [9], что объективно снижает «значимость» характеристик вузовских сайтов.
Ряд бюджетных высших образовательных учреждений и все вузы, не финансируемые из бюджета, не находятся в прямом подчинении Минобрнауки. По этой причине соблюдение ими требований к ВС [8] в должном объёме обеспечить сложно, отчасти из-за нежелания руководства представлять информацию, негативно влияющую на имидж вуза; значительных трудозатрат на сбор, обработку, размещение, актуализацию информации и др.
Объективно развитие межвузовских связей (в том числе международных) должно способствовать унификации структур ВС и мер их ИБ. Однако пока соответствующие межвузовские соглашения (даже при общей ведомственной подчинённости вузов) практически отсутствуют. Они могли бы инициироваться и региональными советами ректоров вузов. Насколько известно авторам, нет таких соглашений и с зарубежными вузами.
Наличие версий ВС или хотя бы их ключевых страниц с иноязычными интерфейсами (ИИ) не регламентируется [8]. Поэтому такие версии есть на ВС не всех российских вузов. С позиций ИБ, отсутствие или недостаточное количество ИИ на ВС снижает «уровень присутствия» вузов в международном информационном пространстве. Однако при росте числа ИИ ВС увеличиваются и угрозы хакерских атак пользователей, которые владеют соответствующим иностранным языком, но не владеют русским.
В тех вузах, где ИИ на ВС используются, переключение языков чаще всего осуществляется кнопками на главной (стартовой) странице. Они обычно оформлены как кнопки с аббревиатурами названий языков или флаги соответствующих стран. Среди ИИ ВС обязательно есть англоязычный. Приведём выборочные данные по
количествам ИИ ВС на 20.08.2013: Московский госуниверситет - 1 ИИ (www.msu.ru); Высшая школа экономики (г. Москва) - 2 (www.hse. ru/?marshrut); Дагестанский госуниверситет (www.dgu.ru) - 6; Саратовский государственный технический университет - 3 (www.sstu.ru); Саратовский государственный университет -2 (www.sgu.ru); Астраханский госуниверситет (АГУ) (www.aspu.ru) - 2; Волгоградский государственный технический университет (www. vstu.ru) - 1; Нижегородский государственный лингвистический университет (www.lunn.ru) - 1. На российских ВС не применяются кнопки-переключатели на «национальные» языки (даже вузами в столицах «автономных республик») и на языки стран СНГ. В то же время на сайтах практически всех крупных вузов стран СНГ (кроме западной части Украины) и некоторых ВС прибалтийских стран есть возможность переключения на русскоязычный интерфейс. Общее количество языков интерфейса зарубежных ВС может быть достаточно большим. Например, на ВС Белорусского госуниверситета (http:// www.bsu.by/) кроме белорусского доступны ещё 6 языков (включая русский), а Львовского национального университета - кроме украинского ещё 5 языков (но не русского). В то же время на сайтах многих ведущих университетов мира в англоязычных странах ИИ не предусмотрены. Это, например, Кембриджский университет (http://www.cam.ac.uk/); Калифорнийский университет в Беркли (http://www.berkeley.edu/ index.html); Йельский университет (http://www. yale.edu/) и др. Главные страницы ряда ВС содержат гиперссылки на страницы социальных сетей, в том числе относящиеся к этим вузам.
Вопросы «продвижения» российских ВС в поисковых системах Интернета, размещения на ВС ссылок на страницы официального сайта Минобрнауки, высшей аттестационной комиссии (ВАК) нормативно не регулируются.
Большинство вузов разрабатывают и эксплуатируют ВС силами собственных специалистов, уровень профессиональной подготовки которых существенно различается. При этом процедуры сертификации ИБ таких специалистов нормативными документами не предусматриваются. Отметим, что структура ВС их разработчиками время от времени изменяется с целью улучшения.
Совокупность описанных выше факторов приводит к ряду негашшнъж последствий для ИБ ВС.
1. Поисковые системы Интернета по заданному названию вуза выдают достаточно много ссылок. Выбрать среди них ту, которая ведёт именно на главную страницу сайта нужного вуза, не всегда удаётся сразу.
2. Затруднения пользователей при поиске конкретной информации на различных ВС, так как выработанные стереотипы действий на привычных сайтах на других сайтах «не работают». При этом, как минимум, время доступа к нужной информации удлиняется. Как максимум, эта информация на ВС вообще оказывается не найденной, особенно, если у пользователей мало времени.
3. Сложно осуществлять автоматизированный интернет-мониторинг информации по совокупности ВС (даже в рамках одного региона), подготавливать сводные статистические и/или аналитические справки, отчёты и пр.
4. Для «не русскоязычных» пользователей Интернета российские ВС, не содержащие ИИ, оказываются недоступными. Это объективно затрудняет информационную интеграцию российских вузов (особенно региональных) и их сотрудников в международное образовательное и научно-исследовательское пространство; уменьшает вероятность привлечения на обучение зарубежных студентов и аспирантов, не владеющих русским языком (в том числе из развивающихся стран Азии и Африки); снижает возможности вузов и их сотрудников в вопросах участия в международных проектах, конференциях, получения международных грантов.
С позиций руководства вузов, ВС - важнейшее средство обеспечения многостороннего информационного взаимодействия между «вузами в целом» и преподавателями, сотрудниками, студентами, аспирантами, а также с внешними, по отношению к вузам, юридическими и физическими лицами.
Для подразделений вузов ВС - это удобная площадка для размещения сведений о направлениях их деятельности, графиках работы, научных и иных достижениях, организационных, методических материалах и пр.
Для преподавателей вузов ВС обеспечивают доступ к расписанию занятий; возможности размещения учебных (учебно-методических) материалов, включая программы курсов, тестовых материалов, персональной информации, включая направления руководства дипломными работами (магистерскими диссертациями), научно-исследовательской деятельности и пр.
Студентам/аспирантам ВС дают возможность доступа к расписаниям занятий, учебно-методическим, тестовым и иным материалам.
С позиций абитуриентов и их родителей, ВС позволяют получить объективную информацию об условиях приёма и обучения в вузах.
Экономическая эффективность затрат на разработку (модернизацию) ВС и их эксплуатацию обеспечивается за счёт повышения конкурентоспособности вузов, создания благо-
приятных условий для работы преподавателей, учёбы студентов вузов, набора абитуриентов и пр.
Некоторые общие вопросы контроля
и управления рисками ИБ ВС
При планировании/реализации мер управления рисками ИБ ВС приходится соблюдать баланс интересов между функциональной полнотой/надёжностью используемых средств защиты, их стоимостью, удобством работы пользователей на сайтах. При этом объёмы ресурсов, которые могут быть использованы для обеспечения ИБ, ВС могут ограничиваться. Это касается таких компонент/средств обеспечения, как финансовые, трудовые ресурсы, сроки проверки информации перед размещением её на ВС, объёмы информации, включая графические материалы и пр. Современное программное обеспечение (ПО) позволяет менять «акценты» в этом «балансе компонент» для различных групп пользователей и/или выполняемых ими операций (действий), а также отслеживать факты атак на ВС в оперативном и ретроспективном режиме.
На практике попытки атак (например, типа SQL-injection) или несанкционированного доступа (НСД) к ВС чаще всего обнаруживаются при плановом анализе журналов работы веб-сервера. Реже факт НСД устанавливается по вторичным (косвенным) признакам утечки информации. Например, обсуждение на тематических форумах специфичного для конкретного ВС программного обеспечения и аппаратной конфигурации. Для систем дистанционного образования признаком утечки информации может быть появление в открытых источниках баз данных с контрольными вопросами и верными ответами.
Случаи очевидного взлома ВС являются единичными. Обычно это происходит в результате автоматизированного массового взлома сайтов, использующего уязвимости ПО (в том числе на сайтах ВС) либо является следствием намеренных действий по замене содержимого страниц сайтов, в том числе главных страниц (дефейс). В этих случаях системными администраторами ВС осуществляется оперативное устранение последствий взлома.
Для контроля частоты атак на серверы ВС может быть задействовано ПО для управления инцидентами, helpdesk-сисгемы, а также более специализированные системы SIEM и OSSIM. Однако на практике отслеживание статистики инцидентов, связанных с ИБ ВС, и попыток НСД к защищённой информации на ВС не рассматриваются как приоритетные задачи.
Насколько востребованы ВС, определяется «внутренними» средствами по таким параметрам,
как среднесуточное количество посетителей сайта; суммарное время, проведённое ими на ВС; посещаемость отдельных страничек ВС; динамика объёмов информации, размещаемой пользователями на ВС и пр. Для этой цели могут быть использованы программные решения AWStats, Webalizer. Наличие на ВС ресурсов, которые не востребованы или используются редко, также может рассматриваться как фактор ИБ.
Для контроля востребованности ВС в сети Интернет могут быть применены общие средства анализа для веб-сайтов, статистические данные счётчиков и интернет-метрик. Часто высокие показатели для сайта являются причиной попыток НСД к защищённой информации, внедрения на ВС средств перенаправления посетителей сайтов на внешние ресурсы с коммерческой рекламой.
Длительное существование домена ВС и его авторитетность в интернет-пространстве также могут быть причиной попыток использования его для продвижения «сторонних ресурсов» в результатах, выдаваемых поисковыми системами Интернета по запросам пользователей. В данном случае злоумышленник заинтересован в скрытном использовании ресурсов ВС за счёт применения механизмов подмены контента страниц ВС только для поисковых роботов. Например, это может осуществляться специализированными директивами файла htaccess веб-сервера Apache, которые основаны на специфичных для поисковых роботов строках User-Agent.
Обеспечение востребованности ВС в Интернете достигается корректировкой состава размещаемой на сайтах информации, изменением интерфейсов пользователей, выбором адекватной политики регистрации ВС в поисковых системах Интернета, заключением соглашений с владельцами различных сайтов о взаимном размещении гиперссылок и пр.
Причины и структура рисков ИБ, связанных с регистрацией доменных имён ВС, их созданием/модернизацией, продвижением в интернет-пространстве
Киберсквоттинг обычно трактуется как регистрация (захват) имён сайтов для последующей перепродажи прав их использования в Интернете заинтересованным организациям. Для ВС эта тема, как правило, не актуальна, даже в отношении судебного оспаривания прав на web-имена. Унификация имен сайтов для российских бюджетных вузов привела к тому, что интуитивно ожидаемые имена сайтов для некоторых высших образовательных учреждений фактически принадлежат другим. Однако через поисковые системы Интернета на сайты нужных вузов выйти можно, хотя и ценой дополнительных затрат времени.
Риски ИБ для ВС на этапе планирования создания/модернизации ВС связаны с возможной неэффективностью (или даже ошибочностью) решений по нескольким направлениям.
Риски инженерно-технического характера: неверный выбор мощностей и состава серверов, с учётом предполагаемого развития ВС; недостаточная пропускная способность канала связи с интернет-провайдером; скачки напряжения и/или длительные отключения электропитания и др. В первых двух случаях риски снижаются при анализе опыта других вузов, изучении рекомендаций в компьютерной периодике, Интернете и пр. Небольшим вузам обычно достаточно одного сервера, выполняющего все функции. В более крупных высших образовательных учреждениях целесообразно использование двух серверов: для обслуживания локальной сети и для обеспечения работы с Интернетом (размещение ВС, доступ пользователей в Сеть и пр.). Для повышения надёжности работы ВС эффективны сервер-зеркала, при этом желательно использование хостинга на сервере внешней организации (это позволяет повысить и «энергонезависимость» работы ВС). Энергобезопасность ВС обычно обеспечивается источниками бесперебойного питания (UPS). Однако их ёмкостей обычно хватает на 1-2 часа работы сервера, а типичные длительности отключения электроэнергии - порядка нескольких часов. При значительных и частых скачках напряжения питания, помимо UPS, часто применяются стабилизаторы напряжения.
Использование в вузах «аварийных» электрогенераторов для серверов затрудняется следующими причинами.
1. Серверы подключаются к общей электросети вуза, поэтому «запитать» отдельно только их и коммуникационное оборудование затруднительно.
2. Электрогенераторы (даже работающие на сжиженном газе и дающие мало токсичных выхлопов) должны находиться вне помещений. Для большинства вузов таким местом зачастую является лишь навес под крышей (где они слабо защищены от криминальных рисков, перепадов температур), а не пристройка к корпусу или чердачное помещение. Инженерно-технические риски связаны также с выбором помещений для серверных комнат, технических систем контроля доступа в них, регулирования температуры воздуха в этих комнатах и пр.
Организационные риски - это неэффективные решения по формированию графиков создания/модернизации ВС, неверному определению трудоёмкости работ, их последовательности. Эти риски могут быть уменьшены с внедрением методологии «управления проектами».
Риски выбора неоптимального ПО для выполнения разработок ВС снижаются за счёт изучения уже существующего опыта создания web-сайтов. При выборе ПО приходится также учитывать и квалификацию/знания лиц, привлекаемых к разработкам ВС. Типичным решением при создании ВС является использование набора открытого ПО: Apache/nginx, PHP/Ruby, MySQL/MariaDB, а также свободной операционной системы семейства Unix.
Для такой «связки» ПО есть устоявшаяся классификация уязвимостей, создающих угрозу ИБ ВС. Однако приходится учитывать возможность существования в ПО опасностей «нулевого дня» (0day), касающихся платформы, используемой для создания ВС. Приведём примеры.
Опубликованные сведения об ошибках, исправленных в релизе PHP 5.3.12, позволяют говорить о критической уязвимости, которая оставалась неизвестной в течение 8-ми лет и не препятствовала получению исходных кодов сайта, включая логины и пароли для подключения к базе данных серверов ВС.
В одном из релизов СУБД MySQL (<5.1.63) была выявлена ошибка, при которой с вероятностью 1/255 происходил удалённый вход с логином root без пароля по причине некорректного возврата данных библиотекой языка C (libc/glibc).
К факторам риска ИБ можно также отнести слишком раннюю публикацию сведений об уязвимости, содержащую подробности и примеры использования («раннюю» - означает, что системные администраторы ВС ещё не успели заменить старые версии ПО, содержащие уязвимости), ПО с открытым исходным кодом часто не имеет чётких циклов разработки, поэтому выпуск исправлений может значительно задерживаться. Отсутствие механизмов централизованного оповещения об угрозах ИБ подразделений вузов, поддерживающих ВС, ограничивает их возможности своевременного реагирования на эти угрозы.
Кадровые риски ИБ определяются нерациональным выбором состава разработчиков ВС, прежде всего, с позиций их квалификации (в том числе квалификации по ИБ), опыта работы, стабильности сотрудничества с вузом, требований к оплате и пр. Эти риски могут быть уменьшены при заинтересованности разработчиков в длительном сотрудничестве с вузами, а также сопровождения ВС на этапе их эксплуатации.
В силу больших объёмов деятельности часть разработок страниц ВС может выполняться отдельными институтами, факультетами, кафедрами и другими подразделениями вузов, с привлечением студентов. Таким образом, в создании ВС могут участвовать и «не профес-
сионалы». Это потенциально может приводить к снижению уровня ИБ ВС, если централизованный контроль (аудит) качества разработок не осуществляется должным образом. В процессе создания/эксплуатации ВС применимы методы «управления качеством ПО». Они обеспечивают эксплуатационную надёжность разработок, быстроту доступа к ВС, удобства интерфейса для пользователей.
Риски, связанные с неоптимальным выбором архитектуры/структуры ВС, уменьшаются при коллективном принятии решений, изучении структур сайтов других вузов с высокой посещаемостью и/или рейтингами и др. Общая архитектура (структура) ВС обычно утверждается руководством вуза и меняется относительно редко.
Хакерские атаки на ВС по их целям разделим на группы: блокирование доступа к ВС в целом; вывод из строя (разрушение) ВС; вывод из строя отдельных уязвимых страниц ВС; не санкционированный доступ к информации, защищённой логинами-паролями; подмена информации, размещённой на ВС (последнее требует более высокой «хакерской квалификации»). Приведём примеры ошибок (недочётов) разработчиков страниц (или групп страниц) ВС, приводящих к уязвимостям.
Распределённая информационная система (РИС) поддержки трудоустройства молодых специалистов была разработана ФГАУ ГНИИ ИТТ «Информика» и МЦПТ МГТУ им. Н. Э. Баумана. Она внедрялась в учреждениях образования по приказу Министерства образования № 2172 от 10.06.2002 г. «Об установке в высших учебных заведениях Российской Федерации, подведомственных Минобразованию России, информационной системы по трудоустройству и занятости выпускников вузов». Эта система представляла собой наполняемый банк вакансий работодателей и анкет соискателей, которые, в конечном счёте, собирались в базе данных центрального сервера системы (зона ответственности МГТУ им. Н. Э. Баумана) для проведения дальнейших мероприятий - мониторинга, формирования отчётности и т. п. Вводимые в РИС данные использовались в отчётах, включаемых в различные рейтинги оценки деятельности вузов.
Открытый исходный код РИС позволил оценить надёжность системы защиты информации и выявить следующие её недостатки с позиций ИБ: наличие встроенной учётной записи admin с паролем admin; неудовлетворительная проверка полномочий пользователя (автоматическая регистрация переменных rvar_*); недостаточная фильтрация данных, поступающих от неавторизованных пользователей (отсутствует проверка наличия установленной сессии поль-
зователя, то есть авторизации). Поскольку РИС была типовой, то, очевидно, для поиска цели атак были применены штатные возможности поисковых систем. Далее мог быть выполнен анализ (в том числе автоматизированный) результатов поиска на предмет наличия объектов, характерных для РИС. А именно: использование скрипта stat_form.php (inurl:"/ stat_form.php?fokr=i"); сведения об авторских правах (intext:© 2000-2007 Informika, МЦПТ МГТУ им. Н. Э. Баумана). Убирать сведения об авторских правах было запрещено условиями лицензионного соглашения, включённого в комплект поставки ПО.
После выявления «цели атаки» для проникновения в РИС могли быть применены стандартные логин и пароль. Например, система http://job.bstu.ru с этой целью использует имя admin с паролем по умолчанию.
Если не удавалось авторизоваться под встроенным именем пользователя admin, то злоумышленник мог задействовать не декларированные в РИС возможности обхода систем авторизации. В частности, если предпринималась попытка получения списка пользователей РИС по специально сформированному запросу (составленному по результатам анализа исходного кода системы), который позволял обходить проверку полномочий пользователя:
http://job.aspu.ru/accs.php?rvar_cs=xek
http://job.aspu.ru/accs.php?cs=xek
После получения доступа к РИС, в зависимости от целей НСД, становилась возможной модификация/блокирование/удаление любого пользователя с помощью специального запроса. Например, модификации учётных данных «Администратора системы РИС», включая email и пароль:
http://job.aspu.ru/accs.php?act=edit&id=i&cs= admin.
Ещё один недостаток РИС заключается в том, что система принимает данные через POST-запросы, содержимое которых не фиксируется в журнале работы веб-сервера. Таким образом, злоумышленник остался «незамеченным», это значительно осложняло сбор доказательной базы противоправных действий.
Указанные выше причины позволяли выполнять блокирование или саботаж работы РИС; осуществлять «отравление» (наполнение недействительными данными) центральной базы системы; уничтожать все локальные (в отдельных вузах) данные системы; проводить атаки типа «отказ в обслуживании» для отдельных функциональных (целевых) подсистем. Позже РИС была признана разработчиками устаревшей и с 2010 г. заменена системой АИСТ, выполненной в виде компонента для CMS Joomla 1.5. Её
внедрение осуществлялось централизованно - по указанию Минобрнауки (письмо № ВМ-786/03 от 21.05.2010).
Несмотря на оповещение о возможных проблемах с безопасностью (http://kcst.bmstu. ru/forums/index.php/topic,47i .o.html), работа по аудиту исходного кода компонента разработчиками была выполнена в недостаточных объёмах. В результате 28.04.2011 г. в Интернете был опубликован код (http://www.exploit-id.com/ web-applications/joomla-component-com_aist-sql-injection-vulnerability) для осуществления SQL-инъекции в систему, через уязвимый сценарий компонента АИСТ, позволяющий выполнять различные команды в контексте СУБД целевого сервера. Основным сценарием атак являлись действия, направленные на модификацию главных страниц ВС.
Разработчики системы также использовали уязвимую версию АИСТ. В частности, в результате выполнения запроса: http://aist.bmstu.ru/index.php?&option=com_ aist&view=vacancylist&œntact_id=-3%20AND% 201=2%20UNION%20SELECT%201,2,3,4,graup_ concat%28username,0x3a,activation%29g3mb3lz featnuxbie, 6,7,8,9,10,11,12,13,14,15,16,17,18,19,20 ,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36 % 20from%20jos_users--&Itemid= становилось возможным получение/смена пароля администратора ВС. В результате атак на описываемую систему производился дефейс.
Последовавшие вслед за интернет-публикацией этой уязвимости атаки на ВС были массовыми, в силу обязательного использования этой системы в вузах России. Устранялись последствия атак сотрудниками вузов. Разработчик же рекомендовал обновлённый компонент, выпущенный только 4.05.2011г. Таким образом, время реагирования разработчиков составило 7 дней, что критично для ВС, особенно в период проведения приёмной кампании.
Отдельно отметим угрозы для ИБ, связанные с широким использованием при эксплуатации ВС свободных и широко распространённых CMS (Joomla, Drupal, WordPress и т.п.). Применение их устаревших версий не безопасно, а переход на современные версии не всегда возможен. Проиллюстрируем это на примере CMS Joomla. Для неё выпускаются LTS и STS версии, то есть версии с долговременной и краткосрочной поддержкой. Релиз CMS Joomla 1.5 с долговременной поддержкой был выпущен в январе 2008 г. и поддерживался вплоть до апреля 2012 г. При этом упомянутый выше компонент АИСТ был работоспособен только при эксплуатации с CMS Joomla 1.5 до марта 2013 г. Таким образом, несоответствие циклов разработки/поддержки модуля и основной
системы управления контентом создаёт повышенный риск ИБ ВС, затягивает процесс ротации информационных систем.
Другие направления уязвимостей ВС связаны с осуществлением вузами программной поддержки дистанционного обучения, в частности, широко используются коммерческие решения компании ГиперМетод IBS, в том числе eLearningServer. Внедрённый в эксплуатацию в АГУ в 2004 г. сайт ido.aspu.ru обеспечивал потребности Центра дистанционного образования (ЦДО) на основе использования версии eLearningServer 3000. 10.05.2012 г. в Интернете был опубликован эксплоит (http://www.exploit-db.com/exploits/18858/), позволяющий подключать произвольный удалённый php-сценарий (PHP-include). Данная уязвимость относится к eLearningServer 4G, однако эксплоит полностью функционален и для версии eLearningServer 3000. В результате реализован НСД к серверу ЦДО АГУ, а также выполнен дефейс.
Эта уязвимость переносилась разработчиками из версии в версию на протяжении 8-ми лет и оставалась незамеченной. После интернет-публикации об уязвимости никаких оповещений эксплуатантам системы со стороны её разработчиков не последовало. Также было отказано в технической поддержке по причине истечения сроков действия договора АГУ с разработчиком системы. Поэтому исправление кода системы, а также ликвидация последствий НСД производились в оперативном режиме сотрудниками отдела Internet-технологий АГУ. Этот пример показывает и недостатки в юридическом обеспечении взаимодействия эксплуатантов ВС со сторонними разработчиками, которые фактически снижают защищённость инвестиций вузов в разработки ВС.
Развитие информационных технологий зачастую порождает новые типы уязвимостей. Рассмотрим механизм всем понятного URL, применяемый в рамках оптимизации сайтов для поисковых систем (SEO), на примере страницы http://astu.org/news/1133-Oshibka-dHnnoyu-v-zhiznj. Система управления сайтом позволяет модифицировать URL с условием сохранения валидного номера новости. Таким образом, приведённый URL можно трансформировать без потери работоспособности в http://astu.org/ news/1133-АГТУ-худший-вуз-Астрахани. Если злоумышленник использует смысловую часть модифицированной ссылки в качестве «анкора» при продвижении сайта в поисковых системах, то в выдаче поисковых систем Интернета ссылка выйдет в «топ списка» по запросу «худший вуз Астрахани». Таким образом, может быть оказано отрицательное информационное воздействие в отношении имиджа/репутации вуза, что осо-
бенно важно в период приёмных кампаний. Этот пример не относится к типовым уязвимостям веб-приложений и, вероятно, должен быть обозначен как URL спуфинг (URL spoofing). Методика защиты от подобного URL спуфинга заключается в задании жёсткого соответствия идентификационного номера записи и строки URL с единовременной валидацией этого соответствия при обращении к странице ВС.
Риски ИБ, связанные с эксплуатацией ВС
Здесь также целесообразно разделение на несколько групп.
Риски, связанные с «просрочкой» оплаты продления прав на ВС и, как следствие, перехода их имён в категорию «свободных». Это может приводить к «отключению» ВС от сети Интернет. Однако, в силу наличия предупреждений владельцев ВС о необходимости продления прав, эти риски невелики.
Важнейшим риском при эксплуатации ВС можно считать то, что при доступе через Интернет их страницы не открываются или открываются слишком медленно. Для такой ситуации возможны различные причины (или их комбинации), включая уже описанные выше и рассматриваемые далее.
Инженерно-технические риски определяются, в основном, решениями, принятыми на этапе создания ВС. Однако во время эксплуатации эти решения могут быть скорректированы, например, путём установки UPS большей ёмкости, наращивания мощностей серверов, обслуживающих ВС и пр. Отметим также угрозы, связанные с нарушением каналов связи с провайдерами услуг доступа к Интернету (обычно по оптоволоконным кабелям), в том числе из-за обрывов кабелей, выхода из строя коммуникационного оборудования, нарушений работы ПО на серверах провайдеров и пр. Важно, что при эксплуатации ВС обычно не предусматриваются резервные каналы доступа к провайдеру (например, посредством беспроводной связи) или переключение на другого провайдера.
Риски эксплуатации ВС могут определяться также неоптимальным набором эксплуатационного ПО, обеспечивающего доступ к сайту. Обычно этот набор близок к стандартному и включает в себя наиболее распространённые http-серверы. При этом, например, известно, что использование веб-сервера Apache для полного обеспечения ВС на одном сервере повлечёт существенное замедление и, возможно, даже недоступность ВС, по сравнению со «связкой nginx + Apache» в режиме распределения нагрузки по признакам динамичности контента. Nginx значительно эффективнее производит
отдачу статического контента (файлы, изображения и т. п.). В то же время Apache располагает модулями обработки динамических страниц, например php-сценариев.
Организационные риски эксплуатации ВС: размещение на ВС не объективной, неточной или неверной информации; помещение в ленты новостей ВС уже устаревшей информации; отсутствие на ВС информации, которая должна там быть на основе внутри- или вневузовских нормативных документов; нерациональная система контроля информации, размещаемой на ВС (слишком длительная система получения «санкций на размещение» или, наоборот, ослабленный контроль); фактическое размещение информации не на тех страницах ВС, для которых она предназначена (это ухудшает или даже исключает её доступность); неоптимальные должностные инструкции для персонала, нечётко определяющие полномочия и ответственность; недостаточная квалификация или мотивация к работе эксплуатационного персонала ВС; нерациональная политика выдачи/ смены «логинов-паролей» и пр. Особо отметим необходимость контроля «не попадания» на ВС закрытой служебной информации; сведений, представляющих государственную [1] или коммерческую тайну; информации, раскрывающей содержание возможных заявок на получение патентов на изобретения, полезные модели и др.
Форумы пользователей, размещённые на ВС, должны модерироваться осуществлением контроля информации до её помещения на сайт либо проверки и, при необходимости, удаления информации, уже занесённой на ВС пользователями. Возможные причины такого удаления (например, из форумов): использование нецензурных выражений; наличие оскорбительных высказываний о сотрудниках/студентах вуза, неверных сведений, порочащих их честь и достоинство; размещение фальсифицированных сведений, порочащих репутацию вуза в целом, его подразделений; появление на ВС информации, нарушающей авторские права и пр. Размещение на ВС гиперссылок на места нахождения в Интернете нелицензионного ПО, других материалов, на которые есть правообладатели, формально не может считаться нарушением авторских прав, но по существу подталкивает студентов к таким нарушениям.
Угрозы, связанные с программно-техни-ческимирисками эксплуатации ВС: постоянное увеличение количества и расширение номенклатуры рисков ИБ при работе в Интернете; повышение профессионализма киберпреступников [6, с.93]; наличие не выявленных уязвимостей в разработанных страничках ВС; хакерские атаки; вирусная опасность; не санкционированные
попытки изменения информации на страницах ВС из локальной сети вуза.
Наиболее эффективными средствами защиты от внешних, по отношению к вузу, программно-технических угроз считаются аппаратно-программные файерволы (например, фирмы Cisco), но они дороги. Установка антивирусного ПО (АПО) на вузовские серверы потенциально позволяет проверять поток входной и выходной информации, но ценой некоторого замедления скорости её прохождения. Риски несвоевременного обновления баз такого ПО исключаются, если устанавливается режим автоматического обновления баз.
Типичным не резидентным антивирусным ПО, используемым на обслуживающих ВС серверах, является ClamAV. Он может быть использован как файловый сканер, что особенно актуально в среде веб-сервера.
Контроль трафика через ВС важен не только в отношении «проводных» вузовских пользователей (их компьютеры в значительной мере контролируются системными администраторами), но и «беспроводных» - по Wi-Fi сетям. Для повышения уровня ИБ желательно, чтобы на серверах ВС и ПЭВМ пользователей АПО не было разных фирм-производителей.
Специальное ПО (включая «прокси-сер-верное») способно обеспечить ряд дополнительных функций, включая оценки фактических объёмов трафика с ПЭВМ; разрешение и запрет доступа для отдельных ПЭВМ вуза к конкретным страничкам ВС, внешним сайтам и/или их группам и т. д. При использовании индивидуальных «логинов-паролей» для работы в локальных сетях вузов такое ПО позволяет дифференцировать политику ИБ по отношению к отдельным пользователям, индивидуально учитывать/квотировать их трафик, разрешать операции размещения/корректировки ответственной информации.
На ВС могут сосредотачиваться значительные объёмы «персональной информации» (ПИ) о сотрудниках и студентах, в том числе не предназначенной для открытого доступа. Обычно вход в такие базы данных разрешается лишь отдельным категориям сотрудников вуза, в силу выполняемых ими служебных функций. Источниками ПИ для ВС может являться регистрация посетителей с различными целями: получение доступа к некоторым видам инфор-
мации, например электронным библиотекам; участие в интернет-олимпиадах, различных конкурсах; получение автоматизированных рассылок и др. Поэтому в отношении ВС вузы должны рассматриваться как «операторы персональных данных», со всеми вытекающими отсюда последствиями в отношении ИБ.
В ряде вузов, в рамках обеспечения «обратных связей», предусматривается возможность получения сообщений от пользователей - заполненных ими специальных форм на страничках ВС. При этом часть вводимой информации формализована (выбирается из «выпадающих списков»), а другая часть - допускает свободный ввод. Преимущество такого подхода - возможность автоматического анализа информации, сопровождающей сообщения. Как следствие, снижаются риски неверной классификации сообщений, передачи их непрофильным специалистам вуза, накопления в непрофильных базах и т. д.
Выводы
1. Обеспечение эффективности создания/ эксплуатации ВС требует обязательного учёта факторов ИБ при создании сайтов, решения инженерно-технических, организационных и кадровых вопросов.
2. При эксплуатации ВС необходимо соблюдение баланса интересов, связанных с обеспечением ИБ ВС, двух категорий юридических и физических лиц: подразделений вузов, осуществляющих информационное сопровождение (наполнение) ВС, и пользователей ВС.
3. К сфере ИБ ВС необходимо относить вопросы выполнения нормативных требований Минобрнауки по размещению информации, а также исключения попадания в открытый доступ на ВС «закрытой» служебной информации вузов и персональных данных посетителей сайтов, если доступ к таким сведениям не санкционирован.
4. Рациональность решений в области обеспечения ИБ ВС должна достигаться сочетанием изучения опыта других организаций; объективной оценкой собственных целей и возможностей (ресурсов) вуза; анализом недочётов, допущенных при создании и эксплуатации ВС.
Материалы поступили в редакцию 21.09.2013 г.
Библиографический список (References)
1. Бакаева О. Ю. Государственный контроль в сфере защиты государственной тайны: актуальные вопросы правового регулирования // Информационная безопасность регионов :
1. Bakaeva O. Yu. State control in the sphere of protection of state secrets: current issues of legal regulation. Informacionnaja bezopasnost' regionov. 2013. No 1(12). P. 93-97. ISSN 1995-5731.
научно-практический журнал. 2013. № 1(12). С. 93-97. ISSN 1995-5731.
2. Брумштейн Ю. М. Комплексный анализ факторов информационной и интеллектуальной безопасности регионов / Ю. М. Брумштейн, А. Н. Подгорный // Информационная безопасность регионов : научно-практический журнал. 2011. № 1(8). С. 8-14. ISSN 1995-5731.
3. Брумштейн Ю. М. Информационная безопасность использования электронных почтовых ящиков / Ю. М. Брумштейн., Ж. Т. Балбаев, С. В. Пригаро / / Информационная безопасность регионов : научно-практический журнал. 2012. № 1(10). С.13-20. ISSN 1995-5731.
4. Брумштейн Ю. М. Использование интернет-технологий в управлении научным имиджем регионального вуза / Ю. М. Брумштейн, А. А. Бондарев, И. А. Дюдиков // Прикаспийский журнал: управление и высокие технологии. 2013.
№ 2. C. 90-99. ISSN 1995-5731.
5. Димов Е. Д. Формирование базовых знаний по информационной безопасности интернет-сайтов и порталов при подготовке специалистов по информатике // Вестник Московского городского педагогического университета (Информатика и информатизация образования). 2006. № 7. С. 57-63. ISSN 2072-9014.
6. Гришин С. Е. Прогноз развития информационных рисков и угроз // Информационная безопасность регионов : научно-практический журнал. 2011 № 2 (9). С. 93-96. ISSN 1995-5731.
7. Домарев В. В. Защита информации и безопасность компьютерных систем. М. : ДиаСофт, 1999. 480 с. ISBN 966-7393-29-1.
8. Об утверждении Правил размещения в сети Интернет и обновления информации об образовательном учреждении : постановление Правительства РФ от 18.04.2012 № 343 // Российская газета. 2012. № 5764. 25 апр.
9. Примерный перечень критериев общероссийской системы оценки эффективности деятельности высших учебных заведений : утв. заместителем министра образования и науки РФ А. А. Климовым 19 июня 2012 г. [Электронный ресурс]. Режим доступа: URL: http://www.umoman. ru/content/File/documents/chrlist190612.pdf (дата обращения: 23.12.2012).
10. Defta Costinela Luminita. Information security in E-learning Platforms // Procedia Social and Behavioral Sciences. Volume 15. 2011. Pages 2689-2693.
2. Brumshtejn Yu. M., Podgornyj A. N.
Comprehensive analysis the factors of information and intellectual security of regions. Informacionnaja bezopasnost' regionov. 2011. No 1(8). P. 8-14. ISSN 1995-5731.
3. Brumshtejn Yu. M., Balbaev Zh. T., Prigaro S. V. Information security of electronic mailboxes. Informacionnaja bezopasnost'regionov. 2012. No 1(10). P.13-20. ISSN 1995-5731.
4. Brumshtejn Yu. M.,Bondarev A. A., Djudikov I. A. Using Internet technologies in the management of scientific image of regional high school. Prikaspijskij zhurnal: upravlenie i vysokie tehnologii. 2013. No 2. P. 90-99. ISSN 1995-5731.
5. Dimov E. D. Formation of basic knowledge of information security of Internet sites and portals with training in computer science. Vestnik Moskovskogo gorodskogo pedagogicheskogo universiteta (Informatika i informatizacija obrazovanija). 2006. No 7. P. 57-63. ISSN 20729014.
6. Grishin S. E. Forecast of development of information risks and threats. Informacionnaja bezopasnost' regionov. 2011 No 2 (9). P. 93-96.
ISSN 1995-5731.
7. Domarev V. V. Data protection and security of computer systems. Moscow, DiaSoft, 1999. 480 p. ISBN 966-7393-29-1.
8. On approval of rules posting on the Internet and update the information on the educational institution: RF Government Decree of 18.04.2012 No 343. Rossijskajagazeta. 2012. No 5764. 25 april.
9. Indicative list of criteria Russian system of evaluating the performance of higher education institutions: approved. Deputy Minister of Education and Science of the Russian Federation A. Klimov, June 19, 2012. Available at: http://www.umoman. ru/content/File/documents/chrlist190612.pdf (accessed 23 december 2012).
10. Defta Costinela Luminita. Information security in E-learning Platforms. Procedia Social and Behavioral Sciences. Volume 15. 2011. Pages 2689-2693.
