Информационная безопасность вуза Текст научной статьи по специальности «Компьютерные и информационные науки»

УДК 004.056

О. М. Проталинский, И. М. Ажмухамедов ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ВУЗА

Введение

В современных условиях всеобщей информатизации и развития информационных технологий усиливаются угрозы национальной безопасности Российской Федерации в информационной сфере [1].

Концепцию национальной безопасности РФ применительно к информационной сфере развивает Доктрина информационной безопасности Российской Федерации [2].

В Доктрине указывается, что обеспечение информационной безопасности РФ играет ключевую роль в обеспечении национальной безопасности РФ. При этом одним из приоритетных направлений государственной политики в области обеспечения информационной безопасности РФ является совершенствование подготовки кадров, развитие образования в области информационной безопасности. Особую роль в решении этих задач играют вузы.

Российская высшая школа переживает период адаптации не только к объективным процессам информационного общества, но и к новым социально-политическим условиям с разноплановыми проявлениями конкурентной борьбы.

Создание эффективных механизмов управления информационными ресурсами системы высшего образования в современных условиях невозможно без научного обоснования и практической реализации сбалансированной политики информационной безопасности вуза, которая может быть сформирована на основе решения следующих задач [3]:

— анализ процессов информационного взаимодействия во всех сферах основной деятельности российского технического вуза: информационных потоков, их масштаба и качества, противоречий, конкурентной борьбы с выявлением собственников и соперников;

— разработка качественного и простого количественного (математического) описания информационного взаимодействия;

— введение количественных индикаторов и критериев открытости, безопасности и справедливости информационного обмена;

— разработка сценариев необходимости и значимости баланса в информационной открытости и конфиденциальности;

— определение роли и места политики информационной безопасности в управлении информационными ресурсами вуза и выработка согласующихся принципов и подходов;

— формулировка основных составляющих политики: целей, задач, принципов и ключевых направлений обеспечения информационной безопасности;

— разработка базовых методик управления процессом обеспечения политики информационной безопасности;

— подготовка проектов нормативно-правовых документов.

Специфика образовательных учреждений

В современном вузе хранится и обрабатывается огромное количество различных данных, связанных не только с обеспечением учебного процесса, но и с научно-исследовательскими и проектно-конструкторскими разработками, персональные данные студентов и сотрудников, служебная, коммерческая и иная конфиденциальная информация.

Рост количества преступлений в сфере высоких технологий диктует свои требования к защите ресурсов вычислительных сетей учебных заведений и ставит задачу построения собственной интегрированной системы безопасности. Ее решение предполагает наличие нормативноправовой базы, формирование концепции безопасности, разработку мероприятий, планов и процедур по безопасной работе, проектирование, реализацию и сопровождение технических средств защиты информации (СЗИ) в рамках образовательного учреждения. Эти составляющие определяют единую политику обеспечения безопасности информации в вузе.

Специфика защиты информации в образовательной системе заключается в том, что вуз -публичное заведение с непостоянной аудиторией, а также место повышенной активности «начинающих киберпреступников».

Основную группу потенциальных нарушителей в вузе составляют студенты, ряд из них имеют достаточно высокий уровень подготовки. Возраст (от 18 до 23 лет) и юношеский максимализм побуждают таких людей блеснуть знаниями перед сокурсниками: устроить вирусную эпидемию, получить административный доступ и «наказать» преподавателя, заблокировать выход в Интернет и т. д. Достаточно вспомнить, что первые компьютерные правонарушения родились именно в вузе (червь Морриса) [4].

Особенности вуза как объекта информатизации связаны также с многопрофильным характером деятельности, обилием форм и методов учебной работы, пространственной распределенностью инфраструктуры (филиалы, представительства). Сюда же можно отнести и многообразие источников финансирования, наличие развитой структуры вспомогательных подразделений и служб (строительная, производственная, хозяйственная деятельность), необходимость адаптации к меняющемуся рынку образовательных услуг, потребность в анализе рынка труда, отсутствие общепринятой формализации деловых процессов, необходимость электронного взаимодействия с вышестоящими организациями, частое изменение статуса сотрудников и обучаемых.

Несколько облегчает проблему то, что вуз представляет собой стабильную, иерархическую по функциям управления систему, обладающую всеми необходимыми условиями жизнедеятельности и действующую на принципах централизованного управления (последнее означает, что в управлении задачами информатизации может активно использоваться административный ресурс).

Указанные выше особенности обусловливают необходимость соблюдения следующих требований:

— комплексная проработка задач информационной безопасности, начиная с концепции и заканчивая сопровождением программно-технических решений;

— привлечение большого числа специалистов, владеющих содержательной частью деловых процессов;

— использование модульной структуры корпоративных приложений, когда каждый модуль покрывает взаимосвязанную группу деловых процедур или информационных сервисов при обеспечении единых требований к безопасности;

— применение обоснованной последовательности этапов в решении задач информационной безопасности;

— документирование разработок на базе разумного применения стандартов, что гарантирует создание успешной системы;

— использование надежных и масштабируемых аппаратно-программных платформ и технологий различного назначения, обеспечивающих необходимый уровень безопасности.

С точки зрения архитектуры в корпоративной информационной среде можно выделить три уровня, для обеспечения безопасного функционирования которых необходимо применять различные подходы:

— оборудование вычислительной сети, каналов и линий передачи данных, рабочих мест пользователей, системы хранения данных;

— операционные системы, сетевые службы и сервисы по управлению доступом к ресурсам, программное обеспечение среднего слоя;

— прикладное программное обеспечение, информационные сервисы и среды, ориентированные на пользователей.

При создании комплексной информационной сети (КИС) необходимо обеспечить меж-уровневое согласование требований по безопасности к выбираемым решениям или технологиям. Так, на втором уровне архитектура КИС многих вузов представляет собой разрозненные и слабо связанные подсистемы с разными операционными средами, согласованные друг с другом только на уровне закрепления Ш-адресов или обмена сообщениями. Причинами плохой системной организации КИС является отсутствие утвержденной архитектуры КИС, наличие нескольких центров ответственности за развитие технологий, которые действуют несогласованно. Проблемы начинаются с нежелания управлять выбором операционных сред в подразделениях, когда ключевые технологические решения полностью децентрализованы, что резко снижает уровень безопасности системы.

Вузы, имеющие четкую стратегию развития информационных технологий, единые требования к информационной инфраструктуре, политику информационной безопасности и утвержденные регламенты на основные компоненты КИС, отличаются, как правило, сильным административным ядром в управлении и высоким авторитетом руководителя ИТ-службы [5].

В таких вузах могут, конечно, использоваться различные операционные среды или системы среднего слоя, но это обусловлено организационно-техническими или экономическими причинами и не препятствует развертыванию КИС вуза и внедрению унифицированных принципов безопасного доступа к информационным ресурсам.

Состояние развития в вузах третьего уровня архитектуры КИС можно охарактеризовать следующим образом: в основном завершен переход от локальных программных приложений, автоматизирующих отдельный деловой процесс и опирающихся на локальный набор данных, к корпоративным клиент-серверным информационным системам, обеспечивающим доступ пользователей к оперативным базам данных вуза. В том или ином виде решена задача интеграции данных, порожденных различными информационными системами, что позволяет усовершенствовать бизнес-процессы, повысить качество управления и принятия решений.

Если в начале 90-х гг. XX в. был высокий спрос на бухгалтерское программное обеспечение и программное обеспечение управленческого учета (учет кадров, отчетность и т. д.), то в настоящее время этот спрос в большей части удовлетворен. В настоящее время стоит задача обеспечить достоверными данными о деятельности образовательного учреждения не только управленческий персонал, но и каждого преподавателя и студента, т. е. задача эффективного управления данными, циркулирующими в КИС, что, в свою очередь, делает задачу обеспечения информационной безопасности в таких сетях еще более актуальной.

Информационная безопасность корпоративных сетей вузов

Активное внедрение Интернета и новых информационных технологий в образовательный процесс и систему управления вузом создало предпосылки к появлению корпоративных сетей.

Корпоративная сеть вуза - это информационная система, включающая в себя компьютеры, серверы, сетевое оборудование, средства связи и телекоммуникации, систему программного обеспечения, предназначенную для решения задач управления вузом и ведения образовательной деятельности.

Корпоративная сеть обычно объединяет не только структурные подразделения вуза, но и их региональные представительства. Ранее недоступные для вуза, в настоящее время эти сети стали активно внедряться в образовательные структуры в связи с массовым распространением Интернета и его доступностью [6].

Комплексная информационная безопасность вуза - система сохранения, ограничения и авторизованного доступа к информации, содержащейся на серверах в корпоративных сетях вузов, а также передаваемая по телекоммуникационным каналам связи в системах дистанционного обучения.

В более широком смысле термин «комплексная информационная безопасность вуза» включает в себя два аспекта: систему защиты интеллектуальной информационной собственности вуза от внешних и внутренних агрессивных воздействий и систему управления доступом к информации и защиты от агрессивных информационных пространств. В последнее время, в связи с неконтролируемым массовым развитием Интернета, последний аспект безопасности становится особенно актуальным.

Под термином «информационное пространство» понимается информация, содержащаяся на серверах в корпоративных сетях учебных заведений, учреждений, библиотек и в глобальной сети Интернет, на электронных носителях информации, а также передаваемая по телевизионным каналам связи или по телевидению.

Агрессивное информационное пространство - это информационное пространство, содержание которого может вызвать проявления агрессии у пользователя как сразу же после информационного воздействия, так и через некоторое время (отдаленный эффект).

Термин основан на гипотезе, что информация в определенных формах и содержании может вызвать определенные эффекты с проявлением агрессии и враждебности [6].

Проблемы комплексной информационной безопасности корпоративных сетей вузов гораздо шире, разнообразнее и острее, чем в других системах. Это связано со следующими особенностями:

— корпоративная сеть вуза строится обычно на концепции «скудного финансирования» (оборудование, кадры, нелицензионное программное обеспечение);

— как правило, корпоративные сети не имеют стратегических целей развития. Это значит, что топология сетей, их техническое и программное обеспечение рассматриваются с позиций текущих задач;

— в одной корпоративной сети вуза решаются две основные задачи: обеспечение образовательной и научной деятельности и решение задачи управления образовательным и научным процессами. Это означает, что одновременно в этой сети работает несколько автоматизированных систем или подсистем в рамках одной системы управления (АСУ «Студент», АСУ «Кадры», АСУ «Учебный процесс», АСУ «Библиотека», АСУ «НИР», АСУ «Бухгалтерия» и т. д.);

— корпоративные сети гетерогенны как по оборудованию, так и по программному обеспечению в связи с тем, что создавались в течение длительного времени для разных задач;

— планы комплексной информационной безопасности, как правило, либо отсутствуют, либо не соответствуют современным требованиям.

В такой сети возможны как внутренние, так и внешние угрозы безопасности информации:

— попытки несанкционированного администрирования баз данных;

— исследование сетей, несанкционированный запуск программ по аудиту сетей;

— удаление информации, в том числе библиотек;

— запуск игровых программ;

— установка вирусных программ и троянских коней;

— попытки взлома АСУ «ВУЗ»;

— сканирование сетей, в том числе других организаций, через Интернет;

— несанкционированная откачка из Интернета нелицензионного софта и установка его на рабочие станции;

— попытки проникновения в системы бухгалтерского учета;

— поиск «дыр» в OC, firewall, Proxy-серверах;

— попытки несанкционированного удаленного администрирования ОС;

— сканирование портов и т. п.

Анализ угроз, их источников и рисков

Источниками возможных угроз информации являются:

— компьютеризированные учебные аудитории, в которых проходит учебный процесс;

— Интернет;

— рабочие станции неквалифицированных в сфере информационной безопасности работников вуза.

Анализ информационных рисков можно разделить на следующие этапы:

— классификация объектов, подлежащих защите, по важности;

— определение привлекательности объектов защиты для взломщиков;

— определение возможных угроз и вероятных каналов доступа на объекты;

— оценка существующих мер безопасности;

— определение уязвимостей в обороне и способов их ликвидации;

— составление ранжированного списка угроз;

— оценка ущерба от несанкционированного доступа, атак в отказе обслуживании, сбоев в работе оборудования.

Основные объекты, нуждающиеся в защите от несанкционированного доступа:

— бухгалтерские ЛВС, данные планово-финансового отдела, а также статистические и архивные данные;

— серверы баз данных;

— консоль управления учетными записями;

— www/ftp-серверы;

— ЛВС и серверы исследовательских проектов.

Как правило, связь с Интернетом осуществляется сразу по нескольким линиям связи (оптоволоконная магистраль, спутниковые и радиоканалы). Отдельные каналы предоставляются для связи с другими университетами или для безопасного обмена данными.

Чтобы исключить риски, связанные с утечкой и порчей передаваемой информации, такие сети не должны подключаться к глобальным сетям и общей университетской сети.

Критически важные узлы для обмена данными университета (например, бухгалтерская ЛВС) также должны существовать отдельно.

Рубежи защиты

Первый рубеж обороны от атак извне (Интернет) - роутер (маршрутизатор). Он применяется для связи участков сети друг с другом, а также для более эффективного разделения трафика и использования альтернативных путей между узлами сети. От его настроек зависит функционирование подсетей и связь с глобальными сетями (WAN). Его главная задача в плане безопасности - защита от распределенных атак в отказе обслуживания (DDOS).

Вторым рубежом может служить межсетевой экран (МСЭ): аппаратно-программный комплекс Cisco PIX Firewall.

Затем следует демилитаризованная зона (DMZ). В этой зоне необходимо расположить главный прокси-сервер, dns-сервер, www/ftp, mail-серверы. Прокси-сервер обрабатывает запросы от рабочих станций учебного персонала, серверов, не подключенных напрямую к роутеру, и фильтрует трафик. Политика безопасности на этом уровне должна определяться блокированием нежелательного трафика и его экономией (фильтрация мультимедиаконтента, iso-образов, блокировка страниц нежелательного/нецензурного содержания по ключевым словам). Чтобы не происходило скачивания информации, зараженной вирусами, на этом сервере оправдано размещение антивирусных средств.

Информация от прокси-сервера должна параллельно отсылаться на сервер статистики, где можно посмотреть и проанализировать деятельность пользователей в Интернете. На почтовом сервере обязательно должен присутствовать почтовый антивирус, например Kaspersky Antivirus for Mail servers.

Так как эти серверы связаны непосредственно с глобальной сетью, аудит программного обеспечения, установленного на них, - первоочередная задача инженера по информационной безопасности вуза. Для экономии средств и гибкости настраивания желательно применять opensource ОС и программное обеспечение.

Одни из самых распространенных ОС - FreeBSD и GNU Linux. Но ничто не мешает использовать и более консервативную Open BSD или даже сверхстабильную ОС реального времени - QNX.

Для централизованного управления антивирусной деятельностью необходим продукт с клиент-серверной архитектурой, такой как Dr.Web Enterprise Suite. Он позволяет централизованно управлять настройками и обновлением антивирусных баз с помощью графической консоли и предоставлять удобочитаемую статистику о вирусной деятельности, если таковая присутствует.

Для большего удобства работников вуза можно организовать доступ к внутренней сети университета с помощью технологии VPN.

Некоторые университеты имеют свой пул дозвона для выхода в Интернет и используют каналы связи учреждения. Во избежание использования этого доступа посторонними лицами в незаконных целях работники учебного заведения не должны разглашать телефон пула, логин, пароль.

Степень защищенности сетей и серверов большинства вузов России оставляет желать лучшего. Причин тому много, но одна из главных - плохая организация мер по разработке и обеспечению политики информационной безопасности и недооценка важности этих мероприятий. Вторая проблема заключается в недостаточном финансировании закупок оборудования и внедрения новых технологий в сфере информационной безопасности.

Структура системы комплексной информационной безопасности вуза

Система комплексной информационной безопасности должна включать в себя выработку следующих политик.

Прежде всего, это финансовая политика развертывания, развития и поддержания в актуальном состоянии корпоративной сети вуза. Она является доминирующей и ее можно разделить на три направления: скудное финансирование, финансирование с разумной достаточностью и приоритетное финансирование.

Вторая политика определяется уровнем организации развертывания и сопровождения корпоративной сети вуза.

Третья политика относится к кадровому составу информационного центра. Для вуза она особенно актуальна в связи с повышенной востребованностью опытных сисадминов.

Политика программного обеспечения в настоящее время - один из затратных факторов развития корпоративной сети. Рациональные подходы к его решению в условия монопольного рынка ОС и программных продуктов MicroSoft - это отдельный вопрос, требующий внимательного рассмотрения.

Политика технического обеспечения, может быть, не вполне актуальна в условиях достаточного финансирования. Но всегда существует проблема обновления устаревшего оборудования.

Наконец, последняя политика связана с формирование морально-этических норм толерантного поведения в информационных системах и разумного ограничения от посещений агрессивных информационных пространств. Недооценка этих направлений будет компенсироваться повышенными финансовыми затратами на сопровождение корпоративных сетей вузов [6].

СПИСОК ЛИТЕРАТУРЫ

1. Концепция национальной безопасности РФ, утверждена Указом Президента РФ от 17.12.97 г. № 1300 (в ред. Указа Президента РФ от 10.01.2000 г. № 24).

2. Доктрина информационной безопасности Российской Федерации, утверждена Президентом РФ 9.09.2000 г. Пр-1895.

3. Труфанов А. И. Политика информационной безопасности вуза как предмет исследования // Проблемы Земной цивилизации. - Вып. 9. - Иркутск: ИрГТУ, 2004 / library.istu.edu/civ/default.htm.

4. Волков А. В. Обеспечение ИБ в вузах // Информационная безопасность. - 2006. - № 3, 4 / http://www. itsec.ru/articles2/bepub/insec-3 + 4-2006.

5. Крюков В. В., Майоров В. С., Шахгельдян К. И. Реализация корпоративной вычислительной сети вуза на базе технологии Active Directory // Тр. Всерос. науч. конф. «Научный сервис в сети Интернет». -Новороссийск, 2002. - С. 253-255.

6. Минзов А. С. Особенности комплексной информационной безопасности корпоративных сетей вузов /http: //tolerance. mubiu. ru/base/Minzov(2).htm#top.

Статья поступила в редакцию 22.01.2009

INFORMATION SECURITY OF INSTITUTE OF HIGHER EDUCATION

O. M. Protalinskiy, I. M. Azhmukhamedov

The specific character of providing information security in the Institute of Higher Education is revealed. Threats, their sources and risks are analyzed. The boundaries of the information protection and the structure of complex information security system are examined.

Key words: information security, institute of higher education, the security threat, information security.