Методы анализа защищенности образовательных ресурсов Текст научной статьи по специальности «Компьютерные и информационные науки»

УДК 004.056:336.717 Ю.П. Ехлаков, Р.В. Мещеряков

Методы анализа защищенности образовательных ресурсов

Рассматриваются вопросы защищенности образовательных ресурсов. Проводится анализ и классификация существующих образовательных ресурсов сети Интернет. Предлагается повышение уровня защищенности путем использования электронных документов.

Образовательные ресурсы входят в четверку самых востребованных ресурсов Internet. Они необходимы любому человеку, поскольку он должен повышать свои знания на протяжении всего трудоспособного возраста.

В России образовательные ресурсы представлены в Internet весьма широко, однако они малоструктурированы, и не очевидны пути, по которым пользователь может к ним обратиться [1—5].

В евязи с этим в России началась реализация программы по созданию системы российских образовательных порталов, в результате выполнения которой пользователь получит возможность найти нужную информацию в кратчайшее время.

Распределение российских сайтов по видам предоставляемых ресурсов отображается на рис. 1 следующей гистограммой.

60

50- X м

40 1 ' 1

30-

20 f&m

10 0- J & &

1 2 3 4 5 6 7

Рис. 1. Распределение основных видов ресурсов по сайтом

Основные виды ресурсов, которые представлены на гистограмме:

1 — образовательные стандарты;

2 — учебные планы, программы учебных дисциплин;

3 — электронные учебные пособия;

4 — тесты;

5 — справочники, классификаторы, архивы, базы данных;

6 — электронные библиотеки;

7 — периодические издания.

Другая предложенная классификация типов (видов) образовательных ресурсов выглядит следующим образом:

- официальные документы;

- новости;

- описания структуры учебных и научных организаций с контактной информацией;

- электронные библиотеки (книги, учебники, учебные пособия, лекции, статьи, диссертации, материалы конференций и семинаров, аннотации, рефераты и т.п.);

- справочные материалы (могут быть размещены как элемент электронных библиотек);

- наглядные пособия (фолии, слайды, иллюстрации, анимированные иллюстрации, видеосюжеты и т.п.);

- компьютерные моделирующие программы (как самостоятельный обучающий ресурс используются в офф-лайновом режиме в ряде отраслей);

- лабораторные работы (на настоящий момент в подавляющем большинстве просмотренных ресурсов размещены только описания лабораторных работ, календарные графики их выполнения, задания к лабораторным работам и т.п.);

- дистанционное обучение (включает весь спектр возможных типов ресурсов);

- тесты (для внешних пользователей доступны, как правило, тесты в разделах, созданных для абитуриентов);

- ссылки на материалы, подобранные по тематике, из внешних ресурсов Интернет.

Например, анализ более 500 российских информационно-образовательных ресурсов по

математике, физике, химии, биологии, истории, философии, филологии, экономике, юриспруденции, размещенных на сайтах 67 региональных университетов, выявил следующую картину распределения ресурсов по видам, представленную на рис. 2.

Сайты по отдельным Материалы для школьников Дисциплинам Задачники (олимпиады) 13

Лабораторные работы 23

Базы данных, справочники, коллекции, электронная библитека

37

Учебники и лицензии

Учебные материалы

135

Программы курсов 130

Рис. 2. Образовательные ресурсы на сайтах российских региональных университетов, распределенные по типам учебных материалов

Виды предоставляемых сервисов на образовательных сайтах предложено классифицировать следующим образом (расположены в порядке убывания частоты использования).

Поиск по сайту. Данная услуга является наиболее востребованной посетителями. Поиск может осуществляться не только по всему ресурсу, но и в его разделах и рубриках, например, в каталоге или в форуме.

Форум. Второй по популярности предоставляемый сервис. Форумов в информационно-образовательном ресурсе может быть несколько, они могут принимать форму «Дискуссионного клуба» или «Клуба по интересам».

Голосование. Распространенный сервис позволяет провести социологический опрос, установить рейтинг (например, вуза или обучающей программы), поднять тему для обсуждения. Как правило, на один вопрос предлагается несколько вариантов ответа. Голосование может быть применено и в целях увеличения посещаемости ресурса (например, позволяет выяснить, какие именно сервисы пользователи хотели бы видеть на сайте).

Рассылка. Подписка на получение новостей и других информационных материалов. Подобная рассылка является эффективным средством экономии времени пользователя и обычно не воспринимается ими как спам, так как сообщения начинают поступать только после того, как посетитель подтвердит подписку. Однако при обзоре содержания подобных рассылок выяснилось, что только часть редакторов ресурсов присылает по электронной почте полные тексты новостей. Остальные предоставляют только ссылки на те или иные новости на своей странице.

Каталог ссылок. Обычно представляет собой структурированное собрание ссылок (аннотированных или не аннотированных) либо иную справочную информацию (например, список наиболее престижных вузов с их описанием, библиографические списки).

Гостевая книга. В основном вводится владельцами ресурса с целью узнать мнение об оформлении и содержании сайта, о работе всех остальных его сервисов. Вариантами могут быть «Книга отзывов», «Книга жалоб и предложений». Гостевая книга может предполагать наличие ответных реплик от редакторов ресурса, однако в большинстве случаев подобные реплики не предусмотрены.

Чат. В ресурсе может быть от одного до нескольких чатов. При обзоре было выяснено, что активность использования этого сервиса на информационно-образовательных ресурсах невелика.

ОпИие-тесты. Автоматизированный сервис, который используется как для анализа посетителями своих психологических характеристик, так и для оценки их знаний по тому или иному предмету.

Вопрос-ответ. Услуга, позволяющая получить консультации у редакторов, владельцев сайта или приглашенных ими специалистов. Является аналогом сервиса «форум», однако в упрощенном варианте, что облегчает работу пользователя.

Переводчик. Содержание подобного сервиса может быть разным: это может быть как собственно переводчик, так и словарь. Перевод может производиться с одного языка на другой, а также, например, из одной единицы измерения в другую (например, сколько километров в миле). Словарь может дать толкование слова или фразы, обозначить сферу его употребления, дать варианты правильного написания и т.д.

Интернет-конференции. Являются расширенным вариантом сервиса «Форум», однако, в отличие от него, позволяют обмениваться не только короткими сообщениями, но и большими по объему текстами (докладами и материалами по теме). Подобные Интернет-конференции обычно являются ограниченными по времени. Конференции могут быть также мультимедийными.

Оп1ше-игры. Интерактивные игры, которые могут быть как развлекающими, так и обучающими.

Оп1ше-библиотеки. Содержат полные тексты различных книг и статей.

Электронная почта. Собственной электронной почты информационно-образовательные ресурсы не поддерживают. При обращении пользователя к данной функции он перенаправляется на адрес любого другого ресурса бесплатной почты (например, на www.hotbox.ru). Однако некоторые образовательные ресурсы могут иметь на подобных сайтах домен с собственным именем (например, имя(§Ыис1е^з.ги).

Защита информации (предоставление доступа к полной информации только зарегистрированным пользователям). Перед регистрацией пользователь должен принять правила поведения на ресурсе (например, обязательство не копировать материалы и не помещать их без указания источника в других ресурсах). Как правило, при регистрации пользователю предлагается ввести свои личные данные и адрес своей электронной почты, куда высылается подтверждение регистрации и пароль для входа.

Знакомства. С возможностью выбрать партнера по различным параметрам (возраст, интересы, страна проживания). В основном на образовательных сайтах предоставлена возможность найти друзей по переписке, а также единомышленников и коллег.

Конкурсы. Тематика конкурсов может быть различной. При этом выполненные посетителями сайта конкурсные задания могут быть помещены в специальную автоматизированную форму и отправлены устроителям конкурса.

Интернет-магазин. Подобные сервисы на образовательных сайтах специализированы на продаже учебной и художественной литературы, образовательных программ и СБ.

Другие дополнительные сервисы, встречающиеся на некоторых информационно-образовательных ресурсах: поиск в Интернете, отправка БМв-сообщений, открытки, афиша (информация о различных культурных событиях), доска объявлений, вариант ресурса на английском языке, погода.

Результаты проведенных исследований показали, что ни одна из универсальных информационно-поисковых систем и специализированных информационных систем по проблемам образования не представляет исчерпывающе полный сервис.

При проведении анализа был изучен ряд поисковых систем с точки зрения удобства нахождения образовательной информации, таких как:

1) www.list.ru;

2) www.rambler.ru;

3) www.yandex.ru;

4) www.google.ru;

5) www.oko.ru;

6) www.pingwin.ru;

7) www.aport.ru;

8) erudit.narod.ru/;

9) ruscience.newmail.ru/;

10) www.auditorium.ru/;

11) www.students.ru/;

12) www.educentral.ru/.

Оказалось, что подобные Интернет-системы не являются пока достаточно развитыми и не содержат полного объема информации по сайтам образовательного направления. Обзор показал недостаточную структурированность разделов по теме «Образование» как в общих, так и в специализированных поисковых системах.

Возможность сортировки ресурсов есть лишь у 25% поисковых систем. Аннотирование в половине случаев осуществляется владельцем информационно-образовательного ресурса, в 15 % случаев — редактором поисковой системы. При описании ресурсов редактором поисковой системы аннотация может быть сколь угодно подробной. В других случаях описание ограничивается количеством символов. Обычно это ведет к скудности характеристики ресурса.

Средством, предотвращающим это, может быть функция «предоставить более подробное описание». Эта более подробная аннотация может вводиться владельцем ресурса по его желанию.

Кроме того, при наличии ограничения на количество символов необходимо либо вводить рекомендации по описанию сайта, либо установить функцию предварительного просмотра аннотации, так как в ином случае она может оказаться неполной или неожиданно обрываться.

До описания ресурса можно «добраться» в среднем за 2-3 «клика». Процесс «рейтинго-вания» ресурсов идет на половине сайтов. Популярность может определяться количеством хитов и переходов с данной поисковой системы, общим количеством посетителей ресурса, а также оценкой, выставленной сайту его посетителем. Кроме того, параллельно определение рейтинга может производиться и владельцами самих каталогов: они могут самостоятельно выбирать и комментировать некоторые сайты и предлагать их как «избранные ресурсы» и «лучшие сайты дня/месяца/года».

Отметим известный факт, что первые 20-30 мест в различных «хит-парадах» среди образовательных ресурсов занимают почти исключительно сборники рефератов.

Специалисты указывают на такую болезнь российского Интернета, как «рейтингома-ния», т.е. ориентация на существующие рейтинги и на существующие системы подсчета посетителей. Однако цифры, показывающие только количество людей, которые обратились к сайту, не отвечают на вопросы о том, как эти ресурсы используются.

Проблемой Интернет-ресурсов остается их незащищенность. На многих сайтах нет даже систем регистрации пользователей, не говоря уже о защите ресурсов данного сайта. Очевидно, что необходимо использовать методы системного анализа для проектирования систем защиты [6-15].

Для постановки задач и определения способов защиты необходимо определиться с видами угроз, которым подвержен элемент защиты по [14-17]. Ввиду того, что рассматриваются электронные образовательные ресурсы, то будем считать, они являются электронными документами.

Для электронных документов (ЭД) можно выделить следующие группы угроз:

- угрозы, направленные на несанкционированную модификацию (нарушение целостности) ЭД;

- угрозы, направленные на искажение аутентичности отправителя ЭД;

- угрозы, связанные с непризнанием участия.

К первой группе относятся следующие угрозы:

- изменение служебной или содержательной части ЭД;

- подмена ЭД;

- изъятие (уничтожение) ЭД.

За неимением механизмов защиты трудно своевременно обнаружить ошибочную, случайную или злонамеренную модификацию ЭД (в том числе их уничтожение или полную подмену). При этом сложно или невозможно определить, носила ли модификация документа злоумышленный характер, поскольку искажение может быть вызвано сбоями в работе оборудования, непреднамеренной порчей машинного носителя с документом или ошибками оператора.

Цели несанкционированной модификации ЭД могут быть различными: изменение юридических, финансовых или прочих прав, определяемых документом; введение в заблуждение законного получателя документа; сокрытие информации путем уничтожения документа и др.

Ко второй группе относятся следующие угрозы:

- незаконное присвоение идентификаторов другого пользователя, формирование и отправка ЭД от его имени (маскарад), либо утверждение, что информация получена от некоего пользователя, хотя она сформирована самим пользователем;

- повторная передача документа, сформированного другим пользователем;

- искажение уязвимых с точки зрения аутентичности полей документа (дата формирования, порядкового номера, адресных данных, идентификаторов отправителя и получателя и др.).

Угрозы второй группы тесно связаны и пересекаются с угрозами первой группы, однако их основная цель — ввести в заблуждение законного получателя или других санкционированных лиц относительно источника данных. При этом нарушитель может фальсифицировать от имени законного пользователя сам факт формирования документа (маскарад), его критичные атрибуты (искажение важных служебных полей), либо нарушать установленный порядок электронного документооборота (повторная передача).

К третьей группе относятся угрозы следующего содержания:

- отказ от факта формирования ЭД;

- отказ от факта получения ЭД или ложные сведения о времени его получения;

- утверждение, что получателю в определенное время была послана информация, которая на самом деле не посылалась (или посылалась в другое время).

В данную группу входят угрозы, известные как непризнание участия (repudiation), т.е. отказ одной из санкционированных сторон от участия во всех (или части) процедурах, предусмотренных установленным соединением, либо предоставление ложных сведений о своем участии в этих процедурах. Непризнание участия особенно опасно в распределенных средах с интенсивным трафиком и с большим числом разнородных пользователей.

Отказ от факта формирования ЭД предполагает непризнание отправителем авторства и факта отправки документа. За отсутствием юридически значимых реквизитов получатель физически не имеет возможности доказать авторство ЭД.

Противоположной ситуацией является отказ от факта получения ЭД. Отдельного внимания заслуживают угрозы, связанные со сведениями о времени отправки или получения ЭД.

Таким образом, наиболее существенными с точки зрения юридической значимости ЭД являются угрозы, направленные на нарушение целостности и аутентичности, а также связанные с непризнанием участия в процессе обмена ЭД. Средства защиты информации (СЗИ) должны предусматривать методы защиты от всех угроз [17].

Одним из способов защиты электронных документов является электронно-цифровая подпись (ЭЦП), являющаяся криптографическим методом защиты электронного документа.

Криптографические методы защиты основаны на возможности осуществления некоторой операции преобразования информации, которая может выполняться одним или несколькими пользователями автоматизированной системы, обладающими некоторым секретом, без знания которого невозможно осуществить эту операцию.

К криптографическим методам защиты относят:

- шифрование информации;

- формирование и проверку цифровой подписи электронного документа.

Криптографические технологии защиты информации позволяют решать следующие задачи обеспечения безопасности участников электронного документооборота:

- обеспечение конфиденциальности (защиты от разглашения) передаваемых или хранимых электронных документов;

- обеспечение целостности (защиты от модификации, подмены или фальсификации) электронных документов;

— обеспечение разграничения ответственности участников обмена электронными документами за счет аутентичности (подтверждение авторства).

Основными достоинствами криптографических методов является то, что они обеспечивают высокую гарантированную стойкость защиты, которую можно рассчитать и выразить в числовой форме (средним числом операций или временем, необходимым для раскрытия зашифрованной информации или вычисления ключей).

К числу основных недостатков криптографических методов следует отнести:

- значительные затраты ресурсов (времени, производительности процессоров) на выполнение криптографических преобразований информации;

— трудности совместного использования зашифрованной (подписанной) информации, связанные с управлением ключами (генерация, распределение и т.д.);

- высокие требования к сохранности секретных ключей и защиты открытых ключей от подмены.

Использование средств криптографической защиты информации (СКЗИ) в системе образования и применение их для защиты внутривузовского электронного документооборота является актуальной проблемой на сегодняшний день. Использование данных средств отдельными структурами или отдельными работниками вуза не решает проблемы в целом. При решении данной задачи необходимо привести общий электронный документооборот вуза к единым стандартам. Ввести определенные структуры для реализации данной задачи, в частности для обслуживания СКЗИ, провести регламентацию их деятельности.

Таким образом, проведенный анализ защищенности образовательных ресурсов показывает необходимость использования разработанной классификации угроз. Это позволит существенно усилить защиту образовательных ресурсов.

Литература

1. Информика [Электронный ресурс]. - Режим доступа: www.informika.ru.

2. Лобачев C.JI. Универсальная инструментальная информационно-образовательная среда системы открытого образования Российской Федерации / C.JI. Лобачев, A.A. Поляков // Информационные технологии в управлении качеством образования и развитии образовательного пространства. - М. : ИЦПКПС, 2000.

3. Поляков A.A. Информационно-образовательная среда открытого образования и организация подготовки кадров для работы в ней / A.A. Поляков, С.Л. Лобачев, В.И. Солдаткин // Подготовка кадров для системы открытого и дистанционного образования: Международный научно-практический семинар : тезисы докладов. - Томск : ТГУ, 2001.

4. Лобачев С.Л. Виртуальная образовательная среда: предпосылки, принципы, организация / С.Л. Лобачев, В.И. Солдаткин, В.П. Тихомиров // Международная академия открытого образования. — М. : МЭСИ, 1999.

5. Лобачев С.Л. Принципы построения глобального виртуального университета. Дистанционное обучение. Проблемы и перспективы взаимодействия вузов Санкт-Петербурга с регионами России / С.Л. Лобачев, В.И. Солдаткин // Материалы 2-й межрегиональной практической конференции. - СПб. : СПбГИТМО, 1999.

6. Интеллектуальные системы в управлении, конструировании и образовании / Под ред. A.A. Шелупанова. - Томск : STT, 2002. - Вып. 2. - 232 с.

7. Интеллектуальные системы в управлении, конструировании и образовании / Под ред. A.A. Шелупанова.- Томск : STT, 2004. - Вып.З. - 216 с.

8. Интеллектуальные системы в управлении, конструировании и образовании / Под ред. A.A. Шелупанова. - Вып. 4. - Томск : Изд-во Института оптики атмосферы ТНЦ СО РАН, 2004. - 250 с.

9. Мещеряков Р.В. Специальные вопросы информационной безопасности / Р.В. Мещеряков, A.A. Шелупанов. - Томск : Изд-во Института оптики атмосферы СО РАН, 2002. -350 с.

10. Герасименко В.А. Защита информации в автоматизированных системах обработки данных. - М. : Энергоатомиздат, 1994. - Кн. 1. - 400 с.

11. Гайкович Ю.В. Безопасность электронных банковских систем / Ю.В. Гайкович, A.C. Першин. - М. : Единая Европа, 1994.

12. Шнайер Б. Прикладная криптография: протоколы, алгоритмы, исходные тексты на языке С++. - М. : Триумф, 2002. - 636 с.

13. Концепция развития законодательства Российской Федерации в сфере информации и информатизации. Проект. Минсвязи России. 2001.

14. Основы информационной безопасности / Е.Б. Белов [и др.]. - М. : Горячая линия -Телеком, 2005. - 544 с. - ISBN 593517-292—5. (Гриф Минобрнауки).

15. Шумский A.A. Системный анализ в защите информации / A.A. Шумский, A.A. Ше-луланов. - М.: Гелеос АРВ, 2005. - 224 с. - ISBN 5-85438-128-1 (Гриф УМО).

16. Филькин К.Н. Описание принципов построения модели злоумышленника / К.Н. Филькин, A.A. Шелупанов // Электронные средства и системы управления: доклады Международной НТК. - Томск: Издательство Института оптики атмосферы СО РАН, 2005. -В 2 ч. Ч 2. - С. 169-172.

17. Давыдова Е.М. Технологии защиты информационных ресурсов образовательного портала отрасли / Е.М. Давыдова, Р.В. Мещеряков, A.A. Шелупанов // Системные проблемы надежности, качества, информационных и электронных технологий: материалы X Международной конференции и Российской научной школы. - М. : Радио и связь, 2005. - Ч. 4. -С. 65.

Ехлаков Юрий Полнкарпович

Д-р техн. наук, профессор, зав. каф. автоматизации обработки информации ТУСУРа Тел.: (3822) 53 24 20 Эл. почта: upe@tusur.ru

Мещеряков Роман Валерьевич

Канд. техн. наук, доцент, доцент каф. комплексной информационной безопасности ЭВС ТУСУРа

Тел.: (3822) 41 34 26

Эл. почта: mrv@security.tomsk.ru

Y.P. Ehlakov, R.V. Mescheryakov

Security analysis methods of educational resources

In clause security questions of educational resources are considered. The analysis and classification of existing educational resources of a network the Internet is spent. Increase of a security level by use of electronic documents is offered.