CC BY
6УДК 004.422.81
Бышовец Б.Д.
Доцент
Московского государственного технического университета имени Н.Э. Баумана (Россия, г. Москва)
Прокудин В.Н.
старший преподаватель
Московского государственного технического университета имени Н.Э. Баумана (Россия, г. Москва)
ОРГАНИЗАЦИЯ ЗАЩИТЫ УПРАВЛЯЮЩЕЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ В
ТЕХНИЧЕСКОМ УНИВЕРСИТЕТЕ
Аннотация: в статье рассматриваются проблемы, возникающие при увеличении объема документооборота, усложнении функционирования учебных заведений. Статья посвящена целям, задачам, подходам и методам внедрения информационных, управляющих систем для обеспечения их необходимой в наше время степенью безопасности функционирования.
Ключевые слова: Информационная управляющая система, автоматическое управление, средства аутентификации, авторизации, шифрования и электронной цифровой подписи, избирательная политика безопасности, УРЫ-сеть, межсетевые экраны, сетевые протоколы. фильтрация пакетов
Проблема управления современной организацией, в настоящее время, не может быть решена, как задача автоматического управления. Сейчас эта проблема рассматривается как задача создания автоматизированной системы организационного управления, в которой управляющее решение принимает человек. Создание такой системы представляет собой сложный и длительный во времени процесс, включающий аналитические, технические, технологические и организационные аспекты.
В МГТУ им. Н.Э. Баумана в течение последних лет проводилась работа по внедрению в управление информационных систем различного уровня. В результате были разработаны отдельные функциональные подсистемы, такие как информационные системы деканатов, кафедр, филиалов, обеспечивающих служб.
Эксплуатация этих информационных систем показала, с одной стороны, значительный эффект от внедрения информационных систем, с другой стороны, необходимость тесного информационного взаимодействия между ними. Проведенный анализ существующих информационных систем показал, что системы реализовывались в разное время, в разных программных средах, имеют разные степени полноты выполняемых функций и обладают различной степенью безопасности функционирования
таких систем как внутри высшего учебного заведения, так и при её открытости в глобальной сети Internet.
Можно выделить внутренние и внешние угрозы безопасности. Внутренние угрозы включают внутренние криминальные действия (кража номеров пластиковых карт и др.), информационную безответственность при ведении Web-сайтов подразделений (плагиат, несоблюдение копирайта и др.), нарушения конфиденциальности личной информации о сотрудниках и студентах. Внешние угрозы -это хакерские взломы, вирусные атаки, кибервымогательство (кража и дальнейшая продажа информации).
Следует выделить следующие меры по противодействию этим угрозам: организационные меры и применение аппаратно-программных средств. Организационные меры включают аудит и внутренние расследования, а также инструктирование сотрудников подразделений (особенно по поводу вирусов). Рекомендуется использование следующих аппаратно-программных средств: средств аутентификации и авторизации, средств шифрования и включения электронной цифровой подписи (ЭЦП) при передаче конфиденциальной информации по открытой сети Университета, межсетевых экранов для защиты внутренних сетей от внешних угроз.
Аутентификацию (установление подлинности клиента при его подключении к серверу подразделения) и авторизацию (проверку полномочий при запросе доступа к какому-либо сетевому ресурсу) выполняются с использованием средств сетевых операционных систем.
В процессе авторизации целесообразно использовать избирательную политику безопасности, которая основана на избирательном способе управления доступом. Избирательное управление доступом характеризуется заданным администратором множеством разрешённых отношений доступа (например, в виде троек <объект, субъект, тип доступа>). Для описания свойств избирательного управления доступом рекомендуется применять математическую модель на основе матрицы доступа (публикации+подписка). Следует заметить, что аутентификация пользователей и авторизация не решают проблему перехвата злоумышленниками кадров (трафика), передаваемых по открытой компьютерной сети Университета, и извлечения из них конфиденциальной информации.
Шифрование данных и включение ЭЦП реализовано с помощью виртуальной сети (VPN-сети). В VPN-сеть можно объединить только некоторые станции, участвующие в управлении Университетом. При этом обеспечивается защита всего трафика, исходящего от этих станций: документов, передаваемых в рамках документооборота, данных, передаваемых в процессе репликации между серверами баз данных подразделений, и т. д. Для организации виртуальных каналов в VPN-сетях применяется протокол IPSec, который стал стандартом де-факто. Этот протокол выполняет шифрование каждого исходного IP-пакета, инкапсулирует (помещает) зашифрованный IP-пакет в другой внешний IP-пакет и передаёт его в открытую сеть. Такой процесс передачи пакетов по открытой сети обычно называется туннелированием. А виртуальный канал - это последовательность
зашифрованных пакетов, создаваемых протоколом IPSec и передаваемых между двумя участниками обмена (станциями) по маршруту открытой сети. Главной особенностью протокола IPSec является то, что здесь в качестве алгоритмов согласования, аутентификации и криптозащиты используются алгоритмы, соответствующие национальному стандарту (шифрование - ГОСТ 28147-89, электронная цифровая подпись - ГОСТ Р 34.11-94 и ГОСТ Р 34.10-94). Существуют отечественные средства, которые можно использовать для создания VPN-сети (продукты фирм "Элвис+", МО ПНИЭИ, "Инфотекс", "Сигналком", "Информзащита", "Амикон" и др.).
Предложена следующая схема передачи данных в VPN-сети Университета. Сертификационный орган генерирует ключи. Секретные ключи переносятся на смарт-карты (или другие носители) и передаются всем узлам VPN-сети (клиентам и серверам). Доступ к секретным ключам можно также организовать с помощью паролей. Общедоступные ключи оформляются в виде сертификатов клиентов, серверов и доступа к серверам и сохраняются в Справочнике.
Сертификаты общедоступных ключей и доступа к серверам сосредоточены в централизованном Справочнике. Чтобы лишить клиента доступа к каким-либо ресурсам сети, достаточно только изменить сертификат доступа к соответствующему серверу в едином Справочнике. Удалив в Справочнике сертификат клиента, можно быстро лишить его доступа ко всей VPN-сети Университета.
Используемые в подразделениях Университета ЛВС и Internet-серверы, как правило, слабо защищены от атак хакеров со стороны внешних сетей, например, Internet. Поэтому на входе ЛВС необходимо использовать специальные программные или аппаратные комплексы: межсетевые экраны (брандмауэры, Firewall). Web-серверы подразделений подключены к этим брандмауэрам, создавая тем самым демилитаризованные зоны.
Следует отметить, что программное обеспечение VPN-сети и брандмауэра можно установить на входном маршрутизаторе сети подразделения (очень часто брандмауэр включает возможность создания VPN-сети). Обычно используются следующие способы защиты с помощью брандмауэра: сетевые фильтры пакетов (сетевой уровень), шлюзы сеансового уровня (circuit-level proxy), посредники прикладного уровня, инспекторы состояния (stateful inspection). Брандмауэры, реализующие все перечисленные способы защиты, ещё называют межсетевыми экранами (МЭ) экспертного уровня. К МЭ экспертного класса относятся почти все имеющиеся на рынке коммерческие брандмауэры. Ниже анализируются различные способы защиты с помощью брандмауэра.
1. Сетевой фильтр, как правило, встраивается в маршрутизатор и обрабатывает пакеты на основании информации, содержащейся в заголовках пакетов.
2. Шлюзы сеансового уровня имеют несколько разновидностей в зависимости от их функциональных особенностей. Можно выделить фильтры контроля состояния канала связи и шлюзы, транслирующие адреса (шлюзы NAT) или сетевые протоколы.
3. Посредники прикладного уровня (application-level proxy), часто называемые proxy-серверами, контролируют и фильтруют информацию на прикладном уровне иерархии OSI. В данном методе защиты внешний пользователь не допускается со своими пакетами данных (и командами) непосредственно к внутреннему Internet-серверу подразделения. Это один из самых надёжных способов защиты локальных вычислительных сетей от внешних вторжений.
4. Инспекторы состояния, или иначе брандмауэры с контекстной проверкой (stateful inspection firewall), являются, по сути, шлюзами сеансового уровня с расширенными возможностями. Если пакет не соответствует ни одному шаблону, то он будет отсеян.
Необходимо также рассмотреть возможность использования персональных межсетевых экранов (ПМЭ). ПМЭ устанавливается на защищаемом сервере. Его компоненты (ядро безопасности) встраиваются на уровне сетевых протоколов и уровне приложений. Это обеспечивает фильтрацию пакетов и запуск приложений-посредников.
Следует учитывать также, что с внедрением более полной и мощной системы защиты информации неизбежно изменятся технологии формирования и прохождения информации, функциональные обязанности отдельных структурных подразделений.
Создание единой информационной системы поддержки управления Университетом, обеспеченной современными инструментами безопасности функционирования позволит поднять на качественно новый уровень деятельность всех подразделений Университета, обеспечить управление Университетом на основе достоверной и исчерпывающей информации.
Список литературы
1. Информационная управляющая система МГТУ им. Н.Э. Баумана «Электронный университет»: концепция и реализация / под. Ред. И.Б. Федорова, В.М. Черненького. - М.: Изд-во МГТУ им. Н.Э. Баумана, 2009.- 376 с.
2. Прокудин В.Н. Современная информационная управляющая система в вузе Научно практический журнал «Аллея Науки» №1(17), Январь, 2018 С.127-131
3. Прокудин В.Н. Информационная управляющая система инновационного университета Сборник статей XXI Международной научной конференции «ТЕХНОКОНГРЕСС» Кемерово 2018 С. 3-7 http://t-nauka.ru/wp-content/uploads/k21.pdf
4. «Системы обработки информации и управления» МГТУ им. Н.Э. Баумана 2011 [Электронный ресурс]. http://lib.znate.ru/docs/index-63417.html (Дата обращения 23.12 2018).
