Защита электронных услуг в образовании с помощью средств информационной безопасности Текст научной статьи по специальности «Компьютерные и информационные науки»

Защита электронных услуг в образовании с помощью средств информационной безопасности

Чефранова А.О., Климонтова Г.Н.

В целях создания межведомственного информационного пространства в части электронного взаимодействия участниками информационного взаимодействия, предоставляющими сведения и документы в электронной форме, необходимые для предоставления государственных услуг и исполнения государственных функций другими участниками информационного взаимодействия и в связи необходимостью выполнения требований Федерального закона РФ от 27 июля 2010 г. N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", на сегодняшний момент особую актуальность составляют вопросы, связанные с обеспечением работы системы межведомственного электронного взаимодействия (СМЭВ) и разработкой защищенных сервисов участников информационного взаимодействия [1]. Под системой межведомственного электронного взаимодействия понимают федеральную государственную информационную систему, включающую в себя информационные базы данных, содержащие сведения об используемых органами и организациями программных и технических средствах, обеспечивающих возможность доступа через систему взаимодействия к их информационным системам и электронным сервисам, а также сведения об истории движения в системе взаимодействия электронных сообщений при предоставлении государственных и муниципальных услуг и исполнении государственных и муниципальных функций в электронной форме.

Система межведомственного электронного взаимодействия позволяет федеральным, региональным и местным органам власти, контроля и надзора в электронном виде передавать и обмениваться данными, необходимыми для оказания государственных услуг. Любой гражданин РФ обращается за услугой в профильное ведомство, а специалисты ведомства получают необходимые данные в других ведомствах, используя СМЭВ. Поэтому основной целью создания СМЭВ является технологическое обеспечение информационного взаимодействия при предоставлении государственных и муниципальных услуг в электронной форме. В состав СМЭВ входят программные и технические средства, обеспечивающие взаимодействие

информационных систем органов и организаций, используемых при предоставлении в электронной форме государственных и муниципальных услуг и исполнении государственных и муниципальных функций.

СМЭВ решает целый ряд задач, в том числе: обеспечение исполнения государственных и муниципальных функций в электронной форме; обеспечение предоставления государственных и муниципальных услуг в электронной форме, в том числе с использованием универсальной электронной карты и федеральной государственной информационной системы "Единый портал государственных и муниципальных услуг"; обеспечение информационного взаимодействия в электронной форме при предоставлении государственных и муниципальных услуг и исполнении государственных и муниципальных функций.

При предоставлении электронных услугв образовании СМЭВ должна обеспечивать передачу запросов, иных документов и сведений, необходимых для получения таких услуг и поданных заявителями через единый портал, в подключенные к системе взаимодействия информационные системы органов и организаций, обязанных предоставить испрашиваемые услуги. Также СМЭВ обеспечивает обмен электронными сообщениями между органами и организациями, информационные системы которых подключены! к системе взаимодействия и передачу на единый портал запросов, иных документов и сведений, обработанных в информационных системах органов и организаций, а также информации о ходе выполнения запросов о предоставлении государственных или муниципальных услуг и результатах их предоставления.

Разработка электронных сервисов участниками информационного взаимодействия осуществляется в соответствии с Техническими требованиями, утвержденными Приказом Министерства связи и массовых коммуникаций Российской Федерации от 27 декабря 2010 г. №190 "Об утверждении Технических требований к взаимодействию информационных систем в единой системе межведомственного электронного взаимодействия" [2].

В процессе функционирования СМЭВ и в процессе оказания электронных услуг в образовании выявился ряд проблем, которые необходимо решать в ближайшее время:

— отсутствие нормативной базы, определяющей порядок работы! с документами граждан и

в связи с отсутствием возможности применения единой электронной подписи, и связанная с этим проблема подтверждения достоверности документов, получаемых из различных источников;

— отсутствие единых принципов выделения и классификации государственных и муниципальных услуг в области образования;

— отсутствие регламентов межведомственного электронного взаимодействия, в том числе типового регламента многофункционального центра;

— низкий показатель обеспеченности средствами доступа к сети Интернет населения, пользующегося электронными услугами в образовании;

— малое количество точек общественного доступа к порталу госуслуг;

— необходимость доработки используемого каждым ведомством программного обеспечения для стыковки с системой межведомственного электронного взаимодействия;

— при предоставлении сложной, межведомственной и межуровневой государственной услуги каждый орган власти - участник данного процесса действует обособленно, в рамках собственных полномочий, вне связи с деятельностью других ведомств;

— ведомства практически не обмениваются информацией друг с другом при предоставлении сквозных государственных услуг;

— проблема организации информационной безопасности персональных данных граждан в процессе межведомственного взаимодействия государственных органов при оказании электронной услуги в области образования.

При создании многофункциональных центров (МФЦ), а также в государственных структурах исполнительной власти, при внедрении информационных технологий вопросам информационной безопасности не уделяют должного внимания. Но если вспомнить о требованиях Федерального закона №152-ФЗ "О персональных данных" и других нормативных актов, связанных с этим законом и описывающих порядок, а также определяющие необходимость защиты конфиденциальной информации (в частности, персональных данных), то проблема защиты электронных услуг в образовании становится очень важной с самого начала разворачивания единой информационной платформы для обработки межведомственных информационных потоков [3].

Кроме того, при реализации автоматизированных процессов обмена данными между отдельными ведомственными информационными системами, необходимо обеспечить защищенный доступ к ним других органов государственной власти. А это в свою очередь требует создания специальной информационной и технологической инфраструктуры, учитывающей принципы информационной безопасности.

В области защиты электронных услуг в целом наиболее актуальными являются следующие группы проблем:

• обеспечение конфиденциальности, целостности и аутентичности информации;

• обеспечение постоянной работоспособности информационных систем, задействованных в системе межведомственного взаимодействия.

Приоритетными направлениями проводимых исследований и разработок по защите электронных услуг, как у нас в стране, так и за рубежом, являются:

• защита от несанкционированных действий (НСД) и разграничение доступа к данным в информационно-телекоммуникационных системах коллективного пользования;

• идентификация и аутентификация получателей электронной услуги, а также тех технических средств, которые используются при предоставлении такой услуги;

• обеспечение в системах связи и передачи данных защиты от появления дезинформации;

• создание технического и системного программного обеспечения высокого уровня надежности и использование стандартов (международных, национальных и корпоративных) по обеспечению безопасности данных при взаимодействии различных ведомств;

• защита информации в телекоммуникационных сетях;

• разработка правовых аспектов безопасности предоставления электронной услуги в области образования.

В настоящее время разработано много различных средств и методов защиты информации. Построение любой системы защиты информации — это комплекс организационнотехнических мероприятий, который включает в себя совокупность правовых норм, организационных мер и программно-технических средств защиты, направленных на противодействие угрозам объекту информатизации с целью сведения до минимума возможного ущерба пользователям и владельцам системы. Средствами защиты в Законе РФ от 21 июля 1993 г. N 5485-1 "О государственной тайне" называются "технические, криптографические, программные и другие средства, предназначенные для защиты сведений..." [4].

Важнейшую роль в защите информации играют программно-аппаратные средства защиты информации. Под аппаратными средствами понимают различные электронно-механические устройства, схемно-встраиваемые в аппаратуру системы обработки данных или сопрягаемые с ней специально для решения задач по защите информации. Под программными средствами понимают специальные пакеты программ или отдельные программы, включаемые в состав программного обеспечения автоматизированных систем, с целью решения задач по защите информации.

Надо отметить, что получатели образовательных государственных услуг в России не всегда имеют необходимый уровень знаний и умений по работе с web-ресурсами, а тем более со средствами защиты информации. Поэтому очень важно вести подготовку по данным вопросам еще со школьной скамьи, с курса информатики. В стандарте основного общего образования по информатике и информационным технологиям отмечается, что "изучение информатики и информационных технологий в основной школе должно быть направлено на воспитании ответственного отношения к информации с учетом правовых и этических аспектов ее распространения; избирательного отношения к полученной информации" [5]. Выпускник школы должен уметь применять меры информационной безопасности, использовать полученные знания и умения в повседневной практической деятельности для работы с информационными ресурсами. Это на прямую относится и к вопросу получения государственных услуг в будущем уже студентом, а потом и специалистом.

Современному школьнику или студенту, активно пользующемуся компьютерными средствами работы! с информацией, данных умений и навыков недостаточно для решения задач обеспечения конфиденциальности и целостности информации, а также обеспечения работоспособности компьютера. Поэтому для решения важных задач по обучению основам информационной безопасности и защиты! информации, направленных на формирование информационной культуры! личности, требуется целостная система подготовки учащихся школы и студентов высших учебных заведений по изучению современных программно-аппаратных средств защиты информации, где должны быть в обязательном порядке рассмотрены! следующие вопросы!:

• обоснование необходимости использования инженерно-технических и программноаппаратных методов и средств защиты конфиденциальной информации;

• идентификация и аутентификация, автори-

зация, аудит в компьютерных системах и сетях;

• средства защиты информации, входящих в состав программного обеспечения операционных систем;

• криптографические методы защиты информации (в том числе электронная подпись);

• защита информационных систем от вредоносных программ.

Глубина изложения и соотношение объемов перечисленных разделов может быть различной в зависимости от направления профиля обучения.

Цель подготовки в области программноаппаратных средств защиты информации — дать знания о современных программно-аппаратных комплексах защиты информации. Полученные знания и навыки позволят учащимся школ и вузов использовать знания в обеспечении личной информационной безопасности.

В курсах подготовки следует предусмотреть изучение следующих вопросов:

1. Программные средства защиты информации

Программная защита является наиболее распространенным видом защиты, чему способствуют такие положительные свойства данных средств, как универсальность, гибкость, простота реализации, практически неограниченные возможности изменения и развития и т.п.

По функциональному назначению их можно разделить на следующие группы:

• средства идентификации технических средств (терминалов, устройств группового управления вводом-выводом, ПК, носителей информации), задач и пользователей;

• средства разграничения прав технических средств (дни и время работы, разрешенные к использованию задачи) и пользователей;

• средства контроля работы технических средств и пользователей;

• средства регистрации работыи мониторинга технических средств и пользователей при обработке информации ограниченного пользования;

• средства уничтожения информации в ЗУ после использования;

• средства сигнализации при несанкционированных действиях;

• вспомогательные программы различного назначения: контроля работы механизма защиты, проставления грифа секретности на выдаваемых документах и др.

2. Аппаратные средства защиты информации

Знакомство с различными электронными, электронно-механическими, электронно-

оптическими устройствами, которые аппаратными средствами решают задачи защиты информации. К настоящему времени разработано значительное число аппаратных средств различного назначения, однако наибольшее распространение получили следующие:

• специальные регистры для хранения реквизитов защиты: паролей, идентифицирующих кодов, грифов или уровней секретности;

• биометрические устройства измерения индивидуальных характеристик человека (голоса, отпечатков) с целью идентификации;

• схемы прерывания передачи информации в линии связи с целью периодической проверки адреса выдачи данных.

• устройства для шифрования информации (криптошлюзы).

Аппаратные средства защиты позволяют пользователю:

• защищать информацию от утечки при хранении и передаче по каналам связи;

• искать закладные устройства съема информации;

• маскировать сигнал, содержащий информацию (защита от обнаружения ее носителей и защита от раскрытия информации).

В последние годы большой популярностью пользуются программно-аппаратные средства защиты информации, которые объединяют преимущества программных и аппаратных решений.

Рассмотрим один из примеров такого программно-аппаратного средства защиты информации, которое сейчас используется для защиты межведомственного взаимодействия.

3. Средства построения виртуальных

защищенных сетей (VPN)

Протоколы построения VPN могут быть реализованы сетевыми средствами различных категорий:

• серверами удаленного доступа, позволяющими создавать защищенные туннели на канальном уровне эталонной модели сетевого взаимодействия (модели OSI);

• маршрутизаторами, которые могут поддерживать протоколы создания защищенных виртуальных сетей на канальном и сетевом уровнях;

• межсетевыми экранами, включающими в свой состав серверы удаленного доступа и позволяющими создавать VPN как на канальном и сетевом, так и на сеансовом уровнях;

• автономным программным обеспечением, позволяющим создавать защищенные виртуальные сети в основном на сетевом и сеансовом уровнях;

• отдельными специализированными аппаратными средствами на основе специализи-

рованной операционной системы реального времени, имеющими два или более сетевых интерфейса и аппаратную криптографическую поддержку и ориентированными на формирование защищенных туннелей на канальном и сетевом уровнях;

• комбинированными пограничными устройствами, которые включают в себя функции маршрутизатора, межсетевого экрана, средства управления пропускной способностью и функции VPN.

Зашифрованием и расшифрованием пакетов занимается специальный VPN-драйвер (агент или демон). Он также следит за целостностью информации с помощью электронной подписи или имитовставок (отрезков информации фиксированной длины).

Перед отправкой IP-пакета драйвер действует следующим образом:

• Из нескольких поддерживаемых им алгоритмов шифрования и электронной подписи по IP-адресу получателя выбирает нужный для защиты данного пакета.

• Генерирует и добавляет в пакет имитов-ставку.

• Зашифровывает пакет (целиком, включая заголовок).

• Проводит инкапсуляцию (преобразование исходного пакета и помещение его в новый пакет), формирует новый заголовок.

При получении IP-пакета выполняются обратные действия.

• Заголовок содержит сведения о VPN-драйвере отравителя. Если таковой не входит в список разрешенных в настройках, то информация просто отбрасывается. То же самое происходит при приеме пакета с намеренно или случайно поврежденным заголовком.

• Согласно настройкам выбираются алгоритмы шифрования, а также необходимые криптографические ключи.

• Пакет расшифровывается, затем проверяется его целостность.

• Пакет в его исходном виде отправляется настоящему адресату по внутренней сети.

VPN-драйверы создают защищенные каналы между сетями различных ведомств. Кроме шифрования, все пакеты фильтруются в соответствии с заданными первоначальными настройками и политикой безопасности.

Подобная VPN-сеть включает в себя серве-ра-маршрутизаторы, выполняющие функции серверов защищенных соединений и автоматизированные клиентские рабочие места. И тот и другой компонент реализуют функции криптографического модуля и межсетевого экрана.

В случае необходимости расширения функционала серверной компоненты, можно

дополнительно обеспечить режим работы от сбоев, использую технологию кластеризации, или так называемый режим кластера (кластера горячего резервирования).

При работе в подобном режиме, система защиты от сбоев выполняет функции, обеспечивающие постоянную работоспособность основных служб, входящих в состав программного обеспечения:

• постоянный контроль состояния служб и ведение статистики использования системных ресурсов;

• обнаружение факта сбоя службы и осуществление последующих попыток восстановления работоспособности сбойного приложения;

• предотвращение внутренних сбоев в работе самой системы защиты от сбоев [6].

Гарантируя защиту передаваемой информации, VPN не обеспечивает ее защиту во время хранения на конечных компьютерах. Эта задача решается целым рядом других специальных средств: систем криптозащиты файлов и дисков; систем защиты от НСД к компьютерам; антивирусных систем; межсетевых экранов (МЭ). Рассмотрим некоторые из них.

4. Средства шифрования файлов

Такие средства предназначены! для организации безопасного хранения конфиденциальной информации и удобной работы с ней на персональном компьютере. Обеспечивается прозрачное шифрование данных, производимое в реальном времени, которое позволяет работать с документами в обычном режиме. Информация хранится в контейнере в виде зашифрованного файла на диске или внешнем носителе и защищается файл-ключом или электронным ключом. В качестве аппаратного носителя ключа используются iButton Aladdin, Smartcard, eToken Aladdin, Шипка. Данное средство может быть интегрировано со средством контроля и протоколирования доступа пользователей к устройствам и портам ввода-вывода DeviceLock, позволяющая решать комплексные задачи по безопасности и защите данных.

При подключении контейнер отображается в системе как обычный диск. При отключении контейнер перестает отображаться в системе, поэтому установить факт наличия конфиденциальной информации и получить к ней доступ невозможно. В программе существуют режимы экстренного отключения контейнеров и выхода из программы (режим "Опасность"), а также режим экстренного уничтожения доступа к информации для всех пользователей программы (режим "Большая опасность").

Предусмотрено надежное удаление следов работы пользователя с конфиденциальной

информацией (удаленных ранее файлов, списка последних открытых документов, истории браузера, cookie и т. п.). Также существует возможность смены ключей доступа к контейнерам, которая обеспечивает дополнительную безопасность хранения данных. Все события четко протоколируются для фиксирования действий пользователя.

5. Средства фильтрации или межсетевые

экраны (сетевые фильтры)

Под межсетевым экраном обычно понимают набор средств (как правило, программных или программно-аппаратных), предназначенных для предотвращения нежелательного доступа в сеть извне и для контроля за данными, поступающими в сеть или выходящими из нее. Они могут защищать корпоративную сеть от несанкционированного доступа из Интернета или из другой корпоративной сети, а также контролировать и регулировать доступ пользователей внутренней сети к ресурсам общедоступной сети. Экран устанавливается на границе защищаемой сети и фильтрует все входящие и выходящие данные, пропуская только разрешенные пакеты и предотвращая попытки проникновения в сеть. Правильно настроенный межсетевой экран пропустит (или не пропустит) конкретный пакет и позволит (или не позволит) организовать конкретный сеанс связи в соответствии с установленными правилами [7].

Современные межсетевые экраны могут работать совместно с такими инструментальными средствами, как системы обнаружения проникновений и сканеры содержимого e-mail или web с целью нахождения вирусов или опасного прикладного кода. Но в отдельности межсетевые экраны не обеспечивает полной защиты от всех проблем, порожденных Интернетом. Межсетевой экран можно считать только одной частью архитектуры информационной безопасности. Они рассматриваются как первая линия обороны, однако организация в первую очередь должна делать безопасными свои внутренние системы. Для внутренних серверов, персональных компьютеров и других систем должны своевременно выполняться все обновления как самих систем, так и других систем обеспечения безопасности, например, антивирусного программного обеспечения.

6. Криптопровайдер (CSP) или провайдер криптографических функций

CSP является средством криптографической защиты информации, предназначенным для выполнения криптографических операций, доступ к которым обеспечивается встраиванием криптопровайдера в приложения через

стандартизованные интерфейсы. Его можно использовать при встраивании в стандартное программное обеспечение Microsoft, а также в разрабатываемое прикладное программное обеспечение. Криптопровайдер поддерживает компоненты пакетов MS Office 2003, 2007 и 2010: подпись и шифрование сообщений в Outlook, подпись документов Word, Excel, баз данных Access, форм InfoPath, подпись макросов; поддерживает платформу DocsVision.

При использовании совместно с Internet Explorer (клиентская сторона) обеспечивается защита TCP/IP-соединений в сети Интернет с помощью протокола SSL/TLS. В качестве сервера при работе протокола поддерживается IIS-сервер.

При встраивании в создаваемые приложения CSP поддерживает вызовы криптографических функций через интерфейсы Microsoft CSP Microsoft CryptoAPI 2.0 и через COM-интерфейс CAPICOM. Также поддерживается вызов функций, реализующих российские криптографические алгоритмы, через интерфейс PKCS#11. В этом случае CSP выступает в качестве программного криптографического токена.

CSP позволяет хранить сертификат открытого ключа как в контейнере закрытого ключа, так и отдельно от него. Возможна установка сертификатов из контейнера в системное хранилище сертификатов Windows. В качестве ключевых носителей CSP поддерживаются разнообразные внешние устройства хранения российских и зарубежных производителей. Поддерживаются карты с интерфейсом MiFare. Через интерфейс PKCS#11 CSP обеспечивает взаимодействие с аппаратными криптографическими устройствами (электронными идентификаторами) для реализации отдельных криптографических функций. В частности, поддерживается вычисление ЭЦП в eToken ГОСТ и ruTokenECP Для генерации случайных чисел CSP может использовать встроенный биологический программный и внешние физические датчики случайных чисел. Такой криптопровайдер позволяет обрабатывать криптографические (подписанные, зашифрованные и др.) сообщения в формате CMS (PKCS#7). В состав Криптопровайдера входит программа для создания запросов на сертификат пользователя. Запрос на новый сертификат создается в формате PKCS#10, а запрос на обновление действующего сертификата — в формате CMC (RFC 5272).

Подводя итог приведенной выше информации, остановимся на следующих ключевых моментах. Во-первых, в существующем информационном пространстве каждый человек, пользующийся сервисами электронного взаимо-

действия и желающий получить услугу в электронном виде, должен обладать базовым уровнем знаний и умений по работе с такими информационными системами. Это относится ко всем видам услуг, предоставляемым различными ведомствами на федеральном и муниципальном уровнях. В настоящее время в обществе остро ощущается проблема недостаточного образования в области информационной безопасности вообще, и, в частности, нехватка знаний и умений по работе с современными системами защиты, знаниями принципов информационной безопасности, информационной культуре по защите персональных данных и другой конфиденциальной информации. Поэтому необходимо как можно быстрее развивать и внедрять учебные дисциплины в школа, вузах и в системе дополнительного профессионального образования. Новая система подготовки в области информационной безопасности должна выстраиваться по всем уровням системы образования, а основа должна закладываться на ступени основного общего образования. Только в этом случае будет возможно решать проблемы информационной безопасности своевременно и с наименьшими потерями.

Во-вторых, важно своевременно предоставлять информацию населению по развитию информационных систем в связи с новыми требованиями нормативно-правовой базы1. Популярно рассказывать о отдельных направлениях и возможностях электронных сервисов и услуг. Только в этом случае осведомленность и компетентность граждан РФ будет расти и развиваться параллельно процессу становления информационной структуры общества и становлению единой информационной платформы для обработки межведомственных информационных потоков.

Литература

1. Федеральный закон РФ от 27 июля 2010 г. № 210-ФЗ "Об организации предоставления государственных и муниципальных услуг".

2. Приказ Минкомсвязи РФ от 27 декабря 2010 года №190 "Об утверждении Технических требований к взаимодействию информационных систем в единой системе межведомственного электронного взаимодействия".

3. Федеральный закон российской Федерации от 27 июля 2006 г. №152-ФЗ "О персональных данных".

4. Закон РФ от 21 июля 1993 г. №5485-I "О государственной тайне".

5. Стандарт основного общего образования по информатике и ИКТ // Информатика и образование, 2004. — № 4.

6. Чефранова АО., Стародубов АГПрограммно-аппаратные комплексы ViPNet. — М., 2010. —118 с.

7. Чефранова АО., Алабина Ю.Ф. Межсетевое экранирование. — М., 2011. — 50 с.