8. Безпека інформації в системі дистанційного навчання Moodle
8.3. Аналіз загроз для безпеки інформації електронного курсу
150 Технічний
персонал технічний
адміністратор М1,М2,
М4 К1,К2,
К4 З3,З4 Ч1 Д4,Д5,Д6 31
Персонал, який обслуговує
технічні засоби
основний
адміністратор М1,М2,
М4 К1,К2,
К3,К4 З3,З4 Ч1,Ч2,
Ч3 Д4,Д5,Д6 39
адміністратор навчального
відділу
М3,М4 К1,К4 З4 Ч1,Ч2,
Ч3
Д4,Д5,Д6 31
Користувачі АС
завідувач
кафедри М1,М3 К1,К4 З2 Ч1 Д1,Д3 16
декан М1,М3 К1,К4 З2 Ч1 Д1,Д3 16
Керівники різних рівнів
посадової ієрархії
програмний адміністратор
веб-серверу
М2,М3, М4
К1,К4 З2 Ч1,Ч2,
Ч3
Д3 26
Співробітник и підрозділів
розробки та супроводжен-
ня програмного забезпечення
працівники відділу ТЗІ
М1,М3, М4
К1,К2, К3,К4
З2 Ч1,Ч2, Ч3
Д6 31
Модель зовнішнього порушника
Відвідувачі (запрошені з деякого приводу)
М2,М3 К2,К3 З1,З2, Ч2 Д3 16
Співробітники закордонних спецслужб або особи, які
діють за їх завданням
М2,М3 К2,К3, К4
З1,З4 Ч2 Д1,Д2,Д3 22
Хакери М2,М3 К2,К3 З1,З2,З4 Ч2 Д1,Д2,Д3 21
Отже, головне джерело порушень безпеки інформації електронного курсу навчального середовища знаходиться всередині самих інформаційних систем, тож для будь-якої з них внутрішній захист має бути обов'язковим.
Для мінімізації та унеможливлення негативних дій необхідно ретельніше перевіряти персонал та їхні компетенції.
151
інфраструктури (КІ), платформи електронного навчання (ПЕН), інформаційних ресурсів (ІР) та людських ресурсів (ЛР) (рис. 252).
Рис. 252. Система електронного навчання
1. Комп’ютерна інфраструктура. Призначенням КІ є надання обчислювальних ресурсів для підтримки функціонування системи ЕН. Вона включає комп’ютерне апаратне забезпечення, системне програмне забезпечення, комунікаційне обладнання і систему захисту інформації КІ. КІ можуть формувати,залежно від масштабу СЕН, окремий комп’ютер, локальна мережа факультету, корпоративна мережа університету з віддаленим доступом, віртуальна область середовищ GRID чи хмарних обчислень. В складі КІ слід виділити загальну систему захисту інформації (СЗІ), яка протистоїть типовим загрозам. Особливе місце займають файли та налаштування веб-серверу LMS, оскільки від правильності його налаштування залежить насамперед коректність роботи системи та її стійкість до проникнення.
2. Платформа електронного курсу. ПЕК включає сукупність програмних і апаратних засобів, які формують відповідне електронне навчальне середовище з використанням інформаційних ресурсів і механізмів політики безпеки ПЕК, апаратура спеціального призначення, системне і прикладне програмне забезпечення ПЕК, система захисту інформації ПЕК. Також особливої уваги потребує програмний код LMS та правильність блокування доступу до нього, адже несанкціонований доступ до коду програми дасть змогу порушнику змінити його «під себе» і таким чином зробити з нього програмну закладку.
Апаратура спеціального призначення включає обладнання, яке безпосередньо використовується в навчальному процесі. Це може бути
СЕН Комп’ютерна
інфраструктура (КІ)
Платформа електронного курсу (ПЕК)
Інформаційні ресурси (ІР)
Людські ресурси (ЛР) Комп. апарат.
забезпечення Сист.програмне
забезпечення
Система захисту інформації КІ Комунікаційне
обладнання
Апаратура спец- призначення Системне ПЗ
ПЕК Прикладне ПЗ
ПЕК Система
захисту інформації ПЕК
Репозитарій навч. контенту
Цифрові бібліотеки Бази даних
навч.
інформації
Студенти Викладачі Автори навч.
контенту Топ менеджмент
ЗВО Системні адміністратори Персональні
дані студентів:
особиста інформація,
звітність, оцінки Код LMS
Веб-сервер LMS
Статистична інформація,
системний журнал подій
152
обладнання для симуляції фізичних процесів, лабораторне обладнання, дослідне обладнання з віддаленим доступом тощо.
Системне програмне забезпечення ПЕК забезпечує функціонування усіх її частин. Воно включає інтерфейс користувача, LCMS, LMS та комунікаційний модуль.
Прикладне програмне забезпечення надає користувачам операційні сервіси загального і спеціального призначення. Воно складається з інструментальних засобів загального і спеціального призначення. Засоби загального призначення – це сукупність серійних програмних продуктів, що використовуються в навчальному процесі. Ними можуть бути офісні пакети (MS Office, IBM Lotus, OpenOffice), комунікаційні засоби (ICQ, Skype, MSN Messenger), Web-браузери, CAD/CAM-системи (AutoCad, MathCad, Maple), середовища для розробки програм (C++ Visual Studio, Eclipse, Delphi).
Інструменти спеціального призначення – це програмні і апаратні продукти, призначені для задоволення специфічних потреб навчального процесу. Серед них можуть бути навчальні інструменти, інструменти оцінювання знань, високо спеціалізовані системи, віртуальні лабораторії, симулятори різних типів, емулятори, тренінгові системи тощо.
Система захисту інформації ПЕК захищає віртуальне навчальне середовище від специфічних загроз, які не можуть буди подолані загальною СЗІ КІ. Вона включає технічні і організаційні механізми безпеки для реалізації політики безпеки віртуального навчального середовища. Ця СЗІ забезпечує управління профілями користувачів СЕН, ідентифікацію, автентифікацію і авторизацію користувачів в навчальному віртуальному середовищі, реєструє події для аудиту інформаційної безпеки, захищає інформаційні ресурси і СЕН від специфічних внутрішніх і зовнішніх загроз.
3. Інформаційні ресурси. Інформаційні ресурси поділяються на три частини – репозитарій навчального контенту, цифрові бібліотеки та бази даних навчальної інформації. Навчальний контент включає навчальні програми, розклади, бази знань, мультимедійні лекції, навчальні курси, електронні методики, тестові завдання тощо. Бази даних зберігають структуровану інформацію, яка відноситься до всіх членів системи людських ресурсів системи ЕН, про всі події, їх наслідки і задіяних у них користувачів, адміністративну інформацію. Також сюди входить статистична інформація, системний журнал подій. Особливу увагу слід приділити персональним даним студентам: особиста інформація, звітність, оцінки.
4. Людські ресурси. Людські ресурси СЕН об’єднують усіх учасників навчального процесу, які отримують і надають навчальні сервіси, а також підтримують функціонування СЕН. Це є студенти, викладачі, автори навчального контенту, топ-менеджмент закладу вищої освіти (ЗВО), системні адміністратори.
Людські ресурси є структурованою ієрархічною динамічною системою, члени якої розрізняються за ролями і привілеями.
Кожна складова системи електронного курсу має свої вразливості і викликані ними загрози. Більшість специфічних проблем виникає на рівні платформи СЕН. Окремо слід виділити загрозу добровільної передачі
153
ідентифікаційних та автентифікаційних даних, яка не зустрічається в інших інформаційних системах. В більшості сучасних СЕН передбачена лише парольна автентифікація, яка не може протидіяти цій загрозі. Студент може свідомо передати свої логін і пароль сторонній особі, щоб вона здала за нього іспит чи пройшла тестування. Для опису специфічних загроз використаємо таблицю, в якій вкажемо назву загрози, її опис та вразливі до неї компоненти СЕН (табл. 7).
Таблиця 7 Специфічні загрози інформаційній безпеці системи ЕН
Загроза Опис Вразливий
компонент СЕН На що впливає
Фальшивий
контент Зловмисник може отримати
неавторизований доступ до системи і завантажити фальшивий контент, якщо СЕН має
вразливості в механізмах ідентифікації,
автентифікації та авторизації
Адміністративна система
LCMS, Авторингова система LCMS, Адміністративна система LMS
Цілісність
Екзамен може бути переглянутий до дати складання
Зловмисник може отримати
неавторизований доступ до системи і переглянути завантажені екзамени до дати
складання іспиту, якщо СЕН має вразливості в механізмах
ідентифікації, автентифікації, авторизації та конфіденційності
Адміністративна система
LCMS, Навчальний репозиторій,
Адміністративна система LMS
Конфіденційність
Екзамен може бути видалений
Зловмисник може отримати
неавторизований доступ до системи і видалити завантажені
екзаменаційні файли, якщо СЕН має
вразливості в механізмах ідентифікації,
автентифікації,
авторизації, цілісності та доступності
Адміністративна система
LCMS, Навчальний репозиторій,
Адміністративна система LMS
Цілісність, доступність
Екзамен може бути складений іншою особою
Студент може свідомо передати свої
ідентифікаційні і автентифікаційні дані неавторизованій особі,
Система оцінювання LMS
Достовірність, конфіденційність
154 яка може скласти іспит замість студента. Для СЕН є проблемою визначення, авторизований чи неавторизований користувач склав іспит Зміна дати
екзамену
Зловмисник може отримати
неавторизований доступ до системи і змінити дату складання іспиту, якщо СЕН має
вразливості в механізмі цілісності
Адміністративна