8. Безпека інформації в системі дистанційного навчання Moodle
8.1. Огляд основних положень реалізації політики безпеки електронного курсу
курсу
Забезпечення інформаційної безпеки передбачає створення системи захисту інформаційних ресурсів від зловмисників, які схочуть ці ресурси використовувати, модифікувати або просто знищити.
Під інформаційною безпекою розуміється «стан захищеності інформації (даних), при якому забезпечені її конфіденційність, доступність та цілісність. При цьому:
- конфіденційність – це забезпечення доступу до інформації тільки авторизованим користувачам;
- цілісність – це забезпечення достовірності та повноти інформації та методів її обробки;
- доступність – це забезпечення доступу до інформації авторизованим користувачам по мірі необхідності.
Комплексний характер, проблеми захисту говорить про те, що для її вирішення необхідне поєднання законодавчих, організаційних і програмно- технічних заходів.
Знання можливих загроз, а також вразливих місць інформаційної системи, необхідне для того, щоб вибирати найефективніші засоби забезпечення безпеки.
Одними з найнебезпечніших та найчастіших є ненавмисні помилки користувачів, операторів, системних адміністраторів і інших осіб, які обслуговують інформаційні системи. Іноді такі помилки призводять до прямих збитків (неправильно введені дані, помилка в програмі, що викликала зупинку або руйнування системи). Іноді вони створюють слабкі місця (найчастіше через помилки адміністрування), якими можуть скористатися зловмисники.
Друге місце за розмірами збитку посідають крадіжки і фальсифікації. В більшості випадків винуватцями виявлялися штатні співробітники організацій, чудово знайомі з режимом роботи і захисними заходами.
140
Ключовим етапом для побудови надійної інформаційної системи є вироблення політики безпеки. Є декілька визначень цього поняття. Наведемо деякі з них.
Політика безпеки – сукупність керівних принципів, правил, процедур і практичних прийомів в галузі безпеки, які регулюють управління, захист і розподіл цінної інформації.
Політика безпеки – це набір документованих норм, правил та практичних прийомів, що регулюють управління, захист та розподіл інформації обмеженого доступу.
З практичної точки зору політику безпеки доцільно розділити на три рівні:
- Рішення, що зачіпають організацію в цілому. Вони мають досить загальний характер і, як правило, йдуть від керівництва організації.
- Питання, що стосуються окремих аспектів інформаційної безпеки, але важливі для різних систем, експлуатованих організацією.
- Конкретні методи для забезпечення інформаційної безпеки системи.
Ключовим моментом політики безпеки для системи ЕН є методи і засоби забезпечення захисту інформації та їх аналіз.
Методи можна класифікувати таким чином:
- перешкода;
- управління доступом;
- маскування;
- регламентація;
- примус;
- спонукання.
Розглянемо детальніше ці методи.
1. Перешкода – метод фізичного перешкоджання зловмиснику на шляху до захищуваної інформації.
2. Управління доступом – метод захисту інформації, пов'язаний з регулюванням використання всіх ресурсів інформаційної системи (елементів баз даних, програмних і технічних засобів).
Управління доступом включає такі функції захисту:
- ідентифікацію співробітників і ресурсів інформаційної системи;
- аутентифікацію (встановлення автентичності) об'єкта за пред'явленим ідентифікатором (іменем). Як правило, до таких засобів відносяться паролі;
- перевірку повноважень – авторизацію користувачів;
3. Маскування - метод захисту інформації шляхом її криптографічного закриття. Цей метод захисту широко застосовується за кордоном як при зберіганні інформації, так і при її обробці. При передаванні інформації каналами зв'язку великої протяжності цей метод є дійсно надійним.
4. Регламентація – метод захисту інформації, що створює певні умови автоматизованої обробки, зберігання та передаванні інформації, за яких можливість несанкціонованого доступу до неї (мережевих атак) зводиться до мінімуму.
5. Примус – метод захисту, при якому користувачі системи змушені дотримуватися правил обробки, передавання і використання захищуваної
141
інформації під загрозою матеріальної, адміністративної та кримінальної відповідальності.
6. Спонукання – метод захисту інформації, який мотивує користувачів не порушувати встановлені правила шляхом дотримання сформованих моральних і етичних норм.
Всі названі методи інформаційної безпеки реалізуються за допомогою основних засобів захисту: фізичних, апаратних, програмних, апаратно- програмних, криптографічних, організаційних, законодавчих та морально- етичних.
Засоби забезпечення безпеки процесів переробки інформації, що використовуються для створення механізму захисту, поділяються на:
1. Формальні (виконують захисні функції за заздалегідь передбаченою процедурою без безпосередньої участі людини). До них належать:
- фізичні засоби захисту, які призначені для зовнішньої охорони території об'єктів і захисту компонентів інформаційної системи організації (механічні, електричні, електромеханічні, електронні, електронно-механічні пристрої та системи, які функціонують автономно);
- апаратні засоби захисту – це пристрої, які вбудовані в блоки інформаційної системи (сервери, комп'ютери і т.д.) або під’єднані до неї спеціально для вирішення завдань захисту інформації. Вони призначені для внутрішнього захисту елементів обчислювальної техніки та засобів зв'язку;
- програмні засоби захисту, що призначені для виконання функцій захисту інформаційної системи за допомогою програмних засобів (антивірусний захист, міжмережеві екрани і т.д.).
2. Неформальні (визначаються цілеспрямованою діяльністю людини або регламентують цю діяльність). До них належать:
- організаційні засоби – організаційно-технічні заходи, які спеціально передбачаються в технології функціонування системи з метою вирішення завдань захисту інформації;
- законодавчі засоби – нормативно-правові акти, які регламентують права та обов'язки, а також встановлюють відповідальність всіх осіб і підрозділів, що мають відношення до функціонування системи, за порушення правил обробки інформації, наслідком чого може бути порушення її захищеності.
- морально-етичні засоби – притаманні суспільству або певному колективу моральні норми або етичні правила, дотримання яких сприяє захисту інформації, а порушення їх прирівнюється до недотримання правил поведінки в суспільстві або колективі.
Графічно така класифікація представлена на рис. 251.
142
Формальні
Технічні
Неформальні
Рис. 251. Класифікація засобів безпеки процесів переробки інформації в електронному курсі
Політика інформаційної безпеки електронного курсу по відношенню до користувачів-студентів повинна бути доступною у кожному навчальному закладі і конкретизована у вигляді правил з інформаційної безпеки.
Необхідними заходами захисту електронного курсу навчального середовища від навмисних та ненавмисних дій студентів є: контроль з боку адміністратора, персоналізація та обмеження доступу до критичних ресурсів, контроль і реагування на несанкціоновані дії програмних засобів захисту.
Основною метою політики безпеки електронного курсу є неухильне виконання користувачами-студентами правил інформаційної безпеки, які унеможливлюють чи зводять до мінімуму шкоду, яку вони можуть спричинити своїми діями. Ця мета реалізується організаційними, програмно-апаратними та виховними заходами.
До організаційних заходів належить розробка, впровадження та контроль за дотриманням політики безпеки системи інформаційної безпеки електронного курсу користувачами-студентами. Контроль за виконанням покладено на адміністратора.
Особливої уваги потребує проблема доступу користувачів-студентів до мережі Інтернет.
Правила щодо доступу в мережу Інтернет, встановлені в навчальному закладі, повинні бути формалізовані, тобто мати вигляд обов'язкового документа.
Ці правила обов’язково мають включати інструкцію щодо публікації в мережі особистих даних студентів, їхніх фотографій, аудіо- і відеоматеріалів тощо.
Методи захисту інформації ЕК
Перешкода
Управління Маскування Регламентація
Примус Спонукання
Фізичні
Апаратні Програмні Організаційні
Законодавчі Морально-
етичні
Засоби захисту інформації ЕК
143
Частина правил політики безпеки, що стосується доступу користувачів- студентів до мережі Інтернет, повинна бути повідомлена перед початком відповідних занять самим викладачем.
Програмно-апаратні засоби прийнятої політики безпеки реалізуються через систему управління (контролю) доступу користувачів до ресурсів, яка включає ідентифікацію та автентифікацію користувачів, управління (контроль) доступу до ресурсів, протоколювання та аудит дій користувачів. Програмно-апаратні засоби повинні гарантувати захищеність критично важливих компонентів програмного забезпечення навчального комп’ютерного комплексу (НКК) від несанкціонованих і помилкових дій користувачів. В правилах розмежування доступу необхідно заборонити доступ цих користувачів до системних областей диска, а також заборонити модифікацію ними програмного забезпечення, навчальної та іншої важливої інформації. Рекомендується надавати доступ до мережі Інтернет лише з тих комп'ютерів, які постійно перебувають у полі зору викладача. Також варто використовувати програми, що дають можливість відображати вміст екранів усіх комп'ютерів на моніторі викладача і тим самим дають змогу стежити за діями студентів.
Основними в реалізації політики безпеки електронного курсу навчального середовища є виховні заходи, оскільки вони використовуються як для запобігання НСД, так і для впливу на порушників правил безпеки з метою їх перевиховання. Дуже важливо встановити правила покарання тих, хто зловживає доступом; порушення можуть бути і не настільки значними, але повинні бути обговорені, а за серйозні провини мають бути передбачені серйозні заходи покарання.
Головною метою виховних заходів є усвідомлення студентами відповідальності за свої дії навіть у віртуальному середовищі, засвоєння етичних норм поведінки в цьому середовищі, результатом чого є формування в студентів компетентності з інформаційної безпеки.
До методів, що використовуються для підвищення захищеності і відновлюваності програмної складової інформаційної системи (ІС) електронного курсу, є резервування та періодична перевірка його цілісності. Ці методи можуть реалізовуватися системними утилітами, що входять до складу операційної системи або іншими програмами, наприклад, антивірусними. При першому запуску цих програм створюється база відповідних значень незмінних файлів, зокрема системних (наприклад, контрольних сум); при повторному запуску здійснюється перевірка всіх незмінних файлів на модифікацію. Якщо така модифікація здійснена, то це може свідчити про наявність вірусів або може бути результатом дій недосвідчених користувачів. Програми-ревізори, як правило, можуть відновлювати пошкоджені файли. Однак, якщо ці пошкодження достатньо значні чи зачіпають критично важливі файли операційної системи, то для їх відновлення необхідно мати резервну копію системної області жорсткого диска. Системні утиліти, що створюють архіви-образи логічних дисків, допомагають швидко відновити роботу пошкодженої операційної системи не перевстановлюючи її. Необхідною умовою використання цих засобів є чітке планування і виконання регламентних робіт адміністратором. Наприклад, образ
144
системного диска обов’язково робиться, як мінімум раз на навчальний рік після відповідних підготовчих робіт, а перевірка файлів на цілісність має проводитися зі встановленою періодичністю.
1. Резервування
Резервування є важливим методом боротьби із наслідками збоїв та підвищення надійності ІС. Воно буває як програмне, так і апаратне.
Пропонується проводити резервування системної області жорсткого диску принаймні на початку кожного навчального року. Питання про необхідну кількість резервних копій (чи така копія робиться для кожного комп’ютера студента окремо, чи одна для всіх комплектів) вирішується проведенням уніфікації.
2. Уніфікація
Як правило, програмно-апаратне забезпечення кожного робочого місця студента є стандартним. Тобто на них встановлено однакові операційні системи, інші прикладні програми. Однак з часом експлуатації ця ідентичність нівелюється, змінившись різнорідністю, що збільшує затрати часу на обслуговування комплекту студента.
Для того, щоб забезпечити ідентичність комплекту студента під час експлуатації, пропонуються такі заходи.
3. Первинна уніфікація
Якщо апаратні складові комплекту учня є однаковими чи з незначними відмінностями, то можливе створення єдиної резервної копії для всіх комп’ютерів студентів. Для цього на одній машині перевстановлюється все програмне забезпечення, виконуються відповідні налаштування, а потім, на базі цього створюється резервна копія системного розділу диска. На базі цієї копії може бути відновлена працездатність будь-якого комп’ютера студента.
4. Вторинна уніфікація.
Якщо переустановлення програмного забезпечення повністю «з нуля» за якихось причин є неможливим, то створюється резервна копія на кожному комплекті студента (після відповідних підготовчих робіт: повної перевірки на віруси, дефрагментації і т.ін.). Цей спосіб вимагає збереження резервних копій залежно від кількості робочих місць.