Системы защиты информации в вузах. Обеспечение информационной безопасности современного вуза

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru

• ВВЕДЕНИЕ
• АКТУАЛЬНОСТЬ
• 1. ИЗУЧЕНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПРЕДПРИЯТИЯ
• 1.1. Описание предприятия
• 1.2. Состав аппаратных и программных средств и структура сети
• 1.3. Анализ информационных потоков
• 1.4. Анализ информационных ресурсов
• 1.5. Физическая безопасность объектов (охрана)
• 2. АНАЛИЗ И РАЗРАБОТКА МОДЕЛИ УГРОЗ
• 2.1. Классификация и анализ источников угроз и уязвимостей безопасности
• 2.2. Модель нарушителя
• 2.3. Определение актуальных угроз информационной системы
• 2.4. Определение класса защищенности информационной системы
• 3. РАЗРАБОТКА МОДЕЛИ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
• 3.1. Анализ на соответствие стандартам и существующим политикам
• 3.2. Разработка политики информационной безопасности
• 4. РАЗРАБОТКА ПОРТАЛА ПЕРВИЧНОЙ АВТОРИЗАЦИИ
• 4.2. Требования к функциональности портала
• 4.3. Разработка портала
• ЗАКЛЮЧЕНИЕ
• СПИСОК ЛИТЕРАТУРЫ
• ПРИЛОЖЕНИЕ

ВВЕДЕНИЕ

Обеспечение безопасности информационных ресурсов давно стало предметом обсуждения во многих учреждениях, в совокупности с развитием информационных технологий это привело к развитию автоматизированных систем. Эффективная система информационной безопасности позволяет минимизировать риски, связанные с информацией, и способствует стабильной деятельности информационных потоков предприятия.

Безопасность государственных учреждений, таких как высшие учебные заведения, также требует высокого уровня информационной защищенности.

Информационные активы ВУЗа составляют огромное количество сведений об учебной деятельности, по деятельности сотрудников с различным уровнем доступа. Работники и студенты ВУЗа также отличный пример лиц с различными правами доступа к информации. Поэтому было решено разработать эффективный комплекс мер для обеспечения информационной безопасности ВУЗа.

Целью дипломной работы является разработка комплекса мер, направленного на обеспечение информационной безопасности ВУЗа на примере Нижегородского Государственного Архитектурно - Строительного Университета. информационный угроза безопасность

Предметом исследования в дипломной работе является система защиты информационной безопасности Нижегородского Государственного Архитектурно-Строительного Университета.

Дипломная работа состоит из четырех глав. В первой главе представлено описание информационной системы организации, анализ информационных ресурсов и технических средств. Во второй главе проанализированы потенциальные угрозы системы и определена модель нарушителя. В третьей главе разработана политика информационной безопасности. Четвертая глава в форме пояснительной записки содержит процесс реализации портала первичной авторизации.

АКТУАЛЬНОСТЬ

На современном этапе развития общества информационные технологии являются неотъемлемой его частью. Информация стала одним из основных средств социального - экономического, технического и научного прогресса мирового сообщества. Развитие информационных технологий и расширение информационного пространства приводит к постоянно растущему уровню атак и нарушений в этой области, что делает проблемы информационной безопасности всё более актуальными. Под информационной безопасностью понимается состояние защищенности информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести ущерб владельцам или пользователям информации.

Обеспечения информационной безопасности является одним из ключевых факторов стабильного функционирования любого предприятия. На сегодняшний день конфиденциальность, целостность и доступность информации является важным аспектом непрерывности бизнеса, поэтому всё большее число организаций сосредоточены на вопросе информационной безопасности. Таким образом, существует необходимость в эффективной и интегрированной системе информационной безопасности.

Довольно часто, при создании информационной системы, организации стремятся обезопасить свои информационные активы лишь на аппаратном и программном уровнях защиты. Но такой уровень безопасности является неэффективным и должен быть подкреплен нормами и правилами в области информационной безопасности.

Подготовка и реализация системы безопасности в учреждении должна осуществляться на основании существующего законодательства и нормативных требований в сфере информационной безопасности. Основным документом является Конституция РФ, согласно которой «сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускается».

Другими базовыми документами в области информационной безопасности являются Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации», в соответствии с которым, необходимо обеспечивать защиту информации от несанкционированного доступа, модификации, уничтожения, копирования и распространения данных. Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» регулирует действия, связанные с обработкой персональных данных государственными учреждениями, с использованием автоматизированных систем.

Также следует брать во внимание закон РФ «О государственной тайне» и закон РФ «О коммерческой тайне», который регламентирует порядок отнесения информации к служебной тайне, режим служебной тайны и порядок разглашения служебных данных. Также существует ряд законов, в соответствии с которыми формируются уровни конфиденциальности информации («Об утверждении Перечня сведений конфиденциального характера»; «Об утверждении Перечня сведений, отнесенных к государственной тайне»; «Об утверждении Перечня сведении, которые не могут составлять коммерческую тайну»).

В целом, законодательные РФ не учитывают и регулируют в полной мере хранение и использование конфиденциальных данных.

Основными регламентами обеспечения безопасности со стороны процедурного и аппаратно-программного уровней являются стандарты и спецификации. Это документы, содержащие испытанные, высококачественные методологии и средства обеспечения безопасности.

В соответствии со стандартами, обеспечение безопасности объектов информационной системы должно состоять из следующих этапов:

– выделение целей обеспечения информационной безопасности;

– проектирование действенной системы управления;

– анализ и оценка соответствия поставленным целям;

– анализ исходного состояния защищенности;

Стандарт ISO 15408: Common Criteria for Information Technology Security Evaluation (Общие критерии оценки безопасности информационных технологий) содержит наиболее полные критерии безопасности программно - аппаратного уровня. Общие критерии устанавливают требования по функциональности безопасности. Помимо программно-аппаратного уровня защиты стандарт описывает некоторые требования методов безопасности организационного уровня и физической защиты. Стандарт состоит из трех частей:

– первая часть включает понятийный аппарат, представление модели и методологию оценки безопасности информационных технологий;

– вторая часть содержит непосредственно требования функциональности аппаратно-программных средств;

– в третьей части приводятся требования гарантий безопасности;

Стандарт ISO 17799: Code of Practice for Information Security Management (Практические правила управления информационной безопасностью) содержит наиболее полные критерии организационного уровня.

Стандарт содержит наиболее эффективные правила управления информационной безопасностью и критерии оценки методов безопасности организационного уровня, с учетом административных, процедурных и физических средств защиты. Стандарт содержит следующие разделы:

– политика безопасности;

– организация информационной безопасности;

– управление ресурсами;

– безопасность человеческих ресурсов;

– физическая безопасность;

– контроль доступа;

– администрирование информационных систем;

– разработка и сопровождение информационных систем;

– планирование непрерывной работы;

– контроль выполнения требований безопасности;

Руководящий документ Гостехкомиссии РФ «Критерии оценки безопасности информационных технологий». Это документ разработан в соответствии с ГОСТ Р ИСО/МЭК 15408-2002 и обеспечивает его практическое использование. Основная цель РД - реализация комплексных методов по обеспечению безопасности информационных систем и использование необходимого функционала. Он направлен на проектирование систем безопасности соответствующих возможным угрозам и сохраняющих баланс между эффективностью и стоимостью.

Руководящий документ Гостехкомиссии РФ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации». Этот РД определяет классификацию АС и в соответствии с классом определяет требования к возможным подсистемам.

Руководящий документ Гостехкомиссии РФ «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации». Первый РД, который не имеет зарубежных аналогов. Основная идея данного РД - классификация межсетевых экранов в соответствии с сетевой моделью OSI, которая фильтрует потоки данных.

На сегодняшний день в сфере реализации систем безопасности сформировалось такое понятие как «лучшая практика». «Лучшая практика» это такие политики безопасности, которые отражают наилучшие процедуры, средства, руководства и стандарты безопасности и могут быть применимы как эталон при разработке системы безопасности. Эталонными считаются политики таких компаний, как Microsoft, IBM, Symantec и др.

1. Политика Symantec

Специалисты компании Symantec утверждают, что основой эффективной системы безопасности являются руководящие документы, к числу которых можно отнести: политики безопасности, международные стандарты, описание процедур обеспечения безопасности и метрики. Все эти руководящие документы способны ответить на три основных вопроса:

Почему нужно защищать информацию?

Что нужно предпринять для обеспечения безопасности?

Как реализовать политику в соответствии с требованиями?

Разработка комплексной системы безопасности должна включать следующие этапы:

– анализ информационных активов;

– идентификация возможных угроз;

– анализ и оценка рисков безопасности;

– назначение лиц, ответственных за обеспечение безопасности;

– создание комплексной системы, в соответствии со стандартами, руководствами и процедурами;

– управление системой безопасности;

2. Политика Microsoft

Стратегия информационной политики компании Microsoft содержит четыре основных компонента:

– цель обеспечения информационной безопасности компании;

– нормы системной безопасности

– схема принятия решений (строится по результатам анализа рисков);

– определение действий по минимизации рисков;

Процесс разработки политики безопасности разделен на четыре категории:

– организационная (направленная на повышение осведомленности и расширение знаний сотрудников в сфере информационной безопасности, а также на поддержку руководства);

– данные и пользователи (включает такие средства защиты как: авторизация, защита персональных данных, аутентификация);

– разработка системы (разработка защищенной системы, сокращение поверхности атаки, обеспечение простоты использования);

– сопровождение (регулярный контроль и журналирование системы, реагирование на происшествия и инциденты);

Для поддержания уровня защищенности компания применяет контроль информационных рисков (идентификация, оценка и минимизация рисков). Такой подход позволяет достигнуть баланса между требованиями и методикой защиты.

3. Политика IBM

Специалисты компании IBM выделяют четыре основных этапа построения системы безопасности:

– идентификация информационных рисков и методов борьбы с ними;

– описание мер защиты активов в соответствии с задачами и целями компании;

– описание действий при происшествиях;

– анализ остаточных рисков и принятие решение о дополнительном капиталовложении в методы обеспечения безопасности;

Ответ на вопрос «Что нужно защищать?» - основной аспект политики информационной безопасности, в соответствии со стратегией IBM. Политика должна создаваться с целью минимальных её изменений в будущем. Эффективная политика безопасности должна содержать:

– цели и задачи обеспечения информационной безопасности;

– взаимодействие со стандартами безопасности и законодательством;

– расширение знаний по вопросам информационной безопасности;

– выявление и ликвидация вирусных атак;

– обеспечение непрерывности деятельности;

– установление ролей и обязанностей персонала;

– журналирование инцидентов нарушения безопасности;

Далее идет процесс создания документации, которая содержит правила анализа рисков компании, описание рекомендуемых методов и средств защиты и так далее. Документация может подлежать изменениям в соответствии с актуальными уязвимостями и угрозами.

Однако, помимо правовой основы, система информационной безопасности и её функции по обеспечению состоянию защищенности объекта должны быть реализованы в соответствии с нижеизложенными принципами:

– легитимность (создание системы информационной безопасности, а также реализация мероприятий по защите, не противоречащих законодательству и нормативам);

– комплексность (разрабатываемая система защиты предусматривает комплексную реализацию методов, обеспечивает защиту информационных ресурсов на техническом и организационном уровнях и предотвращает возможные пути реализации угроз);

– постоянность (обеспечивает непрерывную защиту объектов);

– прогрессивность (подразумевает непрерывное развитие средств и методов защиты, в соответствии с развитием технологий и методов атак);

– рациональность (использование экономически выгодных и эффективных средств защиты);

– ответственность (каждый сотрудник ручается за обеспечение безопасности в рамках своих полномочий);

– контроль (предполагает постоянный контроль над обеспечением защиты и своевременное выявление угроз);

– использование действующей системы безопасности (проектируемая система создается на основе действующей системы, с использованием штатных аппаратных и программных средств);

– использование аппаратно - программных компонентов защиты отечественного производства (проектирование системы безопасности предусматривает преобладание отечественных технических средств защиты);

– этапность (проектирование системы безопасности предпочтительнее делать поэтапно);

Проанализировав существующие политики и стандарты информационной безопасности можно утверждать, что для обеспечения надлежащего уровня информационной защиты требуется комплекс мер, включающий в себя функции программного обеспечения, политики безопасности, методы и организационные структуры. В соответствии с этим и с основной целью необходимо выполнить следующие задачи:

– изучить исходную информационную и организационную структуру ФГБОУ ВПО «Нижегородский государственный архитектурно-строительный университет»;

– по результатам анализа исходной информационной системы определить конкретные угрозы и уязвимости информационной безопасности;

– определить уровень и класс исходной защищенности объекта;

– выявить актуальные угрозы;

– составить модель нарушителя;

– сопоставить исходную систему с требованиями стандартов безопасности;

– разработать политику безопасности и определить действия по обеспечении информационной безопасности;

Выполнение вышеизложенных целей и задач позволит создать эффективную систему информационной безопасности предприятия, отвечающую требованиям законодательства и стандартам информационной безопасности.

1. ИЗУЧЕНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПРЕДПРИЯТИЯ

1.1. Описание предприятия

Полное наименование организации: Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «Нижегородский государственный архитектурно-строительный университет».

Сокращенные наименования: ННГАСУ, ФГБОУ ВПО «Нижегородский государственный архитектурно-строительный университет».

Полное наименование на английском языке: Nizhny Novgorod State University of Architecture and Civil Engineering.

Сокращенное наименование на английском языке: NNGASU.

Место нахождения ВУЗа: 603950, Нижегородская область, г. Нижний Новгород, ул. Ильинская, д. 65.

Учредитель ВУЗа - Российская Федерация. Функции и полномочия учредителя ВУЗа осуществляет Министерство Образования и Науки Российской Федерации.

Место нахождения Учредителя: 125993, г. Москва, ул. Тверская, 11.

Ректор - Андрей Александрович Лапшин

ФГБОУ ВПО «Нижегородский государственный архитектурно-строительный университет» является некоммерческой организацией, создан с целью развития экономики и социальной среды региона, отрасли и России посредством повышения уровня образования студентов на основе достижений науки, инноваций и технологий.

Основные направления деятельности ФГБОУ ВПО «Нижегородский государственный архитектурно-строительный университет»:

· Подготовка конкурентоспособных, на российском и международном рынке труда, специалистов строительной и смежных отраслей, на основе современных образовательных стандартов и научных исследований;

· Обеспечение способного выдержать конкуренцию научного потенциала, задействованного в реальных секторах экономики страны;

· Создание и совершенствование условий необходимых для самореализации, а также профессионального роста сотрудников и студентов;

· Развитие межвузовской кооперации на российском и международном уровне и укрепление положения на международной арене;

Общее управление ВУЗом осуществляет Ученый совет, в состав которого входят: Ректор (председатель Ученого совета), проректоры, деканы факультетов (по решению Ученого совета). Также в организационную структуру ВУЗа входят управления, центы, отделы и другие подразделения. Подробная организационная структура представлена на рисунке 1.

Рисунок 1. Организационная структура ФГБОУ ВПО «Нижегородский государственный архитектурно-строительный университет»

Нижегородский государственный архитектурно - строительный университет, с непрерывно развивающейся структурой и модернизированной учебной и научной базой, в современных условиях представляет собой активно прогрессирующий комплекс. Университет обладает большой информационной базой, которая содержится в специализированных программных продуктах. Информационная защита учреждения представлена на достаточно высоком уровне, но в рамках постоянно прогрессирующих атак и нарушений, требует усовершенствования.

1.2 Состав аппаратных и программных средств и структура сети

Учебный процесс в ННГАСУ сопровождается значительной информационной базой, развитием компьютерного парка и внедрением в образовательный процесс модернизированных информационных систем. Для обеспечения учебного процесса все кафедры и отделы оснащены персональными компьютерами и необходимой техникой. Для решения задач в области применения современных информационных технологий в университете оборудовано 8 компьютерных классов. Все персональные компьютеры ВУЗа оснащены лицензионным программным обеспечением Microsoft и антивирусной защитой. Все аппаратные средства представлены в таблице 1.

Таблица 1. Состав аппаратных средств

На сегодняшний день университет уделяет внимание компьютеризации образовательного процесса. Для оптимизации учебной деятельности университет владеет всеми необходимыми современными программными пакетами. В таблице 2 приведен перечень программного обеспечения, используемого в ННГАСУ.

Таблица 2. Программное обеспечение

Все ПК университета подключены к локальной сети и имеют доступ в Интернет, через защищенное соединение. Узлы оптических линий оборудованы управляемыми коммутаторами. Для предоставления постоянного доступа в Интернет система оборудована связью с двумя провайдерами, которые предоставляют каналы на скорости 20 Мбит/сек и 10 Мбит/сек. При попытке загрузки информации, не связанной с учебным процессом, трафик пользователей становится ограниченным. На программном уровне защиты используются различные для студентов и сотрудников домены.

Для передачи пакетов между сегментами сети используется маршрутизатор MicroTic, который позволяет распределить нагрузку без потери данных. Через него проходят пакеты глобальной сети, сайты удаленного пользователя и пакеты системы NauDoc.

Сетевая структура оборудована одиннадцатью физическими серверами, четыре из которых являются станциями виртуальных машин. На этих элементах сети установлены информационно-справочные материалы, серверы баз данных, а также почтовые серверы и сайты. В учреждении организованы 14 виртуальных серверов, имеющих выход в глобальную сеть. Основной сервер, пропускающий всю информацию - Nginx. Nginx - это веб-сервер, почтовый прокси-сервер и TCP прокси-сервер. Этот сервер получает входящие данные по 80 порту, а уже после направляет их по нужным серверам (Ubuntu, Suse, CentOS, Win2008_IIS, Win7). Структура сети университета представлена на рисунке 2.

Рисунок 2. Структура сети ФГБОУ ВПО «Нижегородский государственный архитектурно-строительный университет»

Демилитаризованная зона, компьютерные классы, ViPNet и сам университет каждый из этих элементов включены в отдельные виртуальные локальные сети (VLAN), что позволяет уменьшить нагрузку на сетевые устройства (трафик одного домена не проходит в другой домен). Также такая технология дает возможность исключить несанкционированный доступ, т.к. коммутатор отсекает пакеты других виртуальных сетей.

Так как учреждение пользуется услугами двух провайдеров, есть необходимость безотказной работы Интернета при переходе с основного канала на резервный. В качестве кэширующего прокси - сервера используется программный пакет Squid. Основные задачи Squid в рамках данного учреждения:

– При посещении одних и тех же сайтов, они кэшируются, и часть данных идет напрямую с сервера;

– Возможность отслеживания системным администратором посещаемых сайтов и загружаемых файлов;

– Блокировка определенных сайтов;

– Распределение нагрузки между каналами;

В качестве другого брандмауэра в учреждении используется Microsoft Forefront Threat Management Gateway. В комплексе Microsoft Forefront дает высокий уровень защищенности и позволяет управлять безопасностью сетевой структуры. В частности Microsoft Forefront TMG - это прокси-сервер, который позволяет защитить от внешних атак, контролировать трафик и принимать и направлять входящие пакеты.

Для взаимодействия с Министерством Образования и Науки РФ в учреждении используется технология ViPNet. ViPNet обеспечивает защиту в крупных сетях и создает защищенную среду передачи информации ограниченного доступа, используя публичные каналы связи, посредством реализации виртуальной частной сети (VPN).

В современной корпоративной инфраструктуре есть необходимость в централизованном управлении и аппаратной виртуализации локальной сети. С этой целью в университете используется система Microsoft Hyper-V, который позволяет системному администратору, в рамках корпоративной системы, решить несколько задач:

– повышение уровня безопасности;

– защита информационных ресурсов;

– централизованное хранилище данных;

– масштабируемость;

1.3 Анализ информационных потоков

Информационные ресурсы университета циркулируют как внутри системы, так и по внешним каналам. Для обеспечения защиты и упорядочивания информации университет использует современные информационные системы разнообразной направленности.

Наиболее значительной и масштабной является Tandem e - Learning - комплексная информационная система, которая дает возможность мониторинга очного образования и реализует дистанционное образование, как один из модернизированных подходов электронного обучения. Tandem e - Learning - это закрытый образовательный портал, доступ к которому имеют сотрудники и студенты университета, пройдя процедуру регистрации. Доступ к системе возможен как с внутренних компьютеров, так и с внешних устройств.

Другая система дистанционного обучения - Moodle. Этот портал также закрытый и требует регистрации. Так же как и Tandem, к системе Moodle возможен доступ с внешних устройств.

Оба портала построены на основе системы управления образованием (LMS). LMS позволяет управлять и распространять учебный материал и обеспечивать совместный доступ.

Корпоративная информационная система реализована через систему Tandem University.Данный портал содержит информацию об учебном процессе. Доступ к системе Tandem имеют студенты, персонал и высшее руководство. Защита данной системы обеспечена тем, что она изолирована и не имеет выхода в локальную сеть. Все ресурсы корпоративной сети располагаются на четырех серверах, два из которых содержат базу данных и главный портал и два тестовых сервера.

Документооборот в университете происходит через систему NauDoc. Это облачная система документооборота для регистрации, обработки и учета документов внутри учреждения. Доступ к системе имеет канцелярия университета, филиалы и входящие организации.

Контент интернет - сайта ВУЗа контролируется профессиональной системой управления 1С - Битрикс. Преимущество данной системы в том, что она способна повысить скорость ответа сайта.

Бухгалтерия обслуживается через автоматизированную систему обработки «ПАРУС - Бухгалтерия». Данный программный пакет позволяет полностью автоматизировать учет активов, расчетов и средств. Как и корпоративная система Tandem University, «ПАРУС - Бухгалтерия» является изолированной, и доступ к ней имеют только сотрудники бухгалтерского отдела.

Библиотека университета тоже автоматизирована и контролируется через информационно - библиотечную систему MARK - SQL. Данная система содержит большое количество информационных ресурсов, в том числе информационный каталог, который хранится на отдельном Windows сервере.

Также часть ресурсов содержится в следующих информационных системах:

– Консультант+ (справочно - правовая система);

– ТехЭксперт (информационно - справочная система, содержащая нормативно - правовую и техническую информацию в сфере «Бизнес для бизнеса»);

– Norma CS (справочная система поиска и использования стандартов и нормативных документов в конструкторской деятельности);

– OTRS (система обработки заявок);

– RedMine (внутренняя база данных);

– АИСТ (кадровый сервис);

1.4 Анализ информационных ресурсов

Информационная система ФГБОУ ВПО «Нижегородский государственный архитектурно-строительный университет» содержит огромное количество информационных ресурсов (базы данных, документация, персональные данные, архив, библиотеки), которые, в свою очередь, являются основным объектом защиты. Целесообразно ввести несколько уровней конфиденциальности информации:

· Информация ограниченного доступа:

– Служебная тайна - информация, содержащая сведения о финансах, производстве, управлении и других видах деятельности субъекта, разглашение которой может нанести экономический ущерб;

– Профессиональная тайна - сведения, содержащие организацию учебной деятельности и процессов.

– Персональные данные - любая информация, содержащая сведения о конкретном лице (сведения о студентах, преподавателях и др.);

· Информация общего доступа:

– Постановления, указы, распоряжения;

– Информация, содержащая статистические сведения об образовательной деятельности;

– Информация, доступ к которой не ограничен законом и уставом;

1.5 Физическая безопасность объектов (охрана)

На территории учреждения ведется круглосуточное наблюдение через пост охраны. Вход на территорию университета осуществляется по персональным пропускам. Посетители имеют право прибывать на территории только в сопровождении сотрудника учреждения. В университете осуществлена пожарно - охранная сигнализация и установлены соответствующие датчики. Аппаратные средства хранения информации (сервера) располагаются в отдельном помещении. Мониторинг объекта осуществляется через систему видеонаблюдения.

К основным объектам защиты можно отнести:

– серверы баз данных;

– станция управления учетными записями;

– ftp и www - серверы;

– ЛВС бухгалтерии и др.;

– Данные архивов, финансового, статистического и учебного отделов;

– Внешние и внутренние информационные ресурсы;

2. АНАЛИЗ И РАЗРАБОТКА МОДЕЛИ УГРОЗ

2.1 Классификация и анализ источников угроз и уязвимостей безопасности

В информационной безопасности под угрозой понимают потенциальное событие или действие, которое может повлиять на работу компьютерной сети и ведет к сбою систему безопасности. При воздействии на ресурсы угрозы приводят к несанкционированному доступу, искажению, распространению защищенных данных. Целесообразно разделить источники угроз на следующие группы:

– антропогенные угрозы (случайные ошибки разработки и эксплуатации составных частей системы безопасности, умышленные действия нарушителя);

– техногенные угрозы (отказы и сбои технического оборудования);

– стихийные угрозы (угрозы безопасности естественного характера);

В таблице 2 представлена классификация и возможные угрозы, характерные для учреждения.

Таблица 2. Классификация источников угроз

Стихийные источники угроз характеризуются непреодолимой силой и распространяются на все объекты безопасности. Такие угрозы сложно спрогнозировать и предотвратить. Основными стихийными источниками угроз являются: пожары, наводнения, ураганы и непредвиденные обстоятельства. Защитные меры относительно стихийных угроз должны выполняться постоянно.

Относительно вышеперечисленных угроз наиболее вероятными и опасными являются непреднамеренные действия внутренних пользователей и лиц, имеющих непосредственное отношение к компьютерной сети.

Самыми частыми и самыми опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих компьютерную сеть. Антропогенные угрозы являются наиболее вероятными, так как есть возможность спрогнозировать действия людей и принять соответствующие контрмеры, которые в свою очередь зависят от действий лиц, ответственных за обеспечение информационной безопасности.

Угрозы, как правило, являются следствием уязвимостей, которые в свою очередь приводят к нарушению безопасности. Уязвимость - это недостаток системы, который позволяет успешно реализовать угрозу и нарушить целостность системы. Уязвимости могут возникнуть по нескольким причинам:

– ошибки при создании программно обеспечения (ПО);

– умышленное внесение уязвимостей на стадии проектирования ПО;

– несанкционированное использование вредоносных программ и, как следствие, неосновательное расходование ресурсов;

– непреднамеренные действия пользователей;

– нарушение в работе программно-аппаратного обеспечения;

Существуют следующие уязвимости:

· Объективные (уязвимости, зависящие от технического оборудования информационной системы):

– Аппаратные закладки (закладки техническом и периферийном оборудовании);

– Программные закладки (вредоносное ПО);

· Субъективные (уязвимости, зависящие от действий людей):

– Ошибки (неправильная эксплуатация программных и аппаратных средств пользователями, ошибочный ввод данных);

– Нарушения (нарушение правил политики информационной безопасности, нарушение режима доступа и конфиденциальности, нарушение эксплуатации аппаратных средств);

· Случайные (уязвимости, обусловленные окружающей информационную систему среды)

– Отказы (отказ средств обработки данных, отказ средств сети, отказ системы контроля и охраны, отказ программного обеспечения);

– Сбои (перебои электроснабжения);

– Повреждения (поломка инженерных коммуникаций);

Ослабление или ликвидация уязвимостей оказывает влияние на вероятность осуществления угроз информационной безопасности.

2.2 Модель нарушителя

Обеспечение защиты информационных активов университета специфично, так как это учреждение с непостоянной аудиторией. По причине того, что атаки могут исходить от любых субъектов, целесообразно разделить на две категории: внешние нарушители и внутренние нарушители. Внешним нарушителем является лицо, которое не является сотрудником и не имеет доступа к информационной системе. В эту категорию входят:

– хакеры (субъекты, создающие и реализующие атаки, с целью нанесения ущерба и овладения информацией ограниченного доступа): посредством несанкционированного доступа к информационным системам может уничтожить или изменить информацию; внедрение вредоносных программ и вирусов, аппаратных и программных закладок с последующим осуществлением несанкционированного доступа);

– провайдеры, и поставщики технического и программного обеспечения (осуществление несанкционированного доступа через рабочие станции к информационным ресурсам и к каналам связи);

Все остальные субъекты - внутренние нарушители. В соответствии с руководящим документом ФСТЭК «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» внутренние нарушители подразделяются на восемь категорий:

1. Лица, имеющие санкционированный доступ к ИСПДн, но не имеющие доступа к ПДн.

Применительно к данному учреждению такими правами обладает руководство, управление информатизации. В соответствии с правами эти лица могут: иметь доступ к некоторым частям ПДн, которые циркулирует по внутренним каналам; знать информацию о топологии ИСПДн, коммуникационных протоколах и сервисах; выявлять имена и пароли зарегистрированных пользователей; изменять конфигурацию аппаратных и программных средств.

2. Зарегистрированные пользователи ИСПДн, осуществляющие ограниченный доступ к ресурсам ИСПДн с рабочего места.

К этой категории можно отнести сотрудников управлений, преподавателей и студентов учреждения. Лица данной категории: имеют один идентификатор и пароль; располагают конфиденциальными данными, к которым имеют санкционированный доступ.

3. Зарегистрированные пользователи ИСПДн, осуществляющие удаленный доступ к ПДн по локальным и (или) распределенным информационным системам.

4. Зарегистрированные пользователи ИСПДн с полномочиями администратора безопасности сегмента ИСПДн.

Лица этой категории: располагают информацией о программном обеспечении, технических средствах, используемых в данном сегменте; имеет доступ к средствам защиты и протоколирования и к аппаратным средствам ИСПДн.

5. Зарегистрированные пользователи с полномочиями системного администратора ИСПДн.

Лица этой категории: знает информацию о программном и аппаратном обеспечении полной ИСПДн; имеет физический доступ ко всем аппаратным средствам; имеет право конфигурировать аппаратное обеспечение.

6. Зарегистрированные пользователи с полномочиями администратора безопасности ИСПДн.

7. Программисты - разработчики программного обеспечения и лица, сопровождающие его на данном объекте.

Лица данной категории: знают информацию о процедурах и программах обработки данных на ИСПДн; может вносить ошибки, программные закладки и вредоносный код на стадии разработки; может знать информацию о топологии и аппаратных средствах ИСПДн.

8. Разработчики и лица, обеспечивающие поставку, сопровождение и ремонт аппаратных средств на ИСПДн.

Применительно к данному учреждению к внутренним нарушителям можно отнести:

– пользователи информационных ресурсов (персонал управлений, отделов и других подразделений, преподаватели, студенты) (непреднамеренная модификация или уничтожение данных; установка вредоносного и несертифицированного программного обеспечения; передача индивидуального пароля посторонним лицам);

– лица, обслуживающие и поддерживающие информационную систему (случайное или преднамеренное неправильное конфигурирование технических или сетевых средств);

– другие лица, имеющие доступ к объектам обработки информации (технический и обслуживающий персонал) (непреднамеренное нарушение работоспособности средств электрообеспечения и инженерных сооружений);

Особая и наиболее значительная категория нарушителей - студенты. На сегодняшний день многие из них достаточно хорошо подготовлены и разбираются в киберпространстве. Путем некоторых манипуляций студенты в состоянии произвести ряд нарушений безопасности и нанести ущерб.

2.3 Определение актуальных угроз информационной системы

Для определения актуальных угроз безопасности, необходимо учитывать два значения. Первый показатель - это уровень исходной защищенности информационной системы. Это обобщенный показатель, который зависит от технических характеристик системы. В таблице 4 представлен расчет исходной защищенности информационной системы, который определяется процентным соотношением отдельного уровня защищенности ко всем имеющимся показателям защищенности.

Таблица 4. Расчет исходной защищенности учреждения

По результатам анализа можно сделать вывод, что ИСПДн учреждения имеет средний уровень защищенности. В соответствии с полученным результатом вводится коэффициент Y 1 = 5. Этот коэффициент является первым параметром при определении актуальности угроз.

Следующий параметр - вероятность осуществления угрозы (Y 2). Этот показатель определяется экспертным путем и имеет четыре возможных значения:

– маловероятно (отсутствие объективных предпосылок реализации угрозы - 0);

– низкая вероятность (явные предпосылки осуществления угрозы существуют, но существующие средства защиты затрудняют её реализацию - 2);

– средняя вероятность (существуют предпосылки реализации угроз, и исходные методы защиты недостаточны - 5);

– высокая вероятность (существуют объективные предпосылки осуществления угроз и меры по обеспечению безопасности не предприняты - 10);

На основании полученных параметров рассчитывается коэффициент реализации угрозы Y, который определяется по формуле Y = (Y 1 +Y 2)/20. В соответствии с полученным результатом, Y принимает следующие значения:

– 0 < Y < 0,3 - низкая реализуемость угрозы;

– 0,3 < Y < 0,6 - средняя реализуемость угрозы;

– 0,6 < Y < 0,8 - высокая реализуемость угрозы;

– Y > 0,8 - очень высокая реализуемость угрозы;

Следующим шагом является оценка опасности угрозы. Эта оценка дается специалистом безопасности и имеет следующие значения опасности:

– низкая опасность - осуществление угрозы может нанести несущественный ущерб;

– средняя опасность - осуществление угрозы может нанести ущерб;

– высокая опасность - осуществление угрозы может нанести значительный ущерб;

В таблице 5 представлена матрица расчета актуальности угроз, которая получается в результате учета всех вышеизложенных показателей.

– «+» - угроза актуальная;

– «-» - угроза неактуальная;

Таблица 5. Матрица расчета актуальности угроз

В результате анализа исходной защищенности учреждения и матрицы актуальности угроз были определены угрозы, характерные для данного учреждения, и их актуальность по следующему плану: угроза (вероятность осуществления угрозы; реализуемость угрозы; оценка опасности угрозы) - актуальная/неактуальная.

1. Несанкционированный доступ на территорию учреждения, к аппаратным объектам, документации (низкая вероятность (2); средняя реализуемость (0,35); высокая опасность) - актуальная;

2. Хищение или порча оборудования автоматизированной системы (маловероятно(0); низкая реализуемость (0,25); высокая опасность) - актуальная;

3. Неумышленное уничтожение и модификация информации (средняя вероятность(5); средняя реализуемость(0,5); высокая опасность) - актуальная;

4. Кража бумажных информационных ресурсов (маловероятно (0); низкая реализуемость (0,25); средняя опасность) - неактуальная;

5. Утечка конфиденциальных данных через мобильные девайсы и ноутбуки (маловероятно (0); низкая реализуемость (0,5); средняя опасность) - неактуальная;

6. Непреднамеренное превышение прав использования оборудования по причине отсутствия соответствующих знаний (средняя вероятность (5); средняя реализуемость (0,5); средняя опасность) - актуальная;

7. Перехват передаваемой информации путем сканирования сетевого трафика (низкая вероятность(2); средняя реализуемость (0,35); высокая опасность) - актуальная;

8. Установка посторонних вредоносных программ (низкая вероятность (2); средняя реализуемость (0,35); средняя опасность) - актуальная;

9. Изменение конфигурации программных компонентов (средняя вероятность (5); средняя реализуемость (0,5); высокая опасность) - актуальная;

10. Уничтожение или изменение регистрационных данных пользователей (маловероятно (0); низкая реализуемость (0,25); низкая опасность) - неактуальная;

11. Непреднамеренное раскрытие конфиденциальной информации сотрудниками (высокая вероятность (10); высокая реализуемость (0,75); высокая опасность) - актуальная;

12. Различного рода излучения, которые могут повлиять на работоспособность технических средств (маловероятно (0); низкая реализуемость (0,25); средняя опасность) - неактуальная;

13. Отказ и сбой сетевого оборудования (средняя вероятность (5); средняя реализуемость (0,5); средняя опасность) - актуальная;

14. Уничтожение данных по причине ошибок или сбоя аппаратного и программного обеспечения (средняя вероятность (5); средняя реализуемость (0,5); высокая опасность) - актуальная;

15. Программные закладки (низкая вероятность (2); средняя реализуемость (0,35); средняя опасность) - актуальная;

16. Использование чужих регистрационных данных для входа в информационные службы (средняя вероятность (2); средняя реализуемость (0,35); высокая опасность) - актуальная;

17. Нарушение режимных и охранных мер (низкая вероятность (2); средняя реализуемость (0,35); средний ущерб) - актуальная;

Проанализировав актуальные угрозы, можно сделать вывод, что все они устраняемые посредством технических и организационных мер. В таблице 6 представлены меры борьбы с актуальными угрозами, которые могут быть использованы в университете для защиты данных.

Таблица 6. Методы борьбы с актуальными угрозами

Методы борьбы с угрозами, указанные в таблице, будут учтены и использованы при разработке политики безопасности университета.

2.4. Определение класса защищенности информационной системы

Для разработки эффективной системы безопасности учреждения необходимо определить класс защищенности исходной системы. Для этого был проведен анализ информационной системы и получены следующие результаты:

– Система обрабатывает информацию разных уровней конфиденциальности;

– В системе обрабатываются данные с грифом «секретно»;

– Информационная система является многопользовательской;

– Права доступ...

Подобные документы

Сущность информации, ее классификация. Основные проблемы обеспечения и угрозы информационной безопасности предприятия. Анализ рисков и принципы информационной безопасности предприятия. Разработка комплекса мер по обеспечению информационной безопасности.

курсовая работа , добавлен 17.05.2016


Анализ инфраструктуры ООО магазин "Стиль". Создание системы информационной безопасности отдела бухгалтерии предприятия на основе ее предпроектного обследования. Разработка концепции, политики информационной безопасности и выбор решений по ее обеспечению.

курсовая работа , добавлен 17.09.2010


Стратегия информационной безопасности предприятия в виде системы эффективных политик, которые определяли бы эффективный и достаточный набор требований безопасности. Выявление угроз информационной безопасности. Внутренний контроль и управление рисками.

курсовая работа , добавлен 14.06.2015


Разработка структурной и инфологической моделей информационной системы госучреждения. Перечень и анализ угроз, объекты нападения, типы потерь, масштабы ущерба, источники. Охрана базы данных конфиденциальной информации и разработка политики безопасности.

курсовая работа , добавлен 15.11.2009


Основные понятия, методы и технологии управления рисками информационной безопасности. Идентификация риска, активов, угроз, уязвимостей, существующих контролей, последствий. Оценка и снижение риска. Примеры типичных угроз информационной безопасности.

презентация , добавлен 11.04.2018


Нормативно-правовые документы в сфере информационной безопасности в России. Анализ угроз информационных систем. Характеристика организации системы защиты персональных данных клиники. Внедрение системы аутентификации с использованием электронных ключей.

дипломная работа , добавлен 31.10.2016


Характеристика информационных ресурсов агрохолдинга "Ашатли". Угрозы информационной безопасности, характерные для предприятия. Меры, методы и средства защиты информации. Анализ недостатков существующей и преимущества обновленной системы безопасности.

курсовая работа , добавлен 03.02.2011


Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.

реферат , добавлен 15.11.2011


Анализ рисков информационной безопасности. Идентификация уязвимостей активов. Оценка существующих и планируемых средств защиты. Комплекс проектируемых нормативно-правовых и организационно-административных средств обеспечения информационной безопасности.

дипломная работа , добавлен 03.04.2013


Разработка информационной системы ВУЗа с использованием методики объектно-ориентированного моделирования UML. Анализ требований к системе. Концептуальная (содержательная) модель. Диаграмма компонентов и классов. Программная реализация приложения.

Система информационной безопасности ФГБОУ ВПО «Нижегородский государственный архитектурно-строительный университет»

• 2. Цели и назначение проектирования системы
• 2.1 Цели проектирования системы
• – Обеспечение защиты субъектов информационной системы университета от несанкционированного доступа внешних нарушителей;
• – Разделение пользователей информационной системы университета и присвоение им соответствующих прав доступа и действий;
• – Обеспечение защиты от модификации и уничтожения конфиденциальной информации соответствующих управлений;
• – Расширение теоретических знаний сотрудников университета в области информационной безопасности с целью минимизации антропогенных угроз;
• – Своевременное определение угроз безопасности объектам и субъектам информационной системы университета, их ликвидация и реализация плана действий при возникновению последующих угроз;
• – Обеспечение постоянного контроля режима безопасности информационной системы, с целью предоставления непрерывного доступа к информационным службам университета для поддержания деятельности;
• – Реализация мер защиты от вирусных атак;
• – Разработка и последующие сохранение условий для минимизации нарушений и ущерба системе информационной безопасности университета.
• 2.2 Назначение проектируемой системы

Проектируемая система информационной безопасности разрабатывается с целью обеспечения комплексной защиты объектов информационной системы университета, посредством усовершенствования исходной системы. Проектируемая политика соответствует нормативным актам и требованиям.

3. Характеристики объекта защиты

ФГБОУ ВПО «Нижегородский государственный архитектурно-строительный университет» является государственным учреждением с распределенной многопользовательской структурой с разграничением доступа к информационным службам.

4. Требования к системе

Система должна соответствовать стандартам и нормативным документам в области информационной безопасности и обеспечивать защиту на:

• – Организационном уровне;
• – Программном уровне;
• – Техническом уровне.
• 5. Объекты защиты
• 5.1 Перечень информационных порталов

Данный перечень разрабатывается на основании обследования информационной системы университета.

• 5.2 Перечень физических объектов защиты:
  • – Рабочая станция администратора системы;
  • – Серверы баз данных;
  • – Обрабатываемые данные управлений университета, не подлежащие для публичного доступа;
  • – Программные и аппаратные средства обработки информации;
  • – Действующая система защиты;
  • – Каналы обмена данными;
  • – Локальные вычислительные сети.
• 6. Классификация пользователей системы информационной безопасности

Пользователь - лицо, использующее информационную систему и результаты её работы. Все выделенные пользователи имеют доступ к ресурсам информационной системы в соответствии с определенными правилами и обязанностями. Пользователей учреждения можно разделить на:

• – Руководство - сотрудники университета, обеспечивающие выполнение правил и принципов существующей политики информационной безопасности;
• – Администратор информационной системы - сотрудники университета, конфигурирующие, внедряющие дополнительные модули и контролирующие информационную систему;
• – Администратор информационной безопасности - сотрудники университета, обеспечивающие целостность ресурсов, циркулирующих в информационной системе;
• – Пользователи информационной системы - лица университета (персонал управлений, преподаватели и сотрудники), эксплуатирующие информационную систему и имеющие идентификационные данные для доступа к разрешенным данным.
• 7. Требования к функционалу в соответствии с классом защищенности
• 7.1 Подсистема управления доступом
• – Должны быть реализованы механизмы аутентификации пользователя при попытке входа в информационные службы;
• – Основные атрибуты пользователя: идентификатор, профиль и управление/отдел/подразделение;
• – Основные права доступа: чтение, запись, выполнение;
• – Атрибуты пользователя не должны распространяться;
• – Права доступа имеют только авторизованные пользователи;
• – Пользователи имеют доступ к рабочим станциям в соответствии с регламентом учреждения;
• – Управление потоками данных осуществляется в соответствии с грифом конфиденциальности данных.
• 7.2 Подсистема обеспечения целостности

Должно обеспечиваться состояние неизменности серверов, системного и программного обеспечения. В качестве средств обеспечения целостности данных можно выделить:

• – Авторизация и аутентификация пользователей информационной системы с целью обеспечения безопасности данных;
• – Шифрование (повышает уровень защиты данных, но усложняет процесс разграничения доступа);
• – Проведение аудита позволяет постоянно контролировать объекты информационной системы;
• – Средства резервного копирования позволяют восстановить данные в результате сбоя или отказа технических средств;
• – Фильтрация входных данных с целью выявления SQL - инъекции с шифрованием паролей;
• – Физическая безопасность (контроль территории, пропускной режим, контроль помещений с техническими средствами системы);

Все меры безопасности должны проводиться под руководством администратора безопасности.

7.3 Подсистема регистрации и учета

Обеспечивает регистрацию входа/выхода субъектов доступа в систему/из системы; Осуществление контроля над исполняемыми программами и процессами, функционирующими с защищенными данными; регистрация попыток доступа к программным средствам. Основными параметрами являются:

• – Дата и время;
• – Наименование программы, к который запрашивается доступ;
• – Результат действия (успешный/неуспешный);
• – Ключ, идентифицирующий субъект во время доступа.
• 8. Требования к организационному обеспечению
• 8.1 В соответствии с выявленными угрозами, необходимо провести ряд организационных мер, направленных на расширение знаний персонала в области информационных технологий. Работа с сотрудниками:
  • – при получении прав для доступа к информационной системе персонал должен получить от администратора информацию о методах и средствах защиты;
  • – если сотрудник университета не обладает знаниями принципов и средств защиты информации, он не имеет доступа к системе;
  • – инструкция доступа к объектам и допуска к ресурсам информационной системы университета;
  • – введение средств дистанционного обучения персонала;
  • – изучение угроз, связанных с действиями сотрудников;
  • – информирование сотрудников управлений/отделов о запрете разглашения конфиденциальной информации, циркулирующей в соответствующем управлении/отделе;
  • – информирование сотрудников о запрете разглашения и передачи идентификационных данных пользователя для доступа к служебным системам другим лицам;
  • – соблюдение пользователем правил доступа к информационной системе университета;
  • – определение ответственность за нарушение политики информационной безопасности университета.
• 8.2 Фиксирование происшествий:
  • – программными или иными способами оперативное выявление происшествия;
  • – устранение источника угрозы;
  • – определение контрмер и их последующая реализация при согласовании с системным администратором и администратором информационной безопасности университета;
  • – анализ ущерба, причиненного реализованной угрозой;
  • – анализ угрозы и создание плана действий, которые в последующем позволят избежать данной угрозы.
• 9. Требования к физической и технической защите
• 9.1 Физическая защита реализуется с использованием средств контроля (видеонаблюдение, сигнализация) и специальных устройств, которые способны предотвратить несанкционированный доступ внешний нарушителей к объектам системы безопасности университета;
• 9.2 Каждый корпус университета должен быть оборудован постом охраны;
• 9.3 Доступ на территорию университета осуществляется по специальным магнитным пропускам;
• 9.4 Доступ к ресурсам информационной системы университета осуществляется посредством ввода уникальных идентификационных данных (логин, пароль);
• 9.5 Идентификационные данные пользователя выдаются администратором безопасности университета, с возможностью последующей смены пароля;
• 9.6 Хранение паролей в базе информационной системы университета производится только в хешированном виде;
• 9.7 В случае увольнения сотрудника или отчисления студента из университета, его пропуск становится неактивным (размагничивается), а идентификационные данные удаляются из базы;
• 9.8 Система безопасности должна отслеживать действия пользователей и записывать в журнал.
• 10. Требования к аппаратно - программному обеспечению
• 10.1 Внедрение нового программного и аппаратного обеспечения в информационную систему университета возможно только после его тестирования;
• 10.2 Количество лицензий продукта должно совпадать с количеством рабочих станций университета, на которых будет использоваться данное обеспечение;
• 10.3 Конфигурация программного обеспечения может осуществляться только системным администратором университета;
• 10.4 Установка и использование программного обеспечения недопустимо без разрешения администратора университета и проведения тестирования;
• 10.5 Каждая рабочая станция должна иметь программу антивирусной защиты;
• 10.6 Внешние и съемные накопители перед запуском должны быть проверены на наличие вирусов;
• 10.7 Автоматическая реакция антивирусного обеспечения на обнаружение вируса;
• 10.8 В соответствии с классом защищенности информационной системы университета, межсетевые экраны должны быть не ниже третьего класса;
• 10.9 Использование нелицензированного обеспечения не допускается;
• 10.10 Аппаратное обеспечение сети должно находиться в отдельном помещении с ограниченным доступом;
• 10.11 Для обеспечения защиты информационной безопасности предприятия должно использоваться актуальные программные продукты лидеров в сфере информационной безопасности;
• 10.12 Аппаратные средства информационной системы университета должны корректно работать с операционными системами университета (Windows, Linux).
• 10.13 Аппаратные средства должны иметь функции масштабирования и легко конфигурироваться.

Настоящая политика разработана в соответствии с Руководящим документом 50-34.698-90 «Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов».

УДК 004.056

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ КОРПОРАТИВНОЙ СЕТИ ВУЗА

О. М. Проталинский, И. М. Ажмухамедов

Выявлена специфика обеспечения информационной безопасности в вузе. Проведен анализ угроз, их источников и рисков. Рассмотрены рубежи защиты информации и структура системы комплексной информационной безопасности.

Ключевые слова: информационная безопасность, вуз, угрозы безопасности, защита информации.

В современных условиях всеобщей информатизации и развития информационных технологий усиливаются угрозы национальной безопасности Российской Федерации в информационной сфере .

Концепцию национальной безопасности РФ применительно к информационной сфере развивает Доктрина информационной безопасности (ИБ) Российской Федерации .

В Доктрине указывается, что обеспечение ИБ РФ играет ключевую роль в обеспечении национальной безопасности РФ. При этом одним из приоритетных направлений государственной политики в области обеспечения ИБ РФ является совершенствование подготовки кадров, развитие образования в области ИБ. Особую роль в решении этих задач играют вузы.

Российская высшая школа переживает период адаптации не только к объективным процессам информационного общества, но и к новым социально-политическим условиям с разноплановыми проявлениями конкурентной борьбы.

Создание эффективных механизмов управления информационными ресурсами системы высшего образования в современных условиях невозможно без научного обоснования и практической реализация сбалансированной политики ИБ вуза, которая может быть сформирована на основе решения следующих задач :

Анализ процессов информационного взаимодействия (ИВ) во всех сферах основной деятельности российского технического вуза: информационных потоков, их масштаба и качества, противоречий, конкурентной борьбы с выявлением собственников и соперников;

Разработка качественного и простого количественного (математического) описания ИВ;

Введение количественных индикаторов и критериев открытости, безопасности и справедливости информационного обмена;

Разработка сценариев необходимости и значимости баланса в информационной открытости и конфиденциальности;

Определение роли и места политики ИБ в управлении информационными ресурсами вуза и выработка согласующихся принципов и подходов;

Формулировка основных составляющих политики: целей, задач, принципов и ключевых направлений обеспечения ИБ;

Разработка базовых методик управления процессом обеспечения политики ИБ;

Подготовка проектов нормативно-правовых документов.

СПЕЦИФИКА ОБРАЗОВАТЕЛЬНЫХ УЧРЕЖДЕНИЙ

В современном вузе хранится и обрабатывается огромное число различных данных, связанных не только с обеспечением учебного процесса, но и с научно-исследовательскими и проектно-конс-трукторскими разработками, персональные данные студентов и сотрудников, служебная, коммерческая и иная конфиденциальная информация.

Рост преступлений в сфере высоких технологий диктует свои требования к защите ресурсов вычислительных сетей учебных заведений и ставит задачу построения собственной интегрированной системы безопасности. Ее решение предполагает наличие нормативно-правовой базы, формирование концепции безопасности, разработку мероприятий, планов и процедур по безопасной работе, проектирование, реализацию и сопровождение технических средств защиты информации (СЗИ) в рамках образовательного учреждения. Эти составляющие определяют единую политику обеспечения безопасности информации в вузе.

Специфика защиты информации в образовательной системе заключается в том, что вуз - публичное заведение с непостоянной аудиторией, а также место повышенной активности "начинающих киберпреступников".

Основную группу потенциальных нарушителей здесь составляют студенты, и некоторые из них имеют достаточно высокий уровень подготов-

ки. Возраст - от 18 до 23 лет - и юношеский максимализм побуждает таких людей "блеснуть" знаниями перед сокурсниками: устроить вирусную эпидемию, получить административный доступ и "наказать" преподавателя, заблокировать выход в Internet и т. д. Достаточно вспомнить, что первые компьютерные правонарушения родились именно в вузе (червь Морриса) .

Особенности вуза как объекта информатизации связаны также с многопрофильным характером деятельности, обилием форм и методов учебной работы, пространственной распределенностью инфраструктуры (филиалы, представительства). Сюда же можно отнести и многообразие источников финансирования, наличие развитой структуры вспомогательных подразделений и служб (строительная, производственная, хозяйственная деятельность), необходимость адаптации к меняющемуся рынку образовательных услуг, потребность в анализе рынка труда, отсутствие общепринятой формализации деловых процессов, необходимость электронного взаимодействия с вышестоящими организациями, частое изменение статуса сотрудников и обучаемых.

При этом несколько облегчает проблему то, что вуз представляет собой стабильную, иерархическую по функциям управления систему, обладающую всеми необходимыми условиями жизнедеятельности и действующую на принципах централизованного управления (последнее означает, что в управлении задачами информатизации может активно использоваться административный ресурс).

Указанные выше особенности обусловливают необходимость соблюдения следующих требований:

Комплексной проработки задач ИБ, начиная с концепции и заканчивая сопровождением программно-технических решений;

Привлечения большого числа специалистов, владеющих содержательной частью деловых процессов;

Использования модульной структуры корпоративных приложений, когда каждый модуль покрывает взаимосвязанную группу деловых процедур или информационных сервисов при обеспечении единых требований к безопасности;

Применение обоснованной последовательности этапов в решении задач ИБ;

Документирование разработок на базе разумного применения стандартов, что гарантирует создание успешной системы;

Использование надежных и масштабируемых аппаратно-программных платформ и технологий различного назначения, обеспечивающих необходимый уровень безопасности.

С точки зрения архитектуры в корпоративной информационной среде можно выделить три уров-

ня, для обеспечения безопасного функционирования которых необходимо применять различные подходы:

Оборудование вычислительной сети, каналов и линий передачи данных, рабочих мест пользователей, системы хранения данных;

Операционные системы, сетевые службы и сервисы по управлению доступом к ресурсам, программное обеспечение (ПО) среднего слоя;

Прикладное ПО, информационные сервисы и среды, ориентированные на пользователей. При создании комплексной информационной

сети (КИС) необходимо обеспечить межуровне-вое согласование требований по безопасности к выбираемым решениям или технологиям. Так, на втором уровне архитектура КИС многих вузов представляет собой разрозненные и слабо связанные подсистемы с разными операционными средами, согласованные друг с другом только на уровне закрепления 1Р-адресов или обмена сообщениями. Причинами плохой системной организации КИС является отсутствие их утвержденной архитектуры, наличие нескольких центров ответственности за развитие технологий, которые действуют несогласованно. Проблемы начинаются с нежелания управлять выбором операционных сред в подразделениях, когда ключевые технологические решения полностью децентрализованы, что резко снижает уровень безопасности системы.

Вузы, имеющие четкую стратегию развития информационных технологий (ИТ), единые требования к информационной инфраструктуре, политику информационной безопасности и утвержденные регламенты на основные компоненты КИС, отличаются, как правило, сильным административным ядром в управлении и высоким авторитетом руководителя ИТ-службы .

В таких вузах могут, конечно, применяться различные операционные среды или системы среднего слоя, но это обусловлено организационно-техническими или экономическими причинами и не препятствует развертыванию КИС вуза и внедрению унифицированных принципов безопасного доступа к информационным ресурсам.

Состояние развития в вузах третьего уровня архитектуры КИС можно охарактеризовать следующим образом: в основном завершен переход от локальных программных приложений, автоматизирующих отдельный деловой процесс и опирающихся на локальный набор данных, к корпоративным клиент-серверным информационным системам (ИС), обеспечивающим доступ пользователей к оперативным базам данных вуза. В том или ином виде решена задача интеграции данных, порожденных различными ИС, что позволяет усовершенствовать бизнес-процессы, повысить качество управления и принятия решений.

4 _ Sensors & Systems № 5.2009

Если в начале 1990-х гг. отмечался высокий спрос на бухгалтерское ПО и ПО управленческого учета (учет кадров, отчетность и т. д.), то сегодня этот спрос в большей части удовлетворен. Теперь стоит задача обеспечить достоверными данными о деятельности образовательного учреждения не только управленческий персонал, но и каждого преподавателя и студента, т. е. задача эффективного управления данными, циркулирующими в КИС, что в свою очередь делает задачу обеспечения ИБ в таких сетях еще более актуальной.

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ КОРПОРАТИВНЫХ СЕТЕЙ ВУЗОВ

Активное внедрение Internet и новых информационных технологий в образовательный процесс и систему управления вузом создали предпосылки к появлению корпоративных сетей.

Корпоративная сеть вуза - это ИС, включающая в себя компьютеры, серверы, сетевое оборудование, средства связи и телекоммуникации, систему ПО, предназначенную для решения задач управления вузом и ведения образовательной деятельности. Корпоративная сеть обычно объединяет не только структурные подразделения вуза, но и их региональные представительства. Ранее недоступные для вуза, сегодня эти сети стали активно внедряться в образовательные структуры в связи с массовым распространением сети Internet и ее доступностью .

Комплексная ИБ вуза - это система сохранения, ограничения и авторизованного доступа к информации, содержащейся на серверах в корпоративных сетях вузов, а также перед

УДК 004.056

О. М. Проталинский, И. М. Ажмухамедов ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ВУЗА

Введение

В современных условиях всеобщей информатизации и развития информационных технологий усиливаются угрозы национальной безопасности Российской Федерации в информационной сфере .

Концепцию национальной безопасности РФ применительно к информационной сфере развивает Доктрина информационной безопасности Российской Федерации .

В Доктрине указывается, что обеспечение информационной безопасности РФ играет ключевую роль в обеспечении национальной безопасности РФ. При этом одним из приоритетных направлений государственной политики в области обеспечения информационной безопасности РФ является совершенствование подготовки кадров, развитие образования в области информационной безопасности. Особую роль в решении этих задач играют вузы.

Российская высшая школа переживает период адаптации не только к объективным процессам информационного общества, но и к новым социально-политическим условиям с разноплановыми проявлениями конкурентной борьбы.

Создание эффективных механизмов управления информационными ресурсами системы высшего образования в современных условиях невозможно без научного обоснования и практической реализации сбалансированной политики информационной безопасности вуза, которая может быть сформирована на основе решения следующих задач :

Анализ процессов информационного взаимодействия во всех сферах основной деятельности российского технического вуза: информационных потоков, их масштаба и качества, противоречий, конкурентной борьбы с выявлением собственников и соперников;

Разработка качественного и простого количественного (математического) описания информационного взаимодействия;

Введение количественных индикаторов и критериев открытости, безопасности и справедливости информационного обмена;

Разработка сценариев необходимости и значимости баланса в информационной открытости и конфиденциальности;

Определение роли и места политики информационной безопасности в управлении информационными ресурсами вуза и выработка согласующихся принципов и подходов;

Формулировка основных составляющих политики: целей, задач, принципов и ключевых направлений обеспечения информационной безопасности;

Разработка базовых методик управления процессом обеспечения политики информационной безопасности;

Подготовка проектов нормативно-правовых документов.

Специфика образовательных учреждений

В современном вузе хранится и обрабатывается огромное количество различных данных, связанных не только с обеспечением учебного процесса, но и с научно-исследовательскими и проектно-конструкторскими разработками, персональные данные студентов и сотрудников, служебная, коммерческая и иная конфиденциальная информация.

Рост количества преступлений в сфере высоких технологий диктует свои требования к защите ресурсов вычислительных сетей учебных заведений и ставит задачу построения собственной интегрированной системы безопасности. Ее решение предполагает наличие нормативноправовой базы, формирование концепции безопасности, разработку мероприятий, планов и процедур по безопасной работе, проектирование, реализацию и сопровождение технических средств защиты информации (СЗИ) в рамках образовательного учреждения. Эти составляющие определяют единую политику обеспечения безопасности информации в вузе.

Специфика защиты информации в образовательной системе заключается в том, что вуз -публичное заведение с непостоянной аудиторией, а также место повышенной активности «начинающих киберпреступников».

Основную группу потенциальных нарушителей в вузе составляют студенты, ряд из них имеют достаточно высокий уровень подготовки. Возраст (от 18 до 23 лет) и юношеский максимализм побуждают таких людей блеснуть знаниями перед сокурсниками: устроить вирусную эпидемию, получить административный доступ и «наказать» преподавателя, заблокировать выход в Интернет и т. д. Достаточно вспомнить, что первые компьютерные правонарушения родились именно в вузе (червь Морриса) .

Особенности вуза как объекта информатизации связаны также с многопрофильным характером деятельности, обилием форм и методов учебной работы, пространственной распределенностью инфраструктуры (филиалы, представительства). Сюда же можно отнести и многообразие источников финансирования, наличие развитой структуры вспомогательных подразделений и служб (строительная, производственная, хозяйственная деятельность), необходимость адаптации к меняющемуся рынку образовательных услуг, потребность в анализе рынка труда, отсутствие общепринятой формализации деловых процессов, необходимость электронного взаимодействия с вышестоящими организациями, частое изменение статуса сотрудников и обучаемых.

Несколько облегчает проблему то, что вуз представляет собой стабильную, иерархическую по функциям управления систему, обладающую всеми необходимыми условиями жизнедеятельности и действующую на принципах централизованного управления (последнее означает, что в управлении задачами информатизации может активно использоваться административный ресурс).

Указанные выше особенности обусловливают необходимость соблюдения следующих требований:

Комплексная проработка задач информационной безопасности, начиная с концепции и заканчивая сопровождением программно-технических решений;

Привлечение большого числа специалистов, владеющих содержательной частью деловых процессов;

Использование модульной структуры корпоративных приложений, когда каждый модуль покрывает взаимосвязанную группу деловых процедур или информационных сервисов при обеспечении единых требований к безопасности;

Применение обоснованной последовательности этапов в решении задач информационной безопасности;

Документирование разработок на базе разумного применения стандартов, что гарантирует создание успешной системы;

Использование надежных и масштабируемых аппаратно-программных платформ и технологий различного назначения, обеспечивающих необходимый уровень безопасности.

С точки зрения архитектуры в корпоративной информационной среде можно выделить три уровня, для обеспечения безопасного функционирования которых необходимо применять различные подходы:

Оборудование вычислительной сети, каналов и линий передачи данных, рабочих мест пользователей, системы хранения данных;

Операционные системы, сетевые службы и сервисы по управлению доступом к ресурсам, программное обеспечение среднего слоя;

Прикладное программное обеспечение, информационные сервисы и среды, ориентированные на пользователей.

При создании комплексной информационной сети (КИС) необходимо обеспечить меж-уровневое согласование требований по безопасности к выбираемым решениям или технологиям. Так, на втором уровне архитектура КИС многих вузов представляет собой разрозненные и слабо связанные подсистемы с разными операционными средами, согласованные друг с другом только на уровне закрепления Ш-адресов или обмена сообщениями. Причинами плохой системной организации КИС является отсутствие утвержденной архитектуры КИС, наличие нескольких центров ответственности за развитие технологий, которые действуют несогласованно. Проблемы начинаются с нежелания управлять выбором операционных сред в подразделениях, когда ключевые технологические решения полностью децентрализованы, что резко снижает уровень безопасности системы.

Вузы, имеющие четкую стратегию развития информационных технологий, единые требования к информационной инфраструктуре, политику информационной безопасности и утвержденные регламенты на основные компоненты КИС, отличаются, как правило, сильным административным ядром в управлении и высоким авторитетом руководителя ИТ-службы .

В таких вузах могут, конечно, использоваться различные операционные среды или системы среднего слоя, но это обусловлено организационно-техническими или экономическими причинами и не препятствует развертыванию КИС вуза и внедрению унифицированных принципов безопасного доступа к информационным ресурсам.

Состояние развития в вузах третьего уровня архитектуры КИС можно охарактеризовать следующим образом: в основном завершен переход от локальных программных приложений, автоматизирующих отдельный деловой процесс и опирающихся на локальный набор данных, к корпоративным клиент-серверным информационным системам, обеспечивающим доступ пользователей к оперативным базам данных вуза. В том или ином виде решена задача интеграции данных, порожденных различными информационными системами, что позволяет усовершенствовать бизнес-процессы, повысить качество управления и принятия решений.

Если в начале 90-х гг. XX в. был высокий спрос на бухгалтерское программное обеспечение и программное обеспечение управленческого учета (учет кадров, отчетность и т. д.), то в настоящее время этот спрос в большей части удовлетворен. В настоящее время стоит задача обеспечить достоверными данными о деятельности образовательного учреждения не только управленческий персонал, но и каждого преподавателя и студента, т. е. задача эффективного управления данными, циркулирующими в КИС, что, в свою очередь, делает задачу обеспечения информационной безопасности в таких сетях еще более актуальной.

Информационная безопасность корпоративных сетей вузов

Активное внедрение Интернета и новых информационных технологий в образовательный процесс и систему управления вузом создало предпосылки к появлению корпоративных сетей.

Корпоративная сеть вуза - это информационная система, включающая в себя компьютеры, серверы, сетевое оборудование, средства связи и телекоммуникации, систему программного обеспечения, предназначенную для решения задач управления вузом и ведения образовательной деятельности.

Корпоративная сеть обычно объединяет не только структурные подразделения вуза, но и их региональные представительства. Ранее недоступные для вуза, в настоящее время эти сети стали активно внедряться в образовательные структуры в связи с массовым распространением Интернета и его доступностью .

Комплексная информационная безопасность вуза - система сохранения, ограничения и авторизованного доступа к информации, содержащейся на серверах в корпоративных сетях вузов, а также передаваемая по телекоммуникационным каналам связи в системах дистанционного обучения.

В более широком смысле термин «комплексная информационная безопасность вуза» включает в себя два аспекта: систему защиты интеллектуальной информационной собственности вуза от внешних и внутренних агрессивных воздействий и систему управления доступом к информации и защиты от агрессивных информационных пространств. В последнее время, в связи с неконтролируемым массовым развитием Интернета, последний аспект безопасности становится особенно актуальным.

Под термином «информационное пространство» понимается информация, содержащаяся на серверах в корпоративных сетях учебных заведений, учреждений, библиотек и в глобальной сети Интернет, на электронных носителях информации, а также передаваемая по телевизионным каналам связи или по телевидению.

Агрессивное информационное пространство - это информационное пространство, содержание которого может вызвать проявления агрессии у пользователя как сразу же после информационного воздействия, так и через некоторое время (отдаленный эффект).

Термин основан на гипотезе, что информация в определенных формах и содержании может вызвать определенные эффекты с проявлением агрессии и враждебности .

Проблемы комплексной информационной безопасности корпоративных сетей вузов гораздо шире, разнообразнее и острее, чем в других системах. Это связано со следующими особенностями:

Корпоративная сеть вуза строится обычно на концепции «скудного финансирования» (оборудование, кадры, нелицензионное программное обеспечение);

Как правило, корпоративные сети не имеют стратегических целей развития. Это значит, что топология сетей, их техническое и программное обеспечение рассматриваются с позиций текущих задач;

В одной корпоративной сети вуза решаются две основные задачи: обеспечение образовательной и научной деятельности и решение задачи управления образовательным и научным процессами. Это означает, что одновременно в этой сети работает несколько автоматизированных систем или подсистем в рамках одной системы управления (АСУ «Студент», АСУ «Кадры», АСУ «Учебный процесс», АСУ «Библиотека», АСУ «НИР», АСУ «Бухгалтерия» и т. д.);

Корпоративные сети гетерогенны как по оборудованию, так и по программному обеспечению в связи с тем, что создавались в течение длительного времени для разных задач;

Планы комплексной информационной безопасности, как правило, либо отсутствуют, либо не соответствуют современным требованиям.

В такой сети возможны как внутренние, так и внешние угрозы безопасности информации:

Попытки несанкционированного администрирования баз данных;

Исследование сетей, несанкционированный запуск программ по аудиту сетей;

Удаление информации, в том числе библиотек;

Запуск игровых программ;

Установка вирусных программ и троянских коней;

Попытки взлома АСУ «ВУЗ»;

Сканирование сетей, в том числе других организаций, через Интернет;

Несанкционированная откачка из Интернета нелицензионного софта и установка его на рабочие станции;

Попытки проникновения в системы бухгалтерского учета;

Поиск «дыр» в OC, firewall, Proxy-серверах;

Попытки несанкционированного удаленного администрирования ОС;

Сканирование портов и т. п.

Анализ угроз, их источников и рисков

Источниками возможных угроз информации являются:

Компьютеризированные учебные аудитории, в которых проходит учебный процесс;

Интернет;

Рабочие станции неквалифицированных в сфере информационной безопасности работников вуза.

Анализ информационных рисков можно разделить на следующие этапы:

Классификация объектов, подлежащих защите, по важности;

Определение привлекательности объектов защиты для взломщиков;

Определение возможных угроз и вероятных каналов доступа на объекты;

Оценка существующих мер безопасности;

Определение уязвимостей в обороне и способов их ликвидации;

Составление ранжированного списка угроз;

Оценка ущерба от несанкционированного доступа, атак в отказе обслуживании, сбоев в работе оборудования.

Основные объекты, нуждающиеся в защите от несанкционированного доступа:

Бухгалтерские ЛВС, данные планово-финансового отдела, а также статистические и архивные данные;

Серверы баз данных;

Консоль управления учетными записями;

Www/ftp-серверы;

ЛВС и серверы исследовательских проектов.

Как правило, связь с Интернетом осуществляется сразу по нескольким линиям связи (оптоволоконная магистраль, спутниковые и радиоканалы). Отдельные каналы предоставляются для связи с другими университетами или для безопасного обмена данными.

Чтобы исключить риски, связанные с утечкой и порчей передаваемой информации, такие сети не должны подключаться к глобальным сетям и общей университетской сети.

Критически важные узлы для обмена данными университета (например, бухгалтерская ЛВС) также должны существовать отдельно.

Рубежи защиты

Первый рубеж обороны от атак извне (Интернет) - роутер (маршрутизатор). Он применяется для связи участков сети друг с другом, а также для более эффективного разделения трафика и использования альтернативных путей между узлами сети. От его настроек зависит функционирование подсетей и связь с глобальными сетями (WAN). Его главная задача в плане безопасности - защита от распределенных атак в отказе обслуживания (DDOS).

Вторым рубежом может служить межсетевой экран (МСЭ): аппаратно-программный комплекс Cisco PIX Firewall.

Затем следует демилитаризованная зона (DMZ). В этой зоне необходимо расположить главный прокси-сервер, dns-сервер, www/ftp, mail-серверы. Прокси-сервер обрабатывает запросы от рабочих станций учебного персонала, серверов, не подключенных напрямую к роутеру, и фильтрует трафик. Политика безопасности на этом уровне должна определяться блокированием нежелательного трафика и его экономией (фильтрация мультимедиаконтента, iso-образов, блокировка страниц нежелательного/нецензурного содержания по ключевым словам). Чтобы не происходило скачивания информации, зараженной вирусами, на этом сервере оправдано размещение антивирусных средств.

Информация от прокси-сервера должна параллельно отсылаться на сервер статистики, где можно посмотреть и проанализировать деятельность пользователей в Интернете. На почтовом сервере обязательно должен присутствовать почтовый антивирус, например Kaspersky Antivirus for Mail servers.

Так как эти серверы связаны непосредственно с глобальной сетью, аудит программного обеспечения, установленного на них, - первоочередная задача инженера по информационной безопасности вуза. Для экономии средств и гибкости настраивания желательно применять opensource ОС и программное обеспечение.

Одни из самых распространенных ОС - FreeBSD и GNU Linux. Но ничто не мешает использовать и более консервативную Open BSD или даже сверхстабильную ОС реального времени - QNX.

Для централизованного управления антивирусной деятельностью необходим продукт с клиент-серверной архитектурой, такой как Dr.Web Enterprise Suite. Он позволяет централизованно управлять настройками и обновлением антивирусных баз с помощью графической консоли и предоставлять удобочитаемую статистику о вирусной деятельности, если таковая присутствует.

Для большего удобства работников вуза можно организовать доступ к внутренней сети университета с помощью технологии VPN.

Некоторые университеты имеют свой пул дозвона для выхода в Интернет и используют каналы связи учреждения. Во избежание использования этого доступа посторонними лицами в незаконных целях работники учебного заведения не должны разглашать телефон пула, логин, пароль.

Степень защищенности сетей и серверов большинства вузов России оставляет желать лучшего. Причин тому много, но одна из главных - плохая организация мер по разработке и обеспечению политики информационной безопасности и недооценка важности этих мероприятий. Вторая проблема заключается в недостаточном финансировании закупок оборудования и внедрения новых технологий в сфере информационной безопасности.

Структура системы комплексной информационной безопасности вуза

Система комплексной информационной безопасности должна включать в себя выработку следующих политик.

Прежде всего, это финансовая политика развертывания, развития и поддержания в актуальном состоянии корпоративной сети вуза. Она является доминирующей и ее можно разделить на три направления: скудное финансирование, финансирование с разумной достаточностью и приоритетное финансирование.

Вторая политика определяется уровнем организации развертывания и сопровождения корпоративной сети вуза.

Третья политика относится к кадровому составу информационного центра. Для вуза она особенно актуальна в связи с повышенной востребованностью опытных сисадминов.

Политика программного обеспечения в настоящее время - один из затратных факторов развития корпоративной сети. Рациональные подходы к его решению в условия монопольного рынка ОС и программных продуктов MicroSoft - это отдельный вопрос, требующий внимательного рассмотрения.

Политика технического обеспечения, может быть, не вполне актуальна в условиях достаточного финансирования. Но всегда существует проблема обновления устаревшего оборудования.

Наконец, последняя политика связана с формирование морально-этических норм толерантного поведения в информационных системах и разумного ограничения от посещений агрессивных информационных пространств. Недооценка этих направлений будет компенсироваться повышенными финансовыми затратами на сопровождение корпоративных сетей вузов .

СПИСОК ЛИТЕРАТУРЫ

1. Концепция национальной безопасности РФ, утверждена Указом Президента РФ от 17.12.97 г. № 1300 (в ред. Указа Президента РФ от 10.01.2000 г. № 24).

2. Доктрина информационной безопасности Российской Федерации, утверждена Президентом РФ 9.09.2000 г. Пр-1895.

3. Труфанов А. И. Политика информационной безопасности вуза как предмет исследования // Проблемы Земной цивилизации. - Вып. 9. - Иркутск: ИрГТУ, 2004 / library.istu.edu/civ/default.htm.

4. Волков А. В. Обеспечение ИБ в вузах // Информационная безопасность. - 2006. - № 3, 4 / http://www. itsec.ru/articles2/bepub/insec-3 + 4-2006.

5. Крюков В. В., Майоров В. С., Шахгельдян К. И. Реализация корпоративной вычислительной сети вуза на базе технологии Active Directory // Тр. Всерос. науч. конф. «Научный сервис в сети Интернет». -Новороссийск, 2002. - С. 253-255.

6. Минзов А. С. Особенности комплексной информационной безопасности корпоративных сетей вузов /http: //tolerance. mubiu. ru/base/Minzov(2).htm#top.

Статья поступила в редакцию 22.01.2009

INFORMATION SECURITY OF INSTITUTE OF HIGHER EDUCATION

O. M. Protalinskiy, I. M. Azhmukhamedov

The specific character of providing information security in the Institute of Higher Education is revealed. Threats, their sources and risks are analyzed. The boundaries of the information protection and the structure of complex information security system are examined.

Key words: information security, institute of higher education, the security threat, information security.

Сегодня в условиях широкой доступности Интернета и стремительного развития средств связи становится очень заметен разрыв между ожиданиями студентов и тем, что могут им предложить учебные заведения. Методы работы в образовании должны постоянно развиваться, следуя за социальными изменениями и технологическим развитием. При этом не на последнем месте находится обеспечение защиты как образовательных материалов и иной информации ограниченного доступа, так и самой ИТ-инфраструктуры от случайных или направленных атак.

Современные технологии обеспечения информационной безопасности (ИБ) помогают учебным заведениям решать стоящие задачи в следующих основных направлениях:

Организация защищенного доступа к образовательным материалам и системам из любой точки мира;

Защита информации ограниченного доступа (персональные данные, коммерческая тайна и т.п.) и защита интеллектуальной собственности;

Выполнение требований законодательства в области информационной безопасности (защита персональных данных, защита прав на интеллектуальную собственность, защита детей от негативной информации).

Проблема №1: различные группы пользователей

Современный университет и его сеть - это разнородная среда, в которой сталкиваются интересы и данные разных групп пользователей. В университетской сети могут встречаться следующие категории пользователей с разными требованиями по информационной безопасности: студенты университета и студенты, приехавшие в университет по обмену; преподаватели и администрация; школьники, посещающие подготовительные курсы перед поступлением в ВУЗ; посетители платных курсов и курсов повышения квалификации, предлагаемых ВУЗом с целью получения дополнительных источников доходов, а также представители организаций, обеспечивающих университет коммерческими заказами, например, в области НИОКР.

Проблема №2: трансформация способов доступа и концепция «Любое устройство»

Поскольку периметр традиционной сети университетского кампуса продолжает размываться и среда университета постепенно теряет границы, смартфоны, планшеты, иные оконечные устройства и веб-приложения необратимо меняют образовательный процесс, предоставляя возможность получать доступ к учебным материалам из любой точки мира — из вузовской аудитории, общежития, собственного жилища, университетского городка, другого ВУЗа, куда студенты отправляются для обмена опытом, и т.п. Cisco использует концепцию «Любое устройство», которая предусматривает расширение свободы выбора устройств пользователями университетского кампуса при сохранении общих и предсказуемых условий работы. Всё это поддерживает или даже увеличивает уровень конкурентоспособности, производительности и безопасности учебного заведения.

Вместе с тем при внедрении концепции «Любое устройство» возникает целый ряд задач ИБ, которые необходимо решить. В таком случае нужно обеспечить:

Предотвращение несанкционированного подключения сетевых абонентских устройств: стационарных компьютеров (рабочих станций или АРМ), ноутбуков (мобильных АРМ), мобильных устройств (планшетных ПК под управлением ОС Android и iOS), сетевых принтеров и IP-телефонов к университетской сети;

Выполнение требований и рекомендаций действующих политик информационной безопасности, а также обеспечить возможность удаленного контроля подключаемых к университетской сети мобильных устройств на предмет соответствия действующим политикам ИБ;

Кроме того, должна быть обеспечена организация логического разделения университетской сети на зоны безопасности без изменения существующей инфраструктуры (существующего разделения сети на сегменты), с целью выделения гостевых зон и зон ограниченного доступа для подключения абонентских устройств различных групп пользователей, а также мобильных устройств (планшетных ПК под управлением ОС Android и iOS) пользователей.

Проблема №3: защита информационных систем и информации ограниченного доступа

Современный университет – это кладезь разнообразной информации, требующей защиты. Речь идет о:

Персональных данных студентов, преподавателей, администрации и других категорий пользователей;

Сведениях, составляющих коммерческую тайну университета и позволяющих ему опережать другие ВУЗы в области предоставления более качественного образования и образовательных программ, а также более прогрессивных методов обучения;

Разработанных университетом образовательных материалах, доступ к которым должен быть либо ограничен, либо контролируемым, т.к. они представляют собой интеллектуальную собственность;

Приобретенных университетом программном обеспечении или лицензиях, кража которых может ухудшить положение учебного заведения в конкурентной борьбе либо повлечь за собой наступление уголовной или административной ответственности.

Наконец, защите подлежат результаты тех НИОКР, которые университет может проводить по заказу коммерческих или государственных заказчиков.

Помимо защиты информации ограниченного доступа, должна быть обеспечена и безопасность информационных систем образовательного процесса. Случайное или целенаправленное выведение этих систем из строя может сорвать процесс обучения и нарушить договорные условия (в случае платного обучения или реализации различных НИОКР).

Проблема №4: законодательные ограничения

Кроме защиты информационных систем и информации, обеспечивающих университету конкурентные преимущества, система обеспечения информационной безопасности должна давать возможность выполнять законодательные инициативы, направленные на защиту прав и интересов различных групп граждан и организаций. К нормативным актам, которые ВУЗ обязан выполнять, в первую очередь относятся:

Федеральный закон от 28 июля 2012 года №139-ФЗ «О внесении изменений в федеральный закон „О защите детей от информации, причиняющей вред их здоровью и развитию“ и отдельные законодательные акты Российской Федерации по вопросу ограничения доступа к противоправной информации в сети Интернет»;

Федеральный закон от 2 июля 2013 года № 187-ФЗ «О внесении изменений в законодательные акты Российской Федерации по вопросам защиты интеллектуальных прав в информационно-телекоммуникационных сетях».

Проблема №5: рост числа угроз

Среда угроз сетевой безопасности находится в постоянном развитии. Лидирующие позиции в ней занимают специально написанные, скрытые угрозы, которым все чаще удается преодолевать традиционные методы и средства защиты. Эти угрозы проникают внутрь сети - на уровень ядра, уровень распространения и уровень доступа пользователей, где защита от угроз и их видимость находятся на минимальном уровне. Оттуда эти угрозы без труда выбирают свои цели - конкретные ресурсы и даже конкретных людей в университете. Цель современных кибер-угроз заключается отнюдь не в получении известности и славы и даже не в создании прибыльного ботнета, а в захвате и краже интеллектуальной собственности или коммерческих и иных тайн для достижения конкурентных преимуществ.

Решения Cisco в области информационной безопасности

Cisco SecureX Architecture™ - это архитектура безопасности нового поколения, объединяющая гибкие решения, продукты и сервисы для формирования и реализации согласованной бизнес-политики в масштабе всей распределенной сети современного университета. Архитектура Cisco SecureX объединяет сбор сведений о глобальных угрозах и учет контекста для разрешения уникальных проблем безопасности, таких как рост числа высокомобильных пользователей, расширение круга мобильных устройств с поддержкой сети или переход на облачные инфраструктуры и сервисы.

Cisco SecureX соответствует потребностям современных сетей с размытым периметром, обеспечивая эффективную защиту для любого пользователя, работающего на любом устройстве в любом месте и в любое время. Эта новая архитектура безопасности использует язык политик более высокого уровня, который «понимает» полный контекст ситуации - кто, что, где, когда и как. Благодаря распределенной реализации политик безопасности, процесс защиты перемещается ближе к месту работы конечного пользователя в любой точке планеты, тем самым позволяя не только обезопасить каждое устройство или пользователя, но и при необходимости локализовать угрозу как можно ближе к ее источнику.

Входящие в Cisco SecureX решения соответствуют требованиям российских органов государственной власти, уполномоченных в области информационной безопасности, и имеют свыше 600 различных сертификатов ФСТЭК и ФСБ по требованиям безопасности.