prosdo.ru
добавить свой файл
1

Разработка рекомендаций по обеспечению и повышению уровня информационной безопасности доступа к сетевым информационным образовательным ресурсам отрасли

Р.В. Мещеряков, А.А. Шелупанов

Томский государственный университет систем управления и радиоэлектроники

Сотрудниками Центра технологий безопасности ТУСУР при поддержке Министерства образования России проводилась работа по созданию рекомендаций по обеспечению и повышению уровня информационной безопасности доступа к сетевым информационным образовательным ресурсам отрасли.

Образовательные ресурсы на базе единого серверного центра (ЕСЦ) отрасли имеют распределенную структуру, поэтому проблему обеспечения безопасности доступа к информационным ресурсам образовательного портала целесообразно рассмотреть с двух позиций: единого сервера и серверного комплекса.

Под образовательным порталом будем понимать портал обучения (создания, передачи, контроля знаний и подтверждения достигнутого образовательного ценза). Если в портале функций обучения нет, то такой портал является лишь информационным порталом системы образования.

Под образовательными интернет-ресурсами понимаются:

интернет-ресурсы, созданные специально для использования в процессе обучения (образовательные и учебно-методические материалы) на определенной ступени образования и для определенной предметной области;

интернет-ресурсы, предназначенные для информационного обеспечения системы образования, деятельности образовательных учреждений или органов управления образованием.

Системно-техническая структура портала в большинстве случаев включает в себя следующие компоненты:


  • web-сервер;

  • средства генерации динамических страниц;

  • средства генерации шаблонов;

  • поисковую систему;

  • сервер авторизации и контроля прав доступа;

  • шлюзы к прикладным системам и серверам.

Портал может проектироваться как совокупность различных компонентов (системы разграничения доступа, поисковой машины, сервера каталогов и т. д.), а также поставляться как объединенный продукт, где выбор и интеграция компонентов произведены заранее.


Прежде всего необходимо провести анализ защищенности образовательного портала исходя из принципов построения и его состава. Очевидно, что образовательный портал является автоматизированной системой и методы, используемые для анализа автоматизированных систем, могут быть успешно применены к образовательному порталу.

Защищенность является одним из важнейших показателей эффективности функционирования образовательного портала отрасли (ОРО) наряду с такими показателями, как надежность, отказоустойчивость, производительность и т. п.

Под защищенностью ОРО будем понимать степень адекватности реализованных в ней механизмов защиты информации существующим в данной среде функционирования рискам, связанным с осуществлением угроз безопасности информации.

Под угрозами безопасности информации традиционно понимается возможность нарушения таких свойств информации, как конфиденциальность, целостность и доступность.

Количество неподдающихся точной оценке возможных путей осуществления угроз безопасности в отношении ресурсов ОРО.

В идеале каждый путь осуществления угрозы должен быть перекрыт соответствующим механизмом защиты. Данное условие является первым фактором, определяющим защищенность ОРО. Вторым фактором является прочность существующих механизмов защиты, характеризующаяся степенью сопротивляемости этих механизмов попыткам их обхода либо преодоления. Третьим фактором является величина ущерба, наносимого владельцу ОРО в случае успешного осуществления угроз безопасности.

На практике получение точных значений приведенных характеристик затруднено, так как понятия угрозы, ущерба и сопротивляемости механизма защиты трудноформализуемы. Например, оценку ущерба в результате НСД к информации политического и военного характера точно определить вообще невозможно, а определение вероятности осуществления угрозы не может базироваться на статистическом анализе. Оценка степени сопротивляемости механизмов защиты всегда является субъективной.


Разработанный подход позволяет получать качественные оценки уровня защищенности ОРО путем сопоставления свойств и параметров ОРО с многократно опробованными на практике и стандартизированными критериями оценки защищенности.

В настоящее время не существует каких-либо стандартизированных методик анализа защищенности образовательных порталов, поэтому в конкретных ситуациях алгоритмы действий аудиторов могут существенно различаться. Однако типовую методику анализа защищенности корпоративной сети предложить все-таки возможно. И хотя данная методика не претендует на всеобщность, ее эффективность многократно проверена на практике.

Типовая методика включает использование следующих методов:


  • изучение исходных данных по ОРО;

  • оценка рисков, связанных с осуществлением угроз безопасности в отношении ресурсов ОРО;

  • анализ механизмов безопасности организационного уровня, политики безопасности организации и организационно-распорядительной документации по обеспечению режима информационной безопасности и оценка их соответствия требованиям существующих нормативных документов, а также их адекватности существующим рискам;

  • ручной анализ конфигурационных файлов маршрутизаторов, МЭ и прокси-серверов, осуществляющих управление межсетевыми взаимодействиями, почтовых и DNS серверов, а также других критических элементов сетевой инфраструктуры;

  • сканирование внешних сетевых адресов ЛВС из сети Интернет;

  • сканирование ресурсов ЛВС изнутри;

  • анализ конфигурации серверов и рабочих станций ЛВС при помощи специализированных программных средств.

Перечисленные методы исследования предполагают использование как активного, так и пассивного тестирования системы защиты. Активное тестирование системы защиты заключается в эмуляции действий потенциального злоумышленника по преодолению механизмов защиты. Пассивное тестирование предполагает анализ конфигурации ОС и приложений по шаблонам с использованием списков проверки. Тестирование может производиться вручную либо с использованием специализированных программных средств.


Таким образом, в проведенной работе достигнута цель обеспечения и повышения уровня информационной безопасности доступа к сетевым информационным образовательным ресурсам отрасли на базе типового информационного сервера (портала) Единого серверного центра отрасли.

Решены основные задачи:


  • определено состояние обеспечения информационной безопасности сетевых информационных образовательных ресурсов отрасли на базе типового информационного сервера (портала) в случае типового наполнения и настроек «по умолчанию»;

  • определены типовые организационно-технические мероприятия по повышению уровня информационной безопасности сетевых информационных образовательных ресурсов отрасли на базе типового информационного сервера (портала) Единого серверного центра отрасли (ЕСЦ);

  • выработаны рекомендаций по поддержанию уровня информационной безопасности доступа к сетевым информационным образовательным ресурсам отрасли на базе типового информационного сервера (портала) в актуальном состоянии.

Кроме того, проведен анализ существующих методик определения уровня информационной безопасности образовательного портала.