Достаточность безопасности и открытости корпоративных образовательных информационных систем



Авторы: Полпудников Сергей Викторович 1, кандидат технических наук, доцент
Чепиков Александр Михайлович 2
1 Калужский филиал ФГОБУ ВПО "Финансовый университет при Правительстве Российской Федерации", 2 ФинУниверситет при правительстве РФ Калужский филиал
Когда речь заходит о безопасности функционирования информационной образовательной среды, то часто мы сталкиваемся с альтернативными проблемами. С одной стороны, чем сеть более защищена, тем она надежней с точки зрения функционирования и конфиденциальности информации. Но ограничения, которые накладывает политика безопасности может тормозить процесс обучения, так как и программные и аппаратные средства защиты могут сильно ограничивать действия пользователей. Нами предлагается предлагается аппаратно-программный подход, реализованный на терминальной организации информационной среды, с виртуальным разделением среды на функциональные серверы с частной политикой безопасности. Данный подход позволяет обойти множество ограничений образовательной среды с обеспечением достаточного уровня безопасности.
Набивший оскомину афоризм: «кто владеет информацией – владеет миром» Уинстон Черчилль

Первый тезис: специалисты пентагона определили, что при современном уровне развития информационных технологий, самый защищенный компьютер от внешнего посягательства это выключенный компьютер. Причем здесь пентагон и наше образование? Задачи защиты и методы одинаковые – последствия разные.

Второй тезис: чтобы соответствовать аккредитационным требованиям учащиеся образовательного учреждения должны иметь уверенный доступ к интернету.      

При осуществлении образовательной деятельности часто возникают процедуры, требующие индивидуального подхода и индивидуальных проверок результата. Например,   такие процедуры как  ЕГЭ, олимпиады, промежуточный контроль. Поэтому есть необходимость обеспечивать безопасность корпоративной образовательной информационной сети от несанкционированного доступа, а также от несанкционированного трафика внутри сети. Проще говоря, есть преподавательская среда, а есть студенческая среда. И задача состоит в том, чтобы обеспечить безопасность этих сред без ущемления информационного обеспечения преподавателей и обучающихся. Конечно, вопросы администрирования таких сетей встают на первый план, и вот как раз дуализм проблемы  ставит иногда неразрешимые проблемы.     

Комплексный подход обеспечения безопасности ориентирован на создание защищенной среды обработки информации, объединяющей в единый комплекс разнородные меры противодействия угрозам. Достоинство - гарантия определенного уровня безопасности. Недостатки: ограничения на свободу действий пользователей, большая чувствительность к ошибкам установки и настройки средств защиты, сложность управления.

Комплексный подход основан на разработанной политике безопасности конкретной информационной системы. Политика безопасности представляет собой набор норм, правил и практических рекомендаций, на которых строится управление, защита и распределение информации в системе.

Первый рубеж защиты образуют морально-этические меры. Важно, чтобы пользователи, имеющие доступ к информации, работали в здоровом морально-этическом климате. Нормы поведения большей частью не являются обязательными, как законодательно утвержденные, но их несоблюдение обычно ведет к падению престижа человека.

Политика безопасности нижнего уровня сводится к управлению конкретными процессамии и  сервисами. Есть много вопросов, специфичных для отдельных сервисов, которые нельзя единым образом регламентировать в рамках всей организации. Политика этого уровня бывает гораздо более детальной и конкретной и содержит цели и правила безопасности.Чем детальнее правила, тем более формально они изложены, тем проще поддерживать их выполнение. С другой стороны, слишком жесткие правила могут мешать работе пользователей.

Перейдем от теории к практике.

В нашей организации политика безопасности реализуется централизованно. Так как информационная система организации представляет собой терминальную систему (лклдл 200 рабочих мест), что на порядок облегчает процедуру администрирования, и делает ее однообразной для всех пользователей информационной сети.

   Брандмауэр системы позволяет достаточно уверенно контролировать факты вмешательства и нарушения безопасности системы. Но здесь мы опять сталкиваемся с разнонаправленностью методов решения проблемы. Можно жестко контролировать брандмауэром запускаемые приложения по «именам», закрыть порты ввода-вывода, контролировать доступ к сервисам и многое другое. Но, например, есть предмет «программирование», которое предполагает создание и запуск индивидуальных приложений, создаваемых обучающимися. Разрешение данного действия сводит реализацию «политики безопасности» на нет, так как легко создать приложения, реализующее несанкционированный трафик через открытые порты. Запретить, значит ограничить пользователей создавать осбственные приложения.

  Как один из выходов можно предложить подход виртуализации развертывания различных серверов корпоративной образовательной системы.

Подход к реализации информационной системы будет следующим:

- корпоративная образовательная система декомпозируется на функциональные подсистемы, связанные с  преподаванием отдельных блоков дисциплин информатики   ( например «программирование», «информационная безопасность», «операционные системы и среды», «тестирование» и др.). Данные подсистемы характеризуются различными требованиями к политике безопасности и различными методиками ее реализации.

- для каждой подсистемы реализуется виртуальный сервер с определенным доменом прав и возможностями доступа.

- для каждого виртуального сервера реализуется собственная политика безопасности, которая наследует политику безопасности основной системы (контроллер домена). Например, в серверах «тестирование» и «программирование» отключается доступ к интернету.

Таким образом,  аппартно-программный терминальный подход с виртуализацией функциональных подсистем приближенно решает проблему обеспечения безопасности информационной образовательной среды, с обеспечением достаточно степени открытости. 

Тип выступления  Устное выступление
Ключевые слова  безопасность корпоративной информационной образовательной сети, несанкционированный трафик сети, брандмауэр, доступность образовательной среды.