Проблема защиты информационных ресурсов образовательного назначения
Одним из перспективных научных методов национальной безопасности является информационный подход, а именно метод количественного измерения параметров и мониторинг неблагоприятных и опасных процессов, представляющих угрозу для информационной безопасности.
Таким образом, своевременное получение, распространение и использование объективной и достоверной информации о развитии глобальных процессов является сегодня важнейшей частью и необходимым условием решения проблемы выживания человечества в быстроизменяющихся условиях.
Развитие глобального процесса информатизации общества, использования им информационных ресурсов породило новую глобальную проблему – проблему информационной безопасности человека и общества.
Существо этой проблемы состоит в следующем. Многие важнейшие интересы человека, общества, государства уже в настоящее время в значительной степени определяются состоянием окружающей их информационной сферы. Поэтому целенаправленные и непреднамеренные воздействия со стороны внешних или внутренних источников могут наносить серьезный ущерб этим интересам и представляют угрозу для безопасности человека.
Для достижения целей обеспечения информационной безопасности страны очень важно правильно определять объекты информационной безопасности. К таким объектам относятся:
- информационные ресурсы, содержащие конфиденциальную информацию (секретную, ограниченного доступа или же коммерческую тайну), а также общедоступную открытую информацию и научные знания;
- информационная структура общества (сети связи и информационных коммуникаций, центры анализа и обработки данных системы и средства защиты информации);
- система формирования, распространения и использования информационных ресурсов в стране;
- система формирования общественного сознания, базирующаяся на средствах массовой информации;
- права граждан, юридических лиц и государства на получение, распространение и использование информации, а также на защиту конфиденциальной информации и интеллектуальной собственности.
Информационный кризис начала 70-х годов ХХ века проявился в снижении эффективности информационного обмена: резко возрос объем публикуемых данных; между группами разных специалистов стало трудно общаться; возрос объем неопубликованной информации; выросла проблема межъязыкового обмена в мире.
Революционный прорыв в технологии информационного обмена произошел в 1971 году, когда был изобретен микропроцессор. Появление микропроцессора сделало возможным действительное и широкое использование ЭВМ в осуществлении процессов информационного обмена, сняв проблему «информационного кризиса» 70-х годов.
Однако, по-прежнему, актуальной и острой в мире является проблема создания, сохранения, эффективного использования и безопасности информационных ресурсов (ИР). Произошло формирование еще одного самостоятельного вида общественного ресурса - информационного, позволяющего экономить большинство других ресурсов общества. Дальнейший прогресс общества в значительной степени связан сегодня с совершенствованием информационной инфраструктуры, эффективностью формирования, размещения и использования информационных ресурсов и продуктов.
Понятие «информационного ресурса общества» (ИРО) является одним из ключевых понятий социальной информатики. Широкое использование этого понятия началось после выхода в 1984 году книги Громова Г.Р. «Национальные информационные ресурсы: проблемы промышленной эксплуатации». Создание на рубеже 80-х годов принципиально нового понятия - национальные информационные ресурсы - было обусловлено растущей зависимостью промышленно развитых стран от источников информации (технической, экономической, политической, военной), а также от уровня развития и эффективности использования средств передачи и переработки информации.
Понятие ИР находится в стадии формирования, трудность его однозначного определения связана с неоднозначностью и сложностью таких понятий как «знания», «информация», «данные» и т.д.
Поэтому одной из важнейших проблем дальнейших научных исследований в области социальной информатики является проблема раскрытия сущности информационного ресурса как формы представления знаний, его роли в социальных процессах, а также определение исследование закономерностей формирования, преобразования и распространения различных видов информационных ресурсов в обществе.
Для решения этой проблемы, по-видимому, потребуется не только новое понимание информационных процессов в обществе, но и новые подходы к пониманию процессов формирования знаний:
- понятийные знания, которые раскрывают смысл понятий и терминов, используемых в той или иной сфере человеческой деятельности;
- конструктивные знания, позволяющие понять конструкцию (т.е. устройство) тех или иных объектов природы и общества, а также принципы их функционирования;
- процедурные (алгоритмические) знания, определяющие порядок действий для достижения определенных целей или же рациональной реализации тех или иных процессов;
- фактографические знания, представляющие собой некоторые факты, справедливость которых установлена теоретическим или экспертным путем.
В современном обществе перечисленные выше виды значений могут быть представлены в нескольких различных формах. При этом информационные ресурсы представляют собой лишь одну из возможных форм представления знаний, хотя и весьма важную, но далеко не единственную. Поэтому можно предположить, по потребностями теории и практики процессов информатизации общества, на стыке теоретической и социальной информатики могут возникнуть две новые научные дисциплины: информология как совокупность знаний о свойствах и закономерностях формирования информационных ресурсов и информдинамика – наука о закономерностях преобразования одних форм информационных ресурсов в другие и о процессах их распространения в обществе.
«Информационный ресурс – это знания, представленные в проектной форме», - такое краткое и недостаточно строгое определение было предложено профессором Ю.М. Каныгиным.
Таким образом, информационные ресурсы – это знания, подготовленные для целесообразного социального использования.
Понятие ИРО, накопленных в обществе знаний, может быть рассмотрено в узком и широком смысле слова.
ИРО в узком смысле слова - это знания, уже готовые для целесообразного социального использования, т.е. отчужденные от носителей и материализованные знания.
ИРО в широком смысле слова включают в себя все отчужденные от носителей и включенные в информационный обмен знания, существующие как в устной, так и в материализованной форме.
Понятие ресурс определяется в Словаре русского языка С.И. Ожегова как запас, источник чего-нибудь.
Что же касается информационных ресурсов, то это понятие является сравнительно новым. Оно еще только начинает входить в жизнь современного общества, хотя в последние годы становится все более употребительным не только в научной литературе, но и в общественно-политической деятельности. Причиной этого, безусловно, является глобальная информатизация общества, в котором все больше начинает осознаваться особо важная роль информации и научных знаний.
В федеральном законе «Об информации, информатизации и защите информации», который был принят в России в 1995 году, даны следующие определения информация, информатизация и информационные ресурсы:
- информация – сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления;
- информатизация – организационный социально-экономический и научно-технический процесс создания оптимальных условий для удовлетворения информационных потребностей и реализации прав граждан, органов государственной власти, органов местного самоуправления, организаций, общественных объединений на основе формирования и использования информационных ресурсов;
- информационные ресурсы – отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах);
- документированная информация (документ) – зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.
Таким образом, как следует из приведенных в федеральном законе определений, информационные ресурсы понимаются в нем прежде всего как массивы документов с зафиксированной на них информацией. При этом разработчики данного закона руководствовались не столько научными подходами, сколько прагматическими соображениями необходимости юридической трактовки основных категорий, связанных с процессом информатизации общества.
Федеральный закон «Об информации, информатизации и защите информации» является по существу первым базовым законом, который создает основу для формирования информационного законодательства – новой области права, которая должна регулировать отношения в информационной сфере общества, включая такие важные аспекты этих отношений, как право собственности, владения и распоряжения информационными ресурсами, а также права доступа к информации и ее распространения.
При этом необходимо подчеркнуть, что в соответствии с определенными данным законом юридическими нормами информационные ресурсы понимаются, как документы или базы данных, содержащие некоторую информацию, а сама информация – как содержание этих документов или баз данных.
Основными проблемами исследований в области ИР общества являются:
Сформированная выше проблема изучения свойств информационных ресурсов как формы представления знаний является одной из важнейших проблем будущей теории информационных ресурсов – информологии.
Вторая проблема этой науки заключается в необходимости разработки методологии количественной и качественной оценки имеющих в обществе информационных ресурсов, а также прогнозирования потребностей общества в этих ресурсах для достижения целей общественного развития и удовлетворения информационных потребностей всех его членов. В настоящее время такая методология должным образом не разработана, что не позволяет определять оптимальную стратегию и тактику процесса информатизации страны, ее регионов и мирового сообщества в целом.
Третья проблема данного направления исследований заключается в необходимости создания методов исследования структуры и топологии распределения различных видов информационных ресурсов по отдельным регионам страны, а также в глобальном масштабе, с учетом других стран мирового сообщества.
Свободный доступ к национальным ИР - важнейшее условие соблюдения конституционного права граждан на информацию, права «свободно искать, получать, передавать, производить и распространять информацию любым законным способом» (ст. 29, п. 4 Конституции РФ).
В перспективе все информационные ресурсы будут обобществлены. Информация принадлежит всем - этот принцип уже узаконен ЮНЕСКО. Однако, отдавая «свою» информацию (знание) обществу, каждый должен получить компенсацию за труд, затраченный на ее получение. Неразработанность механизмов реализации права на интеллектуальную собственность существенным образом сдерживает развитие национальных информационных ресурсов.
Решение комплекса социальных и технических проблем активизации информационных ресурсов России, иначе говоря, увеличения ее информационного потенциала, позволит создать необходимую для прогрессивного развития информационную среду общества.
При этом мы исходим из теперь уже все более очевидного положения о том, что, если информационные ресурсы страны или региона рассматриваются как стратегически важная категория, сопоставимая по своей значимости с такими категориями, как запасы энергии, сырья или природных ископаемых, то для того чтобы эффективно использовать информационные ресурсы, необходимо точно знать, где именно они находятся, кто ими владеет и кто в них заинтересован, а также насколько эти ресурсы доступны. Отсюда возникает новая проблема защиты информационных ресурсов, которая может нанести серьезный ущерб интересам и безопасности человека и общества.
В статье 9 федерального закона России «Об информации, информатизации и защите информации» определено, что отдельные объекты федеральных информационных ресурсов могут быть объявлены общероссийским национальным достоянием. Тем самым признается общегосударственная значимость этих ресурсов аналогично тому, как наиболее важные исторические и культурные ценности относятся к историческому и культурному наследию страны и составляют часть ее национального богатства.
Данный правой акт представляется нам исключительно важным в общенациональном плане, так как он ориентирует общественной сознание в направлении признания ценности информации и информационных ресурсов, а также сохранения и развития информационных достижений общества.
Для классификации информационных ресурсов могут быть использованы следующие их наиболее важные параметры:
- тематика хранящейся в них информации;
- форма собственности – государственная (федеральная, субъекта федерации, муниципальная), общественных организаций, акционерная, частная;
- доступность информации – открытая, закрытая, конфиденциальная;
- принадлежность к определенной информационной системе – библиотечной, архивной, научно-технической и т.п.;
- источник информации – официальная информация, публикации в СМИ, статистическая отчетность, результаты социологических исследований и т.п.;
- назначение и характер использования информации – массовое региональное, ведомственное и т.п.;
- форма представления информации – текстовая, цифровая, графическая, мультимедийная;
- вид носителя информации – бумажный, электронный.
По тематике хранящейся информации можно выделить следующие информационные ресурсы: общественно-политические, научные, финансово-экономические, экологические, медицинские, образовательные и пр.
Под образовательными информационными ресурсами мы будем понимать текстовую, графическую и мультимедийную информацию, а также исполняемые программы (дистрибутивы), то есть электронные ресурсы, созданные специально для использования в процессе обучения на определенной ступени образования и для определенной предметной области.
При работе с образовательными ресурсами появляются такие понятия, как субъект и объект этих ресурсов. Классификацию субъектов информационной деятельности произведем следующим образом:
- субъект, создающий объекты (все пользователи образовательной системы - преподаватель, студент);
- субъект, использующий объекты (все пользователи образовательной системы);
- субъект, администрирующий объекты, то есть обеспечивающий среду работы с объектами других субъектов (администраторы сети);
- субъект, контролирующий использование объектов субъектами (инженеры).
Каждый конкретный субъект может совмещать в себе несколько или все указанные классификационные сущности.
Важность объекта определим по следующим параметрам.
- По наличию (доступность):
- Критическая — без нее работа субъекта останавливается.
- Очень важная — без нее можно работать, но очень короткое время.
- Важная — без нее можно работать некоторое время, но рано или поздно она понадобится.
- Полезная — без нее можно работать, но ее использование экономит ресурсы.
- Несущественная — устаревшая или неиспользуемая, не влияющая на работу субъекта.
- Вредная — ее наличие требует обработки, а обработка ведет к расходу ресурсов, не давая результатов либо принося ущерб. (В определенных организациях может понадобиться и такой параметр.)
-По несанкционированной модификации (целостность):
- Критическая — ее несанкционированное изменение приведет к неправильной работе всего субъекта или значительной его части, последствия неизменяемы.
- Очень важная — ее несанкционированное изменение приведет к неправильной работе субъекта через некоторое время, если не будут предприняты некоторые действия; последствия неизменимы.
- Важная — ее несанкционированное изменение приведет к неправильной работе части субъекта через некоторое время, если не будут предприняты некие действия; последствия изменяемы.
- Значимая — ее несанкционированное изменение скажется через некоторое время, но не приведет к сбою в работе субъекта; последствия изменяемы.
- Незначимая — ее несанкционированное изменение не скажется на работе системы.
- (Аналогичным образом вместо «несанкционированного изменения» можно рассмотреть понятие «санкционированное изменение, которое не было произведено вовремя».)
- По разглашению (конфиденциальность)
- Критическая — ее разглашение приведет к краху работы субъекта или значительным его материальным потерям.
- Очень важная — ее разглашение приведет к значительным материальным потерям, если не будут предприняты некоторые действия.
- Важная — ее разглашение приведет к некоторым материальным (может быть, косвенным) или моральным потерям, если не будут предприняты некие действия.
- Значимая — приносит скорее моральный ущерб, может быть использована только в определенных ситуациях.
- Малозначимая — может принести моральный ущерб в очень редких случаях.
- Незначимая — не влияет на работу субъекта.
Каждая из указанных выше сущностей имеет свой жизненный цикл, по истечении периодов которого степень важности объекта, как правило, снижается.
Классификацию важности информационного объекта произведем исходя из триединой сущности способов обработки информации с точки зрения информационной безопасности, а именно:
- Объект должен быть доступен только тем субъектам, которые имеют на это право (данную сущность назовем конфиденциальностью).
- Вносить изменения в состояние объекта могут только те субъекты, которые имеют на это право (сущность целостность или достоверность).
- Для субъектов, обладающих необходимым уровнем прав, объект должен быть доступен в течение времени, необходимого для работы с ним (доступность).
К образовательным электронным ресурсам можно отнести:
- учебные материалы (электронные учебники, учебные пособия, рефераты, дипломы),
- учебно-методические материалы (электронные методики, учебные программы),
- научно-методические (диссертации, кандидатские работы),
- дополнительные текстовые и иллюстративные материалы (лабораторные работы, лекции),
- системы тестирования (тесты - электронная проверка знаний),
- электронные полнотекстовые библиотеки;
- электронные периодические издания сферы образования;
- электронные оглавления и аннотации статей периодических изданий сферы образования,
- электронные архивы выпусков.
- ресурсы, связанные с системой образования в целом, деятельности образовательного учреждения или органов управления образованием (правовая, нормативная, статистическая, справочная информация).
Многократные исследования показали, что, несмотря на наличие массы стандартов, систем и методик, ориентированных на сетевые технологии, очень слабо проработан вопрос защиты информации и информационных ресурсов образовательного назначения. Это касается и защиты учебных материалов от копирования, и гарантии конфиденциальности информации об успеваемости студента, и защиты систем тестирования от взлома, и других не менее актуальных и часто опасных проблем в системе образования.
При работе студентов в образовательной ЛВС, возникают следующие требования по безопасности:
- Студент должен иметь доступ к необходимым материалам, информационным ресурсам, но не должен иметь возможности просмотреть или загрузить материалы, для него не предназначенные. Права доступа могут быть реализованы на базе парольных схем или более комплексных криптографических протоколов.
- Студент должен иметь возможность сохранять результаты своей работы. Его работа должна быть аутентифицирована для подтверждения авторства студента и должна оставаться конфиденциальной и должна быть недоступна для каких-либо модификаций со стороны других студентов.
- Возможно, потребуется конфиденциальность при распространении оценок студентов.
- Желательно иметь возможность отслеживать статистику использования информационного поиска как на уровне конкретного студента, так и в общем. Эта информация также должна быть конфиденциальна.
Таким образом, появляется множество проблем, связанных с обеспечением безопасности информационных ресурсов и процессом информационного обучения вообще.
Несмотря на предпринимаемые дорогостоящие методы, функционирование компьютерных информационных систем обнаружило слабые места в защите информации. Неизбежным следствием стали постоянно увеличивающиеся расходы и усилия на защиту информации. Однако для того, чтобы принятые меры оказались эффективными, необходимо определить, что такое угроза безопасности информации, выявить возможные каналы утечки информации и пути несанкционированного доступа к защищаемым данным.
Под угрозой безопасности информации понимается действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию информационных ресурсов, включая хранимую, передаваемую и обрабатываемую информацию, а также программные и аппаратные средства.
Угроза – это потенциальная возможность определенным образом нарушить информационную безопасность.
Попытка реализации угрозы называется атакой, а тот, кто предпринимает такую попытку, – злоумышленником. Потенциальные злоумышленники называются источниками угрозы.
Угрозы принято делить на случайные, или непреднамеренные, и умышленные. Источником первых могут быть ошибки в программном обеспечении, выходы из строя аппаратных средств, неправильные действия пользователей или администрации и т.п. Умышленные угрозы, в отличие от случайных, преследуют цель нанесения ущерба пользователям автоматизированных информационных технологий (АИТ) и, в свою очередь, подразделяются на активные и пассивные.
Пассивные угрозы, как правило, направлены на несанкционированное использование информационных ресурсов, не оказывая при этом влияния на ее функционирование. Пассивной угрозой является, например, попытка получения информации, циркулирующей в каналах, посредством их прослушивания. Это подключение к линиям связи или сбор электромагнитных излучений этих линий в любой точке системы лицом, не являющимся пользователем ЭВМ.
Активные угрозы имеют целью нарушение нормального процесса функционирования посредством целенаправленного воздействия на аппаратные, программные и информационные ресурсы. К активным угрозам относятся, например, разрушение или радиоэлектронное подавление линий связи, вывод из строя ПЭВМ или ее операционной системы, искажение сведений в базах данных или в системной информации в компьютерных технологиях и тд. Источниками активных угроз могут быть непосредственные действия злоумышленников, программные вирусы и т.п.
Наиболее характерные приемы проникновения: использование точек входа, установленных в системе программистами, обслуживающим персоналом, или точек, обнаруженных при проверке цепей системного контроля; подключение к сети связи специального терминала, обеспечивающего вход в систему путем пересечения линии связи законного пользователя с ЭВМ с последующим восстановлением связи по типу ошибочного сообщения, а также в момент, когда законный пользователь не проявляет активности, но продолжает занимать канал связи; аннулирование сигнала пользователя о завершении работы с системой и последующее продолжение работы от его имени.
С помощью этих приемов нарушитель, подменяя на время его законного пользователя, может использовать только доступные этому пользователю файлы; неавторизованная модификация - неавторизованный пользователь вносит изменения в информацию, хранящуюся в системе. в результате пользователь, которому эта информация принадлежит, не может получить к ней доступ.
Возможны и другие виды нарушений, приводящих к утрате или утечке информации. Так, электромагнитные излучения при работе ЭВМ и других технических средств СОД могут быть перехвачены, декодированы и представлены в виде битов, составляющих поток информации.
Угрозы можно классифицировать по нескольким критериям:
- по аспекту информационной безопасности (доступность, целостность, конфиденциальность), против которого угрозы направлены в первую очередь;
- по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура);
- по способу осуществления (случайные/преднамеренные действия природного/техногенного характера);
- по расположению источника угроз (внутри/вне рассматриваемой ИС).
Самыми частыми и самыми опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы. Что касаемо системы образования, то это могут быть студенты, преподаватели, администраторы, все те, кто имеет доступ к компьютеру в ВУЗЕ.
Иногда такие ошибки и являются собственно угрозами (неправильно введенные данные или ошибка в программе, вызвавшая крах системы), иногда они создают уязвимые места, которыми могут воспользоваться злоумышленники (таковы обычно ошибки администрирования). По некоторым данным, до 65% потерь – следствие непреднамеренных ошибок.
Пожары и наводнения не приносят столько бед, сколько безграмотность и небрежность в работе. Очевидно, самый радикальный способ борьбы с непреднамеренными ошибками – максимальная автоматизация и строгий контроль.
Средствами реализации угрозы раскрытия конфиденциальной информации могут быть несанкционированный доступ к базам данных, прослушивание каналов и т.п. В любом случае получение информации, являющейся достоянием некоторого лица (группы лиц) другими лицами, наносит ее владельцам существенный ущерб.
Компрометация информации, как правило, реализуется посредством внесения несанкционированных изменений в базы данных, в результате чего ее потребитель вынужден либо отказаться от нее, либо предпринимать дополнительные усилия для выявления изменений и восстановления истинных сведений. В случае использования скомпрометированной информации потребитель подвергается опасности принятия неверных решений со всеми вытекающими отсюда последствиями.
Наиболее распространенными путями несанкционированного доступа к информации, сформулированными на основе анализа зарубежной печати, являются:
- перехват электронных излучений;
- принудительное электромагнитное облучение (подсветка) линий связи с целью получения паразитной модуляции несущей;
- применение подслушивающих устройств (закладок);
- дистанционное фотографирование;
- перехват акустических излучений и восстановление текста принтера;
- хищение носителей информации и документальных отходов;
- чтение остаточной информации в памяти системы после выполнения санкционированных запросов;
- копирование носителей информации с преодолением мер защиты;
- маскировка под зарегистрированного пользователя;
- мистификация (маскировка под запросы системы);
- использование программных ловушек;
- использование недостатков языков программирования и операционных систем;
- включение в библиотеки программ специальных блоков типа «Троянский конь»;
- незаконное подключение к аппаратуре и линиям связи;
- злоумышленный вывод из строя механизмов защиты;
- внедрение и использование компьютерных вирусов.
Особую опасность в настоящее время представляет проблема компьютерных вирусов, так как с учетом большого числа разновидностей вирусов надежной защиты против них разработать не удается. Все остальные пути несанкционированного доступа поддаются надежной блокировке при правильно разработанной и реализуемой на практике системе обеспечения безопасности.
Высокий приоритет по возможности угроз ИБ имеют: компьютерные вирусы, сканирование персональных компьютеров, непреднамеренные нарушения и проверка на защищенность серверов.
Мы рассмотрели многообразие существующих угроз и атак ИБ в образовательном учреждении.
Результат данной работы позволит принять обоснованные решения по использованию мер защиты, адекватных с точки зрения соотношения их стоимости и возможности осуществления угроз безопасности в отношении распределенных информационных ресурсов.
Список литературы
1. Гадасин В.А., Конявский В.А. От документа – к электронному документу. Системные основы. – М.: «РФК-Имидж Лаб», 2001- 192с.
2. Гилстер П. Новый навигатор Internet: Пер с англ. -Киев: Диалектика, 1996.
3. ГОСТ Р 51275-99. Защита информации. Объект информации. Факторы, воздействующие на информацию. Общие положения
4. ГОСТ Р 51583-2000. Защита информации. Порядок создания систем в защищенном исполнении
5. Спесивцев А. В. и др. Защита информации в персональных компьютерах. – М., Радио и связь. 1992.
Гузаева Мария Юрьевна
МОУ СОШ 56 УИМ г. Магнитогорска
учитель информатики
Спасибо за Вашу оценку. Если хотите, чтобы Ваше имя
стало известно автору, войдите на сайт как пользователь
и нажмите Спасибо еще раз. Ваше имя появится на этой стрнице.