Обеспечение информационной безопасности вуза. Обеспечение иб в вузах Внедрение системы информационной безопасности в вузе
А.В. ВОЛКОВ
системный администратор
Саратовского государственного социально-экономического университета
В развитии компьютерной техники и программного обеспечения вузы сыграли ключевую роль. В них разрабатываются, испытываются и внедряются передовые проекты в сфере IT. С ростом киберпреступности защита конфиденциальной информации и разработок в учебных учреждениях становится особенно актуальной.
Учет специфики
Вузы - инфраструктура, обладающая огромным банком данных, содержащим информацию разного характера. Это не только учебные методички в электронном виде, но и важные проектно-исследовательские наработки. Рост преступлений в сфере высоких технологий диктует свои требования к защите ресурсов вычислительных сетей учебных заведений и ставит задачу построения собственной интегрированной системы безопасности. Ее решение предполагает наличие нормативно-правовой базы, формирование концепции безопасности, разработку мероприятий, планов и процедур по безопасной работе, проектирование, реализацию и сопровождение технических средств защиты информации (СЗИ) в рамках образовательного учреждения. Эти составляющие определяют единую политику обеспечения безопасности информации в вузе.
Специфика защиты информации в образовательной системе заключается в том, что вуз - публичное заведение с непостоянной аудиторией, а также место повышенной активности "начинающих кибер-преступников". Основную группу потенциальных нарушителей здесь составляют студенты, некоторые из них имеют достаточно высокий уровень знания компьютеров, сетей. Возраст - от 18 до 23 лет - и юношеский максимализм побуждает таких людей блеснуть знаниями перед сокурсниками: устроить вирусную эпидемию, получить административный доступ и "наказать" преподавателя, заблокировав выход в Интернет. Достаточно вспомнить, что первые компьютерные правонарушения родились именно в вузе (червь Морриса).
Учащиеся имеют доступ только в компьютерные учебные аудитории, от них и исходит внутренняя угроза. Работа студентов, преподавателей в таких аудиториях должна быть регламентирована приказом (актом) ректората. Во избежание занесения вредоносной информации во внутреннюю сеть желательно, чтобы в компьютерах отсутствовали дисководы и были отключены usb-порты.
Анализ угроз, их источников и рисков
Компьютерные сети образовательных заведений - это совокупность сетевых ресурсов для учебной деятельности, рабочих станций персонала, устройств функционирования сети в целом.
Источниками возможных угроз информации являются: компьютеризированные учебные аудитории, в которых происходит учебный процесс;
- Интернет;
- рабочие станции неквалифицированных в сфере ИБ работников вуза.
- классификация объектов, подлежащих защите, по важности;
- определение привлекательности объектов защиты для взломщиков;
- определение возможных угроз и вероятных каналов доступа на объекты;
- оценка существующих мер безопасности;
- определение уязвимостей в обороне и способов их ликвидации;
- составление ранжированного списка угроз;
- оценка ущерба от НСД, атак в отказе обслуживании, сбоев в работе оборудования.
Анализ информационных рисков можно разделить на следующие этапы:
Основные объекты, нуждающиеся в защите от НСД:
- бухгалтерские ЛВС, данные планово-финансового отдела, а также статистические и архивные данные;
- серверы баз данных;
- консоль управления учетными записями;
- www/ftp сервера;
- ЛВС и серверы исследовательских проектов.
Регламент работы
Для аутентификации пользователей на рабочих станциях преподавательского персонала, компьютерах в учебных аудиториях можно применять ролевое управление доступом (РУД). Суть технологии - в создании некой "роли, связывающей пользователя и его привилегии в системе. С ее помощью можно эффективно построить гибкую политику разграничения доступа в многопользовательской системе.
РУД заметно облегчает администрирование многопользовательских систем путем установления связей между "ролями" и пользователями. Для каждого пользователя может быть активизировано сразу несколько "ролей", которые одновременно могут быть приписаны сразу нескольким пользователям.
Использование сетевой операционной системы Novell Netware позволяет централизованно управлять процессом идентификации пользователей в общей университетской сети, отслеживать их действия, ограничивать доступ к ресурсам. Средства защиты информации (СЗИ) уже встроены в эту ОС на базовых уровнях и не являются надстройкой в виде какого-либо приложения.
ОС Novell NetWare содержит механизмы защиты следующих уровней:
- защита информации о пользователе;
- защита паролем;
- защита каталогов;
- защита файлов;
- межсетевая защита.
Для каждого зарегистрированного в этой ОС пользователя содержатся правила с указанием перечня ресурсов, к которым он имеет доступ, права на работу с ними. Для помощи администратору служит консоль управления учетными записями. Есть возможность ограничения права пользователя на вход в сеть временем, датой и конкретными рабочими станциями. В качестве системы разграничения доступа используются ACL и так называемые контексты. Для каждого контекста определен список доступных ресурсов сети. Это позволяет разделять доступ к ресурсам между администрацией, работниками университета и студентами. Кроме того, можно устанавливать дополнительные групповые политики в рамках определенного контекста (допустим, разделить доступ студенческого контекста по факультетам, не используя подконтексты). Встроенные средства обнаружения и предотвращения атак позволяют быстро выявить нарушителя.
Нередко на территории университета разворачивается беспроводная сеть, доступ в которую обычно является свободным. Использовать такую схему стоит в том случае, когда точки беспроводного доступа не подключены к внутренней сети университета. Как правило, связь с Интернетом осуществляется сразу по нескольким линиям связи (оптоволоконная магистраль, спутниковые и радиоканалы). Отдельные каналы предоставляются для связи с другими университетами или для безопасного обмена данными. Чтобы исключить риски, связанные с утечкой и порчей передаваемой информации, такие сети не стоит подключать к глобальным сетям и общей университетской сети.
Критически важные узлы для обмена данными университета (бухгалтерская ЛВС) также должны существовать отдельно.
Рубежи обороны
Первый рубеж обороны от атак извне (Интернет) - роутер (маршрутизатор). Он применяется для связи участков сети друг с другом, а также для более эффективного разделения трафика и использования альтернативных путей между узлами сети. От его настроек зависит функционирование подсетей и связь с глобальными сетями (WAN). Его главная задача в плане безопасности -защита от распределенных атак в отказе обслуживания (DDOS).
Вторым рубежом может служить МСЭ: аппаратно-программный комплекс Cisco PIX Firewall.
Затем следует DMZ. В этой зоне стоит расположить главный прокси-сервер, dns-сервер, www/ftp, mail сервера. Прокси-сервер обрабатывает запросы от рабочих станций учебного персонала, серверов, не подключенных напрямую к роутеру, и фильтрует трафик. Политика безопасности на этом уровне должна определяться блокированием нежелательного трафика и его экономией (фильтрация мультимедиаконтента, iso-образов, блокировка страниц нежелательного/нецензурного содержания по ключевым словам). Чтобы не происходило скачивания зараженной вирусами информации, на этом сервере оправдано размещение антивируса (например, ClamAV). Для более детального анализа и контроля трафика следует применять IDS (такую, как Snort).
Информация от прокси-сервера параллельно отсылается на сервер статистики, где можно посмотреть и проанализировать деятельность пользователей в Интернете. На почтовом сервере обязательно должен присутствовать почтовый антивирус, к примеру, Kaspersky AntiVirus for Mail servers.
Так как эти серверы связаны непосредственно напрямую с глобальной сетью, аудит программного обеспечения, установленного на них, - первоочередная задача инженера по информационной безопасности вуза. Для экономии средств и гибкости настраивания желательно применять opensource-ОС и программное обеспечение. Самая распространенная ОС - FreeBSD и GNU Linux. Но ничто не мешает использовать и более консервативную Open BSD или даже сверхстабильную ОС реального времени QNX.
Спрос на антивирусные средства растет с каждым годом и не обошел инфраструктуру вузов.
Для централизованного управления антивирусной деятельностью необходим продукт с клиент-серверной архитектурой, такой как Dr.Web Enterprise Suite. Он позволяет централизованно управлять настройками и обновлением антивирусных баз с помощью графической консоли и предоставлять удобочитаемую статистику о вирусной деятельности, если такая присутствует.
Для большего удобства работников вуза можно организовать доступ к внутренней сети университета с помощью технологии VPN.
Статья бизнес-консультанта Cisco по информационной безопасности Алексея Лукацкого
Сегодня в условиях широкой доступности Интернета и стремительного развития средств связи становится очень заметен разрыв между ожиданиями студентов и тем, что могут им предложить учебные заведения. Методы работы в образовании должны постоянно развиваться, следуя за социальными изменениями и технологическим развитием. При этом не на последнем месте находится обеспечение защиты как образовательных материалов и иной информации ограниченного доступа, так и самой ИТ-инфраструктуры от случайных или направленных атак.
Современные технологии обеспечения информационной безопасности (ИБ) помогают учебным заведениям решать стоящие задачи в следующих основных направлениях:
- организация защищенного доступа к образовательным материалам и системам из любой точки мира ;
- защита информации ограниченного доступа (персональные данные, коммерческая тайна и т.п.) и защита интеллектуальной собственности;
- выполнение требований законодательства в области информационной безопасности (защита персональных данных, защита прав на интеллектуальную собственность, защита детей от негативной информации).
Проблема №1: различные группы пользователей
Современный университет и его сеть – это разнородная среда, в которой сталкиваются интересы и данные разных групп пользователей. В университетской сети могут встречаться следующие категории пользователей с разными требованиями по информационной безопасности: студенты университета и студенты, приехавшие в университет по обмену; преподаватели и администрация; школьники, посещающие подготовительные курсы перед поступлением в ВУЗ; посетители платных курсов и курсов повышения квалификации, предлагаемых ВУЗом с целью получения дополнительных источников доходов, а также представители организаций, обеспечивающих университет коммерческими заказами, например, в области НИОКР.
Проблема №2: трансформация способов доступа и концепция «Любое устройство»
Поскольку периметр традиционной сети университетского кампуса продолжает размываться и среда университета постепенно теряет границы, смартфоны, планшеты, иные оконечные устройства и веб-приложения необратимо меняют образовательный процесс, предоставляя возможность получать доступ к учебным материалам из любой точки мира - из вузовской аудитории, общежития, собственного жилища, университетского городка, другого ВУЗа, куда студенты отправляются для обмена опытом, и т.п. Cisco использует концепцию «Любое устройство», которая предусматривает расширение свободы выбора устройств пользователями университетского кампуса при сохранении общих и предсказуемых условий работы. Всё это поддерживает или даже увеличивает уровень конкурентоспособности, производительности и безопасности учебного заведения.
Вместе с тем при внедрении концепции «Любое устройство» возникает целый ряд задач ИБ, которые необходимо решить. В таком случае нужно обеспечить:
- предотвращение несанкционированного подключения сетевых абонентских устройств: стационарных компьютеров (рабочих станций или АРМ), ноутбуков (мобильных АРМ), мобильных устройств (планшетных ПК под управлением ОС Android и iOS), сетевых принтеров и IP-телефонов к университетской сети;
- выполнение требований и рекомендаций действующих политик информационной безопасности, а также обеспечить возможность удаленного контроля подключаемых к университетской сети мобильных устройств на предмет соответствия действующим политикам ИБ;
- кроме того, должна быть обеспечена организация логического разделения университетской сети на зоны безопасности без изменения существующей инфраструктуры (существующего разделения сети на сегменты), с целью выделения гостевых зон и зон ограниченного доступа для подключения абонентских устройств различных групп пользователей, а также мобильных устройств (планшетных ПК под управлением ОС Android и iOS) пользователей.
Проблема №3: защита информационных систем и информации ограниченного доступа
Современный университет – это кладезь разнообразной информации, требующей защиты. Речь идет о:
· персональных данных студентов, преподавателей, администрации и других категорий пользователей;
· сведениях, составляющих коммерческую тайну университета и позволяющих ему опережать другие ВУЗы в области предоставления более качественного образования и образовательных программ, а также более прогрессивных методов обучения;
· разработанных университетом образовательных материалах, доступ к которым должен быть либо ограничен, либо контролируемым, т.к. они представляют собой интеллектуальную собственность;
· приобретенных университетом программном обеспечении или лицензиях, кража которых может ухудшить положение учебного заведения в конкурентной борьбе либо повлечь за собой наступление уголовной или административной ответственности.
· Наконец, защите подлежат результаты тех НИОКР, которые университет может проводить по заказу коммерческих или государственных заказчиков.
Помимо защиты информации ограниченного доступа, должна быть обеспечена и безопасность информационных систем образовательного процесса. Случайное или целенаправленное выведение этих систем из строя может сорвать процесс обучения и нарушить договорные условия (в случае платного обучения или реализации различных НИОКР).
Проблема №4: законодательные ограничения
Кроме защиты информационных систем и информации, обеспечивающих университету конкурентные преимущества, система обеспечения информационной безопасности должна давать возможность выполнять законодательные инициативы, направленные на защиту прав и интересов различных групп граждан и организаций. К нормативным актам, которые ВУЗ обязан выполнять, в первую очередь относятся:
- федеральный закон от 27 июля 2006 года №152-ФЗ “О персональных данных”;
- федеральный закон от 28 июля 2012 года №139-ФЗ «О внесении изменений в федеральный закон „О защите детей от информации, причиняющей вред их здоровью и развитию“ и отдельные законодательные акты Российской Федерации по вопросу ограничения доступа к противоправной информации в сети Интернет»;
- федеральный закон от 2 июля 2013 года № 187-ФЗ «О внесении изменений в законодательные акты Российской Федерации по вопросам защиты интеллектуальных прав в информационно-телекоммуникационных сетях».
Проблема №5: рост числа угроз
Среда угроз сетевой безопасности находится в постоянном развитии. Лидирующие позиции в ней занимают специально написанные, скрытые угрозы, которым все чаще удается преодолевать традиционные методы и средства защиты. Эти угрозы проникают внутрь сети - на уровень ядра, уровень распространения и уровень доступа пользователей, где защита от угроз и их видимость находятся на минимальном уровне. Оттуда эти угрозы без труда выбирают свои цели - конкретные ресурсы и даже конкретных людей в университете. Цель современных кибер-угроз заключается отнюдь не в получении известности и славы и даже не в создании прибыльного ботнета, а в захвате и краже интеллектуальной собственности или коммерческих и иных тайн для достижения конкурентных преимуществ.
Решения Cisco в области информационной безопасности
Cisco SecureX Architecture™ - это архитектура безопасности нового поколения, объединяющая гибкие решения, продукты и сервисы для формирования и реализации согласованной бизнес-политики в масштабе всей распределенной сети современного университета. Архитектура Cisco SecureX объединяет сбор сведений о глобальных угрозах и учет контекста для разрешения уникальных проблем безопасности, таких как рост числа высокомобильных пользователей, расширение круга мобильных устройств с поддержкой сети или переход на облачные инфраструктуры и сервисы.
Cisco SecureX соответствует потребностям современных сетей с размытым периметром, обеспечивая эффективную защиту для любого пользователя, работающего на любом устройстве в любом месте и в любое время. Эта новая архитектура безопасности использует язык политик более высокого уровня, который «понимает» полный контекст ситуации - кто, что, где, когда и как. Благодаря распределенной реализации политик безопасности, процесс защиты перемещается ближе к месту работы конечного пользователя в любой точке планеты, тем самым позволяя не только обезопасить каждое устройство или пользователя, но и при необходимости локализовать угрозу как можно ближе к ее источнику.
Входящие в Cisco SecureX решения соответствуют требованиям российских органов государственной власти, уполномоченных в области информационной безопасности, и имеют свыше 600 различных сертификатов ФСТЭК и ФСБ по требованиям безопасности.
Чтобы оперативно узнавать о материалах специалистов Cisco , публикуемых в разделе «Блог Cisco . Россия/СНГ», необходимо подписаться на странице http://gblogs.cisco.com/ru .
Метки: информационная безопасность, ИБ, образование, вуз, архитектура Cisco SecureX, интеллектуальная собственность.
Сегодня в условиях широкой доступности Интернета и стремительного развития средств связи становится очень заметен разрыв между ожиданиями студентов и тем, что могут им предложить учебные заведения. Методы работы в образовании должны постоянно развиваться, следуя за социальными изменениями и технологическим развитием. При этом не на последнем месте находится обеспечение защиты как образовательных материалов и иной информации ограниченного доступа, так и самой ИТ-инфраструктуры от случайных или направленных атак.
Современные технологии обеспечения информационной безопасности (ИБ) помогают учебным заведениям решать стоящие задачи в следующих основных направлениях:
Организация защищенного доступа к образовательным материалам и системам из любой точки мира;
Защита информации ограниченного доступа (персональные данные, коммерческая тайна и т.п.) и защита интеллектуальной собственности;
Выполнение требований законодательства в области информационной безопасности (защита персональных данных, защита прав на интеллектуальную собственность, защита детей от негативной информации).
Проблема №1: различные группы пользователей
Современный университет и его сеть - это разнородная среда, в которой сталкиваются интересы и данные разных групп пользователей. В университетской сети могут встречаться следующие категории пользователей с разными требованиями по информационной безопасности: студенты университета и студенты, приехавшие в университет по обмену; преподаватели и администрация; школьники, посещающие подготовительные курсы перед поступлением в ВУЗ; посетители платных курсов и курсов повышения квалификации, предлагаемых ВУЗом с целью получения дополнительных источников доходов, а также представители организаций, обеспечивающих университет коммерческими заказами, например, в области НИОКР.
Проблема №2: трансформация способов доступа и концепция «Любое устройство»
Поскольку периметр традиционной сети университетского кампуса продолжает размываться и среда университета постепенно теряет границы, смартфоны, планшеты, иные оконечные устройства и веб-приложения необратимо меняют образовательный процесс, предоставляя возможность получать доступ к учебным материалам из любой точки мира — из вузовской аудитории, общежития, собственного жилища, университетского городка, другого ВУЗа, куда студенты отправляются для обмена опытом, и т.п. Cisco использует концепцию «Любое устройство», которая предусматривает расширение свободы выбора устройств пользователями университетского кампуса при сохранении общих и предсказуемых условий работы. Всё это поддерживает или даже увеличивает уровень конкурентоспособности, производительности и безопасности учебного заведения.
Вместе с тем при внедрении концепции «Любое устройство» возникает целый ряд задач ИБ, которые необходимо решить. В таком случае нужно обеспечить:
Предотвращение несанкционированного подключения сетевых абонентских устройств: стационарных компьютеров (рабочих станций или АРМ), ноутбуков (мобильных АРМ), мобильных устройств (планшетных ПК под управлением ОС Android и iOS), сетевых принтеров и IP-телефонов к университетской сети;
Выполнение требований и рекомендаций действующих политик информационной безопасности, а также обеспечить возможность удаленного контроля подключаемых к университетской сети мобильных устройств на предмет соответствия действующим политикам ИБ;
Кроме того, должна быть обеспечена организация логического разделения университетской сети на зоны безопасности без изменения существующей инфраструктуры (существующего разделения сети на сегменты), с целью выделения гостевых зон и зон ограниченного доступа для подключения абонентских устройств различных групп пользователей, а также мобильных устройств (планшетных ПК под управлением ОС Android и iOS) пользователей.
Проблема №3: защита информационных систем и информации ограниченного доступа
Современный университет – это кладезь разнообразной информации, требующей защиты. Речь идет о:
Персональных данных студентов, преподавателей, администрации и других категорий пользователей;
Сведениях, составляющих коммерческую тайну университета и позволяющих ему опережать другие ВУЗы в области предоставления более качественного образования и образовательных программ, а также более прогрессивных методов обучения;
Разработанных университетом образовательных материалах, доступ к которым должен быть либо ограничен, либо контролируемым, т.к. они представляют собой интеллектуальную собственность;
Приобретенных университетом программном обеспечении или лицензиях, кража которых может ухудшить положение учебного заведения в конкурентной борьбе либо повлечь за собой наступление уголовной или административной ответственности.
Наконец, защите подлежат результаты тех НИОКР, которые университет может проводить по заказу коммерческих или государственных заказчиков.
Помимо защиты информации ограниченного доступа, должна быть обеспечена и безопасность информационных систем образовательного процесса. Случайное или целенаправленное выведение этих систем из строя может сорвать процесс обучения и нарушить договорные условия (в случае платного обучения или реализации различных НИОКР).
Проблема №4: законодательные ограничения
Кроме защиты информационных систем и информации, обеспечивающих университету конкурентные преимущества, система обеспечения информационной безопасности должна давать возможность выполнять законодательные инициативы, направленные на защиту прав и интересов различных групп граждан и организаций. К нормативным актам, которые ВУЗ обязан выполнять, в первую очередь относятся:
Федеральный закон от 28 июля 2012 года №139-ФЗ «О внесении изменений в федеральный закон „О защите детей от информации, причиняющей вред их здоровью и развитию“ и отдельные законодательные акты Российской Федерации по вопросу ограничения доступа к противоправной информации в сети Интернет»;
Федеральный закон от 2 июля 2013 года № 187-ФЗ «О внесении изменений в законодательные акты Российской Федерации по вопросам защиты интеллектуальных прав в информационно-телекоммуникационных сетях».
Проблема №5: рост числа угроз
Среда угроз сетевой безопасности находится в постоянном развитии. Лидирующие позиции в ней занимают специально написанные, скрытые угрозы, которым все чаще удается преодолевать традиционные методы и средства защиты. Эти угрозы проникают внутрь сети - на уровень ядра, уровень распространения и уровень доступа пользователей, где защита от угроз и их видимость находятся на минимальном уровне. Оттуда эти угрозы без труда выбирают свои цели - конкретные ресурсы и даже конкретных людей в университете. Цель современных кибер-угроз заключается отнюдь не в получении известности и славы и даже не в создании прибыльного ботнета, а в захвате и краже интеллектуальной собственности или коммерческих и иных тайн для достижения конкурентных преимуществ.
Решения Cisco в области информационной безопасности
Cisco SecureX Architecture™ - это архитектура безопасности нового поколения, объединяющая гибкие решения, продукты и сервисы для формирования и реализации согласованной бизнес-политики в масштабе всей распределенной сети современного университета. Архитектура Cisco SecureX объединяет сбор сведений о глобальных угрозах и учет контекста для разрешения уникальных проблем безопасности, таких как рост числа высокомобильных пользователей, расширение круга мобильных устройств с поддержкой сети или переход на облачные инфраструктуры и сервисы.
Cisco SecureX соответствует потребностям современных сетей с размытым периметром, обеспечивая эффективную защиту для любого пользователя, работающего на любом устройстве в любом месте и в любое время. Эта новая архитектура безопасности использует язык политик более высокого уровня, который «понимает» полный контекст ситуации - кто, что, где, когда и как. Благодаря распределенной реализации политик безопасности, процесс защиты перемещается ближе к месту работы конечного пользователя в любой точке планеты, тем самым позволяя не только обезопасить каждое устройство или пользователя, но и при необходимости локализовать угрозу как можно ближе к ее источнику.
Входящие в Cisco SecureX решения соответствуют требованиям российских органов государственной власти, уполномоченных в области информационной безопасности, и имеют свыше 600 различных сертификатов ФСТЭК и ФСБ по требованиям безопасности.
УДК 004.056
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ КОРПОРАТИВНОЙ СЕТИ ВУЗА
О. М. Проталинский, И. М. Ажмухамедов
Выявлена специфика обеспечения информационной безопасности в вузе. Проведен анализ угроз, их источников и рисков. Рассмотрены рубежи защиты информации и структура системы комплексной информационной безопасности.
Ключевые слова: информационная безопасность, вуз, угрозы безопасности, защита информации.
В современных условиях всеобщей информатизации и развития информационных технологий усиливаются угрозы национальной безопасности Российской Федерации в информационной сфере .
Концепцию национальной безопасности РФ применительно к информационной сфере развивает Доктрина информационной безопасности (ИБ) Российской Федерации .
В Доктрине указывается, что обеспечение ИБ РФ играет ключевую роль в обеспечении национальной безопасности РФ. При этом одним из приоритетных направлений государственной политики в области обеспечения ИБ РФ является совершенствование подготовки кадров, развитие образования в области ИБ. Особую роль в решении этих задач играют вузы.
Российская высшая школа переживает период адаптации не только к объективным процессам информационного общества, но и к новым социально-политическим условиям с разноплановыми проявлениями конкурентной борьбы.
Создание эффективных механизмов управления информационными ресурсами системы высшего образования в современных условиях невозможно без научного обоснования и практической реализация сбалансированной политики ИБ вуза, которая может быть сформирована на основе решения следующих задач :
Анализ процессов информационного взаимодействия (ИВ) во всех сферах основной деятельности российского технического вуза: информационных потоков, их масштаба и качества, противоречий, конкурентной борьбы с выявлением собственников и соперников;
Разработка качественного и простого количественного (математического) описания ИВ;
Введение количественных индикаторов и критериев открытости, безопасности и справедливости информационного обмена;
Разработка сценариев необходимости и значимости баланса в информационной открытости и конфиденциальности;
Определение роли и места политики ИБ в управлении информационными ресурсами вуза и выработка согласующихся принципов и подходов;
Формулировка основных составляющих политики: целей, задач, принципов и ключевых направлений обеспечения ИБ;
Разработка базовых методик управления процессом обеспечения политики ИБ;
Подготовка проектов нормативно-правовых документов.
СПЕЦИФИКА ОБРАЗОВАТЕЛЬНЫХ УЧРЕЖДЕНИЙ
В современном вузе хранится и обрабатывается огромное число различных данных, связанных не только с обеспечением учебного процесса, но и с научно-исследовательскими и проектно-конс-трукторскими разработками, персональные данные студентов и сотрудников, служебная, коммерческая и иная конфиденциальная информация.
Рост преступлений в сфере высоких технологий диктует свои требования к защите ресурсов вычислительных сетей учебных заведений и ставит задачу построения собственной интегрированной системы безопасности. Ее решение предполагает наличие нормативно-правовой базы, формирование концепции безопасности, разработку мероприятий, планов и процедур по безопасной работе, проектирование, реализацию и сопровождение технических средств защиты информации (СЗИ) в рамках образовательного учреждения. Эти составляющие определяют единую политику обеспечения безопасности информации в вузе.
Специфика защиты информации в образовательной системе заключается в том, что вуз - публичное заведение с непостоянной аудиторией, а также место повышенной активности "начинающих киберпреступников".
Основную группу потенциальных нарушителей здесь составляют студенты, и некоторые из них имеют достаточно высокий уровень подготов-
ки. Возраст - от 18 до 23 лет - и юношеский максимализм побуждает таких людей "блеснуть" знаниями перед сокурсниками: устроить вирусную эпидемию, получить административный доступ и "наказать" преподавателя, заблокировать выход в Internet и т. д. Достаточно вспомнить, что первые компьютерные правонарушения родились именно в вузе (червь Морриса) .
Особенности вуза как объекта информатизации связаны также с многопрофильным характером деятельности, обилием форм и методов учебной работы, пространственной распределенностью инфраструктуры (филиалы, представительства). Сюда же можно отнести и многообразие источников финансирования, наличие развитой структуры вспомогательных подразделений и служб (строительная, производственная, хозяйственная деятельность), необходимость адаптации к меняющемуся рынку образовательных услуг, потребность в анализе рынка труда, отсутствие общепринятой формализации деловых процессов, необходимость электронного взаимодействия с вышестоящими организациями, частое изменение статуса сотрудников и обучаемых.
При этом несколько облегчает проблему то, что вуз представляет собой стабильную, иерархическую по функциям управления систему, обладающую всеми необходимыми условиями жизнедеятельности и действующую на принципах централизованного управления (последнее означает, что в управлении задачами информатизации может активно использоваться административный ресурс).
Указанные выше особенности обусловливают необходимость соблюдения следующих требований:
Комплексной проработки задач ИБ, начиная с концепции и заканчивая сопровождением программно-технических решений;
Привлечения большого числа специалистов, владеющих содержательной частью деловых процессов;
Использования модульной структуры корпоративных приложений, когда каждый модуль покрывает взаимосвязанную группу деловых процедур или информационных сервисов при обеспечении единых требований к безопасности;
Применение обоснованной последовательности этапов в решении задач ИБ;
Документирование разработок на базе разумного применения стандартов, что гарантирует создание успешной системы;
Использование надежных и масштабируемых аппаратно-программных платформ и технологий различного назначения, обеспечивающих необходимый уровень безопасности.
С точки зрения архитектуры в корпоративной информационной среде можно выделить три уров-
ня, для обеспечения безопасного функционирования которых необходимо применять различные подходы:
Оборудование вычислительной сети, каналов и линий передачи данных, рабочих мест пользователей, системы хранения данных;
Операционные системы, сетевые службы и сервисы по управлению доступом к ресурсам, программное обеспечение (ПО) среднего слоя;
Прикладное ПО, информационные сервисы и среды, ориентированные на пользователей. При создании комплексной информационной
сети (КИС) необходимо обеспечить межуровне-вое согласование требований по безопасности к выбираемым решениям или технологиям. Так, на втором уровне архитектура КИС многих вузов представляет собой разрозненные и слабо связанные подсистемы с разными операционными средами, согласованные друг с другом только на уровне закрепления 1Р-адресов или обмена сообщениями. Причинами плохой системной организации КИС является отсутствие их утвержденной архитектуры, наличие нескольких центров ответственности за развитие технологий, которые действуют несогласованно. Проблемы начинаются с нежелания управлять выбором операционных сред в подразделениях, когда ключевые технологические решения полностью децентрализованы, что резко снижает уровень безопасности системы.
Вузы, имеющие четкую стратегию развития информационных технологий (ИТ), единые требования к информационной инфраструктуре, политику информационной безопасности и утвержденные регламенты на основные компоненты КИС, отличаются, как правило, сильным административным ядром в управлении и высоким авторитетом руководителя ИТ-службы .
В таких вузах могут, конечно, применяться различные операционные среды или системы среднего слоя, но это обусловлено организационно-техническими или экономическими причинами и не препятствует развертыванию КИС вуза и внедрению унифицированных принципов безопасного доступа к информационным ресурсам.
Состояние развития в вузах третьего уровня архитектуры КИС можно охарактеризовать следующим образом: в основном завершен переход от локальных программных приложений, автоматизирующих отдельный деловой процесс и опирающихся на локальный набор данных, к корпоративным клиент-серверным информационным системам (ИС), обеспечивающим доступ пользователей к оперативным базам данных вуза. В том или ином виде решена задача интеграции данных, порожденных различными ИС, что позволяет усовершенствовать бизнес-процессы, повысить качество управления и принятия решений.
4 _ Sensors & Systems № 5.2009
Если в начале 1990-х гг. отмечался высокий спрос на бухгалтерское ПО и ПО управленческого учета (учет кадров, отчетность и т. д.), то сегодня этот спрос в большей части удовлетворен. Теперь стоит задача обеспечить достоверными данными о деятельности образовательного учреждения не только управленческий персонал, но и каждого преподавателя и студента, т. е. задача эффективного управления данными, циркулирующими в КИС, что в свою очередь делает задачу обеспечения ИБ в таких сетях еще более актуальной.
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ КОРПОРАТИВНЫХ СЕТЕЙ ВУЗОВ
Активное внедрение Internet и новых информационных технологий в образовательный процесс и систему управления вузом создали предпосылки к появлению корпоративных сетей.
Корпоративная сеть вуза - это ИС, включающая в себя компьютеры, серверы, сетевое оборудование, средства связи и телекоммуникации, систему ПО, предназначенную для решения задач управления вузом и ведения образовательной деятельности. Корпоративная сеть обычно объединяет не только структурные подразделения вуза, но и их региональные представительства. Ранее недоступные для вуза, сегодня эти сети стали активно внедряться в образовательные структуры в связи с массовым распространением сети Internet и ее доступностью .
Комплексная ИБ вуза - это система сохранения, ограничения и авторизованного доступа к информации, содержащейся на серверах в корпоративных сетях вузов, а также перед
Сегодня в условиях широкой доступности Интернета и стремительного развития средств связи становится очень заметен разрыв между ожиданиями студентов и тем, что могут им предложить учебные заведения. Методы работы в образовании должны постоянно развиваться, следуя за социальными изменениями и технологическим развитием. При этом не на последнем месте находится обеспечение защиты как образовательных материалов и иной информации ограниченного доступа, так и самой ИТ-инфраструктуры от случайных или направленных атак.
Современные технологии обеспечения информационной безопасности (ИБ) помогают учебным заведениям решать стоящие задачи в следующих основных направлениях:
Организация защищенного доступа к образовательным материалам и системам из любой точки мира; защита информации ограниченного доступа (персональные данные, коммерческая тайна и т.п.) и защита интеллектуальной собственности; выполнение требований законодательства в области информационной безопасности (защита персональных данных, защита прав на интеллектуальную собственность, защита детей от негативной информации).
Проблема №1: различные группы пользователей
Современный университет и его сеть - это разнородная среда, в которой сталкиваются интересы и данные разных групп пользователей. В университетской сети могут встречаться следующие категории пользователей с разными требованиями по информационной безопасности: студенты университета и студенты, приехавшие в университет по обмену; преподаватели и администрация; школьники, посещающие подготовительные курсы перед поступлением в ВУЗ; посетители платных курсов и курсов повышения квалификации, предлагаемых ВУЗом с целью получения дополнительных источников доходов, а также представители организаций, обеспечивающих университет коммерческими заказами, например, в области НИОКР.
Проблема №2: трансформация способов доступа и концепция «Любое устройство»
Поскольку периметр традиционной сети университетского кампуса продолжает размываться и среда университета постепенно теряет границы, смартфоны, планшеты, иные оконечные устройства и веб-приложения необратимо меняют образовательный процесс, предоставляя возможность получать доступ к учебным материалам из любой точки мира — из вузовской аудитории, общежития, собственного жилища, университетского городка, другого ВУЗа, куда студенты отправляются для обмена опытом, и т.п. Cisco использует концепцию «Любое устройство», которая предусматривает расширение свободы выбора устройств пользователями университетского кампуса при сохранении общих и предсказуемых условий работы. Всё это поддерживает или даже увеличивает уровень конкурентоспособности, производительности и безопасности учебного заведения.
Вместе с тем при внедрении концепции «Любое устройство» возникает целый ряд задач ИБ, которые необходимо решить. В таком случае нужно обеспечить:
Предотвращение несанкционированного подключения сетевых абонентских устройств: стационарных компьютеров (рабочих станций или АРМ), ноутбуков (мобильных АРМ), мобильных устройств (планшетных ПК под управлением ОС Android и iOS), сетевых принтеров и IP-телефонов к университетской сети; выполнение требований и рекомендаций действующих политик информационной безопасности, а также обеспечить возможность удаленного контроля подключаемых к университетской сети мобильных устройств на предмет соответствия действующим политикам ИБ; кроме того, должна быть обеспечена организация логического разделения университетской сети на зоны безопасности без изменения существующей инфраструктуры (существующего разделения сети на сегменты), с целью выделения гостевых зон и зон ограниченного доступа для подключения абонентских устройств различных групп пользователей, а также мобильных устройств (планшетных ПК под управлением ОС Android и iOS) пользователей.
Проблема №3: защита информационных систем и информации ограниченного доступа
Современный университет - это кладезь разнообразной информации, требующей защиты. Речь идет о:
Персональных данных студентов, преподавателей, администрации и других категорий пользователей; сведениях, составляющих коммерческую тайну университета и позволяющих ему опережать другие ВУЗы в области предоставления более качественного образования и образовательных программ, а также более прогрессивных методов обучения; разработанных университетом образовательных материалах, доступ к которым должен быть либо ограничен, либо контролируемым, т.к. они представляют собой интеллектуальную собственность; приобретенных университетом программном обеспечении или лицензиях, кража которых может ухудшить положение учебного заведения в конкурентной борьбе либо повлечь за собой наступление уголовной или административной ответственности. Наконец, защите подлежат результаты тех НИОКР, которые университет может проводить по заказу коммерческих или государственных заказчиков.
Помимо защиты информации ограниченного доступа, должна быть обеспечена и безопасность информационных систем образовательного процесса. Случайное или целенаправленное выведение этих систем из строя может сорвать процесс обучения и нарушить договорные условия (в случае платного обучения или реализации различных НИОКР).
Проблема №4: законодательные ограничения
Кроме защиты информационных систем и информации, обеспечивающих университету конкурентные преимущества, система обеспечения информационной безопасности должна давать возможность выполнять законодательные инициативы, направленные на защиту прав и интересов различных групп граждан и организаций. К нормативным актам, которые ВУЗ обязан выполнять, в первую очередь относятся:
Федеральный закон от 27 июля 2006 года №152-ФЗ “О персональных данных”; федеральный закон от 28 июля 2012 года №139-ФЗ «О внесении изменений в федеральный закон „О защите детей от информации, причиняющей вред их здоровью и развитию“ и отдельные законодательные акты Российской Федерации по вопросу ограничения доступа к противоправной информации в сети Интернет»; федеральный закон от 2 июля 2013 года № 187-ФЗ «О внесении изменений в законодательные акты Российской Федерации по вопросам защиты интеллектуальных прав в информационно-телекоммуникационных сетях».
Проблема №5: рост числа угроз
Среда угроз сетевой безопасности находится в постоянном развитии. Лидирующие позиции в ней занимают специально написанные, скрытые угрозы, которым все чаще удается преодолевать традиционные методы и средства защиты. Эти угрозы проникают внутрь сети — на уровень ядра, уровень распространения и уровень доступа пользователей, где защита от угроз и их видимость находятся на минимальном уровне. Оттуда эти угрозы без труда выбирают свои цели — конкретные ресурсы и даже конкретных людей в университете. Цель современных кибер-угроз заключается отнюдь не в получении известности и славы и даже не в создании прибыльного ботнета, а в захвате и краже интеллектуальной собственности или коммерческих и иных тайн для достижения конкурентных преимуществ.
Решения Cisco в области информационной безопасности
Cisco SecureX Architecture™ — это архитектура безопасности нового поколения, объединяющая гибкие решения, продукты и сервисы для формирования и реализации согласованной бизнес-политики в масштабе всей распределенной сети современного университета. Архитектура Cisco SecureX объединяет сбор сведений о глобальных угрозах и учет контекста для разрешения уникальных проблем безопасности, таких как рост числа высокомобильных пользователей, расширение круга мобильных устройств с поддержкой сети или переход на облачные инфраструктуры и сервисы.
Cisco SecureX соответствует потребностям современных сетей с размытым периметром, обеспечивая эффективную защиту для любого пользователя, работающего на любом устройстве в любом месте и в любое время. Эта новая архитектура безопасности использует язык политик более высокого уровня, который «понимает» полный контекст ситуации — кто, что, где, когда и как. Благодаря распределенной реализации политик безопасности, процесс защиты перемещается ближе к месту работы конечного пользователя в любой точке планеты, тем самым позволяя не только обезопасить каждое устройство или пользователя, но и при необходимости локализовать угрозу как можно ближе к ее источнику.
Входящие в Cisco SecureX решения соответствуют требованиям российских органов государственной власти, уполномоченных в области информационной безопасности, и имеют свыше 600 различных сертификатов ФСТЭК и ФСБ по требованиям безопасности.
Чтобы оперативно узнавать о материалах специалистов Cisco, публикуемых в разделе «Блог Cisco. Россия/СНГ», необходимо подписаться на странице http://gblogs.cisco.com/ru.
Метки: информационная безопасность, ИБ, образование, вуз, архитектура Cisco SecureX, интеллектуальная собственность.