Информационная безопасность в университетах

Виталий Масютин, ведущий инженер Департамента информационной безопасности, АМТ-ГРУП

Развитие сети Интернет, технологий сотовой связи и телекоммуникаций уже кардинально изменили и продолжают динамично менять наше отношение к информации, наше поведение при принятии решений, наши приоритеты в выборе источников получения знаний. И современные студенты, молодые люди в возрасте от 16 до 22 лет, восприимчивые ко всему новому, наиболее лояльны и подвержены происходящим переменам.

НЕОБХОДИМОСТЬ ИЗМЕНЕНИЙ

            Перед учебными заведениями стоит непростая задача. Преподавателям на занятиях в борьбе за внимание студента приходится конкурировать с социальными сетями, учебным материалам − с Wikipedia, а самостоятельному обучению − с Torrent-трекерами и YouTube.

Несмотря на то что студенты добровольно поступают в университеты для получения знаний и навыков, необходимых для работы и дальнейшей самостоятельной жизни, очень сложно объяснить, почему приемы и методы, помогающие при решении любых бытовых проблем (от организации досуга до выбора ноутбука), не могут быть использованы и в процессе обучения.

Зачем чертить карандашом, если есть AutoCAD, зачем носить с собой килограммы учебников, если все необходимое можно с легкостью загрузить в планшетный компьютер, зачем просить у одногруппника конспект пропущенной лекции, если в сети Интернет есть инструкции и рекомендации на любой случай? Зачем вообще нужно образование, которое отстает от окружающего мира на несколько десятков лет?

В сложившихся обстоятельствах именно учебные заведения могут и стараются использовать лучшие проверенные и передовые технологии и методы предоставления информации и организации процесса обучения в мире, где информационные технологии стали неотъемлемой частью нашей жизни, а человек неотделим от своего ноутбука, планшета, мобильного телефона и Интернета.

СОВРЕМЕННЫЙ УНИВЕРСИТЕТ

Библиотеки с книгами никуда не исчезли. Но появились медиатеки с электронными книгами, видеозаписями и подкастами лекций и интерактивными курсами. Вместо непроверенных и не всегда достоверных и качественных материалов из сети Интернет студенту предлагается удобная электронная база знаний, с контекстным поиском и доступом из любой точки земного шара.

Журналы, которые старосты групп носили из одной аудитории в другую, заменили электронные журналы, которые нельзя потерять или забыть. Пропуски лекций фиксируются системой контроля и учета доступа. Информация об отсутствии из-за болезни попадает в журнал сразу после появления справки от врача, практически без участия студента.

Рефераты и курсовые больше не создают причудливые небоскребы в кабинетах преподавателей. Им на смену пришли небольшие файлы в формате PDF, подписанные персональной электронной подписью студента и рассортированные по папкам в системе централизованного хранения информации. Доступ к этим файлам преподаватель также может получить из любой точки.

Физическое присутствие на лекциях тоже перестало быть обязательным условием получения знаний. Возможность виртуального присутствия на лекции посредством удаленного подключения к системе дистанционного образования решило данную проблему.

Электронная почта в домене университета превратилась в инструмент своевременного оповещения и уведомления. Синхронизация с календарем помогает студентам быть в курсе последних изменений в расписании, оперативно узнавать о датах зачетов и экзаменов и получать любую важную информацию, а также поддерживать интерактивную связь с преподавателями.

И конечно, для доступа ко всем электронным сервисам и услугам, благодаря технологии единой учетной записи (Single Sign On), студенту необходимо запомнить всего один пароль.

ЗА СЦЕНОЙ

Перечень происходящих изменений, повышающих удобство и качество процесса образования, не ограничивается изложенными примерами. Можно долго рассказывать про виртуальные рабочие классы, средства коллективной работы, беспроводной Интернет и интерактивные электронные путеводители по территории университета.

Однако следует отметить, что за работу всех новинок отвечают множество технологий и технических средств, взаимодействующих между собой и интегрированных друг с другом. Серверы, приложения, веб-сервисы, системы электронного документооборота, точки доступа к беспроводной сети, различные сетевые устройства и приложения объединены в единую информационную систему, непрерывно функционирующую для удовлетворения потребностей студентов, преподавателей и сотрудников университета.

При эксплуатации такой сложной гетерогенной системы необходимо ежедневно решать множество задач по эксплуатации, модернизации, поддержке и, что особенно важно, обеспечению безопасности работы систем.

ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

В зависимости от размера учебного заведения информационная система университета, состоящая из совокупности всех используемых подсистем, может насчитывать сотни тысяч пользователей. Пользователями будут являться все сотрудники и студенты университета, а также абитуриенты, аспиранты, докторанты, выпускники и, возможно, даже школьники, посещающие программы довузовского образования, и их родители.

Назначение такой информационной системы предполагает наличие в системе персональных данных обо всех пользователях. Например, для работы бухгалтерии и отдела кадров необходимы данные о сотрудниках, для работы приемной комиссии – об абитуриентах, для работы общежитий и медицинских центров − данные о студентах.

Все персональные данные (за исключением информации медицинского характера) хранятся, как правило, в единой базе. Таким образом, университеты являются одним из крупнейших операторов персональных данных и обязаны защищать обрабатываемые персональные данные в соответствии с требованиями федерального законодательства.

С учетом объемов и характера обрабатываемых данных внедрение специализированных технических средств и организационных мер для обеспечения целостности, конфиденциальности и доступности информации является необходимым минимумом и основой комплексной системы обеспечения информационной безопасности университета.

НЕ ТОЛЬКО ПЕРСОНАЛЬНЫЕ ДАННЫЕ

Взаимодействие с любой подобной информационной системой может быть только добровольным. Чтобы студент захотел установить на свое устройство клиентское приложение, использовать электронную почту университета и персональное файловое хранилище или выходить в Интернет через сеть университета, он должен быть уверен в надежности и безопасности системы. В том, что материалы будут доступны, когда они нужны, его личная информация не будет украдена, а поступающим сообщениям и уведомлениям можно доверять. Это означает, что система информационной безопасности не только должна формально соответствовать закону, но и обеспечивать реальную защиту и своевременную реакцию на любые виды угроз.

ЧТО И ОТ КОГО ЗАЩИЩАТЬ?

Неприятным фактом является то, что защищать нужно все и от всех. Необходимо обеспечить защиту компонентов информационной системы и данных от деструктивных и противоправных действий пользователей. Данные сотрудников и преподавателей защитить от студентов, данные и устройства одних студентов − от других студентов.

Идеология обучения подразумевает открытость и удобство доступа к информации, при этом квалификация и мотивация пользователей, которым предоставляется доступ, не известны и не могут быть определены. Количество пользователей делает вероятными многие сценарии взлома системы, кражи или порчи данных, вывода из строя оборудования или манипуляции данными для достижения каких-либо целей.

Коммерческие компании, наученные горьким опытом, контролируют и жестко ограничивают действия сотрудников. Случаи, когда перед увольнением сотрудник портил или крал ценную информацию или уничтожал результаты работы, известны. Средства противодействия подобным сценариям давно разработаны и достаточно популярны.

Но есть ли вероятность, что отчисленный студент попытается уничтожить обучающие материалы в тот момент, когда они наиболее необходимы? Например, в период сессии. Или получить доступ к веб-сайту университета и разместить на главной странице нецензурные выражения или изображения. Что будет, если это случится во время важной научной конференции? Может ли злоумышленник украсть сотни или тысячи учетных записей студентов и использовать их для имитации недовольства в целях компрометации учебного заведения? Может ли один аспирант украсть научные разработки другого? Будет ли администратор для извлечения выгоды исправлять оценки студентов?

Подобных сценариев компрометации системы много, некоторые из них маловероятны, другие более вероятны. Одни могут причинить неудобство, другие − привести к значительным финансовым и репетиционным убыткам. При разработке системы безопасности должны быть учтены все возможные сценарии, рассчитан вероятный ущерб, предусмотрены механизмы нейтрализации угроз и минимизации ущерба.

СРЕДСТВА ЗАЩИТЫ

С учетом вышесказанного система информационной безопасности должна объединять как типовые, распространенные технологии, так и специфические и узкоспециализированные средства.

Межсетевые экраны, системы обнаружения вторжений, антивирусная защита, средства контентной фильтрации, защиты баз данных и веб-приложений прекрасно выполняют свои задачи и обеспечивают высокий уровень безопасности университета.

Некоторые устройства и подсистемы, опциональные для коммерческих организаций и предприятий, являются ключевыми в контексте безопасности образовательного учреждения. Рассмотрим ключевые, по нашему мнению, подсистемы, составляющие основу комплексной системы ИБ университета.

Централизованное управление доступом

Информационная система университета может содержать несколько десятков компонентов. Каждый компонент сам по себе является системой, созданной с использованием собственной логики: своей базой данных, категориями пользователей и правами доступа. В зависимости от роли и должности сотрудники и студенты могут иметь разные права доступа к разнличым компонентам системы. Это значит, что матрица ролевого доступа ко всей системе будет включать сотни ролей – подмножеств прав доступа. Кроме того, матрица и права доступа конкретных пользователей постоянно изменяются. Студенты отчисляются и восстанавливаются. Сотрудники увольняются, переходят на другие должности. Аспиранты становятся сотрудниками. Один человек может совмещать преподавание и административную должность.

Таким образом, система централизованного управления доступом (Identity Management System − IDM) в университете является обязательным компонентом, без которого задача по предоставлению доступа полностью парализует администраторов системы.

Контроль действий администраторов

Как правило, все аппаратные и программные компоненты системы имеют гарантию и поддержку от производителя, а в некоторых случаях техническую поддержку могут оказывать сторонние организации.

Перед администраторами университета стоит сложная задача предоставления централизованного доступа для различных подрядных организаций. Необходимы средства разграничения прав доступа к подсистемам, контроля действий внешних администраторов, возможность записи и последующего изучения и анализа выполненных работ.

Мониторинг и корреляция событий безопасности

Устройства, программы и приложения в составе информационной системы университета, как и сами компоненты подсистемы обеспечения безопасности, имеют индивидуальные интерфейсы управления, журналы регистрации событий, механизмы анализа и уведомления об инцидентах. Без использования единой точки контроля и анализа событий безопасности эффективность системы будет стремиться к нулю, поскольку администраторы и руководство не в состоянии оперативно реагировать на инциденты. Возможно, некоторые инциденты вообще останутся без внимания.

В данном случае, учитывая количество и многообразие используемых средств защиты, системы мониторинга и корреляции событий (Security Information and Event Management − SIEM) являются обязательным компонентом, который позволит своевременно реагировать на инциденты, предотвращать угрозы и устранять последствия.

БЕЗОПАСНЫЙ УНИВЕРСИТЕТ

Развитие информационных технологий изменило отношение к информации и представление о возможных способах и методах образования. Все больше учебных заведений стараются соответствовать ожиданиям студентов и предлагают современные и удобные методы получения знаний.

Но вслед за новыми технологиями пришли новые угрозы и опасности. И современное образование − это не только удобство, интерактивность и автоматизация, но и безопасность. Безопасность информационных систем университета и данных сотрудников. Безопасность персональных устройств и данных студентов.

Следите за нашими новостями в Телеграм-канале Connect


Поделиться:



Следите за нашими новостями в
Телеграм-канале Connect

Спецпроект

Медицинские задачи для ИИ

Подробнее
Спецпроект

Цифровой Росатом

Подробнее


Подпишитесь
на нашу рассылку