Защита образовательной информации в условиях сетевого обучения.

К организационным методам защиты информации относятся:
2)  управление; регулирование использования ресурсов системы в рамках установленного технологического цикла обработки и передачи данных;
3)  регламентация; разработка и реализация комплексов организационных и технологических мероприятий, создающих такие условия хранения и обработки данных, при которых минимизируется риск несанкционированного доступа к ним;
4)  идеологизация; создание такой системы подготовки и воспитания обслуживающего персонала, при которой правила обращения с защищенными данными регулируются моральными и нравственными нормами;
5)  принуждение; обеспечение материальной, административной и уголовной ответственности за нарушение правил обращения с защищенными данными;
6)  упреждение; разработка и проведение комплекса активных мер защиты по принципу "лучшая оборона - наступление", направленных на:

• поиск и выведение из строя устройств для скрытого съёма информации;
• выявление и задержание лиц, совершающих незаконные действия по доступу к информации;
• выявление возможных каналов несанкционированного доступа к информации и направление по таким каналам дезинформации;
• создание ложных потоков информации с целью маскировки истинных потоков и отвлечения сил противника на их дешифровку;
• демонстрацию противнику возможностей вашей защиты (не обязательно истинных) для создания у него впечатления бесперспективности преодолеть вашу защиту;
• проведение контрразведывательных мероприятий с целью получить сведения о том, как именно противник получает доступ к вашей информации, для организации соответствующего противодействия;

Рациональным является организационное построение системы защиты информации на основе следующих положений:

• объект должен иметь постоянно обновляемую систему защиты, т. е. быть организован так, чтобы любой наблюдатель за время подготовки "вторжения" не сумел получить знаний об объекте больше "информационного барьера", необходимого для успешной атаки;
• необходимо разделение информации об объекте на "конфиденциальную" и "обычную" и хранение "ключей" к конфиденциальной информации отдельно от блоков с самой информацией;
• необходима маскировка ключевой информации в общем объёме сообщений.

Следует помнить слова известного специалиста в области защиты информации Брюса Шнейера: "Безопасность - это процесс, а не продукт. Продукты обеспечивают некоторую защиту, но для организации единственным способом эффективно заниматься своей деятельностью в мире, полном опасностей, является постоянно развивающаяся организация своей защиты с учетом того, что в продуктах всегда имеются ошибки безопасности".

Комплексная защита может быть обеспечена только при централизованном руководстве. В 1992 году Указом Президента Российской Федерации вместо существовавшей около 20 лет Государственной технической комиссии СССР была образована Государственная техническая комиссия при Президенте РФ - коллегиальный орган, отвечающий в том числе и за координацию усилий в области защиты информации. Существует ряд законов, указов Президента и постановлений Правительства РФ в области защиты информации, нормативных документов в области сертификации и лицензирования.

Аналогичная система защиты информации существует и в зарубежных странах. В США сфера информационных технологий регламентируется более чем 300 законами и подзаконными актами. Основными видами документов, регламентирующих функционирование систем защиты за рубежом, являются:

• Оранжевая книга (TCSEC);
• Радужная серия, гармонизированные критерии Европейских стран (ITSEC);
• рекомендации Х.800.

Технические методы защиты информации делятся на две категории - аппаратные и программные.

Проблема защиты отечественных компьютерных систем заключается в том, что их программное и аппаратное обеспечение в значительной степени является заимствованным и производится за рубежом. Зарубежные фирмы производят более 90% технического и более 80% программного обеспечения для российских информационных систем. Проведение сертификации и аттестации компонентов этих систем - очень трудоемкий процесс. За время аттестации каждой системы в продажу поступает, как правило, не одна, а несколько новых версий системы или отдельных ее элементов. Поэтому в настоящий момент актуальной является задача обеспечения безопасности систем, все возможности которых пользователю не известны. В этой ситуации особый акцент должен делаться на аппаратные методы и средства защиты информации.

Аппаратные методы защиты информации подразделяются на три группы:
1)  разграничения доступа; основаны на способах идентификации пользователя; в свою очередь, могут быть разделены на методы:

• недопущения пользователя к вычислительной среде;
• ограничения пользователя в использовании некоторых возможностей среды;

Рекомендуется отдавать предпочтение криптографическим методам защиты информации:

• шифрованию (ГОСТ 28147-89);
• электронной цифровой подписи (ГОСТ Р 34.10-94);
• функции хеширования (ГОСТ Р 34.11-94).

Цель криптографических методов - в том, чтобы зашифровать исходный текст, получив в результате совершенно бессмысленный на взгляд шифрованный текст (шифртекст, криптограмму). Различается шифрование двух типов: симметричное и асимметричное. При симметричном шифровании используется один и тот же ключ как для кодирования, так и для раскодирования информации. Его преимущество - высокая скорость, недостаток - возможность перехвата ключа. Асимметричное шифрование сложнее и надёжнее. Для него нужны два взаимосвязанных ключа: открытый и закрытый. Открытый ключ может быть доступен всем желающим. Он позволяет кодировать данные, но не раскодировать их. Закрытый ключ используется только для раскодирования информации. Поэтому надёжность несимметричного шифрования - намного выше.

При использовании криптографических методов следует руководствоваться правилом, впервые сформулированным голландцем Керкхоффом: "Стойкость шифра должна определяться только секретностью ключа". Иными словами, правило Керкхоффа состоит в том, что весь алгоритм шифрования, кроме значения секретного ключа, априори считается известным противнику.

Для организации защищённой, оптимальным образом функционирующей корпоративной сети рекомендуется использование решений, которые включают функции предоставления полосы пропускания по требованию (bandwidth-on-demand, BOD), маршрутизации по требованию (dial-on-demand routing, DDR), быстрой маршрутизации (snapshot routing), сжатия данных.

К числу функций, которые должны полностью или частично выполнять аппаратные средства защиты информации, относятся следующие:
1)  осуществление запрета на модификацию процесса загрузки компьютера;
2)  обеспечение идентификации и аутентификации пользователя до загрузки операционной системы;
3)  контроль целостности операционной системы и прикладного программного обеспечения;
4)  управление доступом пользователя к ресурсам компьютера, в том числе с использованием биометрических устройств (сканирование отпечатков пальцев, радужной и сетчатой оболочек глаза; распознавание черт лица, голоса и подписи) [226, 455];
5)  ведение журнала действий пользователя;
6)  реализацию криптографических алгоритмов, обеспечение гарантии их стойкости и неизменности;
7)  обеспечение надежного хранения криптографических элементов (ключей) вне оперативного запоминающего устройства компьютера;
8)  осуществление загрузки ключевых элементов со специальных носителей: смарт-карт, микропроцессорных карт идентификаторов (touch memory), жетонов (token) и т. п.;
9)  обеспечение распределения случайных чисел, наиболее близкого к равновероятному; для этого необходимо наличие аппаратного датчика случайных чисел, использующего физический процесс (например, обратный пробой специализированного диода).

Полностью реализовать все перечисленные функции одним только аппаратным способом невозможно, поэтому ряд функций может выполняться программами.