Определение 4. Доступ – процесс использования технических и программных средств, обеспечивающий логическую (или физическую) связь с каким-либо ресурсом АСУ для его функционального использования или получения (модификации) поддерживаемых этим ресурсом данных.

Определение 5. Класс защиты – характеристика степени защищенности объектов доступа, основанная на выделении определенной совокупности требований по защите информации в автоматизированных системах. В некоторых работах вместо данного термина используется термин «уровень безопасности».

Определение 6. Категория доступа – один из классов, к которым может быть отнесен оператор АСУ или субъект доступа при классификации их по предоставленным полномочиям.

Определение 7. Классификация объекта – отнесение ресурса АСУ к одному из классов защиты при определении его значимости в системе, грифа секретности поддерживаемых этим ресурсом данных и множества разрешенных операций.

Лекция 11

Основные направления обеспечения информационной безопасности компьютерных сетей учебных заведений

Учебные вопросы:

1. Состояние вопросов обеспечения информационной безопасности.

2. Угрозы и уязвимости КСУЗ.

3. Этапы построения БКСУЗ.

4. Направление исследований

Введение

В настоящее время противоречие между требованиями к защите ресурсов компьютерных сетей учебных заведений (КСУЗ) и ростом компьютерных преступлений определяет одну из важных задач – построение интегрированной системы безопасности КСУЗ. Данная проблема включает в себя комплексное решение задач определения нормативно-правовой базы, формирование концепции безопасности, разработку мероприятий, планов и процедур по безопасной работе, проектирование, реализацию и сопровождение технических средств защиты информации в процессе обучения. Несмотря на видимую схожесть задач защиты корпоративных сетей и компьютерных сетей вузов, задача по обеспечению безопасности вузовских сетей не получила окончательного решения и, в рамках динамичности развития процесса безопасности информационных технологий, находится в процессе постановки.

Кроме общих проблем внедрения технологий безопасности для вузовских сетей можно отметить две специфические:

– отсутствие единой технической политики информационной безопасности (ИБ) в области образования, в том числе унифицированных вузовских технологий;

– в вузах, как известно, сосредоточены наиболее вероятные потенциальные нарушители безопасности компьютерных систем.

Решение задач ИБ осложняется: текучестью кадров, разнородностью специалистов, большим количеством пользователей, отсутствием больших финансовых ресурсов, часто, недооценкой вопросов физической защиты и обработкой условно (декларировано) открытой информации.

В данной работе рассмотрены проблемные вопросы и общие направления построения интегрированной системы безопасности КСУЗ.

Вопрос 1. Состояние вопросов обеспечения информационной безопасности

В настоящее время вопросы ИБ в вузах стали принимать все более актуальное значение. Следует вспомнить, что проблема компьютерных правонарушений зародилась именно в вузах (например, вирус Морриса). По оценкам МВД число компьютерных преступлений за предыдущий год в России возросло в 4 раза. Анализ сообщений в Интернет относительно уголовных правонарушений по статьям компьютерных преступлений показал, что фактически все они были совершены студентами. Кроме того, множество инцидентов находятся на грани компьютерных преступлений. Помимо сетевых атак, в последнее время возникло такое явление, как информационное противостояние студентов в Интернет, например: ведение неофициальных сайтов вузов (mgtu.ru), выкладывание компрамата на преподавателей, «реферативная» поддержка и т. д.

В настоящее можно насчитать около двух десятком вузов, где активно ведутся работы в области ИБ и создали подготовку по специальностям ИБ. Пять вузов имеют действительные лицензии Гостехкомиссии России на преподавание спецкурсов, а также разработку средств защиты информации. Однако в большинстве вузов вопросам всестороннему обеспечению ИБ уделяют недостаточное внимание. Представленный в Интернет обзор по ИТ-технологиям в вузах (http://www.cnews.ru/education) позволяет сделать вывод, что их внедрение находится на самом раннем этапе развития.

Вопрос 2. Угрозы и уязвимости КСУЗ

Под КСУЗ понимается совокупность рабочих станций и устройств, использующих общие сетевые ресурсы и сетевые услуги в интересах учебной деятельности. Следует отметить, что современные КСУЗ являются чрезвычайно неоднородными по своей сути. Однако их можно разделить на:

– большие объединенные гетерогенные TCP/IP-сети вуза, поддерживаемые на уровне технологий различными западными компаниями (например, Learning Spaсe), в таких вузах как, правило имеются соответствующие учебные центры;

– ЛВС или объединение ЛВС с выходом в Интернет;