На правах рекламы:
ISSN 0236-235X (P)
ISSN 2311-2735 (E)

Авторитетность издания

ВАК - К1
RSCI, ядро РИНЦ

Добавить в закладки

Следующий номер на сайте

2
Ожидается:
16 Июня 2024

Обеспечение безопасности системы информационно-аналитической поддержки научных исследований

Safety of system of information-analytical support of researches
Статья опубликована в выпуске журнала № 4 за 2009 год.
Аннотация:В статье рассмотрены основные угрозы безопасности информационной системы поддержки научных исследований вуза, приводятся требования политики информационной безопасности системы, позволяющие снизить вероятность реализации выявленных угроз.
Abstract:In article the main threats of an intelligence system of support of researches of high school are considered, requirements of a policy of informational safety of the system are resulted, allowing to lower probability of implementation of the revealed threats.
Авторы: Чернова Е.В. (echernova@masu-inform.ru) - Магнитогорский государственный университет, кандидат педагогических наук, Попова Е.В. (echernova@masu-inform.ru) - Магнитогорский государственный университет, Попова И.В. (echernova@masu-inform.ru) - Магнитогорский государственный университет, кандидат педагогических наук, Зленко И.В. (echernova@masu-inform.ru) - Магнитогорский государственный университет
Ключевые слова: анализ рисков, угрозы, автоматизированные системы, политика информационной безопасности
Keywords: risk analysis, threats, the automated systems, policy of information safety
Количество просмотров: 11059
Версия для печати
Выпуск в формате PDF (4.85Мб)

Размер шрифта:       Шрифт:

Одним из важнейших условий успешного существования вуза является активная научно-исследовательская работа. В последнее время наблюдается тенденция внедрения в практику автоматизированных информационных систем управления научно-исследовательской деятельностью (НИД) вузов с целью повышения эффективности ее организации. Такие системы позволяют упростить рутинные процессы по составлению отчетности, но этого недостаточно.

В организации НИД большую роль играют мотивационный и материально-технический аспекты. Первый связан с необходимостью личностного вовлечения преподавателей в научную работу, второй – с увеличением расходов на содержание информационной инфраструктуры, материально-технической базы и персонала для сопровождения научных программ. Автоматизированная система информационно-аналитической поддержки (СИАП) научных исследований, разработанная в Магнитогорском государственном университете, делает процесс научной работы более отслеживаемым, упрощает рутинные процессы по составлению отчетности о научной деятельности организации.

СИАП научных исследований вуза имеет модульную архитектуру, которая включает в себя информационную БД, содержащую сведения как о научной деятельности, так и об общей деятельности отдела и всего университета, систему генерации отчетов по научной деятельности, систему поиска информации на основе мультиагентной сети и другие модули. Однако при создании таких больших проектов всегда возникают проблемы, связанные и с обеспечением информационной безопасности (ИБ).

Первостепенным аспектом разработки политики ИБ является анализ рисков автоматизированной информационной системы (АИС), включающей определение ресурсов системы, угрозы, которым они могут быть подвержены, и набор контрмер по защите ресурсов. Существуют два подхода к анализу рисков: базовый (проверка выполнения требований сертификата безопасности) и полный (см. рис.). В данном случае используется полный подход к анализу рисков системы.

Согласно стандарту безопасности ISO 27005, анализ рисков включает в себя следующие этапы: идентификация ключевых ресурсов автоматизированной системы; определение важности ресурсов; идентификация существующих угроз безопасности и уязвимостей, делающих возможным осуществление угроз; вычисление рисков, связанных с осуществлением угроз безопасности.

Рассмотрим подробнее каждый из них.

Идентификация ключевых ресурсов автоматизированной системы. Автоматизированная система содержит информационные ресурсы, программное обеспечение и технические средства. СИАП научных исследований включает в себя:

-    информационные ресурсы: портал Магнитогорского государственного университета (http://www.masu.ru), поддерживаемый веб-лабора­торией университета, файловый сервер, центральное хранилище данных (ЦХД);

-    программное обеспечение: операционную систему – Windows NT, Windows 2000, Windows XP, Linux, браузер – Internet Explorer 6 или выше, Mozilla Firefox 2.0 или выше, Opera 8.0 или выше, Google Chrome 1.0 или выше;

-    технические средства: 2 рабочие станции, 1 сервер, 1 маршрутизатор/Wi-Fi;

-    персонал: группу сотрудников вуза, администратора.

Определение важности ресурсов. Перечисленные ресурсы являются основными в обеспечении работоспособности СИАП научных исследований.

Идентификация существующих угроз безопасности и уязвимостей, делающих возможным осуществление угроз.

Основные угрозы СИАП научных исследований:

-    кража БД – эта угроза может быть реализована путем получения полного доступа к БД через уязвимости или каким-либо другим путем к серверу БД по протоколам Samba или http, а также заражением сервера троянской программой;

-    кража данных во время их передачи посредством http-соединения – это можно осуществить при работе клиентской машины с сервером, при перехвате трафика, при передаче данных от клиента серверу или наоборот;

-    кража данных путем доступа через клиентскую часть – эта угроза может быть реализована как через уязвимости клиентской части системы, так и с использованием логина и пароля зарегистрированного пользователя;

-    фальсификация информации в БД – получение полного доступа к БД через уязвимости либо намеренно авторизованным пользователем;

-    Подпись:  
Схема полного анализа рисковсаботирование работы – намеренное искажение информации, вывод из строя оборудования и программного обеспечения для задержки проведения работ;

-    потеря данных – из-за халатности пользователя путем получения полного доступа к БД влияния техногенных факторов;

-    утечка конфиденциальных данных – халатность пользователя, получение полного доступа к БД, сбой в системе;

-    DoS-атаки – эта угроза может исходить как из внутренней, так и из внешней сети;

-    выход из строя оборудования;

-    физическая кража сервера и другого оборудования;

-    пожар или другие стихийные бедствия.

Наиболее просто предотвратить только две последние проблемы благодаря охранной и пожарной сигнализации и службе безопасности. Следовательно, актуальны задачи по реализации следующих превентивных мер по обеспечению ИБ системы.

·     Резервное копирование информации на отдельный сервер, которое поможет избежать потери информации при большинстве существующих угроз. Резервное копирование проводится на дополнительный жесткий диск на самом сервере, на отдельный сервер для резервного копирования внутри отдела и на сервер резервного копирования во внешней сети.

·     Соединение клиент–сервер по защищенному соединению SSL для исключения хищения информации при передаче данных.

·     Использование программных и аппаратных сетевых экранов, которые в достаточной степени устранят возможность проникновения злоумышленников из внешней и внутренней сети.

·     На первом этапе внедрения системы в рабочий процесс отдела необходимо полностью исключить возможность проникновения извне, так как изначально система будет доступна только для внутренней сети.

·     Разработка инструкций для пользователей, которые будут регламентировать процесс работы с данными, находящимися в единой информационной системе поддержки научных исследований. Пользователи должны быть предупреждены о неразглашении служебной информации, необходимой для работы с системой, такой как логин и пароль, в целях предотвращения хищения либо порчи информации.

На основе анализа угроз, уязвимостей и рисков единой информационной системы поддержки научных исследований разработаны требования политики ИБ для СИАП научных исследований.

Требования к способам и средствам связи для информационного обмена между компонентами системы заключаются в том, чтобы использовать единое для всей системы ЦХД, исключающее параллельное хранение одних и тех же данных, а также обеспечивать

-    систему перекрестных смысловых связей между данными и едиными для всей системы бизнес-правилами их обработки;

-    хранение данных в непротиворечивом и целостном состоянии в режиме многопользовательской работы для всей системы;

-    восстановление данных, потерянных в результате сбоев системы, со степенью актуальности, достаточной для безразрывного исполнения основных процессов;

-    типовой интерфейс с пользователем вне зависимости от выполняемых им конкретных функций;

-    разделение и предоставление прав доступа, основанное на ролевом или другом подобном принципе;

-    многопользовательский режим работы пользователей в режиме реального времени;

-    хранение данных об истории изменений данных пользователями для обеспечения ответственности за изменение данных.

Требования по диагностированию системы:

-    запись при отказах обслуживания в системный журнал рабочей станции;

-    выдача пользователю сообщений, содержащих адекватное описание нарушения работоспособности;

-    однозначное соответствие между нарушениями работоспособности и сообщениями системы (то есть система должна выдавать одинаковые сообщения для одинаковых нарушений работоспособности).

Требования к надежности системы.

Надежность СИАП научных исследований должна обеспечиваться:

-    выбором отказоустойчивого оборудования и его структурным резервированием;

-    использованием источников бесперебойного питания;

-    выбором топологии телекоммуникационной и локальных вычислительных сетей, обеспечивающих вариантность маршрутизации потоков информации;

-    дублированием носителей информации;

-    использованием программных методов обеспечения целостности данных.

Требования к защите информации от несанкционированного доступа.

В системе должно быть реализовано разграничение доступа пользователей к данным и функциям системы за счет использования индивидуальных имен и паролей.

Должны быть реализованы механизм настройки прав доступа пользователей, мониторинг доступа пользователей к системе в режиме реального времени и автоматическое ведение журнала изменений данных системы пользователями.

Должно быть обеспечено наличие тестового варианта рабочего ЦХД, использующегося в случаях модернизации системы и изменения ее функциональности. Доступ к данным в ЦХД должен ограничиваться сотрудниками службы по техническому обеспечению. На период проведения работ по модернизации системы доступ к тестовому ЦХД предоставляется разработчикам и консультантам, конкретный список которых утверждается техническим советом вуза.

Требования по сохранности информации во время аварий.

Система должна иметь аппаратное и программное обеспечение для резервирования и создания копий данных, фиксирования изменений и восстановления последнего состояния. Должны быть предусмотрены связь с внешними средствами резервирования и возможность резервирования части ЦХД.

Отказ сервера БД может быть компенсирован использованием специальных методов, например, двойной конфигурацией и использованием общего дискового массива. При отказе основного сервера система автоматически подключает запасной. Запросы к СУБД автоматически передаются на него.

Надежность работы системы в целом и сохранность информации во время аварий определяются выбором платформенного решения программного обеспечения.

Таким образом, главным риском, который возможен при осуществлении угроз и несоблюдении предлагаемой политики безопасности, является риск отказа в формировании отчета по научной деятельности вуза в установленный срок. Он может возникнуть вследствие осуществления рисков, связанных с процессом подготовки отчета: утери или порчи информации из БД, не предоставленных вовремя отчетов подразделений и кафедр. Вероятность одного из них напрямую влияет на осуществление главного риска.

Тем не менее, реализация описанной выше политики ИБ предотвращает наступление нежелательных событий, обеспечивая безопасность СИАП научных исследований университета.

Литература

1.   ISO/IEC TR 14252:1996 Information technology – Guide to the POSIX (Информационные технологии. Руководство для среды открытой системы POSIX). URL: http://www.iso. org/iso/catalogue_detail.htm?csnumber=23985 (дата обращения: 17.03.2009).

2.   Risk Management Guide for Information Technology Systems. URL: http://c src.nist.gov/publications/nistpubs/800-30/ sp800-30.pdf (дата обращения: 22.03.2009).

3.   Нормы пользования Сетью в редакции OFISP-008. URL: http://www.ifap.ru/as/ofisp008.htm (дата обращения: 21.03.2009).

4.   Стандарт безопасности ISO 27005 / Информационный портал, посвященный вопросам управления информационной безопасностью. 2008. URL: http:// www.iso27000.ru (дата обращения: 19.03.2009).


Постоянный адрес статьи:
http://swsys.ru/index.php?page=article&id=2368&lang=
Версия для печати
Выпуск в формате PDF (4.85Мб)
Статья опубликована в выпуске журнала № 4 за 2009 год.

Возможно, Вас заинтересуют следующие статьи схожих тематик: