Научная статья на тему 'Методические аспекты управления доступом к информационным ресурсам образовательной организации высшего образования'

Методические аспекты управления доступом к информационным ресурсам образовательной организации высшего образования Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
154
196
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
АУТЕНТИФИКАЦИЯ / AUTHENTICATION / ИДЕНТИФИКАЦИЯ / IDENTIFICATION / КРИПТОГРАФИЯ / CRYPTOGRAPHY / ПАРОЛЬ / PASSWORD / ПРОГРАММНО-АППАРАТНЫЕ СРЕДСТВА / HARDWARE AND SOFTWARE / СМАРТ-КАРТЫ / SMART CARDS / УНИКАЛЬНОСТЬ ДАННЫХ / DATA UNIQUENESS / УПРАВЛЕНИЕ ДОСТУПОМ / ACCESS CONTROL / ШИФРОВАНИЕ / ENCRYPTION / ЭЛЕКТРОННАЯ ЦИФРОВАЯ ПОДПИСЬ / DIGITAL SIGNATURE / PIN-КОД / PIN-CODE

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Газизов Андрей Равильевич, Иванова Анастасия Сергеевна

В данной статье рассмотрены различные методики построения подсистем управления доступом. Раскрыто содержание понятий идентификация пользователя и аутентификация пользователя, как оснований подсистем управления доступом. Сформулированы основные факторы идентификации и аутентификации. Проведена классификация методов идентификации в зависимости о того, как осуществляется вход в информационную систему: с использованием одноразовых и многоразовых паролей; на основе ЭЦП, смарт-карт и USB-ключей. Выявлены преимущества и недостатки представленных вариантов методик.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Газизов Андрей Равильевич, Иванова Анастасия Сергеевна

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

METHODICAL ASPECTS OF ACCESS CONTROL TO INFORMATION RESOURCES OF THE EDUCATIONAL ORGANIZATION OF HIGHER EDUCATION

This article describes various methods of building access control subsystems. The article reveals the content of the concepts of «user identification» and «user authentication» as the basis of access control subsystems. The main factors of identification and authentication are formulated. The classification of identification methods depending on how the information system is logged in: using one-time and reusable passwords; based on EDS, smart cards and USB keys. The advantages and disadvantages of the presented methods are revealed.

Текст научной работы на тему «Методические аспекты управления доступом к информационным ресурсам образовательной организации высшего образования»

Педагогика

УДК 378.4

кандидат педагогических наук, доцент Газизов Андрей Равильевич

Федеральное государственное бюджетное образовательное учреждение высшего образования «Донской государственный технический университет» (ДГТУ) (г. Ростов-на-Дону); магистрант Иванова Анастасия Сергеевна

Федеральное государственное бюджетное образовательное учреждение высшего образования «Донской государственный технический университет» (ДГТУ) (г. Ростов-на-Дону)

МЕТОДИЧЕСКИЕ АСПЕКТЫ УПРАВЛЕНИЯ ДОСТУПОМ К ИНФОРМАЦИОННЫМ РЕСУРСАМ ОБРАЗОВАТЕЛЬНОЙ ОРГАНИЗАЦИИ ВЫСШЕГО ОБРАЗОВАНИЯ

Аннотация В данной статье рассмотрены различные методики построения подсистем управления доступом. Раскрыто содержание понятий идентификация пользователя и аутентификация пользователя, как оснований подсистем управления доступом. Сформулированы основные факторы идентификации и аутентификации. Проведена классификация методов идентификации в зависимости о того, как осуществляется вход в информационную систему: с использованием одноразовых и многоразовых паролей; на основе ЭЦП, смарт-карт и USB-ключей. Выявлены преимущества и недостатки представленных вариантов методик.

Ключевые слова: аутентификация, идентификация, криптография, пароль, программно-аппаратные средства, смарт-карты, уникальность данных, управление доступом, шифрование, электронная цифровая подпись, pin-код.

Annotation. This article describes various methods of building access control subsystems. The article reveals the content of the concepts of «user identification» and «user authentication» as the basis of access control subsystems. The main factors of identification and authentication are formulated. The classification of identification methods depending on how the information system is logged in: using one-time and reusable passwords; based on EDS, smart cards and USB keys. The advantages and disadvantages of the presented methods are revealed.

Keywords: authentication, identification, cryptography, password, hardware and software, smart cards, data uniqueness, access control, encryption, digital signature, pin-code.

Введение. Функционирование подсистемы идентификации и аутентификации пользователей, т.е. управления доступом к информационным ресурсам (ИР) образовательной организации высшего образования (образовательной организации), осуществляющей в качестве основной цели образовательную деятельность по образовательным программам высшего образования, а также научную деятельность, можно рассмотреть в качестве подтверждения их идентичности, т.е. соответствия каким-либо личным параметрам [4].

Идентификация - это основа работы подсистемы управления доступом с ИР информационной системы (ИС) образовательной организации. Рассматривая процесс идентификации с точки зрения практики, возможно расценивать его как сверку введенного в систему идентификационного признака (кода) с образцами кодов, которые хранятся в памяти ИС (поиск и сравнение «одного» со «многими»). Выбирая методы и средства идентификации при построении подсистемы управления доступом для защиты различных объектов, мы во многом определяем эффективность защиты от несанкционированного доступа на защищаемом объекте[8]. Под термином аутентификация подразумевается процесс опознавания субъекта или объекта путем сравнения введенных идентификационных данных с эталоном (образом), хранящимся в памяти ИС для данного субъекта или объекта. Если рассматривать данный процесс с точки зрения практики, мы видим конкретное сравнение «одного» с «одним». Идентификатором участника информационного обмена может быть, например, пластиковая карта или пользовательский логин; фактором аутентификации, например, PIN-код, пароль и пр., т.е. только уникальная секретная информация, сопряженная с идентификатором пользователя и применяемая для проверки подлинности аутентификатора. При этом существует три фактора аутентификации, когда пользователь: знает его - PIN-код, пароль и пр.; имеет его -пластиковую карту, электронный ключ и пр.; характеризуется этим - биометрические параметры, интеллект и пр. [1].

Процедура однофакторной аутентификации участников информационного обмена безусловна менее надежна, нежели многофакторная с точки зрения противодействия несанкционированному доступу к ресурсам ИС. Применение логина и пароля для входа в ИС может быть рассмотрено в качестве примера однофакторной аутентификации, а получение денежных средств через терминал банка является уже примером двухфакторной аутентификации, т.к. подразумевает наличие банковской карты и сопряженного с ней PIN-кода. Ограниченное количество неудачных попыток входа в ИС также является примером двухфакторной аутентификации, т.к. использован механизм минимизации риска подбора PIN-кода или пароля[3]. Применение однофакторной аутентификации допустимо исключительно в подсистемах мониторинга и аудита; ее применение абсолютно недопустимо в подсистемах, в которых имеется доступ к персональным данным работников, а также сведениям, составляющим служебную тайну образовательной организации.

В образовательной организации должен периодически производиться контроль, применяемых систем аутентификации на предмет:

- учета актуальных для данной ИС рисков, в том числе и рисков недостаточного понимания пользователями требований регламентов аутентификации;

- адаптации к изменениям информационных технологий и ценности используемых ИР;

- обеспечения приемлемого уровня информационных рисков.

Рассмотрим методы аутентификации в аспекте управления доступом к ИР образовательной организации.

Аутентификация по многоразовым паролям. Рассматривая однофакторную парольную аутентификацию с точки зрения защиты ИР, следует отметить её ненадежность, особенно при межсетевом обмене. Учетная запись пользователя хранит в себе простейший идентификатор (login) и пароль (password). При попытке входа в ИС пользователи набирают свой пароль, поступающий в службу аутентификации. В результате сравнения пары login-password с эталонным значением в базе данных учетных записей пользователи могут успешно пройти процедуру простейшей аутентификации и авторизоваться в ИС. В

алгоритме простейшей аутентификации процесс передачи пароля и идентификатора пользователя может происходить двумя способами: в незашифрованном виде - пароль будет передан по линии связи в открытой незащищенной форме; в защищенном виде - т.е. все данные (идентификатор и пароль пользователя, случайное число и метки времени), которые передаются, подвержены защите путем шифрования или однонаправленной функции. При этом вариант аутентификации с передачей пароля пользователя в незашифрованном виде не обеспечивает даже минимального уровня безопасности, благодаря тому, что процесс подвержен многочисленным атакам и легко компрометируется.

Аутентификация на основе одноразовых паролей. С целью формирования удаленного доступа пользователям к защищенным ИР образовательной организации были разработаны достаточно надежные схемы с применением одноразовых паролей (технология OTP, т.е. One Time Password). Суть технологии OTP заключается в использовании различных паролей при каждом последующем запросе на предоставление доступа. Одноразовый пароль действует лишь при единственном входе в систему. Динамический механизм задания пароля - это один из лучших способов защитить процесс аутентификации от несанкционированного доступа в ИС из вне. Существует четыре метода аутентификации применения технологии одноразовых паролей: с использованием механизма временных меток на основе системы единого времени; с применением общего пароля для легального пользователя и проверяющего списка случайных паролей и надежного механизма их синхронизации; с использованием общего пароля для пользователя и проверяющего генератора псевдослучайных чисел с одним и тем же начальным значением; с применением фиксированного числа случайных (псевдослучайных) последовательностей, скопированных на носители в виде скретч-карт. Наиболее распространенными аппаратными реализациями одноразовых паролей являются ОТР-токены. Они имеют компактные размеры и выпускаются в различных форм-факторах (карманные калькуляторы; брелоки; смарт-карты; устройства, комбинированные с USB-ключом).

Аутентификация на основе ЭЦП. Электронная цифровая подпись (ЭЦП) является одним из сервисов безопасности, помогающим решать задачи целостности, доступности и неотказуемости авторства[5]. Для полноценного функционирования ЭЦП необходимо создание развитой инфраструктуры, известной в России как инфраструктура открытых ключей или PKI (public key infrastructure) в международной терминологии. Этот термин подразумевает под собой полный комплекс программно-аппаратных средств, а также организационно-технических мероприятий, которые необходимы для использования технологии с открытыми ключами. В основе инфраструктуры лежит собственно система управления цифровыми ключами и сертификатами.

Асимметричная криптография способствует решению задач обеспечения конфиденциальности, аутентификации, целостности и достоверности информации. В асимметричной криптографии используются два вида отличных друг от друга ключей. Один из них, а именно, публичный ключ применим для выполнения «публичных операций» (шифрование, проверку и подтверждение подлинности ЭЦП). Второй -соответственно, закрытый ключ применяется для «закрытых операций» (расшифрование, генерация ЭЦП). Таким образом, всё, что шифруется с использованием публичного ключа, может быть расшифровано с помощью закрытого ключа. Преимуществом такой системы является отсутствие необходимости делиться секретной (ключевой) информацией с другими пользователями, а также обеспечение информации таким важным свойством, как неотказуемость пользователя от авторства, так как только владелец закрытого ключа в состоянии реализовать соответствующие процедуры. Процесс аутентификации в ИС также возможен с использованием асимметричной криптографии. Каждый пользователь лично отвечает за безопасность закрытого ключа, и она должна быть обеспечена на каждом этапе его жизненного цикла: генерация ключевой пары (открытый и закрытый ключи); хранение закрытого ключа; использование закрытого ключа (выполнение криптографических операций, требующих использования закрытого ключа пользователя); уничтожение закрытого ключа.

Далее сравним два наиболее распространённых в сфере информационной безопасности варианта хранения закрытых ключей пользователей. Первым вариантом является хранение закрытых ключей с использованием программных средств, а вторым с помощью специальных внешних аппаратных устройств (смарт-карт или USB-ключей). Рассмотрим данные варианты более подробно.

Защита закрытых ключей программными средствами называется программным хранилищем. Данное хранилище можно рассматривать как программную эмуляцию аппаратного электронного ключа, выполняющее практически аналогичные функции. Несмотря на простоту использования программные хранилища, имеют один существенный недостаток - велик риск компрометации ключей.

Для использования закрытого ключа пользователю необходимо предварительно его извлечь из программного хранилища и загрузить в память компьютера, в результате чего он сможет его использовать для выполнения криптографических операций.

Еще одним недостатком программных хранилищ можно отметить то, что для реализации мобильности пользователя программное хранилище необходимо продублировать на всех его устройствах (рабочий компьютер, домашний компьютер, ноутбук, карманный компьютер и пр.), что в свою очередь значительно повышает риск компрометации закрытого ключа.

Для того, чтобы усилить безопасность закрытых ключей пользователя и обеспечить его мобильность, широко применяются внешние отчуждаемые носители. При этом использование внешних носителей для сохранения программного хранилища (USB-диска, дискеты, CD-диска) с целью обеспечения мобильности пользователя, мало влияет на повышение уровня безопасности. Содержимое носителя каждый раз, когда пользователю необходима ключевая информация, подвергается выгрузке на компьютер. Удобство и простота неоспоримо являются важными преимуществами, из-за которых и используются портативные внешние устройства, но они не повышают защищённость ИС, т.к. - во-первых, внешний носитель, даже на короткое может попасть в руки злоумышленника, и информация будет считана; во-вторых, загруженный с носителя на устройство закрытый ключ может быть уязвим для любого вредоносного программного обеспечения, имеющегося на компьютере пользователя. Опасность для утечки данных представляют так называемые файлы подкачки (swap-файлы). Усиление защиты ключевой информации, которая записана на внешний носитель, возможно с помощью пароля. Тем не менее простой пароль уязвим, из чего следует, что уровень обеспечиваемой им защиты недостаточен. Важно понимание того, что снижение рисков, связанных с заражением компьютеров или целых сетей вредоносным программным обеспечением, вполне реально

снизить использованием регулярно обновляемых антивирусных баз, дополненных превентивными технологиями защиты.

Безусловно использование программных хранилищ может подвергнуть ИС образовательной организации большому риску из-за низкого уровня безопасности.

Аппаратные устройства с криптографическими возможностями. Благодаря возможности выполнения криптографических операций, аппаратные устройства обладают более высоким уровнем защиты ИР образовательной организации, т.к. закрытые ключи никогда не подвергаются экспорту из устройства [61. Основная проблема упомянутых ранее систем защиты ИР заключалась в том, что закрытый ключ импортируется в небезопасную среду локального устройства. Данная проблема поддается решению исключительно путем использования отчуждаемого устройства, способного на аппаратное исполнение криптографических операций. При этом внешний носитель должен быть оснащен микропроцессором, способным зашифровать и отправить обратно сообщение, направленное на это устройство локальным компьютером пользователя.

Даже в случае подключения пользователем аппаратного устройства с криптографическими возможностями на инфицированном вредоносным программным обеспечением компьютере и введении пароля для авторизации, реализация атаки ограничена во времени, т.к. она реализуема только при физическом подключении токена к компьютеру [71. В токенах закрытый ключ хранится в защищённой памяти устройства и никогда не экспортируется из неё. Вследствие этого применение токена возможно только в случае получения злоумышленником физического доступа к устройству (кража, хищение и др.).

Смарт-карты и USB-ключи. Устройства, которые используют технологии смарт-карт, разработаны специально для того, чтобы гарантировано противостоять различным типам атак и обеспечивать максимально высокий уровень безопасности для хранения и использования закрытых ключей. Микросхема смарт-карты, используемая в этом классе устройств, позволяет обеспечить безопасное хранение и использование ключей шифрования и ЭЦП, а также надёжное хранение цифровых сертификатов. Такого вида токены могут выпускаться как в форм-факторе смарт-карты, так и в виде USB-ключа, что в свою очередь существенно влияет на область их применения. При этом токены, которые базируются на смарт-карт технологиях, могут быть дополнены RFID-меткой для радиочастотной идентификации, что позволяет их использовать не только для входа в сеть, но и для контроля доступа в помещения.

Благодаря своей мобильности смарт-карты и USB-ключи позволяют их пользователям безопасно работать в «недоверенной» среде, потому как ключи шифрования и ЭЦП генерируются аппаратно микросхемой смарт-карты, никогда не покидая её, и не могут быть извлечены или перехвачены. Безусловно, как и любое другое решение, связанное с защитой ИР образовательной организации, токен на основе технологии смарт-карт, возможно взломать, однако цена такой атаки будет значительно выше выгоды, т.к. каждая смарт-карта содержит различные закрытые ключи. Когда атака является настолько рискованной и дорогостоящей, вероятность её реализации сводится к нулю.

Выводы. Представленные методики являются эффективным инструментом авторизации пользователей при их обращении к ИР образовательной организации в процессе информационной деятельности для массового выполнения стандартных операций. Они предполагают возможность разработки приложений для автоматизации информационного взаимодействия при передаче-приеме информации; при реализации обратной связи и развитых средств ведения интерактивного диалога; при обеспечении возможности сбора, обработки, продуцирования, архивирования, передачи и транслирования информации в рамках образовательной организации [2].

Литература:

1. Алексеев А.А. Идентификация и диагностика систем: учеб. для студ. высш. учебн. заведений / А.А. Алексеев, Ю.А. Кораблев, М.Ю. Шестопалов. - М.: Издательский центр «Академия», 2009. 352 с.

2. Сабанов А.Г. Аутентификация в распределенных информационных системах / Сабанов А.Г. // INSIDE. Защита информации - 2011. - № 4. - С. 12.

3. Аутентификация пользователей. Режим доступа: https://www.osp.ru/pcworld/2005/04/170023/ (дата обращения 08.04.2018).

4. Афанасьев А. А. Аутентификация. Теория и практика обеспечения безопасного доступа к информационным ресурсам. Учебное пособие для ВУЗов. М.: «Горячая линия-Телеком», 2009. 550 с.

5. Как управлять закрытыми ключами. Режим доступа: http://www.interface.ru/home.asp?artId=10476 (дата обращения 08.04.2018).

6. Щеглов К.А., Щеглов А.Ю. Принцип и методы контроля доступа к создаваемым файловым объектам / Щеглов К.А., Щеглов А.Ю// Вестник компьютерных и информационных технологий - 2012. - № 5. - С. 7-9.

7. Роберт И. В. Толковый словарь терминов понятийного аппарата информатизации образования. М.: ИИО РАО, 2009. 96 с.

8. Шангин В.Ф. Защита компьютерной сети. Эффективные методы и средства. М.: ДМК Пресс, 2014. 544 с.

Педагогика

УДК 378

кандидат педагогических наук, доцент Галеев Искандер Шамильевич

Федеральное государственное бюджетное образовательное учреждение высшего образования «Казанский

национальный исследовательский технический университет имени А. Н. Туполева-КАИ» (г. Казань);

старший преподаватель Минигалеева Альбина Зуфаровна

Федеральное государственное автономное образовательное учреждение высшего

профессионального образования «Казанский (Приволжский) федеральный университет»» (г. Казань);

старший преподаватель Усманова Елена Александровна

Федеральное государственное автономное образовательное учреждение высшего

профессионального образования «Казанский (Приволжский) федеральный университет»» (г. Казань)

ФИЗИЧЕСКАЯ КУЛЬТУРА СТУДЕНТОВ КАК ЗДОРОВЬЕСБЕРЕГАЮЩАЯ ТЕХНОЛОГИЯ СОЦИОКУЛЬТУРНОЙ ДЕЯТЕЛЬНОСТИ В ВУЗЕ

Аннотация. В статье обозначены противоречия образовательного процесса в вузе и социокультурной деятельности студентов спортивной направленности, детерминирующие низкий уровень физического развития будущих специалистов. Предложенная здоровьесберегающая технология социокультурной деятельности разрешает данные противоречия путем интеграции теоретических и практических аспектов физической культуры и позволяет студентам приобретать реальный опыт здорового образа жизни.

Ключевые слова: физическая культура, здоровьесберегающая технология, студент.

Annotation. In article the contradictions of educational process in higher éducation institution and sociocultural activity of students of sports orientation determining the low level of physical development of future experts are designated. The offered health saving technology of sociocultural activity resolves these contradictions by integration of theoretical and practical aspects of physical culture and allows students to gain real experience of a healthy lifestyle.

Keywords: physical culture, health saving technology, student.

Введение. Вот уже на протяжении нескольких десятков тысячелетий физическая культура и спорт являются не только обязательными компонентами социокультурной деятельности, но и одним из важнейших условий существования человечества, вынужденного, вследствие развития цивилизации, компенсировать недостаток своей двигательной активности. В те или иные исторические периоды этим компонентам уделялось различное внимание, от идеологии в Древней Спарте, до безразличия в Средние века и Новое время. Примечательно, что в наши дни физическая культура и спорт вновь обрели статус значимых явлений в развитии человека и заняли свое место в учебно-воспитательном процессе на всех этапах образовательной системы.

Изложение основного материала статьи. На сегодняшний день уже все Федеральные государственные образовательные стандарты предусматривают обязательную физическую подготовку, призванную сформировать комплекс знаний, умений и навыков обучаемых в данной предметной области, а также овладеть современными технологиями сохранения и укрепления здоровья. В 2010 году в общеобразовательной школе приказом Минобрнауки России был введен третий обязательный еженедельный час физической культуры, что свидетельствует достаточной озабоченности данного ведомства вопросами физического здоровья и развития школьников.

В рамках высшей профессиональной школы эта тенденция также прослеживается, где физическая культура, вне зависимости от направления подготовки, выступает одним из базовых циклов профессиональной подготовки студентов, направленных на овладение соответствующими общекультурными компетенциями. Однако если для программ бакалавриата количество часов физической подготовки студентов четко зафиксировано и составляет 400 часов, то в магистратуре данная дисциплина носит факультативный характер. Тем не менее, можно утверждать, что система профессиональной подготовки студентов сегодня обладает достаточными ресурсами для осуществления физического развития будущих специалистов. К таким ресурсам, прежде всего, относятся кадровое, материально-техническое, методическое и другие виды обеспечения физической подготовки студентов, выражающиеся в различных компонентах учебно-воспитательного процесса в вузе.

В тоже время наряду с использованием данных ресурсов и использованием потенциала образовательного процесса в целом, значительная роль в физическом становлении и укреплении здоровья студентов отводится их социокультурной деятельности. В отличие от школьника, студент обладает существенно большей социальной активностью, коммуникативностью, самостоятельностью и т.д., что позволяет ему более эффективно решать задачи приобщения к физической культуре и спорту внутри своего социокультурного пространства.

На наш взгляд сущность социокультурной деятельности в спорте довольно четко подмечена Хурамшиной А.З., Шашкиным Н.Г. и Сайфуллиным И.И., которые полагают, что она представляет собой системно организованный и общественно обусловленный социальными институтами целенаправленный процесс интеграции и активного взаимодействия человека в социуме как социокультурного субъекта спортивной деятельности с целью гуманистического присвоения личностью материальных и духовных ценностей спортивной культуры общества [6]. И в этом смысле социокультурная деятельность спортивного направления, по сути, близка образовательному процессу, имеющему в качестве своей цели развитие человека.

Но, несмотря на значимость социокультурной деятельности в аспекте физического развития человека, многие вопросы соотношения, взаимообусловленности и взаимосвязи данных понятий пока остаются открытыми. Физическая культура и спорт, как уже было сказано выше, являются сегодня компонентами общеобразовательной и профессиональной подготовки и включены в структуру учебно-воспитательного процесса. Данные явления имеют место и в социокультурной деятельности, реализуясь в виде любительских занятий различными видами спорта в групповой или индивидуальной форме. Более того, физическая культура и спорт многими известными учеными прямо и однозначно относятся к социокультурной сфере. Так, например, видный ученый в области социально-культурной и культурно-досуговой деятельности

i Надоели баннеры? Вы всегда можете отключить рекламу.