ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ В ОБРАЗОВАТЕЛЬНОЙ ДЕЯТЕЛЬНОСТИ
УДК 004.056:378 ББК 73.06:74.58
Ю. М. Брумштейн, А. А. Бондарев
СИСТЕМНЫЙ АНАЛИЗ ВОПРОСОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ВУЗОВСКИХ САЙТОВ1
Yu. M. Brumshteyn, A. А. Bondarev
SYSTEM ANALYSIS OF INFORMATION SECURITY QUESTIONS FOR UNIVERSITY SITES
Показана роль вузовских сайтов в информационном обеспечении различных направлений их деятельности, включая учебную и научную. С позиций информационной безопасности дана общая характеристика условий и технологий эксплуатации вузовских сайтов, включая информационное наполнение сайтов; использование аппаратных и программных средств, каналов связи. Предложена двухуровневая классификация функций вузовских сайтов. Охарактеризованы причины и основные источники угроз информационной безопасности для вузовских сайтов. Подробно рассмотрена структура внутри- и вневузовских угроз информационной безопасности для вузовских сайтов; методы профилактики и защиты от этих угроз; возможные сочетания различных методов. Рассмотрены вопросы мотивации хакерских атак на вузовские сайты, необходимые уровни квалификации лиц; осуществляющих такие атаки; методы реализации атак. Проанализированы возможности и ограничения некоторых программных средств, позволяющих обеспечить автоматический и (или) ручной мониторинг информационной безопасности вузовских сайтов.
Ключевые слова: информационная безопасность, вуз, сайт, уязвимости, источники угроз, структура угроз, классификация, хакерские атаки, мотивация, методы реализации.
The role of university sites in information support of various directions of their activity including educational and scientific is shown. From the positions of information security the general characteristic of service conditions for university sites, including information filling of sites, usage of equipment and software and communication channels is given. The two-level classification of university sites functions is offered. The reasons and the main sources of information security threats for university sites are characterized. The structure of intra- and extra university information security threats for university sites, the methods of prevention and protection against them, the possible combinations of various methods are considered in detail. The questions of motivation of hacker attacks to university sites, the necessary skill levels of people carrying out such attacks, the methods of attacks realization are also studied. The opportunities and restrictions of some software, allowing providing automatic and/or manual monitoring of information security of university sites are analyzed.
Key words: information security, university, site, vulnerabilities, sources of threats, structure of threats, classification, hacker attacks, motivation, realization methods.
Введение
В деятельности вузов России использование собственных Интернет-сайтов играет важнейшую роль. Обеспечение информационной безопасности (ИБ) вузовских сайтов (ВС) - часть уси-
1 Исследование выполнено при финансовой поддержке РФФИ. Г рант № 14-06-00279 «Разработка методов исследования и моделирования объемов/структуры интеллектуальных ресурсов в регионах России».
лий, направленных на поддержку ИБ вузов в целом [1, 2], а для крупных вузов - и поддержку ИБ регионов [3]. Факторы актуальности тематики обеспечения ИБ ВС: увеличение числа пользователей ВС (внутри- и вневузовских); рост объемов хранимой на ВС информации; увеличение зависимости учебного процесса, научных исследований, имиджа вуза от качества, полноты и доступности размещенных на ВС ресурсов; диверсификация видов угроз для ВС, исходящих из Интернет-пространства и локальных сетей вузов; значительное число хакерских атак на ВС и их ресурсы; рост внимания к вопросам ИБ «персональных данных» (ПД) в информационных системах (ИС) [4] и компьютерных сетях [5]. В существующих работах тематика ИБ ВС рассмотрена недостаточно полно, поэтому целью исследований был комплексный анализ ИБ ВС, включая причины и номенклатуру различных видов угроз, методы профилактики и борьбы с ними.
Общая характеристика условий эксплуатации и основных функций вузовских сайтов
Большинство ВС размещены на доменах 2-го уровня в зоне «т» (реже «org», «рф» и некоторых иных), причем имена некоторых сайтов не соответствуют ожидаемым аббревиатурам вузов. Типичные доменные имена (ДИ) университетов включают: транслитерированную одну-две буквы названия города; затем символ «s» или сочетание «st» (от state, т. е. государственный); для технических университетов - часто букву «t» - соответствует technical; в конце аббревиатуры, как правило, буква «и» (university). Например, сайт www.vstu.ru принадлежит Волгоградскому государственному техническому университету; у Воронежского госуниверситета (ГУ) -имя сайта www.vgu.ru; у Волгоградского ГУ - new.volsu.ru; у Владимирского ГУ - www.vlsu.ru. Для разовых посещений аббревиатуры ДИз не соответствующие ожидаемым, могут увеличивать время попадания на стартовые страницы сайтов. Смена ДИ для ВС крайне нежелательна из-за «выпадения» их страниц из результатов «выдач» поисковых систем (ПС) и, как следствие, потери целевой аудитории. Особенно критично это для различных рейтингов, использующих количественные показатели ВС в ПС - например, Webometrics. При «переходе» вузов на новые имена ВС с «прежних» сайтов обычно выполняется автоматическое «перенаправление» пользователей. Однако иногда ПС Интернета выдают ссылки на прошлые, уже «закрытые» ВС.
Существует специально выделенная доменная зона EDU.RU для регистрации в ней университетов, вузов, школ, лицеев и других организаций, имеющих лицензию на образовательную деятельность. При регистрации в этой зоне «не значимы» ведомственная принадлежность, форма собственности и иные признаки (http://cctld.ru/ru/docs/generic_edu.php). Полный список зарегистрированных ресурсов доступен публично, есть и выделенный WhoIs-сервис (http://www.informika.ru/projects/telecomm/edu/). Ведение и регулирование DNS зоны EDU.RU осуществляет Государственный научно-исследовательский институт информационных технологий и телекоммуникаций «Информика». Размещение ВС в домене EDU.RU подчёркивает образовательную направленность ресурса; не требует затрат на поддержку зарегистрированного ДИ -это снимает риски, связанные со снятием делегирования домена.
Как правило, ВС эксплуатируются вузами на собственных аппаратно-программных средствах в режиме круглосуточной доступности. Для обеспечения работы ВС, актуализации их информационного наполнения работают специальные подразделения. Для их сотрудников обслуживание ВС может быть основным видом деятельности или совмещаться с преподаванием, учебой в вузе и пр. При этом ИБ-сертификация даже ведущих специалистов, осуществляющих программно-техническую поддержку работы ВС, общероссийскими нормативными документами не предусмотрена. Показатели «качества» ВС оцениваются в рамках различных официальных (например, http://unirating.ru/txt.asp?rbr=57&txt=Rbr0Text9801&lng=0) и неофициальных рейтингов (внутрироссийских и зарубежных) - однако уровней ИБ ВС в таких рейтингах в явной форме нет. В «критериях эффективности» вузов Министерства образования и науки РФ (Минобрнауки) [6] требования к ИБ ВС также не отражены. Перечисленные факторы потенциально снижают уровень ИБ ВС.
В нормативных документах Минобрнауки указаны правила информационного наполнения ВС и декларативные требования к защите информации от уничтожения, модификации, блокирования и иных неправомерных действий, а также защите от копирования авторских материалов [7]. Это соответствует требованиям ст. 16 149-ФЗ от 27.06.2006 «Об информации, информационных технологиях и защите информации» (в ред. по 187-ФЗ от 02.07.2013). На ВС потенциально могут присутствовать и дополнительные виды информации, в т. ч. включенные в перечень сведений конфиденциального характера (http://base.garant.ru/10200083/). Нормативные документы Минобр-
науки по ВС предусматривают размещение сведений о персональном составе педагогических работников вуза с дополнительной информацией, составляющей ПД отдельных лиц. При этом требуется обеспечение соблюдения законодательства в области ПД - без указания минимальной категории и уровня защищенности для соответствующих ИС. Отметим, что отчеты о результатах самообследований в вузах, результаты/планы научной (научно-исследовательской) и инновационной деятельности потенциально могут составлять коммерческую тайну.
Законодательно за ВС не закреплён статус государственных ИС и не определены принципы отнесения этих ИС к категории государственных, региональных или муниципальных. Сошлемся на ст. 13 149-ФЗ «Об информации, информационных технологиях и о защите информации», Приказ Федеральной службы по техническому и экспортному контролю России от 11 февраля 2013 г. № 17. Отметим еще, что при обработке в государственных ИС информации, содержащей ПД, требования по защите применяются наряду с требованиями к защите ПД при их обработке в ИС ПД.
Доступ с ПЭВМ, размещенных в компьютерных классах и иных подразделениях вузов, к ВС и Интернету осуществляется в основном по проводным 100-Мбитным сетям. В настоящее время такой «внутривузовский» доступ обычно бесплатен и, как правило, не лимитирован по объему трафика. В компьютерных классах общего пользования для входа в локальную сеть на всех ПЭВМ используются общие «логин-пароль», что делает пользователей «анонимными». Эта же пара «логин-пароль» может быть применена и на ПЭВМ иных подразделений вузов, хотя обычно там используются индивидуальные «пары», обеспечивающие расширенные функциональные возможности. «Блокирование доступа» внутривузовских пользователей к сайтам с информацией, не связанной с учебным процессом и научными исследованиями, повышает «продуктивность» работы на ПЭВМ, увеличивает степень использования ресурсов, размещенных на ВС. Однако такое блокирование может исключать доступ и к нужной информации, т. е. влиять на ИБ пользователей. Отметим важность обеспечения «осведомленности пользователей по вопросам ИБ» [8] - причем не только в период учебы студентов, но и после окончания вуза.
В учебных корпусах вузов и общежитиях доступ в Интернет по беспроводным сетям с личных ноутбуков и иных устройств для преподавателей и студентов может быть платным или бесплатным (обычно это зависит и от финансового состояния вуза). Отметим, что для региональных вузов наличие точек бесплатного доступа (HotSpot-ов) вне корпусов/общежитий нехарактерно. Беспроводной доступ к Интернету может использоваться и для посещения ВС, работы с системами электронной почты (ЭП), включая внутривузовскую, и др.
Для целей настоящего исследования функции ВС разделим на две группы - информационные и коммуникационные. Информационные включают в себя обеспечение доступа к информации, связанной с деятельностью вуза в целом, его сотрудников, студентов, аспирантов. Обычно наиболее востребованные виды информации на ВС - это «новостная лента» и объявления; номенклатура и условия предоставления вузами образовательных услуг; расписания занятий студентов и преподавателей; сведения о подразделениях вузов и работающих в них сотрудниках; материалы учебно-методического характера; содержание статей, опубликованных в вузовских научных журналах, иногда - в сборниках материалов конференций; редко - состояние рассмотрения статей, поступивших в редакции научных журналов; авторефераты диссертаций, предполагаемых к защите или уже защищенных в советах, работающих на базе вузов (однако сведения по авторефератам на сайтах ВС обычно не структурированы по тематике). В связи с большими объемами информации, находящейся на ВС, важна эффективность «внутренних» средств поиска по сайтам. К сожалению, эти средства часто недостаточно эффективны, в т. ч. в отношении поиска архивной новостной информации, научных статей и авторефератов (в т. ч. по тематике и авторам).
В группе коммуникационных функций можно выделить три подгруппы. Первую условно назовем «один-к-одному» - она соответствует двустороннему общению с использованием вузовских систем ЭП [9], через «формы обратной связи» или «on-line анкеты» [10] на страницах ВС. Во вторую подгруппу включим средства общения типа «один-ко-многим» и «многие-к-одному». Эти средства также обычно соответствуют внутривузовской ЭП - например, в рамках работы преподавателей с группами студентов дистанционного обучения. Третья подгруппа -средства общения «многие-ко-многим» (многостороннее общение) - это различные форумы на ВС; дискуссионные «площадки», связанные с деятельностью вуза; папки для обмена информацией между членами студенческих групп; средства обмена информацией с другими вузами.
Анализ причин и структуры угроз информационной безопасности вузовских сайтов
Для целей проводимого исследования угрозы ИБ ВС могут классифицироваться различно: внутривузовские (внутренние) и внешние (вневузовские) [10]; умышленные и неумышленные (случайные); по целям атак на ВС; постоянно действующие, периодические и эпизодические; зависящие и не зависящие от действий (или бездействия) сотрудников вуза, занимающихся программно-технической поддержкой ВС, его информационным наполнением; связанные и не связанные с накоплением, хранением, обработкой ПД; по типам используемых уязвимостей программного обеспечения (ПО) и способам (методам) реализации угроз [10] для ВС; по величине потенциального ущерба [10] и пр. Приведем также список «потенциальных угроз» для серверов из [11]: «нестойкие комбинации имен и паролей пользователей» (в отношении их взлома); «уязвимые веб-приложения; уязвимые операционные системы (ОС); уязвимое серверное» ПО, СУБД, инструменты и библиотеки». Возможные «направленности» угроз ИБ, связанных с деятельностью ВС: вуз в целом; его подразделения; отдельные сотрудники; студенты; регионы; вневузовские организации и физические лица. Далее будем исходить из разделения угроз ИБ на «внутренние» и «внешние» [10], хотя оно иногда и условно. Отметим, что в [10] в отношении угроз для ИБ ПД выделено 8 категорий возможных «внутренних» нарушителей ИБ.
Внутривузовские угрозы ИБ для ВС разделим на следующие классы.
Угрозы инженерно-технического характера. (Й) Недостаточно высокая эксплуатационная надежность технических средств, обеспечивающих эксплуатацию ВС (серверы, коммуникационное оборудование, климатическое оборудование и пр.). Замена такого оборудования на более надежное может тормозиться нехваткой у вузов финансовых средств. ^2) Недостаточная мощность или количество серверов, обслуживающих ВС - с позиций пользователей это обычно приводит к «замедлению» работы с сайтами. Хотя скорость доступа к информации на ВС нормативными документами не регламентируется, но медленный доступ ухудшает продуктивность работы сайтов (в т. ч. из-за отказа посетителей от посещения ВС из-за длительного открытия страниц); отрицательно влияет на репутацию вузов - особенно в отношении ИКТ-направлений подготовки студентов и научных исследований. Замена или модернизация серверов и коммуникационного оборудования для ВС могут сдерживаться недостатком средств у вузов. ^3) Невысокая пропускная способность каналов связи ВС с Интернет-провайдерами (ИП) также может приводить к замедлению скорости доступа. Однако конкуренция между ИП заставляет их повышать надежность и скорость доступа к Интернету для вузов. Последние обеспечивают большие объемы трафика, и потому они для ИП достаточно «выгодные» клиенты. В настоящее время, как правило, вузы подключены к ИП по оптоволоконным линиям, которые практически не лимитируют скорость доступа. ^4) Нарушение работы каналов связи ВС с ИП для вневузов-ских пользователей обычно критично. Причина - вузы редко используют резервные каналы, работают с несколькими ИП или имеют «зеркала» ВС на внешних хостах. Отметим еще, что при наличии у вузов нескольких территориально обособленных корпусов или филиалов угрозу для ИБ могут представлять и каналы связи таких объектов с корпусом, где размещен сервер, поддерживающий ВС. ^5) Низкая емкость источников бесперебойного питания, не позволяющая поддерживать работу серверов и коммуникационного оборудования при продолжительных отключениях электроэнергии - они нередко превышают несколько часов. При этом резервные электрогенераторные установки в вузах обычно не используются. ^6) Неполнота отображения информации на страничках ВС при использовании посетителями «не полностью совместимых» Интернет-браузеров. ^7) Применение пользователями устаревших (необновленных) версий Интернет-браузеров с пониженными уровнями ИБ [12].
Угрозы программно-технического характера. ф1) Неэффективность систем антивирусной и антиспамовой защиты, контроля внешнего доступа к ВС по каналам связи с помощью файерволов; наличие «брешей» в ОС и системном ПО. Вероятность реализации таких угроз ИБ может быть снижена за счет автоматического обновления антивирусных баз, в т. ч. на ПЭВМ пользователей; оперативной установки обновлений к ОС и ПО, в т. ч. относящихся к ИБ. Отметим, однако, что «скорость реакции» разработчиков ОС и системного ПО на вновь появляющиеся угрозы ИБ может быть недостаточно высокой. Кроме того, при переходе на новые версии ПО разработчики через некоторое время прекращают поддержку своих прежних продуктов -даже в отношении критических угроз для ИБ. ^2) Использование на ВС ОС с «уязвимостями»
(в т. ч. ОС устаревших версий) - их замена на более свежие может сдерживаться недостатком у вуза финансовых средств; «недостаточностью» характеристик существующих аппаратных ресурсов для новых версий ОС или ПО; иногда - программной несовместимостью новых версий с прикладным ПО. Для определения типа и версии ОС на ВС, набора функционирующих сервисов, а также для некоторых типов системного ПО может осуществляться посылка извне вуза специально сформированных запросов и анализа полученных ответов. Для этой цели есть специальные «тестирующие» ПС [10], функциональность которых со временем увеличивается. Например, в отношении ОС такой подход основан на том, что «разные типы ОС по-разному реализуют требования стандартов RFC к стеку TCP/IP» [10]. В отношении доступных сервисов на хосте ВС возможен опрос TCP-портов [10]. (p3) Эксплуатация на ВС прикладного ПО с выявленными, но не устраненными по различным причинам «уязвимостями». Это касается, в частности, «покупного» ПО устаревших версий; заказного ПО, для которого в договорах поставки отсутствуют послегарантийные обязательства разработчиков по его модернизации для «парирования» вновь появляющихся угроз ИБ, и пр. На практике «уязвимости» выявляются даже в ПС, массовое внедрение которых в вузах осуществлялось на основе приказов Минобрнауки. (p4) Применение разработанных в вузе страниц ВС, имеющих уязвимости в отношении ИБ. Возможные меры профилактики (борьбы): ИБ-обучение начинающих разработчиков таких страниц; исключение использования на страницах ВС небезопасного ПО; внутренний и внешний ИБ-аудит страниц ВС с использованием коммерческого или бесплатного ПО [12].
Среди автоматизированных средств анализа защищенности и обнаружения уязвимостей выделим «Сетевой сканер безопасности XSpider 7.8» (http://www.ptsecurity.ru/xs7/). В настоящее время это единственный «серийный» сертифицированный сканер, соответствующий 4-му уровню контроля отсутствия НДВ (недекларированные возможности) и ТУ (технические условия). Этот сканер может использоваться для анализа защищенности информации в автоматизированных системах до класса защищенности «1Г» включительно и в ИС ПД - до 1 класса. Отметим, что анализ веб-приложений не является основной задачей данного сканера. Среди сканеров, ориентированных на веб-приложения, отметим Acunetix Web Vulnerability Scanner (WVS, http://www.acunetix.com/vulnerability-scanner/). Практика использования указанного ПО показала универсальность XSpider при анализе общего состояния защищенности ИС и обеспечение более глубокого анализа ВС при использовании WVS. Оба сканера являются коммерческими. При анализе (контроле) объектов они используют метод «чёрного ящика».
Угрозы криминального, вандального и физического характера. (с1) Похищение или разрушение серверов ВС - встречается редко, т. к. они обычно находятся в помещениях с ограниченной доступностью, контролируемых сигнализацией и (или) системами видеонаблюдения. Кроме того, серверы обычно сложно использовать в качестве ПЭВМ - это снижает мотивацию к их похищению. (с2) Повреждение линий связи при проведении работ на территориях вузов и вне их - последнее вузы не могут контролировать. (с3) Некоторые информационные и юридические угрозы (см. ниже) также можно отнести к криминальным.
Угрозы организационного характера. (о1) Недостатки в документах, которые регламентируют должностные обязанности сотрудников, обеспечивающих информационное наполнение и (или) эксплуатацию ВС. (о2) Несовершенство существующих механизмов (технологий) отбора информации для ВС и ее размещения на сайтах. Следствиями могут быть: запаздывание появления оперативной информации на ВС; «непопадание» на сайты важной информации; чрезмерно большой объем информации в лентах новостей; попадание на ВС, включая и их архивы, неполной и неточной информации; недостаточность или чрезмерное количество графики на страницах ВС. (о3) Для иноязычных страниц ВС дополнительные задержки размещения информации могут быть связаны с процессами перевода текстов на иностранные языки. (о4) Неэффективность контроля за использованием ПЭВМ студентами потенциально может приводить к попаданию на них ПО, представляющего угрозу для ИБ ВС.
Кадровые угрозы. (к1) Недостаточно высокая квалификация лиц, выполняющих такие работы, как общая программно-техническая поддержка сайтов; создание страниц сайтов, включая их дизайн; проведение аудита ИБ ВС; оперативный и (или) ретроспективный контроль «атак» на ВС; подготовка русско- и иноязычных материалов для размещения на ВС и пр. (к2) Высокая текучесть персонала, осуществляющего разработки страниц ВС и их информационное наполне-
ние - новые сотрудники могут плохо знать то, что уже было сделано до них. (к3) Отсутствие «выделенных» специалистов по обеспечению ИБ ВС или перегрузка «другой работой» специа-листов-совместителей, занимающихся ИБ.
Внутренние информационные угрозы. (i1) Неэффективность мер по «продвижению» ВС в Интернет-пространстве, в т. ч. из-за нерационального выбора ключевых слов при регистрации сайтов в ПС. Отметим, что при наличии иноязычных версий сайтов системные администраторы часто не проявляют должной активности по регистрации ВС в зарубежных ПС. (i2) Недостаточный контроль информации, переданной для размещения на ВС, в отношении ее полноты, точности, актуальности, отсутствия орфографических и синтаксических ошибок, стилистических недочетов. (i3) Отсутствие иноязычных (минимально - англоязычных) версий ВС или недостаточные объемы размещаемой на них информации снижают известность вузов и их сотрудников в Интернет-пространстве, затрудняют информационные контакты с зарубежными вузами и физическими лицами. (i4) Поступление в службы поддержки ВС по ЭП писем, отправленных с «анонимных мэйлеров», в которых говорится о заранее планируемых атаках на сайты, угрозах проведения террористических актов в вузах и пр., может создавать «моральное давление» на сотрудников вузов, особенно обеспечивающих информационную и (или) физическую безопасность. (i5) При недостаточных мерах модерации форумов ВС появление на них тенденциозной и фальсифицированной информации, негативно влияющей на имидж вуза [13], его подразделений, отдельных сотрудников, студентов. Отметим, что при «постмодерации» ВС эта информация удаляется обычно лишь с некоторым запаздыванием. (i6) Неинтуитивный или слишком сложный интерфейс ВС, затрудняющий доступ «эпизодических» посетителей к информации. (i7) Избыточное количество графики на страницах ВС может не только замедлять их открытие, но и отвлекать внимание от важной текстовой информации. (i8) Недостаточная востребованность отдельных видов ресурсов или информационных объектов на ВС может быть связана с неудобным доступом к ним, в т. ч. из-за неэффективности средств поиска информации по сайту, нерациональной структуризации данных большого объема и пр. (i9) Искажение (обычно -неумышленное) ПД сотрудников вузов, их должностей, сведений о научных публикациях, их цитируемости и пр., а также устаревшая информация по двум последним пунктам. (i10) Для текстов, уже размещенных на ВС - орфографические и грамматические ошибки; неудачные, слишком громоздкие или просто трудные для восприятия стилистические обороты. (i11) Ошибки/недочеты (включая стилистические) при переводе русскоязычных материалов для иноязычных страниц ВС. Отметим, что большинство «программ-переводчиков» позволяют получить лишь «подстрочник», нуждающийся затем в значительной ручной корректировке текста. (i12) Использование размещаемых на ВС общедоступных графических объектов в качестве «контейнеров» для передачи (распространения) информации недопустимого характера - на основе применения стеганографических подходов.
Угрозы юридического характера. К таким угрозам для вузов, связанных с эксплуатацией ВС, отнесем следующие. (j1) Размещение на ВС ошибочной (неверной) информации, по которой затем к вузам могут быть предъявлены иски - в т. ч. о «защите чести и достоинства», «возмещении морального вреда» и пр. (j2) Несанкционированное заимствование и воспроизведение на ВС материалов с других сайтов без указания первичного источника (ПИ) - особенно если на ПИ есть «декларация авторских прав» (АП) с использованием значка ©. (j3) Структура ВС, используемые на них «дизайнерские находки», алгоритмы обработки информации по действующему российскому законодательству не являются объектами АП. Однако коды (например, на языке PHP, Java-скрипты и пр.) объектами АП быть могут, причем независимо от их «достоинств», а также наличия свидетельств о регистрации «программ для ЭВМ» в Роспатенте. Однако в юридическом отношении без такой регистрации доказательство «приоритета используемого кода» для страниц ВС затруднено. Отметим, что унификации внешнего вида стартовых и иных страниц ВС пока практически не происходит. (j4) Несанкционированное размещение студентами и (или) преподавателями на ВС «взломанных» дистрибутивов ПС, книг и иных материалов в электронной форме, распространяемых законными правообладателями на коммерческой основе. Возможные меры борьбы: разъяснительная работа; ограничение размеров файлов, которые могут записываться на ВС несистемными администраторами; периодический контроль содержимого ВС - автоматизированный [12] и «ручной».
Внешние (вневузовские) угрозы ИБ для вузовских сайтов.
Угрозы вирусных атак на ВС связаны с перманентным наличием в Интернете вирусов, включая принципиально новые виды и «модификации» уже существующих. При этом эвристические анализаторы антивирусных программ нередко допускают ошибки 1-го и 2-го рода, а «скорость реакции» разработчиков антивирусных средств на новые/модифицированные вирусы может составлять не только часы, но и сутки. Сокращение этих сроков потенциально может обеспечиваться установкой модулей автоматической пересылки разработчикам «подозрительных файлов» антивирусным ПО, инсталлированными на ЭВМ. Однако многие пользователи или системные администраторы при установке антивирусного ПО эту опцию отключают - чтобы исключить «неконтролируемые утечки информации с ЭВМ».
Спам, поступающий на служебные адреса ЭП подразделений вузов и сотрудников (в т. ч. через «формы обратной связи» на страничках ВС, в системах дистанционного обучения и пр.), может блокировать или серьезно затруднять их работу. Фильтрация спама на уровне администрирования ВС или систем ЭП в вузах осуществляется не всегда - в т. ч. для исключения вариантов ошибочной диагностики поступающей информации как спама. Отметим, что если для рассылки спама используются «анонимные мэйлеры» [2] с коротким временем «жизни» адреса ЭП, то ведение «черных списков» таких исходящих адресов может быть неэффективным.
Большая часть информации на сайтах ВС (в т. ч. и ПД сотрудников вузов) - открытая, поэтому номенклатура объектов, к которым могут осуществляться попытки несанкционированного доступа (НСД) весьма ограничена. Ими могут быть, в частности, следующие. (п1) Официально не опубликованные перспективные планы работы вуза и его подразделений, включая инновации. (п2) Внутривузовская служебная информация, предназначенная для подготовки к заседаниям ученых советов, некоторым совещаниям и пр. (п3) Базы данных с вопросами и верными ответами к тестовым заданиям (ТЗ) в компьютеризованных системах контроля знаний студентов. Попытки НСД к информации по пунктам п1, п2 нехарактерны, т. к. она может представлять ценность главным образом для других вузов. В отношении пункта п3 ИКТ-квалификация лиц, обучающихся в вузах, обычно недостаточно высока для самостоятельного осуществления ими НСД в личных целях. «Утечки» информации, «дискредитирующие» совокупности ТЗ, чаще связаны с анализом/систематизацией результатов пройденных студентами тестирований. Возможные меры борьбы: достаточно большие базы ТЗ с альтернативными возможностями выбора заданий из них при тестировании; периодическая корректировка состава и формулировок вопросов ТЗ, ответов к ним; расширение доли ТЗ с формулировками вопросов, в которые подставляются сгенерированные случайные числа, а ответы вычисляются и вводятся [14].
Внешней угрозой ИБ для ВС является также их попадание в «черные списки» различных организаций - к таким сайтам затем блокируется или не рекомендуется доступ и (или) письма по ЭП, приходящие с них, классифицируются как спам. Возможные причины: рассылка через ВС спама, в т. ч. с помощью «спам-закладок»; наличие на сайтах недостоверной и провокационной информации; размещение на ВС нелицензионных копий («взломанных дистрибутивов») ПО, распространяемых на коммерческой основе текстов книг, аудиовизуальных произведений и пр.; обнаружение на ВС материалов экстремистского характера, нарушающих общественную нравственность, и т. п. Подчеркнем, что по действующему законодательству только последние причины могут быть основанием для занесения ВС в «черный список» на всероссийском уровне.
Мотивация и реализация хакерских атак на вузовские сайты
Мотивация хакерских атак, направленных на взлом ВС (или их отдельных страниц), может определяться следующими факторами: демонстрация собственной «хакерской квалификации» -не столько для себя, сколько для других лиц [2]; желание «отомстить» вузу, отдельным кафедрам или преподавателям за отчисление по неуспеваемости или иным причинам, недостаточно высокие оценки, «неполучение» грантов и пр. Подчеркнем, что такие хакерские действия характерны для отдельных лиц (реже - их неформальных групп), но не юридических лиц. Большинство «обиженных» при отсутствии оснований для официального обращения в судебные инстанции выбирают другие пути, в т. ч. размещение негативных отзывов на вневузовских сайтах (чаще всего под псевдонимами). Для вузов удаление таких отзывов обычно затруднено [3].
Хакерские атаки на ВС могут быть как индивидуальными, так и коллективными (групповыми). При этом координация действий отдельных хакеров возможна с использованием ЭП, «социальных сетей». «Группы» в таких сетях, а также специализированные сайты могут использоваться для обмена информацией о выявившихся уязвимостях ОС и системного ПО, методах/технологиях и ПО для организации атак на сайты и пр. Возможность оперативного распространения такой информации через Интернет объективно снижает ИБ сайтов, в т. ч. и ВС.
Варианты результатов хакерских атак на ВС: (а) исключение доступа к ним (сайт «не открывается); (б) замена информации на стартовой странице сайта (реже - на других страницах) на некоторое объявление (декларацию) - это так называемый «дефейс»; (в) селективная корректировка (замена) отдельных элементов информации на страницах сайта. Реализация варианта а (в т. ч. путем организации DDOS-атак) не позволяет «подтвердить авторство» группы или физического лица, успешно осуществившего атаку, что снижает мотивацию к атакам. Для варианта в время реакции системных администраторов ВС нередко достаточно большое, т. к. осмысленная «подмена информации» может обнаруживаться не сразу.
Целью хакерских атак на ВС может быть также размещение на страницах сайта «скрытых спам-ссылок» (ССС). Причина - большой объем трафика ВС делает «работу» таких ССС на общем фоне малозаметной - по крайней мере в дневное время. Именно поэтому такие ССС не всегда сразу обнаруживаются (по крайней мере - если не применяются специализированные средства их контроля [10, 12]). Возможные последствия: рост оплаты услуг Интернет-провайдера; замедление работы со страницами ВС; попадание ВС в «черные списки» и пр. Между хакерами происходит оперативный обмен информацией об уязвимых сайтах, поэтому на ВС может одновременно оказаться несколько разных ССС и других объектов, представляющих угрозу ИБ.
Учёт атак на серверы ВС возможен с применением ПО для управления инцидентами, helpdesk-систем, специализированных SIEM- и OSSIM-систем. При этом 1Р-адреса источников атак обычно недостаточно информативны - даже если они повторяются. Отметим, что у нарушителей ИБ ВС помимо основных целей (НСД - в т. ч. за счет «подбора логинов-паролей», подмена или уничтожение информации, блокирование доступа к ней) есть и побочная - «ликвидация следов реализации угрозы», в т. ч. с «удалением соответствующих записей из всех возможных журналов аудита, в том числе записей о фактах сбора информации» [10].
Помимо использования «внутривузовского» контроля содержимого ВС отметим также следующие возможности. (у1) Регистрации ВС на «Яндекс.Вебмастере» (http://webmaster.yandex.ru/) для выполнения автоматических проверок наиболее востребованных страниц сайта. При этом системные администраторы ВС будут получать сообщения о появившемся на ВС вредоносном коде, подозрительной активности (XSS, спам в форумах, наличие на страницах сайта ССС) и пр. (у2) Применение общедоступных средств «контроля уязвимостей» сайтов, работающих в режиме «ручного запуска». Как пример «подборки» таких средств укажем [6]. Однако доступ к таким средствам (а также форумам, где обсуждаются вопросы ИБ) есть и у специалистов по ИБ ВС, и у хакеров. Это позволяет им оперативно выявлять «слабые места» на ВС, обмениваться такой информацией друг с другом, обнаруживать недостаточную функциональность «ПО-ревизоров» и пр. Отметим, что есть и малоизвестные иноязычные ресурсы ПО-ревизоров, в т. ч. со специальными «спектрами» обнаруживаемых угроз ИБ.
Выводы
1. Поддержка ИБ ВС должна быть не только важным направлением деятельности соответствующих служб вузов, но и предметом постоянного внимания их руководства.
2. Комплексное обеспечение ИБ ВС требует значительных трудозатрат, расходования финансовых ресурсов, поэтому такая работа должна заранее планироваться и последовательно реализовываться.
3. Представляется целесообразной периодическая аттестация ключевых специалистов, отвечающих за ИБ ВС, например - на уровне Минобрнауки.
4. Целесообразным может быть также проведение для таких специалистов мероприятий по повышению их ИБ-квалификации, возможно - централизованная рассылка по ЭП инструктивных и методических материалов, оперативной информации о вновь выявленных уязвимостях ОС и ПС.
5. Для Минобрнауки может быть полезной организация централизованного аудита ИБ ВС -в т. ч. с привлечением на внештатной основе квалифицированных специалистов из вузов, научно-исследовательских организаций. Такой аудит может осуществляться по заданию Минобрнауки и софтверными фирмами, осуществляющими разработку общесистемного и (или) специализированного ПО, направленного на поддержку ИБ.
СПИСОК ЛИТЕРАТУРЫ
1. Волков А. В. Обеспечение ИБ в вузах / А. В. Волков // Информационная безопасность. 2006. № 3, 4. C. 22-23. URL: http://www.itsec.ru/articles2/Oborandteh/obespechenie_ib_v_vuzah (дата обращения: 30.11.2013).
2. Проталинский О. М. Информационная безопасность вуза / О. М. Проталинский, И. М. Ажмуха-медов // Вестн. Астрахан. гос. техн. ун-та. Сер.: Управление, вычислительная техника и информатика. 2009. № 1. С. 18-23.
3. Брумштейн Ю. М. Комплексный анализ факторов информационной и интеллектуальной безопасности регионов / Ю. М. Брумштейн, А. Н. Подгорный // Информационная безопасность регионов. 2011. № 1 (8). С. 8-14.
4. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка). Утверждена зам. директора Федеральной службы по техническому и экспортному контролю 15.02.2008. URL: http://iso27000.ru/zakonodatelstvo/normativnye-dokumenty-fstek-rossii/model2008.rar/view (дата обращения: 01.12.2013).
5. Девянин П. Н. Модели безопасности компьютерных систем / П. Н. Девянин. М.: Изд. центр «Академия», 2005. 144 с.
6. Примерный перечень критериев общероссийской системы оценки эффективности деятельности высших учебных заведений. Утвержден зам. Министра образования и науки РФ А. А. Климовым 19 июня 2012 г. URL: http://www.umoman.ru/content/File/documents/chrlist190612.pdf (дата обращения: 23.12.2012).
7. Об утверждении Правил размещения в сети Интернет и обновления информации об образовательном учреждении. Постановление Правительства РФ от 10 июля 2013 г. № 582. URL:
http://минобрнауки.рф/%D0%B4%D0%BE%D0%BA%D1%83%D0%BC%D0%B5%D0%BD%D1%82%D1%8 B/3538/%D 1 %84%D0%B0%D0%B9%D0%BB/2361/13.07.10-%D0%9F .582.pdf (дата обращения: 30.11.2013).
8. Писаренко И. Повышение осведомленности пользователей по вопросам ИБ / И. Писаренко // Информационная безопасность. 2013. № 1. С. 49-51. URL: http://www.itsec.ru/articles2/control/povyshenie-osvedomlennosti-polzovateley-po-voprosam-ib.
9. Брумштейн Ю. М. Информационная безопасность использования электронных почтовых ящиков / Ю. М. Брумштейн, Ж. Т. Балбаев, С. В. Пригаро // Информационная безопасность регионов. 2012. № 1 (10). С. 13-20.
10. Как спамеры ищут своих жертв // Информационная безопасность. 2006. № 3-4. С. 20. URL: http://www.itsec.ru/articles2/focus/kak_cpamery_ishyut_svoih_zhertv (дата обращения: 30.11.2013).
11. Фрэзер Г. Безопасность сайта. URL: http://help.yandex.ru/webmaster/recommendations/site-
security.xml. (дата обращения: 30.11.2013).
12. Информационная безопасность (практика информационной безопасности). URL: http://dorlov. blogspot.ru/p/blog-page_3151.html. (дата обращения: 30.11.2013).
13. Брумштейн Ю. М. Использование Интернет-технологий в управлении научным имиджем регионального вуза / Ю. М. Брумштейн, А. А. Бондарев, И. А. Дюдиков // Прикаспийский журнал: управление и высокие технологии. 2013. № 2. C. 90-99.
14. Брумштейн Ю. М. Анализ возможностей и технологий применения тестовых заданий с числовыми ответами / Ю. М. Брумштейн, М. В. Иванова, Н. В. Хлопкова // Изв. Волгоград. гос. техн. ун-та. Сер.: Актуальные проблемы управления, вычислительной техники и информатики в технических системах: межвуз. сб. науч. ст. 2012. № 4 (91). С. 92-98.
REFERENCES
1. Volkov A. V. Obespechenie IB v vuzakh [Maintenance of information security at the universities]. In-formatsionnaia bezopasnost', 2006, no. 3, 4, pp. 22-23. Available at: http://www.itsec.ru/articles2/Oborandteh/ obespechenie_ib_v_vuzah (accessed: 30.11.2013).
2. Protalinskii O. M., Azhmukhamedov I. M. Informatsionnaia bezopasnost' vuza [Information security at the universities]. Vestnik Astrakhanskogo gosudarstvennogo tekhnicheskogo universiteta. Seriia: Upravlenie, vychislitel'naia tekhnika i informatika, 2009, no. 1, pp. 18-23.
3. Brumshtein Iu. M., Podgornyi A. N. Kompleksnyi analiz faktorov informatsionnoi i intellektual'noi be-zopasnosti regionov [Complex analysis of the factors of information and intellectual safety of the regions]. Informatsionnaia bezopasnost’ regionov, 2011, no. 1 (8), pp. 8-14.
4. Bazovaia model’ ugroz bezopasnosti personal’nykh dannykh pri ikh obrabotke v informatsionnykh siste-makh personal’nykh dannykh (vypiska) [Basic model of threats for personal data safety while their processing in information systems of personal data (review)]. Utverzhdena zamestitelem direktora Federal'noi sluzhby po tekhnicheskomu i eksportnomu kontroliu 15.02.2008. Available at: http://iso27000.ru/zakonodatelstvo/ normativnye-dokumenty-fstek-rossii/model2008.rar/view (accessed: 01.12.2013).
5. Devianin P. N. Modeli bezopasnosti komp’iuternykh sistem [Models of computer systems security]. Moscow, Izdatel'skii tsentr «Akademiia», 2005. 144 p.
6. Primernyi perechen’ kriteriev obshcherossiiskoi sistemy otsenki effektivnosti deiatel’nosti vysshikh uchebnykh zavedenii [The approximate list of criteria of all-Russian system of evaluation of activity performance at higher educational establishments]. Utverzhden zamestitelem Ministra obrazovaniia i nauki RF A. A. Kli-movym 19 iiunia 2012 g. Available at: http://www.umoman.ru/content/File/documents/chrlist190612.pdf. (accessed: 23.12.2012).
7. Ob utverzhdenii Pravil razmeshcheniia v seti Internet i obnovleniia informatsii ob obrazovatel’nom uchrezhdenii. Postanovlenie Pravitel’stva RF ot 10 iiulia 2013 g. № 582 [On statement of the rules of allocation and updating of the information about the universities in the Internet]. Available at: http://minobrnauki.rf/ %D0%B4%D0%BE%D0%BA%D 1 %83%D0%BC%D0%B5%D0%BD%D 1 %82%D 1 %8B/3538/%D1%84%D0 %B0%D0%B9%D0%BB/2361/13.07.10-%D0%9F.582.pdf (accessed: 30.11.2013).
8. Pisarenko I. Povyshenie osvedomlennosti pol'zovatelei po voprosam IS [Improvement of the knowledge of the users about information security]. Informatsionnaia bezopasnost’, 2013, no. 1, pp. 49-51. Available at: http://www.itsec.ru/articles2/control/povyshenie-osvedomlennosti-polzovateley-po-voprosam-ib.
9. Brumshtein Iu. M., Balbaev Zh. T., Prigaro S. V. Informatsionnaia bezopasnost' ispol'zovaniia elektron-nykh pochtovykh iashchikov [Information safety of the use of e-mail boxes]. Informatsionnaia bezopasnost’ re-gionov, 2012, no. 1 (10), pp. 13-20.
10. Kak spamery ishchut svoikh zhertv [How spammers look for their victims]. Informatsionnaia bezopasnost', 2006, no. 3-4, p. 20. Available at: http://www.itsec.ru/articles2/focus/kak_cpamery_ishyut_svoih_zhertv (accessed: 30.11.2013).
11. Frezer G. Bezopasnost’ saita [Site safety]. Available at: http://help.yandex.ru/webmaster/
recommendations/site-security.xml. (accessed: 30.11.2013).
12. Informatsionnaia bezopasnost’ (praktika informatsionnoi bezopasnosti) [Information security (practice of information security)]. Available at: http://dorlov.blogspot.ru/p/blog-page_3151.html. (accessed: 30.11.2013).
13. Brumshtein Iu. M., Bondarev A. A., Diudikov I. A. Ispol'zovanie Internet-tekhnologii v upravlenii nauchnym imidzhem regional'nogo vuza [Use of Internet technologies while managing the scientific image of the regional university]. Prikaspiiskii zhurnal: upravlenie i vysokie tekhnologii, 2013, no. 2, pp. 90-99.
14. Brumshtein Iu. M., Ivanova M. V., Khlopkova N. V. Analiz vozmozhnostei i tekhnologii primeneniia testovykh zadanii s chislovymi otvetami [Analysis of the possibilities and technologies of application of test tasks with numerical answers]. Izvestiia Volgogradskogo gosudarstvennogo tekhnicheskogo universiteta. Seriia: Aktu-al’nye problemy upravleniia, vychislitel’noi tekhniki i informatiki v tekhnicheskikh sistemakh. Mezhvuzovskii sbornik nauchnykh statei, 2012, no. 4 (91), pp. 92-98.
Статья поступила в редакцию 16.12.2013
ИНФОРМАЦИЯ ОБ АВТОРАХ
Брумштейн Юрий Моисеевич - Астраханский государственный университет; канд. техн. наук, доцент кафедры «Управление качеством»; [email protected].
Brumshtein Yuriy Moiseevich - Astrakhan State University; Candidate of Technical Sciences; Assistant Professor of the Department "Quality Control"; [email protected].
Бондарев Андрей Андреевич — Астраханский государственный университет; начальник отдела Интернет-технологий; [email protected].
Bondarev Andrey Andreevich — Astrakhan State University; Head of the Department of Internet Technologies; [email protected].