INLINE Technologies
Eng

Публикации

«Connect!», № 9, 2014

Виктор Котов: «Как сделать информационные технологии в школе защищенными»

Школа (англ. school, греч. σχολή) — тюрьма для личинок человека.

Луркоморье

Виктор Котов

Некогда, когда Windows еще был всего лишь оболочкой над MS DOS, в наших школах начали повсеместно внедрять информатику. На таких уроках, за неимением сокровенных знаний и даже компьютеров, преподаватель рисовал мелом на доске иконки Windows, а ученики старательно записывали в тетрадях, на что надо нажать, чтобы запустить то или иное приложение. Постепенно и не торопясь, школа преобразуется, и сейчас практически у каждого ученика с самого первого класса есть компьютерная техника, а на уроках даже по самым обычным предметам все чаще используется электронная интерактивная доска. О входе и выходе ребенка из школы извещает SMS, и в столовой можно расплатиться специальной карточкой, которая пополняется и контролируется родителями.

В конце концов информационные технологии, проникая во все щели школьного образования, сами по себе становятся не только средством достижения цели, но незаметно – и самой целью. Используя для выполнения заданий компьютерную технику, ученик в первую очередь получает навыки работы с этой техникой. Даже запрещая пользоваться на уроке смартфонами, калькуляторами, планшетами, учителя неосознанно, но крайне эффективно прививают детям навыки виртуозного владения этими устройствами. Без Интернета и смартфона нынешнему поколению прожить будет трудно – без этого человек просто выпадает из контекста современного общества (как, впрочем, выпадают и те, кто помнит падежи и пытается писать и говорить грамотно, – скоро не останется людей, способных понимать их).

Но новые времена несут и новые риски. Применительно к нашей теме – это риски информационной безопасности (ИБ). Раньше, когда мальчики на уроках труда старательно строгали табуретки, а девочки – так же старательно строгали салатики, безопасность была простой и понятной. Сейчас все не так просто: ИБ так же соотносится с производственной безопасностью, как компьютер с утюгом. Обеспечение ИБ (занудное, но необходимое словосочетание) стало предметом высоких технологий, специальных знаний и дорогих средств. И отказаться от этого словосочетания нельзя не только из-за реальных рисков, но и вследствие необходимости соблюдать требования российского законодательства.

Законодательство в области обеспечения ИБ сейчас достаточно жесткое и обязывает применять во многих случаях дорогостоящие меры защиты информации, особенно если речь идет о персональных данных. Дорогостоящие – потому, что необходимо использовать сертифицированные средства защиты информации, а работы следует проводить во многих случаях силами лицензированных компаний. Кроме этого, информационные технологии в школе имеют ряд характерных особенностей, которые влияют на процессы обеспечения ИБ. В их число входят:

  • Строгое соблюдение требований законодательства. В каких-то случаях, используя неоднозначность формулировок, можно попытаться сэкономить на обязательных мерах защиты, но не здесь. Школа – это государственная вотчина, а дети – святое.
  • Множественная территориально распределенная структура. Невозможно представить себе более распространенную и разноплановую структуру, чем сеть образовательных заведений.
  • Крайне незащищенная и уязвимая среда в школах: обычно не слишком искушенные в тонкостях информационных технологий преподаватели (это не в укор, это констатация того, что люди одной профессии не должны быть крутыми специалистами в другой), чрезмерно любопытные и продвинутые школьники, неоднородность применяемых технических и программных систем.
  • Открытость технологий. Школу (как, скажем, банк) нельзя закрыть технологически, установив некоторое количество постоянных бизнес-процессов и зафиксировав их на сколь-нибудь продолжительное время.

Как же тогда построить эффективную с точки зрения затрат и надежную систему ИБ? Основной концепцией должна стать сегментация информационных систем.

Применительно к школе данный принцип диктует необходимость разбить все школьные информационные системы на два сегмента – безусловно защищенный (назовем его сегмент А) и условно защищенный (сегмент Б).

Сегмент А должен обеспечивать обработку любой информации, защита которой обязательна по требованиям закона, и в первую очередь – персональных данных. В него также укладываются все регламентированные государством и ведомствами процессы – госуслуги, пропускная система, безналичные расчеты, электронные дневники.

Сегмент Б – это все остальное. Электронные школьные пособия, Интернет, презентации, словари, творческая зона.

Различие в этих сегментах заключается в уровне обеспечения ИБ. Уровень сегмента А –максимальные меры противодействия всем угрозам, уровень сегмента Б – ну, что поделаешь… Это, конечно, не означает, что уровень Б не требует защиты, но основной принцип здесь такой: сделать среду безопасной – это не значит полностью оградить ее от опасностей, но научить с ними бороться. Угрозы, которые могут здесь реализоваться, позволительно рассматривать как необходимый элемент обучения. Рухнувший компьютер лучше всяких нотаций убедит в необходимости делать резервные копии, а борьба с вирусами подтвердит пользу антивирусов и приведет к пониманию принципов работы вредоносных программ.

И если с обеспечением безопасности в сегменте Б, в общем-то, все понятно (антивирусы, системы фильтрации Интернет, системы резервирования), то как же построить железный занавес в сегменте А? Учитывая ранее упомянутые особенности школы, метод может быть только один – концентрация всех критических ресурсов в одном (или небольшом количестве) хорошо защищенных центров обработки данных (ЦОД), в которых можно организовать и защищенный периметр, и профессиональные высоконадежные аппаратные и программные системы, и квалифицированное сопровождение, и профессиональную службу ИБ. Небольшое количество таких ЦОД позволит сделать их работу максимально безопасной при вполне разумных затратах.

А школы? В школах находятся лишь терминалы, подключенные к ЦОД через защищенные каналы связи. Функциональные возможности терминалов ограничены получением и передачей информации в рамках предоставленных и доступных сервисов.

Другими словами, предлагается терминальная организация защищенной информационной системы (сегмент А) в школе. Конечно, такая схема не является чем-то необычным и востребована в ряде систем с повышенными требованиями к безопасности. Но для школы есть ряд существенных нюансов, в частности:

  • Средства обеспечения ИБ должны быть сертифицированы. В школьных сервисах, безусловно, используются персональные данные – значит, меры безопасности должны соответствовать требованиям Федерального закона № 152-ФЗ «О персональных данных» и соответствующих подзаконных актов. Из этого в том числе следует, что простое применение распространенных (но несертифицированных) терминальных систем на основе, например, решений Citrix этому требованию удовлетворять не будет.
  • Клиент должен быть максимально «тонким» и специализированным. Что это значит? Обычно клиента терминальной системы реализовывают на базе стандартного РС, сохраняя и другие его функции: доступ в Интернет, пасьянс и иные столь же необходимые задачи. Но выполнение в одной среде приложений из разных сегментов безопасности сильно увеличивает уязвимости в условиях враждебной школьной среды. Поэтому идеальным будет решение на основе специализированного защищенного терминала, в котором не только заблокированы посторонние функции, но даже сам терминал невозможно загрузить без применения дополнительных средств аутентификации (смарт-карт, токенов и т. п.). Не таким идеальным, но вполне допустимым является решение, когда в качестве терминала используется и обычный компьютер, но только при том условии, что терминалом он становится после загрузки доверенной операционной системы с защищенного носителя.
  • Решение должно обеспечивать техническую невозможность сделать что-либо «неправильно», ибо организационные меры безопасности в условиях обычной школы работают плохо. 
  • Управление, настройка и обслуживание должны быть по максимуму дистанционными, осуществляться средствами администраторов ЦОД и в идеале не требовать от пользователей системы специальных знаний и навыков.

И такие технологии сегодня есть. Заказчики INLINE Technologies уже не один год успешно используют программно-аппаратный комплекс (ПАК) «Тринити», созданный компанией Setec. ПАК «Тринити» реализует технологию защищенного терминального доступа и обеспечивает обработку информации в замкнутой и доверенной аппаратно-программной среде.

Опуская технические подробности, можно сказать, что в ПАК «Тринити» все приложения и данные размещаются на серверах в ЦОД, а доступ к ним осуществляется с помощью бездисковых устройств, так называемых тонких клиентов, которые используют специализированную операционную систему (ОС). Именно эта ОС в числе прочего организовывает сессию с терминальным сервером для работы пользователя.

Применительно к школе сценарий функционирования «Тринити» выглядит так:

  • Администраторы ЦОД подготавливают и размещают на серверах ЦОД приложения, реализующие сервисы защищенного сегмента. «Тринити» позволяет делать изолированные сегменты с разными требованиями по безопасности, доступ к которым можно осуществлять одновременно, но независимо и безопасно.
  • В самой школе размещаются специализированные терминальные станции. Связь между серверами и терминалами осуществляется по защищенному криптографическими средствами каналу, поэтому требования к каналу минимальны – это может быть и обычный Интернет.
  • Авторизованный сотрудник школы регистрируется на терминале и запускает приложения, которые ему разрешены администратором. Для того чтобы это все заработало, сотрудник проходит двухфакторную аутентификацию: предъявляет пароль и персональный электронный ключ. После этого терминал загружает доверенную ОС с управляющего сервера, определяет права пользователя и в соответствии с ними запускает необходимые приложения. При этом пользователь не имеет возможности ни изменить настройки программного обеспечения, ни запустить что-либо постороннее, ни скопировать какую-либо информацию (если это явно не разрешено администратором).

По своей сути «Тринити» – это развитие функциональности Windows Terminal Services с наличием ряда встроенных механизмов и возможностей, выгодно отличающих его от аналогичных систем:

  • собственные механизмы разграничения доступа, идентификации и аутентификации, аудита событий, подтвержденные сертификатом ФСТЭК России № 2982 от 30.09.2013;
  • собственные механизмы балансировки нагрузки на серверы приложений;
  • безопасная одновременная работа c различными сегментами информационной системы, отличающимися по уровню безопасности (многоконтурность);
  • гибкий и эффективный контроль использования периферийных устройств и USB-накопителей, что решает проблему утечки информации;
  • защита каналов связи сертифицированными криптографическими средствами.

Как терминал могут использоваться и специализированные малогабаритные устройства (например, тонкий клиент Kraftway Credo VV22), и обычные компьютеры при условии применения компонента «Тринити-FLASH». Данный компонент, выполненный в виде электронного ключа (токена), позволяет практически любому устройству, имеющему USB-порт и архитектуру x86, выступать в качестве полноценного защищенного терминала, который обеспечивает обработку информации в замкнутой и доверенной аппаратно-программной среде.

***

Одна из бед школьного образования – боязнь сделать ошибку. Страх перед ошибкой, низкой оценкой парализует волю и творческий потенциал школьников. Наша же задача – не ограничивая право на эксперимент, ошибки, творчество, построить вокруг информационных технологий в школе безопасную «песочницу», которая не даст превратить неизбежные ошибки в фатальные и сделает инициативу ненаказуемой. Применение терминальных технологий – это один из путей решения данной проблемы.

В. Котов, эксперт по информационной безопасности INLINE Technologies


Наверх
Вопрос эксперту
Олег Сухов
Видеонаблюдение, биометрия, системы контроля доступа
Аркадий Агапкин
Системы хранения данных, виртуализация, вычислительные системы
Борис Малахов
ИАС, управление корпоративными данными и НСИ, порталы
Тигран Матинян
ITSM-консалтинг, бизнес-мониторинг
Рустам Хайбуллов
Информационная безопасность
Алексей Киреев
Обслуживание систем и аутсорсинг
Виктор Лукоянов
Системы инженерной инфраструктуры
Александр Зайцев
Корпоративные сети передачи данных, центры обработки данных, технологические сети
  
|  Карта сайта
1-й Волоколамский пр-д, 10, стр. 1, 123060, Москва   Телефон/факс: +7 (495) 721-35-05   эл. почта: info@in-line.ru   Схема проезда
    © 2010-2017  ООО «Инлайн технолоджис»