Безопасность электронного обучения
DESCRIPTION
TRANSCRIPT
Кафедра Прикладной информатики в образовании
БЕЗОПАСНОСТЬ
ЭЛЕКТРОННОГО
ОБУЧЕНИЯ
В.И. Зуев
ИЗМЕНЕНИЕ ЦИФРОВОГО ЛАНДШАФТА
ИНФОРМАЦИОННАЯ РЕВОЛЮЦИЯ
GLOBAL DIGITAL VILLAGE
НОВЫЕ ПОЛЬЗОВАТЕЛИ
Source: Kelly Hodgkins http://gizmodo.com/5813875/what-happens-in-60-seconds-on-the-internet
Web 2.0 Новые виды ресурсов
Новые типы взаимодействия
Новые группы пользователей
НОВАЯ СРЕДА
ОБЩЕНИЯ И ОБУЧЕНИЯ
Новая парадигма образования
Глобализация
Общество знаний Ускорение перемен НОВАЯ ПАРАДИГМА
eLearning 2.0
активное участие обучающихся в создании и наполнении баз учебных материалов
возможность пирингового сотрудничества между обучающимися
аггрегация разнородных потоков учебной информации
сочетание формального и неформального (informal) обучения
использование социальных сервисов
Web 2.0
Организация электронного обучения
Надежные процедуры и механизмы оценивания
Поддержка и помощь в обучении 24/7/364
Организация виртуального класса – общение с преподавателем и другими студентами
Определение целей и задач обучения, обеспечение доступа к материалам
ОЦЕНКА РЕЗУЛЬТАТОВ
ОБРАТНАЯ СВЯЗЬ
КАНАЛЫ ОБЩЕНИЯ
ИСХОДНЫЕ МАТЕРИАЛЫ
СРЕДА ЭЛЕКТРОННОГО ОБУЧЕНИЯ
СРЕДА ЭЛЕКТРОННОГО ОБУЧЕНИЯ
Интеграция инновационной и традиционной образовательной среды
Инновационная
образовательная
среда
электронного
обучения
Традиционная
образовательная
среда
образовательного
учреждения
Перенос способов и методов деятельности ЭО
в традиционные образовательные среды
Трансляция системных признаков ЭО
в традиционные образовательные среды
Университет будущего
• Гибкая образовательная траектория;
• Ориентация на рынок;
• Тесная связь с бизнесом;
• Интернационализация как ступень перехода к глобализации
АКАДЕМИЧЕСКИЙ
КАПИТАЛИЗМ
университеты существуют в условиях постоянной конкуренции, причем конкурентные преимущества им дает академический капитал (качественный состав персонала, востребованность и актуальность курсов и т.д.)
ВОЗМОЖНЫЙ ПУТЬ РАЗВИТИЯ
КОММЕРЦИАЛИЗАЦИЯ ВЫСШЕГО ОБРАЗОВАНИЯ:
- Университеты следуют принципам свободного рынка
- Глобальная конкуренция на рынке коммерческих образовательных
услуг
- Борьба за студентов
- Разделение учебных заведений на исследовательские ВУЗы м ВУЗы,
занимающиеся исключительно образовательной поточной деятельностью
- Аутсорсинг образовательных услуг
- Автоматизация процесса обучения
- Обезличивание учебных материалов / создание рынка электронных
учебных пособий
НОВАЯ СРЕДА - НОВЫЕ УГРОЗЫ
КАК ЗАЩИТИТЬ СЕБЯ ОТ НОВЫХ УГРОЗ?
Взаимосвязь между различными компонентами системы безопасности e-learning
Взаимосвязь угроз и уязвимостей
АНАЛИЗ РИСКОВ
AIC-триада Availability, Integrity, Confidentiality
AIC - БЕЗОПАСНОСТЬ
ЭЛЕКТРОННОГО ОБУЧЕНИЯ
БЕЗОПАСНОСТЬ ЭЛЕКТРОННОГО ОБУЧЕНИЯ
Обеспечение штатной работы
приложения
Обеспечение целостности
Обеспечение секретности
Обеспечение доступности
Угрозы нормальному функционированию системы
электронного обучения
Неавторизованный доступ к цифровому
контенту Нарушение целостности
и неадекватность учебных ресурсов
Нарушение нормального
функционирования служб и сервисов
Нарушение безопасности
процедур тестирования
Угрозы системе e-learning:
• Идентификации и авторизации;
• Надежности и бесперебойности работы служб и сервисов;
• Целостности баз данных и учебных и информационных ресурсов;
• Режима секретности;
• Нарушения законодательства.
Уязвимости системы e-learning:
• Уязвимость физической (hardware) инфраструктуры;
• Уязвимость программного обеспечения;
• Уязвимость человеческих ресурсов;
• Уязвимость баз данных;
• Уязвимость перед действием природных факторов.
БЕЗОПАСНОСТЬ ЭЛЕКТРОННОГО ОБУЧЕНИЯ
…..
Физическая безопасность
Дидактическая безопасность
Психологическая безопасность
Информационная безопасность
Уровни защиты электронного ВУЗа
ФИЗИЧЕСКАЯ БЕЗОПАСНОСТЬ ВУЗа
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ВУЗА
Информационная безопасность
• защищенность информации и поддерживающей ее инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре.
Задачи информационной безопасности
• минимизация ущерба, а также прогнозирование и предотвращение вредных воздействий.
Действия, которые могут нанести ущерб
информационной безопасности ВУЗа
• 1. Действия, осуществляемые авторизованными пользователями. * целенаправленная кража или уничтожение данных на рабочей станции или сервере; * повреждение данных пользователем в результате неосторожных действий. 2. "Электронные" методы воздействия, осуществляемые хакерами. * несанкционированное проникновение в компьютерные сети; * DOS-атаки. 3. Компьютерные вирусы. 4. Спам. * электронная почта в последнее время стала главным каналом распространения вредоносных программ; * спам отнимает массу времени на просмотр и последующее удаление сообщений, вызывает у сотрудников чувство психологического дискомфорта; * как частные лица, так и организации становятся жертвами мошеннических схем, реализуемых спамерами (зачастую подобного рода события потерпевшие стараются не разглашать); * вместе со спамом нередко удаляется важная корреспонденция, что может привести к потере клиентов, срыву контрактов и другим неприятным последствиям; опасность потери корреспонденции особенно возрастает при использовании черных списков RBL и других "грубых" методов фильтрации спама. 5. "Естественные" угрозы.
МЕТОДЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
• * средства идентификации и аутентификации пользователей; * средства шифрования информации, хранящейся на компьютерах и передаваемой по сетям; * межсетевые экраны; * виртуальные частные сети; * средства контентной фильтрации; * инструменты проверки целостности содержимого дисков; * средства антивирусной защиты; * системы обнаружения уязвимостей сетей и анализаторы сетевых атак.
ПСИХОЛОГИЧЕСКАЯ БЕЗОПАСНОСТЬ ОБУЧЕНИЯ
• Баева И.А Психологическая безопасность в образовании: Монография. Санкт-Петербург,
2002. - 271с.
• Баева И.А., 2002 Безопасность образовательной среды, психологическая культура и психическое здоровье школьников. 2002.
• Грачев Г.В. Информационно-психологическая безопасность личности: состояние и возможности психологической защиты. М.: Изд-во РАГС, 1998 - 125 с.
• Кабаченко Т. С. Психология управления: Уч. пос. М.: 2000
• Маслоу А. Мотивация и личность. Санкт-Петербург, 2001. – 478 с.
• Секач М.Ф. Психология здоровья.- М.: Академический проект, 2003.
• Семикин В.В. Психологическая культура в образовании человека: Монография. Санкт-Петербург, 2002. - 155с.
• Сыманюк Э.Э. Психологическая безопасность образовательной среды. 2004
Психологическая безопасность
состояние, характеризующее образовательную среду образовательного учреждения, фиксируемое через отношения ее участников
Модель психологически безопасной образовательной среды
1. Защищенность от психологического насилия;
2. Референтная значимость окружения;
3. Удовлетворенность в личностно-доверительном общении.
(И.А. Баева)
Модель психологически безопасной образовательной среды (И.А.Баева)
Баева Ирина Александровна.
Психологическая безопасность
образовательной среды (Теоретические
основы и технологии создания) : Дис. ... д-
ра психол. наук : 19.00.07 : Санкт-
Петербург, 2002 386 c. РГБ ОД, 71:03-19/19-
9
Угрозы психологической безопасности образовательной среды
Психологическое насилие в процессе взаимодействия:
• Психологические воздействия (угрозы, унижения, оскорбления, чрезмерные требования, запреты на поведение и переживание, негативное оценивание, фрустрация основных нужд и потребностей обучающегося);
• Психологические эффекты (утрата доверия к себе и к миру, беспокойство, тревожность, нарушения сна, аппетита, депрессия, агрессивность, низкая самооценка, соматические и психосоматические заболевания);
• Психологические взаимодействия (доминантность, непредсказуемость, непоследовательность, неадекватность, безответственность, неуверенность, беспомощность)
Угрозы психологической безопасности образовательной среды
• Непризнание референтной значимости образовательной среды образовательного учреждения (студент отрицает ценности и нормы вуза, стремится прервать процесс обучения и «покинуть» вуз)
• Отсутствие удовлетворенности в личностно-доверительном общении и основными характеристиками процесса взаимодействия всех участников образовательной среды (эмоциональный дискомфорт; нежелание высказывать свою точку зрения и мнение; неуважи-тельное отношение к себе; потеря личного достоинства; нежелание обращаться за помощью, невнимательность к просьбам и предложениям)
Угрозы психологической безопасности образовательной среды
• Неразвитость системы психологической помощи в образовательном учреждении
• Эмоциональное выгорание ППС
http://www.guardian.co.uk/higher-education-network/blog/2012/dec/05/student-mental-health-
university-
responsibility?j=23383&[email protected]&l=350_HTML&u=1222372&mid=1059027&jb=22&C
MP
ДИДАКТИЧЕСКАЯ БЕЗОПАСНОСТЬ ЭЛЕКТРОННОГО ОБУЧЕНИЯ
http://www.amazon.com/Security-Learning-Advances-Information/dp/1441937226/ref=sr_1_1?ie=UTF8&s=books&qid=1291882395&sr=1-1
http://www.weippl.com/Weippl.html http://www.sba-research.org/team/management/edgar-weippl/?lang=en
ОСОБЕННОСТЬ СИСТЕМЫ
ЭЛЕКТРОННОГО ОБУЧЕНИЯ:
Двойственность -
субъект/объект атаки
Студент 2.0
Риски, связанные со студентами
• риск, связанный с неспособностью студента выдерживать заданный преподавателем и электронной системой темп обучения
• риск, связанный с необходимостью постоянной мотивации студента
• риск, связанный с неадекватной самооценкой и поведением студента
• риск, связанный с неспособностью студента наладить контакт с преподавателем
• технологический риск (высокая компетенция студента в области ИКТ, программного обеспечения и сервисов Web 2.0)
Преподаватель 2.0
ПРЕПОДАВАТЕЛЬ ЭЛЕКТРОННОГО ВУЗА
Риски, связанные с профессорско-преподавательским составом
• риски, связанные с компетентностью ППС
• риски, связанные с организацией учебного процесса
• риски, возникающие непосредственно в ходе учебного процесса
Риски, связанные с компетентностью ППС
• Дидактический риск
• Технологический риск
• Научный риск
• Риск делегирования полномочий
Риски, связанные с профессорско-преподавательским составом
• риски, связанные с компетентностью ППС
• риски, связанные с организацией учебного процесса
• риски, возникающие непосредственно в ходе учебного процесса
Риски, связанные с профессорско-преподавательским составом
• риски, связанные с компетентностью ППС
• риски, связанные с организацией учебного процесса
• риски, возникающие непосредственно в ходе учебного процесса
НОВОЕ ПОНЯТИЕ
ПСУ...
ПССУ...
ИССУ...
BYOD
BYOD В УНИВЕРСИТЕТЕ
http://www.flickr.com/ph
otos/luc/
РИСКИ И ОПАСНОСТИ BYOD
ПЕРВЫЕ НЕПРИЯТНОСТИ
Источник: http://infographiclist.files.wordpress.com/2012/04/2is-texting-lying.jpg?w=610&h=3444
Основные 5 вызовов BYOD 1. Потерянные или украденные персональные устройства
2. Рост количества вредоносных программ для мобильных устройств
3. Уязвимость мобильных платежей
4. Угрозы, связанные с уязвимостью мобильных приложений
5. Угрозы, связанные с мобильным Интернетом
Увеличение поверхности атаки…
Работников
пользуются
персональными
устройствами
на работе
81%
Файлов не
зашифрованы 33%
Не включают
функцию
замка 37% Число приносимых
работниками
персональных
устройств растет
быстрее, чем
возможности
организации
обеспечить их
безопасность в
корпоративной среде.
Управление рисками BYOD
Сетевые риски
Риски устройств
Риски приложений Вредоносные приложения
Уязвимость устройств
Несанкионированный доступ в сеть
МОДЕЛИРОВАНИЕ БЕЗОПАСНОЙ СИСТЕМЫ ЭЛЕКТРОННОГО ОБУЧЕНИЯ
Что такое модель угроз? • Описание источников угроз ИБ; методов реализации угроз
ИБ; объектов, пригодных для реализации угроз ИБ; уязвимостей, используемых источниками угроз ИБ; типов возможных потерь (например, нарушение доступности, целостности или конфиденциальности информационных активов); масштабов потенциального ущерба
РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций
банковской системы РФ. Методика оценки рисков нарушения информационной безопасности»
• Физическое, математическое, описательное представление свойств и характеристик угроз безопасности информации
ГОСТ 50922-2006 «Защита информации. Основные термины и определения»
• Модель нарушителя - предположения о возможностях нарушителя, которые он может использовать для разработки и проведения атак, а также об ограничениях на эти возможности
• Модель угроз -перечень возможных угроз
Методические рекомендации ФСБ по обеспечению с помощью криптосредств
безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации
Зачем нужно моделирование угроз
• Систематическая идентификация потенциальных опасностей
• Систематическая идентификация возможных видов отказов
• Количественные оценки или ранжирование рисков
• Выявление факторов, обуславливающих риск, и слабых звеньев в системе
• Более глубокое понимание устройства и функционирование системы
• Сопоставление риска исследуемой системы с рисками альтернативных систем или технологий
продолжение…
• Идентификация и сопоставление рисков и неопределенностей
• Возможность выбора мер и приемов по обеспечению снижения риска
ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ риска технологических систем»
• Основная задача моделирования угроз –обоснование решений, касающихся рисков
Вопросы для модели угроз • Какие угрозы могут быть реализованы?
• Кем могут быть реализованы эти угрозы?
• С какой вероятностью могут быть реализованы эти угрозы?
• Каков потенциальный ущерб от этих угроз?
• Каким образом могут быть реализованы эти угрозы?
• Средства и каналы реализации угроз.
• Почему эти угрозы могут быть реализованы?
• Уязвимости и мотивация
• На что могут быть направлены эти угрозы?
• Как можно отразить эти угрозы?
Анализ угроз и анализ рисков
• Согласно РС БР ИББС-2.2-2009 моделирование угроз предшествует оценке рисков
• Согласно другим стандартам и лучшим практикам анализ угроз и анализ рисков очень тесно переплетены
• Анализ рисков позволяет ответить на 3 вопроса (согласно ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ риска технологических систем»):
• Что может выйти из строя (идентификация опасности)
• С какой вероятностью это может произойти (анализ частоты)
• Каковы последствия этого события (анализ последствий)
Качественная или количественная оценка?
Качественная или количественная оценка?
• Количественная оценка не всегда возможна из-за недостатка информации о системе, недостатка информации о подрывной деятельности, подвергающейся оценке, отсутствии или недостатке данных об инцидентах, сложности учета влияния человеческого фактора
• Качественная оценка требует четкого разъяснения всех используемых терминов, обоснования всех классификаций, понимания всех плюсов и минусов качественной (экспертной) оценки
Психология восприятия риска
• Даже при наличии фактов и достаточного объема информации об анализируемой системе у экспертов часто существуют сложности с восприятием риска
• Безопасность основана не только на вероятности различных рисков и эффективности различных контрмер (реальность), но и на ощущениях
• Ощущения зависят от психологических реакций на риски и контрмеры.
Например - чего вы больше опасаетесь –попасть в авиакатастрофу или автоаварию? что вероятнее – пасть жертвой террористов или погибнуть на дороге?
Реальность и ощущение безопасности
БЕЗОПАСНОСТЬ ЭЛЕКТРОННОГО ОБУЧЕНИЯ
Обеспечение штатной работы
приложения
Обеспечение целостности
Обеспечение секретности
Обеспечение доступности
Угрозы нормальному функционированию системы
электронного обучения
Неавторизованный доступ к цифровому
контенту Нарушение целостности
и неадекватность учебных ресурсов
Нарушение нормального
функционирования служб и сервисов
Нарушение безопасности
процедур тестирования
AICA Threat Modeling Approach for E-learning Systems (Maria Nickolova, Eugene Nickolov, 2007)
Availability Integrity Confidentiality Authentication
Denial-of-Service Malicious code attacks Group session eavesdropping
Brute force attacks
Node attacks Message injection Group session traffic analysis
Dictionary attacks
Link attacks Traffic modification Group identity disclosure Login spoofing attacks
Network infrastructure attacks
Traffic deletion Key management attacks
Traffic rerouting Replay attacks
Traffic misdelivery rerouting
Man-in-the-middle attacks
Forgery attacks Session hijacking attacks
Stack overflow attacks Non-repudiation attacks
Analysis of Threats in E-Learning Systems (C. J. Eibl, 2010)
E-LEARNING SECURITY CUBE
БЕЗОПАСНОСТЬ ЭЛЕКТРОННОГО ОБУЧЕНИЯ
БЕЗОПАСНОСТЬ ЭЛЕКТРОННОГО ОБУЧЕНИЯ
БЕЗОПАСНОСТЬ ЭЛЕКТРОННОГО ОБУЧЕНИЯ
БЕЗОПАСНОСТЬ ЭЛЕКТРОННОГО ОБУЧЕНИЯ
БЕЗОПАСНОСТЬ ЭЛЕКТРОННОГО ОБУЧЕНИЯ
Только оценив все риски и уязвимости, можно дать адекватный ответ на угрозы
СТРУКТУРА СИСТЕМЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
ЭЛЕКТРОННОГО ВУЗА
АКТИВЫ ЭЛЕКТРОННОГО УНИВЕРСИТЕТА
УРОВНИ ЗАЩИТЫ ЭЛЕКТРОННОГО ВУЗА
НЕКОТОРЫЕ МЕТОДЫ БОРЬБЫ ЗА БЕЗОПАСНОСТЬ ЭЛЕКТРОННОГО ОБУЧЕНИЯ
ИДЕНТИФИКАЦИЯ СТУДЕНТА
А НУЖНО ЛИ ВУЗУ БОРОТЬСЯ ЗА БЕЗОПАСНОСТЬ ЭЛЕКТРОННОГО ОБУЧЕНИЯ?
Лучший способ защититься от кражи – отдать все самому
102
OER: a definition
• Web-based materials offered freely and openly for use and reuse in teaching, learning and research
(UNESCO, 2002)
• Only open if they are released under an open licence
• Includes any tool, material or technique used to support access to knowledge
103
OER: milestones in the movement
• 1998: “open content” and the Open Publication License
• 2001: founding of Creative Commons
• 2001: MIT announces OpenCourseWare
104
The Cape Town Declaration
• “…a statement of principle, a statement of strategy and a statement of commitment … meant to spark dialogue, to inspire action and to help the open education movement grow.”
(Cape Town Open Education Declaration, 2008)
