Вопросы защиты информации и идентификации личности при предоставлении доступа к образовательным ресурсам сети Интернет

yurii Июл 21, 2018

Оглавление

 

 

 

Введение. 2

1      Защита информации образовательных ресурсов. 4

2      Проблемы идентификации личности при предоставлении доступа к образовательным ресурсам сети Интернет. 8

Заключение. 12

Список литературы.. 14

 

 

Введение

В настоящее время все большее число учащихся пользуется Интернетом. Они начинаются начинают использовать Интернет с самого раннего возраста, используя различные устройства и проводя в Интернете все больше времени. Интернет может стать важным каналом для образования, творчества и самовыражения личности. Однако он также несет целый ряд рисков, поскольку объектом образования, чаще всего, являются – дети, которые более уязвимы, чем взрослые. Решение проблем, с которыми сталкиваются учащиеся в Интернете, становится приоритетом для идентификации личности при предоставлении доступа к образовательным ресурсам сети Интернет.

Во всем мире возрастает спрос на доступ к данным об образовании, поскольку государственные и местные образовательные учреждения строят надежные базы данных об образовании, облегчающие управление и обмен знаниями. Образовательные организации несут юридическую и этическую ответственность за защиту конфиденциальности и безопасности образовательных данных, которые они собирают, хранят и используют.

Для обеспечения того, чтобы доступ к записям о преподавателях обучающихся и статистике посещения ими образовательных ресурсов имели только соответствующие лица и организации, организации должны внедрять различные формы аутентификации для установления личности запрашивающего информацию с достаточным уровнем уверенности. Другой проблемой является аутентификация лица, производимая для разграничения доступа к различным видам образовательных ресурсов, например, к учебным материалам и тестовым заданиям. Ясно, что учащемуся следует ограничить доступ к тестовым заданиям до окончания изучения им теоретического материала, а также доступ к ответам на вопросы тестов. Проблем аутентификации для разграничения доступа очень много.

Процесс аутентификации включает в себя идентификацию и проверку личности запрашивающего лица с необходимой степенью уверенности в том, что он или она действительно является тем, кому разрешен доступ к данному виду информации.

Используя разумные методы для аутентификации личности, образовательные учреждения обеспечивают защиту информации, под которой имеется ввиду как учебная информация, так и  информация о субъектах и объектах образовательного процесса.

Методы идентификации личности постоянно совершенствуются. Доступны как альтернативные методы идентификации подлинности, так и продолжают разрабатываться новые методы. По мере изменения стандартов технологии и безопасности данных образовательные организации должны регулярно проверять и обновлять свои процедуры, чтобы гарантировать использование разумных методов для аутентификации личности.

 

 

 

 

1        Защита информации образовательных ресурсов

Аспекты информационной безопасности образовательных ресурсов в сети Интернет связаны с использованием традиционных и инновационных методов обучения и инструментов, основанных на информационных и телекоммуникационных технологиях, что обеспечивает взаимодействие участников интерактивного учебного процесса и получение образования, изучение его процесса и контроль обучения[1].

В информационная инфраструктура образовательных ресурсов – один из важнейших компонентов учебного процесса. Качественное бесперебойное функционирование образовательных ресурсов существенно определяет качество учебного процесса, полученных в его ходе знаний, способствует формированию требуемых профессиональных компетенций учащихся. Поэтому обеспечение информационной безопасности образовательных ресурсов является весьма важной для качества образования.

Для преподавателей и студентов главным поставщиком информации является использование Интернет как глобальной сети. Но в Интернете существуют такие серьезные угрозы как компьютерное мошенничество, хакерские атаки, компьютерные вирусы, вандализм, разглашение конфиденциальной информации, хищение информации и так далее. Им необходимо противостоять с помощью организации доступа к образовательным ресурсам в Интернет.

Обеспечение информационной безопасности образовательных ресурсов в современных условиях возможно с помощью современных способов  и форм обеспечения информационной безопасности учебного процесса и позволяет[2]:

  1. Получать (или корректировать) стоимость авторского контента, так как нарушение авторского права широко развито в наши дни, что наносит значительный ущерб владельцам образовательных ресурсов, даже если только небольшая часть материала выложена в открытый доступ.
  2. Защищать авторские права (интеллектуальные права).
  3. Повысить рейтинги образовательных учреждений (в связи с большим значением учебного материала).
  4. Защитить персональные данных и обеспечить выполнение существующих нормативно-правовых актов.
  5. Повысить уровень электронного обучения.
  6. Создать систему (комплексных) мультимедийных обучающих систем, которая будет конкурировать на мировом рынке.

Таким образом,     один из наиболее ценных компонентов организации сферы образования активов является информация.

Организация должна заботиться, в первую очередь, о сохранности своих образовательных ресурсов, поддерживать работу оборудования, программного обеспечения и безопасность доступа пользователей.

Резервные копии образовательных ресурсов и их хранение, безусловно, создадут защиту от возможного уничтожения этой информации. Также следует убедиться, что программное обеспечение используется должным образом, а доступ неавторизованных пользователей эффективно ограничен[3][4].

Хотя нет никаких сомнений что физическая безопасность, безопасность программного обеспечения и безопасность пользовательского доступа способствует защите информации, но следует предпринять инициативы, которые направлены непосредственно на обеспечение безопасности образовательной информации[5].

Некоторые организации используют шифрование информации как способ ее защиты. Если информация является конфиденциальной, то дополнительное время для шифрования и дешифрования имеет смысл. Но если файлы не являются конфиденциальными, это может замедлить скорость обработки информации образовательных ресурсов. Шифрование информации защищает файлы от нарушений в конфиденциальности, но риски несанкционированного или случайного изменения (включая удаление) и / или отказ от использования остаются.

Хотя шифрование не позволяет другим пользователям читать информацию, зашифрованные файлы могут быть повреждены или уничтожены, так что шифрование никакой пользы для образовательных ресурсов не несет[6].

Различные программные продукты могут помочь образовательной организации в ее усилиях по обеспечению защиты своей информации и систем, но только тщательные, хорошо продуманные и решительные усилия по разработке и осуществлению обеспечения безопасности окажутся эффективными в долгосрочной перспективе.

Может быть, больше, чем любой другой аспект системы безопасности, защита информации требует конкретных процедурных и поведенческих действий. Информационная безопасность требует, чтобы файлы образовательных ресурсов были созданы правильно, маркированы, правильно хранились и производилось резервное копирование.

Политики безопасности образовательных ресурсов могут улучшиться после проведения точной оценки рисков (в том числе следует правильно определить чувствительную информации, содержащейся в образовательной системе). Следует также оказывать организационную поддержку менеджеру по безопасности, который осуществляет и контролирует правила безопасности. Менеджер по безопасности должен быть наделен полномочиями и бюджетом, необходимым для обучения персонала надлежащим образом, а затем соблюдения процедур информационной безопасности на всех уровнях организационной иерархии.

Обязательно также рассмотрение вопросов сохранение информации и ее утилизации. Вся информация имеет конечный жизненный цикл, и в политике безопасности должны предусматриваться  механизмы для обеспечения того, чтобы информация, которая больше используется, утилизировалась должным образом.


2        Проблемы идентификации личности при предоставлении доступа к образовательным ресурсам сети Интернет

Проблемы идентификации личности при предоставлении доступа к образовательным ресурсам сети Интернет во многим связаны  с защитой информации и конфиденциальности учащихся при использовании онлайновых образовательных услуг.

Идентификация личности означает, что получатель данных образовательных ресурсов, а также о ходе процесса образования фактически является уполномоченным или предполагаемым получателем или отправителем. Аутентификация — это процесс, посредством которого образовательное учреждение или учреждение устанавливает соответствующий уровень подлинности личности или уверенности в личности физического или юридического лица, запрашивающего доступ к информации или образовательным ресурсам. Эта гарантия устанавливается с помощью различных методологий проверки, в которых используются индивидуально или совместно так называемые «факторы аутентификации» для повышения уровня уверенности в том, что сторона, получившая доступ, является лицом или организацией, которой доступ к требуемой им информации разрешен[7].

Требования к конкретным факторам аутентификации или их сочетаниям могут варьироваться в зависимости от типа доступа к образовательным ресурсам или записям учащегося в образовании. Тем не менее, степень определенности в удостоверении лица, запрашивающего доступ, должна быть достаточно высокой, чтобы исключить несанкционированный доступ к данным

Хотя образовательные учреждения и учреждения чаще всего обеспечивают доступ к учетным записям образования с помощью компьютера или телефона, они должны иметь процедуры, позволяющие установить одинаковый уровень идентификации независимо от того, осуществляется ли доступ к данным с помощью электронных систем или лично.

Идентификация – это сообщение пользователем о себе. Подтверждение подлинность пользователя — это процесс аутентификация. Авторизация пользователя – это процесс получения доступа к информации[8].

Как правило, личность пользователя аутентифицируется с использованием одного или нескольких факторов, таких как персональный идентификационный номер (ПИН), пароль или какой-либо другой фактор, известный только авторизованным пользователям. Однофакторная проверка подлинности требует, чтобы пользователь подтвердил личность с помощью одного фактора, например, PIN-кода, ответа на секретный вопрос или отпечатка пальца. Двухфакторные и многофакторные подходы требуют использования двух или более методов для аутентификации личности человека. Например, в дополнение к PIN-коду пользователь должен предоставить идентификационную карту и / или иметь соответствующий шаблон радужной оболочки[9].

Факторы аутентификации делятся на несколько категорий:

  1. Факторы знания (что-то, что пользователь знает): запрашивающая сторона демонстрирует, что она знает некоторые уникальные данные, связанные с стороной, личность которой аутентифицирована, например пароль или ПИН.
  2. Факторы собственности (что-то, что есть у пользователя): запрашивающая сторона демонстрирует, что у нее есть что-то уникальное, связанное со стороной, личность которой аутентифицирована, например, токен безопасности, почтовый ящик, идентификационная карточка или мобильное устройство (в случае мобильного устройства, право собственности может быть подтверждено путем отправки одноразового пароля устройству, которое было предварительно зарегистрировано в организации).
  3. Факторы личности (то, что есть только у данного пользователя): запрашивающая сторона демонстрирует, что у нее есть неотъемлемая функция, например, личность проходит проверку подлинности по совпадающему отпечатку пальца, узору радужки или чертам лица (эти методы обычно называют биометрическими).

Выбор конкретного метода аутентификации часто варьируется в зависимости от уровня чувствительности раскрываемых данных. Например, организация может определить, что для защиты доступа к текстам электронных учебников разумно использовать однофакторную идентификационную идентификацию, например использование имени пользователя стандартного формата в сочетании с секретным ПИН-кодом или паролем[10].

Тем не менее, однофакторная проверка подлинности может быть нецелесообразной для защиты доступа к высокочувствительной информации, включая учетные записи учащихся и информацию, которая могжет быть использована для хищения личных данных и финансового мошенничества, таких как номера кредитных карт.

Использование любого фактора обеспечивает минимальный уровень гарантии подлинности идентификации, этот уровень значительно увеличивается за счет использования нескольких факторов аутентификации разных типов. Например, когда родитель или студент обращаются к информации о ходе учебного процесса, оценкам учащегося, администратор может запросить в качестве идентификатора фотографии, чтобы подтвердить личность лица, запрашивающего записи. Часто такая визуальная проверка подлинности невозможна для электронных и телефонных транзакций (хотя в некоторых случаях видеокамеры могут использоваться для идентификации лиц, например, для предоставления физического доступа к защищенному объекту).

Помимо использования нескольких факторов аутентификации, уровни уверенности в точности идентификации могут быть достигнуты посредством использования таких факторов аутентификации, которые трудно угадать или фальсифицировать, и путем введения более строгих механизмов защиты их секретности.

Более сильные факторы (например, более сложные пароли) являются лучшей защита от взлома через вредоносную активность (например, шифрование паролей с помощью сильного алгоритма), что обеспечивает более высокий уровень уверенности в идентификации пользователей.


Заключение

В зависимости от уровня требуемой уверенности образовательное учреждение может определить уровень идентификации доступа к образовательным ресурсам, например, С использованием однофакторной аутентификации (имя пользователя и уникальный ПИН-код, созданный при регистрации в системе) обеспечивает необходимый уровень идентификации подлинности. В этой же организации могут быть и другие системы идентификации, которые разрешают доступ к «более чувствительным» данным, таким как финансовая информация, информация о здоровье или о процессе обучения. В дополнение к имени пользователя и ПИН эти системы могут использовать дополнительные факторы аутентификации. Например, образовательное учреждение может потребовать от лица, запрашивающего онлайн-доступ, ответить на вопросы безопасности или подтвердить свою личность, вводя одноразовый пароль, отправленный на мобильное устройство, которое ранее был зарегистрирован в учреждении. Важно помнить, что аутентификация с использованием таких факторов, как PIN-коды, пароли и токены безопасности, эффективны только в том случае, если пользователь является единственной стороной, которая знает эту информацию или обладает токеном.

Каждое образовательное учреждение должно оценить свои собственные политики безопасности и системы идентификации, чтобы определить соответствующие меры идентификации, чувствительности данных и необходимость применяемых политик безопасности данных.

Риски и последствия неприкосновенности частной жизни могут существенно различаться в зависимости от типа используемых данных, которые собирает, хранит или использует организация. Например, образовательное учреждение, не использующая электронные записи учащихся, будет иметь значительно отличающийся риск раскрытия информации, чем образовательное учреждение, которое регулярно делится данными об образовании с партнерскими организациями и предлагает студентам доступ к своим собственным записям в режиме онлайн.

Организация может иметь несколько информационных систем, в которых хранятся данные с различной чувствительностью и защитой конфиденциальности. Для электронных систем хорошо продуманные механизмы восстановления учетной записи и криптографическая защита процесса аутентификации имеют большое значение и должны быть включены в процесс разработки системы. Важно, чтобы эти системы включали возможность безопасного восстановления или сброса аутентифицирующей информации без отрицательного влияния на целостность системы аутентификации.


Список литературы

  1. Антопольский, А.Б. Информационные ресурсы России: Научно-методическое пособие / А.Б. Антопольский. — М.: Либерия, 2014. С. 68.
  2. Бабернов В. Системы резервного копирования URL: http://www.jetinfo.ru/Sites/portal/Uploads/2000_12.72CB227323A14625AD602100A1E89D1D.pdf
  3. Богатырева Ю.И. Модель обеспечения информационной безопасности школьников при создании инфобезопасной среды образовательного учреждения URL: http://cyberleninka.ru/article/n/model-obespecheniya-informatsionnoy-bezopasnosti-shkolnikov-pri-sozdanii-infobezopasnoy-sredy-obrazovatelnogo-uchrezhdeniya
  4. Владимиров. О. Обеспечение информационной безопасности организации URL: http://www.iccwbo.ru/blog/2016/obespechenie-informatsionnoy-bezopasnosti/
  5. Ерошкин П. Комплексная система защиты информации // Финансовая газета. Региональный выпуск. 2015. N 10. С. 15.
  6. Информатика и информационные технологии / ред. Ю.Д. Романова. — М.: Эксмо, 2016. С. 135.
  7. Кушниренко, А.Г. Основы информатики и вычислительной техники / А.Г. Кушниренко, Г.В. Лебедев, Р.А. Сворень. — Л.: Просвещение; Издание 3-е, 2013. С. 116.
  8. Общие принципы шифрования URL: http://download.sbis.ru/files/help_docs/Lecture_2.1.pdf
  9. Понятие информационной безопасности URL: http://knigainformatika.com/disciplins/inform_bes/Osnova_inform_bes.pdf
  10. Угринович, Н.Д. Информатика 10-11 класс / Н.Д. Угринович. — М.: Бином. Лаборатория знаний, 2017. С. 215.

 

[1] Богатырева Ю.И. Модель обеспечения информационной  безопасности школьников при создании инфобезопасной среды образовательного учреждения URL: http://cyberleninka.ru/article/n/model-obespecheniya-informatsionnoy-bezopasnosti-shkolnikov-pri-sozdanii-infobezopasnoy-sredy-obrazovatelnogo-uchrezhdeniya

[2] Ерошкин П. Комплексная система защиты информации // Финансовая газета. Региональный выпуск. 2015. N 10. С. 15.

[3] Бабернов В. Системы резервного копирования URL: http://www.jetinfo.ru/Sites/portal/Uploads/2000_12.72CB227323A14625AD602100A1E89D1D.pdf

[4] Понятие информационной безопасности  URL: http://knigainformatika.com/disciplins/inform_bes/Osnova_inform_bes.pdf

[5] Владимиров. О. Обеспечение информационной безопасности организации URL: http://www.iccwbo.ru/blog/2016/obespechenie-informatsionnoy-bezopasnosti/

[6] Общие принципы шифрования URL: http://download.sbis.ru/files/help_docs/Lecture_2.1.pdf

[7] Антопольский, А.Б. Информационные ресурсы России: Научно-методическое пособие / А.Б. Антопольский. — М.: Либерия, 2014. С. 68.

[8] Угринович, Н.Д. Информатика 10-11 класс / Н.Д. Угринович. — М.: Бином. Лаборатория знаний, 2017. С. 215.

[9] Кушниренко, А.Г. Основы информатики и вычислительной техники / А.Г. Кушниренко, Г.В. Лебедев, Р.А. Сворень. — Л.: Просвещение; Издание 3-е, 2013. С. 116.

[10] Информатика и информационные технологии / ред. Ю.Д. Романова. — М.: Эксмо, 2016. С. 135.

Поделиться этим