В Ф Чекурін - Взаємодія об'єктів і аналіз загроз інформаційній безпеці систем електронного навчання - страница 1

Страницы:
1  2 

Chernyshev O.N.

SOFTWARE FOR INFORMATION SYSTEMS SECURITY TESTING

The focus study: computer systems development and security, network vulnerability detection software: NMap, Nessus, XSpider, their main features, advantages and disadvantages. Guidelines for information systems testing.

***

УДК 004.056

Чекурін В.Ф., Будік О.О.

Національний університет «Львівська політехніка», м. Львів

ВЗАЄМОДІЯ ОБ'ЄКТІВ І АНАЛІЗ ЗАГРОЗ ІНФОРМАЦІЙНІЙ БЕЗПЕЦІ СИСТЕМ ЕЛЕКТРОННОГО НАВЧАННЯ

В роботі формалізовано модель системи електронного навчання (СЕН) як багаторівневої структури. Запропоновано підхід до опису взаємодії об'єктів СЕН та побудови моделей загроз. На їх основі проведено аналіз деяких специфічних загроз інформаційній безпеці

СЕН.

Ключові слова: система електронного навчання, інформаційна безпека, захист інформації, автентифікація, загрози.

Вступ

В останнє десятиріччя інтенсивно розвиваються системи електронного навчання (СЕН) з дистанційним доступом до інформаційних ресурсів через відкриті комп'ютерно-комунікаційні мережі. Їх використовують як в освіті, так і в інших галузях — державних, комерційних, громадських структурах тощо. Проте, розуміння їх структури, принципів побудови та функціональності наразі ще остаточно не сформовані. Зокрема, на сьогодні практично не розробленими залишаються питання інформаційної безпеки таких систем [1]. Хоч в СЕН, призначених для освітньої галузі, циркулюють документи переважно без грифів секретності, інформаційні потоки містять дані, що потребують захисту з огляду на їх комерційну, службову чи персональну конфіденційність [2]. До того ж забезпечення цілісності та доступності інформації в таких системах також потребують застосування як спеціальних технічних засобів, так і організаційних заходів захисту.

Використання існуючих підходів до інформаційної безпеки таких систем дозволяє убезпечити їх лише від частини потенційних загроз. В СЕН виникають специфічні загрози, невластиві для інших інформаційних систем. Тому виявлення та аналіз таких загроз і розроблення методів і засобів їх нейтралізації є актуальним науково-технічним завданням.

Метою статті є розроблення підходів до опису взаємодії об'єктів СЕН та побудови моделей загроз їх інформаційній безпеці, а також аналіз деяких специфічних загроз.

1. Модель СЕН як основа для опису взаємодії її об'єктів

Для побудови моделей загроз інформаційній безпеці СЕН слід виходити із певної моделі її структури. В публікаціях [3] запропонована модель СЕН у вигляді багаторівневої структури, яка на верхньому (першому) рівні складається з чотирьох основних частин -комп'ютерної інфраструктури (КІ), платформи електронного навчання (ПЕН), інформаційних       (ІР)       та       людських       ресурсів       (ЛР)       (рис. 1).

Рис. 1. Структурна модель СЕН

Кожна з частин поділяється на декілька складових, які забезпечують її функціональність. Ці складові формують другий рівень структури СЕН; кожна з них, у свою чергу, може мати свою власну структуру і т.д.

При розгляді взаємодії двох об'єктів комп'ютерної системи, що виступають як приймальники або джерела інформації, слід виділити пасивний об'єкт, над яким виконується операція, і активний об'єкт, який виконує або ініціює цю операцію [4]. Розрізняються такі типи об'єктів: об'єкти-користувачі, об'єкти-процеси і пасивні об'єкти. В багатьох  зарубіжних  джерелах   використовують   також  термін   «суб'єкт»,   який є

суперпозицією об'єкта-користувача і об'єкта-процесу. Нехай S - множина усіх суб'єктів, а

0 - множина усіх об'єктів СЕН. Оскільки, залежно від виду взаємодії, один і той самий

елемент СЕН може виступати як суб'єкт чи як об'єкт, вважатимемо S підмножиною

об'єктів: S с 0. Для відображення багаторівневої структури СЕН представимо множину 0 як об'єднання відповідних підмножин:

N

0 = \JOk,Oke {CI<uLP<uIR<uHR}, (1) k=\

де N — кількість об'єктів на першому рівні структури СЕН, CI, LP, IR, HR позначення для комп'ютерної інфраструктури, платформи електронного навчання, інформаційних ресурсів та людських ресурсів відповідно.

Об'єкти у свою чергу є множинами виду

Ok=[jOkl (2) і

де Nk кількість складових об'єкту 0k, 0k 0к^0kN^ підоб'єкти об'єкта 0k, що є

складовими СЕН другого рівня,

У загальному, якщо структура СЕН налічує n рівнів, її можна подати у вигляді

N  Nh Nh-kn-i

o=UU- U °^-К О)

\=\к2=\ кп

а довільний об'єкт m ~1 рівня, де 1 — m < n, визначається як

Вісник Східноукраїнського національного університету ім. В. Даля, №7 (161), 2011, Ч. 1. 113

=    U    °kfa-K (4)

де fe — об'єкти m -го рівня

Специфічною частиною СЕН є об'єкт першого рівня — ПЕН (рис.1). Ця складова містить апаратні та програмні засоби, що забезпечують функціонування і захист інформації в СЕН та підтримують інтерфейс, через який суб'єкти ЛР отримують доступ до усіх ресурсів і функцій системи. Системне програмне забезпечення ПЕН (об'єкт другого рівня) включає інтерфейс користувача, систему управління навчальним контентом (СУНК, англ. LCMS Learning Content Management System), систему управління навчанням (СУН, англ. LMS   —   Learning   Management   System)   та   комунікаційний   модуль   (рис. 2).

використаємо опис

Рис.2. Структурна модель системного ПЗ ПЕН

3. Підхід до побудови моделей загроз

Для аналізу загроз і побудови на цій основі моделей загроз взаємодії об'єктів СЕН.

Застосуємо модель СЕН для опису взаємодії об'єктів, використовуючи стандарт IEEE LTSA (Learning Technology System Architecture) [5], який визначає принципи побудови графічних моделей взаємодії об'єктів. Об'єкти, що беруть участь у взаємодії позначають за цим стандартом овалами, взаємозв'язки, потоки інформації та даних між ними — стрілками, а інформаційні сховища (файли, бази даних, та знань, бібліотеки тощо) — прямокутниками. Можна розглядати як парні взаємодії, в яких беруть участь лише два об'єкти, так і більш складні, в яких задіяні три і більше об'єктів. Тож, множина таких взаємодій 1 визначається

о тобто її булеаном 2 * * -Iі!

множиною усіх підмножин 1 дорівнює:

тобто її булеаном 2 . Максимальна потужність множини

І = (No ~ 1)!

(5)

де No = И

Проте, не всі такі комбінації об'єктів утворюють допустимі взаємодії об'єктів. Побудова множини 1 є важливою задачею для створення та аналізу моделей інформаційної взаємодії в СЕН.

Згідно НД ТЗІ 1.4-001-2000 «Типове положення про службу захисту інформації в автоматизованій системі» [6], основою для проведення аналізу ризиків і формулювання

114      вимог до інформаційної системи є розробка моделі загроз та моделі порушника. Для створення моделі загроз необхідно скласти перелік суттєвих загроз, описати методи і способи їхнього здійснення. В моделі загроз рекомендується відобразити і врахувати: якими з можливих способів можуть здійснюватися загрози в СЕН, зміну умов фізичного середовища, збої і відмови у роботі обладнання, наслідки помилок під час проектування та розробки компонентів СЕН, помилки користувачів СЕН під час експлуатації, навмисні дії потенційних порушників. Для кожної з загроз необхідно визначити: на порушення яких властивостей інформації або СЕН вона спрямована (порушення конфіденційності, цілісності, доступності, спостережності та керованості СЕН), джерела виникнення (які суб'єкти СЕН чи зовнішні суб'єкти можуть ініціювати загрози), можливі способи здійснення загроз.

Для більшої повноти моделі загроз пропонуємо включити в неї класифікацію STRIDE [7], яка відрізняється простотою і наочністю та широко використовується при аналізі загроз. Назва STRIDE складена з шести перших літер основних категорій загроз:

S (Spoofing of Identity) - маскування під легального користувача, при цьому зловмисник і об'єкт атаки мають однакові рівні доступу;

T (Tampering with Data) - модифікація даних, які користувач не має права змінювати;

R (Repudiation) - відречення користувача від своїх дій;

I (Information Disclosure) - неавторизоване зчитування інформації;

D (Denial of Service) - відмова в обслуговуванні;

E (Elevation of Privilege) - елевація прав. Ця загроза схожа на Spoofing of Identity, але принциповою відмінністю є те, що зловмисник і об'єкт атаки мають різні права доступу.

Фактично STRIDE-класифікація є розширеним описом впливу загрози. З врахуванням рекомендацій НД ТЗІ 1.4-001-2000 пропонуємо для кожної з груп взаємодій складати таблицю (рис. 1), в якій відображатиметься інформація про загрози інформаційній безпеці СЕН. Особливість нашого підходу полягає в тому, що ми аналізуємо загрози з використанням моделей взаємодії, описаних нижче, і доповнюємо рекомендації НД ТЗІ 1.4­001-2000 класифікацією STRIDE.

Таблиця 1.

Модель загроз інформаційній безпеці СЕН_

Загрози

Опис

Поруше­ння властивос­тей інформації

Джерела виникнен­ня

Можливі способи здійснення загроз

Категорія за класифі­кацією

STRIDE

4. Аналіз специфічних загроз

Розглянемо загрози, які виникають під час взаємодії різних суб'єктів та об'єктів СЕН. Звичайно, в рамках статті не можливо охопити всю множину взаємодій 1, тому побудуємо моделі лише для деяких з них.

4.1. Взаємодія «викладач - студент»

4.1.1. Опис взаємодії

В цій взаємодії задіяні сім об'єктів: студент, викладач, система доставки, комунікаційний модуль, система оцінювання, репозиторій навчального контенту, бази даних навчальної інформації. Суб'єктами можуть виступати студент та викладач.

На основі історії прогресу студента, яка зберігається у базах даних навчальної інформації, викладач формує запит до репозиторію навчального контенту і отримує каталог

Вісник Східноукраїнського національного університету ім. В. Даля, №7 (161), 2011, Ч. 1. 115із доступними навчальними об'єктами. Навчальні об'єкти містять вказівники, за якими до них можна звертатись. Набір вказівників викладач надсилає системі доставки, яка відповідно формує організований навчальний контент і надсилає студенту. Студент опрацьовує організований навчальний контент і проходить перевірку знань за допомогою автоматизованої системи оцінювання. Результати екзаменів і тестів записуються у бази даних навчальної інформації і безпосередньо надсилаються викладачу, який робить висновок про ефективність процесу навчання студента і при потребі коригує його. Увесь процес взаємодії студента і викладача в СЕН є зацикленим. В процесі навчання студент і викладач спілкуються за допомогою комунікаційного модуля.

Рис. 3. Модель взаємодії «студент-викладач»

4.1.2. Модель загроз

З допомогою цієї моделі взаємодії розглянемо деякі можливі загрози. Студент може отримати неавторизований доступ до системи оцінювання, що дозволить йому переглянути екзаменаційні завдання до дати складання іспиту, або взагалі видалити їх. Шляхом підміни студент може умисно передати свої ідентифікатор та автентифікаційні дані іншій особі, щоб вона замість нього зареєструвалася в системі оцінювання і склала іспит.

Таблиця 2.

Модель загроз для взаємодії «студент-викладач»_

Загроза

Опис

Порушен-ня

властивос-тей

інформації

Джерела виникнен­ня

Можливі способи здійснення загроз

Категорія за класифі­кацією STRIDE

Відмова від своїх

дій

Студент, який провалив іспит, може заявити, що хтось

скористався його

автентифіка-

Цілісність

Студент

Загроза можлива, якщо в СЕН не

реалізовано механізм цифрового підпису

R

Вісник Східноукраїнського національного університету ім. В. Даля, №7 (161), 2011, Ч. 1.


 

ційними даними

 

 

 

 

Підміна суб'єкта

Видача

неавторизо-

ваною

особою себе за студента з його згоди

Цілісність

Студент

Студент може передати свої

атрибути іншій особі, щоб

приховати свою

відсутність

S

Шахрайськ і    дії з системою оцінюван­ня

Проведен-ня неавторизова них  дій, які призводять до зміни

результатів тестування і не

відображають

знань

студента

Цілісність

Студент

Використан ня підказок, шпаргалок, використа­ння «дірок» в системі оцінювання тощо

T

Віддалена атака на комп'ютер викладача

Студент може

спробувати

атакувати

комп'ютер

викладача з

метою

перехоплення його

автентифікаці йних даних, захоплення контролю над його

комп'ютером

Конфіден­ційність, цілісність

Студент

Передача викладачу зараженого файлу, відправлен­ня

посилання на заражену веб-

сторінку

T, I

4.2 Взаємодія «викладач - група студентів»

4.2.1. Опис взаємодії

Ця ситуація відрізняється від попередньої лише тим, що викладач взаємодіє не індивідуально з одним студентом, а з цілою групою. В цій взаємодії виникають нові загрози при груповій роботі студентів. Один студент може перехопити роботу іншого студента і видати її за свою власну. При великій кількості студентів у групі існує загроза організації атаки на сервіси СЕН типу «відмова в обслуговуванні».

Подані моделі загроз і описи взаємодій не претендують на повноту і лише показують їх можливості для виявлення та аналізу загроз.

Рис. 4. Модель взаємодії «викладач-група студентів»

Таблиця 3.

Модель загроз для взаємодії «викладач-група студентів»_

Загроза

Опис

Порушен-ня

властивос-тей

інформації

Джерела виникне ння

Можливі способи здійснення загроз

Категорія за класифі­кацією STRIDE

 

 

 

 

Перехоплення

 

 

 

 

 

результатів

 

 

 

 

 

може

 

 

Зловмис-ник

 

 

здійснюватися

 

 

може

 

 

за допомогою

 

Не авто-

перехопити

 

 

методу

 

ризоване

результати

Конфіденційн ість

 

сніфінгу

 

перехопле-

інших

 

Студент

мережі,

I

ння

студентів і

 

 

неавторизован

 

результату

представити їх   як свою власну роботу

 

 

ого доступу до

системи

оцінювання,

системи

адмініструван

ня LMS

 

 

 

 

 

Масове

 

 

 

 

 

надсилання

 

Атака типу «відмова в осблуговув анні» на сервіси

СЕН

Якщо група студентів є достатньо чисельною є

Доступність

Студент

складних запитів, атака на

переповнення

D

 

імовірність

 

 

буферу,

 

 

організації

 

 

об'єднання

 

 

DoS-атак

 

 

ресурсів студентів для DoS-атак

 

Висновки

Отже, в даній роботі розроблено підходи до побудови описів взаємодії об'єктів СЕН і моделей загроз в цих взаємодіях, проаналізовано деякі специфічні загрози, які виникають на другому та нижчих рівнях взаємодії моделі СЕН.

В подальших дослідженнях необхідно побудувати множину взаємодій для повного аналізу загроз інформаційній безпеці СЕН, розробити моделі порушників, дослідити можливі рішення для протидії специфічним загрозам та розробити політику безпеки для

СЕН.

Література

1. Применение ИКТ в высшем образовании стран СНГ и Балтии: текущее состояние, проблемы и перспективы развития. Аналитический обзор - СПб.: ГУАП, 2009.

2. Закон України про доступ до публічної інформації. - ВРУ, 2011.

3. Chekurin V, Budik O. Model of e-learning system for information security analysis. - Kherson State University, Proceedings of the VII International Scientific Conference ICTERI, 2011.

4. Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу. - Київ: ДСТСЗІ СБ України, 1999.

5. Frank Farance, Joshua Tonkel. Learning Technology System Architecture, Draft 5. -Edutool.Com, 1999.

6. Типове положення про службу захисту інформації в автоматизованій системі. - Київ: ДСТСЗІ СБ України, 2000.

7. The STRIDE Threat Model. - Microsoft MSDN, 2002.

Страницы:
1  2 


Похожие статьи

В Ф Чекурін - Взаємодія об'єктів і аналіз загроз інформаційній безпеці систем електронного навчання