Обеспечение информационной безопасности при дистанционном обучении

Основными задачами парольной защиты информации являются:
- защита информационных ресурсов автоматизированной системы предприятия от несанкционированного доступа;
- применение политики для соответствующего уровня доступа авторизовавшегося пользователя.
Вход под паролем предполагает аутентификацию пользователя в рамках использования информационного ресурса, соответственно пользователь несет ответственность за сохранность в тайне парольной информации.
В рамках использования систем дистанционного обучения ввод пароля производится на уровне доступа в приложение, обеспечивающего функциональность проведения учебных занятий.
По функциональному назначению парольный вход, как правило, используется для контроля загрузки системы, контроля функционирования, с целью блокировки и контроля доступа. Для ввода пароля используется клавиатура или более современные методы, такие как голосовой набор или интерактивный набор пароля.
Идентификация призвана каждому пользователю (группе пользователей) сопоставить соответствующую ему разграничительную политику доступа на защищаемом объекте. Для этого пользователь должен себя идентифицировать – указать своё «имя» (идентификатор). Таким образом проверяется, относится ли регистрирующийся пользователь к пользователям, идентифицируемым системой. И в соответствии с введённым идентификатором пользователю будут сопоставлены соответствующие права доступа.
Аутентификация предназначена для контроля процедуры идентификации. Для этого пользователь должен ввести пароль. Правильность вводимого пароля подтверждает однозначное соответствие между регистрирующимся пользователем и идентифицированным пользователем.
В качестве реакции на несанкционированные действия пользователя системой защиты может устанавливаться блокировка некоторых функций: загрузки системы, доступа в систему, учётных записей пользователя, запуска определённых приложений. Для снятия блокировки необходима авторизация администратора безопасности или ответственного лица.
Кроме того, пользователь может сам выставит блокировку на доступ к системе и к приложениям, и т.д., чтобы доступ в систему и к этим приложениям в его отсутствии был блокирован. Для разблокировки приложения в его отсутствии был блокирован. Для разблокировки приложения необходимо авторизоваться текущему пользователю. При этом администратор безопасности может блокировать учетные записи пользователей для входа в систему в нерабочее время.
Задачи обеспечения сложности пароля связаны с максимальным затруднением технологии их подбора злоумышленниками и предполагают необходимость:
- установки длины пароля от 8 символов;
- использования символов в различных регистрах;
- отказ от использования символов, идущих подряд и последовательности одинаковых символов.
Также необходимо обеспечивать периодическую смену паролей и соблюдение режима секретности паролей.

Современное развитие информационных технологий и уровень программного обеспечения достиг уровня, при котором использование только парольной защиты не является достаточной гарантией защищенности информационного ресурса.
Широкое распространение получают случаи взлома учетных записей пользователей Интернет-ресурсов. Причиной взлома учетной записи может быть:
- заражение вирусом;
- переход на поддельные сайты;
- использование пользователем одних и тех же паролей к разным ресурсам;
- недостаточная сложность пароля.
Для предотвращения компрометации учетных записей Интернета администраторы ресурсов включают дополнительные степени защиты (оповещение о действиях с паролями на сотовые телефоны, метод секретны кодовых слов и т.д.), но зачастую сами эти мероприятия увеличивают уязвимости учетных записей пользователей. Например, пользователи могут либо потерять сотовый телефон, сменить сим-карту, которая перейдет к другому владельцу, либо, не понимая смысл технологии использования секретных вопросов сделать его слишком простым.
Платежные системы в силу специфики своей работы, являются наиболее защищенными Интернет-сервисами в рамках технологии парольной защиты, для минимизации вероятности взлома учетных записей совершенствуют технологии парольной защиты следующими методами:
- выдача одноразовых паролей;
- двухфакторная аутентификация (пароль и СМС-сообщение);
- аутентификация на основе пароля и сертификата ЭП;
- использование специальных устройств для генерации паролей;
- блокирование учетной записи при нескольких ошибках авторизации.

В системах дистанционного обучения при использовании парольной защиты возникают следующие проблемы:
- наличие только парольной аутентификации пользователя не гарантирует безопасность работы с данной учетной записью, так как пользователи не всегда обладают достаточной дисциплиной, связанной с сохранностью и конфиденциальностью паролей и не предполагает ответственности за действия пользователя, совершенные под данной учетной записью;
- зачастую при временном отсутствии пользователя не всегда возможна авторизация под другой учетной записью на данном рабочем месте и пользователи вынуждены передавать свои пароли на время своего отсутствия третьим лицам;
- не всегда возможно проводить мониторинг своевременности смены паролей;
- не во всех программных комплексах реализована система контроля сложности паролей.
Таким образом, при увеличении количества программных продуктов, требующих аутентификации общая защищенность автоматизированной системы снижается.
Для увеличения эффективности системы защиты информации можно применять административные меры к нарушителям системы парольной защиты информации, однако это не всегда приводит к нужному результату, так как и пользователи и руководство организаций не осознают серьезность проблемы защиты информационных ресурсов. Оптимальными решениями в области совершенствования системы парольной защиты информации являются технологические решения.
Рассмотрим основные технологические решения в области оптимизации технологии парольной защиты.
Одним из методов усиления парольной защиты является метод использования мнемонических парольных фраз, когда в качестве пароля генеририруется фраза, например из 3-х слов и паролем является комбинация из первых 3-х букв этой фразы, набранной в английской раскладке. В результате полученный пароль удовлетворяет требованиям сложности пароля и пользователь его запоминает через парольную фразу. Парольная фраза не несет никакого смысла, так как составляется из случайно выбранных двух существительных и одного глагола.
Пример парольной фразы «подруга поймала передачу» соответствует парою «gjlgjqgth». При этом этот пароль является 9-знаным, что соответствует требованиям сложности и парольная фраза легко запоминается.
Еще одним эффективным методом парольной защиты является использование электронных ключей eToken, что позволит повысить эффективность парольной защиты системы.
Основные возможности электронного ключа [12]:
- возможность хранить множество паролей от приложений различной архитектуры, включая Web-формы;
- возможность централизованно администрировать параметры парольной защиты (сервер ПО от eToken позволяет проводить мониторинг работы парольной защиты – сроки смены паролей, протоколирование авторизации);
- исключается возможность авторизации на двух рабочих станциях одной учетной записи;
- имеется возможность централизованной блокировки пользователя;
- пользователь проводит ввод пароля только один раз, остальные пароли находятся в памяти ключа и оттуда считываются;
- при смене пин-кода электронного ключа производится мониторинг на его сложность.
Использование электронного ключа позволяет удалять профили пользователей, создавать новые профили с использованием поставляемого программного обеспечения. Также имеется доступ администраторов к мониторингу активности пользователей, имеются возможности блокировки подключений, проверки протоколов работы пользователя в приложениях.