اليوم ، مع توفر الإنترنت على نطاق واسع والتطور السريع للاتصالات ، أصبحت الفجوة بين توقعات الطلاب وما يمكن للمؤسسات التعليمية أن تقدمه لهم ملحوظة للغاية. يجب أن تتطور أساليب العمل في التعليم باستمرار ، بعد التغيرات الاجتماعية والتطورات التكنولوجية. في الوقت نفسه ، ليس في المقام الأخير حماية كل من المواد التعليمية وغيرها من المعلومات ذات الوصول المحدود ، والبنية التحتية لتكنولوجيا المعلومات نفسها من الهجمات العشوائية أو المستهدفة.

تساعد تقنيات أمن المعلومات الحديثة المؤسسات التعليمية على حل التحديات في المجالات الرئيسية التالية:

تنظيم الوصول الآمن إلى المواد والأنظمة التعليمية من أي مكان في العالم ؛

حماية معلومات الوصول المقيد (البيانات الشخصية ، الأسرار التجارية ، إلخ) وحماية الملكية الفكرية ؛

الامتثال لمتطلبات التشريعات في مجال أمن المعلومات (حماية البيانات الشخصية ، حماية حقوق الملكية الفكرية ، حماية الأطفال من المعلومات السلبية).

المشكلة رقم 1: مجموعات مستخدمين مختلفة

الجامعة الحديثة وشبكتها هي بيئة غير متجانسة تتعارض فيها اهتمامات وبيانات مجموعات المستخدمين المختلفة. قد تحتوي شبكة الجامعة على الفئات التالية من المستخدمين الذين لديهم متطلبات مختلفة لأمن المعلومات: طلاب الجامعات وطلاب التبادل. المعلمين والإدارة. تلاميذ المدارس الذين يحضرون الدورات التحضيرية قبل دخول الجامعة ؛ زوار الدورات المدفوعة والدورات التدريبية المتقدمة التي تقدمها الجامعة من أجل الحصول على مصادر دخل إضافية ، وكذلك ممثلي المنظمات التي تزود الجامعة بأوامر تجارية ، على سبيل المثال ، في مجال البحث والتطوير.

التحدي رقم 2: الوصول إلى التحول ومفهوم أي جهاز

مع استمرار ضبابية محيط شبكة الحرم الجامعي التقليدية وفقدان بيئة الجامعة تدريجياً حدودها ، تعمل الهواتف الذكية والأجهزة اللوحية والأجهزة الطرفية الأخرى وتطبيقات الويب على تغيير العملية التعليمية بشكل لا رجعة فيه ، مما يوفر القدرة على الوصول إلى المواد التعليمية من أي مكان في العالم - من حجرة الدراسة بالجامعة ، النزل ، السكن ، الحرم الجامعي ، جامعة أخرى حيث يذهب الطلاب لتبادل الخبرات ، إلخ. تتابع سيسكو مفهوم أي جهاز ، والذي يهدف إلى توسيع حرية اختيار الجهاز لمستخدمي الحرم الجامعي مع الحفاظ على تجربة مشتركة ويمكن التنبؤ بها. كل هذا يحافظ أو حتى يزيد من مستوى التنافسية والإنتاجية والسلامة للمؤسسة التعليمية.

في الوقت نفسه ، عند تقديم مفهوم "أي جهاز" ، ينشأ عدد من مشاكل نظم المعلومات التي تحتاج إلى حل. في هذه الحالة ، عليك تقديم:

منع الاتصال غير المصرح به لأجهزة المشتركين في الشبكة: أجهزة الكمبيوتر الثابتة (محطات العمل أو محطات العمل) ، وأجهزة الكمبيوتر المحمولة (محطات العمل المحمولة) ، والأجهزة المحمولة (أجهزة الكمبيوتر اللوحية التي تعمل بنظام Android و iOS) ، وطابعات الشبكة وهواتف IP بشبكة الجامعة ؛

الامتثال لمتطلبات وتوصيات سياسات أمن المعلومات الحالية ، فضلاً عن توفير القدرة على التحكم عن بعد في الأجهزة المحمولة المتصلة بشبكة الجامعة للامتثال لسياسات أمن المعلومات الحالية ؛

بالإضافة إلى ذلك ، يجب توفير تنظيم التقسيم المنطقي لشبكة الجامعة إلى مناطق أمان دون تغيير البنية التحتية الحالية (التقسيم الحالي للشبكة إلى قطاعات) ، من أجل تخصيص مناطق الضيف ومناطق الوصول المقيد لتوصيل أجهزة المشتركين في مجموعات مختلفة من المستخدمين ، بالإضافة إلى مستخدمي الأجهزة المحمولة (أجهزة الكمبيوتر اللوحية) التي تعمل بنظامي Android و iOS).

المشكلة رقم 3: حماية نظم المعلومات والمعلومات المقيدة

الجامعة الحديثة عبارة عن مخزن للمعلومات المختلفة التي تحتاج إلى الحماية. هذا هو حول:

البيانات الشخصية للطلاب والمعلمين والإدارة والفئات الأخرى من المستخدمين ؛

المعلومات التي تشكل سرًا تجاريًا للجامعة وتسمح لها بالتقدم على الجامعات الأخرى في مجال توفير برامج تعليمية وتعليمية أفضل ، فضلاً عن طرق تدريس أكثر تقدمًا ؛

المواد التعليمية التي طورتها الجامعة ، والتي يجب أن يكون الوصول إليها إما محدودًا أو خاضعًا للرقابة ، لأن. هم ملكية فكرية ؛

البرامج أو التراخيص التي حصلت عليها الجامعة ، والتي قد تؤدي سرقتها إلى تدهور وضع المؤسسة التعليمية في الصراع التنافسي أو تنطوي على مسؤولية جنائية أو إدارية.

أخيرًا ، تخضع نتائج عمليات البحث والتطوير التي يمكن للجامعة تنفيذها بناءً على طلب العملاء التجاريين أو الحكوميين للحماية.

بالإضافة إلى حماية معلومات الوصول المقيد ، يجب أيضًا ضمان أمن أنظمة معلومات العملية التعليمية. يمكن أن يؤدي التعطيل العرضي أو المتعمد لهذه الأنظمة إلى تعطيل عملية التعلم وانتهاك الشروط التعاقدية (في حالة التدريب المدفوع أو تنفيذ أنشطة البحث والتطوير المختلفة).

المشكلة رقم 4: القيود التشريعية

بالإضافة إلى حماية أنظمة المعلومات والمعلومات التي توفر للجامعة مزايا تنافسية ، يجب أن يتيح نظام أمن المعلومات إمكانية تنفيذ مبادرات تشريعية تهدف إلى حماية حقوق ومصالح مختلف فئات المواطنين والمنظمات. تشمل الإجراءات المعيارية التي تلتزم بها الجامعة في المقام الأول ما يلي:

القانون الاتحادي رقم 139-FZ المؤرخ 28 يوليو 2012 "بشأن التعديلات على القانون الاتحادي" بشأن حماية الأطفال من المعلومات الضارة بصحتهم ونموهم "وبعض القوانين التشريعية للاتحاد الروسي بشأن تقييد الوصول إلى المعلومات غير القانونية بشأن إنترنت"؛

القانون الاتحادي المؤرخ 2 يوليو 2013 رقم 187-FZ "بشأن التعديلات على القوانين التشريعية للاتحاد الروسي بشأن حماية الحقوق الفكرية في شبكات المعلومات والاتصالات".

المشكلة رقم 5: تزايد عدد التهديدات

بيئة تهديد أمن الشبكة في تطور مستمر. تحتل المناصب القيادية فيها تهديدات خفية مكتوبة بشكل خاص ، قادرة بشكل متزايد على التغلب على الأساليب والوسائل التقليدية للحماية. تخترق هذه التهديدات داخل الشبكة - على المستوى الأساسي ومستوى التوزيع ومستوى وصول المستخدم ، حيث تكون الحماية من التهديدات والرؤية عند أدنى مستوى. من هناك ، لا تواجه هذه التهديدات مشكلة في اختيار أهدافها - موارد محددة وحتى أشخاص محددين في الجامعة. الغرض من التهديدات السيبرانية الحديثة ليس اكتساب الشهرة والمجد ، أو حتى إنشاء شبكة بوت نت مربحة ، ولكن الاستيلاء على الملكية الفكرية أو التجارة والأسرار الأخرى وسرقتها من أجل تحقيق مزايا تنافسية.

حلول أمن المعلومات من سيسكو

Cisco SecureX Architecture ™ هي بنية أمان من الجيل التالي تدمج الحلول والمنتجات والخدمات المرنة لإنشاء سياسات أعمال متسقة وإنفاذها عبر الشبكة الموزعة للجامعة الحديثة. تدمج بنية Cisco SecureX ذكاء التهديدات العالمية والوعي بالسياق لمواجهة تحديات الأمان الفريدة مثل صعود المستخدمين المتنقلين بشكل كبير ، أو التوسع في الأجهزة المحمولة التي تدعم الشبكة ، أو الانتقال إلى البنى التحتية السحابية والخدمات.

يلبي Cisco SecureX احتياجات الشبكات غير الواضحة من خلال توفير أمان فعال لأي مستخدم ، على أي جهاز ، في أي مكان وفي أي وقت. تستخدم بنية الأمان الجديدة هذه لغة سياسة عالية المستوى "تفهم" السياق الكامل للموقف - من وماذا وأين ومتى وكيف. بفضل التنفيذ الموزع لسياسات الأمان ، تقترب عملية الحماية من مكان عمل المستخدم النهائي في أي مكان في العالم ، مما يسمح ليس فقط بتأمين كل جهاز أو مستخدم ، ولكن أيضًا ، إذا لزم الأمر ، لتوطين التهديد مثل قريبة قدر الإمكان من مصدرها.

تلبي الحلول المضمنة في Cisco SecureX متطلبات السلطات الحكومية الروسية المعتمدة في مجال أمن المعلومات ، ولديها أكثر من 600 شهادة أمان FSTEC و FSB مختلفة.

اليوم ، مع توفر الإنترنت على نطاق واسع والتطور السريع للاتصالات ، أصبحت الفجوة بين توقعات الطلاب وما يمكن للمؤسسات التعليمية أن تقدمه لهم ملحوظة للغاية. يجب أن تتطور أساليب العمل في التعليم باستمرار ، بعد التغيرات الاجتماعية والتطورات التكنولوجية. في الوقت نفسه ، ليس في المقام الأخير حماية كل من المواد التعليمية وغيرها من المعلومات ذات الوصول المحدود ، والبنية التحتية لتكنولوجيا المعلومات نفسها من الهجمات العشوائية أو المستهدفة.

تساعد تقنيات أمن المعلومات الحديثة المؤسسات التعليمية على حل التحديات في المجالات الرئيسية التالية:

تنظيم الوصول الآمن إلى المواد والأنظمة التعليمية من أي مكان في العالم ؛ حماية المعلومات المقيدة (البيانات الشخصية والأسرار التجارية وما إلى ذلك) وحماية الملكية الفكرية ؛ الامتثال لمتطلبات التشريعات في مجال أمن المعلومات (حماية البيانات الشخصية ، حماية حقوق الملكية الفكرية ، حماية الأطفال من المعلومات السلبية).

المشكلة رقم 1: مجموعات مستخدمين مختلفة

الجامعة الحديثة وشبكتها هي بيئة غير متجانسة تتعارض فيها اهتمامات وبيانات مجموعات المستخدمين المختلفة. قد تحتوي شبكة الجامعة على الفئات التالية من المستخدمين الذين لديهم متطلبات مختلفة لأمن المعلومات: طلاب الجامعات وطلاب التبادل. المعلمين والإدارة. تلاميذ المدارس الذين يحضرون الدورات التحضيرية قبل دخول الجامعة ؛ زوار الدورات المدفوعة والدورات التدريبية المتقدمة التي تقدمها الجامعة من أجل الحصول على مصادر دخل إضافية ، وكذلك ممثلي المنظمات التي تزود الجامعة بأوامر تجارية ، على سبيل المثال ، في مجال البحث والتطوير.

التحدي رقم 2: الوصول إلى التحول ومفهوم أي جهاز

مع استمرار ضبابية محيط شبكة الحرم الجامعي التقليدية وفقدان بيئة الجامعة تدريجياً حدودها ، تعمل الهواتف الذكية والأجهزة اللوحية والأجهزة الطرفية الأخرى وتطبيقات الويب على تغيير العملية التعليمية بشكل لا رجعة فيه ، مما يوفر القدرة على الوصول إلى المواد التعليمية من أي مكان في العالم - من حجرة الدراسة بالجامعة ، النزل ، السكن ، الحرم الجامعي ، جامعة أخرى حيث يذهب الطلاب لتبادل الخبرات ، إلخ. تتابع سيسكو مفهوم أي جهاز ، والذي يهدف إلى توسيع حرية اختيار الجهاز لمستخدمي الحرم الجامعي مع الحفاظ على تجربة مشتركة ويمكن التنبؤ بها. كل هذا يحافظ أو حتى يزيد من مستوى التنافسية والإنتاجية والسلامة للمؤسسة التعليمية.

في الوقت نفسه ، عند تقديم مفهوم "أي جهاز" ، ينشأ عدد من مشاكل نظم المعلومات التي تحتاج إلى حل. في هذه الحالة ، عليك تقديم:

منع الاتصال غير المصرح به لأجهزة المشتركين في الشبكة: أجهزة الكمبيوتر الثابتة (محطات العمل أو محطات العمل) ، وأجهزة الكمبيوتر المحمولة (محطات العمل المحمولة) ، والأجهزة المحمولة (أجهزة الكمبيوتر اللوحية التي تعمل بنظام Android و iOS) ، وطابعات الشبكة وهواتف IP بشبكة الجامعة ؛ الامتثال لمتطلبات وتوصيات سياسات أمن المعلومات الحالية ، وكذلك توفير القدرة على التحكم عن بعد في الأجهزة المحمولة المتصلة بشبكة الجامعة للامتثال لسياسات أمن المعلومات الحالية ؛ بالإضافة إلى ذلك ، يجب توفير تنظيم التقسيم المنطقي لشبكة الجامعة إلى مناطق أمان دون تغيير البنية التحتية الحالية (التقسيم الحالي للشبكة إلى قطاعات) ، من أجل تخصيص مناطق الضيف ومناطق الوصول المقيد لتوصيل أجهزة المشتركين في مجموعات مختلفة من المستخدمين ، بالإضافة إلى مستخدمي الأجهزة المحمولة (أجهزة الكمبيوتر اللوحية التي تعمل بنظام Android و iOS).

المشكلة رقم 3: حماية نظم المعلومات والمعلومات المقيدة

الجامعة الحديثة عبارة عن مخزن للمعلومات المختلفة التي تحتاج إلى الحماية. هذا هو حول:

البيانات الشخصية للطلاب والمعلمين والإدارة والفئات الأخرى من المستخدمين ؛ المعلومات التي تشكل سرًا تجاريًا للجامعة وتسمح لها بالتقدم على الجامعات الأخرى في توفير برامج تعليمية وتعليمية أفضل ، فضلاً عن طرق تدريس أكثر تقدمًا ؛ المواد التعليمية التي طورتها الجامعة ، والتي يجب أن يكون الوصول إليها إما محدودًا أو خاضعًا للرقابة ، لأن هم ملكية فكرية ؛ البرامج أو التراخيص التي حصلت عليها الجامعة ، والتي قد تؤدي سرقتها إلى تفاقم موقف المؤسسة التعليمية في الصراع التنافسي أو تنطوي على مسؤولية جنائية أو إدارية. أخيرًا ، تخضع نتائج عمليات البحث والتطوير التي يمكن للجامعة تنفيذها بناءً على طلب العملاء التجاريين أو الحكوميين للحماية.

بالإضافة إلى حماية معلومات الوصول المقيد ، يجب أيضًا ضمان أمن أنظمة معلومات العملية التعليمية. يمكن أن يؤدي التعطيل العرضي أو المتعمد لهذه الأنظمة إلى تعطيل عملية التعلم وانتهاك الشروط التعاقدية (في حالة التدريب المدفوع أو تنفيذ أنشطة البحث والتطوير المختلفة).

المشكلة رقم 4: القيود التشريعية

بالإضافة إلى حماية أنظمة المعلومات والمعلومات التي توفر للجامعة مزايا تنافسية ، يجب أن يتيح نظام أمن المعلومات إمكانية تنفيذ مبادرات تشريعية تهدف إلى حماية حقوق ومصالح مختلف فئات المواطنين والمنظمات. تشمل الإجراءات المعيارية التي تلتزم بها الجامعة في المقام الأول ما يلي:

القانون الاتحادي الصادر في 27 يوليو 2006 رقم 152-FZ "بشأن البيانات الشخصية" ؛ القانون الاتحادي بتاريخ 28 يوليو 2012 رقم 139-FZ "بشأن التعديلات على القانون الاتحادي" بشأن حماية الأطفال من المعلومات الضارة بصحتهم ونموهم "وبعض القوانين التشريعية للاتحاد الروسي بشأن مسألة تقييد الوصول إلى معلومات على الإنترنت "؛ القانون الاتحادي المؤرخ 2 يوليو 2013 رقم 187-FZ "بشأن التعديلات على القوانين التشريعية للاتحاد الروسي بشأن حماية الحقوق الفكرية في شبكات المعلومات والاتصالات".

المشكلة رقم 5: تزايد عدد التهديدات

بيئة تهديد أمن الشبكة في تطور مستمر. تحتل المناصب القيادية فيها تهديدات خفية مكتوبة بشكل خاص ، قادرة بشكل متزايد على التغلب على الأساليب والوسائل التقليدية للحماية. تخترق هذه التهديدات داخل الشبكة - على المستوى الأساسي ، ومستوى التوزيع ، ومستوى وصول المستخدم ، حيث تكون الحماية من التهديدات والرؤية عند الحد الأدنى. من هناك ، لا تجد هذه التهديدات صعوبة في اختيار أهدافها - موارد محددة وحتى أشخاص محددين في الجامعة. الغرض من التهديدات السيبرانية الحديثة ليس اكتساب الشهرة والمجد ، أو حتى إنشاء شبكة بوت نت مربحة ، ولكن الاستيلاء على الملكية الفكرية أو التجارة والأسرار الأخرى وسرقتها من أجل تحقيق مزايا تنافسية.

حلول أمن المعلومات من سيسكو

Cisco SecureX Architecture ™ هي بنية أمان من الجيل التالي تجمع بين الحلول والمنتجات والخدمات المرنة لتشكيل سياسات أعمال متسقة وإنفاذها عبر الشبكة الموزعة للجامعة الحديثة. تدمج بنية Cisco SecureX ذكاء التهديدات العالمية والوعي بالسياق لمواجهة تحديات الأمان الفريدة مثل صعود المستخدمين المتنقلين بشكل كبير ، أو التوسع في الأجهزة المحمولة التي تدعم الشبكة ، أو الانتقال إلى البنى التحتية السحابية والخدمات.

يلبي Cisco SecureX احتياجات الشبكات غير الواضحة من خلال توفير أمان فعال لأي مستخدم ، على أي جهاز ، في أي مكان وفي أي وقت. تستخدم بنية الأمان الجديدة هذه لغة سياسة عالية المستوى "تفهم" السياق الكامل للموقف - من وماذا وأين ومتى وكيف. بفضل التنفيذ الموزع لسياسات الأمان ، تقترب عملية الحماية من مكان عمل المستخدم النهائي في أي مكان في العالم ، مما يسمح ليس فقط بتأمين كل جهاز أو مستخدم ، ولكن أيضًا ، إذا لزم الأمر ، لتوطين التهديد مثل قريبة قدر الإمكان من مصدرها.

تلبي الحلول المضمنة في Cisco SecureX متطلبات السلطات الحكومية الروسية المعتمدة في مجال أمن المعلومات ، ولديها أكثر من 600 شهادة أمان FSTEC و FSB مختلفة.

للتعرف بسرعة على مواد متخصصي Cisco المنشورة في مدونة Cisco. Russia / CIS "، تحتاج إلى الاشتراك في http://gblogs.cisco.com/en.

العلامات: أمن المعلومات ، أمن المعلومات ، التعليم ، الجامعة ، هندسة سيسكو SecureX ، الملكية الفكرية.

إرسال عملك الجيد في قاعدة المعرفة أمر بسيط. استخدم النموذج أدناه

سيكون الطلاب وطلاب الدراسات العليا والعلماء الشباب الذين يستخدمون قاعدة المعرفة في دراساتهم وعملهم ممتنين جدًا لك.

نشر على http://www.allbest.ru

• المقدمة
• ملاءمة
• 1. دراسة نظام المعلومات للمؤسسة
• 1.1 وصف المؤسسة
• 1.2 تكوين الأجهزة والبرامج وهيكل الشبكة
• 1.3 تحليل تدفق المعلومات
• 1.4 تحليل مصادر المعلومات
• 1.5 الأمن المادي للأشياء (الأمن)
• 2. تحليل وتطوير نموذج التهديدات
• 2.1. تصنيف وتحليل مصادر التهديدات والثغرات الأمنية
• 2.2. نموذج الدخيل
• 2.3 تحديد التهديدات الفعلية لنظام المعلومات
• 2.4 تحديد فئة أمن نظام المعلومات
• 3. تطوير نموذج نظام أمن المعلومات
• 3.1. تحليل الامتثال للمعايير والسياسات الحالية
• 3.2 تطوير سياسة أمن المعلومات
• 4. تطوير بوابة التفويض الابتدائي
• 4.2 متطلبات وظائف البوابة
• 4.3 تطوير البوابة
• استنتاج
• فهرس
• الملحق

المقدمة

لطالما كان ضمان أمن موارد المعلومات موضوع نقاش في العديد من المؤسسات ، إلى جانب تطوير تكنولوجيا المعلومات ، أدى ذلك إلى تطوير أنظمة مؤتمتة. يسمح نظام أمن المعلومات الفعال بتقليل المخاطر المرتبطة بالمعلومات ويساهم في التشغيل المستقر لتدفقات معلومات المؤسسة.

يتطلب أمن المؤسسات العامة ، مثل مؤسسات التعليم العالي ، أيضًا مستوى عالٍ من أمن المعلومات.

تشكل الأصول المعلوماتية للجامعة قدرًا هائلاً من المعلومات حول الأنشطة التعليمية وأنشطة الموظفين بمستويات مختلفة من الوصول. يُعد موظفو وطلاب الجامعة أيضًا مثالًا رائعًا للأفراد الذين لديهم حقوق وصول مختلفة إلى المعلومات. لذلك ، تقرر وضع مجموعة فعالة من الإجراءات لضمان أمن المعلومات في الجامعة.

الغرض من الأطروحة هو تطوير مجموعة من التدابير التي تهدف إلى ضمان أمن المعلومات بالجامعة على سبيل المثال من جامعة ولاية نيجني نوفغورود للهندسة المعمارية والهندسة المدنية. أمن تهديد المعلومات

موضوع البحث في الأطروحة هو نظام حماية أمن المعلومات بجامعة نيجني نوفغورود الحكومية للهندسة المعمارية والهندسة المدنية.

يتكون عمل الدبلوم من أربعة فصول. يقدم الفصل الأول وصفاً لنظام المعلومات في المنظمة ، وتحليل مصادر المعلومات والوسائل التقنية. في الفصل الثاني ، يتم تحليل التهديدات المحتملة للنظام وتحديد نموذج الدخيل. في الفصل الثالث ، تم تطوير سياسة أمن المعلومات. الفصل الرابع ، في شكل مذكرة توضيحية ، يحتوي على عملية تنفيذ بوابة الترخيص الأولية.

ملاءمة

في المرحلة الحالية من تطور المجتمع ، تعد تكنولوجيا المعلومات جزءًا لا يتجزأ منه. أصبحت المعلومات إحدى الوسائل الرئيسية للتقدم الاجتماعي والاقتصادي والتقني والعلمي للمجتمع العالمي. يؤدي تطوير تقنيات المعلومات وتوسيع فضاء المعلومات إلى مستوى متزايد من الهجمات والانتهاكات في هذا المجال ، مما يجعل مشاكل أمن المعلومات أكثر أهمية. يُفهم أمن المعلومات على أنه حالة حماية المعلومات والبنية التحتية التي تدعمها من التأثيرات العرضية أو المتعمدة ذات الطبيعة الطبيعية أو الاصطناعية التي يمكن أن تلحق الضرر بمالكي المعلومات أو مستخدميها.

يعد ضمان أمن المعلومات أحد العوامل الرئيسية للأداء المستقر لأي مؤسسة. اليوم ، تعد سرية المعلومات وسلامتها وتوافرها جانبًا مهمًا لاستمرارية الأعمال ، لذلك يركز عدد متزايد من المنظمات على مسألة أمن المعلومات. وبالتالي ، هناك حاجة إلى نظام أمن معلومات فعال ومتكامل.

في كثير من الأحيان ، عند إنشاء نظام معلومات ، تسعى المؤسسات إلى تأمين أصول المعلومات الخاصة بها فقط على مستويات الحماية الخاصة بالأجهزة والبرامج. لكن هذا المستوى من الأمان غير فعال ويجب دعمه بقواعد وأنظمة أمن المعلومات.

يجب أن يتم إعداد وتنفيذ نظام أمني في مؤسسة ما على أساس التشريعات القائمة والمتطلبات التنظيمية في مجال أمن المعلومات. الوثيقة الرئيسية هي دستور الاتحاد الروسي ، والتي بموجبها "لا يُسمح بجمع وتخزين واستخدام ونشر المعلومات حول الحياة الخاصة لأي شخص دون موافقته".

الوثائق الأساسية الأخرى في مجال أمن المعلومات هي القانون الاتحادي الصادر في 27 يوليو 2006 رقم 149-FZ "بشأن المعلومات وتقنيات المعلومات وحماية المعلومات" ، والتي بموجبها من الضروري حماية المعلومات من الوصول غير المصرح به والتعديل والتدمير ونسخ وتوزيع البيانات. ينظم القانون الاتحادي رقم 152-FZ الصادر في 27 يوليو 2006 "بشأن البيانات الشخصية" الإجراءات المتعلقة بمعالجة البيانات الشخصية من قبل مؤسسات الدولة باستخدام أنظمة مؤتمتة.

يجب أيضًا مراعاة قانون الاتحاد الروسي "بشأن أسرار الدولة" وقانون الاتحاد الروسي "بشأن الأسرار التجارية" ، الذي ينظم إجراءات تصنيف المعلومات على أنها سر رسمي ونظام الأسرار الرسمية والإجراءات للإفصاح عن البيانات الرسمية. هناك أيضًا عدد من القوانين التي يتم بموجبها تشكيل مستويات سرية المعلومات ("عند الموافقة على قائمة المعلومات ذات الطبيعة السرية" ؛ "بشأن الموافقة على قائمة المعلومات المصنفة كأسرار الدولة" ؛ "في الموافقة على قائمة المعلومات التي لا يمكن أن تكون سرًا تجاريًا ").

بشكل عام ، لا تأخذ RFs التشريعية في الاعتبار ولا تنظم بشكل كامل تخزين واستخدام البيانات السرية.

المعايير والمواصفات هي اللوائح الرئيسية لضمان الأمن من جانب المستويات الإجرائية ومستويات البرامج والأجهزة. هذه هي المستندات التي تحتوي على منهجيات وأدوات أمان عالية الجودة ومثبتة.

وفقًا للمعايير ، يجب أن يتكون ضمان أمن كائنات نظام المعلومات من الخطوات التالية:

- تخصيص أهداف لضمان أمن المعلومات ؛

- تصميم نظام إدارة فعال ؛

- تحليل وتقييم الامتثال للأهداف المحددة ؛

- تحليل الحالة الأولية للأمن ؛

يحتوي ISO 15408: المعايير المشتركة لتقييم أمن تقنية المعلومات (المعايير المشتركة لتقييم أمن تكنولوجيا المعلومات) على أكثر المعايير شمولاً لأمن البرامج والأجهزة. تحدد المعايير العامة متطلبات وظائف الأمان. بالإضافة إلى مستوى حماية الأجهزة والبرامج ، يصف المعيار بعض متطلبات أساليب الأمان على المستوى التنظيمي والحماية المادية. يتكون المعيار من ثلاثة أجزاء:

- يتضمن الجزء الأول الجهاز المفاهيمي وعرض النموذج ومنهجية تقييم أمن تكنولوجيا المعلومات ؛

- يحتوي الجزء الثاني مباشرة على متطلبات وظائف الأجهزة والبرامج ؛

- الجزء الثالث يحتوي على متطلبات الضمانات الأمنية ؛

ISO 17799: يوفر قانون الممارسة لإدارة أمن المعلومات أكثر معايير المستوى التنظيمي شمولاً.

يحتوي المعيار على أكثر قواعد ومعايير إدارة أمن المعلومات فعالية لتقييم الممارسات الأمنية على المستوى التنظيمي ، مع مراعاة الحماية الإدارية والإجرائية والمادية. يحتوي المعيار على الأقسام التالية:

- سياسة الأمن.

- تنظيم أمن المعلومات.

- إدارة الموارد؛

- أمن الموارد البشرية ؛

- الأمن المادي ؛

- صلاحية التحكم صلاحية الدخول؛

- إدارة نظم المعلومات.

- تطوير وصيانة نظم المعلومات ؛

- تخطيط العمل المستمر.

- مراقبة الامتثال لمتطلبات السلامة ؛

وثيقة إرشادية للجنة الفنية الحكومية التابعة للاتحاد الروسي "معايير لتقييم أمن تكنولوجيا المعلومات". تم تطوير هذا المستند وفقًا لـ GOST R ISO / IEC 15408-2002 ويضمن استخدامه العملي. الهدف الرئيسي من البحث والتطوير هو تنفيذ طرق متكاملة لضمان أمن أنظمة المعلومات واستخدام الوظائف الضرورية. يهدف إلى تصميم أنظمة أمان مناسبة للتهديدات المحتملة والحفاظ على التوازن بين الكفاءة والتكلفة.

وثيقة إرشادية للجنة الفنية الحكومية التابعة للاتحاد الروسي "الأنظمة الآلية. الحماية من الوصول غير المصرح به إلى المعلومات. تصنيف الأنظمة الآلية ومتطلبات حماية المعلومات ". يحدد هذا RD تصنيف الاتحاد الأفريقي ، ووفقًا للفئة ، يحدد متطلبات الأنظمة الفرعية المحتملة.

وثيقة إرشادية للجنة الفنية الحكومية للاتحاد الروسي “مرافق الكمبيوتر. جدران الحماية. الحماية من الوصول غير المصرح به إلى المعلومات. مؤشرات الأمن من الوصول غير المصرح به إلى المعلومات. أول RD ، الذي ليس له نظائر أجنبية. الفكرة الرئيسية لهذا RD هي تصنيف جدران الحماية وفقًا لنموذج شبكة OSI ، الذي يقوم بتصفية تدفق البيانات.

حتى الآن ، في مجال تنفيذ أنظمة الأمن ، تم تشكيل مفهوم مثل "أفضل الممارسات". "أفضل الممارسات" هي تلك السياسات الأمنية التي تعكس أفضل إجراءات الأمان والأدوات والإرشادات والمعايير ويمكن استخدامها كمعيار لتطوير نظام الأمان. تعتبر سياسات شركات مثل Microsoft و IBM و Symantec وما إلى ذلك سياسات مرجعية.

1. سياسة Symantec

يقول خبراء Symantec أن أساس أي نظام أمان فعال يكمن في المستندات الإرشادية ، والتي تشمل: السياسات الأمنية ، والمعايير الدولية ، ووصف الإجراءات والمقاييس الأمنية. كل وثائق التوجيه هذه قادرة على الإجابة على ثلاثة أسئلة رئيسية:

لماذا من المهم حماية المعلومات؟

ما الذي يجب القيام به لضمان السلامة؟

كيف يتم تنفيذ السياسة بالشكل المطلوب؟

يجب أن يتضمن تطوير نظام أمني متكامل الخطوات التالية:

- تحليل أصول المعلومات.

- تحديد التهديدات المحتملة ؛

- تحليل وتقييم المخاطر الأمنية.

- تعيين الأشخاص المسؤولين عن ضمان الأمن ؛

- إنشاء نظام متكامل وفق المعايير والمبادئ التوجيهية والإجراءات ؛

- إدارة نظام الأمن.

2. سياسة مايكروسوفت

تشتمل إستراتيجية سياسة المعلومات في Microsoft على أربعة مكونات رئيسية:

- الغرض من ضمان أمن معلومات الشركة ؛

- معايير أمن النظام

- مخطط اتخاذ القرار (بناءً على نتائج تحليل المخاطر) ؛

- تحديد الإجراءات لتقليل المخاطر ؛

تنقسم عملية تطوير السياسة الأمنية إلى أربع فئات:

- تنظيمية (تهدف إلى زيادة الوعي وتوسيع معرفة الموظفين في مجال أمن المعلومات ، وكذلك دعم الإدارة) ؛

- البيانات والمستخدمون (بما في ذلك وسائل الحماية مثل: الترخيص وحماية البيانات الشخصية والمصادقة) ؛

- تطوير النظام (تصميم نظام آمن ، وتقليل سطح الهجوم ، وضمان سهولة الاستخدام) ؛

- الدعم (المراقبة المنتظمة وتسجيل النظام ، والاستجابة للحوادث والحوادث) ؛

للحفاظ على مستوى الأمان ، تطبق الشركة التحكم في مخاطر المعلومات (تحديد وتقييم وتقليل المخاطر). يتيح لك هذا النهج تحقيق التوازن بين المتطلبات وطريقة الحماية.

3. سياسة IBM

يميز متخصصو IBM بين أربع مراحل رئيسية لبناء نظام أمان:

- تحديد مخاطر المعلومات وطرق التعامل معها.

- وصف تدابير حماية الأصول وفقًا لأهداف الشركة وأهدافها ؛

- وصف الإجراءات في حالة الحوادث.

- تحليل المخاطر المتبقية واتخاذ قرار بشأن الاستثمار الإضافي في أساليب الأمن ؛

الإجابة على سؤال "ما الذي يجب حمايته؟" - الجانب الرئيسي لسياسة أمن المعلومات ، بما يتوافق مع استراتيجية شركة IBM. يجب إنشاء السياسة بهدف إجراء تغييرات طفيفة في المستقبل. يجب أن تحتوي السياسة الأمنية الفعالة على:

- أهداف وغايات ضمان أمن المعلومات ؛

- التفاعل مع معايير وتشريعات السلامة ؛

- توسيع المعرفة بقضايا أمن المعلومات.

- الكشف عن هجمات الفيروسات والقضاء عليها ؛

- ضمان استمرارية العمل ؛

- تحديد أدوار ومسؤوليات الموظفين ؛

- تسجيل الحوادث الأمنية.

بعد ذلك ، تأتي عملية إنشاء الوثائق التي تحتوي على قواعد تحليل مخاطر الشركة ، ووصفًا لأساليب ووسائل الحماية الموصى بها ، وما إلى ذلك. قد تكون الوثائق عرضة للتغيير وفقًا لنقاط الضعف والتهديدات الحالية.

ومع ذلك ، بالإضافة إلى الإطار القانوني ، يجب تنفيذ نظام أمن المعلومات ووظائفه لضمان حالة أمن الكائن وفقًا للمبادئ التالية:

- الشرعية (إنشاء نظام لأمن المعلومات ، وكذلك تنفيذ تدابير الحماية التي لا تتعارض مع القانون واللوائح) ؛

- التعقيد (يوفر نظام الحماية المطور تنفيذًا معقدًا للطرق ، ويضمن حماية موارد المعلومات على المستويين التقني والتنظيمي ويمنع الطرق الممكنة لتنفيذ التهديدات) ؛

- الثبات (يوفر حماية مستمرة للأشياء) ؛

- التقدم (يعني التطوير المستمر لوسائل وأساليب الحماية ، وفقاً لتطور تقنيات وأساليب الهجوم) ؛

- العقلانية (استخدام وسائل حماية فعالة من حيث التكلفة) ؛

- المسؤولية (كل موظف يضمن الأمن داخل سلطته) ؛

- المراقبة (تعني المراقبة المستمرة للحماية والكشف عن التهديدات في الوقت المناسب) ؛

- استخدام نظام الأمان الحالي (يتم إنشاء النظام المصمم على أساس النظام الحالي ، باستخدام الأجهزة والبرامج القياسية) ؛

- استخدام مكونات الأجهزة والبرمجيات لحماية الإنتاج المحلي (ينص تصميم نظام الأمن على هيمنة وسائل الحماية التقنية المحلية) ؛

- مراحل (يفضل تصميم نظام أمان على مراحل) ؛

بعد تحليل السياسات والمعايير الحالية لأمن المعلومات ، يمكن القول إن هناك حاجة إلى مجموعة من التدابير لضمان مستوى مناسب من حماية المعلومات ، بما في ذلك وظائف البرامج والسياسات الأمنية والأساليب والهياكل التنظيمية. وفقًا لهذا الهدف الرئيسي ، من الضروري القيام بالمهام التالية:

- دراسة الهيكل المعلوماتي والتنظيمي الأولي لجامعة نيجني نوفغورود الحكومية للهندسة المعمارية والهندسة المدنية ؛

- بناءً على نتائج تحليل نظام المعلومات الأولي ، تحديد التهديدات ونقاط الضعف الخاصة بأمن المعلومات ؛

- تحديد مستوى وفئة الأمان الأولي للكائن ؛

- تحديد التهديدات الحالية ؛

- عمل نموذج للدخيل ؛

- مقارنة نظام المصدر بمتطلبات معايير الأمان ؛

- تطوير سياسة أمنية وتحديد الإجراءات لضمان أمن المعلومات ؛

سيسمح تحقيق الأهداف والغايات المذكورة أعلاه بإنشاء نظام أمن معلومات مؤسسي فعال يلبي متطلبات التشريعات ومعايير أمن المعلومات.

1. دراسة نظام المعلومات للمؤسسة

1.1 وصف المؤسسة

الاسم الكامل للمنظمة : المؤسسة التعليمية الفيدرالية لميزانية الدولة للتعليم المهني العالي "جامعة نيجني نوفغورود الحكومية للهندسة المعمارية والهندسة المدنية".

الأسماء المختصرة: NNGASU ، جامعة ولاية نيجني نوفغورود للهندسة المعمارية والهندسة المدنية.

الاسم الكامل باللغة الإنجليزية: جامعة ولاية نيجني نوفغورود للهندسة المعمارية والهندسة المدنية.

الاسم المختصر باللغة الإنجليزية: NNGASU.

موقع الجامعة: 603950 ، منطقة نيجني نوفغورود ، نيجني نوفغورود ، شارع. إليينسكايا ، 65.

مؤسس الجامعة هو الاتحاد الروسي. يتم تنفيذ مهام وصلاحيات مؤسس الجامعة من قبل وزارة التعليم والعلوم في الاتحاد الروسي.

موقع المؤسس: 125993 ، موسكو ، ش. تفرسكايا ، 11.

رئيس الجامعة - أندريه الكسندروفيتش لابشين

FSBEI HPE "جامعة نيجني نوفغورود الحكومية للهندسة المعمارية والهندسة المدنية" هي منظمة غير ربحية تم إنشاؤها لتطوير الاقتصاد والبيئة الاجتماعية للمنطقة والصناعة وروسيا من خلال تحسين مستوى تعليم الطلاب بناءً على إنجازات العلم والابتكار والتكنولوجيا.

الأنشطة الرئيسية للمؤسسة التعليمية الفيدرالية للميزانية للتعليم المهني العالي "جامعة نيجني نوفغورود الحكومية للهندسة المعمارية والهندسة المدنية":

· إعداد متخصصين تنافسيين في سوق العمل الروسي والدولي في البناء والصناعات ذات الصلة ، على أساس المعايير التعليمية الحديثة والبحث العلمي.

· ضمان إشراك الإمكانات العلمية القادرة على تحمل المنافسة في القطاعات الحقيقية لاقتصاد الدولة.

· خلق وتحسين الظروف اللازمة لتحقيق الذات ، وكذلك النمو المهني للموظفين والطلاب.

· تطوير التعاون بين الجامعات على المستويين الروسي والدولي وتعزيز المكانة في الساحة الدولية.

يتولى الإدارة العامة للجامعة المجلس الأكاديمي الذي يضم: رئيس الجامعة (رئيس المجلس الأكاديمي) ، نواب العميد ، عمداء الكليات (بقرار من المجلس الأكاديمي). كما يشمل الهيكل التنظيمي للجامعة الأقسام والمراكز والإدارات والأقسام الأخرى. يظهر الهيكل التنظيمي المفصل في الشكل 1.

الشكل 1. الهيكل التنظيمي لجامعة ولاية نيجني نوفغورود للهندسة المعمارية والهندسة المدنية

تعد جامعة ولاية نيجني نوفغورود للهندسة المعمارية والهندسة المدنية ، مع هيكل دائم التطور وقاعدة تعليمية وعلمية حديثة ، مجمعًا يتقدم بنشاط. تمتلك الجامعة قاعدة معلومات كبيرة موجودة في منتجات برمجيات متخصصة. يتم تقديم حماية المعلومات للمؤسسة على مستوى عالٍ إلى حد ما ، ولكن في إطار الهجمات والانتهاكات المستمرة ، يجب تحسينها.

1.2 تكوين الأجهزة والبرامج وهيكل الشبكة

يصاحب العملية التعليمية في NNGASU قاعدة معلومات مهمة ، وتطوير حديقة كمبيوتر وإدخال أنظمة معلومات حديثة في العملية التعليمية. لضمان العملية التعليمية ، تم تجهيز جميع الإدارات والأقسام بأجهزة الكمبيوتر الشخصية والمعدات اللازمة. لحل المشاكل في مجال تطبيق تقنيات المعلومات الحديثة ، تم تجهيز 8 فصول كمبيوتر في الجامعة. تم تجهيز جميع أجهزة الكمبيوتر الشخصية بالجامعة ببرامج Microsoft المرخصة وحماية من الفيروسات. يتم عرض جميع الأجهزة في الجدول 1.

الجدول 1. تكوين الأجهزة

تهتم الجامعة اليوم بحوسبة العملية التعليمية. لتحسين الأنشطة التعليمية ، تمتلك الجامعة جميع حزم البرامج الحديثة اللازمة. يسرد الجدول 2 البرامج المستخدمة في NNGASU.

الجدول 2. البرمجيات

			اسم منتج البرنامج
	خادم مايكروسوفت ويندوز
	MS Visual Studio
			عروس - زعيم
			1C المؤسسة
	استوديو مطور بورلاند
	ماكروميديا ​​دريمفيوير
			خريطة بانوراما نظم المعلومات الجغرافية
			سيثيس: سولاريس.
			Gosstroysmet
			تقدير كبير
			الأعمال - المؤسسة

جميع أجهزة الكمبيوتر بالجامعة متصلة بالشبكة المحلية ولديها إمكانية الوصول إلى الإنترنت من خلال اتصال آمن. تم تجهيز عُقد الخط البصري بمفاتيح مُدارة. لتوفير وصول مستمر إلى الإنترنت ، فإن النظام مزود باتصال بمزودي الخدمة اللذين يوفران قنوات بسرعة 20 ميجابت في الثانية و 10 ميجابت في الثانية. عند محاولة تنزيل معلومات لا تتعلق بالعملية التعليمية ، تصبح حركة مرور المستخدم محدودة. على مستوى حماية البرامج ، يتم استخدام مجالات مختلفة للطلاب والموظفين.

لنقل الحزم بين أجزاء الشبكة ، يتم استخدام جهاز توجيه MicroTic ، والذي يسمح لك بتوزيع الحمل دون فقد البيانات. تمر حزم WAN ومواقع المستخدمين البعيدة وحزم نظام NauDoc عبرها.

تم تجهيز هيكل الشبكة بأحد عشر خادمًا فعليًا ، أربعة منها عبارة عن محطات أجهزة افتراضية. يتم تثبيت المعلومات والمواد المرجعية وخوادم قواعد البيانات وكذلك خوادم البريد والمواقع على عناصر الشبكة هذه. المؤسسة لديها 14 خادمًا افتراضيًا مع إمكانية الوصول إلى الشبكة العالمية. الخادم الرئيسي الذي يسرب جميع المعلومات هو Nginx. Nginx هو خادم ويب ووكيل بريد ووكيل TCP. يتلقى هذا الخادم البيانات الواردة على المنفذ 80 ، وبعد ذلك فقط يوجهها إلى الخوادم الضرورية (Ubuntu و Suse و CentOS و Win2008_IIS و Win7). يظهر هيكل شبكة الجامعة في الشكل 2.

الشكل 2. هيكل شبكة FSBEI HPE "جامعة ولاية نيجني نوفغورود للهندسة المعمارية والهندسة المدنية"

المنطقة المنزوعة السلاح ومختبرات الكمبيوتر و ViPNet والجامعة نفسها ، يتم تضمين كل عنصر من هذه العناصر في شبكات محلية ظاهرية منفصلة (VLANs) ، مما يقلل الحمل على أجهزة الشبكة (حركة المرور من مجال واحد لا تنتقل إلى مجال آخر). أيضًا ، تتيح هذه التقنية استبعاد الوصول غير المصرح به ، لأن. يقوم المفتاح بقطع الحزم من الشبكات الافتراضية الأخرى.

نظرًا لأن المؤسسة تستخدم خدمات مزودين اثنين ، فهناك حاجة إلى تشغيل الإنترنت بدون مشاكل عند التبديل من القناة الرئيسية إلى القناة الاحتياطية. تُستخدم حزمة برامج Squid كخادم وكيل للتخزين المؤقت. المهام الرئيسية للحبار داخل هذه المؤسسة:

- عند زيارة نفس المواقع ، يتم تخزينها مؤقتًا ، ويأتي جزء من البيانات مباشرة من الخادم ؛

- القدرة على تتبع المواقع التي تمت زيارتها والملفات التي تم تنزيلها بواسطة مسؤول النظام ؛

- منع بعض المواقع.

- توزيع الحمل بين القنوات.

تستخدم المؤسسة Microsoft Forefront Threat Management Gateway كجدار حماية آخر. في مجمع Microsoft Forefront ، يوفر مستوى عالٍ من الأمان ويسمح لك بإدارة أمان بنية الشبكة. على وجه الخصوص ، Microsoft Forefront TMG هو خادم وكيل يسمح لك بالحماية من الهجمات الخارجية ، والتحكم في حركة المرور ، واستلام الحزم الواردة وإعادة توجيهها.

تستخدم المؤسسة تقنية ViPNet للتفاعل مع وزارة التعليم والعلوم في الاتحاد الروسي. توفر ViPNet الحماية في الشبكات الكبيرة وتخلق بيئة آمنة لنقل معلومات الوصول المقيد باستخدام قنوات الاتصال العامة من خلال تنفيذ شبكة افتراضية خاصة (VPN).

في البنية التحتية الحديثة للشركات ، هناك حاجة للإدارة المركزية والمحاكاة الافتراضية للأجهزة للشبكة المحلية. لهذا الغرض تستخدم الجامعة نظام Microsoft Hyper-V الذي يسمح لمسؤول النظام ضمن نظام الشركة بحل عدة مشاكل:

- زيادة مستوى الأمن ؛

- حماية مصادر المعلومات ؛

- تخزين البيانات المركزي ؛

- قابلية التوسع؛

1.3 تحليل تدفق المعلومات

يتم تداول موارد المعلومات الجامعية داخل النظام ومن خلال القنوات الخارجية. لضمان حماية المعلومات وترتيبها ، تستخدم الجامعة أنظمة معلومات حديثة بمختلف أنواعها.

الأهم والأوسع نطاقاً هو التعلم الإلكتروني الترادفي - وهو نظام معلومات شامل يجعل من الممكن مراقبة التعليم بدوام كامل ويطبق التعليم عن بعد كأحد مناهج التعلم الإلكتروني الحديثة. Tandem e - Learning هو بوابة تعليمية مغلقة ، يمكن الوصول إليها من قبل موظفي الجامعة والطلاب عن طريق التسجيل. يمكن الوصول إلى النظام من أجهزة الكمبيوتر الداخلية ومن الأجهزة الخارجية.

نظام آخر للتعلم عن بعد هو موودل. هذه البوابة خاصة أيضًا وتتطلب التسجيل. تمامًا مثل Tandem ، يمكن الوصول إلى Moodle من الأجهزة الخارجية.

كلا البوابات مبنية على نظام إدارة التعليم (LMS). يتيح لك LMS إدارة وتوزيع المواد التعليمية وتوفير المشاركة.

يتم تنفيذ نظام معلومات الشركة من خلال نظام Tandem University ، وتحتوي هذه البوابة على معلومات حول العملية التعليمية. يمكن للطلاب والموظفين والإدارة العليا الوصول إلى نظام Tandem. يتم ضمان حماية هذا النظام من خلال حقيقة أنه معزول ولا يمكنه الوصول إلى الشبكة المحلية. توجد جميع موارد شبكة الشركة على أربعة خوادم ، اثنان منها يحتويان على قاعدة البيانات والبوابة الرئيسية وخادمين للاختبار.

يحدث تدفق المستندات في الجامعة من خلال نظام NauDoc. هذا هو نظام إدارة المستندات المستند إلى السحابة لتسجيل المستندات ومعالجتها ومحاسبتها داخل المؤسسة. الوصول إلى النظام لديه مكتب الجامعة والفروع والمنظمات الواردة.

يتم التحكم في محتوى الموقع الإلكتروني للجامعة من خلال نظام الإدارة الاحترافي 1C - Bitrix. وتتمثل ميزة هذا النظام في قدرته على زيادة سرعة استجابة الموقع.

تتم خدمة قسم المحاسبة من خلال نظام المعالجة الآلي "PARUS - Accounting". تسمح لك حزمة البرامج هذه بأتمتة محاسبة الأصول والمستوطنات والأموال بالكامل. مثل نظام الشركات في Tandem University ، "PARUS - Accounting" منعزل ، ولا يتمكن من الوصول إليه إلا موظفي قسم المحاسبة.

مكتبة الجامعة مؤتمتة أيضًا ويتم التحكم فيها من خلال نظام المعلومات والمكتبات MARK - SQL. يحتوي هذا النظام على عدد كبير من مصادر المعلومات ، بما في ذلك كتالوج المعلومات ، والذي يتم تخزينه على خادم Windows منفصل.

أيضًا ، يتم تضمين بعض الموارد في أنظمة المعلومات التالية:

- مستشار + (مرجع - نظام قانوني) ؛

- TechExpert (معلومات ونظام مرجعي يحتوي على معلومات تنظيمية وقانونية وتقنية في مجال "الأعمال التجارية") ؛

- Norma CS (نظام مرجعي للبحث واستخدام المعايير واللوائح في أنشطة التصميم) ؛

- OTRS (نظام معالجة الطلبات) ؛

- RedMine (قاعدة بيانات داخلية) ؛

- AIST (خدمة الأفراد) ؛

1.4 تحليل مصادر المعلومات

يحتوي نظام المعلومات في جامعة ولاية نيجني نوفغورود للهندسة المعمارية والهندسة المدنية على قدر هائل من موارد المعلومات (قواعد البيانات والوثائق والبيانات الشخصية والمحفوظات والمكتبات) ، والتي بدورها هي الهدف الرئيسي للحماية. يُنصح بتقديم عدة مستويات من سرية المعلومات:

المعلومات المحظورة:

- السر الرسمي - المعلومات التي تحتوي على معلومات حول الشؤون المالية والإنتاج والإدارة والأنشطة الأخرى للموضوع ، والتي قد يتسبب الكشف عنها في أضرار اقتصادية ؛

- السر المهني - معلومات تحتوي على تنظيم الأنشطة والعمليات التعليمية.

- البيانات الشخصية - أي معلومات تحتوي على معلومات عن شخص معين (معلومات عن الطلاب والمعلمين وما إلى ذلك) ؛

المعلومات المشتركة:

- المراسيم والمراسيم والأوامر ؛

- معلومات تحتوي على معلومات إحصائية حول الأنشطة التعليمية.

- المعلومات ، التي لا يقتصر الوصول إليها بموجب القانون والميثاق ؛

1.5 الأمن المادي للأشياء (الأمن)

المنشأة تحت المراقبة على مدار 24 ساعة من خلال نقطة أمنية. يتم الدخول إلى أراضي الجامعة بتصاريح شخصية. يحق للزوار دخول الإقليم فقط إذا كانوا برفقة أحد موظفي المؤسسة. قامت الجامعة بتنفيذ نظام إنذار ضد الحريق والسرقة وتركيب أجهزة استشعار مناسبة. توجد أجهزة تخزين المعلومات (الخوادم) في غرفة منفصلة. تتم مراقبة المنشأة من خلال نظام المراقبة بالفيديو.

تشمل الأشياء الرئيسية للحماية ما يلي:

- خوادم قواعد البيانات ؛

- محطة إدارة الحساب ؛

- خوادم بروتوكول نقل الملفات وشبكة الاتصالات العالمية ؛

- محاسبة LAN ، وما إلى ذلك ؛

- البيانات من أقسام المحفوظات ، المالية والإحصائية والتعليمية.

- مصادر المعلومات الخارجية والداخلية.

2. تحليل وتطوير نموذج التهديدات

2.1 تصنيف وتحليل مصادر التهديدات والثغرات الأمنية

في أمن المعلومات ، التهديد هو حدث أو إجراء محتمل يمكن أن يؤثر على تشغيل شبكة الكمبيوتر ويؤدي إلى فشل نظام الأمان. عند التعرض للموارد ، تؤدي التهديدات إلى الوصول غير المصرح به إلى البيانات المحمية وتشويهها وتوزيعها. يُنصح بتقسيم مصادر التهديدات إلى المجموعات التالية:

- التهديدات البشرية (أخطاء عشوائية في تطوير وتشغيل مكونات نظام الأمن ، الإجراءات المتعمدة للمتطفل) ؛

- التهديدات التكنولوجية (أعطال وفشل المعدات التقنية) ؛

- الأخطار الطبيعية (تهديدات الأمن الطبيعي) ؛

يقدم الجدول 2 التصنيف والتهديدات المحتملة الخاصة بالمؤسسة.

الجدول 2. تصنيف مصادر التهديد

مصادر التهديدات البشرية
داخلي
الأشخاص الذين لديهم حق الوصول المصرح به إلى العناصر الأمنية (الإدارة ، والمعلمين ، والطلاب)	قراصنة محتملين
ممثلين عن دائرة الأمن والنظام	مقدمو خدمات المعلومات (مقدمو الخدمات ،
ممثلو قسم المعلوماتية (مسؤول النظام ، المطورون)	ممثلو خدمات الطوارئ والتفتيش
الموظفين الفنيين والدعم (عمال النظافة والكهرباء والسباكين والنجارين)	شركاء عديمي الضمير
مصادر التهديدات التكنولوجية
داخلي
أجهزة معالجة المعلومات ذات الجودة الرديئة	مرافق الاتصال (قنوات نقل المعلومات)
فشل وفشل مرافق تخزين المعلومات	هيكل الاتصالات الهندسية
وسائل نقل المعلومات غير المؤمنة	البرامج الضارة والفيروسات
أعطال أمنية

تتميز المصادر الطبيعية للتهديدات بالقوة القاهرة وتنطبق على جميع المنشآت الأمنية. مثل هذه التهديدات يصعب التنبؤ بها ومنعها. المصادر الطبيعية الرئيسية للتهديدات هي: الحرائق والفيضانات والأعاصير والظروف غير المتوقعة. يجب اتخاذ تدابير وقائية ضد الأخطار الطبيعية في جميع الأوقات.

فيما يتعلق بالتهديدات المذكورة أعلاه ، فإن أكثرها احتمالًا وخطورة هي الإجراءات غير المقصودة للمستخدمين الداخليين والأشخاص المرتبطين مباشرة بشبكة الكمبيوتر.

الأكثر شيوعًا والأكثر خطورة (من حيث مقدار الضرر) هي الأخطاء غير المقصودة للمستخدمين العاديين والمشغلين ومسؤولي النظام وغيرهم من الأشخاص الذين يحتفظون بشبكة كمبيوتر. التهديدات البشرية هي الأكثر احتمالا ، لأنه من الممكن التنبؤ بأفعال الناس واتخاذ الإجراءات المضادة المناسبة ، والتي تعتمد بدورها على تصرفات المسؤولين عن ضمان أمن المعلومات.

عادة ما تكون التهديدات نتيجة الثغرات الأمنية ، والتي بدورها تؤدي إلى انتهاكات أمنية. الثغرة الأمنية هي خلل في نظام يسمح بتنفيذ تهديد بنجاح وتعرض سلامة النظام للخطر. يمكن أن تظهر نقاط الضعف لعدة أسباب:

- أخطاء في إنشاء البرامج (SW) ؛

- الإدخال المتعمد للثغرات في مرحلة تصميم البرمجيات ؛

- الاستخدام غير المصرح به للبرامج الضارة ، ونتيجة لذلك ، إهدار الموارد ؛

- تصرفات المستخدمين غير المقصودة ؛

- انتهاك تشغيل البرامج والأجهزة ؛

توجد نقاط الضعف التالية:

الهدف (نقاط الضعف التي تعتمد على المعدات التقنية لنظام المعلومات):

- الإشارات المرجعية للأجهزة (الإشارات المرجعية للمعدات التقنية والطرفية) ؛

- الإشارات المرجعية للبرامج (البرامج الضارة) ؛

ذاتية (نقاط الضعف تعتمد على تصرفات الناس):

- أخطاء (إساءة استخدام البرامج والأجهزة من قبل المستخدمين ، إدخال بيانات خاطئ) ؛

- الانتهاكات (انتهاك قواعد سياسة أمن المعلومات ، وانتهاك الوصول والسرية ، وانتهاك تشغيل الأجهزة) ؛

عشوائية (نقاط الضعف التي تسببها البيئة المحيطة بنظام المعلومات)

- الفشل (فشل مرافق معالجة البيانات ، فشل مرافق الشبكة ، فشل نظام التحكم والأمن ، فشل البرنامج) ؛

- حالات الانقطاع (انقطاع التيار الكهربائي) ؛

- الضرر (انهيار المرافق) ؛

يؤثر إضعاف أو إزالة الثغرات الأمنية على احتمالية تنفيذ تهديدات أمن المعلومات.

2.2 نموذج الدخيل

يعد ضمان حماية أصول المعلومات بالجامعة أمرًا محددًا ، حيث إنها مؤسسة ذات جمهور متقلب. نظرًا لحقيقة أن الهجمات يمكن أن تأتي من أي جهات فاعلة ، فمن المفيد تقسيمها إلى فئتين: الدخلاء الخارجيون والمتسللون الداخليون. الدخيل الخارجي هو شخص ليس موظفًا ولا يمكنه الوصول إلى نظام المعلومات. تشمل هذه الفئة:

- المتسللين (الأشخاص الذين يقومون بإنشاء وتنفيذ الهجمات من أجل إحداث ضرر والحصول على معلومات ذات وصول محدود): من خلال الوصول غير المصرح به إلى أنظمة المعلومات ، يمكنهم تدمير المعلومات أو تغييرها ؛ إدخال البرامج الضارة والفيروسات والإشارات المرجعية للأجهزة والبرامج ، تليها الوصول غير المصرح به) ؛

- مقدمو وموردو الأجهزة والبرمجيات (تنفيذ الوصول غير المصرح به من خلال محطات العمل إلى مصادر المعلومات وقنوات الاتصال) ؛

جميع الموضوعات الأخرى هي مخالفات داخلية. وفقًا لوثيقة التوجيه الخاصة بـ FSTEC "النموذج الأساسي للتهديدات لأمن البيانات الشخصية أثناء معالجتها في أنظمة معلومات البيانات الشخصية" ، يتم تقسيم المخالفين الداخليين إلى ثماني فئات:

1. الأشخاص الذين أذن لهم بالوصول إلى ISPD ، ولكن ليس لديهم وصول إلى PD.

فيما يتعلق بهذه المؤسسة ، فإن القيادة ، قسم المعلوماتية ، لها مثل هذه الحقوق. وفقًا لحقوقهم ، يجوز لهؤلاء الأشخاص: الوصول إلى أجزاء معينة من PD التي يتم تداولها عبر القنوات الداخلية ؛ معرفة معلومات حول طوبولوجيا ISPD وبروتوكولات الاتصال والخدمات ؛ تحديد أسماء وكلمات مرور المستخدمين المسجلين ؛ تغيير تكوين الأجهزة والبرامج.

2. مستخدمو ISPD المسجلين الذين لديهم وصول محدود إلى موارد ISPD من مكان العمل.

تشمل هذه الفئة موظفي الأقسام والمعلمين وطلاب المؤسسة. الأشخاص في هذه الفئة: لديهم معرف واحد وكلمة مرور ؛ لديهم بيانات سرية أذنوا بالوصول إليها.

3. مستخدمو ISPD المسجلون يوفرون الوصول عن بعد إلى PD عبر أنظمة المعلومات المحلية و (أو) الموزعة.

4. مستخدمو ISPD المسجلون مع حقوق مسئول أمن قطاع ISPD.

الأشخاص في هذه الفئة: لديهم معلومات حول البرامج والأجهزة المستخدمة في هذا القطاع ؛ لديه حق الوصول إلى مرافق الحماية والتسجيل وأجهزة ISPD.

5. المستخدمون المسجلون مع سلطة مسئول نظام ISPD.

الأشخاص في هذه الفئة: يعرف معلومات حول البرامج والأجهزة الخاصة بـ ISPD الكامل ؛ لديه وصول مادي إلى جميع الأجهزة ؛ له الحق في تكوين الجهاز.

6. المستخدمون المسجلون مع سلطة مسئول أمن ISPD.

7. المبرمجون - مطورو البرامج والأشخاص المرافقون لها في هذه المنشأة.

الأشخاص في هذه الفئة: يعرفون معلومات حول الإجراءات وبرامج معالجة البيانات الخاصة بـ ISPD ؛ قد يدخل أخطاء وأخطاء ورموز خبيثة في مرحلة التطوير ؛ قد يعرف معلومات حول طوبولوجيا وأجهزة ISDN.

8. المطورين والأشخاص الذين يقدمون تسليم وصيانة وإصلاح الأجهزة على ISPD.

فيما يتعلق بهذه المؤسسة ، تشمل المخالفات الداخلية:

- مستخدمو موارد المعلومات (موظفو الأقسام والإدارات والوحدات الأخرى والمدرسون والطلاب) (التعديل أو التدمير غير المتعمد للبيانات ؛ تثبيت برامج ضارة وغير معتمدة ؛ نقل كلمة مرور فردية إلى أشخاص غير مصرح لهم) ؛

- الأشخاص الذين يخدمون ويدعمون نظام المعلومات (خطأ عرضي أو متعمد في التكوين التقني أو مرافق الشبكة) ؛

- الأشخاص الآخرون الذين لديهم إمكانية الوصول إلى كائنات معالجة المعلومات (الفنيون وموظفو الصيانة) (التعطيل غير المقصود لإمكانية تشغيل مرافق الإمداد بالطاقة والهياكل الهندسية) ؛

فئة خاصة وأهم من المخالفين هم الطلاب. حتى الآن ، تم تدريب العديد منهم جيدًا وفهم الفضاء الإلكتروني. من خلال بعض التلاعب ، يكون الطلاب قادرين على إنتاج سلسلة من الخروقات الأمنية والأضرار.

2.3 تحديد التهديدات الفعلية لنظام المعلومات

لتحديد التهديدات الأمنية الفعلية ، يجب أخذ قيمتين في الاعتبار. المؤشر الأول هو مستوى الأمان الأولي لنظام المعلومات. هذا مؤشر معمم يعتمد على الخصائص التقنية للنظام. يوضح الجدول 4 حساب الأمان الأولي لنظام المعلومات ، والذي يتم تحديده من خلال النسبة المئوية لمستوى أمان معين لجميع مؤشرات الأمان المتاحة.

الجدول 4. حساب الضمان الأولي للمؤسسة

مؤشرات الأمان	مستوى الأمان
الخصائص التقنية والتشغيلية لـ ISPD
حسب الموقع:
ISPD الموزعة ، والتي تغطي عدة مناطق أو أقاليم أو مقاطعات أو الولاية ككل ؛
ISPD الحضري ، لا يغطي أكثر من مستوطنة واحدة (مدن ، بلدات) ؛
ISPD الموزعة للشركات ، والتي تغطي العديد من أقسام منظمة واحدة ؛
تم نشر ISPD المحلي (الحرم الجامعي) داخل العديد من المباني المتقاربة ؛
نشر ISPD المحلي داخل مبنى واحد
حسب توفر الاتصال بالشبكات العامة:
ISPDn لديه وصول متعدد النقاط إلى الشبكة العامة ؛
ISPDn ، الذي لديه نقطة وصول واحدة إلى الشبكة العامة ؛
ISPD ، منفصل فعليًا عن الشبكة العامة
للعمليات المضمنة (القانونية) مع سجلات قواعد البيانات الشخصية:
القراءة والبحث
التسجيل والحذف والفرز.
التعديل والنقل
لتقييد الوصول إلى البيانات الشخصية:
ISPD ، أي موظفي المنظمة التي تمتلك ISPD ، المحدد في القائمة ، أو موضوع PD لديهم حق الوصول ؛
ISPD ، والتي يمكن لجميع موظفي المنظمة التي تمتلك ISPD الوصول إليها ؛
ISPD مع وصول مفتوح
من خلال وجود اتصالات بقواعد بيانات PD أخرى لمزودي خدمات الإنترنت الآخرين:
ISPD المتكامل (تستخدم المنظمة العديد من قواعد بيانات PD ISPD ، في حين أن المنظمة ليست مالكة جميع قواعد بيانات PD المستخدمة) ؛
ISPD ، الذي يستخدم قاعدة بيانات PD واحدة ، مملوكة للمؤسسة - مالك ISPD
حسب مستوى التعميم (تبدد الشخصية) لـ PD:
ISPD ، حيث تكون البيانات المقدمة للمستخدم مجهولة المصدر (على مستوى المنظمة ، الصناعة ، المنطقة ، المنطقة ، إلخ) ؛
ISPD ، حيث تكون البيانات مجهولة المصدر فقط عند نقلها إلى مؤسسات أخرى ولا تكون مجهولة عند تقديمها إلى مستخدم في مؤسسة ؛
ISPD ، حيث لا تكون البيانات المقدمة للمستخدم مجهولة المصدر (أي أن هناك معلومات تسمح لك بتحديد موضوع PD)
بالصوت PD التي يتم توفيرها مستخدمو ISPD من الجهات الخارجية دون معالجة مسبقة:
ISPD ، الذي يوفر قاعدة البيانات بأكملها مع PD ؛
ISPD ، توفير جزء من PD ؛
ISPD ، التي لا تقدم أي معلومات.
عدد القرارات

بناءً على نتائج التحليل ، يمكن استنتاج أن ISPD للمؤسسة لديها مستوى متوسط ​​من الأمان. وفقًا للنتيجة التي تم الحصول عليها ، يتم إدخال المعامل ص 1 = 5. هذا المعامل هو المعامل الأول في تحديد أهمية التهديدات.

المعلمة التالية هي احتمال التهديد ( ص 2). يتم تحديد هذا المؤشر من قبل خبير وله أربع قيم محتملة:

- غير محتمل (عدم وجود شروط مسبقة موضوعية لتنفيذ التهديد - صفر) ؛

- احتمال ضعيف (توجد شروط مسبقة واضحة لتنفيذ التهديد ، لكن وسائل الحماية الحالية تجعل من الصعب التنفيذ - 2) ؛

- احتمال متوسط ​​(هناك شروط مسبقة لتنفيذ التهديدات ، وطرق الحماية الأولية غير كافية - 5) ؛

- احتمال كبير (هناك شروط مسبقة موضوعية لتنفيذ التهديدات ولم يتم اتخاذ تدابير أمنية - 10) ؛

بناءً على المعلمات التي تم الحصول عليها ، يتم حساب معامل تنفيذ التهديد Y ، والذي يتم تحديده بواسطة الصيغة Y = ( ص 1 +ص 2) / 20. وفقًا للنتيجة ، تأخذ Y القيم التالية:

– 0 < Y < 0,3 - низкая реализуемость угрозы;

– 0,3 < Y < 0,6 - средняя реализуемость угрозы;

– 0,6 < Y < 0,8 - высокая реализуемость угрозы;

- Y> 0.8 - جدوى عالية جدًا للتهديد ؛

الخطوة التالية هي تقييم خطر التهديد. يتم إعطاء هذا التصنيف من قبل أخصائي سلامة وله قيم المخاطر التالية:

- خطر منخفض - يمكن أن يتسبب تنفيذ التهديد في أضرار طفيفة ؛

- خطر متوسط ​​- يمكن أن يتسبب تنفيذ التهديد في حدوث ضرر ؛

- خطر كبير - يمكن أن يتسبب تنفيذ التهديد في أضرار جسيمة ؛

يقدم الجدول 5 مصفوفة لحساب أهمية التهديدات ، والتي يتم الحصول عليها من خلال مراعاة جميع المؤشرات المذكورة أعلاه.

- «+» - التهديد حقيقي ؛

- «-» - التهديد غير ذي صلة ؛

الجدول 5. مصفوفة حساب أهمية التهديد

قيمة جدوى التهديد	معنى خطر التهديد
عالي جدا

نتيجة لتحليل الأمن الأولي للمؤسسة ومصفوفة أهمية التهديدات ، تم تحديد خصائص التهديدات التي تميز هذه المؤسسة ومدى ملاءمتها وفقًا للخطة التالية: التهديد (احتمالية التهديد ؛ جدوى التهديد ؛ تقييم مخاطر التهديد) - ذو صلة / غير ذي صلة.

1. الوصول غير المصرح به إلى أراضي المؤسسة ، إلى عناصر الأجهزة ، والوثائق (احتمال ضئيل (2) ؛ جدوى متوسطة (0.35) ؛ خطر كبير) - فعلي ؛

2. سرقة أو تلف معدات النظام الآلي (غير مرجح (0) ؛ جدوى منخفضة (0.25) ؛ خطر كبير) - ذات صلة ؛

3. التدمير والتعديل غير المتعمد للمعلومات (احتمال متوسط ​​(5) ؛ متوسط ​​جدوى (0.5) ؛ خطر كبير) - مناسب ؛

4. سرقة موارد المعلومات الورقية (غير مرجح (0) ؛ جدوى منخفضة (0.25) ؛ خطر متوسط) - غير ذي صلة ؛

5. تسرب البيانات السرية من خلال الأجهزة المحمولة وأجهزة الكمبيوتر المحمولة (غير مرجح (0) ؛ جدوى منخفضة (0.5) ؛ خطر متوسط) - غير ذي صلة ؛

6. التجاوز غير المقصود في حقوق استخدام المعدات بسبب نقص المعرفة ذات الصلة (احتمال متوسط ​​(5) ؛ متوسط ​​الجدوى (0.5) ؛ متوسط ​​الخطر) - مناسب ؛

7. اعتراض المعلومات المرسلة عن طريق مسح حركة الشبكة (احتمال منخفض (2) ؛ جدوى متوسطة (0.35) ؛ خطر كبير) - مناسب ؛

8. تثبيت برمجيات خبيثة من طرف ثالث (احتمال ضعيف (2) ؛ جدوى متوسطة (0.35) ؛ خطر متوسط) - ملائم ؛

9. تغيير تكوين مكونات البرامج (احتمال متوسط ​​(5) ؛ جدوى متوسطة (0.5) ؛ مخاطر عالية) - ذات صلة ؛

10. تدمير أو تعديل بيانات تسجيل المستخدم (غير مرجح (0) ؛ جدوى منخفضة (0.25) ؛ مخاطر منخفضة) - غير ذي صلة ؛

11. الإفصاح غير المقصود عن المعلومات السرية من قبل الموظفين (احتمال كبير (10) ؛ جدوى عالية (0.75) ؛ خطر كبير) - ذو صلة ؛

12. أنواع مختلفة من الإشعاع التي يمكن أن تؤثر على أداء الوسائل التقنية (غير محتمل (0) ؛ جدوى منخفضة (0.25) ؛ خطر متوسط) - غير مناسب ؛

13. فشل وفشل معدات الشبكة (احتمال متوسط ​​(5) ؛ متوسط ​​الجدوى (0.5) ؛ متوسط ​​الخطر) - فعلي ؛

14. إتلاف البيانات بسبب أخطاء أو فشل الأجهزة والبرمجيات (احتمال متوسط ​​(5) ؛ جدوى متوسطة (0.5) ؛ خطر كبير) - مناسب ؛

15. علامات البرنامج (احتمال منخفض (2) ؛ متوسط ​​الجدوى (0.35) ؛ متوسط ​​الخطر) - فعلي ؛

16. استخدام بيانات تسجيل شخص آخر للدخول إلى خدمات المعلومات (احتمال متوسط ​​(2) ؛ متوسط ​​جدوى (0.35) ؛ مخاطر عالية) - ملائم ؛

17. انتهاك النظام والتدابير الوقائية (احتمال ضعيف (2) ؛ متوسط ​​الجدوى (0.35) ؛ متوسط ​​الضرر) - ​​فعلي ؛

بعد تحليل التهديدات الحالية ، يمكننا أن نستنتج أنه تم القضاء عليها جميعًا من خلال التدابير الفنية والتنظيمية. يقدم الجدول 6 تدابير لمكافحة التهديدات الحالية التي يمكن استخدامها في الجامعة لحماية البيانات.

الجدول 6. طرق مكافحة التهديدات الحالية

التهديد الحالي	التدابير الفنية لمكافحة التهديد	التدابير التنظيمية لمكافحة التهديد
الوصول غير المصرح به إلى كائنات الأجهزة مع إمكانية السرقة أو إتلاف المعدات	- إنذار ضد السرقة والمراقبة بالفيديو ؛ - قفل رمز - مانع لدخول الغرفة مع الخوادم ؛	- وضع الوصول الأمني ​​؛ - مراقبة مرافق معالجة المعلومات ؛
إتلاف أو تعديل المعلومات عن غير قصد من قبل الموظفين	استخدام أدوات حماية البيانات والنسخ الاحتياطي ؛	إحاطة الموظف ؛
تجاوز حقوق استخدام المعدات دون قصد بسبب نقص المعرفة ذات الصلة	استخدام وسائل الحماية من الوصول غير المصرح به ؛	- إحاطة الموظفين ؛ - التمايز في حقوق الوصول ؛
اعتراض حركة مرور الشبكة	- تشفير البيانات؛ - استخدام جدار الحماية ؛	- إحاطة مسؤول الأمن ؛ - محاسبة وسائل حماية البيانات ؛
تثبيت البرامج الضارة وتغيير تكوين البرامج	استخدام أدوات الحماية من الفيروسات ؛	- إحاطة الموظفين ؛
الكشف غير المقصود عن المعلومات السرية من قبل الموظفين		- إحاطة الموظفين ؛ - وضع قانون عدم إفشاء ؛
فشل وفشل معدات الشبكة مع التدمير اللاحق للمعلومات	- استخدام مصادر الكتابة المستمرة. - استخدام الأجهزة والبرامج المعتمدة ؛ نسخ احتياطي للبيانات	إحاطة مسؤول النظام ؛
الإشارات المرجعية للبرنامج	- استخدام برامج معتمدة ؛ - استخدام الحماية من الفيروسات ؛	- إحاطة الموظفين ؛ - إحاطة المسؤول.
استخدام بيانات تسجيل شخص آخر لإدخال خدمات المعلومات		- إرشاد الموظفين ؛ - إرشاد مسؤول الأمن ؛

ستؤخذ طرق مكافحة التهديدات المبينة في الجدول بعين الاعتبار وتستخدم في تطوير السياسة الأمنية للجامعة.

2.4 تحديد فئة أمن نظام المعلومات

لتطوير نظام أمان فعال لمؤسسة ما ، من الضروري تحديد فئة الأمان للنظام المصدر. لهذا ، تم إجراء تحليل لنظام المعلومات وتم الحصول على النتائج التالية:

- يعالج النظام المعلومات بمستويات مختلفة من السرية.

- يعالج النظام البيانات المصنفة على أنها "سرية" ؛

- نظام المعلومات متعدد المستخدمين ؛

- أذونات ...

وثائق مماثلة

جوهر المعلومات وتصنيفها. المشاكل الرئيسية لضمان وتهديدات أمن المعلومات للمؤسسة. تحليل المخاطر ومبادئ أمن معلومات المؤسسة. تطوير مجموعة من الإجراءات لضمان أمن المعلومات.

ورقة مصطلح ، تمت الإضافة في 17/05/2016


تحليل البنية التحتية لمتجر LLC "ستايل". إنشاء نظام أمن المعلومات لقسم المحاسبة في مؤسسة بناءً على مسح ما قبل المشروع. تطوير مفهوم وسياسة أمن المعلومات واختيار الحلول لضمان ذلك.

ورقة المصطلح ، تمت إضافة 09/17/2010


استراتيجية أمن معلومات المؤسسة في شكل نظام للسياسات الفعالة التي من شأنها تحديد مجموعة فعالة وكافية من متطلبات الأمن. تحديد التهديدات لأمن المعلومات. الرقابة الداخلية وإدارة المخاطر.

ورقة المصطلح ، تمت الإضافة 06/14/2015


تطوير النماذج الهيكلية والمعلوماتية لنظام المعلومات لمؤسسة حكومية. قائمة وتحليل التهديدات وأهداف الهجوم وأنواع الخسائر ومدى الضرر والمصادر. حماية قاعدة بيانات المعلومات السرية ووضع سياسة أمنية.

ورقة مصطلح ، تمت الإضافة في 11/15/2009


المفاهيم الأساسية وأساليب وتقنيات إدارة مخاطر أمن المعلومات. تحديد المخاطر والأصول والتهديدات ونقاط الضعف والضوابط الحالية والعواقب. تقييم المخاطر والحد منها. أمثلة على تهديدات أمن المعلومات النموذجية.

عرض تقديمي ، تمت الإضافة بتاريخ 04/11/2018


الوثائق التنظيمية في مجال أمن المعلومات في روسيا. تحليل تهديدات نظم المعلومات. خصائص تنظيم نظام حماية البيانات الشخصية للعيادة. تنفيذ نظام التوثيق باستخدام المفاتيح الإلكترونية.

أطروحة تمت إضافة 10/31/2016


خصائص مصادر المعلومات في الحيازة الزراعية "أشاتلي". تهديدات أمن المعلومات الخاصة بالمؤسسة. تدابير وطرق ووسائل حماية المعلومات. تحليل أوجه القصور الموجودة ومزايا نظام الأمان المحدث.

ورقة مصطلح ، تمت الإضافة في 02/03/2011


مفهوم أمن المعلومات ومعنى واتجاهات. نهج منظم لتنظيم أمن المعلومات ، وحماية المعلومات من الوصول غير المصرح به. وسائل حماية المعلومات. طرق وأنظمة أمن المعلومات.

الملخص ، تمت الإضافة في 11/15/2011


تحليل مخاطر أمن المعلومات. تحديد نقاط الضعف في الأصول. تقييم وسائل الحماية الحالية والمخطط لها. مجموعة من الوسائل القانونية والتنظيمية والإدارية المتوقعة لضمان أمن المعلومات.

أطروحة تمت إضافة 04/03/2013


تطوير نظام معلومات للجامعة باستخدام أسلوب النمذجة الكائنية UML. تحليل متطلبات النظام. النموذج المفاهيمي (المحتوى). رسم تخطيطي للمكونات والفئات. تنفيذ برمجيات التطبيق.

أ. فولكوف
مدير نظام جامعة ولاية ساراتوف الاجتماعية والاقتصادية

لعبت الجامعات دورًا رئيسيًا في تطوير تكنولوجيا وبرامج الكمبيوتر. يقومون بتطوير واختبار وتنفيذ مشاريع تكنولوجيا المعلومات المتقدمة. مع نمو الجريمة السيبرانية ، أصبحت حماية المعلومات السرية والتطورات في المؤسسات التعليمية ذات أهمية خاصة.

المحاسبة للتفاصيل

الجامعات هي بنية تحتية بها بنك بيانات ضخم يحتوي على معلومات ذات طبيعة مختلفة. هذه ليست فقط كتيبات تدريب في شكل إلكتروني ، ولكنها أيضًا تطورات مهمة في التصميم والبحث. إن نمو الجرائم في مجال التقنيات العالية يملي متطلباتها الخاصة لحماية موارد شبكات الكمبيوتر للمؤسسات التعليمية ويحدد مهمة بناء نظامنا الأمني ​​المتكامل. يتضمن حلها وجود إطار تنظيمي ، وتشكيل مفهوم أمني ، ووضع تدابير وخطط وإجراءات للعمل الآمن ، وتصميم وتنفيذ وصيانة الوسائل التقنية لحماية المعلومات (ISP) في إطار عمل تعليمي المعهد. تحدد هذه المكونات سياسة موحدة لأمن المعلومات في الجامعة.

تكمن خصوصية حماية المعلومات في النظام التعليمي في حقيقة أن الجامعة مؤسسة عامة ذات جمهور غير دائم ، فضلاً عن كونها مكانًا يتزايد فيه نشاط "مجرمي الإنترنت المبتدئين". المجموعة الرئيسية للمخالفين المحتملين هنا هم الطلاب ، وبعضهم لديه مستوى عالٍ من المعرفة بأجهزة الكمبيوتر والشبكات. العمر - من 18 إلى 23 عامًا - والتطرف الشبابي يشجع هؤلاء الأشخاص على التباهي بمعرفتهم أمام زملائهم الطلاب: ترتيب وباء فيروسي ، والحصول على وصول إداري و "معاقبة" المعلم عن طريق منع الوصول إلى الإنترنت. يكفي أن نتذكر أن أول جرائم الكمبيوتر ولدت في الجامعة (دودة موريس).

يمكن للطلاب الوصول إلى فصول الكمبيوتر فقط ، ويأتي التهديد الداخلي منهم. يجب تنظيم عمل الطلاب والمعلمين في هذه الفصول بأمر (قانون) من الإدارة. لتجنب إدخال معلومات ضارة في الشبكة الداخلية ، من المستحسن ألا تحتوي أجهزة الكمبيوتر على محركات أقراص ويتم تعطيل منافذ USB.

تحليل التهديدات ومصادرها ومخاطرها

شبكات الكمبيوتر للمؤسسات التعليمية عبارة عن مجموعة من موارد الشبكة للأنشطة التعليمية ومحطات عمل الموظفين وأجهزة لتشغيل الشبكة ككل.

مصادر التهديدات المحتملة للمعلومات هي: الفصول المحوسبة التي تتم فيها العملية التعليمية ؛

• إنترنت؛
• محطات عمل منسوبي الجامعة غير مهرة في مجال أمن المعلومات.

يمكن تقسيم تحليل مخاطر المعلومات إلى المراحل التالية:

• تصنيف الأشياء المراد حمايتها حسب أهميتها ؛
• تحديد جاذبية عناصر الحماية للمفرقعات ؛
• تحديد التهديدات المحتملة وقنوات الوصول المحتملة إلى الأشياء ؛
• تقييم التدابير الأمنية الحالية ؛
• تحديد نقاط الضعف الدفاعية وسبل القضاء عليها ؛
• تجميع قائمة مرتبة بالتهديدات ؛
• تقييم الضرر الناجم عن الوصول غير المصرح به ، وهجمات رفض الخدمة ، وفشل المعدات.

الأشياء الرئيسية التي تحتاج إلى حماية من الوصول غير المصرح به:

• الشبكة المحلية للمحاسبة ، وبيانات قسم التخطيط والشؤون المالية ، وكذلك البيانات الإحصائية والأرشيفية ؛
• خوادم قواعد البيانات ؛
• وحدة تحكم إدارة الحساب ؛
• خوادم شبكة الاتصالات العالمية / بروتوكول نقل الملفات ؛
• LAN وخوادم لمشاريع البحث.

لوائح العمل

للمصادقة على المستخدمين في محطات عمل أعضاء هيئة التدريس ، يمكن استخدام أجهزة الكمبيوتر في الفصول الدراسية والتحكم في الوصول المستند إلى الأدوار (RAC). يتمثل جوهر التكنولوجيا في إنشاء "دور معين يربط المستخدم وامتيازاته في النظام. وبمساعدتها ، يمكنك بناء سياسة مرنة للتحكم في الوصول بشكل فعال في نظام متعدد المستخدمين.

تسهل RUD بشكل كبير إدارة الأنظمة متعددة المستخدمين من خلال إنشاء روابط بين "الأدوار" والمستخدمين. لكل مستخدم ، يمكن تنشيط العديد من "الأدوار" مرة واحدة ، والتي يمكن تعيينها في نفس الوقت لعدة مستخدمين في وقت واحد.

يتيح لك استخدام نظام تشغيل شبكة Novell Netware إدارة عملية تحديد المستخدمين في شبكة جامعة مشتركة بشكل مركزي ، وتتبع إجراءاتهم ، وتقييد الوصول إلى الموارد. أدوات أمن المعلومات (ISZ) مدمجة بالفعل في نظام التشغيل هذا على المستويات الأساسية وليست إضافة في شكل أي تطبيق.

يحتوي نظام Novell NetWare OS على المستويات التالية من آليات الأمان:

• حماية معلومات المستخدم ؛
• حماية كلمة المرور؛
• حماية الدليل؛
• حماية الملفات
• حماية جدار الحماية.

لكل مستخدم مسجل في نظام التشغيل هذا ، هناك قواعد تشير إلى قائمة الموارد التي يمكنه الوصول إليها وحقوق العمل معها. لمساعدة المسؤول ، استخدم وحدة التحكم في إدارة الحساب. من الممكن تقييد حق المستخدم في الدخول إلى الشبكة حسب الوقت والتاريخ ومحطات العمل المحددة. يتم استخدام قوائم ACL وما يسمى بالسياقات كنظام للتحكم في الوصول. يتم تحديد قائمة موارد الشبكة المتاحة لكل سياق. يتيح لك ذلك مشاركة الوصول إلى الموارد بين الإدارة وموظفي الجامعة والطلاب. بالإضافة إلى ذلك ، يمكنك تعيين سياسات مجموعة إضافية ضمن سياق محدد (على سبيل المثال ، قسّم الوصول إلى سياق الطالب حسب القسم دون استخدام السياقات الفرعية). تتيح لك أدوات الكشف عن الهجمات ومنعها المضمنة التعرف على المتسلل بسرعة.

في كثير من الأحيان ، يتم نشر شبكة لاسلكية في حرم الجامعة ، وعادة ما يكون الوصول إليها مجانيًا. يجدر استخدام مثل هذا المخطط عندما لا تكون نقاط الوصول اللاسلكية متصلة بالشبكة الداخلية للجامعة. كقاعدة عامة ، يتم الاتصال بالإنترنت في وقت واحد من خلال عدة خطوط اتصال (العمود الفقري للألياف الضوئية والقنوات الفضائية والراديو). يتم توفير قنوات منفصلة للتواصل مع الجامعات الأخرى أو لتبادل البيانات بشكل آمن. للقضاء على المخاطر المرتبطة بتسرب وفساد المعلومات المرسلة ، لا ينبغي ربط هذه الشبكات بالشبكات العالمية وشبكة الجامعة العامة.

يجب أن توجد أيضًا العقد الحاسمة لتبادل البيانات الجامعية (LAN المحاسبية) بشكل منفصل.

خطوط الدفاع

خط الدفاع الأول ضد الهجمات من الخارج (الإنترنت) هو جهاز التوجيه (جهاز التوجيه). يتم استخدامه لتوصيل أقسام الشبكة ببعضها البعض ، وكذلك لفصل حركة المرور بشكل أكثر فعالية واستخدام مسارات بديلة بين عقد الشبكة. يعتمد عمل الشبكات الفرعية والاتصال بشبكات المنطقة الواسعة (WAN) على إعداداتها. شاغلها الأمني ​​الرئيسي هو الحماية من هجمات الحرمان الموزع للخدمة (DDOS).

يمكن أن يعمل الاتحاد الدولي للاتصالات باعتباره الحد الثاني: مجمع أجهزة وبرمجيات Cisco PIX Firewall.

ثم تأتي المنطقة المنزوعة السلاح. في هذه المنطقة ، يجدر وضع الخادم الوكيل الرئيسي ، خادم DNS ، www / ftp ، خوادم البريد. يعالج الخادم الوكيل الطلبات من محطات عمل الموظفين التربويين والخوادم غير المتصلة مباشرة بالموجه ويقوم بتصفية حركة المرور. يجب تحديد سياسة الأمان في هذا المستوى عن طريق حظر حركة المرور غير المرغوب فيها وحفظها (تصفية محتوى الوسائط المتعددة ، صور ISO ، حظر صفحات المحتوى غير المرغوب فيه / الفاحش بالكلمات الرئيسية). لمنع تنزيل المعلومات المصابة بالفيروسات ، من المبرر استضافة برنامج مكافحة فيروسات (على سبيل المثال ، ClamAV) على هذا الخادم. لمزيد من التحليل والتحكم المفصل في حركة المرور ، يجب استخدام IDS (مثل Snort).

يتم إرسال المعلومات من الخادم الوكيل بالتوازي مع خادم الإحصائيات ، حيث يمكنك عرض وتحليل نشاط المستخدم على الإنترنت. يجب أن يحتوي خادم البريد على برنامج مكافحة فيروسات البريد ، على سبيل المثال ، Kaspersky AntiVirus لخوادم البريد.

نظرًا لأن هذه الخوادم متصلة مباشرة بالشبكة العالمية ، فإن تدقيق البرامج المثبتة عليها هو المهمة الأساسية لمهندس أمن المعلومات في الجامعة. لتوفير التكاليف ومرونة التخصيص ، من المستحسن استخدام نظام تشغيل وبرامج مفتوحة المصدر. أكثر أنظمة التشغيل شيوعًا هي FreeBSD و GNU Linux. لكن لا شيء يمنعك من استخدام OpenBSD الأكثر تحفظًا أو حتى نظام التشغيل الفوري QNX فائق الاستقرار.

يتزايد الطلب على أدوات مكافحة الفيروسات كل عام ولم يتجاوز البنية التحتية للجامعات.

لإدارة أنشطة مكافحة الفيروسات مركزيًا ، فأنت بحاجة إلى منتج بهندسة خادم عميل ، مثل Dr.Web Enterprise Suite. يسمح لك بإدارة الإعدادات مركزيًا وتحديث قواعد بيانات مكافحة الفيروسات باستخدام وحدة تحكم رسومية وتوفير إحصائيات سهلة القراءة حول نشاط الفيروسات ، إن وجد.

لمزيد من الراحة لموظفي الجامعة ، يمكنك تنظيم الوصول إلى الشبكة الداخلية للجامعة باستخدام تقنية VPN.