1. Кафедра Прикладной информатики в образовании
БЕЗОПАСНОСТЬ
ЭЛЕКТРОННОГО
ОБУЧЕНИЯ
В.И. Зуев

2. ИЗМЕНЕНИЕ ЦИФРОВОГО
ЛАНДШАФТА

4. ИНФОРМАЦИОННАЯ РЕВОЛЮЦИЯ

5. GLOBAL DIGITAL VILLAGE

6. НОВЫЕ ПОЛЬЗОВАТЕЛИ

7. Source: Kelly Hodgkins http://gizmodo.com/5813875/what-happens-in-60-seconds-on-the-internet

8. Новые типы взаимодействия
Новые виды ресурсов
Web 2.0
Новые группы пользователей

9. НОВАЯ СРЕДА
ОБЩЕНИЯ И ОБУЧЕНИЯ

10. Новая парадигма образования
Глобализация
НОВАЯ ПАРАДИГМА
Общество знаний Ускорение перемен

11. eLearning 2.0
активное участие обучающихся
в создании и наполнении баз учебных материалов
возможность пирингового сотрудничества
между обучающимися
аггрегация разнородных потоков
Web 2.0 учебной информации
сочетание формального
и неформального (informal) обучения
использование социальных сервисов

12. Организация электронного обучения
Надежные процедуры
и механизмы оценивания
ОЦЕНКА РЕЗУЛЬТАТОВ
Поддержка и помощь
в обучении 24/7/364
ОБРАТНАЯ СВЯЗЬ
Организация виртуального
класса – общение с
преподавателем и другими
студентами КАНАЛЫ ОБЩЕНИЯ
Определение целей
и задач обучения,
обеспечение доступа
к материалам ИСХОДНЫЕ МАТЕРИАЛЫ

13. СРЕДА ЭЛЕКТРОННОГО ОБУЧЕНИЯ

14. СРЕДА ЭЛЕКТРОННОГО ОБУЧЕНИЯ

15. Интеграция инновационной и традиционной
образовательной среды
Перенос способов и методов деятельности ЭО
в традиционные образовательные среды
Инновационная Традиционная
образовательная образовательная
среда среда
электронного образовательного
обучения учреждения
Трансляция системных признаков ЭО
в традиционные образовательные среды

16. Университет будущего
• Гибкая образовательная траектория;
• Ориентация на рынок;
• Тесная связь с бизнесом;
• Интернационализация как ступень
перехода к глобализации

17. АКАДЕМИЧЕСКИЙ
КАПИТАЛИЗМ
университеты существуют в
условиях постоянной конкуренции,
причем конкурентные преимущества
им дает академический капитал
(качественный состав персонала,
востребованность и актуальность
курсов и т.д.)

18. ВОЗМОЖНЫЙ ПУТЬ РАЗВИТИЯ
КОММЕРЦИАЛИЗАЦИЯ ВЫСШЕГО ОБРАЗОВАНИЯ:
- Университеты следуют принципам свободного рынка
- Глобальная конкуренция на рынке коммерческих образовательных
услуг
- Борьба за студентов
- Разделение учебных заведений на исследовательские ВУЗы м ВУЗы,
занимающиеся исключительно образовательной поточной деятельностью
- Аутсорсинг образовательных услуг
- Автоматизация процесса обучения
- Обезличивание учебных материалов / создание рынка электронных
учебных пособий

19. НОВАЯ СРЕДА - НОВЫЕ УГРОЗЫ

21. КАК ЗАЩИТИТЬ СЕБЯ ОТ НОВЫХ УГРОЗ?

22. Взаимосвязь между различными компонентами системы
безопасности e-learning

23. Взаимосвязь угроз и уязвимостей

24. АНАЛИЗ РИСКОВ

25. AIC-триада
Availability, Integrity, Confidentiality
AIC - БЕЗОПАСНОСТЬ
ЭЛЕКТРОННОГО ОБУЧЕНИЯ

26. БЕЗОПАСНОСТЬ ЭЛЕКТРОННОГО
ОБУЧЕНИЯ
Обеспечение
секретности
Обеспечение Обеспечение
целостности штатной работы
приложения
Обеспечение доступности

27. Угрозы нормальному
функционированию системы
электронного обучения
Неавторизованный
доступ к цифровому
контенту
Нарушение Нарушение
целостности нормального
и неадекватность функционирования
учебных ресурсов служб и сервисов
Нарушение
безопасности
процедур
тестирования

28. Угрозы системе e-learning:
• Идентификации и авторизации;
• Надежности и бесперебойности работы
служб и сервисов;
• Целостности баз данных и учебных и
информационных ресурсов;
• Режима секретности;
• Нарушения законодательства.

29. Уязвимости системы e-learning:
• Уязвимость физической (hardware)
инфраструктуры;
• Уязвимость программного обеспечения;
• Уязвимость человеческих ресурсов;
• Уязвимость баз данных;
• Уязвимость перед действием природных
факторов.

30. БЕЗОПАСНОСТЬ ЭЛЕКТРОННОГО ОБУЧЕНИЯ
Информационная безопасность
Психологическая безопасность
Дидактическая безопасность
Физическая безопасность
…..

31. Уровни защиты электронного ВУЗа

32. ФИЗИЧЕСКАЯ БЕЗОПАСНОСТЬ ВУЗа

33. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ВУЗА

34. Информационная безопасность
• защищенность информации и
поддерживающей ее инфраструктуры от
любых случайных или злонамеренных
воздействий, результатом которых может
явиться нанесение ущерба самой
информации, ее владельцам или
поддерживающей инфраструктуре.

35. Задачи информационной
безопасности
• минимизация ущерба, а также
прогнозирование и предотвращение
вредных воздействий.

36. Действия, которые могут нанести ущерб
информационной безопасности ВУЗа
• 1. Действия, осуществляемые авторизованными пользователями.
* целенаправленная кража или уничтожение данных на рабочей станции или сервере;
* повреждение данных пользователем в результате неосторожных действий.
2. "Электронные" методы воздействия, осуществляемые хакерами.
* несанкционированное проникновение в компьютерные сети;
* DOS-атаки.
3. Компьютерные вирусы.
4. Спам.
* электронная почта в последнее время стала главным каналом распространения вредоносных программ;
* спам отнимает массу времени на просмотр и последующее удаление сообщений, вызывает у сотрудников чувство
психологического дискомфорта;
* как частные лица, так и организации становятся жертвами мошеннических схем, реализуемых спамерами
(зачастую подобного рода события потерпевшие стараются не разглашать);
* вместе со спамом нередко удаляется важная корреспонденция, что может привести к потере клиентов, срыву
контрактов и другим неприятным последствиям; опасность потери корреспонденции особенно возрастает при
использовании черных списков RBL и других "грубых" методов фильтрации спама.
5. "Естественные" угрозы.

37. МЕТОДЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
• * средства идентификации и аутентификации
пользователей;
* средства шифрования информации, хранящейся на
компьютерах и передаваемой по сетям;
* межсетевые экраны;
* виртуальные частные сети;
* средства контентной фильтрации;
* инструменты проверки целостности содержимого
дисков;
* средства антивирусной защиты;
* системы обнаружения уязвимостей сетей и анализаторы
сетевых атак.

38. ПСИХОЛОГИЧЕСКАЯ
БЕЗОПАСНОСТЬ ОБУЧЕНИЯ
• Баева И.А Психологическая безопасность в образовании: Монография. Санкт-Петербург,
2002. - 271с.
• Баева И.А., 2002 Безопасность образовательной среды, психологическая культура и
психическое здоровье школьников. 2002.
• Грачев Г.В. Информационно-психологическая безопасность личности: состояние и
возможности психологической защиты. М.: Изд-во РАГС, 1998 - 125 с.
• Кабаченко Т. С. Психология управления: Уч. пос. М.: 2000
• Маслоу А. Мотивация и личность. Санкт-Петербург, 2001. – 478 с.
• Секач М.Ф. Психология здоровья.- М.: Академический проект, 2003.
• Семикин В.В. Психологическая культура в образовании человека: Монография. Санкт-
Петербург, 2002. - 155с.
• Сыманюк Э.Э. Психологическая безопасность образовательной среды. 2004

40. Психологическая безопасность
состояние, характеризующее образовательную
среду образовательного учреждения,
фиксируемое через отношения ее участников

41. Модель психологически безопасной
образовательной среды
1. Защищенность от психологического
насилия;
2. Референтная значимость окружения;
3. Удовлетворенность в личностно-
доверительном общении.
(И.А. Баева)

42. Модель психологически безопасной
образовательной среды (И.А.Баева)
Баева Ирина Александровна.
Психологическая безопасность
образовательной среды (Теоретические
основы и технологии создания) : Дис. ... д-
ра психол. наук : 19.00.07 : Санкт-
Петербург, 2002 386 c. РГБ ОД, 71:03-19/19-
9

43. Угрозы психологической безопасности
образовательной среды
Психологическое насилие в процессе взаимодействия:
• Психологические воздействия (угрозы, унижения, оскорбления,
чрезмерные требования, запреты на поведение и переживание,
негативное оценивание, фрустрация основных нужд и потребностей
обучающегося);
• Психологические эффекты (утрата доверия к себе и к миру,
беспокойство, тревожность, нарушения сна, аппетита, депрессия,
агрессивность, низкая самооценка, соматические и
психосоматические заболевания);
• Психологические взаимодействия (доминантность,
непредсказуемость, непоследовательность, неадекватность,
безответственность, неуверенность, беспомощность)

44. Угрозы психологической безопасности
образовательной среды
• Непризнание референтной значимости образовательной
среды образовательного учреждения (студент
отрицает ценности и нормы вуза, стремится прервать
процесс обучения и «покинуть» вуз)
• Отсутствие удовлетворенности в личностно-
доверительном общении и основными характеристиками
процесса взаимодействия всех участников
образовательной среды (эмоциональный дискомфорт;
нежелание высказывать свою точку зрения и мнение;
неуважи-тельное отношение к себе; потеря личного
достоинства; нежелание обращаться за помощью,
невнимательность к просьбам и предложениям)

45. Угрозы психологической безопасности
образовательной среды
• Неразвитость системы психологической помощи в
образовательном учреждении
• Эмоциональное выгорание ППС

46. http://www.guardian.co.uk/higher-education-network/blog/2012/dec/05/student-mental-health-
university-
responsibility?j=23383&e=zuev100@gmail.com&l=350_HTML&u=1222372&mid=1059027&jb=22&C
MP

47. ДИДАКТИЧЕСКАЯ БЕЗОПАСНОСТЬ
ЭЛЕКТРОННОГО ОБУЧЕНИЯ
http://www.amazon.com/Security-Learning-
Advances-
Information/dp/1441937226/ref=sr_1_1?ie=UTF
8&s=books&qid=1291882395&sr=1-1

48. http://www.weippl.com/Weippl.html
http://www.sba-research.org/team/management/edgar-weippl/?lang=en

49. ОСОБЕННОСТЬ
СИСТЕМЫ
ЭЛЕКТРОННОГО
ОБУЧЕНИЯ:
Двойственность -
субъект/объект атаки

50. Студент 2.0

51. Риски, связанные со студентами
• риск, связанный с неспособностью студента
выдерживать заданный преподавателем и
электронной системой темп обучения
• риск, связанный с необходимостью постоянной
мотивации студента
• риск, связанный с неадекватной самооценкой и
поведением студента
• риск, связанный с неспособностью студента
наладить контакт с преподавателем
• технологический риск (высокая компетенция
студента в области ИКТ, программного обеспечения
и сервисов Web 2.0)

52. Преподаватель 2.0

53. ПРЕПОДАВАТЕЛЬ ЭЛЕКТРОННОГО ВУЗА

54. Риски, связанные с профессорско-
преподавательским составом
• риски, связанные с компетентностью ППС
• риски, связанные с организацией учебного
процесса
• риски, возникающие непосредственно в
ходе учебного процесса

55. Риски, связанные с компетентностью ППС
• Дидактический риск
• Технологический риск
• Научный риск
• Риск делегирования полномочий

56. Риски, связанные с профессорско-
преподавательским составом
• риски, связанные с компетентностью ППС
• риски, связанные с организацией учебного
процесса
• риски, возникающие непосредственно в
ходе учебного процесса

57. Риски, связанные с профессорско-
преподавательским составом
• риски, связанные с компетентностью ППС
• риски, связанные с организацией учебного
процесса
• риски, возникающие непосредственно в
ходе учебного процесса

58. НОВОЕ ПОНЯТИЕ
ПСУ...
ПССУ...
ИССУ...
BYOD

59. BYOD В УНИВЕРСИТЕТЕ
http://www.flickr.com/ph
otos/luc/

60. РИСКИ И ОПАСНОСТИ BYOD

61. ПЕРВЫЕ НЕПРИЯТНОСТИ
Источник: http://infographiclist.files.wordpress.com/2012/04/2is-texting-lying.jpg?w=610&h=3444

62. Основные 5 вызовов BYOD
1. Потерянные или украденные персональные устройства
2. Рост количества вредоносных программ для мобильных устройств
3. Уязвимость мобильных платежей
4. Угрозы, связанные с уязвимостью мобильных приложений
5. Угрозы, связанные с мобильным Интернетом

63. Увеличение поверхности атаки…
Работников
81% пользуются
персональными
устройствами
на работе
Не включают
Число приносимых
работниками
37% функцию
замка
персональных
устройств растет
быстрее, чем
возможности
организации Файлов не
обеспечить их
безопасность в
33% зашифрованы
корпоративной среде.

64. Управление рисками BYOD
Несанкионированный
доступ в сеть Сетевые риски
Вредоносные
приложения Риски приложений
Уязвимость устройств Риски устройств

65. МОДЕЛИРОВАНИЕ БЕЗОПАСНОЙ СИСТЕМЫ
ЭЛЕКТРОННОГО ОБУЧЕНИЯ

66. Что такое модель угроз?
• Описание источников угроз ИБ; методов реализации угроз
ИБ; объектов, пригодных для реализации угроз ИБ;
уязвимостей, используемых источниками угроз ИБ; типов
возможных потерь (например, нарушение доступности,
целостности или конфиденциальности информационных
активов); масштабов потенциального ущерба
РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций
банковской системы РФ. Методика оценки рисков нарушения информационной
безопасности»
• Физическое, математическое, описательное
представление свойств и характеристик угроз
безопасности информации
ГОСТ 50922-2006 «Защита информации. Основные термины и определения»

67. • Модель нарушителя - предположения о возможностях
нарушителя, которые он может использовать для
разработки и проведения атак, а также об ограничениях
на эти возможности
• Модель угроз -перечень возможных угроз
Методические рекомендации ФСБ по обеспечению с помощью криптосредств
безопасности персональных данных при их обработке в информационных системах
персональных данных с использованием средств автоматизации

68. http://www.cbr.ru/credit/gubzi_docs/st22_09.pdf

69. Зачем нужно моделирование угроз
• Систематическая идентификация потенциальных
опасностей
• Систематическая идентификация возможных видов
отказов
• Количественные оценки или ранжирование рисков
• Выявление факторов, обуславливающих риск, и слабых
звеньев в системе
• Более глубокое понимание устройства и
функционирование системы
• Сопоставление риска исследуемой системы с рисками
альтернативных систем или технологий

70. продолжение…
• Идентификация и сопоставление рисков и
неопределенностей
• Возможность выбора мер и приемов по
обеспечению снижения риска
ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ риска технологических систем»
• Основная задача моделирования угроз –
обоснование решений, касающихся
рисков

71. Вопросы для модели угроз
• Какие угрозы могут быть реализованы?
• Кем могут быть реализованы эти угрозы?
• С какой вероятностью могут быть реализованы эти
угрозы?
• Каков потенциальный ущерб от этих угроз?
• Каким образом могут быть реализованы эти угрозы?
• Средства и каналы реализации угроз.
• Почему эти угрозы могут быть реализованы?
• Уязвимости и мотивация
• На что могут быть направлены эти угрозы?
• Как можно отразить эти угрозы?

72. Анализ угроз и анализ рисков
• Согласно РС БР ИББС-2.2-2009 моделирование угроз
предшествует оценке рисков
• Согласно другим стандартам и лучшим практикам анализ
угроз и анализ рисков очень тесно переплетены
• Анализ рисков позволяет ответить на 3 вопроса (согласно
ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ риска
технологических систем»):
• Что может выйти из строя (идентификация опасности)
• С какой вероятностью это может произойти (анализ частоты)
• Каковы последствия этого события (анализ последствий)

73. Качественная или количественная оценка?

74. Качественная или количественная оценка?
• Количественная оценка не всегда возможна из-за
недостатка информации о системе, недостатка
информации о подрывной деятельности,
подвергающейся оценке, отсутствии или
недостатке данных об инцидентах, сложности
учета влияния человеческого фактора
• Качественная оценка требует четкого разъяснения
всех используемых терминов, обоснования всех
классификаций, понимания всех плюсов и
минусов качественной (экспертной) оценки

75. Психология восприятия риска
• Даже при наличии фактов и достаточного объема
информации об анализируемой системе у экспертов часто
существуют сложности с восприятием риска
• Безопасность основана не только на вероятности
различных рисков и эффективности различных контрмер
(реальность), но и на ощущениях
• Ощущения зависят от психологических реакций на риски и
контрмеры.
Например - чего вы больше опасаетесь –попасть в
авиакатастрофу или автоаварию? что вероятнее –
пасть жертвой террористов или погибнуть на дороге?

76. Реальность и ощущение безопасности

77. БЕЗОПАСНОСТЬ ЭЛЕКТРОННОГО
ОБУЧЕНИЯ
Обеспечение
секретности
Обеспечение Обеспечение
целостности штатной работы
приложения
Обеспечение доступности

78. Угрозы нормальному
функционированию системы
электронного обучения
Неавторизованный
доступ к цифровому
контенту
Нарушение Нарушение
целостности нормального
и неадекватность функционирования
учебных ресурсов служб и сервисов
Нарушение
безопасности
процедур
тестирования

80. AICA Threat Modeling Approach for E-learning Systems
(Maria Nickolova, Eugene Nickolov, 2007)
Availability Integrity Confidentiality Authentication
Denial-of-Service Malicious code attacks Group session Brute force attacks
eavesdropping
Node attacks Message injection Group session traffic Dictionary attacks
analysis
Link attacks Traffic modification Group identity disclosure Login spoofing attacks
Network infrastructure Traffic deletion Key management
attacks attacks
Traffic rerouting Replay attacks
Traffic misdelivery Man-in-the-middle
rerouting attacks
Forgery attacks Session hijacking
attacks
Stack overflow attacks Non-repudiation attacks

81. Analysis of Threats in E-Learning Systems
(C. J. Eibl, 2010)

82. E-LEARNING SECURITY CUBE

83. БЕЗОПАСНОСТЬ ЭЛЕКТРОННОГО ОБУЧЕНИЯ

84. БЕЗОПАСНОСТЬ ЭЛЕКТРОННОГО ОБУЧЕНИЯ

85. БЕЗОПАСНОСТЬ ЭЛЕКТРОННОГО ОБУЧЕНИЯ

86. БЕЗОПАСНОСТЬ ЭЛЕКТРОННОГО ОБУЧЕНИЯ

87. БЕЗОПАСНОСТЬ ЭЛЕКТРОННОГО ОБУЧЕНИЯ

88. Только оценив все риски и уязвимости,
можно дать адекватный ответ на угрозы

89. СТРУКТУРА СИСТЕМЫ
ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
ЭЛЕКТРОННОГО ВУЗА

91. АКТИВЫ
ЭЛЕКТРОННОГО
УНИВЕРСИТЕТА

92. УРОВНИ ЗАЩИТЫ ЭЛЕКТРОННОГО ВУЗА

93. НЕКОТОРЫЕ МЕТОДЫ БОРЬБЫ ЗА
БЕЗОПАСНОСТЬ ЭЛЕКТРОННОГО ОБУЧЕНИЯ

95. ИДЕНТИФИКАЦИЯ СТУДЕНТА

96. http://www.softwaresecure.com/US/Main.aspx

97. http://www.vaal.ru/index.php

98. http://corp.antiplagiat.ru/

99. http://www.turnitin.com/static/index.php

100. А НУЖНО ЛИ ВУЗУ БОРОТЬСЯ ЗА БЕЗОПАСНОСТЬ
ЭЛЕКТРОННОГО ОБУЧЕНИЯ?

101. Лучший способ защититься от
кражи – отдать все самому

102. OER: a definition
• Web-based materials offered freely and
openly for use and reuse in teaching, learning
and research
(UNESCO, 2002)
• Only open if they are released under an open
licence
• Includes any tool, material or technique used
to support access to knowledge
102

103. OER: milestones in the movement
• 1998: “open content” and the Open
Publication License
• 2001: founding of Creative Commons
• 2001: MIT announces OpenCourseWare
103

104. The Cape Town Declaration
• “…a statement of principle, a statement of
strategy and a statement of commitment …
meant to spark dialogue, to inspire action and
to help the open education movement grow.”
(Cape Town Open Education Declaration, 2008)
104

105. СПАСИБО ЗА ВНИМАНИЕ
vzuev@ksu.ru