Структура и ключевые аспекты дипломной работы по защите информации в СДО

Введение, где мы обоснуем актуальность и сформулируем цели работы

Стремительный рост популярности систем дистанционного обучения (СДО), в частности платформы Moodle, трансформировал образовательный ландшафт. Однако вместе с увеличением числа пользователей пропорционально вырос и объем обрабатываемых персональных данных (ПДн), превращая СДО в привлекательную мишень для злоумышленников. В системах циркулируют и хранятся не только учебные материалы, но и чувствительная информация: от ФИО, паспортных данных и адресов до сведений об успеваемости, что требует системного подхода к обеспечению информационной безопасности.

В связи с этим, данная дипломная работа посвящена разработке комплексной защиты такой информационной системы. Научный аппарат исследования сформулирован следующим образом:

• Объект исследования: процесс обеспечения информационной безопасности в системе дистанционного обучения.
• Предмет исследования: методы и средства защиты персональных данных, обрабатываемых в СДО на базе Moodle.
• Цель работы: разработка комплексной системы защиты персональных данных, направленной на нейтрализацию актуальных угроз для СДО Moodle.
• Задачи работы:
  1. Проанализировать СДО как объект защиты, ее архитектуру и информационные активы.
  2. Изучить нормативно-правовую базу в области защиты ПДн.
  3. Построить модели угроз и нарушителя, релевантные для СДО.
  4. Разработать комплекс организационных и технических мер защиты.
  5. Выбрать конкретные программные и аппаратные средства для реализации предложенной системы.

Чтобы приступить к решению поставленных задач, необходимо детально изучить сам объект защиты.

Глава 1. Анализ СДО как объекта защиты информации

Для эффективного проектирования системы защиты крайне важно понимать структуру объекта. Типичная СДО на базе Moodle представляет собой сложный программно-аппаратный комплекс. Ее ключевыми компонентами являются:

• Ядро системы: программный код Moodle, отвечающий за основную логику и функциональность.
• Веб-сервер: программное обеспечение (например, Apache или Nginx), которое обрабатывает запросы пользователей и отдает им веб-страницы.
• База данных: хранилище структурированной информации, где содержатся сведения о пользователях, курсах, оценках и настройках.
• Файловое хранилище: директория на сервере, где физически размещаются загружаемые пользователями файлы (учебные материалы, выполненные задания).

В этой экосистеме циркулируют и хранятся критически важные информационные активы. К ним относятся не только персональные данные студентов и преподавателей (контакты, паспортные данные, сведения об образовании), но и объекты интеллектуальной собственности (учебные материалы, методики), а также результаты аттестаций. Уязвимости могут возникать на любом уровне — в ядре Moodle, в сторонних плагинах, в конфигурации веб-сервера или операционной системы. Каждый из этих активов обладает ценностью и требует адекватной защиты. Понимание структуры объекта и ценности его активов позволяет перейти к анализу того, что им угрожает.

Нормативно-правовая база как фундамент системы защиты

Проектирование любой системы защиты информации должно опираться на прочный фундамент законодательства. Технические решения не могут существовать в вакууме; они должны соответствовать требованиям регуляторов. Ключевыми нормативными актами в этой сфере являются:

• ФЗ-152 «О персональных данных»: это основной закон, который устанавливает принципы и условия обработки ПДн, а также права субъектов данных. Он обязывает оператора (в данном случае — образовательное учреждение) принимать необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного доступа, уничтожения, модификации и других незаконных действий.
• ФЗ-149 «Об информации, информационных технологиях и о защите информации»: данный закон регулирует более общие вопросы, связанные с доступом к информации и ее защитой, формируя общую правовую среду.

Несоблюдение требований этих законов влечет за собой административную, а в некоторых случаях и уголовную ответственность. Таким образом, вся дальнейшая работа по построению системы защиты является не просто рекомендацией, а прямым выполнением предписаний законодательства. Законы предписывают защищаться, но не говорят, от чего конкретно. Следующий шаг — определить перечень актуальных угроз.

Построение модели угроз и нарушителя для конкретной СДО

Модель угроз — это не просто перечисление гипотетических опасностей, а формализованный документ, созданный на основе систематизированного анализа, например, по методологии ФСТЭК России. Он позволяет перейти от общих рассуждений к конкретике и служит основой для проектирования системы защиты. Основные угрозы безопасности данных в СДО можно классифицировать как угрозы нарушения:

• Конфиденциальности (утечка данных, несанкционированный доступ).
• Целостности (модификация оценок, подмена учебных материалов).
• Доступности (отказ в обслуживании, блокирование системы).

Источниками этих угроз могут быть как внешние нарушители (хакеры, нацеленные на кражу данных или нарушение работы сервиса), так и внутренние (нелояльные сотрудники, обладающие легитимным доступом, или студенты, пытающиеся получить нечестное преимущество). Типовые сценарии атак включают в себя SQL-инъекции, межсайтовый скриптинг (XSS), фишинг для кражи учетных данных и атаки типа «человек посередине» для перехвата трафика. Обобщенная модель нарушителя предполагает, что он может обладать разным уровнем квалификации, от новичка до профессионала, и использовать как общедоступный, так и специализированный инструментарий. Теперь, когда у нас есть систематизированный список угроз, можно переходить от теории к практике и проектировать ответные меры.

Глава 2. Проектирование комплексной системы защиты информации

Эффективная защита не может строиться на одном-единственном рубеже. Основой современной стратегии безопасности является концепция эшелонированной обороны (Defense in Depth), которая предполагает создание нескольких уровней защиты. Если злоумышленник преодолеет один уровень, его остановит следующий. Для СДО Moodle такую систему можно представить в виде следующих уровней:

1. Сетевой уровень: Это первая линия обороны. Основным инструментом здесь является межсетевой экран (firewall), который фильтрует сетевой трафик, пропуская только легитимные запросы к веб-серверу и блокируя вредоносную активность.
2. Уровень операционной системы: Защита сервера, на котором развернута СДО. Меры включают установку и регулярное обновление антивирусного программного обеспечения, своевременную установку патчей безопасности для ОС и hardening — «упрочнение» системы путем отключения неиспользуемых сервисов.
3. Уровень веб-приложения (Moodle): Настройка самой платформы. Это включает в себя грамотную конфигурацию политик безопасности, строгий контроль устанавливаемых плагинов (так как они являются частым источником уязвимостей) и регулярное обновление Moodle до последней версии.
4. Организационный уровень: Технологии бессильны без людей. Этот уровень включает разработку инструкций и регламентов для пользователей и администраторов, проведение обучения по основам кибербезопасности и установление четкого порядка реагирования на инциденты.

Такой многоуровневый подход обеспечивает комплексную защиту, закрывая большинство векторов потенциальных атак. Общая архитектура системы защиты ясна. Теперь необходимо детализировать ключевые технические подсистемы.

Подсистема управления доступом и аутентификации

Одной из центральных задач безопасности является гарантия того, что каждый пользователь имеет доступ только к той информации и тем функциям, которые ему положены. В Moodle эта задача решается с помощью механизма ролевого управления доступом (RBAC). Система позволяет гибко разграничить права для разных категорий пользователей:

• Администратор: обладает полными правами на управление системой.
• Преподаватель: может создавать курсы, управлять учебными материалами и оценивать студентов в рамках своих дисциплин.
• Студент: имеет доступ к учебным материалам курсов, на которые он записан, и может сдавать задания.

Однако одного лишь разграничения прав недостаточно. Необходимо обеспечить надежную аутентификацию пользователей. Для этого требуется внедрение строгой парольной политики (требования к длине и сложности паролей). Для привилегированных ролей, особенно для администраторов, настоятельно рекомендуется внедрение двухфакторной аутентификации (2FA), которая значительно усложняет несанкционированный доступ даже в случае утечки пароля. Отдельного внимания заслуживает функция самозаписи студентов на курсы: она удобна, но несет риски. Для их минимизации следует использовать кодовые слова (ключи записи), которые сообщаются только легитимным участникам курса. Мы защитили вход в систему. Теперь нужно защитить данные, которые передаются и хранятся внутри нее.

Подсистема криптографической защиты данных

Криптография служит для обеспечения двух ключевых свойств безопасности: конфиденциальности и целостности данных. Задачу шифрования в СДО необходимо рассматривать в двух плоскостях: защита данных при передаче и защита данных при хранении.

Защита данных при передаче (Data-in-Transit): Вся информация между браузером пользователя и сервером СДО должна передаваться в зашифрованном виде. Для этого используется протокол HTTPS. Он создает защищенный канал, делая перехват и прочтение трафика (например, логинов и паролей) практически невозможным. Использование HTTPS сегодня является отраслевым стандартом безопасности для любых веб-приложений.

Защита данных при хранении (Data-at-Rest): Не менее важно защитить информацию, которая находится непосредственно на сервере. В первую очередь это касается базы данных, содержащей персональные сведения, и резервных копий. Применение технологий шифрования файловой системы или самой базы данных гарантирует, что даже в случае физической кражи носителей злоумышленники не смогут получить доступ к информации. Дополнительно, для обеспечения юридической значимости электронных документов (например, ведомостей или приказов) в СДО может использоваться электронная цифровая подпись (ЭЦП). Технические меры реализованы. Но любая система требует постоянного контроля и обслуживания.

Глава 3. Выбор программных и аппаратных средств для реализации системы

На основе спроектированной архитектуры можно предложить конкретный стек технологий для ее реализации. Выбор должен быть обоснованным и соответствовать задачам каждого уровня защиты.

• Межсетевой экран: Для базовой защиты можно использовать программные решения, встроенные в операционную систему, например, iptables в Linux. В организациях с повышенными требованиями к безопасности целесообразно использовать выделенные аппаратные межсетевые экраны.
• Антивирусная защита: На сервере СДО необходимо использовать специализированное серверное антивирусное ПО, которое оптимизировано для постоянной работы и минимального влияния на производительность.
• Система мониторинга и реагирования: Для централизованного сбора и анализа событий безопасности (логов) можно рассмотреть внедрение SIEM-системы начального уровня. Она поможет своевременно выявлять подозрительную активность и реагировать на инциденты.
• Средства резервного копирования: Для регулярного создания резервных копий (архивирования) можно использовать как встроенные средства СУБД, так и специализированное ПО, которое позволяет автоматизировать процесс и настроить шифрование архивов.

Ключевой принцип — каждый компонент должен играть четко определенную роль в общей системе и быть интегрирован с другими элементами защиты. Система спроектирована и укомплектована. Осталось подвести итоги проделанной работы.

Заключение, в котором мы подводим итоги и намечаем пути развития

В ходе выполнения дипломной работы были решены все поставленные задачи. Проведен детальный анализ СДО Moodle как объекта защиты, изучена нормативно-правовая база, что позволило обосновать все последующие решения. На основе анализа типичных уязвимостей были разработаны актуальные модели угроз и нарушителя.

Главным результатом работы является спроектированный комплекс организационных и технических мер, построенный по принципу эшелонированной обороны. Предложенная многоуровневая система защиты, включающая подсистемы управления доступом, криптографической защиты и сетевой безопасности, позволяет существенно повысить уровень защищенности персональных данных и других информационных активов в СДО.

В качестве дальнейших путей развития предложенной системы можно выделить:

• Проведение регулярных внешних аудитов и тестов на проникновение (пентестов) для выявления неочевидных уязвимостей.
• Внедрение программ непрерывного обучения и повышения осведомленности пользователей в вопросах информационной безопасности.

Реализация предложенных мер позволит создать надежную и безопасную образовательную среду. Работа завершена. Последний штрих — оформление списка использованных источников.

Список использованных источников и приложения

Качество дипломной работы во многом определяется ее научной базой. Крайне важно уделить внимание правильному оформлению списка использованных источников в соответствии с требованиями ГОСТ. Рекомендуется включать в библиографию широкий круг материалов: не только учебники по защите информации, но и актуальные научные статьи, официальные тексты нормативных актов (ФЗ-152, ФЗ-149), а также техническую документацию по используемым программным и аппаратным средствам.

Для того чтобы не перегружать основной текст работы, в приложения целесообразно выносить вспомогательные материалы большого объема.

Например, в приложения можно поместить:

• Полный перечень угроз безопасности информации из модели ФСТЭК в виде таблицы.
• Листинги ключевых конфигурационных файлов (например, настройки веб-сервера).
• Скриншоты, иллюстрирующие настройки политик безопасности в интерфейсе Moodle.

Такой подход делает основную часть работы более читаемой и сфокусированной на ключевых выводах.

Список использованных источников

1. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных [Электронный ресурс]: утв. Федеральной службой по техническому и экспортному контролю 15 февраля 2008 г // СПС Консультант Плюс.
2. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных [Электронный ресурс]: утв. Федеральной службой по техническому и экспортному контролю 14 февраля 2008 г // СПС Консультант Плюс.
3. В. А. Тихонов, В. В. РайхИнформационная безопасность. Концептуальные, правовые, организационные и технические аспекты. М: 2006 с. 235.
4. Модель угроз и нарушителя безопасности персональных данных, обрабатываемых в типовых информационных системах персональных данных отрасли ФСТЭК России от 04.06.2010 г. № 240/2/2271.
5. Баймакова И.А., Новиков А.В., Рогачев А.И. Обеспечение защиты персональных данных. Методическое пособие / И.А. Баймакова. – М.: 1С-Паблишинг, 2010. – 214 с.
6. Безопасность и управление доступом в информационных системах. А.В. Васильков, И.А. Васильков. Учебное пособие. М. : ФОРУМ, 2010. 368 с.
7. Комплексная система защиты информации на предприятии, Н.В. Гришина. Учебное пособие. М. : ФОРУМ, 2011. — 240 с.
8. Андреев, А.А. Учебно-методическое обеспечение для Интернет-обучения / А.А. Андреев, В.Н. Фокина // Всероссийская научно-практичес¬кая конференция «Информационные технологии в образовании и науке». ИТОН, 2007.
9. Мельников П. П. Защита информации в автоматизированных системах финансовых и коммерческих организаций, М.: ФА, 2011. –76с.
10. Каменева Е. ЭЦП и электронное согласование проектов документов с использованием ИС / Екатерина Каменева // Делопр-во и документооборот на предприятии. — 2011. — № 9. — C. 48-56.
11. Блэк У. Интернет: протоколы безопасности. Учебный курс. — СПб.: Питер, 2011. — 288 с.: ил.
12. Домарев В.В., Безопасность информационных технологий. Системный подход. – К.: ООО ТИД Диа Софт, 2012. –992 с.
13. Биячуев Т.А. Безопасность корпоративных сетей. Учебное пособие / под ред. Осовецкого Л.Г. — СПб.: СПбГУ ИТМО, 2011. — 161 с.
14. Андреев, А.В. Практика электронного обучения с использованием Moodle / А.В. Андреев, С.В. Андреева, И.Б. Доценко. — Таганрог: Изд-во ТТИ ЮФУ, 2008. — 146 с.
15. Анисимов, А.М. Работа в системе дистанционного обучения Moodle: учебное пособие / А.М. Анисимов. — Харьков, ХНАГХ, 2009. — 292 с.
16. Белозубов, А.В. Система дистанционного обучения Moodle: учебно-методическое пособие / А.В. Белозубов, Д.Г. Николаев. — СПб., 2007. — 108 с.
17. Гильмутдинов, А.Х. Электронное образование на платформе Moodle [Текст] / А.Х. Гильмутдинов, Р.А. Ибрагимов, И.В. Цивильский. — Казань, КГУ, 2008. — 169 с.
18. Белов, Е.Б. Основы информационной безопасности [Текст]. Учебное пособие для вузов / Е.Б. Белов, В.П. Лось, Р.В. Мещеряков, А.А. Шелупанов. – М.: Горячая линия – Телеком, 2006. – 544 с.
19. Малюк, А.А. Информационная безопасность: концептуальные и методологические основы защиты информации [Текст]. Учеб.пособие для вузов / А.А. Малюк. – М.: Горячая линия-Телеком, 2004. – 280 с.
20. Чипига, А.Ф. Информационная безопасность автоматизированных систем: учеб.пособие для студентов вузов, обучающихся по специальностям в обл. информ. безопасности [Текст]/ А.Ф. Чипига. – М.: Гелиос АРМ, 2010. – 336 с.
21. Ярочкин, В.И. Информационная безопасность [Текст]: Учебник для вузов / В.И. Ярочкин. – М.: Академический Проект, 2004. – 544 с.
22. Скрипкин, К.Г. Экономическая эффективность информационных систем. – М.: ДМК Пресс, 2002. – 256 с.
23. SafeNetEthernetEncryptor [Электронный документ] URL: http://www.datasec.ru/products/kanalnoe_shifrovanie/safenet_ethernet_encryptor/
24. ESET SecureEnterprise [Электронный документ] URL: http://www.esetnod32.ru/business/products/
25. СЗИ от НСД SecretNet [Электронный документ] URL: http://www.securitycode.ru/products/secret_net/
26. Калыгин, В.Г. Безопасность жизнедеятельности. Промышленная и экологическая безопасность, безопасность в техногенных чрезвычайных ситуациях [Текст] / В.А. Бондарь. – М.: КолосС, 2006. – 520 с.
27. Кукин, П.П. Безопасность жизнедеятельности. Безопасность технологических процессов производств. Охрана труда [Текст] / В.Л. Лапин. – М.: Высшая школа, 2007. – 336 с.