Коллеги! Предлагаем Вам ознакомиться с представленным материалом и высказать свои замечания и предложения в комментариях.
Описание механизмов набора учащихся при электронном дистанционном обучении
Разработка механизмов приема учащихся при электронном дистанционном обучении с учетом возможности использования систем идентификации (аутентификации).
Важное значение при организации обучения школьников с использованием дистанционных образовательных технологий имеет создание механизмов приема учащихся, а также последующая организация управления взаимодействием с учащимися, их родителями или законными представителями. Это направление деятельности целесообразно реализовать на базе базе специально разработанной подсистемы информационной среды образовательного учреждения (образовательной организации).
Подсистема должна обеспечивать:
- учет информации об учащихся, договорах с учащимися, потенциальных учащихся, родителях или законных представителей и истории взаимодействий;
- разграничение прав доступа к информации об учениках, потенциальных учениках, их родителях или законных представителях;
- управление работой с потенциальными учащимися и возможность настроить правила маршрутизации при обращении потенциальных учащихся, а также цепочки действий, которые будут использоваться при работе с потенциальными учащимися;
- управление процессами заключения, расторжения, продления договоров, в том числе возможность определения назначения контрольных сроков для обработки договора на каждом этапе;
- управление процессами взаимодействия с поставщиками оборудования и услуги подключения к сети Интернет на этапе заключения и расторжения договоров;
- встроенные средства генерации документов по шаблонам;
- встроенные механизмы импорта данных об учениках, потенциальных учениках и договорах из существующей ИС;
- возможность интеграции с учебным порталом для управления аккаунтами, обмена информацией об учениках;
- интеграцию с существующей подсистемой автоматизации обработки вызовов для поиска ученика при поступлении входящего звонка по определившемуся номеру и отображения информации оператору.
Ниже в качестве примера приведен механизм заключения и дальнейшего сопровождения договора в ГОУ Центре образования города Москвы.
Шаг 1. Регистрация заявки.
Если тип обучения:
- «Основное», то информация об ученике поступает в виде путевки (пакета документов) из Центра «Надежда»
- «Дополнительное», то информация поступает в виде путевки от школьного психолого-медико-педагогического консилиума
- «Не указано», то информация поступает от руководства Центра образования, либо с данным типом обучения заводятся демо-логины и виртуальные персонажи
Шаг 2. Подписание договора.
Ученик (его ЗП) обязан предоставить все необходимые документы до момента заключения договора.
После получения справок сотрудник оформляет договор на обучение (основное или дополнительное), а также, если необходимо, один из двух договоров:
- Тип 1. Договор на предоставление оборудования с подключением к сети Интернет;
- Тип 2. Договор на предоставление оборудования без подключения к сети Интернет.
Информация о заключении договора фиксируется в подсистеме.
Шаг 3. Подготовка к обслуживанию.
После того как договор с учеником подписан:
- создается почтовый ящик;
- предоставляется доступ к учебному порталу (после закрытия работ по созданию почтового ящика);
- для учеников, имеющих договор на обучение, проводится первоначальное обучение (после закрытия работ по созданию почтового ящика и предоставления доступа к учебному порталу);
- производится подключение ученика к сети Интернет (в случае наличия соответствующего договора);
- производится выдача оборудования (в случае наличия соответствующего договора).
Шаг 4. Назначение куратора.
После предоставления ученику доступа к учебному порталу из подсистемы происходит оповещение сотрудника, ответственного за назначение куратора.
Шаг 5. Первоначальное обучение.
Первоначальное обучение проводится сразу после того, как предоставлен доступ к учебному порталу.
Для проведения первоначального обучения выдается задание куратору первоначального обучения. Факт выполнения задания фиксируется в подсистеме с указанием фамилии преподавателя, проводившего первоначальное обучение.
Шаг 6. Подключение к сети Интернет.
Информация о необходимости подключения к сети Интернет передается ответственному за подключение сотруднику, через выдачу на него задания в подсистеме. Возможна также организация рабочих мест в подсистеме непосредственно для поставщиков услуги подключения к сети Интернет. После получения информации от ответственной организации о том, что подключение произведено, информация о подключении фиксируется в подсистеме.
Шаг 7. Установка оборудования.
Параллельно с подключением к сети Интернет производятся работы по подбору, доставке и настройке оборудования.
Сотрудник определяет номенклатуру оборудования, затем отправляет запрос на склад на подготовку данного оборудования.
Одновременно с этим сотрудник уточняет у законного представителя удобное время для доставки оборудования и выдает в подсистеме задание на доставку и установку оборудования.
Факт выполнения задания фиксируется в подсистеме.
После выполнения всех работ по подготовке к обслуживанию учащийся получает доступ к системе электронного дистанционного обучения.
Организация доступа к системе аналогична существующим в других многопользовательским информационным сервисам, доступ является контролируемым посредством формализованного процесса регистрации пользователей, который включает:
- Использование уникальных ID (идентификаторов или имен) пользователей таким образом, чтобы действия в системе можно было бы соотнести с пользователями и установить ответственных. Использование групповых ID следует разрешать только в тех случаях, где это необходимо, с учетом особенностей выполняемой работы
- Проверку того, что пользователь имеет авторизацию от владельца системы на пользование информационной системой или сервисов. Кроме того, может быть целесообразным наличие дополнительного разрешения на предоставление прав от руководства
- Проверку того, что уровень предоставленного доступа соответствует необходимости, а также учитывает требования политики безопасности организации, например, не нарушает принципа разделения обязанностей
- Предоставление пользователям письменного документа, в котором указаны их права доступа
- Требование того, чтобы пользователи подписывали документ о том, что они понимают условия предоставления доступа
- Обеспечение уверенности в том, что поставщики услуг не предоставляют доступ, пока процедуры авторизации не завершены
- Ведение формализованного учета в отношении всех лиц, зарегистрированных для использования сервисов
- Периодическую проверку и удаление избыточных пользовательских ID и учетных записей
- Обеспечение того, чтобы избыточные пользовательские ID не были переданы другим пользователям
Необходимо, чтобы все пользователи (включая персонал технической поддержки, т.е. операторов, администраторов сети, системных программистов и администраторов базы данных) имели уникальный идентификатор (пользовательский ID) для их единоличного использования с тем, чтобы их действия могли быть проанализированы ответственным лицом.
Для выполнения особо важных работ допускается использовать общий идентификатор для группы пользователей или для выполнения определенной работы. В таких случаях необходимо соответствующим образом оформленное разрешение руководства. Кроме того, для обеспечения безопасности системы от неавторизованного доступа в этих случаях может потребоваться применение дополнительных мер обеспечения информационной безопасности.
Существуют различные процедуры аутентификации, которые могут использоваться для доказательства заявленной идентичности пользователя. Пароли – наиболее распространенный способ обеспечения идентификации и аутентификации, основанный на использовании пароля, который знает только пользователь (более подробно о работе с паролями см. в р. 1.1.18).
Специальные физические устройства доступа с памятью или микропроцессорные карты (смарт-карты) также могут быть использованы для идентификации и аутентификации. Биометрические методы аутентификации, которые основаны на уникальности характеристик (особенностей) индивидуума, также могут использоваться для аутентификации пользователя. Сочетание различных технологий и методов обеспечивает более надежную аутентификацию.
Разработка механизмов приема учащихся при электронном дистанционном обучении с учетом возможности использования цифровой подписи.
Организационная схема приема учащихся при электронном дистанционном обучении с учетом возможности использования цифровой подписи аналогична описанной выше. Однако есть существенные технологические различия.
В настоящее время в Российской Федерации отсутствует системный опыт применения цифровой подписи в процедуре приема учащихся при электронном дистанционном обучении.
Электронная цифровая подпись - (ЭЦП) — реквизит электронного документа, позволяющий установить отсутствие искажения информации в электронном документе с момента формирования ЭЦП и проверить принадлежность подписи владельцу сертификата ключа ЭЦП. Значение реквизита получается в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП.
Назначение и применение ЭЦП
Цифровая подпись предназначена для аутентификации лица, подписавшего электронный документ. Кроме этого, использование цифровой подписи позволяет осуществить:
- Контроль целостности передаваемого документа: при любом случайном или преднамеренном изменении документа подпись станет недействительной, потому что вычислена она на основании исходного состояния документа и соответствует лишь ему.
- Защиту от изменений (подделки) документа: гарантия выявления подделки при контроле целостности делает подделывание нецелесообразным в большинстве случаев.
- Невозможность отказа от авторства. Так как создать корректную подпись можно, лишь зная закрытый ключ, а он должен быть известен только владельцу, то владелец не может отказаться от своей подписи под документом.
- Доказательное подтверждение авторства документа. Так как создать корректную подпись можно лишь зная закрытый ключ, а он должен быть известен только владельцу, то владелец пары ключей может доказать своё авторство подписи под документом. В зависимости от деталей определения документа могут быть подписаны такие поля, как «автор», «внесённые изменения», «метка времени» и т.д.
Все эти свойства ЭЦП позволяют использовать её для следующих целей:
- Декларирование товаров и услуг (таможенные декларации)
- Регистрация сделок по объектам недвижимости
- Использование в банковских системах
- Электронная торговля и госзаказы
- Контроль исполнения государственного бюджета
- В системах обращения к органам власти
- Для обязательной отчетности перед государственными учреждениями
- Организация юридически значимого электронного документооборота
- В расчетных и трейдинговых системах
- Использование ЭЦП при приеме
Использование ЭЦП при приеме учащихся — новая и требующая освоения область.
При использовании ЭЦП образовательное учреждение (образовательная организация) должны получить юридически значимые сертификаты электронной подписи, которые выдаёт удостоверяющий центр. Правовые условия использования электронной цифровой подписи в электронных документах регламентирует федеральный закон от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи», ст. 3 и определяет ЭЦП так: «Электронная цифровая подпись — реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе».
В Законе РФ от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи» прописаны условия использования ЭЦП, особенности её использования в сферах государственного управления и в корпоративной информационной системе.
Управление открытыми ключами
Важной проблемой всей криптографии с открытым ключом, в том числе и систем ЭЦП, является управление открытыми ключами. Так как открытый ключ доступен любому пользователю, то необходим механизм проверки того, что этот ключ принадлежит именно своему владельцу. Необходимо обеспечить доступ любого пользователя к подлинному открытому ключу любого другого пользователя, защитить эти ключи от подмены злоумышленником, а также организовать отзыв ключа в случае его компрометации.
Задача защиты ключей от подмены решается с помощью сертификатов. Сертификат позволяет удостоверить заключённые в нём данные о владельце и его открытый ключ с подписью какого-либо доверенного лица. Существуют системы сертификатов двух типов: централизованные и децентрализованные. В децентрализованных системах путём перекрёстного подписывания сертификатов знакомых и доверенных людей каждым пользователем строится сеть доверия. В централизованных системах сертификатов используются центры сертификации, поддерживаемые доверенными организациями.
Центр сертификации формирует закрытый ключ и собственный сертификат, формирует сертификаты конечных пользователей и удостоверяет их аутентичность своей цифровой подписью. Также центр проводит отзыв истекших и компрометированных сертификатов и ведет базы выданных и отозванных сертификатов. Обратившись в сертификационный центр, можно получить собственный сертификат открытого ключа, сертификат другого пользователя и узнать, какие ключи отозваны.
Хранение закрытого ключа
Закрытый ключ является наиболее уязвимым компонентом всей криптосистемы цифровой подписи. Злоумышленник, укравший закрытый ключ пользователя, может создать действительную цифровую подпись любого электронного документа от лица этого пользователя. Поэтому особое внимание нужно уделять способу хранения закрытого ключа. Пользователь может хранить закрытый ключ на своем персональном компьютере, защитив его с помощью пароля. Однако такой способ хранения имеет ряд недостатков, в частности, защищенность ключа полностью зависит от защищенности компьютера, и пользователь может подписывать документы только на этом компьютере.
В настоящее время существуют следующие устройства хранения закрытого ключа:
- Дискеты
- Смарт-карты
- USB-брелок
- Таблетки Touch-Memory
Кража или потеря одного из таких устройств хранения может быть легко замечена пользователем, после чего соответствующий сертификат может быть немедленно отозван.
Наиболее защищенный способ хранения закрытого ключа — хранение на смарт-карте. Для того чтобы использовать смарт-карту, пользователю необходимо не только её иметь, но и ввести PIN-код, то есть, имеет место двухфакторная аутентификация. После этого подписываемый документ или его хэш передается в карту, её процессор осуществляет подписывание хэша и передает подпись обратно. В процессе формирования подписи таким способом не происходит копирования закрытого ключа, поэтому все время существует только единственная копия ключа. Кроме того, произвести копирование информации со смарт-карты сложнее, чем с других устройств хранения.
В соответствии с законом «Об электронной цифровой подписи», ответственность за хранение закрытого ключа владелец несет сам. В связи с этим образовательное учреждение (образовательная организация) должны запланировать обучение абитуриентов и учащихся использованию закрытого ключа.
Требования к цифровой подписи
Аутентификация защищает двух участников, которые обмениваются сообщениями, от воздействия некоторой третьей стороны. Однако простая аутентификация не защищает участников друг от друга, тогда как и между ними тоже могут возникать определенные формы споров.
Таким образом, функция цифровой подписи включает функцию аутентификации.
На основании этих свойств можно сформулировать следующие требования к цифровой подписи:
- Подпись должна быть битовым образцом, который зависит от подписываемого сообщения.
- Подпись должна использовать некоторую уникальную информацию отправителя для предотвращения подделки или отказа.
- Создавать цифровую подпись должно быть относительно легко.
- Должно быть вычислительно невозможно подделать цифровую подпись как созданием нового сообщения для существующей цифровой подписи, так и созданием ложной цифровой подписи для некоторого сообщения.
- Цифровая подпись должна быть достаточно компактной и не занимать много памяти.
Сильная хэш-функция, зашифрованная закрытым ключом отправителя, удовлетворяет перечисленным требованиям.
Существует несколько подходов к использованию функции цифровой подписи. Все они могут быть разделены на две категории: прямые и арбитражные.
Прямая и арбитражная цифровые подписи
При использовании прямой цифровой подписи взаимодействуют только сами участники, т. е. отправитель и получатель. Предполагается, что получатель знает открытый ключ отправителя. Цифровая подпись может быть создана шифрованием всего сообщения или его хэш-кода закрытым ключом отправителя.
Конфиденциальность может быть обеспечена дальнейшим шифрованием всего сообщения вместе с подписью открытым ключом получателя (асимметричное шифрование) или разделяемым секретным ключом (симметричное шифрование). Обычно функция подписи выполняется первой, и только после этого выполняется функция конфиденциальности. В случае возникновения спора некая третья сторона должна просмотреть сообщение и его подпись. Если функция подписи выполняется над зашифрованным сообщением, то для разрешения споров придется хранить сообщение как в незашифрованном виде (для практического использования), так и в зашифрованном (для проверки подписи). Либо в этом случае необходимо хранить ключ симметричного шифрования, для того чтобы можно было проверить подпись исходного сообщения. Если цифровая подпись выполняется над незашифрованным сообщением, получатель может хранить только сообщение в незашифрованном виде и соответствующую подпись к нему.
Действенность схемы зависит от безопасности закрытого ключа отправителя. Если отправитель впоследствии не захочет признать факт отправки сообщения, он может утверждать, что закрытый ключ был потерян или украден, и в результате кто-то подделал его подпись. Можно применить административное управление, обеспечивающее безопасность закрытых ключей, для того чтобы, по крайней мере, хоть в какой-то степени ослабить эти угрозы. Один из возможных способов состоит в требовании в каждую подпись сообщения включать отметку времени (дату и время) и сообщать о скомпрометированных ключах в специальный центр.
Проблемы, связанные с прямой цифровой подписью, могут быть частично решены с помощью арбитра. Существуют различные схемы с применением арбитражной подписи. В общем виде арбитражная подпись выполняется следующим образом. Каждое подписанное сообщение от отправителя Х к получателю Y первым делом поступает к арбитру А, который проверяет подпись для данного сообщения. После этого сообщение датируется и посылается к Y с указанием того, что оно было проверено арбитром. Присутствие А решает проблему схем прямой цифровой подписи, при которых Х может отказаться от сообщения.
|