Защита информации в системах дистанционного обучения с монопольным доступом

Private Sub Save_Click()

Dim handle As Integer

Dim file As IProtectFile

Set file = obj

handle = file.Create("c:\temp\temp.dat", Default, "c:\temp\crypt.upt")

Dim writeSize As Long

Dim v As Variant

Dim str As String

str = Form1.ole_doc.DataText

v = str

writeSize = file.Write(handle, v)

file.Close (handle)

End Sub

И последнее, это новая подпрограмма чтения файлов с результатом

тестирования.

Private Sub ViewResult_Click()

Dim handle As Integer

Dim file As IProtectFile

Set file = obj

handle = file.Open("c:\temp\result.dat", "c:\temp\decryptres.upt",

"c:\temp\cryptres.upt")

Dim readSize As Long

Dim v As Variant

readSize = file.Read(handle, v)

Dim str As String

result = v

file.Close (handle)

End Sub

Внешний вид АРМ студента не изменился. Приведем только текст программы.

Dim obj As New protect

Private Sub SaveResult(a)

Dim handle As Integer

Dim file As IProtectFile

Set file = obj

handle = file.Create("c:\temp\result.dat", Default, "c:\temp\cryptres.upt")

Dim writeSize As Long

Dim v As Variant

Dim str As String

str = Form1.ole_doc.DataText

v = a

writeSize = file.Write(handle, v)

file.Close (handle)

End

End Sub

Private Sub Command1_Click(Index As Integer)

SaveResult (2)

End Sub

Private Sub Command2_Click()

SaveResult (2)

End Sub

Private Sub Command3_Click()

SaveResult (5)

End Sub

Private Sub Command4_Click()

SaveResult (2)

End Sub

Private Sub Form_Load()

Form1.ole_doc.Format = "Rich Text Format"

Dim handle As Integer

Dim file As IProtectFile

Set file = obj

handle = file.Open("c:\temp\temp.dat", "c:\temp\decrypt.upt",

"c:\temp\crypt.upt")

Dim readSize As Long

Dim v As Variant

readSize = file.Read(handle, v)

Dim str As String

str = v

Form1.ole_doc.DoVerb vbOLEDiscardUndoState

Form1.ole_doc.DataText = str

Form1.ole_doc.Update

file.Close (handle)

End Sub

Для примера на рисунке 12 приведен пример зашифрованного файла с

результатом тестирования. Теперь понять, что в нем хранится, стало сложным

делом.

[pic]

Рисунок 12. Файл с зашифрованным результатом

4.4.4. Пример использования программы ProtectEXE.exe

В качестве примера приведем код на Visual С++, который производит

шифрование исполняемого файла, а затем код, производящий запуск

зашифрованного файла. Обе функции принимают на входе имя файла с расширение

exe. Для большей ясности рекомендуется ознакомиться с приведенным ранее

описанием программы ProtectEXE.

void CreateEncryptedModule(const CString &FileName)

{

CString Line(_T("ProtectExe.exe "));

Line += FileName;

STARTUPINFO StartupInfo;

memset(&StartupInfo, 0, sizeof(StartupInfo));

StartupInfo.cb = sizeof(StartupInfo);

PROCESS_INFORMATION ProcessInformation;

if (!CreateProcess(Line, NULL, NULL, NULL, FALSE, 0,

FALSE, NULL, &StartupInfo,

&ProcessInformation))

throw _T("Error run ProtectExe.exe");

WaitForInputIdle(ProcessInformation.hProcess,

INFINITE);

WaitForSingleObject(ProcessInformation.hProcess,

INFINITE);

CloseHandle(ProcessInformation.hProcess);

DeleteFile(FileName);

}

void RunEncryptedModule(const CString &FileName)

{

CString EncryptedFileName(FileName);

EncryptedFileName = EncryptedFileName.Mid(0, FileName.GetLength() - 3);

EncryptedFileName +=_T("upb");

CString Line(_T("ProtectExe.exe"));

Line += EncryptedFileName;

STARTUPINFO StartupInfo;

memset(&StartupInfo, 0, sizeof(StartupInfo));

StartupInfo.cb = sizeof(StartupInfo);

PROCESS_INFORMATION ProcessInformation;

if (!CreateProcess(Line, NULL, NULL, NULL, FALSE, 0,

FALSE, NULL, &StartupInfo, &ProcessInformation))

throw _T("Error run ProtectExe.exe");

WaitForInputIdle(ProcessInformation.hProcess, INFINITE);

WaitForSingleObject(ProcessInformation.hProcess, INFINITE);

CloseHandle(ProcessInformation.hProcess);

}

4.5. Общие рекомендации по интеграции системы защиты

В данном разделе будет дан ряд различных советов и рекомендаций, целью

которых является помощь в создании более надежной и эффективной системы

защиты. Рекомендации носят разрозненный характер и поэтому не объединены в

единый и связанный текст, а будут приведены отдельными пронумерованными

пунктами.

1. Перед началом работ по модификации существующего программного

обеспечения с целью интеграции системы защиты рекомендуется тщательно

ознакомиться с приведенной документацией и с примерами по использованию

различных функций. Также необходимым требованием перед началом работ,

является базовые навыки работы с технологией COM. Если вы не знакомы с

технологией COM, то здесь можно порекомендовать в качестве литературы по

данной теме следующие книги: Модель COM и применение ATL 3.0 [31], Сущность

технологии COM. [33], Programming Distributed Applications with COM and

Microsoft Visual Basic 6.0 [34].

2. Перед тем как приступать непосредственно к созданию программных

средств или их модификации, призванных защитить целевую систему, в начале

следует продумать административную организацию бедующей системы. Как

говорилось ранее, множество различных проблем, связанных с защитой АСДО,

могут быть разрешены только административными методами. И пока не будет

разработана соответствующая организационная система, программная защита

отдельных ее компонентов будет иметь мало смысла. Отсюда и вытекает данная

рекомендация уделить этой задаче большое внимание, даже больше, чем следует

уделить защите используемых в ней программных компонентов. К сожалению, в

этой работе вопросы административной организации такой системы практически

не затрагиваются. Это связано с тем, что задача сама по себе огромна и

требует отдельного целого ряда работ. Причем направленность этого рода

работ носит, скорее, педагогический характер, и, следовательно, относится к

соответствующей сфере педагогических наук. В проделанной же работе

подготовлены средства, которые необходимы и будут использованы в новых или

адаптируемых АСДО.

3. Во многих системах дистанционного обучения используются различные

принципы, с помощью которых возможно отказаться от хранения ответов в

открытом виде. Это позволяет быть уверенным, что ответы для базы вопросов

никогда не будут просмотрены. В основном такие системы построены на

использовании функции, которая односторонне преобразует ответ в некий код,

затем сравниваемый с эталонными. Разработанная система защиты легко

позволяет использовать аналогичный механизм. Для этого достаточно создать

ключ шифрования. Ключ расшифрования не нужен, его можно удалить. Затем

каждый верный ответ отдельно шифруется этим ключом. В результате получается

набор файлов с зашифрованными ответами. После чего их будет удобно

объединить в один единый файл, но это уже зависит от того, как будет

реализовываться такая система. Затем этот файл, содержащий в себе

зашифрованные ответы и ключ шифрования, отдается студенту. Когда студент

вводит ответ, он шифруется отданным ему ключом. После чего зашифрованный

файл с ответом сравнивается с эталонным. Если они совпадают, ответ верен. В

результате, хотя ответы и хранятся у студента, воспользоваться он ими не

может. Если кто-то поставит пред собой цель узнать, какие ответы верны, то

нужно или перебирать все варианты, шифруя их и сравнивая, что весьма

трудоемко, или провести анализ полиморфного алгоритма шифрования и создать

соответствующий алгоритм расшифрования, что еще более трудоемко.

4. Еще одной из рекомендаций будет создание системного журнала. По

этому поводу рекомендуется ознакомиться со статьей Оганесяна А. Г. "

Проблема «шпаргалок» или как обеспечить объективность компьютерного

тестирования?" [28].

5. Создавая АСДО, позаботьтесь о дублировании информации. В противном

случае, уничтожение, например, базы с данными о сданных работах может иметь

весьма тяжелые последствия. Это – совет не относится к защите информации,

но может помочь весьма повысить надежность системы в целом.

ОСНОВНЫЕ ВЫВОДЫ И РЕЗУЛЬТАТЫ

1. Выполнен сравнительный анализ существующих подходов к организации

защиты данных в системах с монопольным доступом, на примере

автоматизированных систем дистанционного обучения. Отмечено, что существует

много защищенных обучающие систем, функционирующих в среде интернет, но

практически отсутствуют защищенные пакеты для локального использования. Это

обусловлено плохо проработанными и еще не достаточно хорошо изученными

методами построения защищенных АСДО.

2. На основе анализа, предложен ряд мер, позволяющий повысить

защищенность АСДО. Разработаны программные средства, предназначенные для

интеграции в уже существующие обучающие системы, с целью их защиты при

использовании вне доверенной вычислительной среды.

3. В разработанном программном обеспечении были использованы новые

технологии шифрования данных. Полностью исключена необходимость

использования аппаратных средств.

4. Разработана система защиты, руководство для программиста, набор

тестовых примеров и рекомендации по ее применению. Созданная система была

интегрирована в уже существующий комплекс Aquarius Education 4.0,

разработанный на кафедре АТМ.

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

1. Аунапу Т.Ф., Веронская М.В. Автоматизация обучения с позиций системного

анализа // Управление качеством высшего образования в условиях

многоуровневой подготовки специалистов и внедрения образовательных

стандартов: Тез. докладов республиканской научно-методической

конференции. — Барнаул: Алт. гос. техн. ун-т, 1996. — С. 5 — 6. д

2. Брусенцов Н.П., Маслов С.П., Рамиль Альварес X. Микрокомпьютерная

система «Наставник». — М.: Наука, 1990. — 224 с.

3. Кондратова О.А. Психологические требования к проектированию компьютерных

учебных средств и систем обучения // Проблемы гуманизации и новые методы

обучения в системе инженерного образования: Тез. докл. межвузовской

научно-практической конференции. — Новокузнецк: Сиб. Гос. горно-

металлургическая академия, 1995. — С. 78 — 80.

4. Федеральная целевая программа «Развитие единой образовательной

информационной среды на 2002 — 2006 годы» (проект). — М.: Минобразования,

2001. — 35 с.

5. Кручинин В.В., Ситникова Е.А. Проблема защиты компьютерных

экзаменационных программ в ТМЦ ДО // Современное образование: массовость

и качество. Тез. докл. региональной научно-методической конференции. —

Томск: ТУСУР, 2001. — С. 144.

6. Махутов Б.Н., Шевелев М.Ю. Защита электронных учебников в дистанционном

обучении // Образование XXI века: инновационные технологии, диагностика и

управление в условиях информатизации и гуманизации: Материалы III

Всероссийской научно-методической конференции с международным участием. —

Красноярск: КГПУ, 2001. — С. 106 — 108.

7. Раводин О.М. Проблемы создания системы дистанционного образования в

ТУСУРе // Дистанционное образование. Состояние, проблемы, перспективы.

Тез. докл. научно- методической конференции, Томск, 19 ноября Э 1997 г. —

Томск: ТУ СУР, 1997. — С. 19 — 25.

8. Шевелев М.Ю. Автоматизированный внешний контроль самостоятельной работы

студентов в системе дистанционного образования /У Дистанционно

образование. Состояние, проблемы, перспективы. Тез. докл. научно-

методической конференции. — Томск: ТУСУР, 1997. — С. 49.

9. Шевелев М.Ю. Прибор для дихотомической оценки семантических сообщений в

автоматизированных обучающих системах // Современные техника и

технологии. Сб. статей международной научно-практической конференции. —

Томск: ТПУ, 2000. — С. 152.

10. Шевелев М.Ю. Программно-аппаратная система контроля и защиты информации

// Современное образование: массовость и качество. Тез. докл. научно-

методической конференции 1-2 февраля 2001 г. — Томск: ТУСУР, 2001.—С.

99—100.

11. Шелупанов А.А., Пряхин А.В. Анализ проблемы информации в системе

дистанционного образования // Современное образование: массовость и

качество. Тез. докл. региональной научно-методической конференции. —

Томск: ТУ СУР, 2001. — С. 159 — 161.

12. Кацман Ю.Я. Применение компьютерных технологий при дистанционном

обучении студентов // Тез. докладов региональной научно методической

конференции "Современное образование: массовость и качество". – Томск:

ТУСУР, 2001. – С.170 – 171.

13. Пресс-группа СГУ. Компьютер-экзаменатор. // Электронный еженедельник

"Закон. Финансы. Налоги." – 2000. – № 11 (77).

14. Белокрылова О.С. Использование курса дистанционного обучения на

экономическом факультете РГУ // Cовременные информационные технологии в

учебном процессе: Тез. докл. Учебно-методическая конференция. – Апрель

2000.

15. Алешин С.В. Принципы построения оболочки информационно –

образовательной среды CHOPIN // Новые информационные технологии : Тез.

докл. Восьмая международная студенческая школа семинар. – Крым:

Алтайский государственный технический университет, Май 2000.

16. Оганесян А.Г. Проблема обратной связи при дистанционном обучении //

Открытое образование. – 2002. – март.

17. Занимонец Ю.М., Зинькова Ж.Г. Проведение всероссийского компьютерного

тестирования "Телетестинг-2000" в Ростовском госуниверсите // Современные

информационные технологии в учебном процессе : Тез. докл. Учебно-

методическая конференция. – 2000. – апрель.

18. Сенцов, В.С. Программный комплекс тестового контроля знаний «Тест» //

Новые информационные технологии: Тез. докл. Восьмая международная

студенческая школа семинар. – Крым: Алтайский государственный

технический университет, Май 2000.

19. Мицель. А.А. Автоматизированная система разработки электронных

учебников // Открытое образование. – 2001. – май.

20. Жолобов Д.А. Генератор мультимедиа учебников // Новые информационные

технологии: Тез. докл. Восьмая международная студенческая школа семинар.

– Крым: Астраханский государственный технический университет, Май 2000.

21. Вергазов Р. И., Гудков П. А. Система автоматизированного

дистанционного тестирования // Новые информационные технологии: Тез.

докл. Восьмая международная студенческая школа семинар. – Крым:

Пензенский государственный университет, Май 2000.

22. Ложников П. С. Распознавание пользователей в системах дистанционного

образования: обзор // Educational Technology & Society. – 2001. – № 4,

http://ifets.ieee.org/russian/depository/v4_i2/html/4.html

23. Расторгуев С.П., Долгин А.Е., Потанин М.Ю. Как защитить информацию

// Электронное пособие по борьбе с хакерами. http://kiev-security.org.ua

24. Ерижоков А.А. Использование VMWare 2.0 // Публикация в сети ИНТЕРНЕТ

на сервере http://www.citforum.ru/operating_systems/vmware/index.shtml.

25. Баpичев С. Kpиптогpафия без секретов. – М.: Наука, 1998. – 105 с.

26. Маутов Б.Н. Защита электронных учебников на основе программно-

аппаратного комплекса "Символ-КОМ" // Открытое образование. – 2001. –

апрель.

27. Тыщенко О.Б. Новое средство компьютерного обучения - электронный

учебник // Компьютеры в учебном процессе. – 1999. – № 10. – С. 89-92.

28. Оганесян А. Г., Ермакова Н. А., Чабан К. О. Проблема «шпаргалок» или

как обеспечить объективность компьютерного тестирования? // «Львіська

політехніка». – 2001. – № 6. Публикация в сети ИНТЕРНЕТ на сервере

http://www.mesi.ru/joe/N6_00/oga.html.

29. Романенко В.В. Автоматизированная система разработки электронных

учебников. // Новые информационные технологии в университетском

образовании: Тез. докл. Материалы седьмой Международной Научно-

Методической конференции. – Томск: Томский Государственный Университет

Систем Управления и Радиоэлектроники, Март 2000.

30. Касперский Е.В. Компьютерные вирусы: что это такое и как с ними

бороться. – М.: СК Пресс, 1998. – 288 с., ил.

31. Трельсон Э. Модель COM и применение ATL 3.0: Пер. с англ. – СПб.( БХВ-

Петербург, 2001. – 928 с.( ил.

32. Баричев С. Г. и др. «Основы современной криптографии». – М.: «Горячая

линия –Телеком», 2001 – 120 с.

33. Бокс. Д. Сущность технологии COM. Библиотека программиста. – СПб.:

Питер, 2001. – 400 с.: ил.

34. Ted Pattison. Programming Distributed Applications with COM and

Microsoft Visual Basic 6.0. – Microsoft Press, 1998. – 260 c. ISBN 1-

57231-961-5

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12