security and trust in e-learning
مقدمه
در سال های نه چندان دور گذشته، پروژه های مربوط به آموزش الکترونیکی، پروژه های منحصرا تحقیقی و جهت تکمیل و اثبات مواردی از جمله یکپارچه سازی اجزای سازنده چند رسانه ای، ارتباطات همزمان و یا مدیریت محتوا و غیره بودن و طبیعتا در امکان سنجی اینگونه پروژه ها، ماهیتا امنیت و اطمینان جایی نداشت. در صورتی که در حال حاضر، اینگونه سیستم ها، سیتم های روتین و معمول شدن که کاربران زیادی هم دارن؛ در نتیجه امنیت سیستم و اطمینان کاربر نقش اساسی پیدا میکنن. پس همانطور که آموزش الکترونیکی و نیاز استفاده از آن روز به روز محبوب تر و پر استفاده تر میشن، بحث امنیت در آنها نیز باید درخور توجه شایان به همان حد باشد.
در اکثر موارد دیده شده که فرآیند ایجاد امنیت و کسب اطمینان کاربر، به خودی خود باعث پیچیده تر شدن پروسه ها و مشکل تر شدن پاسخگویی شده، با این حال این نکته هم کاملا مشخصه که کاربر، تا از امنیت سیستم موجود مطمئن نباشد، از آن استفاده نخواهد کرد… پس امنیت و کسب اطمینان انکار ناپذیر است.
به طور کلی میشه گفت، امنیت و اطمینان در سیستم های آموزش مجازی به موارد زیر بستگی داره:
● آموزش مجازی ماهیتا یک پروژه هست و یک پروژه ماهیتا با خود ریسک امنیتی خواهد داشت.
● پروژه های الکترونیکی اعم از آموزش الکترونیکی دیگر پروژه های پژوهشی و تحقیقاتی نیستن، بلکه یک سیستم تولید به حساب میان که نیاز به امنیت دارن.
● همه سیستم های الکترونیکی همراه با خود تهدیداتی (ضد امنیتی) همراه خواهند داشت.
● [و مهمترین مسئله اینکه] اطمینان در یک سیستم الکترونیک شرط لازم و کافی برای جذب کاربر است.
ملزومات عمومی (اولیه)
4 مورد کلی و عمومی برای تمام شرایط قابل بررسی هست:
● Secrecy (محرمانه بودن) : کاربران تنها به مواردی دسترسی خواهند داشت که اجازه دسترسی به آنها را داشته باشند
● Integrity (تمامیت) : تنها کاربران یا پروسه های مجاز قادر به تغییر و به روز رسانی داده ها خواهند بود
● Availability (دسترسی آسان) : معمولا در مدیریت امنیت و جلب اطمینان نادیده گرفته میشود. ولی بسیار دیده شده که به علت عدم برخوداری از یک سرویس و یا حتی انتظار زیاد برای پاسخگویی آن، سیستم کاربران خود رو به طور چشمگیری از دست داده است. به عنوان مثال اگر در یک سیستم آموزش الکترونیکی مبتنی بر وب، سرعت ارائه خدمات کم باشد، علاوه بر اینکه کاربر نیاز به صرف وقت بیشتری برای دریافت خدمات دارد، یک دید منفی هم از اون سیستم به دل خواهد گرفت…
● Non-Repudiation (عدم انکار) : عملکرد سیستم به گونه ای باشد که کاربران توانای انکار صحت اون رو نداشته باشن… یعنی در راستای اعتماد به سیستم، هنگامی که مثلا نمره دانشجویان تغییر میکنه، کاملا قابل ردیابی باشه که توسط چه کسی، چه موقع و به چه دلیل این اتفاق افتاده
تجزیه و تحلیل ریسک های امنیت و جلب اطمینان
با توجه به مواردی که قبلا ذکر شد، چنین تجزیه و تحلیلی، لازمه سیستم خواهد بود. این تجزیه و تحلیل، تمام ریسک های پروژه از جمله خطرات غیر از موارد امنیتی رو هم شامل میشه. به عنوان مثال، برای خطرات غیر امنیتی معمول میتوان به ابهامات در مورد بودجه یا برنامه ریزی برای پرسنل اشاره کرد. برای آنالیز ریسک های امنیتی موارد زیاد و متفاوتی وجود دارد، ولی در کل به 5 مورد زیر میتوان اشاره کرد:
● شناسایی دارایی ها
● برآورد یا محاسبه تهدیدات و خطرات
● تنظیم اولویت ها
● پیاده سازی کنترل داده ها و اقدامات برای حفظ محتوی
● مانیتورینگ خطرات و اثربخشی اقدامات ضد آنها
گام اول اینه که ما درک کنیم اصلا چه چیزی ارزش محافظت داره. هدف در این مرحله، جمع آوری لیستی از داده هاست. در مرحله دوم اقدام به شناسایی تهدیدات و خطرات بسته به نوع داده های به دست آمده از مرحله قبل، میکنیم. به عنوان مثال، آتش گرفتن، تهدید برای یک سخت افزار حساب میشه. هنگامی که یک تهدید شناسایی شد، سعی در آن میشود که این موضوع محاسبه بشه که تا چند درصد خطر احتمالی ممکنه به واقعیت تبدیل بشه و در اون صورت چقدر به سیستم خسارت خواهد زد. در مرحله سوم، هنگامی که تمام احتمالات و برآورد هزینه ها در نظر گرفته شد، به سادگی میتوان در نظر گرفت که کدوم خطر احتمالی باید در اولویت بیشتری قرار بگیرد و کدوم نه. در مرحله یکی مونده به آخر، کنترل خطرهای احتمالی پیاده سازی شده و در گام نهایی، بررسی اینکه آیا در کل این پروژه با این خطرات و هزینه ها قابل پیاده سازی هست و میتواند به طور خوشایند جلب اطمینان کاربر رو حاصل کنه یه خیر.
استفاده غیر مجاز از مطالب و محتوای دیجیتال
تقریبا تمامی سیستم های آموزش الکترونیکی ارائه مکانیسم های کنترل دسترسی برای محدود کردن دسترسی به محتوا را دارا هستن. با این حال، حتی اگه سیستم های آموزش مجازی این امکان رو بگیرن، باز هم ممکنه لایه های زیر بنایی مانند سیستم عامل یا پایگاه داده ای که سیستم آموزش الکترونیکی روی اونها نصب شده، این امکان رو به کاربران غیر مجاز برای دسترسی به داده ها بدن. برای همین ما حتی باید از این نکته مطمئن باشیم که کنترل دسترسی در تمام لایه ها اجرا شده که خود این مطلب نیازمند دسترسی فیزیکی به سرورهای سخت افزاری داره.
اعتماد
در ضمینه آموزش الکترونیکی اعتماد یکی از ضروری ترین موارد است. در نتیجه، محافظت از محتوی یک آموزش الکترونیکی از یک دسترسی غیرمجاز و اعمال تغییرات، اجتناب ناپذیر است. دانشجویان نیز هم نیاز به شرکت در آموزش های الکترونیکی دارند و هم مشارکت در دیگر فعالیت های عمومی مثل گروههای مباحثه، که در برخی گرایش ها اجتناب ناپذیر هستن. اینگونه گروهها، همانطور که حتما همه میدونیم، برای به اشتراک گذاری نظرات دانشجویان به صورت آسنکرون میباشند که طبیعتا به خاطر ماهیت اونها، در جایی ثبت شده و بعدها قابل بازیابیست. پس در این مورد هم دانشجویان باید مطمئن باشن که مباحث در حیطه دسترسی خودشون هست. مثلا شما در مورد موارد تروریستی و روش های مقابله با اونها بحث میکنید، پس در آینده نباید اینطور باشه که دانشجویان خارجی بتونن به این مباحثات دسترسی داشته باشن… که استفاده از برخی روش ها برای ایجاد اطمینان برای کاربران (مثل امکان استفاده از اسمهای مجازی، چت آنلاین و …) لازم و ضروری خواهد بود…!
در این حیث مطالب دیگری از جمله امنیت و اطمینان در مواردی همچون آزمونها و امتحانات و غیره نیز مورد بحث قرار می گیرد که در حال حاضر در حوصله این بحث نیست؛ اما در آینده و در مقالات آتی در باب آموزش الکترونیکی به تشریح بیشتر اینگونه موارد نیز خواهم پرداخت.
Tags: E-learning
Trackback from your site.
