ЗАЩИТА НАУЧНО-ОБРАЗОВАТЕЛЬНЫХ РЕСУРСОВ В ИНФОРМАЦИОННО-БИБЛИОТЕЧНЫХ СИСТЕМАХ

1. Введение

Экспоненциальное увеличение объема инфор­мации привело к проблеме защиты финансовых, личных и государственных сведений. Информа­ционная безопасность (ИБ) затронула не только финансовые сферы, но и политические. Поэтому задачи обеспечения ИБ требуют сегодня наиболь­шего внимания и потребляют наибольшее количе­ство ресурсов в реализации проектов обработки, хранения и передачи информации. Эта проблема все больше касается и научной, научно-образова­тельной, научно-технической информации (далее НИ). Необходимость исследований по защите НИ и разработки новых методов, средств, проектов в этой сфере диктуется следующими факторами и тенденциями:

• резкое возрастание объема и количества поль­зователей научной информации;
• высокий уровень влияния результатов научных исследований на развитие технологий, военно­го производства, экономики и бизнеса, а также системы образования;
• противоречие между тенденциями предоставле­ния все большего объема научной информации для различных слоев общества и желанием за­щитить ценные источники для собственных нужд;
• возрастание стоимости научной информации (электронных научных журналов, книг, баз дан­ных и т. д.) и подписки на нее;
• развитие современных информационных техно­логий и средств телекоммуникаций, обеспечи­вающих доступ к электронным научным ресур­сам как в локальных, так и в глобальных сетях;
• недостаточная осведомленность руководителей, специалистов организаций — собственников ре­сурсов о возможных угрозах, современных про­граммно-технических средствах несанкциониро­ванного доступа и защиты от них;
• развитие информационных консорциумов (осо­бенно библиотечных), объединенных для обме­на ценной научной информацией.

Очевидно, что обладателями наиболее ценной научной и научно-образовательной информации являются библиотеки, а также компании, кото­рые предоставляют услуги по доступу к научной информации. Библиотеки и библиотечные сети в наименьшей степени уделяют внимание инфор­мационной безопасности, т. к. их миссия проти­воречит самой сути ограничения доступа к их ре­сурсам. Анализ состояния развития исследований по защите научных ресурсов, ресурсов библиотек, информационных центров, издательств и агре­гаторов показывает важность ИБ особенно в кор­поративных информационных сетях и системах для обмена НИ. Корпоративные библиотечные сети включают десятки и даже сотни библиотек для активного информационного обмена, при­чем они (библиотеки) в разной степени оснащены средствами защиты информации.

Кроме того, НИ имеет специфические свойства по сравнению с другими видами информации:

• цена информационного ресурса изменчива. Причем один и тот же ресурс со временем может обесцениться, а может существенно повысить свой престиж и стоимость;
• разнообразие форм представления: от текста, таблиц, графической формы, до аудио, видео и др.;
• требование к целостности. Нарушение целостно­сти комплекса научных данных может привести к неправильному пониманию научных результа­тов и их интерпретации;
• развитие конкуренции между производителями, обладателями информационных ресурсов;
• повышение стоимости научных информацион­ных ресурсов как важного фактора продвижения экономики и бизнеса.

Целью исследований является повышение эф­фективности средств обеспечения информацион­ной безопасности корпоративных библиотечных сетей и, соответственно, защита научной инфор­мации от несанкционированного доступа.

2. Материалы и методы

Информационно-библиотечные системы вклю­чают в себя такие общие активы, как базы данных, веб-сайты, устройства и программные приложения, управляемые администраторами систем и сетей [1]. Множество библиотек организовывают службу платных интерактивных услуг. Нередко в библио­течных системах, чтобы получить разрешения на ис­пользование библиотечных услуг, для регистра­ционной записи, читатели библиотек вводят свои личные данные, где указывают адрес, телефонные номера и другие личные сведения. Этот фактор способствует увеличению требований к безопас­ности [2]. Ни библиотека, ни читатели не заинтере­сованы в предоставлении «третьей» стороне лич­ных данных. Актуально обеспечение безопасности систем электронного документооборота библиотек, электронных платежных систем и личных данных сотрудников и пользователей библиотеки [3, с. 21].

Увеличение объема конфиденциальной инфор­мации и изменение целей и задач людей, зави­сящие от постоянно развивающихся информаци­онных и коммуникационных технологий, создают новые угрозы для научно-образовательных источ­ников. Это, в свою очередь, усложняет проблему построения единой модели защиты от информа­ционных угроз.

Вопросы защиты веб-ресурсов электронных би­блиотек подробно рассмотрены в трудах J. Kuzma и R. Ismail [4, 5]. Как отмечает Wilco, в некоторых случаях даже подписка на дорогостоящие базы данных может стать поводом для несанкциони­рованного доступа к источникам [6]. S. Thompson и J. Kuzma указывают, что наиболее часто на прак­тике атаки на НИ встречаются в виде XSS, DoS и SQL запросов [2, 4]. Нарушение информационной без­опасности может привести к нарушению целост­ности сохраняемых данных, а это, в свою очередь, может привести к снижению уровня доверия к об­ладателю источника и соответствующим экономи­ческим потерям.

Сами защищаемые объекты в библиотеках мож­но разделить на два вида: материальные и немате­риальные (табл. 1).

Соответственно создаются как аппаратные, так и программные средства обеспечения ИБ. Методы и средства защиты информационных научно-об­разовательных ресурсов для таких известных ин­формационных систем, как Auto-Graphics, Biblio Commons, Biblionix, EBSCO, SirsiDynix, OCLC, Ex Libris и Koha, представлены в [7]. R. Ismail рассматрива­ет Library Information Security System Assessment Model (LISSAM) как один из вариантов решения проблемы [5].

Эта модель выделяет меры безопасности и инструменты для технологической (безопас­ность программного обеспечения, оборудования, физической, сетевой безопасности, безопасности на рабочем месте и сервере) и организационной (политика информационной безопасности, мо­ниторинг безопасности, методы и инструменты управления безопасностью, оценка состояния и прогнозирование) деятельности для информа­ционно-библиотечных систем.

2.1. Формализация задачи обеспечения защиты ин­формационных ресурсов (информационной безо­пасности в ИБС)

Задача формализации процесса обеспечения ИБ в ИБС сводится к последовательной формализации описания угроз ИБ, ресурсов, оценки уровня обеспечения ИБ, определения вариантов (видов) мероприятий по обеспечению ИБ и выбора из них оптимального (рационального) варианта.

Имеется множество , которое включает все возможные условия состояния и оценки информационных ресурсов, где — количество ситуаций.

— могут быть: условия хранения ресурса; цена ресурса (установленная экспертами, стоимостью подписки или другими способами); условия доступа к информации (пароли, онлайн, в персональном компьютере, в локальной сети и др.); объем информации; вид документа и др.

Множество  которое включает все возможные угрозы для информаци­онных ресурсов, где k — класс угроз, i — тип угроз, j — индентификатор угроз.

Имеется также множество  которое включает множество мероприятии по оое- спечению ИБ при возникновении угроз, где k — класс мероприятия, i — тип мероприятия, j — ин­дентификатор мероприятия.

 является подсистемой R и включа­ет только те условия состояния и оценки информа­ционных ресурсов, которые свойственны конкрет­ному объекту (библиотеке, фонду и др.). То есть фактически оно описывает конкретную ситуацию.

— подмножество угроз, которое со­ответствует конкретной ситуации —  подмножество мероприятий по обеспечению ИБ при возникновении угроз Tkj для конкретной си­туации R_i.

Задача обеспечения информационной безо­пасности сводится к выявлению возможных угроз  для конкретного состояния (Ситуации)R_i а также определению наиболее приемлемых меро­приятий (Действий)  для их  (Угроз) устра­нения.

На практике наиболее сложной задачей являет­ся определение соответствий между множествами R, T и С и, соответственно, формализованное ее решение. Попытки решить задачу существующи­ми детерминированными методами не дают поло­жительных результатов.

Выбор методов нечеткой логики для оценки и защиты научной информации обосновывается следующими доводами:

• невозможность сколь угодно точного измере­ния реальных величин по оценке информацион­ного источника и других величин в изменяющих­ся условиях информационной среды. Например, сложно оценить цену научной информации на данный момент времени. Она варьируется в зависимости от спроса и уровня развития на­уки в данной области;
• невозможность полного и четкого описания мно­гих объектов и ситуаций. Для принятия решений по защите информации требуется определен­ный уровень формализации, наличие числовых оценок (пусть даже приближенных, но имеющих научное обоснование);
• неточность функциональных действий, кото­рые нередко не достигают поставленных систе­мой целей. Многообразие научной информации, форм и методов ее формирования может за­труднить создание адекватных средств как поис­ка, так и их оценки;
• недостаточная размерность модели, не позво­ляющая отразить все значимые свойства объек­та информационной среды. Не все параметры оценки единицы научной информации и пока­затели различных ситуаций, отражающие кон­кретную информационную среду, поддаются ко­личественной оценке и строгой формализации. Требуются интуитивные оценки, учитывающие предыдущий опыт экспертов;
• ненаблюдаемость ряда характеристик информа­ционной среды, требующих интуитивных оценок. Поэтому возникает необходимость в разви­тии методов, связанных с решением задач обе­спечения информационной безопасности корпо­ративных информационно-библиотечных сетей, где исходная информация для принятия решений по защите ресурсов имеет расплывчатый характер. Применение методов теории нечетких множеств в решении этого класса задач оправдывается во многом и тем, что здесь в полной мере можно использовать ценный опыт, накопленный экспертами-специалистами в сфере информационно-би­блиотечной деятельности.

Функция принадлежности в теории нечет­ких множеств является ключевым понятием. Она ставит в соответствие каждому элементу  число из интервала [0;1], характеризующее степень принадлежности элемента X_i некоторому множе­ству A. Согласно Л. Заде функция принадлежно­сти μ(χ) является субъективной мерой того, на­сколько некоторый элемент  соответствует понятию, смысл которого формализуется нечет­ким множеством  [8]. Эксперт, воспринимая информацию, не пользуется конкретными чис­лами, а переводит их в свои понятия — значения лингвистической переменной. Каждое значение лингвистической переменной описывается функ­цией принадлежности μ(χ), которая индивиду­альна для каждого специалиста (эксперта).

Здесь под нечеткими моделями соответствий понимается формализованное описание объекта вида:

где R, T — четкие множества, характеризующие условия состояния и оценки информационных ре­сурсов и все возможные угрозы для информацион­ных ресурсов соответственно.

F — нечеткое множество в R χ T, характеризу­ющее отношения между элементами r_i и t_j .

Нечеткое соответствие может быть задано тео­ретико-множественно, графически и в матричном виде.

Для решения задачи обеспечения информаци­онной безопасности целесообразно в одной мо­дели соответствий дать отношения между множе­ствами R, T и С и привести к нечеткой модели соответствий 2-го рода (НМС 2-го рода), которая представляется в виде композиционного нечетко­го соответствия [9]:

В композиционной HMC 2-го рода область от­правления совпадает с областью отправления со­ответствия  область прибытия — с областью прибытия соответствия  график F является композицией графиков F1 и F2.

В табличной форме представления НМС2-го рода «Ситуация — Угроза — Действие» (табл. 2) можно на­глядно показать соответствия между R, T и С, где — это функции принадлежности, которые уста­навливает эксперт, соответственно для нечетких отношений между условиями R состояния и оцен­ки информационных ресурсов и всеми возможны­ми угрозами T для информационных ресурсов (в левой части таблицы), отношениями T к множеству возможных действий C. Такая форма пред­ставления удобна не только для наглядности соот­ветствий, но и для выбора метода решения задачи.

3. Результаты исследования

Реализация НМС имеет конкретный прикладной аспект и предназначена для создания подсистемы «Информационная безопасность» для автоматизи­рованной библиотечной системы ARMAT++, обеспе­чивающей корпоративное взаимодействие между шестьюдесятью академическими библиотеками Уз­бекистана.

В практической работе подсистемы «Информа­ционная безопасность» предусмотрен ряд этапов:

1. Собирается информация о всех возможных си­туациях путем формулирования источников информации, угроз, методов и средств защиты и критериев оценки информационной безопас­ности. Выполняется оценка ресурсов, которые подлежат защите, угроз и защитных мер на осно­ве экспертных оценок и статистических данных, критической оценки важности ресурсов, видов угроз и соответствия действия по устранению угроз или принятия мер по безопасности.
2. Формируется база знаний на основе оценок экс­пертов μ. Эксперты — в основном специалисты в сфере информационной безопасности, а также компетентные в оценке самих научных и обра­зовательных информационных ресурсов. Экс­перты устанавливают величины функций при­надлежности отношений для RхTи TхX(т.е. по соответствиям типа «Ситуация — Угроза — Действия по устранению угроз»). Это явля­ется основой для формирования базы знаний. Для реализации модели НМС используется алго­ритм обработки нечетких соответствий, описан­ный в работах М.А. Рахматуллаева [9,10].
3. Для конкретной ситуаиии R_i определяются воз­можные угрозы , а также определяются наиболее приемлемые мероприятия (Действия)  для их (Угроз) устранения. В конечном итоге даются рекомендации для выполнения совокупности действий, чтобы не допустить воз­действия угроз или их устранить.

Программная реализация модели производит­ся в рамках проекта разработки корпоративной информационно-библиотечной сети для 60 акаде­мических библиотек вузов Узбекистана в составе подсистемы «Информационная безопасность» би­блиотечной системы ARMAT++ [9].

4. Обсуждение и заключение

Увеличение объема, стоимости электронных би­блиотечных ресурсов и количества пользователей электронных библиотек, а также попыток несанк­ционированного доступа к информации привело к проблеме обеспечения безопасности библиотеч­ных систем, особенно в корпоративных сетях.

Результаты исследования позволили сделать следующие выводы:

• анализ состояния существующих методов и средств обеспечения информационной без­опасности показывает необходимость прове­дения исследований по применению методов нечеткой логики и нечеткого множества для ре­шения задач защиты научных и образователь­ных ресурсов. Это объясняется тем, что не все па­раметры оценки единицы научной информации и показатели различных ситуаций поддаются количественной оценке, строго формализованы и требуют интуитивных оценок, учитывающих предыдущий опыт экспертов по выявлению ре­альных угроз и принятию соответствующих мер. Очевидно, что для принятия решений о защите информации необходим определенный уро­вень формализации, наличие числовых оценок. Хотя эти оценки могут быть приблизительны­ми, они должны быть научно обоснованы и/или опираться на экспертные знания;
• приведение задачи информационной безо­пасности для информационно-библиотечных систем и корпоративных библиотечных сетей к формализованной нечеткой модели отноше­ний с использованием аппарата нечеткой логи­ки позволяет комплексно решать ее в отноше­ниях «ситуация — угроза» и «угроза — действия по устранению угроз»;
• разработанная нечеткая модель отношений имеет важное практическое значение, ее про­граммная реализация в составе подсистемы информационной безопасности корпоративной сети библиотек решает проблему обеспечения защиты источников научной информации в би­блиотеках.