Введение

neicon

Наука и научная информация

Scholarly Research and Information

2658-3143

NP «NEICON»

10.24108/2658-3143-2019-2-2-121-128

neicon-44

Research Article

БИБЛИОТЕКОВЕДЕНИЕ И ИНФОРМАТИКА

LIBRARY AND INFORMATION SCIENCES

ЗАЩИТА НАУЧНО-ОБРАЗОВАТЕЛЬНЫХ РЕСУРСОВ В ИНФОРМАЦИОННО-БИБЛИОТЕЧНЫХ СИСТЕМАХ

PROTECTION OF SCIENTIFIC AND EDUCATIONAL RESOURCES IN INFORMATION AND LIBRARY SYSTEMS

https://orcid.org/0000-0003-2587-1120

Рахматуллаев

М. А.

Rakhmatullaev

M. A.

Марат Алимович Рахматуллаев, д-р техн. наук

Профессор кафедры информационных библиотечных систем

Marat A. Rakhmatullaev, Dr. Sci. (Engineering), professor

marat56@mail.ru

https://orcid.org/0000-0002-2563-0485

Норматов

Ш. Б.

Normatov

Sh. B.

Шербек Бахтиерович Норматов, докторант кафедры информационных библиотечных систем

Sherbek B. Normatov, PhD student

shb.normatov@gmail.com

Ташкентский университет информационных технологий им. Мухаммада аль-ХоразмийУзбекистанTashkent University of Information Technologies named after Muhammad al-KhwarizmiUzbekistan

2019

24042019

22121128

2019

Рахматуллаев М.А., Норматов Ш.Б.

Rakhmatullaev M.A., Normatov S.B.

This work is licensed under a Creative Commons Attribution 4.0 License.

https://05x01x01x01x02.ejs-01.elpub.dev/jour/article/view/44

Введение

Введение. В статье изложены результаты исследований по разработке методов и средств по обеспечению информационной безопасности научно-образовательных ресурсов в информационно-библиотечных системах и корпоративных информационных сетях. Приведен анализ состояния проблемы и существующих подходов обеспечения информационной безопасности электронных библиотек.

Материалы и методы

Материалы и методы. Обоснована необходимость защиты научных ресурсов от несанкционированного доступа и применения нечеткой логики для решения проблемы. Приведен анализ состояния проблемы и существующих подходов. В качестве модели и метода решения предлагается нечеткая модель соответствий второго рода, которая позволяет комплексно решить задачу определения угроз при возникшей ситуации, а также дать рекомендации по их устранению. Для формирования базы знаний привлекаются эксперты, которые определяют функции принадлежности в базе знаний «Ситуация — Угроза — Действия по устранению угроз».

Результаты исследования

Результаты исследования. Результаты исследований внедряются в составе программного комплекса информационно-библиотечной системы ARMAT++ корпоративной сети электронных библиотек 63 университетов Узбекистана для защиты научной и образовательной информации от несанкционированного доступа. Апробация методов, программ подсистемы и базы экспертных знаний проводится на базе информационно-ресурсных центров по проекту «Виртуальная электронная библиотека Ташкентского университета информационных технологий имени Мухаммада Ал-Хорезми и его филиалов».

Обсуждение и заключения

Обсуждение и заключения. Применение аппарата нечеткой логики для формирования базы знаний вида «Ситуация — Угроза — Действия по устранению угроз» в информационно-библиотечных системах существенно повышает степень защиты ценных информационных ресурсов от несанкционированного доступа.

Introduction

Introduction. The authors of the article highlight the results of research on the development of methods and tools for ensuring the information security of scientific and educational resources in information library systems and corporate information networks. The analysis of the state of the problem and the existing approaches on this topic are given too.

Materials and Methods

Materials and Methods. The approach justifies the need to protect scientific resources from unauthorized access and the use of fuzzy logic to solve the problem. As a model and solution method, a fuzzy model correspondences is proposed, which makes it possible to comprehensively solve the problem of identifying threats in the event of a situation, as well as provide recommendations on how to eliminate them. For the formation of a knowledge base, experts are involved who determine the functions of belonging to knowlege base “Situation — Threats — Actions to eliminate the threats”.

Results

Results. The research results are being implemented as part of the ARMAT++ information library system of the corporate network of electronic libraries of 63 Uzbekistan universities for the protection of scientific and educational information from unauthorized access. Testing of the methods, programs of the subsystem and the expert knowledge base are carried out on the basis of information and resource centers under the project “Virtual electronic library of the Tashkent University of Information Technologies named after Muhammad Al-Khorezmi and its five branches”.

Discussion and Conclusions. The use of the apparatus of fuzzy logic for the formation of a knowledge base of the “Situation — Threats — Actions to eliminate the threats” type in information library systems significantly increases the degree of protection of valuable information resources from unauthorized access.

информационная безопасностьбиблиотечные системыкорпоративная сетьнаучно-образовательные ресурсызащита информации

information securitylibrary systemscorporate networkscientific and educational resourcesdigital library

Ташкентский университет информационных технологий имени Мухаммада ал-Хорезми

Экспоненциальное увеличение объема информации привело к проблеме защиты финансовых, личных и государственных сведений. Информационная безопасность (ИБ) затронула не только финансовые сферы, но и политические. Поэтому задачи обеспечения ИБ требуют сегодня наибольшего внимания и потребляют наибольшее количество ресурсов в реализации проектов обработки, хранения и передачи информации. Эта проблема все больше касается и научной, научно-образовательной, научно-технической информации (далее НИ). Необходимость исследований по защите НИ и разработки новых методов, средств, проектов в этой сфере диктуется следующими факторами и тенденциями:

Очевидно, что обладателями наиболее ценной научной и научно-образовательной информации являются библиотеки, а также компании, которые предоставляют услуги по доступу к научной информации. Библиотеки и библиотечные сети в наименьшей степени уделяют внимание информационной безопасности, т. к. их миссия противоречит самой сути ограничения доступа к их ресурсам. Анализ состояния развития исследований по защите научных ресурсов, ресурсов библиотек, информационных центров, издательств и агрегаторов показывает важность ИБ особенно в корпоративных информационных сетях и системах для обмена НИ. Корпоративные библиотечные сети включают десятки и даже сотни библиотек для активного информационного обмена, причем они (библиотеки) в разной степени оснащены средствами защиты информации.

Кроме того, НИ имеет специфические свойства по сравнению с другими видами информации:

Целью исследований является повышение эффективности средств обеспечения информационной безопасности корпоративных библиотечных сетей и, соответственно, защита научной информации от несанкционированного доступа.

Информационно-библиотечные системы включают в себя такие общие активы, как базы данных, веб-сайты, устройства и программные приложения, управляемые администраторами систем и сетей [1]. Множество библиотек организовывают службу платных интерактивных услуг. Нередко в библиотечных системах, чтобы получить разрешения на использование библиотечных услуг, для регистрационной записи, читатели библиотек вводят свои личные данные, где указывают адрес, телефонные номера и другие личные сведения. Этот фактор способствует увеличению требований к безопасности [2]. Ни библиотека, ни читатели не заинтересованы в предоставлении «третьей» стороне личных данных. Актуально обеспечение безопасности систем электронного документооборота библиотек, электронных платежных систем и личных данных сотрудников и пользователей библиотеки [3, с. 21].

Увеличение объема конфиденциальной информации и изменение целей и задач людей, зависящие от постоянно развивающихся информационных и коммуникационных технологий, создают новые угрозы для научно-образовательных источников. Это, в свою очередь, усложняет проблему построения единой модели защиты от информационных угроз.

Вопросы защиты веб-ресурсов электронных библиотек подробно рассмотрены в трудах J. Kuzma и R. Ismail [4, 5]. Как отмечает Wilco, в некоторых случаях даже подписка на дорогостоящие базы данных может стать поводом для несанкционированного доступа к источникам [6]. S. Thompson и J. Kuzma указывают, что наиболее часто на практике атаки на НИ встречаются в виде XSS, DoS и SQL запросов [2, 4]. Нарушение информационной безопасности может привести к нарушению целостности сохраняемых данных, а это, в свою очередь, может привести к снижению уровня доверия к обладателю источника и соответствующим экономическим потерям.

Сами защищаемые объекты в библиотеках можно разделить на два вида: материальные и нематериальные (табл. 1).

Соответственно создаются как аппаратные, так и программные средства обеспечения ИБ. Методы и средства защиты информационных научно-образовательных ресурсов для таких известных информационных систем, как Auto-Graphics, Biblio Commons, Biblionix, EBSCO, SirsiDynix, OCLC, Ex Libris и Koha, представлены в [7]. R. Ismail рассматривает Library Information Security System Assessment Model (LISSAM) как один из вариантов решения проблемы [5].

Эта модель выделяет меры безопасности и инструменты для технологической (безопасность программного обеспечения, оборудования, физической, сетевой безопасности, безопасности на рабочем месте и сервере) и организационной (политика информационной безопасности, мониторинг безопасности, методы и инструменты управления безопасностью, оценка состояния и прогнозирование) деятельности для информационно-библиотечных систем.

2.1. Формализация задачи обеспечения защиты информационных ресурсов (информационной безопасности в ИБС)

Задача формализации процесса обеспечения ИБ в ИБС сводится к последовательной формализации описания угроз ИБ, ресурсов, оценки уровня обеспечения ИБ, определения вариантов (видов) мероприятий по обеспечению ИБ и выбора из них оптимального (рационального) варианта.

Имеется множество , которое включает все возможные условия состояния и оценки информационных ресурсов, где — количество ситуаций.

— могут быть: условия хранения ресурса; цена ресурса (установленная экспертами, стоимостью подписки или другими способами); условия доступа к информации (пароли, онлайн, в персональном компьютере, в локальной сети и др.); объем информации; вид документа и др.

Таблица 1. Защищаемые объекты в информационно-библиотечных системах

Table 1. Protected objects in Information and Library systems

Защищаемые объекты в информационно-библиотечных системахProtected objects in Information and Library systems
Материальные / Tangible	Нематериальные / Intangible
• Специальное оборудование, компьютеры, серверы и сетевые устройства.• Носители данных (жесткие диски, оптические диски, флеш-память).• Средства физической защиты.• Аппаратные средства защиты.	• Электронный каталог.• Базы данных библиотечных ресурсов.• Персональные данные пользователей и сотрудников.• Программное обеспечение для обработки библиотечной информации (информационно-библиотечные системы).• Веб-сайт библиотеки (ресурсы сайта).• Информационные ресурсы, защищенные авторскими правами.• Информационные сервисы.• Информационные ресурсы о финансовом состоянии учреждения.

Защищаемые объекты в информационно-библиотечных системахProtected objects in Information and Library systems

Материальные / Tangible

Нематериальные / Intangible

• Специальное оборудование, компьютеры, серверы и сетевые устройства.• Носители данных (жесткие диски, оптические диски, флеш-память).• Средства физической защиты.• Аппаратные средства защиты.

• Электронный каталог.• Базы данных библиотечных ресурсов.• Персональные данные пользователей и сотрудников.• Программное обеспечение для обработки библиотечной информации (информационно-библиотечные системы).• Веб-сайт библиотеки (ресурсы сайта).• Информационные ресурсы, защищенные авторскими правами.• Информационные сервисы.• Информационные ресурсы о финансовом состоянии учреждения.

Множество которое включает все возможные угрозы для информационных ресурсов, где k — класс угроз, i — тип угроз, j — индентификатор угроз.

Имеется также множество которое включает множество мероприятии по оое- спечению ИБ при возникновении угроз, где k — класс мероприятия, i — тип мероприятия, j — индентификатор мероприятия.

является подсистемой R и включает только те условия состояния и оценки информационных ресурсов, которые свойственны конкретному объекту (библиотеке, фонду и др.). То есть фактически оно описывает конкретную ситуацию.

— подмножество угроз, которое соответствует конкретной ситуации — подмножество мероприятий по обеспечению ИБ при возникновении угроз Tkj для конкретной ситуации Ri.

Задача обеспечения информационной безопасности сводится к выявлению возможных угроз для конкретного состояния (Ситуации)Ri а также определению наиболее приемлемых мероприятий (Действий) для их (Угроз) устранения.

На практике наиболее сложной задачей является определение соответствий между множествами R, T и С и, соответственно, формализованное ее решение. Попытки решить задачу существующими детерминированными методами не дают положительных результатов.

Выбор методов нечеткой логики для оценки и защиты научной информации обосновывается следующими доводами:

Функция принадлежности в теории нечетких множеств является ключевым понятием. Она ставит в соответствие каждому элементу число из интервала [0;1], характеризующее степень принадлежности элемента Xi некоторому множеству A. Согласно Л. Заде функция принадлежности μ(χ) является субъективной мерой того, насколько некоторый элемент соответствует понятию, смысл которого формализуется нечетким множеством [8]. Эксперт, воспринимая информацию, не пользуется конкретными числами, а переводит их в свои понятия — значения лингвистической переменной. Каждое значение лингвистической переменной описывается функцией принадлежности μ(χ), которая индивидуальна для каждого специалиста (эксперта).

Здесь под нечеткими моделями соответствий понимается формализованное описание объекта вида:

где R, T — четкие множества, характеризующие условия состояния и оценки информационных ресурсов и все возможные угрозы для информационных ресурсов соответственно.

F — нечеткое множество в R χ T, характеризующее отношения между элементами ri и tj .

Нечеткое соответствие может быть задано теоретико-множественно, графически и в матричном виде.

Для решения задачи обеспечения информационной безопасности целесообразно в одной модели соответствий дать отношения между множествами R, T и С и привести к нечеткой модели соответствий 2-го рода (НМС 2-го рода), которая представляется в виде композиционного нечеткого соответствия [9]:

В композиционной HMC 2-го рода область отправления совпадает с областью отправления соответствия область прибытия — с областью прибытия соответствия график F является композицией графиков F1 и F2.

В табличной форме представления НМС2-го рода «Ситуация — Угроза — Действие» (табл. 2) можно наглядно показать соответствия между R, T и С, где — это функции принадлежности, которые устанавливает эксперт, соответственно для нечетких отношений между условиями R состояния и оценки информационных ресурсов и всеми возможными угрозами T для информационных ресурсов (в левой части таблицы), отношениями T к множеству возможных действий C. Такая форма представления удобна не только для наглядности соответствий, но и для выбора метода решения задачи.

Таблица 2. Нечеткая модель соответствий 2-го рода «Ситуация — Угроза — йействия по устранению угроз»

Table 2. A fuzzy second-type correspondences “Situation — Threat — Actions to eliminate the threats” model

https://cdn.elpub.ru/assets/journals/neicon/2019/2/CpnqSFNvt2JuG9puH3dgy5CGBWRaMzZApyMaAfzn.png

Реализация НМС имеет конкретный прикладной аспект и предназначена для создания подсистемы «Информационная безопасность» для автоматизированной библиотечной системы ARMAT++, обеспечивающей корпоративное взаимодействие между шестьюдесятью академическими библиотеками Узбекистана.

В практической работе подсистемы «Информационная безопасность» предусмотрен ряд этапов:

Программная реализация модели производится в рамках проекта разработки корпоративной информационно-библиотечной сети для 60 академических библиотек вузов Узбекистана в составе подсистемы «Информационная безопасность» библиотечной системы ARMAT++ [9].

Увеличение объема, стоимости электронных библиотечных ресурсов и количества пользователей электронных библиотек, а также попыток несанкционированного доступа к информации привело к проблеме обеспечения безопасности библиотечных систем, особенно в корпоративных сетях.

Результаты исследования позволили сделать следующие выводы:

References1

Федякова Н.Н., Ивойлов Э.М., Табачников Р.А. Обеспечение информационной безопасности электронной библиотеки. URL: https://docplayer.ru/43934328-Obespechenie-informacionnoybezopasnosti-elektronnoy-biblioteki.html

Fedyakova N.N., Ivoylov E.M., Tabachnikov R.A. Ensuring the information security of the electronic library. Available at: https://docplayer.ru/43934328-Obespechenie-informacionnoy-bezopasnosti-elektronnoy-biblioteki.html (In Russ.).

Thompson S. Helping the hacker? Library information, security and social engineering. Information Technology and Libraries. 2006;25(4):222–225. https://doi.org/10.6017/ital. v25i4.3355

Thompson S. Helping the hacker? Library information, security and social engineering. Information Technology and Libraries. 2006;25(4):222–225. https://doi.org/10.6017/ital.v25i4.3355

Rodionova Z.V., Bobrov L.K. Protection of the Information Resources of a Library Based on Analysis of Business Processes. Scientific and Technical Information Processing. 2016;43(1):20–27.

Kuzma J. European digital libraries: web security vulnerabilities. Library Hi Tech. 2010;28(3):402–413. https://doi.org/10.1108/07378831011076657

Ismail R., Zainab A.N. Information systems security in special and public libraries: an assessment of status. Malaysian Journal of Library & Information Science. 2011;16(2):45–62. URL: https://mjlis.um.edu.my/article/view/6697

Ismail R., Zainab A.N. Information systems security in special and public libraries: an assessment of status. Malaysian Journal of Library & Information Science. 2011;16(2):45–62.

Wilco E. Information Assets and their Value. 6th Twente Student Conference on IT, Enschede, 2nd February, 2007, University of Twente. URL: https:// www.semanticscholar.org/paper/InformationAssets-and-their-Value-Engelsman/a9c3f38f978b1 24d077fa99fd169e5c2dfb28a65

Wilco E. Information Assets and their Value. 6th Twente Student Conference on IT, Enschede, 2nd February, 2007, University of Twente. Available at: https://www.semanticscholar.org/paper/Information-Assets-and-their-Value-Engelsman/a9c3f38f978b124d077fa99fd169e5c2dfb28a65

Breeding M. The Current State of Privacy and Security of Automation and Discovery Products. Library Technology Reports. 2016;52(4):13–28. URL: https://journals.ala.org/index.php/ltr/article/view/5974/7608

Breeding M. The Current State of Privacy and Security of Automation and Discovery Products. Library Technology Reports. 2016;52(4):13–28. Available at: https://journals.ala.org/index.php/ltr/article/view/5974/7608

Zadeh L.A. Fuzzy sets. The Journal of Symbolic Logic. 1973;38(4):656–657. https://doi.org/10.2307/2272014

Rakhmatullaev M. Increase of determinacy of information environment for intellectualization of information retrieval. Proceeding of International conference. WCIS 2014. Eighth World Conference on Intelligent Systems for Industrial Automation. 2014;329–334.

Рахматуллаев М.А. Композиционная модель соответствий для решения задач нечеткой технологической среды. Автоматика и вычислительная техника. 1993;6:33–40.

Rakhmatullayev M. Compositional correspondence model for solving problems of a fuzzy technological environment. Automatic Control and Computer Sciences. 1993;6:33–40 (In Russ.).

The authors declare that there are no conflicts of interest present.