У статті розглянуто основні проблеми інформаційної безпеки та їх вирішення за допомогою використання онтологій та онтологічних систем.
Ключові слова: онтологія, онтологічні системи, інформаційна безпека, консолідована інформація.
А.С. ШУМЛЯЄВ – студент Херсонського національного технічного університету.
В.Г. САДОВСЬКИЙ – студент Херсонського національного технічного університету.
С.С. ДРАКІН – студент Херсонського національного технічного університету.
С.І. СТРИЖАКОВ – студент Херсонського національного технічного університету.
Україна, м. Херсон.
The article describes the basic information securityissues and solutions through the use of ontologies and ontology systems.
Keywords: ontology, ontologysystems, informational security, consolidated information.
A. SHUMLIAIEV – student of Kherson National Technical University
V. SADOVSKIY – student of Kherson National Technical University
S. DRAKIN – student of Kherson National Technical University
S. STRIZHAKOV – student of Kherson National Technical University
Ukraine, Kherson
Вступ. Сьогодні інформацію розглядають як один з основних ресурсів розвитку суспільства, а інформаційні системи і технології як засіб підвищення продуктивності та ефективності роботи людей. Тому інформація є найціннішим і дорогим ресурсом. Проблема інформаційної безпеки з моменту появи до сучасного стану пройшла тривалий і багато в чому суперечливий шлях у своєму розвитку.
Основна частина. Так як процес забезпечення інформаційної безпеки – це безперервний процес, то й існуюча методологія проектування захищеної системи являє собою ітеративний процес усунення знайдених слабкостей.
У 1996 р. в класичній роботі Грушо А. А. і Тимоніної Є.Є. "Теоретичні основи захисту інформації" була висловлена і обґрунтована теза про те, що гарантовану захищеність в автоматизованій системі слід розуміти як гарантоване виконання апріорно заданої політики безпеки [1].
Раніше умови гарантій політики безпеки формулювалися у вигляді стандартів. Саме такий підхід застосували американські фахівці з комп'ютерної безпеки, опублікувавши з 1983 р. кілька книг стандарту так званої "райдужної серії". У Україні аналогічні документи були прийняті Державною технічною комісією [4].
Основні проблеми інформаційної безпеки в комп'ютерних системах виникають через те, що інформація не є жорстко пов'язаної з носієм. Основними факторами, що утрудняють вирішення проблеми інформаційної безпеки в ПК є:
$·$ масовість застосування;
$·$ постійно зростаюча складність функціонування;
$·$ різноманітність програмного забезпечення персональних комп'ютерів, архітектурних рішень і легка адаптованість для вирішення різноманітних завдань користувачів [2, 15c.].
Можемо виділити основні типи проблеми інформаційної безпеки:
$·$ перехоплення інформації (порушення конфіденційності деякої інформації);
$·$ модифікація інформації (редагування початкового тексту повідомлення та/або заміна його іншою інформацією);
$·$ підміна авторства (порушення авторського права).
На сьогоднішній час досить швидко набуває актуальності питання забезпечення безпеки консолідованих інформаційних ресурсів.
Поняття «консолідована інформація» охоплює одержані з декількох джерел та системно інтегровані різнотипні інформаційні ресурси, які в сукупності наділені ознаками повноти, цілісності, несуперечності та складають адекватну інформаційну модель проблемної області з метою її аналізу, опрацювання та ефективного використання в процесах підтримки прийняття рішень. Виходячи з цього, поняття «конкурентна розвідка», яке використовується на паритетних засадах деякими дослідниками, все ж є одним з аспектів цілісних процесів та процедур консолідації інформації, а саме як процесу формування інформаційного ресурсу для підтримки прийняття рішень [5].
Разом з тим, консолідована інформація покликана із використанням всіх можливостей,активно оперуючи інформаційними ресурсами, розробляти технологічні засади створення інформаційного продукту, виконувати якісно-змістове перетворення інформації, функціонально перетинаючись в цьому плані з науковою (виробництво нового знання) й управлінською (розроблення варіантів рішень, сценаріїв) діяльністю.
Захист консолідованої інформації може забезпечуватися різними способами, що передбачають моделювання необхідних складових інформаційної безпеки, а саме:
$·$ окреслення інформаційних ресурсів, які підлягають захисту;
$·$ моніторинг повної сукупності потенційно можливих загроз і каналів витоку інформації;
$·$ аналіз уразливості і ризиків щодо сукупності інформації і каналів витоку;
$·$ визначення вимог до системи захисту;
$·$ вибір засобів захисту інформації та їх впровадження;
$·$ здійснення контролю системи захисту [6].
Таким чином, технології консолідованої інформації потребують інформаційної безпеки в межах певної установи чи організації.
Також в даний час йде досить активне застосування онтологічних моделей в різних аспектах інформаційної безпеки.
Онтологія — представлення деякою мовою знань про певну предметну область (середовище, світ). Онтологію неодмінно супроводжує деяка концепція цієї області інтересів. Найчастіше ця концепція виражається за допомогою визначення базових об’єктів (індивідуумів, атрибутів, процесів) і відношень між ними. Визначення цих об'єктів і відношень між ними зазвичай називають концептуалізацією.
Наступне визначення онтології є узагальнюючим: Онтологія — це загальноприйнята і загальнодоступна концептуалізація певної області знань (світу, середовища), яка містить базис для моделювання цієї області знань і визначає протоколи для взаємодії між агентами, які використовують знання з цієї області, і, нарешті, включає домовленості про представлення теоретичних основ даної області знань [7].
Використання онтологічних моделей дозволяє використовувати єдину базу знань, що зберігає в собі понятійну систему управління доступом до інформаційних ресурсів, а також формальну семантику модельованої системи. У цьому випадку, завдяки комбінації такої моделі з онтологічної моделлю предметної області стане можливим визначати правила доступу в термінах предметної області з урахуванням їх семантики, а також приймати рішення про надання або відмову в доступі на основі результатів логічного висновку, що неможливо зробити за допомогою баз даних.
В основному можна виділити наступні напрямки досліджень в даній сфері:
$·$ формалізація підмножин мови XACML і використання логічного виводу для перевірки сформульованих адміністратором політик безпеки [8];
$·$ використання логічного виводу в існуючих моделях контролю доступу, таких як RBAC (Role BasedAccess Control) і ABAC (Attributes Based Access Control) [9];
$·$ створення онтології, що визначають понятійну систему предметної області інформаційної безпеки General Privacy Ontology [10], Security Ontology [11], NRL Security ntology [12].
Висновок. В ході проведеного аналізу був зроблений узагальнений опис сучасних проблем в області інформаційної безпеки, а також дана класифікація типів загроз безпеки. Було виявлено, що одним з найважливіших механізмів сучасних засобів забезпечення комплексної інформаційної безпеки є система контролювання та розмежування доступу до ресурсів, для реалізації якої доцільно використовувати онтологічні моделі та методи онтологічного інжинірингу, що дозволить визначати права доступу на основі логічного висновку.
Перелік посилань:
$1.$ Грушо А. А. Теоретические основы защиты информации / А. А. Грушо, Э. Э. Тимонина., 1996. – 106 с.
$2.$ Шаньгин В. Ф. Информационная безопасность компьютерных систем и сетей: учебное пособие / В.Ф. Шаньгин., 2008. – 416 с.
$3.$ Романец Ю. В.Защита информации в компьютерных сетях и системах / Ю. В. Романец, П. А.Тимофеев, В. Ф. Шаньгин., 2001. – 376 с. – (2).
$4.$ Ab-solut-инновации уже сегодня.Защита информации. Проблемы защиты информации. [Електронний ресурс] – Режим доступу до ресурсу: http://ab\-solut.net/ru/artickes/probkemi\_zashiti.
$5.$ Бондаренко М. Ф М.Ф. Информационному обществу — профессионалов в области информации (BusinessIntelligence и Knowledge Management на службе государству) [Електронний ресурс]/ М. Ф. Бондаренко М. Ф, С. И. Маторин, Е. А. Соловьева – Режим доступу до ресурсу: www.it2b.ru/it2b2.view3.page123.html.
$6.$ Калитич Г. І.Консолідація інформації, знань і мудрості як проектування і основа гармонійного поступу України [Текст] / Г. І. Калитич / НТІ. — 2008. — № 1. — 51 с.
$7.$ Онтологія (інформатика) [Електронний ресурс] – Режим доступу до ресурсу: https://uk.wikipedia.org/wiki/Онтологія\_\(інформатика).
$8.$ XACML forauthorization [Електронний ресурс] – Режим доступу до ресурсу: http://xacmlinfo.org/.
$9.$ ROLEBASED ACCESS CONTROL (RBAC) AND ROLE BASED SECURITY [Електронний ресурс] – Режим доступу до ресурсу: http://csrc.nist.gov/groups/SNS/rbac/index.html.
$10.$ Hecker A. PrivacyOntology Support for E-Commerce / A. Hecker, T. Dillon, C. Elizabeth., 2008.
$11.$ Fenz S., EkelhartA. Formalizing information security knowledge ASIACCS ‘09: Proceedings ofthe 2009 ACM symposium on Information, computer and communications security, ACM,2009 - 183-194.
$12.$ Kim A, Luo J. MyongK, "Security Ontology for Annotating Resources", Naval Research Lab, NRLMemorandum Report, NRL/MR/5540-05-641: Washington, D.C., 2005 - pp. 51
Рецензент: к.т.н., доцент кафедри інформатики і комп’ютерних наук Херсонського національного технічнго університету Дідик О.О.