ОРГАНИЗАЦИОННЫЕ И ОБЩЕТЕОРЕТИЧЕСКИЕ ВОПРОСЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
УДК 004.7
ПРОБЛЕМЫ ЭФФЕКТИВНОСТИ И БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ПРОЦЕССОВ В СИСТЕМЕ УПРАВЛЕНИЯ ВУЗОМ
PROBLEMS OF EFFICIENCY AND SECURITY OF INFORMATION PROCESSES IN THE UNIVERSITY MANAGEMENTSYSTEM
© Байбурин Вил Бариевич
Vil B. Bayburin
доктор физико-математических наук, профессор, заведующий кафедрой «Информационная безопасность автоматизированных систем», Саратовский государственный технический университет имени Гагарина Ю. А., Россия.
DSc (Physics&Math), professor, Saratov State Technical University named Gagarin,
Russia.
И baiburinvb@rambler.ru
© Гельбух Сергей Сергеевич
Sergey S. Gelbukh
кандидат физико-математических наук, доцент кафедры «Информационные системы и технологии», начальник Управления информатизации и телекоммуникаций, Саратовский государственный технический университет имени Гагарина Ю. А., Россия.
PhD (Physics&Math), Associate Professor, Saratov State Technical University named Gagarin, Russia.
И serge@sstu.ru
© Сытник Александр Александрович
Alexander A. Sytnik
доктор технических наук, профессор, лауреат премии Президента РФ, Заслуженный деятель науки Российской Федерации, первый проректор, заведующий кафедрой «Информационные системы и технологии», Саратовский государственный технический университет имени Гагарина Ю. А., Россия.
DSc (Technical), professor, Saratov State Technical University named Gagarin, Russia. E>' as@sstu.ru
© Чугунов Алексей Владимирович
Alexey V. Chugunov старший преподаватель кафедры «Информационные системы и технологии», Саратовский государственный технический университет имени Гагарина Ю. А.
senior teacher, Saratov State Technical University named Gagarin, Russia.
\ J*
И kalimdor@sstu.ru
В статье рассматриваются информационные системы управления, используемые в вузах, проблемы обеспечения безопасности и целостности информации в них, а также способы повышения
The article discusses information management systems in higher institutions, problems of supporting their security and referential integrity and the ways to improve efficiency and security in informationalprocesses.
эффективности и безопасности информационных процессов.
Ключевые слова: коммуникации, технологии, сеть, автоматизация, управление, информация, система, безопасность, аутентификация, авторизация, сервер, интеграция, данные, протокол.
Негативными факторами снижения эффективности автоматизированной системы управления вузом являются проблемы нарушения целостности данных и потери информации в результате несовершенства или несоблюдения применяемых информационно-коммуникационных технологий. Это особенно сильно проявляется в неоднородных многоуровневых информационных системах консервативных организаций с историей. К их числу относятся крупные региональные вузы с устоявшимися технологиями организации управления и сложившимися стереотипами поведения участников информационных процессов. Информационные системы вузов создавались в несколько этапов, автоматизации подвергались отдельные составляющие деятельности на базе программных платформ, относящихся к разным поколениям программного обеспечения. При этом используются несовместимые напрямую форматы данных, технологии обработки и передачи данных.
В настоящей статье на основе анализа типичной системы управления вузом рассмотрены и реализованы этапы её модернизации и обеспечения информационной безопасности. Следующие задачи безопасности информационных технологий являются для информационных систем вуза наиболее актуальными: физическая защита средств обеспечения информационных процессов, предотвращение несанкционированного доступа к данным с целью их неправомерного использования или уничтожения, обеспечение целостности данных, организация резервирования и восстановления.
В вузе обычно используются подсистемы управления и электронного документооборота, уровни защищённости которых определяются действующим законодательством и внутренними нормативными актами на основе классификации данных: общедоступные, конфиденциальные (уровня предприятия) и персональные.
Основные подсистемы
Система электронного документооборота вуза обеспечивает движение документов, содержащих открытую информацию или конфиденциальную информацию уровня предприятия. Все пользователи системы проходят аутентификацию в домене Microsoft Windows и авторизуются для доступа к конкретному документу на уровне политики безопасности системы электронного документооборота, работа кото-
Key words: lines of communication, technologies, network, automation of the management process, information, system, security, authentication, authorization, server, integration, data, log.
рой организована по трёхзвенной технологии клиент - сервер приложений - сервер системы управления базами данных. Используется веб-клиент. Данные хранятся в реляционной базе.
Система электронного взаимодействия с Министерством образования и науки в вузах обеспечивает официальную переписку [1]. Предусмотрена регистрация доставки и распределения входящих писем между исполнителями. Единственный пользователь системы регистрируется и аутентифицируется почтовым сервисом (POP3 или внешним почтовым сервисом, например, gmail.com). Для доставки документов и служебных сообщений применяется протокол SMTP. Хранение и обработка корреспонденции фактически локализованы на персональном компьютере, при этом используется закрытая модель данных для хранения сообщений, полученных с почтового сервера по протоколу POP3.
Информационная система приёмной комиссии вуза обеспечивает оборот заявлений абитуриентов и выполнение алгоритмов формирования списков рекомендованных к зачислению и зачисленных по результатам отбора. Современная ИС («Абитуриент» [2], 1С «Университет») имеет трёхзвенную архитектуру, использует веб-клиента и реляционную базу данных. Аутентификация пользователей в домене Microsoft Windows, авторизация доступа по записям во внутренней базе данных.
Система взаимодействия с Федерльной информационной системой ЕГЭ и приёма [3] предназначена для обработки персональных данных. Она сертифицирована по классу 1 автоматизированных систем персональных данных, и весь документооборот данных приёмной кампании при взаимодействии с федеральной информационной системой проходит на этом уровне защищённости.
Системы бухгалтерского, кадрового и финансового учёта реализованы в среде «1С Предприятие» или подобной. Каждая из этих подсистем в предельном случае использует собственную базу данных, включая базу аутентификации и авторизации пользователей. Такая ситуация в системе учёта складывается вследствие поэтапной автоматизации процессов обработки информации без их реорганизации на ранних этапах внедрения информационных технологий.
Информационные системы библиотечных каталогов, такие как широко распростра-
нённая «Ирбис», традиционно используют нереляционную модель и собственный формат данных. Они обеспечивают регистрацию читателей и операций с книгами. Авторизованный доступ к операциям и сведениям основан на внутренней базе учётных записей. Аналогичную архитектуру имеют электронные библиотечные системы, ИС «Антиплагиат» или подобные ей.
Электронная информационно-образовательная среда создаётся для содержательного обеспечения образовательного процесса. В качестве платформы применяется открытое программное обеспечение Moodle, коммерческое программное обеспечение, например «Прометей», или создаётся приложение на основе архитектуры Microsoft Office SharePoint Server с образовательными компонентами. С точки зрения организации контента это структурированные образовательные среды с поддержкой электронных учебников или файловые хранилища с метаописаниями. В системе размещаются данные учебных планов, рабочие программы дисциплин и учебные материалы по дисциплинам. Эти виды контента связаны с преподавателями и обучающимися, что обусловливает качество и эффективность системы управления образовательным контентом и процессом обучения. Разделение доступа к узлам и документам в современной системе управления контентом обеспечивается на основе аутентификации пользователей в домене Microsoft Windows и авторизации на уровне политики безопасности системы.
Кроме перечисленных подсистем в вузе используются другие локальные информационные системы, в разной степени автоматизирующие процессы документооборота и управления в частных направлениях деятельности.
В результате выполнения в вузе первого этапа модернизации системы безопасности данных сеть вуза находится под единым управлением, в ней применяются общие политики безопасности, резервирования данных и разделения доступа к сведениям.
Все подсистемы ИС функционируют на виртуальных платформах на базе гипервизора Hyper-V Windows Server. Для обеспечения резервирования и восстановления данных организовано регулярное (ежедневное) инкрементное резервное копирование данных всех подсистем ИС вместе с хост-машинами соответствующих служб. Время восстановления системы после полного разрушения подсистемы в результате отказа хост-машины или платформы виртуализации целиком составляет в среднем около четырёх часов и является приемлемым для высшего образовательного учреждения.
В сети вуза используется корпоративная система антивирусной защиты. Её компоненты установлены на всех сетевых компьютерах и находятся под управлением сервера.
Информационно-вычислительная сеть вуза на уровне доступа к среде модели TCP/IP имеет иерархическую структуру, состоящую из трёх областей: доступа, распределения и магистрали. В рамках доступа организовано присоединение компьютеров к сети на рабочих местах сотрудников. Область распределения трафика объединяет несколько зданий посредством телекоммуникационных каналов на основе волоконно-оптических линий связи. Для управления адресами существует служба DHCP с привязкой выдаваемых IP- адресов к физическим адресам зарегистрированных компьютеров.
Сеть вуза включает в себя беспроводный сегмент на основе стандарта IEEE 802.11 b/g/n. Уровень безопасности в беспроводной сети должен соответствует стандарту WPA2 Enterprise с типом шифрованием AES.
Для повышения защищённости сетевых компьютеров и электронных документов сеть вуза построена с применением технологии виртуальных локальных сетей (VLAN). Точкой агрегации трафика в области распределения является коммутатор третьего уровня, присоединённый к магистральной части сети. На нём организованы шлюзы подсетей для каждой VLAN и созданы межсетевые экраны локальной сети, обеспечивающие фильтрацию трафика по IP-адресам и номерам портов. В частности, запрещён трафик, порождаемый сетевыми червями, ограничено использование таких протоколов, как FTP, Telnet. Для повышения защищённости от воздействий из Интернета в магистральной области сети установлены межсетевые экраны и применена технология трансляции IP-адресов. Доступ к веб-серверам в сети вуза обеспечивается через промежуточный HTTP-шлюз. В демилитаризованной зоне магистрали сети используется ограниченное количество контролируемых серверов организации с глобально маршрутизируемыми адресами.
Доступ к компьютерам в сети предоставляется только сотрудникам вуза, преподавателям и студентам, по их личным учётным записям в домене Microsoft Windows. Процесс аутентификации, авторизации и учёта в беспроводном сегменте производится с помощью серверов RADIUS или DIAMETER. Весьма эффективен RADIUS в составе служб Microsoft Windows Server.
Задача доступа к подсистемам информационной системы управления пользователей, находящихся за пределами корпоративной вычислительной сети, решена с помощью технологии виртуальных частных сетей. Для
обеспечения начального уровня защиты применяется указанная технология, основанная на организации туннелей второго уровня L2TP с шифрованием по технологии ESP и цифровые сертификаты для проверки подлинности пользователей и сервера. Частные виртуальные каналы реализуется в составе роли «Маршрутизация и удалённый доступ» операционной системы Microsoft Windows Server.
Для документооборота с государственными организациями и фондами применяется специализированное клиентское программное обеспечение и программы-криптопровайдеры, сертифицированные ФАПСИ, например система криптозащиты информации «КриптоПро CSP».
Успешная модернизация сетевой инфраструктуры [4] даёт возможность перейти к решению проблем целостности данных и доступности информации.
Проведённый анализ информационной системы вуза даёт картину неоднородной информационной среды с весьма слабыми (или отсутствующими) технически реализованными связями между её компонентами. Это частично возмещается возрастающим объёмом неавтоматизированного труда по обеспечению отсутствующих в технических решениях связей между данными, переносу сведений из одной подсистемы в другую и извлечению информации.
Современные подходы к контролю и оценке эффективности работы участников образовательного процесса диктуют необходимость сбора и обработки большого количества показателей, характеризующих как отдельных преподавателей, так и кафедры, факультеты и институты. В целом выявлено более 200 критериев деятельности преподавателя. В вузе создана информационная система личного кабинета преподавателя, используемая как для личного учёта результатов деятельности, так и для формирования рейтинговой оценки, определяющей уровень стимулирующего вознаграждения преподавателя. На основе первичных данных формируются агрегирующие отчёты по подразделениям, направлениям деятельности и по вузу в целом.
Разработка личного кабинета как компонента общей системы электронного документооборота сталкивается с обозначенными выше проблемами интеграции ИС в полном объёме. Для того чтобы определить направления решения интеграционной проблемы, проанализируем траекторию движения данных в процессе обработки. Большое количество показателей деятельности преподавателя отражаются в ИС структур, управляющих научными исследованиями, подготовкой кадров высшей квалификации, библиотекой, патентно-лицензионной службой,
кадровой службой, диссертационными советами, структурами управления образовательным процессом. Исходные данные вводятся в ИС и одновременно регистрируются и верифицируются в организационно-управленческих структурах. Сведения хранятся в базах данных подсистем и представляются в их специфических формах. Анализ функциональных зависимостей между компонентами системы позволяет выделить категории первичных данных и подсистемы, в которых они обрабатываются. Архитектура этих подсистем определяет структуру первичных и внешних ключей, использование которых обеспечит целостность данных при их переносе между подсистемами. В результате импорта данных в подсистему возникает возможность получения новой информации, характеризующей показатели деятельности преподавателей, кафедр и факультетов.
Выбран следующий подход при организации переноса данных между подсистемами с обеспечением целостности. Во всех возможных случаях используются существующие протоколы доступа к данным, такие как LDAP, ODBC, SQLNet. При отсутствии такого протокола для переноса данных разрабатываются собственные протоколы, основанные на передаче файлов.
Для построения электронной системы управления вузом необходимо иметь базу данных структуры вуза и связанную с ней базу контингента сотрудников и обучающихся. В основе их создания и поддержки лежит передача учётных данных между кадровой системой, системами управления контингентами, корпоративными справочниками, личным кабинетом и базой учётной информации домена Microsoft Windows, доступной по протоколу LDAP. Для указанной категории исходной является кадровая система. Автоматизированная пакетная выгрузка необходимой информации в транспортный файл инициируется в исходной подсистеме. Загрузка данных из транспортного файла инициализируется принимающей подсистемой. Серверы приложений, доступные из корпоративной сети вуза и Интернета, не получают доступа к данным в исходных подсистемах с высоким уровнем защиты, а обрабатывают копии данных в общедоступных подсистемах.
Таким образом, подсистема личного кабинета преподавателя может выступать в качестве интеграционного ядра, концентратора потока данных. В результате решения задачи создания этой системы возникает возможность технического обеспечения целостности данных в неоднородной системе и получения новой информации.
Материалы поступили в редакцию 09.11.2013 г.
Библиографический список (References)
1. Открытая модульная система электронного документооборота и контроля исполнения поручений (СЭДКП) : свидетельство о государственной регистрации программы для ЭВМ Российская Федерация / А. Д. Ландарь,
A. В. Соболев, Д. С. Сагомонов, Д. Ю. Метт,
B. Ю. Мельников, И. В. Бельских, Г. А. Чеснова. № 2010612842; опубл. 27.04.2010.
2. Информационная система «Абитуриент СГТУ» : свидетельство о государственной регистрации программы для ЭВМ Российской Федерации / Т. А. Тарвид, Л. А. Тимофеева. № 2011611747; опубл. 24.02.2011.
3. Федеральная информационная система обеспечения проведения ЕГЭ [Электронный ресурс] : официальный сайт. Режим доступа: http://ege.edu.ru/ru/main/legal-documents/index. php?id_4=17897 (дата обращения: 22.10.2013).
4. Гельбух С. С. Построение мультисервисной сетевой инфраструктуры СГТУ / С. С. Гельбух,
C. В. Папшев, А. А. Сытник // Телематика'2010 : тр. XVII всерос. науч.-метод. конф., г. Санкт-Петербург, 21-24 июня 2010 г. СПб. Т. 2. С. 301302. ISBN 978-5-7577-0354-1.
1. Landar A. D., Sobolev A. V., Sagomonov D. S., Mett D. U., Melnikov V. U., Bielskih I. V., Chesnova G. A. The open modular system of electronic document management and control of execution of instructions. The certificate of computer program state registration in Russian Federation. No 2010612842, 27.04.2010.
2. Tarvid T. A., Timofeeva L. A. The information system «Abiturient SSTU».The certificate of computer program state registration in Russian Federation. No 2011611747, 24.02.2011.
3. Federal information system of conducting supporting of Centralized Testing (EGE), the official website. Available at: http://ege.edu.ru/ru/main/ legal-documents/index.php?id_4=17897 (accessed 22 october 2013).
4. Gelbukh S. S., Papshev S. V., Sytnik A. A.
The construction of SSTU multiservice network infrastructure. Telematika2oio. Saint Petersburg. V. 2 . P. 301-302. ISBN 978-5-7577-0354-1.
УДК 5i9.856
О ПРИМЕНИМОСТИ НЭШУ-ПАРЕТОВСКОЙ ОПТИМИЗАЦИИ ДЛЯ РЕШЕНИЯ ЗАДАЧИ ОБОСНОВАНИЯ ПРЕДПОЧТИТЕЛЬНОГО ВАРИАНТА СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
THE APPLICABILITY OF NASH-PARETO OPTIMIZATION FOR SOLVING PROBLEMS TO JUSTIFY THE PREFERRED EMBODIMENT OF INFORMATION SECURITY
© Мистров Леонид Евгеньевич
Leonid E. Mistrov
доктор технических наук, доцент, профессор кафедры правовой информатики, информационного права и естественнонаучных дисциплин, Центральный филиал ФГБОУ ВПО «РАП», г. Воронеж, Россия.
DSc (Technical), Associate Professor, Central branch FGBOU of VPO of «BRINES», Voronezh, Russia.
Предлагается подход к применению Нэшу-Паретовской оптимизации для обоснования предпочтительного варианта системы информационной безопасности в целях обеспечения конкурентоспособного применения различного типа функциональных систем в условиях конкуренции.
Ключевые слова: функциональная система, конкуренция, конфликт, информационная безопасность, критерий и показатели эффективности, метод, моделирование, вариант,
S mistrov_le@mail.ru
Approach to application of Nash-Paretovsky optimization for justification the preferable option of information security system for ensuring competitive application of various functional system types in the situation of the competition is offered.
Key words: functional system, competition, conflict, information security, criterion and efficiency indicators, method, modeling, option.