VII Международная студенческая научная конференция Студенческий научный форум - 2015

«Электронная демократия – это форма демократии, характеризующаяся использованием информационно-коммуникационных технологий как основного средства для коллективных когнитивных и административных процессов (информирования, принятия совместных решений – электронное голосование, контролирование исполнения решений и т. д.) на всех уровнях – начиная с уровня местного самоуправления и заканчивая международным уровнем» [2].

Электронная демократия с постепенным увеличением доступности информационных технологий и электронных устройств становится все более и более удобным средством связи с властью. Снижение информационного неравенства через доступность электронных устройств любой ценовой категории с возможностью выхода в интернет позволяет человеку, в каком социальном положении он бы не был, на равных с остальными использовать возможности системы электронной демократии. Столь огромная популярность системы электронной демократии делает ее уязвимой, т. к. она хранит в себе данные о миллионах пользователей, а также данные непосредственно влияющие на работу органов власти. Все эти данные могут быть ценной информацией для злоумышленников, поэтому с все большим и большим развитием системы встает вопрос о ее качественной защите. Это защита непосредственно серверов с данными через средства технической защиты, а также программные средства.

Конечно, у данной системы уже есть свои методы защиты, но в этой статье мы рассмотрим методы, предложенные в «Концепции развития в РФ механизмов электронной демократии до 2020 года», разберем возможности их улучшения, а также предложим новые возможные методы защиты.

Концепция, о которой говорилось выше, говорит о том, что необходимы следующие требования к защите информации в рамках системы электронной демократии:

Во-первых – это то, что система должна «удовлетворять требованиям по классу защиты автоматизированных систем 1Д и обеспечивать работу следующих категорий пользователей: администраторов, неавторизованных и авторизованных пользователей» [1].

Стоит отметить, что класс защиты АС 1Д обеспечивает защиту следующих данных: составляющих служебную тайну, персональные данные, банковская тайна и иная конфиденциальная информация.

Система безопасности обеспечивает контроль за идентификацией пользователей, проверкой подлинности пары логин-пароль, а также контролирует доступ субъектов к информации ограниченного типа, осуществляет регистрацию входа в систему пользователя. Система 1Д обеспечивает целостность программных средств и обрабатываемой информации, обеспечивает техническую защиту вычислительной техники и носителей информации. Имеет в наличии средства для тестирования системы защиты от несанкционированного доступа, и имеет средства восстановления системы после несанкционированного доступа.

К минусам данной системы защиты стоит отнести то, что она не осуществляет регистрацию и учет доступа субъектов к защищенным файлам, включая создание и удаление данных файлов, а также передачу их по сети. Также не предполагается такое важное условие как шифрование информации конфиденциального характера.

Во-вторых – «информационная безопасность ЕСЭД должна обеспечиваться за счет реализации многоуровневой системы безопасности и контроля, выполняющей следующие задачи: обеспечение целостности информации; обеспечение защиты программных и технических средств, используемых для сбора, передачи и обработки информации от утечки и разрушающего воздействия» [1].

Целостность информации заключается в целостности обрабатываемой информации и целостности программной среды, грубо говоря, программный код не должен меняться под влиянием возмущающих воздействий. Должен осуществляться контроль доступа к серверам: не допускается проведение посторонних лиц и лиц с носителями информации. Необходимо внедрять системы технической защиты, которые будут особенно необходимы, скорее, в не рабочее время, когда количество находящихся в серверной людей будет ограниченно, либо их не будет вовсе. Сюда входят различные датчики, сигнализация, средства видеосъемки и прочее.

Защита информации от утечки и разрушающего воздействия предполагает ограничение доступа к ней из сети «Интернет», а также обеспечения сейсмической устойчивости, погодной, защиты от природных и техногенных катастроф и прочих разрушающих факторов, таких как пожары наводнения и т.д. Система должна иметь специальный носитель, который был бы надежен, и на нем хранилась бы вся текущая информация, которую в случае сбоя можно было бы восстановить, чтобы ЕСЕД вернулась к своему прежнему значению.

При нарушении электроснабжения должны быть учтены такие требования как дополнительный источник питания, для того, чтобы иметь возможность экстренно сохранить информацию. Также должна быть обеспеченна возможность скорейшего восстановления электроснабжения.

В-третьих – «основными направлениями создания комплексной защиты информации являются: организационно-режимные меры защиты; защита информации от утечки по каналам побочных электромагнитных излучений и наводок; защита от вирусных атак» [1].

Организационно-режимные меры защиты включают в себя разработку регламентов деятельности персонала в целях защиты информации, меры по исключению возможности проникновения в помещения, проверку и сертификацию используемых аппаратных средств на возможность утечки информации, утверждение порядка получения доступа к данным.

Защита информации от утечки по каналам побочных электромагнитных излучений и наводок – известно, что техничка во время работы создает определенные шумы и излучения, спектр частот которых измеряется в Гц и МГц. Анализируя изучения можно получить данные о перерабатываемой информации. «Мерой защиты является экранирование помещений, а также генерация дополнительных шумов и излучений. Также рекомендуется использование оборудования сертифицированного по системам NАCSIМ и иным ее модификациям» [3].

Защита от вирусных атак предполагает установку на сервера антивирусных ядер от различных производителей. Так каждый файл проходящий через систему будет обрабатываться различными антивирусными системами.

В-четвертых, должна быть система аутентификации пользователей. В рамках внутренней организации системы электронной демократии система должна защищать администраторские учетные записи от несанкционированного доступа к ним со стороны остального персонала. Также должен быть ограничен доступ пользователей из сети «Интернет» к интерфейсу администраторов. Доступ должен ограничиваться за счет ограничения IP адресов с которых осуществляется вход.

Что касается обычных пользователей, то система должна отвечать требованиям таким как: хранение хэш-значений паролей на сервере с помощью алгоритма md5 – т.е. создается так называемый «отпечаток» и в дальнейшем по нему проверяется подлинность пары логин-пароль. При этом пароль и логин не хранятся на сервере в явном виде, а зашифрованы 128 битным шифрованием.

Также работает система автоматической блокировки учетной записи пользователей при неоднократном неверном введении логина и пароля. Это необходимо для обеспечения сохранности данных и обеспечения честности участия в электронной демократии, т.к. например, завладев чужой учетной записью можно отдать свой голос за инициативу на сайте РОИ.

Как дополнительную меру защиты в данном случае я бы предложил геолокацию пользователей. Это должно работать следующим образом: пользователь заходит постоянно с одних и тех же IP адресов, система это видит и считает нормальным, когда IP адрес резко изменяется, то система должна обеспечить подтверждение входа именного того пользователя, который и владеет учетной записью, а не кого-то иного.

Этот метод может заменить использование УЭК при входе, т.к. там нужна непосредственно карта и личность может быть легко подтверждена. Такую учетную запись невозможно украсть, а в случае утери карты ее обладатель может легко ее заблокировать.

Сервера системы электронной демократии должны иметь защиту от DDOS атаки, т.е. у них должна быть высокая пропускная способность, также следует заниматься перераспределением трафика по серверам. Несоблюдение данного правила может повлечь за собой «падение» сайтов системы электронной демократии и получение несанкционированного доступа к конфиденциальной и служебной информации.

Подводя итоги можно сказать, что дальнейшее развитие и увеличение популярности системы электронной демократии в России должно сопровождаться модернизацией ее системы безопасности. Система должны быть защищена от любых видов угроз, как технических, так и программных. При этом модернизация должна происходить одновременно с развитием научно-технологического процесса, так как средства преодоления различных систем защиты развиваются, то соответственно системы защиты должны тоже не стоять на месте.

Список литературы

1. Концепция развития в РФ механизмов электронной демократии до 2020 года // Официальный сайт Министерства коммуникаций и связи РФ. [Электронный ресурс]. Режим доступа: http://minsvyaz.ru/ru/news/index.php?id_4=43307

2. Абрамова Д.С. Электронная демократия в России: проблемы политической коммуникации // Гуманитарные научные исследования. 2013. № 1;

3. Утечка информации через побочные электромагнитные излучения // Издательство «Нестор». [Электронный ресурс]. Режим доступа: http://www.nestor.minsk.by/