ЗАЩИТА ЭЛЕКТРОННЫХ ДОКУМЕНТОВ - Студенческий научный форум

VII Международная студенческая научная конференция Студенческий научный форум - 2015

Личный портфель

ЗАЩИТА ЭЛЕКТРОННЫХ ДОКУМЕНТОВ

Воронин К.Ю., Летунов П.А.
 Комментарии
Текст работы размещён без изображений и формул.
Полная версия работы доступна во вкладке "Файлы работы" в формате PDF

Современный уровень развития информационных технологий характеризуется тенденцией доминирования электронных документов (ЭД) над традиционными бумажными носителями информации. Поэтому очень важно защитить содержащуюся в них информацию. На сегодняшний день каждая организация сталкивается с необходимостью введения электронного документооборота. Поэтому возникает проблема достоверности электронных документов, полученных, скажем, по электронной почте, поскольку подписать такой документ обычной подписью и удостоверить печатью невозможно. Вывод: электронный документооборот должен сопровождаться различными организационно-техническими мерами, позволяющими защитить передаваемые по компьютерным сетям электронные документы, как от несанкционированного прочтения, так и от случайной или преднамеренной модификации. [1]

Отдельным обширным и очень важным блоком требований являются требования к информационной безопасности и обеспечению юридической значимости электронных документов:

• федеральный закон «Об информации, информационных технологиях и о защите информации»;

• федеральный закон «Об электронной цифровой подписи»;

• федеральный закон № 152-ФЗ «0 персональных данных»;

• федеральный закон № 98-ФЗ«0 коммерческой тайне»;

• постановления правительства РФ;

• требования и рекомендации ФСТЭК и ФСБ.

Основная идея в том, что к задаче защиты системы электронного документооборота надо подходить с точки зрения классической защиты информационной системы. А именно, следующие конкретные задачи:

- аутентификация пользователей и разделение доступа;

- подтверждение авторства электронного документа;

- контроль целостности электронного документа;

- конфиденциальность электронного документа;

Под аутентификацией информации понимается установление подлинности информации исключительно на основе внутренней структуры самой информации, установление того факта, что полученная законным получателем информация была передана подписавшим ее законным отправителем (источником) и при этом не была искажена.

Существующие в настоящее время методы и системы защиты информации имеют множество отличий друг от друга, но, тем не менее, их можно разделить на следующие основные классы. [6]

Программные методы защиты

В таких системах преобладают автоматические методы. Отметим, что автоматические методы программных защит не могут обеспечить широкий диапазон вариантов защиты, поскольку их однажды заложенные параметры в большинстве случаев не могут быть изменены. В результате устанавливаться такая защита будет по одним и тем же схемам. Это может быть защита на уровне начального доступа, предполагающая пароль и имя пользователя, занимаемое место на жестком диске и другие меры. Так же предусматривается защита на уровне прав пользователей, например, персональные ограничения на выполнения каких-то конкретных операций. Программный метод защиты может осуществляться на более высоком уровне атрибутов каталогов файлы ограничения на выполнение отдельных операций типа удаления. [6]

Криптографический метод защиты.

Криптография — это наука об обеспечении секретности и подлинности сообщений. Криптографическая защита включает два элемента: а) алгоритм шифрования; б) ключ шифрования. За многие века были разработаны разнообразные алгоритмы шифрования. [2]

Существуют два вида ключей — открытые и закрытые.

Технология закрытого ключа состоит в следующем: посылая адресату сообщение, пользователь применяет специальную программу и ключ. Адресат, получив сообщение, пользуется точно такой же программой и таким же ключом. Оба участника должны знать секретный ключ (закрытый).

Если используется открытый ключ, то у каждого участника переписки есть два ключа: открытый и закрытый. Открытый ключ передаётся кому угодно, закрытый — нет. Посылая сообщение адресату В, участник А шифрует его открытым ключом, а В, получая сообщение, расшифровывает его закрытым ключом.

Такой метод имеет ряд недостатков:

  • Все абоненты сети имеют один и тот же ключ. Таким образом, любые зашифрованные этим ключом документы могут быть расшифрованы любым абонентом сети, т. е., невозможно отправить некий документ какому-либо абоненту лично.

  • При компрометации ключа шифрования (утере, хищении и т. д.) под угрозой нарушения конфиденциальности окажется весь документооборот, ключи шифрования придется срочно менять. Если же, например, факт компрометации ключа шифрования обнаружен не сразу, останется только догадываться, сколько документов (и какой важности) успел прочитать злоумышленник.

  • Такие ключи необходимо передавать «из рук в руки», т. е., невозможно, например, переслать по электронной почте, что неудобно.

Тем не менее, шифрование файлов считается самым надежным способом защиты от несанкционированного чтения. Действительно, если вместо читаемого текста злоумышленник увидит зашифрованную «абракадабру», которую невозможно или крайне сложно расшифровать, то задача защиты решена даже радикальнее, чем при скрытии файла или применении системно-парольных мер защиты от несанкционированного доступа. Опытный кракер способен взломать защиту от несанкционированного доступа, но вскрыть алгоритм и ключ шифрования способен только технически оснащенный специалист по крипто-анализу, причем для этого ему может потребоваться слишком много времени. [2]

Электронная цифровая подпись

Электронная цифровая подпись (ЭЦП) предназначена для идентификации лица, подписавшего электронный документ, и является полноценной заменой (аналогом) собственноручной подписи. [5]

Использование электронной подписи позволяет осуществить:

  • Контроль целостности передаваемого документа при любом случайном или преднамеренном изменении документа подпись станет недействительной, потому что вычислена она на основании исходного состояния документа и соответствует лишь ему.

  • Защиту от изменений (подделки) документа: гарантия выявления подделки при контроле целостности делает подделывание нецелесообразным в большинстве случаев.

  • Невозможность отказа от авторства. Так как создать корректную подпись можно, лишь зная закрытый ключ, а он известен только владельцу, он не может отказаться от своей подписи под документом.

  • Доказательное подтверждение авторства документа: Так как создать корректную подпись можно, лишь зная закрытый ключ, а он известен только владельцу, он может доказать своё авторство подписи под документом.

Электронная цифровая подпись формируется на основе секретного ключа и вычисленного с помощью хэш-функции значения хэша документа. Хэш представляет собой некоторое значение, однозначно соответствующее содержимому документа-файла. При изменении хотя бы одного символа в документе, хэш документа изменится. Подобрать же изменения в документе таким образом, чтобы хэш документа не изменился, при использовании современных алгоритмов попросту невозможно. [3]

Секретный ключ может быть зашифрован на пароле. Открытый ключ вычисляется как значение некоторой функции из секретного ключа и используется для проверки электронной цифровой подписи. Открытый ключ может свободно распространяться по открытым каналам связи, таким образом, он должен быть передан всем абонентам сети, с которыми планируется обмен защищенной информацией. При проверке электронной цифровой подписи вычисляется значение хэша документа; таким образом, любые изменения документа приведут к другому значению хэша, и вычисленная электронная подпись документа не совпадет с переданной, что явится сигналом нарушения его целостности.

Существует множество алгоритмов ЭЦП, в том числе:

  • отечественный стандарт электронной подписи ГОСТ Р34.10-94, который, как и стандарт симметричного шифрования ГОСТ 28147-89, обязателен для применения в государственных организациях России и обменивающихся с ними конфиденциальной информацией коммерческих организациях;

  • новый отечественный стандарт ГОСТ Р34.10-2001, который должен заменить предыдущий с 1 июля 2002 г.

  • различные общеизвестные алгоритмы ЭЦП, например, RSA (Rivest - Shamir - Adleman), Эль-Гамаля, DSA (Digital Signature Algorithm).

Установка парольной защиты – это установления секретного слова или наборов символов для предоставления доступа субъекту, предназначенная для защиты от несанкционированного доступа к электронному документу.

Резервирование электронных документов – процесс создания копии данных на носителе (жёстком диске, дискете и т. д.), предназначенном для восстановления данных в оригинальном или новом месте их расположения в случае их повреждения или разрушения.

Организационные мероприятия

Следует учесть, что использование любых систем защиты документооборота будет недостаточным без введения организационных мер. [5] К ним можно отнести следующее:

  • Разграничение доступа на рабочие места, как административными мерами, так и с использованием различных систем.

  • Выделение на предприятии должностного лица (администратора по безопасности), отвечающего за функционирование систем защиты документооборота.

  • Разработка и контроль практического осуществления мероприятий по обеспечению безопасного функционирования систем защиты.

  • Периодический контроль целостности систем защиты, состояния охранной сигнализации и соблюдения режима охраны помещений, в которых расположены системы защиты.

  • Периодический контроль журналов операций, автоматически создаваемых программными модулями, входящими в системы защиты.

  • Хранение резервных копий ключевых носителей всех операторов, работающих в системах защиты.

Помимо угроз, связанных с нарушением целостности конфиденциальности и подлинности сообщений, в системах электронных документов существуют угрозы, связанных с воздействием на сообщения. К их числу относятся уничтожение, задержка, дублирование, переупорядочивание, переориентация отдельных сообщений, маскировка под другого абонента или под другой узел. Угрозы этого типа нейтрализуются использованием в системе защищенных протоколов связи. Защита уровня протокола достигается принятием следующих мер: управление соединением; квитирование; нумерация сообщений.

  • Управление соединения необходимо при использовании коммутированных линий связи и включать в себя запрос идентификатора, аутентификацию источника сообщений и разрыв соединения при получении неправильного идентификатора. Существует несколько схем управления соединением. Как правило, дается несколько попыток ввода идентификатора, и если они оказываются неудачными, то соединение разрывается. Более надежным способом управления является автоматический обратный вызов. Надежность такого способа зависит от качества каналов связи и правильности заполнения списка доступных номеров.

  • Квитирование – это процедура выдачи подтверждения (квитанции) о получении сообщения, позволяющая отслеживать состояние переданного документа. Дополнительной гарантией может быть включение в состав квитанции электронной подписи. Для предотвращения возможности отказа одной из сторон от факта получения сообщения протокол может предусматривать возврат копий полученных документов (по аналогии с бумажным документооборотом).

  • Получения документа с уже использованным номером или номером, значительно превышающим текущий, является событием, указывающим на нарушение правильности работы системы и требующим немедленной реакции со стороны службы. Установление и поддержание в системе электронных платежей единого времени для всех абонентов значительно сужает вероятность угроз. При этом передаваемый документ должен содержать неизменяемую дату и время подписания.

Защита от несанкционированного доступа. Средства защиты должны обеспечивать идентификацию и надежное опознавание пользователя. Разграничение полномочий по доступу к ресурсам регистрацию работы и учет попыток НСД. Организационные меры в системах электронных документов, как правило, направлено на четкое распределение ответственности и создание нескольких рубежей контроля. Перечень должностных лиц и их обязанности могут выглядеть следующим образом:

  • Бухгалтер предприятия, подпись, шифрование документов на ключе директора, составление баланса.

  • Директор предприятия совершает верификацию (проверку) документов, подпись, шифрование на ключе банка.

  • Оператор клиента – отправка и прием зашифрованных сообщений.

  • Операторы банка – отправка и прием зашифрованных документов.

  • Операционист – шифрование и проверка полученных документов, подготовка выписок, подпись

  • Менеджер – верификация документов и отражение их в дне банка, подпись

  • Администратор – управление ключами, обработка учетных и регистрационных журналов, связь банков

Назначение любой защиты — обеспечение стабильности заданных свойств защищаемого объекта во всех точках жизненного цикла.

Защита документа при его создании.

При создании документа должен аппаратно вырабатываться защитный код аутентификации (ЗКА). При этом до начала выработки ЗКА должна быть обеспечена изолированность программной среды (ИПС). Запись копии электронного документа на внешние носители до выработки ЗКА должна быть исключена. Если электронный документ порождается оператором, то ЗКА должен вырабатываться с привязкой к оператору. Если документ порождается программной компонентой, то ЗКА должен вырабатываться с привязкой к данной программной компоненте.

2) Защита документа при его передаче.

Защита документа при его передаче по внешним (открытым) каналам связи должна выполняться на основе применения сертифицированных криптографических средств, в том числе с использованием электронно-цифровой подписи (ЭЦП) для каждого передаваемого документа. Возможен и другой вариант – с помощью ЭЦП подписывается пачка документов, а каждый отдельный документ заверяется другим аналогом собственноручной подписи (АСП) – например, ЗКА.

Защита документа при его обработке, хранении и исполнении.

На этих этапах защита документа осуществляется применением двух ЗКА - входного и выходного для каждого этапа. При этом ЗКА должны вырабатываться аппаратно с привязкой ЗКА к процедуре обработки (этапу информационной технологии). Для поступившего документа (с ЗКА и ЭЦП) вырабатывается новый защитный код аутентификации и только затем снимается ЭЦП.

4) Защита документа при доступе к нему из внешней среды.

Защита документа при доступе к нему из внешней среды включает два уже описанных механизма - идентификация/аутентификация удаленных пользователей и разграничение доступа к документам, ресурсам ПЭВМ и сети.

5) Защита данных в каналах связи

Традиционно для защиты данных в канале связи применяют канальные шифраторы, и альтернативы этому нет. Нужно помнить о двух вещах – о сертификации и о том, что по каналам передаются не только данные, но и управляющие сигналы.

Выполнение перечисленных требований обеспечивает достаточный уровень защищенности электронных документов как важнейшего вида сообщений, обрабатываемых в информационных системах. [4]

Список литературы

1. Панасенко С.П. Защита документооборота в современных компьютерных системах. // Информационные технологии. — 2001. № 4. —145 с.

2. Гухман В.Б., Тюрина Е.И. Основы защиты данных в Microsoft Office, Уч. пособие. 1-е изд. Тверь: ТГТУ, 2005. — 100 с.

3. Степанов Е.А. Информационная безопасность и защита информации: Учеб. пособие. - М.: Инфра-М, 2001 — 304 с.

4. Гадасин В.А., Конявский В.А. От документа — к электронному документу.Системные основы. Москва: «РФК Имидж Лаб», 2006 — 189 с.

5. Информационные технологии в электронной коммерции. Реферат. 2011г. [Электронный ресурс] Код доступа http:cjlreferat.com

6. Казакова М. Классификация и примеры современных методов защиты. Учебное пособие. – Ижевский государственный технический университет. 2010г.

6

Просмотров работы: 8223