Защита документооборота в вычислительных системах
Документы являются информационной основой деятельности организации, поскольку именно в них сосредоточено более 80% её информационных ресурсов. Кроме того документооборот является, по существу, упорядоченным обменом этой информацией между работниками и подразделениями. Таким образом, повышение эффективности работы с документами в организации непосредственно сказывается на эффективности выполнения… Читать ещё >
Защита документооборота в вычислительных системах (реферат, курсовая, диплом, контрольная)
Документы являются информационной основой деятельности организации, поскольку именно в них сосредоточено более 80% её информационных ресурсов. Кроме того документооборот является, по существу, упорядоченным обменом этой информацией между работниками и подразделениями. Таким образом, повышение эффективности работы с документами в организации непосредственно сказывается на эффективности выполнения организацией своих функций, будь то улучшение обслуживания граждан государственным либо муниципальным учреждением или повышение конкурентоспособности коммерческого предприятия.
Делопроизводство как система правил и технологий работы с документами охватывает процессы подготовки документов (документирование) и организацию работы с документами (хранение, использование, движение) вплоть до их уничтожения или передачи на архивное хранение.
Важнейшим технологическим процессом работы с документами в организации является документооборот — движение документов с момента их создания или получения и до завершения исполнения, отправки или сдачи в дело. Под документооборотом понимаются следующие процессы: регистрация документов, организация и контроль их рассмотрения и исполнения.
Защита документооборота — один из важнейших вопросов для предприятий с территориально распределенной структурой.
При электронном документообороте возникают различные угрозы со стороны пользователей, которые можно разделить на две основные категории:
- — угрозы конфиденциальности информации;
- — угрозы целостности информации.
Конфиденциальность информации можно обеспечить с помощью шифрования, а сохранить целостность информации поможет использование электронной цифровой подписи (ЭЦП). ЭЦП позволит также установить авторство посланного документа. Для наиболее надежного подхода к защите следует использовать в комплексе шифрование и ЭЦП, что также можно совместить с каким-либо дополнительным сервисом, например, сжатием информации (архивацией).
В качестве примера таких систем можно привести специализированный архиватор электронных документов Crypton ArcMail, предлагаемый фирмой «Анкад». Алгоритм создания специализированного архива (архива для передачи по сети) приведен на рис. 1.1.
Рис. 1.1. Алгоритм создания специализированного архива Организованный таким образом файл-архив можно передавать по сети без каких-либо опасений. При создании архива исходные файлы подписываются на секретном ключе (СК) ЭЦП абонента сети, после чего файлы сжимаются и получаемый в результате сжатия архив шифруется на случайном временном ключе. Абоненты, которым предназначается архив, могут расшифровать его с помощью записанного в архив зашифрованного временного ключа. Временный ключ зашифровывается на парно-связном ключе, вычисляемом по алгоритму Диффи-Хеллмана из СК отправителя и открытого ключа (ОК) ЭЦП абонента-адресата.
Предположим, что существует некий сертификационный центр (СЦ), в котором на специальном ключе (ключе-сертификате) подписывается ОК абонента сети перед передачей его другим абонентам. Открытый ключ-сертификат должен храниться у всех абонентов сети для проверки целостности всех используемых в сети ОК. При таком варианте рекомендуется при проверке ЭЦП какого-либо документа автоматически проверять подпись соответствующего ОК (что обычно и делается автоматически программными средствами).
Таким образом, сами открытые ключи могут храниться в открытом виде, а персональная дискета, помимо СК владельца, должна содержать еще и ключ-сертификат.
СЦ можно совместить с центром распределения ключей. Это будет выделенное рабочее место, используемое как для генерации ключей абонентов, так и для их сертификации и рассылки абонентам. Даже в случае генерации ключей непосредственно абонентами на местах СЦ можно использовать для рассылки абонентам заверенных открытых ключей, как показано на рис. 1.2.
Данная схема особенно рекомендуется при организации электронного документооборота между несколькими юридическими лицами.
Рис. 1.2. Обмен ключами через СЦ Порядок распределения ключей состоит в следующем:
- — абонент создает персональную дискету с собственными ключами; СК закрывается паролем;
- — для собственного ОК формируется подпись на собственном СК; ОК записывается на дискету для передачи;
- — создается юридический документ на бумаге (например, письмо), в котором указываются: данные о владельце (Ф. И. О., должность, место работы), сам ОК (распечатка в шестнадцатеричном коде), полномочия владельца (перечень документов, которые уполномочен удостоверять владелец ОК). Данный документ должен быть оформлен таким образом, чтобы иметь юридическую силу в случае возникновения спорных вопросов о принадлежности подписи и полномочиях владельца. Если в письме не установлено полномочий, то они определяются по должности и месту работы;
- — данный документ вместе с ОК пересылается в СЦ;
- — СЦ проверяет юридическую силу полученного документа, а также идентичность ОК на дискете и в документе.
В ответ абонент получает:
- — сертифицированные открытые ключи всех абонентов (в т.ч., и свой);
- — сертифицированные файлы с полномочиями владельцев открытых ключей;
- — ключ-сертификат как в виде файла, так и в виде юридического документа;
- — владелец проверяет истинность ключа-сертификата, а также подписи всех полученных им открытых ключей и файлов. При успешной проверке ОК записываются в соответствующий каталог, а ключ-сертификат — на персональную дискету.
При большом числе абонентов сети рекомендуется использовать базы данных ОК. В этом случае вместо отдельных ОК СЦ пересылает абоненту одинаковый для всех абонентов файл базы данных, содержащий все используемые ОК.
Согласно сказанному выше, персональная дискета должна содержать следующее:
- — секретный ключ владельца;
- — открытые ключи-сертификаты по числу СЦ.
В качестве ключа СЦ может быть использован собственный СК абонента; в этом случае при получении ОК другого абонента его необходимо подписать. При этом на персональную дискету следует записать свой ОК для проверки целостности ОК других абонентов.
Удачным решением ряда проблем, связанных с выбором шифратора, является использование криптосервера. Криптосервер представляет собой отдельный компьютер в ЛВС, оснащенный аппаратным шифратором и используемый для шифрования информации для абонентов сети по их запросам. Зашифрованная информация может впоследствии использоваться абонентом по его усмотрению, в том числе для передачи по глобальную вычислительную систему (ГВС). Информация абонента может быть также автоматически подписана криптосервером.
Порядок работы криптосервера может быть, например, таким:
- — абонент направляет на криптосервер открытые данные;
- — происходит взаимная аутентификация абонента и криптосервера. Для идентификации абонента используется его персональная смарт-карта, содержащая используемые для аутентификации СК абонента и ОК криптосервера;
- — после успешной аутентификации криптосервер зашифровывает данные на персональном ключе абонента (выбираемом из хранящейся на сервере таблицы ключей абонентов) и подписывает их;
- — абонент получает зашифрованные и подписанные данные.