Анализ основных принципов построения и особенностей защиты информации в системах электронного документооборота
,
В данной статье рассмотрены основные информационные и технологические составляющие систем электронного документооборота (СЭДО), родственных Евфрат-Документооборот, выявлены угрозы, которые необходимо учитывать при построении систем защиты информации от несанкционированного доступа в СЭДО, а также предложены модели защиты от этих угроз.
Введение
В настоящее время системы электронного документооборота (СЭДО) функционируют или готовятся к внедрению в очень большом количестве предприятий и учреждений, работающих в самых разных отраслях и сферах деятельности – промышленные предприятия, финансово-экономические структуры, органы государственного и муниципального управления и т. д.
Внедрение СЭДО позволяет значительно повысить эффективность деятельности учреждений. В то же время, широкое внедрение систем электронного документооборота порождает целый ряд проблем, связанных с защитой информации, хранящейся и обрабатываемой в таких системах. Первый комплекс задач, которые необходимо решить в этом направлении, состоит в собственно сохранности информационных ресурсов. Они должны быть надежно защищены от порчи, полного или частичного уничтожения в результате технических сбоев и чрезвычайных происшествий. При этом, такая защита должна быть обеспечена как техническими средствами, так и организационными мерами.
Второй набор проблем по защите информационных систем лежит в плоскости защиты от несанкционированного доступа к данным (НСД), а также защите применяемых технических средств от преднамеренного вывода из строя. Основные принципы защиты от НСД определены Законом РФ «Об информации, информатизации и защите информации», другими законами и подзаконными актами. При этом определен широкий круг сведений, носящих конфиденциальный характер, и подлежащих, вследствие этого, защите от преднамеренного искажения и неправомерного использования.
1 Типичная архитектура СЭДО
Системы электронного документооборота, созданные различными производителями, могут существенно отличаться по архитектуре, функциональности и технической реализации. Однако большинство из них обладают общими чертами [1 - 4]. Выделим характерные особенности систем, родственных Евфрат-Документооборот.
Основные информационные составляющие
1.1.1 Сервер
Обычно его роль выполняет программа, называемая сервером приложений. Она принимает запросы от клиентских приложений по каналам связи и организует их выполнение различными программными модулями, работающими на серверном компьютере. Получив результаты выполнения операций от этих модулей, сервер приложений отправляет результаты на клиентские компьютеры.
1.1.2 База данных
Хранилище всей информации, находящейся на сервере. Представляет собой как собственно хранилище в виде одного или нескольких файлов, так и программный модуль, обслуживающий это хранилище (СУБД). СУБД может быть реализована как в виде отдельного приложения, работающего на серверном компьютере, так и динамически подгружаемой библиотеки (dll), работающей в адресном пространстве одного из приложений.
1.1.3 Электронная почта
Использование какой-либо почтовой системы для пересылки документов, а также различных уведомлений необходимо в любой системе документооборота. Для этой цели может быть использована как обычная почтовая система (e-mail), так и собственная, специально разработанная для этой цели. В Евфрат-Документооборот используется собственная почтовая система, интегрированная с механизмами контроля исполнения.
1.1.4 Клиентские приложения
Программные модули, запускаемые на клиентских рабочих местах. Возможна разная реализация этих рабочих мест. Так, в качестве клиентского приложения может выступать Интернет-браузер, что предусматривает всю содержательную работу системы на серверном компьютере. Преимущество такого решения – почти полное отсутствие процедуры установки матобеспечения на клиентских местах. Недостаток – неоправданно большая нагрузка на сервер, что предполагает использование серверных компьютеров большой мощности, а также ограничения на функциональные возможности клиента. Использование клиентских приложений, обладающих некоторой разумной функциональностью, позволяет более сбалансировано распределить нагрузку на компьютеры и снять ограничения на задачи, решаемые на клиентских местах. Кроме того, в разных реализациях могут существенно различаться объем и характер данных, хранимых на клиентском и серверном компьютере. В большинстве случаев на сервере хранятся все документы и информация о них, а на клиенте – документы, находящиеся в процессе редактирования пользователем и его персональная информация (письма, уведомления по контролю исполнения и т. д.).
Основные технологические составляющие
1.1.5 Подсистема идентификации и аутентификации пользователей
Как правило, идентификация и аутентификация осуществляются путем набора системного имени и пароля (пара логин-пароль). Эти данные обычно хранятся на сервере в специальной базе данных пользователей, причем в большинстве случаев предъявляется требование хранить их или только пароль в защищенном виде. В качестве механизма защиты может быть использовано шифрование или хэширование. Реализация рассматриваемой подсистемы может быть различной в разных системах документооборота. В частности, она может быть выделена в отдельный модуль или включена в исполняемый код клиентских приложений. Существуют реализации документооборотных систем, в которых база данных пользователей связана со списком пользователей локальной сети, а система аутентификации использует средства, предоставляемые операционной системой. Такая организация работы возможна, если локальная сеть имеет доменную структуру, построенную на основе технологии Windows NT (Windows 2000, XP,…). Возможны реализации, не требующие ввода пары логин-пароль. Вместо этого используются аппаратные средства хранения этих данных и программные для получения их с носителя и дальнейшей обработки. В случае использования для аутентификации средств Windows есть возможность исключить отдельную соответствующую процедуру в рамках системы документооборота, считая факт входа в сеть достаточным подтверждением полномочий пользователя.
1.1.6 Подсистема автоматизации управления делопроизводственными процессами
Эта система также называется системой управления потоками работ или WorkFlow. Именно она реализует все функциональные возможности, относящиеся к контролю исполнения: создание поручений исполнителям, задание сроков исполнения для поручений и всего документа, создание подпоручений, назначение контролеров поручений и документов, отслеживание сроков работ над поручениями и документами, рассылку уведомлений о назначении контролерами и исполнителями, а также о приближении и истечении сроков работ. Система управления потоками работ тесно интегрирована с почтовой системой, используемой документооборотом. Это может быть своя собственная почтовая система или, как отмечалось выше, любая другая стандартная электронная почта.
1.1.7 Подсистема управления электронными документами
Эта система обеспечивает создание электронных документов, их перемещение между клиентом и сервером, перемещение между пользователями, поиск, просмотр, организацию процесса редактирования, а также удаления документов. Указанная функциональность может быть реализована в различных программных модулях, ее локализация в рамках одного модуля встречается достаточно редко. Для реализации перечисленных действий требуется совместная работа как клиента, так и сервера.
1.1.8 Подсистема регистрации событий в СЭДО
Протоколирование действий пользователей в системах электронного документооборота является общепринятой функцией. Это необходимо как для обеспечения информационной безопасности, так и для выяснения истории документов. Возможны различные варианты реализации настроек протоколов и их просмотра.
1.1.9 Подсистема разграничения доступа к объектам
Разграничение доступа к объектам системы электронного документооборота может быть реализовано, исходя из различных принципов:
- Задание пользователей и групп, имеющих право чтения, редактирования или удаления всего документа, включая присоединенные файлы и реквизиты. Мандатный доступ, разновидность доступа по группам, когда доступ к данным предоставляется в соответствии с фиксированными уровнями полномочий пользователей. Разграничение доступа к различным частям документов, например, к различным присоединенным файлам, группам реквизитов, полям регистрационных карточек, поручениям по документу.
Среди методов разграничения доступа можно выделить:
- Задание доступа на уровне серверной базы данных. Ограничение доступа на интерфейсном уровне, когда ряд действий не может быть выполнен через пользовательский интерфейс, но доступен в случае написания отдельной программы.
1.1.10 Подсистема формирования отчетов
Предназначена для формирования, показа и вывода на печать различных отчетов на основе информации, хранящейся в системе электронного документооборота. Наиболее традиционные из них – журналы регистрации документов по потокам и общий по всем зарегистрированным документам. Выводятся также отчеты по данным подсистемы WorkFlow, характеризующие исполнительскую дисциплину в подразделениях и на предприятии в целом, загруженность сотрудников, а также другие стороны работы с документами.
1.1.11 Подсистема дизайнирования отчетных форм и регистрационных карточек
Присутствует только в самых совершенных системах документооборота. Позволяет изменять формы регистрационных карточек, добавляя новые поля и перемещая уже имеющиеся. Также позволяет модифицировать формы отчетов, изменяя состав и расположение данных в отчете, заменять заголовки и пояснительные тексты.
1.1.12 Подсистема администрирования
Неотъемлемая часть любой документооборотной системы. Включает в себя как администрирование базы данных пользователей, так и работу с другими настройками. Состав настроек сильно отличается для различных систем. Например, в Евфрат-Документооборот настраиваются:
- Параметры уведомлений контролерам и исполнителям. Правила работы с разными потоками документов. Списки рассылки, группы доступа и другие системные группы. Календарь системы. Работа с Архивом документооборота. Словари и справочники.
1.1.13 Хранение документов
Как правило, документы, введенные (зарегистрированные) в СЭДО, хранятся на сервере в общем хранилище. Файлы, присоединенные к документу, могут храниться либо в файловой системе, либо в виде записей базы данных. В обоих случаях правила доступа к ним определяется общей политикой разграничения доступа к документам. Кроме того, на сервере в базе данных хранятся реквизиты документов и необходимая информация об их структуре, состав и способ хранения этих данных зависит от способа реализации СЭДО и используемой СУБД.
1.1.14 Архивация документов и работа с архивами
Архив Документооборота предназначен для хранения документов системы, выведенных из оперативного использования, использование его в качестве самостоятельной архивной системы нецелесообразно. В архив сдаются только те документы, по которым завершены все работы или они сняты с контроля. Документы заносятся в отдельную базу, а работа с ними идет из АРМ пользователя, запущенного в обычном режиме. Возможен удаленный доступ к архиву. Для системы требуется рабочее место Архивариуса, а также новая группа пользователей – Архивариусы. Архивариусы при своей работе должны иметь полный доступ ко всем документам, как в оперативной, так и в архивной базе.
2 Особенности построения системы защиты информации от НСД в СЭДО
Проведенный анализ основных принципов построения СЭДО с целью выявления особенностей построения системы защиты информации (СЗИ) от несанкционированного доступа (НСД) в СЭДО показал, что при построении СЗИ необходимо учитывать следующие угрозы (следует отметить, что в рамках данной статьи не рассматриваются СЭДО, предназначенные для работы с документами, содержащими государственную тайну; такие СЭДО требуют отдельного рассмотрения):
№ | Описание угрозы | Особенности и модели защиты | Примечание |
1. | Противоправные действия администратора системы. | · Один системный администратор не должен обладать всеми администраторскими полномочиями (различные администраторские полномочия должны быть делегированы различным системным администраторам). · Системным администраторам не предоставляется права чтения документов, не предназначенных для них. Системные администраторы могут только удалять такие документы. | Противоправные действия администратора системы могут являться одними из самых тяжелых и разрушительных по своим последствиям. В связи с этим необходимо уделять повышенное внимание мерам по защите от таких действий. |
2. | Неосторожные действия администратора системы. | Протоколирование действий администратора. Организационные меры. | |
3. | Запуск троянской программы на сервере и передача с ее помощью данных на компьютер злоумышленника. | · Закрытие сетевого доступа к ресурсам компьютера, что не позволит перенести троянскую программу на сервер. · Замкнутая программная среда операционной системы, не позволяющая устанавливать новые программные компоненты без подтверждения административных полномочий. · Административные меры против злоумышленников внутри организации. | Обычно предусматривается работа системы только в локальных закрытых сетях, так что компьютер злоумышленника может быть только в локальной сети. |
4. | Запуск троянской программы на компьютере-клиенте и передача с ее помощью данных на компьютер злоумышленника. | · Замкнутая программная среда операционной системы. · Административные меры против злоумышленников внутри организации. · Технические ограничения на сетевые операции, например, локальный межсетевой экран. | Обычно, предусматривается работа системы только в локальных закрытых сетях, так что компьютер злоумышленника может быть только в локальной сети. |
5. | Модификация исходного кода серверного или клиентского ПО разработчиками. | Сборка в организации Заказчика. | |
6. | Модификация исполняемого кода на сервере. | Замкнутая программная среда операционной системы. | |
7. | Модификация исполняемого кода на компьютере-клиенте. | Замкнутая программная среда операционной системы. | |
8. | Доступ к данным на сервере в обход Системы, непосредственно с интерфейса сервера. | Размещение сервера в отдельном охраняемом помещении. | |
9. | Доступ к данным на сервере в обход Системы по сети через сетевые диски. | Закрытие сетевого доступа к ресурсам компьютера. | |
10. | Доступ к данным на сервере в обход Системы по протоколу сервера Системы (имеется в виду подключение к серверу специальной программой, а не АРМ клиента). | · Система разграничения доступа на сервере (на уровне серверной БД). · Сетевая идентификация и аутентификация. | |
11. | Доступ к данным на сервере по сетевым протоколам используемого серверного ПО без подключения к серверу Системы. | · Разрешение сетевого доступа только по используемому порту. · Запрет на сетевые подключения средствами используемой СУБД. | |
12. | Перехват сетевого трафика и его анализ с целью НСД. | Шифрование трафика средствами операционной системы или дополнительными средствами. | |
13. | Доступ посторонних к клиентскому компьютеру и чтение данных из локального кэша в случае, когда компьютер не в Системе. | Административные меры: · запрет покидать рабочее место без блокирования рабочей станции (в терминологии NT), · закрепление компьютеров за пользователями. Технические меры: · чистка временных директорий при выходе из программы. | |
14. | Доступ посторонних к клиентскому компьютеру и работа с данными в случае, когда компьютер в Системе. | Административные меры: · запрет покидать рабочее место без блокирования рабочей станции (в терминологии NT). | |
15. | Перегрузка сервера с целью вызова отказа в обслуживании. | Данная угроза не рассматривается, поскольку не ведет к НСД. | |
16. | Перехват сетевого трафика и подмена пользователя, работающего на клиентском компьютере. | · Шифрование трафика ключами, создаваемыми только на время сеанса. · Подписывание каждого передаваемого пакета ЭЦП работающего пользователя. | |
17. | Перехват сетевого трафика и подмена сервера. | · Шифрование трафика ключами, создаваемыми только на время сеанса. · Подписывание каждого передаваемого пакета ЭЦП работающего пользователя. | |
18. | Вход в систему пользователя с правами, превосходящими его собственные. | · Идентификация и аутентификация средствами операционной системы, или с помощью дополнительных средств. · Сохранение в тайне системных имен и паролей. · Использование технических средств идентификации и аутентификации (аппаратные ключи). · Обязательное наличие у администраторов системы отдельных системных имен и паролей для административных действий и обычной работы. | |
19. | Работа с данными, не соответствующими уровню доступа пользователя. | Реализация мандатного контроля доступа на сервере. |
Кроме угроз, перечисленных в таблице, необходимо отметить проблемы, связанные с Web-доступом – открытость сетей и «тонкость» клиента, что значительно ограничивает возможности шифрования и аутентификации (в частности – неприменимость (или малая применимость) аппаратных средств аутентификации). Вследствие этого, работать с конфиденциальной информацией через Web рекомендуется только в случае крайней необходимости [5].
Литература
1. , Системы обработки документов. Основные компоненты // Управление информационными потоками. Сборник трудов ИСА РАН / Под ред. д. т.н., проф. и д. т.н., проф. М.: УРСС, 2002.
2. , , Распространение электронных документов в глобальных и локальных сетях с использованием клиент-серверной архитектуры // Управление информационными потоками. Сборник трудов ИСА РАН / Под ред. д. т.н., проф. и д. т.н., проф. М.: УРСС, 2002.
3. , Документооборот или управление знаниями? // Организационное управление и искусственный интеллект. Сборник трудов ИСА РАН / Под ред. член-корр. РАН, проф. и д. т.н., проф. М.: УРСС, 2003.
4. , Основные принципы организации архивного хранения документов, выведенных из оперативного электронного документооборота // Организационное управление и искусственный интеллект. Сборник трудов ИСА РАН / Под ред. член-корр. РАН, проф. и д. т.н., проф. М.: УРСС, 2003.
5. , Методика и средства работы с системами электронного документооборота через WEB-браузер // Организационное управление и искусственный интеллект. Сборник трудов ИСА РАН / Под ред. член-корр. РАН, проф. и д. т.н., проф. М.: УРСС, 2003.
