Главная Контактная информация Карта сайта

Тел./факс: +7 (499) 237-2271
Английская версия
 


Технические аспекты построения систем документооборота на инфраструктуре открытых ключей

 Муругов Сергей Михайлович, главный специалист РНЦ "Курчатовский институт"

Система "Инега" представляет из себя набор взаимосвязанных программных компонент развернутых или находящихся в стадии запуска на площадях РНЦ "Курчатовский институт" и предназначенных для обеспечения политики безопасности как в уже существующих, так и в создаваемых сетевых информационных системах.

"Инега" позволяет обеспечить защиту передаваемой по сети информации, строгую взаимную аутентификацию пользователей и серверов, гибкое разграничение доступа. Для реализации этих функций в системе "Инега" используются TLS протоколы и X.509 цифровые сертификаты, т.е. универсальные, ставшие стандартом де-факто, механизмы.

С помощью системы "Инега" легко обеспечиваются требования по информационной безопасности, предъявляемые различными прикладными системами, такими как платежные системы, интернет-магазины, многопрофильные корпоративные Веб сервера, содержащие информацию с разным уровнем конфиденциальности, В2В системы, системы защищенного документооборота, и многие другие.

Система "Инега" реализует защитные функции на транспортном и прикладном уровнях. На прикладном уровне защита обеспечивается с помощью прокси-серверов сетевых протоколов.

"Инега-УЦ"

    • Криптографические преобразования информации выполняются на сертифицированных ФАПСИ/ФСБ средствах криптографической защиты информации (СКЗИ) обрабатывающих информацию, не содержащую сведений, составляющих государственную тайну.
    • Сертификат ключа подписи содержит сведения, указанные в ФЗ"Об ЭЦП" и в случае необходимости, в состав сертификата ключа подписи могут быть добавлены иные сведения производственного характера, подтверждаемые соответствующими документами.
    • Циркуляция информации между компонентами Модуля Управления УЦ осуществляется заверенными запросами в формате CMC (RFC 2797).
    • Прикладные протоколы управления компонентами УЦ с АП Администраторов взаимодействия с пользователями туннелируются в криптографический протокол TLS (RFC 2246) с учетом отечественных криптографических алгоритмов.
    • Взаимодействие компонент с СУБД осуществляется средствами ODBC, что позволяет использовать базу в сетевом режиме и фактически любого производителя.

Служба Реестра.

Обеспечивает поддержку публикации (свободного доступа) и сопровождение актуального хранилища электронных сертификатов (ЭС) и списка отозванных сертификатов (СОС) созданных в рамках данного УЦ.

Центр(ы) регистрации.

Обеспечивает принятие, предварительную обработку внешних запросов на создание сертификатов, на изменение статуса уже действующих сертификатов.

Центр сертификации.

Выполняет обработку запросов с Центров Регистрации на создание ключей и сертификатов, управление статусом уже выпущенных ЭС, обеспечивает ведение базы заверенных "историй" по событиям в УЦ.

Центр арбитража.

Выполняет обработку запросов с АП на разбор конфликтных ситуаций. Обеспечивает ведение базы по "историям" разбора конфликтов.

Средство разграничения доступа и защиты информации (СЗИ).

Средство разграничения доступа и защиты информации (СЗИ) является программным модулем, реализующим функции ядра для системы защиты информации и обеспечивающего выполнение таких функций защиты как разграничение сетевого доступа к серверам на основе параметров персональных X.509 сертификатов, обеспечения безопасности серверов от различных видов атак.

СЗИ обеспечивает разграничение доступа к серверным ресурсам. В качестве параметров разграничения могут использоваться IP адреса источника соединения, значений полей персональных (Х.509) сертификатов, значение метки конфиденциальности. Для каждого такого набора (поля в наборе могут задаваться диапазоном значений) СЗИ позволяет описать правила переадресации соединения клиента (или отказа в переадресации) к описанному в правилах доступа сетевому ресурсу. СЗИ функционирует на уровне приложений и, по сути, является специализированным межсетевым экраном.

Основные отличительные черты технического решения – Удостоверяющий центр "Инега"

    • Платформа: Unix – для масштабируемых больших систем, рассчитанных на круглосуточный режим работы, поддерживается работа с несколькими Центрами Регистрации.
    • Поддерживает одновременную работу нескольких Уполномоченных лиц с произвольным уровнем подчиненности.
    • Собственная служба времени (протокол NTP) – синхронизация компонент УЦ и пользователей, возможна работа с внешним эталоном времени.
    • Поддержка кросс - связей позволяет строить помимо простых (иерархических или браузерных) еще и сетевые (с поддержкой "моста доверия") схемы распространения доверительных отношений.
    • Поддержка deltaCRL (обновлений к регулярным спискам) - что позволяет использовать УЦ в системах приближенных к системам реального времени.
    • Доступ к опубликованным спискам может быть осуществлен как напрямую через сетевой справочник (LDAP), так и через указание в расширениях сертификата (CRLDistributionPoint и FreshestCRL) для протокола http.
    • Форматы/кодировки представления сертификатов и ключей: DER, PEM, PKCS#7B, PKCS#11 Object, PKCS#12.
    • Решена "коллизия имен" (проблема "однофамильцев") – поRFC 3039 (3.1.2) в состав сертификата введен серийный номер (serialNumber) различимого имени владельца сертификата.
    • Хранимые "истории" заверенных событий в УЦ как по созданию сертификатов, так и по изменению их статуса – легко решаются задачи аудита.
    • Использование мандатной модели доступа (сертификаты администраторов содержат специальные мандатные метки, характеризующие роль и уровень привилегии) – построение иерархии принятия решения при управлении УЦ.
    • Криптографические преобразование выполняет криптопроцессор(ы) – PKCS#11 программный или аппаратный токен(ы), что позволяет абстрагироваться от поставщика криптосредств.

Защищенный электронный документооборот.

    • Интеграция КЦ "Акей" в промышленное решение "ДокМенеджер", компании "СофтИнтегро". Взаимодействие осуществляется через COM интерфейс к зарегистрированным в ОС Windows объектам КЦ "Акей".
    • Решение позволяет использовать современные технологии инфраструктуры открытых ключей для обеспечения дополнительной безопасности и подтверждения достоверности обрабатываемой в системе информации, как содержащейся в теле документа, так и сопутствующей документу, например:
      • текст задания, назначаемого по документу (резолюции руководителя);
      • отчет об исполнении задания, пересылаемый исполнителем контролеру;
      • замечания, внесенные в процессе согласования/визирования организационно-распорядительных документов и пр.

В последующем подпись пользователя доступна для просмотра и проверки любым другим участником документооборота.



Члены
Гильдии Управляющих Документацией

     

Дистанционное обучение по образовательным программам
курсов повышения квалификации
  Лицензия № 039458   Государственная аккредитация № 0210

Наши слушатели

Курсы повышения квалификации руководителей, специалистов в сфере ДОУ и электронного документооборота, секретарей-референтов 
на 2019год.
Современные технологии в работе службы ДОУ
Современные технологии в работе секретаря-референта, помощника руководителя18-23 ноября 2019
16-21 декабря 2019
Современные технологии в работе с электронными документами


Полный перечень законодательных актов на CD
Законодательные, иные нормативные правовые акты, методические документы в сфере информации и документации до 2019 года.
Заказать