Оформите запрос на демонстрацию системы

Мы свяжемся с вами в течение одного рабочего дня, чтобы определить ваши потребности и удобный формат демонстрации системы DIRECTUM:

Заказать демонстрацию

По вопросам выбора и приобретения:
present@directum.ru
+7 (341) 272-11-00

Вверх
@DIRECTUMCompany:   Пожалуйста, подождите, загружаем данные из twitter...
Читайте также практические материалы об автоматизации задач и процессов:

Инфраструктура открытых ключей как основа комплексной безопасности ЭДО

1. Электронный документооборот (ЭДО) обеспечивает взаимодействие субъектов - авторов электронных документов (ЭД) и пользователей посредством ЭД. С точки зрения безопасности базисными свойствами ЭДО являются аутентификация субъектов в системе ЭДО, авторизация и контроль целостности ЭД, конфиденциальность (опционально) ЭД. 

2. В качестве механизма, обеспечивающего защитные функции ЭДО, используется криптография, базирующаяся на Инфраструктуре открытых ключей (PKI). В состав криптографической подсистемы ЭДО входят базовые криптографические алгоритмы, ключевая система, криптографические протоколы аутентификации, авторизации и контроля целостности, строящиеся на базе сертификатов открытых ключей. Элементы ключевой системы PKI: закрытый ключ пользователя, открытый ключ пользователя, сертификат открытого ключа пользователя, закрытый ключ УЦ, открытый ключ УЦ, сертификат открытого ключа УЦ. Основные требования к ключам: конфиденциальность закрытых ключей и защищенность секретных ключей от подмены, авторизация открытого ключа и аутентификация пользователя и открытого ключа, защита ключей от компрометации, ограничение на сроки действия закрытых и открытых ключей. Криптографические протоколы УЦ должны обеспечивать регистрацию пользователей PKI, генерацию сертификатов открытых ключей пользователей, ведение базы сертификатов открытых ключей пользователей, ведение базы данных отозванных сертификатов открытых ключей, аутентификацию и установление защищённого канала между пользователем и УЦ.

3. Комплексная безопасность ЭДО обусловлена защитой от негативного воздействия (компрометация, подмена, изменение атрибутов и др.) на элементы PKI, перечисленные в п. 2. Специфика решения вопросов безопасности информации в ЭДО обусловлена необходимостью реализации средств защиты в универсальной аппаратно-программной среде функционирования информационной системы, вследствие чего средства защиты становятся элементами системы, обеспечивающей собственно информационные услуги. 

4. Широко используемой в настоящее время для реализации PKI является аппаратно-программная платформа Intel - Microsoft. Технология, поддерживаемая фирмой Microsoft, позволяет, с одной стороны, универсализировать процедуру обращения из прикладной среды к криптографическим преобразованиям, с другой - защитить криптографические алгоритмы и криптографические ключи средствами операционной среды. 

В этом направлении разработан криптопровайдер КриптоПро CSP, реализованный в соответствии с криптографическим интерфейсом фирмы Microsoft - Cryptographic Service Provider (CSP) - и использующий российские криптографические алгоритмы. 

Криптопровайдер КриптоПро CSP сертифицирован ФАПСИ, обеспечивает защитные функции:

Криптопровайдер КриптоПро CSP позволяет использовать стандартные криптогра-фические средства для реализации и использования решений, основанных на PKI, в частности:

Использование криптопровайдера КриптоПро CSP позволяет решать вопросы обеспечения безопасности функционирования PKI как на уровне УЦ, так и на пользовательском уровне. 

Важным элементом PKI является стандартизация криптографических параметров и форматов их представления в сертификате открытого ключа. 

5. Существенным моментом в обеспечении безопасности в ЭДО является базирование PKI на протоколах обмена и защиты информации (TLS, HTTP, XML). Протокол TLS позволяет обеспечить криптографическими средствами аутентификацию отправителя (клиента) - адресата (сервера), контроль целостности и шифрование данных информационного обмена. Все компоненты системы PKI (интерактивные пользователи, программы без внешнего интерфейса), должны общаться между собой через глобальную сеть. Протоколы HTTP/HTTPS позволяют обеспечивать защиту передаваемого трафика межсетевыми экранами. При передаче запросов на сертификат и возвращении подписанных сертификатов и списков отзыва по протоколам HTTP/HTTPS должно использоваться расширяемое представление передаваемых через http-запросы GET или POST документов. Для этого могут быть использованы запросы и ответы в формате XML.

6. Наибольшая нагрузка по обеспечению безопасности в системе сертификации открытых ключей ложится на: Удостоверяющий Центр (УЦ) как программный комплекс по обеспечению PKI. УЦ имеет вполне сложившуюся архитектуру с основными функциональными компонентами - Служба сертификации (Certification Services, CS), Центр регистрации (ЦР), АРМ администратора УЦ. CS обеспечивает выпуск сертификатов и списков отозванных сертификатов, владеет закрытым ключом УЦ, работает, как правило, в автономном режиме. ЦР (веб приложение) обеспечивает формирование ключей ЦР и пользователей, доставку сертификатов ЦР и УЦ пользователям, централизованную регистрацию пользователей в ЦР и по сети, централизованное формирование ключей и запросов на сертификаты пользователей с учетом данных регистрации, сетевой доступ пользователей к базам сертификатов и спискам отозванных сертификатов, подпись и передачу запросов на сертификаты пользователей в УЦ и другие функции по функционированию PKI. Для выполнения требований по п.2 в УЦ должен быть реализован комплекс программных, программно-технических и организационных мер обеспечения безопасности. ООО "КриптоПро" разработал и эксплуатирует удостоверяющий центр "КриптоПро УЦ" на договорной основе с организациями-пользователями (сайт http://ca.cryptopro.ru). В удостоверяющем центре используется криптопровайдер "КриптоПро CSP", сертифицированный по классу защиты КС2 классификации ФАПСИ. Функционирование центра базируется на ОС MS Windows и стандартных средствах фирмы Microsoft MS CertificationAuthority, CryptoAPI 2.0, CAPICOM 1.0, Certificate Enrollment Control (xenroll), Microsoft Outlock, Microsoft Outlock Express, Microsoft Autenticode®.

7. Обеспечение безопасности УЦ связано с решением следующих проблем:

В каждом конкретном случае необходимы выбор и реализация достаточного профиля защиты. Критической является проблема хранения закрытых ключей в условиях работы в не доверенной системной среде. Пути ее решения - локализация криптографических преобразований в обособленном доверенном модуле с контролируемым взаимодействием его с CS, ролевое администрирование УЦ с разделением информации о ключах по нескольким его субъектам, разграничение доступа к компонентам системы обслуживающего персонала, исключение алгоритмическими и техническими мерами информативности о ключах по сигналам линейной передачи и ПЭМИН, организационно-технические и режимные меры по защите программно-аппаратных средств и помещений размещения УЦ. 

8. Вопросы обеспечения безопасности системы PKI решаются на основе законодательной и нормативной базы в области защиты информации. К законодательной базе в первую очередь относятся:

К нормативной базе относятся:

Попов Владимир Олегович, руководитель сертифицирующего центра компании Крипто Про, к.ф.м.н.;

Опубликовано: Всероссийская конференция "Автоматизация делопроизводства и электронный документооборот в органах власти"

Перейти к полному списку аналитики

Кнопка
связи