Читайте также:
|
|
Нижегородский государственный университет им. Н.И. Лобачевского
Национальный исследовательский университет
А.В. Балыбердин
С.В. Корелов
А.А. Рябов
ОРГАНИЗАЦИЯ ЮРИДИЧЕСКИ ЗНАЧИМОГО
ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА
С ИСПОЛЬЗОВАНИЕМ ЭЛЕКТРОННОЙ
ПОДПИСИ
Учебно-методическое пособие
Рекомендовано методической комиссией радиофизического факультета
для студентов ННГУ, обучающихся по специальностям 090106, 090302
«Информационная безопасность телекоммуникационных систем», 090201
«Противодействие техническим разведкам», направлению подготовки
010300 «Фундаментальная информатика и информационные технологии» и
слушателей курсов послевузовского краткосрочного повышения
квалификации по программе «Обеспечение безопасности информационных
технологий криптографическими методами»
Нижний Новгород
УДК 003.26, 004.056.55, 004.042
ББК 32.973.26-018.2
Б20
Б20 Балыбердин А.В., Корелов С.В., Рябов А.А. ОРГАНИЗАЦИЯ
ЮРИДИЧЕСКИ ЗНАЧИМОГО ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА
С ИСПОЛЬЗОВАНИЕМ ЭЛЕКТРОННОЙ ПОДПИСИ: Учебно-методическое
пособие. – Нижний Новгород: Нижегородский госуниверситет, 2013. – 53 с.
Рецензент: начальник 1 отдела Нижегородского государственного
университета им. Н.И. Лобачевского, к.т.н., доцент Казачков А.П.
Учебно-методическое пособие разработано в рамках программы
развития государственного образовательного учреждения высшего
профессионального образования «Нижегородский государственный
университет им. Н.И. Лобачевского» на 2009 – 2018 годы, учебно-научного
инновационного комплекса «Физические основы информационно-
телекоммуникационных систем».
В пособии представлены основные сведения и понятия в области
криптографической защиты информации. Рассмотрены вопросы применения
технологий электронной подписи для организации юридически значимого
электронного документооборота. Материал пособия позволяет ознакомиться
с сертифицированными ФСБ России средствами криптографической защиты
информации, использующими механизм электронной подписи для
организации юридически значимого электронного документооборота.
Пособие предназначено для студентов, обучающихся по
специальностям 090106, 090302 «Информационная безопасность
телекоммуникационных систем», 090201 «Противодействие техническим
разведкам», направлению подготовки 010300 «Фундаментальная
информатика и информационные технологии» и слушателей курсов
послевузовского краткосрочного повышения квалификации по программе
«Обеспечение безопасности информационных технологий
криптографическими методами».
Ответственный за выпуск:
заместитель председателя методической комиссии
радиофизического факультета ННГУ,
д.ф.-м.н., проф. каф. общей физики Грибова Е.З.
УДК 003.26, 004.056.55, 004.042
ББК 32.973.26-018.2
© Нижегородский государственный
Университет им. Н.И. Лобачевского, 2013
СОДЕРЖАНИЕ
СПИСОК СОКРАЩЕНИЙ 5
ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ 6
ВВЕДЕНИЕ 11
1. ЭЛЕКТРОННЫЙ ДОКУМЕНТООБОРОТ 13
1.1. Документ. Документооборот 13
1.2. Системы электронного документооборота 13
1.3. Корпоративные информационные системы 15
1.3.1. Автоматизированная система контроля исполнения
документов 16
1.3.2. Электронный архив 16
1.3.3. Система организации групповой работы 16
1.3.4. Система автоматизации деловых процессов 16
1.3.5. Система управления документами 17
2. ИНФРАСТРУКТУРА ОТКРЫТЫХ КЛЮЧЕЙ 19
2.1. Криптографические механизмы безопасности 19
2.1.1. Симметричные криптосистемы 20
2.1.2. Асимметричные криптосистемы 21
2.1.3. Алгоритмы хэширования 23
2.2. Компоненты и сервисы инфраструктуры открытых ключей 23
2.3. Архитектура инфраструктуры открытых ключей 24
2.4. Подтверждение ЭП 26
2.5. Доверенные корневые УЦ 27
2.6. Отзыв сертификатов открытых ключей 27
2.7. Правовые аспекты использования ЭП. Обеспечение
юридической значимости ЭД с ЭП 28
3. ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ ЭП 33
3.1. Основные сервисные функции СКЗИ «КриптоПро CSP» 33
3.2. Ключевой контейнер 34
3.3. Использование ключей и сертификатов на компьютере 35
3.4. Менеджмент сертификатов на локальном компьютере 36
4. ЛАБОРАТОРНЫЙ ПРАКТИКУМ 37
4.1. Описание лабораторного стенда 37
4.1.1. Назначение виртуальных машин и устанавливаемое на них ПО 38
4.1.2. Краткое описание компонентов УЦ 38
4.1.2.1. Центр сертификации «КриптоПро УЦ» 39
4.1.2.2. Центр регистрации «КриптоПро УЦ» 40
4.1.2.3. АРМ администратора 41
4.1.2.4. АРМ пользователя 41
4.1.2.5. Процесс взаимодействия пользователей с УЦ 42
4.2. Порядок выполнения работы 43
4.2.1. Архитектура лабораторного стенда 43
4.2.2. Настройка Центра сертификации на машине № 1 44
4.2.2.1. Установка и настройка СКЗИ КриптоПро CSP 44
4.2.2.2. Установка необходимых компонентов операционной системы 44
4.2.2.3. Издание и установка сертификата серверной
аутентификации WEB-сервера ЦС 45
4.2.2.4. Установка Центра Сертификации КриптоПро 45
4.2.3. Создание и настройка Центра регистрации на машине № 2 45
4.2.3.1. Издание и установка сертификата серверной
аутентификации WEB-сервера ЦР 46
4.2.3.2. Выпуск и установка клиентского сертификата ЦР 46
4.2.3.3. Настройка соединения Центра Регистрации с Центром
Сертификации 47
4.2.4. Создание АРМ администратора на машине № 3 47
4.2.5. Тестирование решения на машине № 4 48
4.3. Контрольные вопросы 50
БИБЛИОГРАФИЧЕСКИЙ СПИСОК 51
СПИСОК СОКРАЩЕНИЙ
АРМ – автоматизированное рабочее место
АСКИД – автоматизированная система контроля исполнения документов
БД – база данных
ДОУ – документационное обеспечение управления
ЖЦ – жизненный цикл
ОС – операционная система
ПО – программное обеспечение
РКК – регистрационно-контрольная карточка
РЦ – регистрационный центр
САДП – система автоматизации деловых процессов
СКЗИ – средство криптографической защиты информации
СОГР – система организации групповой работы
СОС – список отозванных сертификатов
СУБД – система управления базами данных
СУД – система управления документами
СЭД – система электронного документооборота
УЦ – удостоверяющий центр
ЦР – центр регистрации
ЦС – центр сертификации
ЭД – электронный документ
ЭП – электронная подпись
AES – Advanced Encryption Standard
CRL – Certificate Revocation List
CSP – Cryptographic Service Provider
DES – Data Encryption Standard
DMS – Document Management System
DSA – Digital Signature Algorithm
DSS – Digital Signature Standard
DH – Diffie-Hellman
ECC – Elliptic Curve Cryptography
EDI – Electronic Data Interchange
EDMS – Electronic (Enterprise) Document Management System
EFTS – The Electronic Funds Transfer Systems
IDEA – International Data Encryption Algorithm
IIS – Internet Information Services
PKI – Public Key Infrastructure
RC4 – Rivest Cipher 4
RC5 – Rivest Cipher 5
RSA – Rivest, Shamir, Aldeman
SWIFT – Society for Worldwide Interbank Fimamcial Telecommunications
WMS – Workflow Management System
ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
Архив – организация или ее структурное подразделение, осуществляющее прием и хранение документов с целью использования ретроспективной информации.
Владелец сертификата ключа подписи – лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной подписи, позволяющим с помощью средств электронной подписи создавать свою электронную подпись в электронных документах (подписывать электронные документы).
Делопроизводство – комплекс мероприятий по документационному обеспечению управления (ДОУ) организации, систематизации архивного хранения документов, обеспечению движения, поиска, хранения и использования документов.
Документированная информация (документ) – зафиксированная на материальном носителе информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель.
Документооборот – движение документов с момента их создания или получения до завершения исполнения, отправки адресату или передачи в архив.
Закрытый ключ электронной подписи – уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной подписи с использованием средств электронной подписи.
Защита информации – деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Имитовставка – отрезок информации фиксированной длины, полученный по определенному правилу из открытых данных и ключа и добавленный к зашифрованным данным для обеспечения имитозащиты.
Имитозащита – защита системы шифрованной связи от навязывания ложных данных.
Информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
Информация – сведения (сообщения, данные) о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.
Исходная ключевая информация – совокупность данных, предназначенных для выработки по определенным правилам криптоключей.
Ключ (криптографический) – конкретное состояние некоторых параметров алгоритма криптографического преобразования данных, обеспечивающее выбор одного преобразования из совокупности всевозможных для данного алгоритма.
Ключевая информация – специальным образом организованная совокупность криптоключей, предназначенная для осуществления криптографической защиты информации в течение определенного срока.
Ключевой документ – физический носитель, содержащий ключевую информацию.
Ключевой носитель – физический носитель, предназначенный для размещения на нем ключевой информации дискета, компакт-диск, Data Key, Smart Card, Touch Memory и т.п.).
Компрометация ключа – утрата доверия к тому, что используемые ключи обеспечивают безопасность информации.
Конфиденциальная информация – подлежащая в соответствии с законодательством Российской Федерации обязательной защите информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну.
Криптографическая защита – защита данных при помощи криптографического преобразования.
Криптографическое преобразование – преобразование данных при помощи шифрования и (или) выработки имитовставки.
Криптография – наука о способах преобразования (шифрования) информации с целью ее защиты от незаконных пользователей.
Орган криптографической защиты – организация, структурное подразделение или физическое лицо организации-лицензиата ФСБ России (обладателя конфиденциальной информации). Создается для разработки и осуществления мероприятий по организации и обеспечению безопасности хранения, обработки и передачи с использованием СКЗИ конфиденциальной информации.
Открытый ключ – криптографический ключ, который связан с секретным с помощью математического соотношения. Открытый ключ известен всем другим пользователям системы и предназначен для проверки электронной подписи и за-шифрования, позволяет определить автора подписи и достоверность электронного документа, но не позволяет вычислить секретный ключ. Открытый ключ считается принадлежащим абоненту, если он был зарегистрирован (сертифицирован) установленным порядком.
Открытый ключ электронной подписи – уникальная последовательность символов, соответствующая закрытому ключу электронной подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной подписи подлинности электронной подписи в электронном документе.
Плановая смена ключей – смена ключей с установленной в системе периодичностью, не вызванная компрометацией ключей.
Подтверждение подлинности электронной подписи в электронном документе – положительный результат проверки соответствующим сертифицированным средством электронной подписи с использованием сертификата ключа подписи принадлежности электронной подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной подписью электронном документе.
Пользователь сертификата ключа подписи – физическое лицо, использующее полученные в удостоверяющем центре сведения о сертификате ключа подписи для проверки принадлежности электронной подписи владельцу сертификата ключа подписи.
Расшифрование данных – процесс преобразования зашифрованных данных в открытые при помощи шифра.
Секретный ключ – криптографический ключ, который хранится пользователем системы в тайне. Он используется для формирования электронной подписи и за-шифрования (расшифрования – для ассиметричных криптосистем).
Сертификат ключа подписи – документ на бумажном носителе или электронный документ с электронной подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной подписи и идентификации владельца сертификата ключа подписи.
Сертификат средств электронной подписи – документ на бумажном носителе, выданный в соответствии с правилами системы сертификации для подтверждения соответствия средств электронной подписи установленным требованиям.
Средства имитозащиты – аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты от навязывания ложной информации.
Средства криптографической защиты информации (СКЗИ) – аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении.
Средства электронной подписи – аппаратные, программные и аппаратно-программные средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из следующих функций: создание электронной подписи с использованием закрытого ключа электронной подписи, подтверждение с использованием открытого ключа электронной подписи подлинности электронной подписи, создание закрытых и открытых ключей электронной подписи.
Управление ключами – создание (генерация) ключей, их хранения, распространение, удаление (уничтожение), учет и применение в соответствии с политикой без-опасности.
Функция хэширования – заключается в сопоставлении произвольного набора данных в виде последовательности двоичных символов и его образа фиксированной небольшой длины.
Центр управления ключевой системой (ЦУКС) – организационно-штатная структура, обеспечивающая выполнение следующих функций:
- регистрация новых абонентов сети;
- подача заявок на требуемое количество ключей для их плановой смены в сети;
- получение комплекта ключей;
- организация и хранение ключей (в том числе и резервных);
- ведение журнала учета полученных, хранящихся в ЦУКС и выданных абонентам ключей;
- выдача абонентам ключей;
- регистрация открытых ключей ЭП абонентов;
- выдача абонентам файлов открытых ключей ЭП из справочника участников системы;
- организация схемы оперативного оповещения абонентов обо всех изменениях, происходящих в сети (компрометация ключей, восстановление конфиденциальной связи после компрометации ключей, включение новых абонентов, плановая смена ключей и т.п.)
- управление ключевой системой;
- разбор конфликтных ситуаций и доказательство авторства электронного документа, снабженного ЭП.
Шифр – совокупность обратимых преобразований множества открытых данных на множество возможных зашифрованных данных, осуществляемых по определенным правилам с применением ключей.
Шифрование – процесс зашифрования или расшифрования – взаимно-однозначное математическое (криптографическое) преобразование, зависящее от ключа (секретный параметр преобразования), которое ставит в соответствие блоку открытой информации, представленной в некоторой кодировке, блок шифрованной информации, также представленной в кодировке. Если за- и расшифрование осуществляются с использованием одного и того же ключа, то такой алгоритм крипто-графического преобразования называется симметричным, в противном случае – ассиметричным.
Электронная подпись – реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.
Электронный архив – предназначен для систематизации архивного хранения электронных документов в рамках ДОУ.
Электронный документ – документ, в котором информация представлена в электронно-цифровой форме.
ВВЕДЕНИЕ
В настоящее время бурно развиваются системы электронного документооборота. Постоянно увеличивается объем документов, обрабатываемых в электронном виде. Все большее развитие получают сферы электронных услуг и электронной коммерции. Необходимость оперативного и дешевого способа обмена информацией побуждают организации различных сфер деятельности использовать сеть общего доступа Интернет.
Все это резко актуализировало проблему обеспечения информационной безопасности как в корпоративных сетях, так и в сетях общего пользования. Решение этой проблемы достигается одновременным выполнением трех условий: доступности, целостности и конфиденциальности информационных ресурсов, – или, иными словами, обеспечением безопасности электронного документооборота.
В системах бумажного и электронного документооборота для обеспечения их безопасности актуальным является решение следующих задач:
- защита документов от модификации и подделки;
- определение автора документа, а также подлинности документа;
- обеспечение юридической силы документов;
- защита документов от несанкционированного доступа.
В основе традиционных систем бумажного документооборота лежит принцип заверки документов подписью и печатью ответственного лица. Достоверность такого документа определяется визуально при его предъявлении. Степень защиты бумажных документов от различного рода угроз (подделка, дублирование и пр.) достаточна мала.
В системах электронного документооборота аналогом собственноручной подписи служит механизм электронной подписи (ЭП). ЭП представляет собой небольшой объем информации, который добавляется к электронному документу. При получении или предъявлении документа, подписанного ЭП, можно легко установить его авторство и подлинность. Кроме того, ЭП защищает документ от модификации и подделки, так как содержит в себе сжатый и зашифрованный образ электронного документа – «дайджест» документа. Технологии электронной подписи базируются на криптографических алгоритмах с открытыми ключами.
Однако для решения задач обеспечения безопасности электронного документооборота в полном объеме одной только ЭП недостаточно. Действительно защищенный обмен информацией и ее надежную идентификацию способна обеспечить базирующаяся на асимметричной криптографии технология инфраструктуры открытых ключей – Public Key Infrastructure (PKI). Использование технологии PKI позволяет компаниям предоставлять дифференцированные и безопасные электронные услуги, выполнять важные транзакции в интерактивном режиме, обеспечивать конфиденциальность связи и передаваемой через Интернет информации. PKI является комплексом аппаратных и программных средств, политик и процедур.
Инфраструктура открытых ключей необходима компаниям для безопасного обмена электронными документами и ведения бизнеса, требующего гарантированной защиты электронных транзакций и доступа к данным через Интернет. Поставщики электронных услуг должны удостовериться в подлинности стороны, участвующей в электронном обмене информацией, обеспечить целостность и конфиденциальность отправляемой по электронным каналам информации, а также подтвердить успешное выполнение транзакции. Пользователям необходимо иметь возможность однозначно идентифицировать физическое лицо, подписавшее (отправившее) электронный документ. PKI предоставляет инфраструктуру безопасности, позволяющую реализовывать эти критически важные функции и обеспечить участникам электронного документооборота такой уровень защищенности, который необходим незнакомым друг с другом сторонам для обмена электронными документами и безопасного выполнения транзакций.
Одной из самых распространенных информационных технологий, реализованных на базе PKI, является электронная подпись.
Для создания лабораторного стенда использовано решение мирового уровня одного из ведущих производителей в области средств защиты информации ООО «Крипто-Про».
Материал пособия позволяет ознакомиться с сертифицированными ФСБ России средствами криптографической защиты информации, использующими механизм электронной подписи для организации юридически значимого электронного документооборота.
Методическое пособие разработано в рамках национального проекта «Образование» и мероприятия 1.2. «Совершенствование образовательных технологий, укрепление материально-технической базы учебного процесса» учебно-научного и инновационного комплекса «Физические основы информационно-телекоммуникационных систем».
ЭЛЕКТРОННЫЙ ДОКУМЕНТООБОРОТ
Документ. Документооборот
В процессе своего жизненного цикла (ЖЦ) документ проходит определенные стадии:
- создание;
- визирование, согласование;
- подписание, утверждение;
- регистрация;
- рассмотрение;
- исполнение;
- списание в дело;
- хранение, уничтожение.
Движение документов осуществляется в виде потоков циркулирующих между пунктами обработки информации и пунктами технической обработки документов. По отношению к аппарату управления потоками различают потоки входящих (поступающих), исходящих (отправляемых) и внутренних документов.
На этапе создания документ не имеет юридической силы и является проектом документа. Документ приобретает юридическую силу после оформления и удостоверения в установленном порядке.
Электронный документ получает юридическую силу после его подписания электронной подписью. Электронная подпись подтверждает, что содержательная информация документа не претерпела изменений с момента его подписания и документ подписан определенным лицом. При этом алгоритмы ЭП, а также механизмы и порядок применения ЭП должны соответствовать государственным нормативно-правовым требованиям.
Системы электронного документооборота
Развитие компьютерных технологий позволило во многих областях заменить бумажный документооборот безбумажным (электронным).
Основные недостатки бумажного документооборота:
- длительный поиск нужных данных и, как следствие, неоперативный доступ к необходимой информации;
- возможность потери или порчи документа;
- недостаточная конфиденциальность информации;
- высокая вероятность подделки документа и/или реквизитов документа;
- дублированный ввод информации;
- учет документов требует дополнительных финансовых и трудовых затрат.
Системы электронного документооборота (СЭД) позволяют решать проблемы бумажного документооборота.
Первые системы электронного документооборота появились в банковской сфере. В западной литературе такие системы получили название «системы электронного перевода денежных средств» – The Electronic Funds Transfer Systems (EFTS). Одна из таких систем SWIFT функционирует с начала 1970-х годов.
В дальнейшем системы электронного документооборота стали широко применяться и для обмена другой коммерческой информацией – Electronic Data Interchange (EDI). Уже много лет такие системы используются для продажи и бронирования авиационных билетов.
СЭД – программно-аппаратный комплекс, предназначенный для передачи ин-формации по телекоммуникационным каналам связи между территориально уда-ленными информационными массивами. Обобщенная схема СЭД представлена на рисунке 1.
Рис. 1. Обобщенная схема системы электронного документооборота
Базовой единицей СЭД является электронный документ (ЭД). В общем случае ЭД представляет собой совокупность файлов разного типа (составных частей документа) и снабжен регистрационной карточкой.
Регистрационно-контрольная карточка содержит набор реквизитов, таких как название организации, вид документа, отметки о согласованиях и утверждениях, даты, адреса сторон и т.д., и позволяет регистрировать,
идентифицировать и находить документ, контролировать исполнительскую дисциплину, отслеживать историю документа и архивировать его.
Основная задача СЭД – управление полным жизненным циклом документа, начиная с его создания и заканчивая списанием в архив и уничтожением, т.е. управление движением документов (документооборотом).
Как правило, СЭД состоит из двух основных блоков: статического (электронный архив) и динамического (документооборот). Первый блок обеспечивает первичную обработку документов (регистрация входящей и исходящей информации, поиск, составление отчетов и пр.), а второй – организацию информационных потоков, по которым проходят документы, контроль исполнения, групповую работу над документом и т.п.
Помимо базовых функций в современных СЭД реализовано множество других подсистем, обеспечивающих такие функции как: потоковый ввод бумажных доку-ментов; поддержка истории работы с документом (для учета обращений и подготовки отчетов), поиск по атрибутам документа и по его содержанию, разграничение прав доступа, маршрутизация документов по рабочим местам пользователей, интеграция с почтовыми системами, формирование отчетов, защита документов с помощью шифрования и ЭП.
Дата добавления: 2015-10-29; просмотров: 215 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
График движения | | | Асимметричные криптосистемы |