Відмінності між версіями «Безпека електронного документообігу»
(http://health4med.blog.com/buytopamax#11505 purchase topamax - cheap topamax online) |
(http://buyinderal.webstarts.com#89978 propranolol - buy propranolol england) |
||
| Рядок 5: | Рядок 5: | ||
http://health4med.blog.com/buytopamax#11505 purchase topamax - cheap topamax online | http://health4med.blog.com/buytopamax#11505 purchase topamax - cheap topamax online | ||
| − | + | http://buyinderal.webstarts.com#89978 propranolol - buy propranolol england | |
| − | + | ||
| − | + | ||
| − | + | ||
| − | + | ||
| − | + | ||
| − | + | ||
| − | + | ||
| − | + | ||
== Забезпечення безпечного доступу СЕД == | == Забезпечення безпечного доступу СЕД == | ||
Версія за 03:03, 3 серпня 2012
nuvwl9 <a href="http://avegwaugurxt.com/">avegwaugurxt</a>, [url=http://mrcorogwgapb.com/]mrcorogwgapb[/url], [link=http://eshfxwbljova.com/]eshfxwbljova[/link], http://hkythjtjlwwc.com/
http://flomaxonlinebuy.carbonmade.com#63993 buy flomax united states - buy tamsulosin 0.4 mg http://fosamaxonline.carbonmade.com#47943 fosamax order online - fosamax purchase http://buyciproonline.carbonmade.com#27669 buy ciprofloxacin online - buy cipro online no rx
http://health4med.blog.com/buytopamax#11505 purchase topamax - cheap topamax online
http://buyinderal.webstarts.com#89978 propranolol - buy propranolol england
Забезпечення безпечного доступу СЕД
Цей момент зазвичай всі розуміють під безпекою СЕД, чим часто обмежують поняття безпеки систем. Безпечний доступ до даних усередині СЕД забезпечується аутентифікацією і розмежуванням прав користувача.
Для спрощення будемо називати процеси встановлення особи користувача і процеси підтвердження легітимності користувача на ту або іншу дію або інформацію одним терміном - аутентифікацією, розуміючи під ним весь комплекс заходів, що проводяться як на вході користувача в систему, так і постійно протягом його подальшої роботи.
Тут необхідно загострити увагу на методи аутентифікації. Найпоширеніший з них, звичайно, парольний. Основні проблеми, які сильно знижують надійність цього способу - це людський фактор. Навіть якщо змусити користувача використовувати правильно згенерований пароль, у більшості випадків його можна легко знайти на папірці у столі або під клавіатурою, а особливо "талановиті" звичайно прикріплюють його прямо на монітор.
Найстаріший з відомих світу способів аутентифікації - майновий. У свій час повноваження власника скрині підтверджувалися ключами, сьогодні прогрес пішов далеко вперед, і повноваження користувача підтверджуються спеціальним носієм інформації. Існує безліч рішень для майнової аутентифікації користувача: це всілякі USB-ключі, смарт-карти, "таблетки" магнітні карти, у тому числі використовуються і дискети, і CD. Тут також не відкидають людський чинник, але зловмисникові необхідно також отримати сам ключ і дізнатися PIN-код.
Максимально надійний для проведення ідентифікації і подальшої аутентифікації спосіб - біометричний, при якому користувач ідентифікується за своїми біометричними даними ( це може бути відбиток пальця, сканування сітківки ока, голос). Однак у цьому випадку вартість рішення вище, а сучасні біометричні технології ще не настільки досконалі, щоб уникнути помилкових спрацьовувань або відмов.
Ще один важливий параметр аутентифікації - кількість чинників, які враховуються. Процес аутентифікації може бути однофакторним, двухфакторним і т.д. Також можливе комбінування різних методів: парольного, майнового та біометричного. Так, наприклад, аутентифікація може проходити за допомогою пароля і відбитка пальця (двохфакторний спосіб.
Конфіденційність та забезпечення достовірності документів
Величезною перевагою для конфіденційності інформації мають криптографічні методи захисту даних. Їх застосування не дозволять порушити конфіденційність документу навіть у разі його потрапляння до рук сторонньої особи. Не варто забувати, що будь-який криптографічний алгоритм володіє такою властивістю як криптостійкість, тобто і для його захисту є певна межа. Немає шифрів, які не можна було б зламати - це лише питання часу і коштів. Ті алгоритми, які ще кілька років тому вважалися надійними, сьогодні вже успішно демонстративно підбираються. Тому для збереження конфіденційності слід переконатися, що за час, витрачений на злом зашифрованої інформації, вона безнадійно застаріє або кошти, витрачені на її злом, перевищать вартість самої інформації.
Крім того, не варто забувати про організаційні заходи захисту. Якою б ефективною криптографія не була, ніщо не завадить третій особі прочитати документ, наприклад, стоячи за плечима людини, яка має доступ до нього. Або розшифрувати інформацію, скориставшись ключем що валяється в столі співробітника.
Сьогодні основним і практично єдиним з запропонованих на ринку рішенням для забезпечення достовірності документа є электронно-цифровий підпис (ЕЦП). Основний принцип роботи ЕЦП заснований на технології шифрування з асиметричним ключем. Тобто ключі для шифрування і розшифровки даних різні. Є закритий ключ, який дозволяє шифрувати інформацію, і є "відкритий ключ, за допомогою якого можна цю інформацію розшифрувати, але з його допомогою неможливо "зашифрувати" цю інформацію. Таким чином, власник "підписа" повинен володіти "закритим" ключем і не допускати його передачу іншим особам, а "відкритий" ключ може поширюватися публічно для перевірки справжності підпису, отриманого за допомогою "закритого ключа"
Для наочності ЕЦП можна представити як дані, отримані в результаті спеціального криптографічного перетворення тексту електронного документа. Воно здійснюється за допомогою так званого "закритого ключа" - унікальної послідовності символів, відомою тільки відправнику електронного документа. Ці дані передаються разом з текстом електронного документа його одержувачу, який може перевірити ЕЦП, використовуючи так званий "відкритий ключ відправника" - також унікальну, але загальнодоступну послідовність символів, однозначно пов'язану з "закритим ключем" відправника. Успішна перевірка ЕЦП показує, що електронний документ підписаний саме тим, від кого він виходить, і що він не був модифікований після накладення ЕЦП.
Таким чином, підписати електронний документ з використанням ЕЦП може тільки власник "закритого ключа", а перевірити наявність ЕЦП - будь-який учасник електронного документообігу, що отримав "відкритий ключ", відповідний "закритого ключа" відправника. Підтвердження належності "відкритих ключів" конкретним особам здійснює засвідчувальний центр - спеціальна організація або сторона, якій довіряють всі учасники інформаційного обміну. Звернення в засвідчувальні центри дозволяє кожному учаснику переконатися, що наявні у нього копії "відкритих ключів", що належать іншим учасникам (для їх перевірки ЕЦП), дійсно належать цим учасникам.
Більшість виробників СЕД вже мають вбудовані у свої системи, власноруч розроблені або партнерські кошти для використання ЕЦП, як, наприклад, у системах Directum або "Євфрат-Документообіг". Такої тісної інтеграції з ЕЦП чимало сприяв вихід федерального закону про ЕЦП (№1-ФЗ від 10.01.2002р.), в якому електронний цифровий підпис був визнаний тим, що має юридичну силу поряд з власноручним підписом. Варто відмітити, що відповідно до законів РФ, свою систему електронним цифровим підписом може розробляти тільки компанія, що має на це відповідну ліцензію від ФАУЗІ (нині від ФСБ). Так само як і компанія, що використовує у своїх розробках ЕЦП, повинна мати ліцензію від органів державної влади.
Протоколювання дій користувачів - важливий пункт захисту електронного документообігу. Його правильна реалізація в системі дозволить відстежувати всі неправомірні дії і знайти винуватця, а при оперативному втручанні навіть зупинити спробу неправомірних або завдаючих шкоди дій. Така можливість обов'язково повинна бути присутньою в самій СЕД. Крім того, додатково можна скористатися рішеннями сторонніх розробників і партнерів, чиї продукти інтегровані з СЕД. Говорячи про партнерські рішення, насамперед йдеться про СУБД і сховищах даних, будь-який подібний продукт великих виробників, таких як Microsoft або Oracle, наділений цими коштами. Також не варто забувати про можливості операційних систем з протоколювання дій користувачів і рішеннях сторонніх розробників в цій області.
ВИСНОВКИ
Підхід до захисту електронного документообігу має бути комплексним. Необхідно тверезо оцінювати можливі загрози і ризики СЕД і величину можливих втрат від реалізованих загроз. Як вже говорилося, захист СЕД не зводиться лише до захисту документів і розмежування доступу до них. Залишаються питання захисту апаратних засобів системи, персональних комп'ютерів, принтерів та інших пристроїв; захисту мережного середовища, в якій функціонує система, захист каналів передачі даних і мережевого устаткування, можливе виділення СЕД в особливий сегмент мережі. Комплекс організаційних заходів грають роль на кожному рівні захисту, але їм, на жаль, часто нехтують. Адже тут і інструктаж, і підготовка звичайного персоналу до роботи з конфіденційною інформацією. Погана організація може звести нанівець усі технічні заходи, як досконалі вони б не були.
