Содержание к диссертации
Введение
ГЛАВА 1. Анализ современных средств гарантированной доставки информации и исследование вопросов их эффективного применения в автоматизированной информационной системе почтовой связи России 11
1.1 Структура автоматизированной информационной системы почтовой связи 11
1.1.1. Структура информационно-вычислительной сети почтовой связи
1.1.2 Основные типы документов, обрабатываемых в АИС ПС. Описание информационных потоков 13
1.2 Определение требований к средствам гарантированной доставки информации на основе анализа задач и структуры аис пс 18
1.3 Анализ свойств существующих средств гарантированной доставки и особенностей их реализации
1.3.1 Системы технологической почты, как одна из реализаций средств гарантированной доставки. Краткое определение систем технологической почты 21
1.3.2 Основные свойства систем технологической почты 25
1.3.3 Анализ преимуществ и недостатков систем технологической почты... 27
1.3.4 Анализ и сравнение реализаций систем технологической почты различных производителей 30
1.3.5 Оценка возможности применения систем технологической почты в АИС ПС 34
1.4 Выводы по данной главе 38
Глава 2. Разработка архитектуры и функций средств гарантированной доставки информации 41
2.1 Оценка ресурсов необходимых для корректного функционирования средств гарантированной доставки информации 41
2.2 Бессерверная архитектура средств гарантированной доставки информации 49
2.3 Архитектура единого связного интерфейса 50
2.4 Основные функции единого связного интерфейса 57
2.5 Анализ механизмов взаимодействия информационных систем и выбор протоколов доставки информации 61
2.6 Анализ и выбор способов обеспечения защиты информации в аис пс66
2.6.1 Аутентификация
2.6.2 Управление доступом 7/
2.6.3 Конфиденциальность данных 72
2.6.4 Целостность данных 74
2.6.5 Невозможность отказа от совершенных действий
2.7 Основные гарантии и способы их реализации 77
2.8 Выводы по данной главе 78
ГЛАВА 3. Разработка алгоритмического и программного обеспечения средств гарантированной доставки на основе единого связного интерфейса 81
3.1 Выбор технологии реализации еси - компонента 81
3.2 Описание функциональности еси - компонента
3.2.1 Структура обрабатываемых данных 84
3.2.2 Формат описания сообщения 85
3.2.3 Система адресации, используемая ЕСИ - компонентом
3.3 Формат очередей сообщений. способы хранения настроечной информации 93
3.4 Алгоритмы работы еси - компонента 100
3.5 особенности программной реализации комплекса средств гарантированной доставки
3.5.1 Реализация интерфейса со средствами защиты информации 118
3.5.2 Реализация интерфейса со средствами передачи информации 118
3.5.3 Реализация программы-шлюза на основе Единого Связного Интерфейса 119
3.6 Выводы по данной главе 122
ГЛАВА 4. Использование единого связного интерфейса в разработках прикладных подсистем АИС ПС 125
4.1 Подсистемы аис пс, использующие единый связной интерфейс 125
4.2 Этапы и принципы внедрения средств гарантированной доставки в подсистемы аис пс 125
4.3 Схема регионального защищенного фрагмента ивс пс на основе средств гарантированной доставки 127
4.4 Выбор и обоснование использования конкретных средств защиты информации 130
4.5 Описание процесса обработки документов 132
4.6 Объекты внедрения системы 134
4.7 Выводы по данной главе 136
Заключение 138
Список литературы
- Основные типы документов, обрабатываемых в АИС ПС. Описание информационных потоков
- Бессерверная архитектура средств гарантированной доставки информации
- Описание функциональности еси - компонента
- Выбор и обоснование использования конкретных средств защиты информации
Основные типы документов, обрабатываемых в АИС ПС. Описание информационных потоков
В настоящее время разработано и внедрено несколько десятков автоматизированных систем, которые на основе ИВС ПС, современных информационных и почтовых технологий позволяют почте оказывать как традиционные, так и целый спектр новых нетрадиционных услуг. Это такие системы как "Ускоренные почтовые денежные переводы", "Интегрированная информационная система подготовки и принятия решений", "Делопроизводство", "Регистрируемая почта", "Гибридная почта", "Товары - почтой", "Банковские услуги в отделении почтовой связи" и другие [1-2].
По информационно-вычислительной сети почтовой связи могут передаваться документы следующих основных типов: служебные документы (приказы, распоряжения, отчеты, справочно-нормативная информация, служебная переписка); финансовые документы (денежные переводы, банковские документы); почтовые отправления клиентов - физических и юридических лиц; технологическая информация по настройке и поддержке функционирования АИС ПС и др.
Термин "гарантированная доставка информации" (ГДИ) еще не является устоявшимся. В настоящее время его часто применяют в отношении систем, предоставляющих прикладным программам сервис передачи информации с гарантиями того, что информация будет обязательно доставлена конечному получателю, при этом прикладные программы могут не прикладывать для этого никаких дополнительных усилий. При этом данные системы используют следующие механизмы: квитирование; автоматические повторы при отсутствии подтверждения доставки; исключение дублей; использование альтернативных маршрутов и способов доставки. В данной работе термин ГДИ трактуется расширительно. Под термином "гарантированная доставка информации" далее понимается не только предоставление гарантии того, что информация будет доставлена, но и предоставление гарантий ее целостности, аутентичности и конфиденциальности. Традиционно последние из перечисленных аспектов относят к сфере защиты информации. В соответствии с действующим законодательством уровень защиты служебных документов и технологической информации определяет собственник ресурсов, то есть непосредственно Департамент Почтовой Связи (ДПС). Сейчас большинство из вышеперечисленных типов документов передаются по сети в открытом виде (исключение - денежные переводы). Очевидно, что в дальнейшем такое положение должно измениться, так как при внедрении средств гарантированной доставки естественным окажется их применение как для защиты внутриведомственных данных, так и для информации клиентов почтовой связи. В настоящее время в учреждениях почтовой связи электронная почта используется не только для пересылки технологической и служебной информации, но и предлагается как услуга населению. Этот подход является, безусловно, верным, так как во всем мире существует тенденция замены обычной корреспонденции электронной. И если учреждения почтовой связи окажутся не готовыми для использования этого сектора рынка, то его придется уступить другим, лишившись заодно и значительной доли прибыли из-за сокращения объемов пересылаемой бумажной корреспонденции.
Для обычной бумажной почты гарантированность доставки обеспечивается традиционными почтовыми средствами. Действительно, при подготовке документа или частного письма клиент подписывает его, а документ помимо этого скрепляет печатью, если отправитель - юридическое лицо. Таким образом, получатели почтового отправления могут удостовериться в подлинности документа. Кроме того, письмо запечатывается самим клиентом в конверт, который выполняет функции контейнера, защищающего содержимое письма от несанкционированного доступа. Содержание же электронного письма можно при некоторых технических навыках свободно просмотреть на сетевых узлах и даже внести коррекцию в содержание, так что получатель об этом может и не догадаться. Для электронных документов существует и законодательно закреплена возможность использования средств электронной цифровой подписи, шифрования и защиты информации от несанкционированного доступа [3-4]. Задача состоит в том, чтобы с их помощью выполнить те же операции по защите, что и в обычной почте, но с большей степенью надежности и достоверности.
Содержание почтовых отправлений клиентов почта обязана защищать, так как эта информация в соответствии с законом «О почтовой связи» и Указом президента РФ №188 является конфиденциальной и, следовательно, почта обязана предоставить услуги по защите информации клиента, передаваемой электронным способом.
Финансовые документы (переводы, банковскую информацию) необходимо защищать с одной стороны как информацию клиента, с другой стороны с целью избежания финансовых потерь для ДПС и УФПС, так как свободный доступ к данным этого типа может привести к значительным злоупотреблениям.
Рассмотрим информационные потоки в АИС ПС, возникающие на этапе внедрения средств гарантированной доставки. Схема прохождения информационных потоков в отделении связи (ОС) представлена на рис.2. Данная схема подразумевает перспективное развитие, когда в ОС будут установлены почтово-кассовые терминалы (ПКТ) или абонентские пункты, имеющие сетевое соединение (по коммутируемой телефонной линии) с сервером РУПС (или УФПС). Информация для передачи поступает на почту в виде бумажных или электронных документов. В основном это бумажные документы, которые работник отделения почтовой связи должен преобразовать в электронную форму (ввести текст или отсканировать).
Клиент почты может подписать электронный документ, используя стандартный алгоритм, принятый в почтовой связи, и свой личный ключ, находящийся, например, на дискете или смарткарте. Для того чтобы этот ключ был признан всеми клиентами почты, его необходимо ранее изготовить в том же отделении связи и зарегистрировать в удостоверяющем центре при УФПС.
Клиент почты также может работать за своим абонентским местом на предприятии или даже на домашнем компьютере. В этом случае он может также зарегистрировать свои ключи в учреждении почтовой связи и получить там же программное обеспечение для связи с сетевым узлом (почтовым сервером) РУПС. В этом случае на сервер поступают уже подписанные и зашифрованные на ключе клиента-получателя сообщения.
Бессерверная архитектура средств гарантированной доставки информации
Любой из указанных способов идентификации может быть использован в системе, и выбор того или иного способа серьезно влияет на безопасность информации АИС ПС в целом. На всех рубежах защиты системы целесообразно использовать один и тот же способ идентификации. Именно в этом случае возможность доступа легального пользователя к необходимым ему ресурсам обеспечивается с наименьшими усилиями. Способы, основанные на использовании только паролей, недостаточны для системы гарантированной доставки, так как эта информация часто записывается пользователями на рабочих документах, пропусках и т.д.. Кроме того, всегда имеется возможность подсмотреть, подслушать или ее скопировать. В любом случае данная информация легко становится известной злоумышленникам.
Несмотря на привлекательность способов, связанных с определением персональных характеристик пользователей, они требуют весьма значительных финансовых затрат. С учетом вышесказанного, самым сбалансированным решением, учитывающим достаточно высокие требования к безопасности и имеющим относительно низкую стоимость, является применение для идентификации специальных смарткарт (Smart Card) или идентификаторов типа Touch Memory. При выборе идентификаторов или карт учитывались следующие требования: идентификаторы должны быть надежно защищены от подделки; исключена возможность изготовления идентификаторов с иден тичными параметрами; технология изготовления идентификаторов должна обеспечивать их высокую стойкость к разрушающим воздействиям температуры, электрических и магнитных полей. Пользователь может проинициализировать ЕСИ - компонент в защищенном режиме и войти систему только в том случае, если он предъявит системе ключевую дискету (аппаратный идентификатор или смарткарту) и введет правильный пароль, представляющий собой набор символов из случайной легко запоминаемой фразы длиной не менее 6 символов. Обязательный дополнительный ввод пароля с клавиатуры исключает возможность использования похищенного идентификатора.
Аутентификация данных, полученных по сети, в системе гарантированной доставки должна обеспечиваться с применением механизмов шифрования данных и электронной цифровой подписи. Механизм шифрования позволяет аутентифицировать источник данных по отношению к получателю, то есть прочитать и воспользоваться документом может только тот, кто сможет его расшифровать. Для подтверждения подлинности источника отдельной порции данных, пришедшей из сети, используется механизм электронной цифровой подписи, то есть получатель всегда может определить, кто являлся источником полученной информации.
Механизм электронной подписи включает в себя две процедуры: выработку подписи; проверку подписанной порции данных. Процедура выработки подписи использует информацию, известную только подписывающему - секретный ключ. Процедура проверки подписи является общедоступной и использует открытый (свободно распространяемый) ключ подписывающего.
Использование механизмов формирования и проверки электронной цифровой подписи позволяет исключить возможность внесения искажений в подписанный документ. Кроме того, используемый механизм подписи обеспечивает авторизацию документа, т.е. получатель сообщения может убедиться, а в случае конфликта неопровержимо доказать, что автором сообщения является тот, кто подписал его. При этом подделать подпись не может никто, даже удостоверяющий центр, у которого есть образцы подписей, есть открытые ключи, но нет секретных личных ключей, используемых при подписании документов. Механизм определения авторства документа четко прописан в федеральном законе "Об электронной цифровой подписи" (окончательно принят 10 января 2002 года)[3-4], где говорится, что соответствующий "уполномоченный федеральный орган исполнительной власти: осуществляет по обращениям физических лиц. организаций, федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления подтверждение подлинности электронных цифровых подписей уполномоченных лиц удостоверяющих центров в выданных ими сертификатах ключей подписей". Там же указано, что "электронный документ с электронной цифровой подписью имеет юридическое значение при осуществлении отношений. указанных в сертификате ключа подписи", а значит, может являться доказательством в суде.
Использование механизма шифрования будет более подробно рассмотрено в разделе, определяющем реализацию функции конфиденциальности.
Управление доступом обеспечивает защиту от несанкционированного использования ресурсов в доступных абонентских пунктах и в информационной сети в целом. Управлением доступом называется совокупность правил, регламентирующих права доступа пользователей, программ к каталогам, файлам, дискам, внешним устройствам и прочему оборудованию системы.
Управление доступом подразумевает не только защиту вычислительных ресурсов системы с использованием технических средств, но и физическую защиту, исключающую проникновение злоумышленников в служебные помещения.
Функции системы управления доступом опираются, прежде всего, на идентификацию и опознавание (аутентификацию) субъектов доступа (аутентификация описана в предыдущем разделе). Система предоставления доступа должна обеспечить возможность включения и удаления субъектов и объектов доступа. Все действия пользователя должны регистрироваться, особенно попытки несанкционированного доступа.
Описание функциональности еси - компонента
В настоящий момент реализована поддержка взаимодействия со средствами защиты на основе универсального интерфейса Crypto API 2.0, а также ряда специализированных интерфейсов с наиболее используемыми средствами защиты (например "Корпоративная наложенная сеть (КНС) Инфотекс")[16, 24-27]. Использование, универсального интерфейса Crypto API 2.0 позволяет осуществлять защиту информации не только при помощи стандартных средств защиты, входящих в состав операционных систем семейства Windows[26], но и при помощи систем защиты реализованных в виде криптопровайдера (например, система защиты информации "КриптоПро CSP" фирмы "КриптоПро"),
Кроме того реализована поддержка взаимодействия со средствами передачи данных на основе универсального интерфейса MAPI. Далее рассмотрим особенности реализации интегрированного модуля электронной почты, который позволяет передавать информацию с использованием протоколов 1-3. Этот модуль оформлен в виде динамически загружаемой библиотеки - DLL.
Динамическая библиотека электронной почты (ДБЭП) представляет пользователю совокупность функций, обеспечивающих сетевое обслуживание приложений. То есть ДБЭП ориентирована на обслуживание приложений, а не людей. ДБЭП реализована на основе следующих основных принципов: поддержка нескольких сетевых протоколов (SMTP/POP3, UUCP), причем выбор протокола абсолютно "прозрачен" для приложения; автоматизация создания сообщений электронной почты как простой структуры (с одним разделом), так и сложной - с несколькими разделами и наполнением их электронными документами; освобождение вышестоящих модулей или приложений от таких функций как архивация и разархивация разделов письма и т.п. автоматизация «разбора» входных сообщений с извлечением информации из сетевых заголовков и всех «вложенных» электронных документов; ориентация на обработку как обычных электронных писем (с маршрутизацией по электронному адресу), так и писем с маршрутизацией по почтовому индексу; возможность гибкой подстройки под требования приложения; ориентация на сетевой формат MIME (RFC822, RFC2045-RFC2049).
Рассмотрим реализацию программы-шлюза, разработанной в рамках этой работы и использующей ЕСИ - компонент для организации передачи файлов различным получателям в зависимости от определенных критериев.
С использованием описанных выше средств ЕСИ была разработана «Защищенная электронная почта на основе Единого связного интерфейса (Почта ЕСИ)» (Pr_Esi.exe), которая предназначена для передачи данных (писем или файлов вложений) по каналам передачи данных информации в ручном или ав 120 томатическом режиме и ориентирована на технологические процессы почтовой связи.
Эта программа представляет собой, с одной стороны, аналог шлюза в системе MQSeries и позволяет реализовать автопроцессинг (автоматическую отправку файлов из определенного каталога связанному с данным каталогом получателю). С другой стороны, данная программа является полноценным почтовым клиентом, по функциональности аналогичному Outlook Express, но дополнительно предоставляющем возможность использования произвольных средств защиты информации (через ЕСИ), в том числе сертифицированных Гостехкомиссией при Президенте России и ФАПСИ.
При помощи этой программы реализована возможность обеспечить гарантированную и защищенную передачу информации и взаимодействие систем, исходно разработанных разными производителями в различных операционных средах без использования технологий поддержки гарантированной доставки.
Пересылаемые данные могут подписываться электронной цифровой подписью и шифроваться при передаче. Программа обеспечивает гарантированную доставку передаваемой информации и имеет технологический цикл ее учета, хранения и архивации (рис. 24).
Выбор и обоснование использования конкретных средств защиты информации
Функция NonConfirm позволяет пользователю удалить сообщение из очереди входящих без отправки квитанции об успешной доставке сообщения и пометить его как не принятое. Пользователь может выдавать данную функцию при стабильно появляющейся неудаче при извлечении сообщения из очереди входящих, при невозможности надежного сохранения сообщения или другой необходимой обработки сообщения. Функция не передает отправителю первичного сообщения, ни каких квитанций и по истечению таймаутов отправляющая сторона будет предпринимать действия по повторной отправке сообщения в соответствие со своими настройками. Данная функция вызывается обычно после вызова GetMsg и ее параметр MsgNum содержит значение уникального номера сообщения полученного по одноименному параметру функции GetMsg, а параметр From содержит имя абонента, от которого был принято сообщение, так же полученного по одноименному параметру функции GetMsg. Функция имеет следующий формат: Function NonConfirm ( MsgNum As String, From As String, ErrMsg As String) As Integer Function NonConfirm (MsgNum: WideString; From: WideString; ErrMsg: WideString): Smallint Здесь: MsgNum - уникальный номер удаляемого из очереди входящих сообщения; From - имя абонента, от которого был принято сообщение. Передается строка, полученная прикладной программой по соответствующему параметру из функции GetMsg; 156 ErrMsg - в этой переменной, в случае неудачного завершения работы функции, возвращается строка, содержащая причину отказа и соответствующий код. Коды возврата: О - операция завершена успешно; -1 - неудача при выполнении операции Событие нарушения последовательности номеров, используемых для контроля целостности потока входящих сообщений
Всем документам, отправляемым определенным отправителем с определенным номером задачи, присваиваются последовательно увеличивающиеся номера ( далее специальный последовательный номер). Если в настройках ЕСИ включен контроль целостности потока входящих, то происходит проверка данных номеров и сообщение с номером п+1 (от определенного отправителя по определенной задаче) может быть передано пользователю только после сообщения с номером п. Если какое либо сообщение потерялось или задержалось в канале передачи данных, то все последующие сообщения не будут переданы пользователю, либо до получения данного сообщения, либо до истечения некоторого тайм-аута. Продолжительность данного тайм-аута определяется параметром настройки ЕСИ "Максимальное время ожидания очередного сообщения (в часах)". При истечении данного тайм-аута инициируется событие нарушения целостности потока входящих -SequenceViolation.
SequenceVioIation (From As String, AID As Long, StartNum As Long, FinishNum As Long, StatusFIag As Long) Здесь: From - адрес абонента-отправителя, для сообщений от которого, произошло нарушение целостности потока входящих; AID - номер задачи, для которого произошло нарушение целостности потока 157 StartNum - специальный последовательный номер сообщения (присваивается при оправке), начиная с которого сообщения отсутствуют в очереди входящих на момент истечения тайм-аута; FinishNum - специальный последовательный номер сообще-ния(присваивается при оправке), до которого (включительно) сообщения отсутствуют в очереди входящих на момент истечения тайм-аута; StatusFlag - флаг обозначающий тип нарушения целостности потока входящих: 0 - номера начиная с StartNum до FinishNum отсутствуют в очереди входящих на момент истечения тайм-аута; 1 - пришло сообщение вне последовательности (например, сообщение, задержавшееся в канале передачи данных на время больше тайм-аута). В данном случае значения параметров StartNum и FinishNum будут равны между собой и определять специальный последовательный номер задержавшегося сообщения;
При получении события нарушения последовательности номеров -SequenceViolation пользовательская программа может определить дальнейшие действия ЕСИ. Если в настройке ЕСИ установлен флажок "Включить автоматический пропуск сообщений в случае нарушения целостности потока входящих", то никаких дополнительных действий пользовательская программа может не предпринимать, и сообщения, начиная с номера StartNum до номера FinishNum, будут пропущены и пользователю будет передан документ с последовательным номером FinishNum+1.
В случае отсутствия данного флажка, прикладная программа должна вызвать функцию BreakSequence и выбрать одно из возможных действий: разрешить нарушение последовательности, индицированное со бытием SequenceViolation запретить нарушение последовательности, индицированное собы тием SequenceViolation и продолжить ожидание недостающих сообщений еще в течение указанного в настройке "Максимального времени ожидания очередного сообщения (в часах)" Следует заметить что, событие SequenceViolation инициируется только после вызова функции GetMsg, которая в этом случае возвратит код равный 3, и все ее параметры будут заполнены пустыми значениями.
