Защита системы электронного документооборота

Защита системы электронного документооборота

Б.Б. Борисенко
К.А. Шадрин
ИКСИ

ЭЛЕКТРОННЫЙ документооборот (ЭДО) уже достаточно давно развит на территории РФ. С введением в 2002 г. ФЗ "Об электронной цифровой подписи" появились правовые условия, определяющие такого рода действия. В настоящее время, когда все больше государственных учреждений и коммерческих организаций переходят на ЭДО, встает вопрос о безопасности передачи важной, конфиденциальной и тем более секретной информации в системах ЭДО.

Модель системы ЭДО с ЭЦП на базе УЦ

Рассмотрим возможность создания защищенной системы ЭДО с применением ЭЦП. Такая система представляется на базе удостоверяющего центра (УЦ), который состоит из трех основных компонентов: центра сертификации (ЦС), центра регистрации (ЦР), АРМ администратора (АРМА).

Основным элементом УЦ является ЦС, к функциям которого относятся:

• выработка и удаление сертификатов ЭЦП зарегистрированных пользователей;
• хранение базы данных сертификатов и соответствующих им закрытых ключей ЭЦП;
• обеспечение шифрования и целостности передаваемых данных между ЦС и ЦР с двусторонней аутентификацией по протоколу TLS;
• обеспечение уникальности открытого ключа и серийного номера в сертификатах;
• организация первоначальной процедуры выработки закрытых ключей и сертификатов для компонентов УЦ;
• ЦР - компонент УЦ, отвечающий за регистрацию и хранение информации о пользователях, а также являющийся связующим звеном между пользователями системы и ЦС.Это единственная точка входа зарегистрированного пользователя в систему. К функциям ЦР относятся;
• создание и ведение базы данных зарегистрированных пользователей, содержащей личную информацию, сертификаты открытых ключей ЭЦП и сами открытые ключи ЭЦП;
• обеспечение шифрования и целостности передаваемых данных с двусторонней аутентификацией по протоколу TLS;
• обеспечение взаимодействия с ЦС: прием от АРМА запросов на выдачу и отзыв сертификатов ЭЦП и передача их в ЦС с подписью на ключе ЦР, прием и передача от ЦС сформированных сертификатов,проверка подписи ЦС принимаемой от него информации;
• обеспечение доступа внешним приложениям через SOAP-интерфейс на базе HTTP(S);
• обеспечение выполнения ЦР в автоматическом режиме таких задач, как организация процедуры проверки подлинности ЭЦП, оповещение пользователей по электронной почте об истечении срока действия сертификатов,оповещение пользователей по электронной почте о необходимости замены ключей, оповещение администратора безопасности о возникновении следующей из критических ситуаций: запрос на сертификат какого-либо пользователя не удовлетворен УЦ (администратор безопасности не обладает полномочиями привилегированного пользователя УЦ, его рабочая станция располагается в сети зарегистрированных пользователей для контроля безопасности);
• формирование списка отозванных сертификатов (СОС).

АРМА предназначен для организационно-технических мероприятий, то есть для поддержания работоспособности УЦ и внесения необходимых изменений в базы данных ЦР и ЦС. Он является консолью УЦ. Функции АРМА - обеспечение шифрования и целостности данных, передаваемых на ЦР с двусторонней аутентификацией по протоколу TLS, а также организация взаимодействия с ЦР, а именно:

• создание запросов на создание, удаление пользователей,а также внесение изменений в существующие профили в ЦР;
• создание запросов на выдачу и отзыв сертификатов, передаваемых в ЦС через ЦР;
• проверка состояния отправленных запросов.

Для обеспечения работоспособности в каждом из трех основных компонентов УЦ вырабатываются и устанавливаются свои закрытые ключи и сертификаты, а также хранятся сертификаты двух остальных. Так, например, в ЦС вырабатывается и устанавливается по одному закрытому ключу и сертификату для выработки сертификатов пользователей системы и для защищенного взаимодействия с ЦР (для Web-сервера). В то же время в справочнике ЦС должны находиться личный сертификат сервера ЦР для формирования ЭЦП сообщений, передаваемых в ЦС от ЦР, а также сертификат АРМА для проверки ЭЦП сообщений, передаваемых от АРМА, и аутентификации при взаимодействии по сети ЦР и АРМА.

ЦР помещается в список доверенных элементов (СДЭ) ЦС, а АРМА - в СДЭ ЦР. На всех компонентах УЦ вырабатывается и устанавливается СОС, настраиваются соответствующие параметры по его публикации. ЦС отмечается в настройках каждого элемента корневым изолированным для защиты от несанкционированного появления других ЦС.

В ЦР отключается выполнение в автоматическом режиме большинства функций, они будут выполняться по запросу от АРМА.

На всех компонентах УЦ и пользовательских ЭВМ запрещается использование средств удаленного администрирования. ЦР и ЦС должны осуществлять резервное копирование и восстановление информации в случае повреждения системы.

Модели нарушителя

Для создания защищенной системы на базе построенной модели необходимо исследовать последнюю на предмет уязвимостей и предложить способы ее модернизации и рекомендации по организации защиты. Анализ данной модели выявил следующие возможности расположения нарушителя, а именно (от более слабого к более сильному):

• нарушитель находится в сети зарегистрированных пользователей, имеет возможность подключиться к Web-интерфейсу ЦР, но не является зарегистрированным пользователем УЦ;
• нарушитель имеет возможность подключиться к Web-интерфейсу ЦР и обладает правами зарегистрированного пользователя УЦ;
• нарушитель находится в изолированной сети УЦ;
• нарушитель захватил АРМА;
• нарушитель получил доступ к ЦР;
• нарушитель завладел ЦС (см. схему расположения перечисленных нарушителей).

Рассмотрим подробнее указанные ситуации. Для каждого следующего случая действительны ранее описанные атаки и способы противодействия им. Поэтому будем упоминать только особенности для вновь появляющегося вида нарушителя и соответственно рекомендации по защите от его действий.

Окончание статьи читайте в следующем номере (впервые в отечественной литературе будут подробно рассмотрены модели нарушителей УЦ)