Современные информационные технологии/4. Информационная
безопасность
Cт. викл. каф. ЕОТ Тимофєєв Д.С. , студентка групи
ЗМ-05 (магістр) факультету інформаційних технологій Третяк Олена
Національний
гірничий університет, Україна
Проблеми забезпечення безпеки в
системах електронного документообігу
Кількість документів, яку використовують підприємства у
своєму внутрішньому документообігу, постійно зростає. Згідно статистичних даних
більше 70% загального часу роботи з документами витрачається на пересилання,
розмноження та пошук, що призводить до зниження якості та оперативності
прийняття рішень. За таких умов все більше підприємств впроваджують системи
електронного документообігу (СЕД). Перед системами електронного документообігу
передусім стоять задачі забезпечення цілісності, доступності та
конфіденційності інформації, але в силу того, що дані системи набули широкого
застосування відносно недавно незважаючи на всі переваги від їх використання ще
існує багато проблем забезпечення захищеності даних, які в них обробляються.
При веденні електронного документообігу одразу виникає
питання автентичності. Всі системи електронного документообігу мають ті чи інші
вбудовані функції безпеки, які загалом засновані на розмежуванні прав доступу в
залежності від ролі, яку відіграє користувач системи. Але це не зможе
відвернути загрозу несанкціонованого використання конфіденційної інформації
авторизованим користувачем. Тому більшість експертів вважають СЕД – одним із
елементів корпоративної інформаційної структури, яка повинна захищатися не
окремо, а в рамках єдиної політики забезпечення інформаційної безпеки
організації, таким чином захищеність електронного документообігу перш за все
визначається захищеністю інфраструктури. Для забезпечення достовірності
документів, що передаються, тобто встановлення авторства відправника, використовують електронний
цифровий підпис (ЕЦП), а конфіденційність та цілісність інформації досягається
комплексним використанням ЕЦП та шифрування. Як відомо застосування цифрового
підпису вимагає використання секретного ключа, яким підписують документ, та
відкритого, який дозволяє отримувачу його прочитати. Тому, за умови доступу до
комп’ютеру, де зберігається відкритий ключ, у зловмисника виникає
можливість влаштувати його підміну і в
подальшому видавати себе за авторизованого користувача – отже виникає
необхідність захищати не тільки секретні, але й відкриті ключі. Електронний
цифровий підпис є єдиним інструментом, який надає юридичної значущості
електронним документам, тому розглянута проблема є однією з найбільш важливих.
Нажаль, навіть така розвинена та потужна СЕД, як Microsoft Share Point, не може забезпечити належний рівень захищеності документообігу шляхом
застосування лише вбудованих засобів. Тому корпорація Microsoft розробила додатковий програмний продукт Microsoft Forefront Security for Share Point, - це засіб, створений для захисту файлового серверу та корпоративного
веб-порталу, які базуються на Microsoft Share Point. Він об’єднує в собі кілька антивірусних ядер, створених провідними постачальниками
рішень в галузі безпеки, і дозволяє підприємствам керувати вмістом для захисту
середовищ спільної роботи Microsoft Office SharePoint Server 2007 і Windows SharePoint Services 3.0 від документів з шкідливим кодом і небажаним вмістом, а також для
захисту конфіденційної інформації.
Віруси та небажаний вміст можуть потрапити на сервер SharePoint разом із документами, що завантажуються, HTML-сторінками та з підключених мережних дисків. Зі зростанням обсягів
використання цих серверів, розширюється область, яка може бути враженою
атаками. Часто компанії захищають всі сервери за допомогою одноядерного
антивірусного рішення, що робить їх вразливими вже при першому збої в роботі
захисту. Forefront Security for Share Point використовує одразу декілька антивірусних ядер, які можна одночасно
запустити для перевірки документів, що записуються в бібліотеку Share Point або вилучаються з неї. Якщо одне з ядер відключається для оновлення, інші
продовжують сканувати базу даних, забезпечуючи безперервний захист серверів.
Більшість розповсюджених антивірусних продуктів для файлових серверів не здатні
сканувати бази даних SQL Server із бібліотеками документів Share Point, не піддаючи ризику ушкодження програмне забезпечення, базу даних і
середовище Share Point. Також, на відміну від Forefront Security, вони не можуть сканувати вміст документів на серверах Share Point, а отже до відкриття документу користувачі не мають можливості визначити
їх відповідність чи невідповідність політиці безпеки компанії. Іще однією
перевагою використання Forefront Security for Share Point є можливість настроїти правила фільтрації, за допомогою використання
ключових слів, для блокування файлів сумнівного змісту.
Поєднання так званої «гігієни контенту» з вбудованими в Share Point механізмами контролю доступу та авторизації вкрай необхідні для
забезпечення належного рівня захисту документообігу та надають безліч переваг.
Безпека електронних документів під час їх передавання
мережею та зберігання є безперечно важливою, але загрози виникають вже на етапі
створення документів. Продовжуючи розглядати роботу в середовищі Share Point складно не звернути увагу на програму Microsoft Office InfoPath 2007, призначену для створення форм з різноманітним і динамічним змістом у
форматі XML, які можна використовувати в організаціях для збору, передачі у загальний
доступ, повторного використання та контролю інформації. Сервер Microsoft Office SharePoint Server 2007 зі службами форм InfoPath відіграє роль
засобу централізованого управління і розгортання електронних форм у масштабах
всієї організації.
На етапі створення форм виникає небезпека зловмисного
створення шаблонів шкідливих форм, які стають причиною виникнення потенційних
небезпек, таких як:
¾
можливість розкриття конфіденційної інформації з
локального комп’ютера або з віддалених джерел даних;
¾
шкідливе використання елементів ActiveX;
¾
шкідливе використання властивостей і методів об’єктної моделі InfoPath.
Програма InfoPath має розроблену
модель безпеки, яка дозволяє запобігти реалізації цих загроз.
Найпоширенішим способом розкриття конфіденційної
інформації є створення спеціальної шкідливої форми, яка використовує облікові
дані користувача для доступу до джерела даних в домені, відмінному від того, в
якому була розгорнута сама ця форма. Наприклад, зловмисник може відправити
форму в повідомленні електронної пошти або дати на неї URL-посилання, що вказує на веб-сервер або мережеву папку. У подібній формі
може міститися сценарій, який виконує запит до даних, з використанням облікових
даних поточного користувача. Таким джерелом може бути конфіденційна інформація,
до якої зловмисник не може одержати доступ в інший спосіб. Більшість
користувачів не досить ясно розуміють загрозу безпеки, пов’язану з міждоменним доступом до даних. Розгортання форм, які постійно виводять
попередження та запити на доступ до даних з іншого домену призводить до того,
що багато користувачів звикають схвалювати всі запити міждоменного доступу або
додають домен з джерелами даних до списку надійних вузлів, не сприймаючи
серйозно ризики для безпеки. Щоб уникнути такої проблеми треба виконувати
розгортання форм InfoPath на тому ж сервері, що і
всі джерела даних, від яких вони залежать.
Часто вживаним способом зловмисного використання
елементів ActiveX є ситуація, коли автор форми пише сценарій з використанням елемента
керування ActiveX. Цей елемент здійснює доступ до файлової системи для вилучення списків
паролів, особистих файлів, знищення файлів або їх пошкодження. Форма InfoPath може використовувати елементи ActiveX
тільки із сценаріїв, які містяться в основному файлі сценаріїв форми або у
сценарії панелі задач. Елементи керування ActiveX можуть потенційно надавати доступ до властивостей і методів, які можна
використовувати для порушення безпеки системи користувача. Тому, слід
використовувати лише ті елементи, які зазначені, як безпечні для користування
ними у сценаріях, а при створенні елементів ActiveX для використання з програмою InfoPath
ретельно перевіряти вихідний код програми та тестувати елементи.
Методи, які викликаються зі сценаріїв і властивості
об’єктної моделі InfoPath можуть представляти різні
рівні небезпеки. Наприклад,
метод SaveAs об'єкта XDocument можна використовувати для запису даних у будь-яке місце
файлової системи. Щоб захиститися від шкідливого використання таких елементів,
у об'єктної моделі InfoPath реалізовані три рівня безпеки, які
визначають, де і як можна використовувати той або інший елемент об'єктної
моделі.
Компанія Microsoft має розгалужену
систему програмних засобів призначених для ведення безпечного документообігу і
на даний момент застосовується досить широко, тому була розглянута як приклад
для визначення існуючих проблем безпеки. Але не всі СЕД володіють такими
функціональними можливостями, виконаними одним виробником, тому слід
використовувати комплексні рішення у питанні врегулювання проблеми забезпечення
захищеного документообігу. Наприклад, одним з результативних шляхів у процесі
створення безпечної системи електронного документообігу окрім шифрування даних
та використання захищених каналів зв’язку, таких як VPN є
використання моніторів мережевого трафіку.
Захищений документообіг є основою успішного розвитку
організації, дозволяє їй використовувати свої фінансові та часові ресурси більш
якісно і виглядати надійним партнером в очах контрагентів та замовників.
Література:
1. Журнал «КомпьютерПресс»-//Семейство продуктов Microsoft Forefront-//Доступ URL:// http://www.compress.ru/article.aspx?id=18758&iid=871
2. Microsoft Forefront Security для SharePoint-
// Доступ URL:// http://msdb.com.ua/Shop/Material/GetPdf.aspx?MaterialID=48c50711-d82d-42f2-8ed3-9a6d010626a5
3. MSDN-//Руководство
по безопасности при разработке формInfoPath-// Доступ URL://http://msdn.microsoft.com/ru-ru/library/bb251023.aspx
4. MSDN-// Using the Acceleration Toolkit for Microsoft
Forefront Security for SharePoint-// Доступ URL:// http://msdn.microsoft.com/en-us/library/ee412237.aspx#odcsp2007taFSSP_Conclusion
5. Защита
документооборота в современных компьютерных системах-// Доступ URL:// http://www.panasenko.ru/Articles/7/7.html
6. Библиотека TechNet-//Безопасность служб Windows SharePoint Services-// Доступ URL:// http://go.microsoft.com/fwlink/?linkid=94370&clcid=0x419
7. Росийские
эксперты оценили безопасность современных СЭД-// Доступ URL:// http://www.korusconsulting.ru/userfiles/secuirity-sed.pdf