Так же в данной главе произведено обоснование проектных решений по видам обеспечения.

Глава 3. Разработка проекта системы электронно-цифровой подписи

3.1 Информационная модель исследуемого процесса

ЭЦП представляет собой небольшой объем информации, который добавляется к электронному документу. При получении или предъявлении документа, подписанного ЭЦП, можно легко установить его авторство и подлинность. Кроме того, ЭЦП защищает документ от модификации и подделки, так как содержит в себе сжатый и зашифрованный образ электронного документа - «дайджест» документа.

Технологии электронной цифровой подписи базируются на криптографических алгоритмах с открытыми ключами (асимметричная криптография). На основе криптографических алгоритмов с открытыми ключами можно реализовать защиту информации при передаче по открытым каналам связи.

На этапе создания документ не имеет юридической силы и является проектом документа. Документ приобретает юридическую силу после оформления и удостоверения в установленном порядке.

Электронный документ получает юридическую силу после его подписания электронной цифровой подписью (ЭЦП). Электронная цифровая подпись подтверждает, что содержательная информация документа не претерпела изменений с момента его подписания и документ подписан определенным лицом. При этом алгоритмы ЭЦП, а также механизмы и порядок применения ЭЦП должны соответствовать государственным нормативно-правовым требованиям.

Информационная модель представляет собой взаимосвязь входных, промежуточных и результатных информационных потоков и функций предметной области, необходимых для функционирования информационной системы.

Информационная модель строится в форме схемы данных и поясняется диаграммой потоков данных.

Все запросы (пользовательские и внутрисистемные), связанные с организацией работы ЭЦП генерируются ИС.

Для ввода первичной информации используются справочники и классификаторы.

Выходными документами являются экранные формы электронном виде.

Разработанная для решения задачи организации ЭЦП схема данных имеет структуру, представленную на рисунке 3.1.

Рисунок 3.1 - Информационная модель

Как видно из приведенной выше структурной схемы, приложение будет состоять из двух основных частей:

- приложения для ПК;

- Web-приложения для администрирования.

Модель «клиент-сервер» была выбрана для данного приложения, потому что таким приложением значительного легче управлять, чем если бы приложение полностью (со всей необходимой базой данных) устанавливалось на каждый ПК.

3.2 Разработка модели взаимодействия сотрудников по средствам ЭЦП

В ходе проектирования был произведен анализ информационных потоков исследуемой компании и составлена модель взаимодействия сотрудников, которая приведена на рисунке 3.2.

Как показано на рисунке 3.2, специалисты отделов работают с первичной информацией (договора от клиентов, платежные документы, технические заданий по мероприятиям), среди которой есть и конфиденциальные данные.

Специалисты отделов, по материалам поступившей первичной информации готовят отчеты для начальников отделов, которые готовят консолидированную отчетную информацию для генерального директора.

Информация, циркулирующая в системе компании предоставляться и обрабатываться после формирования электронной подписи.

Перечень видов первичной информации, с которой работают специалисты компании, представлен в таблице 3.1.



Рисунок 3.2 - Модель информационного взаимодействия сотрудников компании

Таблица 3.1. Перечень видов первичной информации ООО «Вятич»

Вид информации	Отдел	Носитель	Способ	Необходимость применения ЭЦП
Заявка на поставку стройматериалов	Отдел производства	Журнал заявок	Неавтоматизированный	Нет
Заявки клиентов услуги	Головной офис	Складской журнал	Неавтоматизированный	Нет
Договор на поставку стройматериалов	Отдел материально-технического обеспечения	Номенклатура дел	Неавтоматизированный	Да
Счета и счета-фактуры	юридический отдел	Номенклатура дел	Неавтоматизированный	Да
Информация от госорганов о приеме отчетности	юридический отдел	БД СБИС++	Автоматизированный	Да
Движение средств по расчетным счетам	юридический отдел	Банк-Клиент	Автоматизированный	Да
Заявка на корректировку ПО	системный администратор	Каналы связи	Автоматизированный	Нет

Перечень внутренних связей в ООО «Сатурн» приведен в таблице 3.2.

Таблица 3.2 - Перечень внутренних связей компании

Источник	Тип информации	Потребитель
Заместитель директора	Запрос отчетности	Профильные отделы
Отдел материально-технического обеспечения	Запрос наличия продукции	Отдел складского учета
Бухгалтерия	Запрос данных о реализации продукции	Отдел реализации
Бухгалтерия	Запрос данных о поставках стройматериалов	Отдел снабжения
Департамент снабжения	Запрос данных о состоянии склада	Отдел складского учета
Профильные департаменты	Запрос корректировок в ПО	Отдел ИТ

По завершению анализа следует отметить, что применение системы ЭЦП необходимо при взаимодействии сотрудников в процессе выполнения следующих операций:

- оформление заявки клиентов на услуги;

- оформление сотрудником счета и счета-фактуры;

- формирование документов для госорганов о сдаче отчетности;

- движение финансовых средств по расчетным счетам.

3.3 Информационное обеспечение задачи

электронный цифровой подпись документооборот

Опишем иерархию функций управления и обработки информации разрабатываемой системы. Среди реализуемых служебных функций выделяются функции системы безопасности и обеспечение работы системы.

Рисунок 3.2 - Сценарий диалога



Рисунок 3.3 - Дерево функций комплекса программных средств автоматизации документооборота

Задание и смена пароля необходимы для ограничения доступа к информации посторонних лиц, что особенно важно при обработке конфиденциальной информации, а работа справочной системы облегчает работу пользователя программы, разъясняя, как ее следует эксплуатировать.

При выборе структуры диалога была предусмотрена возможность работы с экранными формами, корректировки вводимых данных, просмотра введенной информации, работу с таблицами нормативно-справочной информации, протоколирования действий пользователя, а также помощь на всех этапах работы.

Существует два способа описания диалога. Первый предполагает использование табличной формы описания. Второй использует представление структуры диалога в виде организационного графа, вершины которого перенумерованы, а описание его содержания в соответствии с нумерацией вершин, либо в виде экранов, если сообщения относительно просты, либо в виде таблицы. В рамках выпускной квалификационной работы решено реализовать первый вариант.

Сценарий диалога приведен на рисунке 3.2.

Дерево функций комплекса программных средств автоматизации представлено на рисунке 3.3.

3.4 Программное обеспечение задачи

Для решения задачи организация работы механизма электронной подписи в информационной системе компании необходимо составить базу данных сотрудников, которым будет доступен механизм ЭЦП в процессе трудовой деятельности. Далее каждому из этих сотрудников присваивается идентификационный номер, необходимый для организации применения ЭЦП. Идентификационные номера присваиваются в соответствии с установленным внутреннем уставом исследуемой организации.

В исследуемой информационной системе будет применяться шифрование по средствам открытого ключа. Данный тип шифрования применяет комбинацию из секретного открытого ключей.

Работа применяемого механизма состоит в следующем - секретный ключ известен доверенному компьютеру, в то время как открытые ключи свободно распространяются любым другим компьютерам пользователей, которые ведут с доверенным компьютером зашифрованную передачу данных. Для того. чтобы раскодировать зашифрованное сообщение, используются оба ключа - и секретный, и открытый.

Применяемая программа для использования шифрования по средствам открытого ключа - это PGP (Pretty Good Privacy). Данное программное обеспечение дает возможность кодировать любые необходимые типы данных.

Аутентифицировать автора передаваемого сообщения дает возможность конфиденциальность закрытого ключа подписи (данный ключ известен исключительно автору сообщения, иначе ЭЦП возможно подделать) и целостность открытого ключа, доступного для всех пользователей (для корректной проверки цифровой подписи).

Разработаем базу данных системы.

Разработка любой базы данных начинается с построения так называемого дерева функций системы.

Работа пользователя с ИС начинается с загрузки главной формы, а уже посредством элементов управления вызываются функции системы.

Сценарий диалога пользователя с системой показан на рисунке 3.5.

Следующим этапом разработки базы данных является построение сущностей базы данных.

Все сущности БД являются таблицами, а атрибуты сущностей - полями. При этом меняются названия полей и таблиц в соответствии с требованиями той СУБД, под которую разрабатывается база данных. Кроме того, уточняются типы полей и ограничения, накладываемые на поля.

Соответствие между описанными в функциональной модели сущностями и таблицами в базе данных показано в таблице 3.3.

Таблица 3.3 - Соответствие между сущностями БД

Сущность	Физическая таблица
Реквизиты документов, на которые необходимо поставить ЭЦП	ДОКУМЕНТ
Данные о сотрудниках и частный пароль	СОТРУДНИК
Соотношение документа и подпись, поставленной сотрудником	ПОДПИСЬ

Рисунок 2.6 - Сценарий диалога с БД

Следующий шаг - физическое создание таблиц в базе данных.

В качестве системы управления базами данных (СУБД) был выбран MS Access.

Основными компонентами MS Access являются:

- построитель таблиц;

- построитель экранных форм;

- построитель SQL-запросов;

- построитель отчётов, выводимых на печать [8].

Microsoft Access является проприетарным программным обеспечением, т.е. для его использования необходимо приобрести лицензию. Однако для использования готовых приложений, созданных с помощью Access, лицензия не требуется. Для работы такого приложения необходима runtime-версия Access, которая распространяется бесплатно.

Корпорация Microsoft распространяет полнофункциональную версию Access как отдельно, так и совместно с другими приложениями (Word, Excel и др.) в составе пакетов Microsoft Office Professional, Microsoft Office Professional Plus и Microsoft Office Enterprise.

Ниже описаны таблицы создаваемой базы данных.

1. Таблица «ДОКУМЕНТ».

Структура таблицы приведена ниже.

Таблица 3.4 - Таблица «ДОКУМЕНТ»

Поле	Тип данных	Размер	Ограничения
ID_ДОКУМЕНТА	Int		PK
ИМЯ_ДОКУМКНТА	Varchar	255	Not null
ТИП_ДОКУМЕНТА	Varchar	255	Not null

Пример заполнения таблицы показан на рисунке 3.5.

Рисунок 3.5 - Пример заполнения таблицы «ДОКУМЕНТ»

В таблице «Документ» указаны реквизиты документов, на которые необходимо применять ЭЦП.

2. Таблица «СОТРУДНИК».

Структура таблицы приведена ниже.

Таблица 3.5 - Структура таблицы «СОТРУДНИК»

Поле	Тип данных	Размер	Ограничения
ID_СОТРУДНИК	Int		PK
ФИО	Varchar	255	Not null
ДОЛЖНОСТЬ	Varchar	255	Not null
ЧАСТНЫЙ_ПАРОЛЬ	Varchar	255	Not null

Пример заполнения таблицы показан на рисунке 3.6.

Рисунке 3.6 - Пример заполнения таблицы «СОТРУДНИК»

В таблице «СОТРУДНИК» приведены данные о сотрудниках и частные пароли. Пароли в открытой форме не отображаются. Пароли необходимы для дальнейшей реализации установления авторства, а так же разграничения доступа сотрудников.

3. Таблица «ПОДПИСЬ».

Структура таблицы приведена ниже.

Таблица 3.6 - Структура таблицы «ПОДПИСЬ»

Поле	Тип данных	Размер	Ограничения
ПОДПИСЬ	Int		PK
НОМЕР_ДОКУМЕНТА	Varchar	255	Not null
НОМЕР_РАБОТНИКА	Varchar	255	Not null
ОБЩИЙ_ПАРОЛЬ	Varchar	255	Not null

Пример заполнения таблицы показан на рисунке 3.7.

Рисунок 3.7 - Пример заполнения таблицы «ПОДПИСЬ»

В таблице «ПОДПИСЬ» соотносятся документы и подписи, поставленные должностными лицами. Общий пароль требуется для того, что бы реализовать общий доступа к документам всему персоналу. Это требуется для организации электронного документооборота, при этом лица не владеющие частными паролями не имеют права корректировать документы просматриваемые, как общие. Таким образом, не происходит нарушения принципа разграничения доступа по пользователям.

На основе полученных ранее результатов построим дерево программных модулей:

- выполняющих служебные функции;

- управляющих модулей, предназначенных для загрузки меню и передачи управления другому модулю;

- модулей, связанных с вводом, хранением, обработкой и выдачей информации (функциональные модули).

Дерево программных модулей показано на рисунке 3.8.

Схема функционирования БД отражает механизм, который на команду пользователя выполняет операции с БД внутри системы.

Разработка базы данных завершена.



Рисунок 3.8 - Дерево вызова программных модулей

3.4 Контрольный пример реализации проекта

В соответствии с построенной базой данных и информации о сотрудниках, работающих с ЭЦП, можно организовать раздачу частных паролей.

В электронной подписи нуждаются следующие сотрудники: директор, главный бухгалтер и кассир.

1. ФИО - Иванов И. И., должность - директор.



Рисунок 3.9 - Электронная подпись «Директор»

2. ФИО - Петрова Е. С., должность - главный бухгалтер.

Рисунок 3.10 - Электронная подпись «Главный бухгалтер»

3. ФИО - Харитонова В. А., должность - кассир.

Рисунок 3.11 - Электронная подпись «Кассир»

В поле «Введите текст для подписи» генерируется уникальный код, соответствующий имени и должности необходимого сотрудника. Этот параметр может быть изменен по желанию пользователя, однако должна иметь место единая форма подписи. Процесс генерации электронной подпись можно реализовывать несколько раз. При этом подписи после процедуры дешифрования не изменяется в зависимости от ключа. Данный аспект обеспечивает дополнительную защищенность тогда, когда третьим лицам каким-либо способом получится завладеть кодом соответствующий подписи.

Разработанная информационная система включает в своем составе следующие элементы:

- система управления базой данных;

- база данных;

_ программа по созданию ЭЦП.

Ниже на рисунке 3.11 приведена основная форма программы. Именно с данной формы будет начинать работу пользователь системы. На имеется форме шесть кнопок, а так же четыре текстовых поля.

Рисунок 3.11 - Главная форма

В текстовой форме «Введите текст для подписи» пользователь указывает информацию, которая является аналогом его личной подписи. Такой информацией может быть кили текст, или какое-либо число.

При активизации кнопки «Открытый ключ (Получатель)» пользователь видит код, который соответствует его подписи. Иными словами - это является его общим паролем, дающим доступ для чтения документа.

При активизации кнопки «Закрытый ключ (отправитель)» пользователь получает код, который соответствует его подписи, - он является его частным паролем, дающим право обладателю ЭЦП изменять документацию.

При активизации кнопки «Проверить подпись с помощью открытого ключа» производится автоматизированная проверка подписи, в том случае, если подпись «правильна», то пользователь видит сообщение:

Рисунок 3.12 - Проверка подписи

В ином случае - на экране будет сообщение:

Рисунок 3.13 - Проверка подписи

При нажатии на соответствующую кнопку, пользователь получает дешифрованный вариант подписи, - то, что было введено пользователем в поле «Введите текст для подписи».

При активизации кнопки «open data base» (открыть базу данных) открывается окно, которое приведено на рисунке 3.14.

В данной форме администратор имеет возможность вводить информацию о сотрудниках компании и их цифрових подписях. Эта процедура необходима для организации разграничения доступа.

Описанный механизм позволяет организовать систему ЭЦП на исследуемом предприятии.



Рисунок 3.14 - СУБД

Выводы по третьей главе

Третья глава выпускной квалификационной работы посвящена разработке проекта системы электронно-цифровой подписи.

В данной главе разработана информационная модель исследуемого процесса, модели взаимодействия сотрудников по средствам ЭЦП. Для системы выбрана модель «клиент-сервер», потому что таким приложением значительного легче управлять, чем если бы приложение полностью (со всей необходимой базой данных) устанавливалось на каждый ПК.

Разработаны решения по информационному и программному обеспечению системы.

Так же в заключении главы приведен контрольный пример реализации проекта.

Заключение

На сегодняшний день информационные ресурсы стали одними из самых значимых рычагов экономического влияния. Информация нужного качества в необходимое время, в необходимом месте - это залог достижения целей в абсолютно любом виде деятельности. Монопольные права на обладание информационными ресурсами оказываются, как правило, определяющими преимуществами в борьбе за рынок.

Глобальное распространение ЭВМ выводит информатизацию всех сфер жизни на новый уровень. Сегодня невозможно представить организацию, пусть даже и самую мелкую, которая бы не имела в своем распоряжении современные средств обработки данных.

Формирование защищенной индустрии работы с конфиденциальными данными, дает предпосылки для значительного роста эффективности труда, порождает при этом ряд сложных и масштабных проблем. Одна из таких проблем - надежное обеспечение сохранности информации и установленного статуса её использования.

Один из наиболее актуальных на сегодня вопросов, который касается защиты информации в Российской федерации, это вопрос организации защиты данных в рамках действующего российского законодательства, а так же актуальными угрозами безопасности информационных систем. Особо острым является вопрос обеспечения безопасности информации в масштабных распределенных информационных системах.

Информационная безопасность сегодня развивается очень быстрыми темпами. Данному факту способствуют прогресс объективный информационных технологий, а так же противоборство «нападающих» и «защищающихся».

К великому сожалению, указанная динамичность затрудняет обеспечение надежной защищенности информационных ресурсов. На это существуют конкретные причины:

* рост быстродействия микросхем, модернизация существующих и создание новых архитектур с высокой степенью параллелизма дает возможность с помощью «грубой силы» (перебором вариантов) более эффективно преодолевать криптографические барьеры, которые ранее были неприступными;

* модернизация сетей, рост числа связей в информационных системах, увеличение пропускной способности каналов связи - все это увеличивает число злоумышленников, имеющих технические возможность осуществлять нападение;

* рост конкуренции среди производителей ПО заставляет вынуждает компании уменьшать сроки разработки программных систем, а это ведет к уменьшению уровня качества и выпуску продуктов с дефектами в системах защиты;

* навязанная потребителям парадигма, которая состоит в постоянном наращивании программно-аппаратного обеспечения, конфликтует с бюджетными ограничениями - из-за этого происходит снижение доли ассигнований на безопасность.

Стремясь к нейтрализации и снижению вероятности проявления каких-либо угроз безопасности информации в процессе функционирования информационной системы, необходимо применение специализированных программно-аппаратных средств. К таким средствам относятся системы электронной цифровой подписи.

По завершению выполнения выпускной квалификационной работы получены следующие результаты:

- исследована общая характеристика и направления деятельности анализируемой компании;

- произведен анализ информационной системы и ресурсов компании;

- изучены принципы функционирования и понятие электронной цифровой подписи;

- произведено моделирование бизнес-процессов информационной системы компании

- разработана модель взаимодействия сотрудников компании по средствам ЭЦП;

- организована работа механизма электронной подписи в информационной системе.

В процессе работы получен значительный объем теоретических и практических навыков в сфере организации систем ЭЦП, которые будут необходимы в процессе дальнейшей деятельности по специальности.

По завершению работы можно достоверно отметить, что все поставленные задачи были выполнены, а цель работы полностью достигнута.

Список используемых источников

1. Агеев, В. Правовое регулирование цифровой подписи и отметок времени в Германии / В. Агеев. - Электрон, текстовые данные. - Режим доступа: www.russianlaw.net/law.

2. Ананько, А. Интернационализация правового регулирования вопросов применения электронных подписей. / А. Ананько. - Электрон, текстовые данные. - Режим доступа: www.russianlaw.net/law.

3. Бернет С., Пейн С. Криптография. Официальное руководство RSA Security. - М.: Бином-Пресс, 2013. - 392 с.

4. Гарибян А. Электронная цифровая подпись: правовые аспекты // Российская юстиция. - 2014. - № 11.

5. Достовалов П.В., Плетнева О.В. Правомерность использования электронно-цифровой подписи при заключении гражданско-правовых договоров // Новое в бухгалтерском учете и отчетности. - 2014. - № 15.

6. Бобылева, М.Л. Некоторые вопросы использования элементов электронного документооборота между организациями. / М.Л. Бобылева. // Делопроизводство. - 2016. - № 3.

7. Бородакий Ю.В. Информационные технологии: методы, процессы, системы / Ю.В. Бородакий, Ю.Г. Лободинский. - М.: Радио и Связь, 2016.

8. Викторова, Н. А. Электронный документ вместо бумажного. / Н.А. Викторова. // Бюджетный учет. - 2014. - № 7.

9. Егорова, Н. Электронная цифровая подпись. / Н. Егорова. // Домашний адвокат. - 2014. - № 17.

10. Конёнкова, Е.И. Электронная цифровая подпись. / Е.И. Коненкова. // Цивилист. - 2015. - № 3.

11. Малофеев С.О применении электронной цифровой подписи в электронном документообороте / С. Малофеев // Секретарское дело. - 2016. - № 7.

12. Онегов В.А. Электронная цифровая подпись и приемы хеширования / В.А. Онегов // Информатика и образование. - 2016. - № 1.

13. Серго А. Электронный документооборот // Российская юстиция. - 2015. - № 5.

14. Танимов О.В. Электронный документ и электронная цифровая подпись как юридические фикции // Информационное право. - 20124 - №. 3.

15. Шахвердов В.А. Цифровая подпись в системах автоматизации делопроизводства и документооборота / В.А. Шахвердов // Делопроизводство и документооборот на предприятии. - 2017. - № 8.

16. Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. - М.: Радио и связь, 2010.

17. Симонов С.В. Методология анализа рисков в информационных системах // Защита информации. Конфидент. 2012. №1.

18. Шумский А.А., Системный анализ в защите информации / А.А. Шумский, А.А. Шелупанов. - М.: Гелиос АРВ, 2009. - 224 с.

19. Трубачев А.П., Долинин М.Ю., Кобзарь М.Т., Сидак А.А., Сороковиков В.И. Оценка безопасности информационных технологий / Под общ.ред. В.А. Галатенко. - М.: Издательство СИП РИА, 2012.

20. Шпак В.Ф. Методологические основы обеспечения информационной безопасности объекта // Конфидент. Защита информации. - №1. - 2014. - С. 75-86.

21. Белов Е.Б. Основы информационной безопасности. Е.Б. Белов, В.П. Лось, Р.В. Мещеряков, А.А. Шелупанов. -М.: Горячая линия - Телеком, 2011. - 544с.

22. Ярочкин В.И., Информационная безопасность: учебник для студентов вузов// - М.: Академический проект; Гаудеамус, 2-е изд., 2013 г., 544 с.

Размещено на Allbest.ru

...