Главная Коллекция "Revolution" Программирование, компьютеры и кибернетика Автоматизация процесса подачи и обработки заявок в удостоверяющий центр

Автоматизация процесса подачи и обработки заявок в удостоверяющий центр

Анализ процесса обработки заявок и подачи заявок в удостоверяющий центр (УЦ) ООО "Сибтел-Крипто" на оказание услуг электронной отчетности с целью его автоматизации. Основные инструментальные методы для упрощения процесса взаимодействия УЦ с клиентом.

Рубрика Программирование, компьютеры и кибернетика
Вид дипломная работа
Язык русский
Дата добавления 06.12.2016
Размер файла 1,1 M
рефераты на заказ со скидкой

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Страница:

Модуль интеграции с CRM-системой

Данный модуль необходим для взаимодействия с Microsoft Dynamic CRM 2011. Все полученный данные полученные от клиента будут хранится в CRM-системе. Этот подход выбран для упрощения структуры системы, а также данное решение повысит надежность системы исключив избыточные элементы. Сервер с CRM-системой находится в локальной сети УЦ.

Модуль взаимодействия с сервисом "Контур-Фокус" и базой данных банков РФ

Данный модуль необходим для взаимодействия со сторонними сервисами и базой данных. При заполнении формы заявки, производится автоматическое заполнение основных полей, что сократит время заполнения и уменьшит вероятность ошибок. В качестве источников информации, используется система "Контур-Фокус", которая позволяет получить выписки из Единого государственного реестра юридических лиц и индивидуальных предпринимателей. Для получения информации о банке клиента используется справочник банковских идентификационных кодов.

Служба оповещения клиентов

Данный компонент выполняет следующие функции:

· информирования клиентов о статусе их заявлений;

· информирования о сроке истечения действия сертификатов или завершения услуг;

· повышения безопасности использования кабинетом УЦ.

Система подачи заявлений

Это компонент который формирует заявку на основании данных предоставленных клиентом при заполнении формы и передает на обработку в CRM систему.

В качестве платформы для разработки данной системы выбран.net Framework версии 4.5 и язык программирования C# (Си Шарп), в качестве среды разработки Microsoft Visual Studio 2013. Для разработки web-сайта выбрана технология ASP.net MVC.

2.3 Интеграция с Microsoft Dynamic CRM 2011

Интеграция с Microsoft Dynamic CRM является важной частью разработки системы т.к. для хранения данных будут использоваться инструменты CRM системы. Также для полноценной автоматизации подачу заявления нужно встроить во внутренние бизнес процессы удостоверяющего центра.

Для интеграции с сервисами в Dynamic CRM используется SOAP сервис. Для работы с данным сервисов и форматом XML сообщений компания Microsoft выпустила набор инструментов (Microsoft Dynamics CRM 2011 SDK) который позволяет делать запросы и управлять бизнес процессами в CRM системе.

Пример создания клиента и авторизации для CRM системы [12]:

clientCredentials = new ClientCredentials ();

clientCredentials. Windows. ClientCredential = new System.net.networkCredential (username, password, domain);

cachedConfig = ServiceConfigurationFactory. CreateConfiguration<IOrganizationService> ({CRM_URL});

OrganizationServiceProxy client = new OrganizationServiceProxy (cachedConfig, clientCredentials);

Пример запроса на получение информации о подключенных услугах у клиента:

<fetch version=""1.0"" output-format=""xml-platform"" mapping=""logical"" distinct=""false"">

<entity name=""new_ser"">

<attribute name=""new_serv"" />

<attribute name=""new_history"" />

<attribute name=""new_dend"" />

<attribute name=""new_dbegin"" />

<attribute name=""new_serid"" />

<order attribute=""new_serv"" descending=""false"" />

<filter type=""and"">

<condition attribute=""new_account_new_ser"" operator=""eq"" value=""{0}"" />

<condition attribute=""new_dbegin"" operator=""not-null"" />

</filter>

</entity> </fetch>

Для выполнения запросы нужно выполнить следующий код:

client. RetrieveMultiple (new FetchExpression (String. Format ({XML}, accountId)));

Кроме получения данных должна быть возможность сохранять данные не нарушая внутреннею структуру бизнес процессов компании. Пример общего запроса на сохранение данных:

<Update xmlns='http://schemas. microsoft.com/crm/2007/WebServices'> <entity xsi: type='{entityName}'> <fieldName>{fieldValue}</fieldName> </entity> </Update>

Сущностей (Entity) в CRM системе может быть создано много, и они могут быть связаны между собой. Запросы выполняются асинхронно с использование ключевых async/await. Данная возможность появилась в C# 4.5, такой подход облегчат работу с асинхронными методами.

Интеграция заключается в разработки библиотеки для работы с конкретными сущностями CRM системы, список основных методов:

· получение данных о клиенте по сертификату;

· получение данных о сертификатах и услугах клиента;

· получение данных о контактных лицах клиента;

· получение активных заявок клиента;

· добавление заказа от клиента;

· добавление клиента;

· добавление контактного лица.

2.4 Проектирование Web-интерфейса

Web-интерфейс важная часть системы автоматизации, именно через него будет происходить работа клиента. Важной задачей является сделать его простым и интуитивно понятным для клиента.

Для проектирования интерфейса использовались следующие технологии: HTML, CSS, Javascript. Для ускорения разработки был применен Twitter Bootstrap, это свободный набор инструментов для создания сайтов и веб-приложений. Включает в себя HTML и CSS шаблоны оформления для типографики, веб-форм, кнопок, меток, блоков навигации и прочих компонентов веб-интерфейсов, включая JavaScript расширения.

Рисунок 2.4 Главная страница

На главной странице пользователю предлагается выбрать действие:

· зайти в кабинет УЦ (будет рассмотрен ниже)

· составить заявление

При составлении заявления пользователю открывается страница на которой нужно по шагам ответить на вопросы. После этого формируется заявление и отправляется в УЦ.

Рисунок 2.5 Пример одного шага при составлении заявления

Рисунок 2.6 Страница показывающая подключенные услуги и сертификаты

Примечание: Интерфейс может меняться в процессе развития сервиса

2.5 Служба оповещения клиентов

Для оповещения клиентов используются два вида рассылок электронные письма (E-mail) и SMS рассылки. Электронные письма рассылаются в случаях:

· после составления заявления отправляется с информацией, которая указана в заявлении;

· при отклонении заявления по каким-либо причинам;

· напоминание о необходимости продления услуги.

SMS сообщения рассылаются в следующих случаях:

· при входе в личный кабинет владельцу сертификата приходит сообщения;

· напоминание о необходимости продления услуги.

Для создания такого инструмента будет разработана Windows-служба, которая будет рассылать сообщения. Рассылка будет осуществляться по следующей схеме:

· один раз в день отправляется на e-mail письмо и sms-сообщение тем клиентам, у которых осталось 2 недели до окончания срока действия услуги;

· отправляется sms-сообщение при входе в личный кабинет.

Взаимодействие со службой будет осуществляться с помощью очередей сообщений (MSMQ). Такой подход позволит оперативно взаимодействовать со службой рассылки.

2.6 Использование очередей MSMQ

В операционной системе Windows доступна служба очередей сообщений MSMQ (Microsoft Message Queuing). Очередь сообщений создана для взаимодействия приложений в распределенной среде. Для работы с очередями была написана вспомогательный класс (класс-обертка) для упрощенной работы, в котором используется стандартная библиотека (разработанная компанией Microsoft) и входит в.net Framework и доступна в пространстве имен System. Messaging. В результате использование очередей сообщений упростилось, пример работы с классом [13]:

var rs = new MQReceiver ();

rs. ReceivedMessage += rs_ReceiveMessage;

rs. Start ();

Метод, который срабатывает при получении сообщения:

private void rs_ReceiveMessage (MQReceiver sender, MQMessage message) {

if (message. IsMail) {

mailsender. SendMailAsync (message, r =>{

if (r. Status == TaskStatus. RanToCompletion) {

AddLog ("Mail sended to " + message. Address);

}else{

if (r. Exception! = null&&r. Exception. InnerException! =null) { AddLog (r. Exception. InnerException. Message); }}});

}else{

smssender. Send (message, r =>{

if (r. Status == TaskStatus. RanToCompletion) {

AddLog ("SMS sended to " + message. Address);

}else{

if (r. Exception! = null) { AddLog (r. Exception. InnerException. Message);

}}}); }}

2.7 Использование Контур-Фокус API

Для автоматизации процесса заполнения заявлений будет использоваться сервис Контур-Фокус. У данного сервиса есть не публичное API, которое доступно только партнерам компании "СКБ-Контур".

Работа с сервисом организована следующим образом:

· при заполнении клиент указывает ИНН организации;

· при формировании заявления выполняется GET запрос на сервис Контур-Фокус, передавая ИНН клиента;

· в ответ на запрос сервис возвращает информацию об юридическом лице.

Пример запроса на получения информации:

https: // focus-api. kontur.ru/api? inn=7203158243&key={api-key}

Пример неполного ответа:

{"items": [

{

"inn": "7203158243",

"kpp": "720301001",

"ogrn": "1057200596970",

"okpo": "76822710",

"fullName": "Общество с ограниченной ответственностью \"Сибтел-Крипто\"",

"shortName": "ООО \"Сибтел-Крипто\"",

"statusText": "Действующее",

[…]

}] }

Описание параметров:

iin - ИНН организации о которой запрашивается информация.

key - уникальный ключ, который выдается партнерам компании "СКБ-Контур".

2.8 Хранение информации о банках

Для удобства пользователя, а также сокращения числа ошибок, при заполнении информации о банке клиента используется автоматическое заполнение. При вводе банковского идентификационного кода (БИК) информация о названии и корреспондентском счет берется из базы данных.

В качестве сервера базы данных используется MS SqlServer. Данная БД состоит из одной таблицы, ниже перечислены основные поля:

· Id - идентификатор записи;

· Name - название банка;

· Adr - адрес банка;

· Bik - БИК банка;

· Tels - телефоны банка.

Пример запроса:

https: // o. ke72.ru/PublicApi/GetBankByBik? bik=044525225

Ответ сервера в формате JSON:

[{"Name": "ОАО \"СБЕРБАНК РОССИИ\"", "Bik": "044525225", "KS": "30101810400000000225", "Address": "УЛ. ВАВИЛОВА, 19","City": "МОСКВА","Tel": " (495) 5005550,88005555550"}]

После получения ответа от сервера, заполнение полей производится при помощи JavaScript.

Глава 3. Обеспечение безопасности автоматизированной системы обработки заявок УЦ

Разработанная система является расширением CRM - системы используемой в УЦ. Все необходимые мероприятия по обеспечению ИБ действующий УЦ были проведены соответствующими специалистами до разработки системы ОЗК.

Очевидно, после внедрения системы ОЗК список актуальных угроз расширяется, т.к. появляется дополнительный объект для реализации угроз информационной безопасности, которые ранее не были учтены.

В данной дипломной работе анализируются угрозы информационной безопасности, возникающие в связи с внедрением подсистемы автоматизации обработки заявок, не затрагивая безопасность основной информационной системы УЦ в целом.

Модель нарушителя

Для системы ОЗК нарушителей можно разделить на две группы:

· Внутренний нарушитель - физическое лицо, имеющий доступ к основной информационной системе УЦ.

· Внешний нарушитель - физическое лицо, не имеющий доступ к основной информационной системе УЦ. Взаимодействие с разработанной системой автоматизации осуществляется через Интернет.

Внутренний нарушитель

В качестве внутренних нарушителей я рассматриваю лиц, являющихся работниками УЦ и имеющих доступ к CRM-системе в УЦ. К этой группе относятся:

· системный администратор основной ИС УЦ (Категория 1);

· менеджер по работе с клиентами (Категория 2);

· оператор (Категория 3).

Лица, относящиеся к категории 1, потенциально могут реализовывать угрозы ИБ, используя возможности по непосредственному доступу к защищаемой информации, обрабатываемой и хранимой в ИС УЦ, а также к техническим и программным средствам ИС [14].

Лица, категории 2 имеют доступ CRM-системе, в которой хранится информация о клиентах УЦ.

Лица, категории 3 имеют доступ к локальной сети УЦ.

Нарушители категории 2 и 3 исключаются из актуальных ввиду архитектурных решений, примененных при разработке системы автоматизации. Данные решения позволили исключить взаимодействие нарушителей данных категорий с рассматриваемой системой.

К нарушителям категории 1, применяться комплекс особых организационных мер по их подбору, принятию на работу, назначению на должность и контролю выполнения функциональных обязанностей. Предполагается, что в число лиц категорий 1 будут включаться только доверенные лица и поэтому указанные лица исключаются из числа вероятных нарушителей [14].

Внешний нарушитель

К данной группе относятся лица, взаимодействующие с системой ОЗК удаленно, через сеть Интернет.

Предполагается, что лица данной группы относятся к вероятным нарушителем.

Цели реализации угроз информационной безопасности

Основными информационными ресурсами, обрабатываемыми в подсистеме являются следующие.

1. Целевая информация

· персональные данные клиентов УЦ;

· информация о подключенных услугах и сертификатах выданных УЦ.

2. Технологическая информация:

· конфигурационные файлы;

· средства и принципы защиты, применяемые в подсистеме.

Основными целями реализации угроз для злоумышленника могут быть нарушением целостности, конфиденциальности и доступности информации о клиентах УЦ.

Целью нарушения конфиденциальности информации злоумышленником может быть получение базы клиентов УЦ. Факт разглашения данной информации может послужить поводом для репутационных потерь, а также оттока клиентов.

Целью нарушения целостности и доступности информации злоумышленником, может быть желание приостановить работу УЦ, что скажется на финансовых показателях удостоверяющего центра и клиентов данной организации.

Перечень актуальных угроз и меры по обеспечению безопасности системы

В данном списке содержатся угрозы актуальные для системы ОЗК. Выбор производился на основании базовой модели безопасности угроз [15]. Актуальность данных угроз обусловлено мнением экспертов в области ИБ.

Угрозы "Анализа сетевого трафика" с перехватом передаваемой во внешние сети и принимаемой из внешних сетей информации

Для противодействия данным угрозам используются защищенные каналы связи. Передача информации между клиентом и системой ОЗК, а также между CRM-системой и системой ОЗК с использованием шифрования.

Угрозы сканирования, направленные на выявление типа операционной системы ИСПДн, сетевых адресов рабочих станций, открытых портов и служб, открытых соединений и др.

Для противодействия данным угрозам проведены следующие меры:

· произведена настройка Firewall таким образом, чтобы сетевые порты, кроме 443 были закрыты;

· удалена информация из заголовков http-ответа сервера способная раскрыть платформу разработки и версии ПО;

· была изменено название переменной для хранения сессии в cookies пользователя.

Угрозы выявления паролей

Для противодействия данным угрозам используются защищенные каналы связи.

Угрозы получения НСД

Для противодействия данным угрозам были применены следующие методы:

· вход в закрытую часть сайта ОЗК производится по сертификату;

· фильтрация запросов в CRM-систему;

· доступ к серверу по RDP с определенных IP-адресов;

· обновление системы.

Угрозы типа "Отказ в обслуживании"

Для противодействия данным угрозам были проведены следующие мероприятия:

· использование параметризированных запросов в БД MS Sql Server;

· использование CAPTCHA для предотвращения отправки большого числа заявок;

· обновление системы.

Угрозы удаленного запуска приложений

Для противодействия данным угрозам были проведены следующие мероприятия:

· установка антивирусного ПО.

Также были проведены мероприятия по предотвращению следующих уязвимостей:

· Cross-Site Request Forgery. Данная уязвимость решается использованием инструментов, которые входят в платформу разработки (ASP.net MVC). Для устранения данной уязвимости нужно передавать специальные маркеры при каждом запросе, что предотвращает подделку запроса от пользователя.

· Cross-Site Scripting (XSS). Данную уязвимость позволяет избежать путем проверки содержимого запросов, а также экранирования при выводе информации пользователю. Данные функции по предотвращению XSS входят в выбранную платформу разработки (ASP.net MVC).

Заключение

В результате проделанной работы была разработана система автоматизации обработки заявок от клиентов в удостоверяющий центр на оказание услуг электронной отчетности в государственные органы РФ. Данная система позволяет получить услугу отчетности в следующие государственные органы:

· Федеральная Налоговая Службаx;

· Пенсионный фонд;

· Фонд Социального Страхования;

· Росстат;

· Росприроднадзор.

Для достижения цели был проведен анализ бизнес процессов УЦ по обработке заявок и выявлены места для автоматизации.

Также были выполнены меры по обеспечению информационной безопасности разработанной системы.

Система автоматизации внедрена в удостоверяющем центре ООО "Сибтел-Крипто" и проходит тестирование.

Список литературы

1. Федеральный закон от 06.04.2011 N 63-ФЗ "Об электронной подписи". 2013.

2. ГОСТ Р 34.10-2012. Процессы формирования и проверки электронной цифровой подписи. 2012.

3. ГОСТ Р 34.11-2012. Функция хэширования. 2012.

4. Приказ ФСБ РФ от 27.12.2011 N 795 "Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи". 2011.

5. Приказ ФСБ РФ от 27.12.2011 N 796 "Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра". 2011.

6. // Веб-служба - Википедия: [сайт]. URL: http: //ru. wikipedia.org/wiki/Веб_служба (дата обращения: 20. Январь. 2014).

7. Рихтер Д. CLR via C#. Программирование на платформе Microsoft.net Framework 4.0 на языке C#. Питер, 2012.

8. // Информационная безопасность - Википедия: [сайт]. [2006]. URL: http: //ru. wikipedia.org/wiki/Информационная_безопасность (дата обращения: 20. Январь. 2014).

9. Ф. Ш.В. Защита информации в компьютерных системах и сетях. Москва: ДМК Пресс, 2012.

10. // Статистика уязвимостей корпоративных информационных систем за 2012 год: [сайт]. [2013]. URL: http: //www.ptsecurity.ru/download/analitika_web. pdf (дата обращения: 26. Января. 2014).

11. // Подделка межсайтовых запросов - Википедия: [сайт]. [2007]. URL: http: //ru. wikipedia.org/wiki/Подделка_межсайтовых_запросов (дата обращения: 20. Январь. 2014).

12. // MSDM - Microsoft Dynamics CRM Sdk: [сайт]. URL: http: //msdn. microsoft.com/en-us/library/hh547453. aspx (дата обращения: 8. Январь. 2014).

13. // MSDN - Reliable Messaging with MSMQ and.net: [сайт]. [2002]. URL: http: //msdn. microsoft.com/en-us/library/ms978430. aspx (дата обращения: 9. Январь. 2014).

14. России М. Методические рекомендации по составлению Частной модели угроз безопастности персональных данных при их обработке в информационных системах персональных данных учреждений здравоохранения, социальной сферы, труда и занятости. Москва. 2009.

15. ФСТЭК. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. 2008.

16. // URI - Википедия: [сайт]. [1990]. URL: http: //ru. wikipedia.org/wiki/URI (дата обращения: 20.1.2014).

17. // HTTPS - Википедия: [сайт]. [2000]. URL: http: //ru. wikipedia.org/wiki/HTTPS (дата обращения: 20. Январь. 2014).

18. RFC 2068 - Протокол Передачи Гипертекста - HTTP/1.1 [Электронный ресурс] // RFC 2.0 - Русские Переводы RFC: [сайт]. [1997]. URL: http: //rfc2.ru/2068. rfc (дата обращения: 20. Январь. 2014).

Размещено на Allbest.ru

...

Страница:


Подобные документы

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.

© 2000 — 2023, ООО «Олбест» Все права защищены