В настоящее время необходимость в защите информации очевидна. Существует множество стандартов описывающих различные положения в области информационной безопасности. Один из аспектов – использование криптографии, которая включает в себя технологии шифрования и применение электронной цифровой подписи (ЭЦП). Для обеспечения безопасного обмена электронными документами возможностей криптографии не достаточно. Наиболее распространенными концепциями обеспечения безопасности электронного документооборота являются OpenPGP и PKI. В отличие от OpenPGP, концепция PKI предоставляет механизм распространения публичных ключей участников обмена, защищающий их от умышленной подмены, а также предоставляет основу для механизма разбора конфликтных ситуаций.
Ввиду повсеместной автоматизации производственных процессов предприятий и вовлечения автоматизированных информационных систем (АИС) в защищенный электронный документооборот, разработчикам АИС необходимо решить проблему защищенного хранения закрытого ключа. В отличие от людей, которые самостоятельно решают эту проблему, для таких систем требуются дополнительные средства обеспечения безопасности хранения ключевой информации, что является не тривиальной задачей.
Одним из подходов решения является разграничение ролей в системе, в частности предлагается выделение таких ролей как Администратор Безопасности (АБ) и Системный Администратор (СА). В ситуации, когда роли АБ и СА выполняет один и тот же человек, проблемы защищенного хранения ключевой информации не возникает. В противном случае появляется необходимость разделить обязанности и ответственность между АБ и СА со специфическими требованиями, включая разграничение доступа к ресурсам системы хранящих ключевую информацию.
Предметом рассмотрения данной работы является анализ возможных подходов, которые могут применяться на практике при разработке АИС. В работе рассматриваются следующие схемы:
- Роли АБ и СА выполняет один человек; такая схема является наиболее распространенной;
- Роли АБ и СА выполняют разные люди, но при этом ключевая информация не хранится в системе, а находится непосредственно у АБ или другого ответственного лица.
В работе сделана попытка охватить все варианты практического использования перечисленных схем, с выявлением возможных проблем при их реализации. В заключении рассматривается схема, используемая в разработанной автоматизированной информационно–измерительной системе коммерческого учета электроэнергии (АИИС КУЭ) функционирующей на территориально–распределенном предприятии федерального уровня. Технология ЭЦП в этой системе применяется при отправке электронных документов участников оптового рынка электроэнергии.
(с) 2006, Новоселов Е.В., Андрюшкевич С.К.
