Файл: Методика защиты информации в системах электронного документооборота (Выбор программных средств разработки).pdf

ВВЕДЕНИЕ

Документы – это основные информационные ресурсы компании, работа с которыми требует правильной организации. Документы обеспечивают информационную поддержку принятия решений на всех уровнях и сопровождают ведение всех процессов.

При организации работы с документами компании через глобальную сеть интернет, важнейшим требованием является обеспечение информационной безопасности, которую можно обеспечить, используя двухэтапную аутентификацию.

Двухэтапная аутентификация – это метод идентификации пользователя в каком-либо сервисе (как правило, в интернете) при помощи запроса аутентификационных данных двух разных типов, что обеспечивает двухслойную, а значит, более эффективную защиту аккаунта от несанкционированного проникновения. На практике это обычно выглядит так: первый рубеж – это логин и пароль, второй – специальный код, приходящий по SMS или электронной почте. [1]

Целью данной работы является разработка программного комплекса защиты информации в системах электронного документооборота.

Для достижения цели были поставлены следующие задачи:

• • • 1. Изучение предметной области;
      2. Исследование аналогичных систем;
      3. Разработка технического задания на создание системы;
      4. Проектирование пользовательского интерфейса;
      5. Проектирование архитектуры системы;
      6. Проектирование базы данных;
      7. Реализация и тестирование системы.

Глава 1. АНАЛИТИЧЕСКИЙ ОБЗОР

1.1 Обзор существующих систем

Были найдены и изучены различные системы электронного документооборота, из которых было выбрано 7 наиболее известных и близких по функционалу для более детального рассмотрения.

К ним относятся следующие системы:

1. Seafile;
2. BitTorent Sync;
3. NextCloud;
4. Pydio;
5. FreeNAS;
6. ProjectSend;
7. OpenFiler.

Далее приведены краткие описания каждой.

Seafile

Seafile – это облачный сервис для хранения корпоративных файлов с шифрованием на клиентской стороне.

Seafile создан китайскими разработчиками и распространяется в исходных кодах. Он позиционируется как средство синхронизации файлов и совместной работы для команд. Seafile использует центральное хранилище, к которому подключаются клиенты. Серверная часть существует в двух редакциях: Open Source и Professional. Поскольку Seafile позиционируется не только как сервис файловой синхронизации, но и как средство совместной работы, в нем предусмотрены такие инструменты, как встроенная вики, ведение списков задач, общий доступ к файлам через веб, онлайн-просмотр файлов с дискуссиями, управление учетными записями и группами, поддержка LDAP, обмен сообщениями.

Seafile основан на модифицированной под задачи файловой синхронизации модели Git. Основным понятием в Seafile является библиотека, которая соответствует группе каталогов. В отличие от Git, файлы разделяются на блоки для более эффективной передачи по сети и хранения. Можно не только давать права пользователям и группам на синхронизацию библиотек, но и открывать общий доступ через веб как к отдельным файлам, так и к каталогам с правами только на чтение или и на чтение, и на запись. В качестве сервера баз данных Seafile может использовать SQLite, MySQL, PostgreSQL, веб-серверы Apache и nginx. Воспользоваться Seafile можно и без установки своего сервера

• облачный сервис Seacloud, построенный на основе Seafile, в бесплатном тарифном плане предоставляет 1 Гб бесплатного дискового пространства и 5 Гб включенного трафика. Для оценки возможностей, предоставляемых Seafile, можно ознакомиться с демо-версией.

BitTorent Sync

В BitTorrent Sync используется подход, принципиально отличный от других систем. Синхронизация построена на основе децентрализованного peer- to-peer протокола. Если файл доступен сразу на нескольких устройствах, они могут передавать его одновременно, достигая при этом максимально возможной скорости. Не требуется указывать никаких адресов сервера – устройства с одним и тем же кодом найдут друг друга автоматически. Для этого используется несколько механизмов: поиск в локальной сети с помощью широковещательных пакетов, пиры могут обмениваться друг с другом информацией о других известных им пирах, пир может быть задан статически указанием адреса и порта, может быть использована DHT либо BitTorrent трекер-сервер, который пиры уведомляют о своей доступности и который может быть ими использован для проксирования трафика при невозможности установить прямое соединение.

При передаче файлы шифруются и не сохраняются на каких-либо устройствах, кроме тех, что были авторизованы пользователем. Для взаимной аутентификации устройств используется SRP. Сама компания BitTorrent хотя и имеет доступ к статистике сервиса, но заявляет, что никакие данные пользователей ей принципиально не могут быть доступны.

Поскольку центрального хранилища в BTSync нет, все участники равны, и, если две группы участников некоторое время выйдут из синхронизации, потом будет сложно разобраться в том, какая из версий основная. Синхронизация через HTTP/HTTPS не поддерживается, поэтому далеко не всегда он сможет пройти через сетевые экраны, и в современной защищенной корпоративной среде ему приходится туго. Нет возможности дать общий доступ к отдельному файлу/каталогу через веб. Администрирование большого количества каталогов и устройств затруднено. Невозможно дать доступ для синхронизации к каталогу, находящемуся внутри уже синхронизируемого каталога.[3]

NextCloud

Nextcloud - это набор клиент-серверных программ для создания и использования служб хостинга файлов. Он функционально похож на Dropbox, хотя Nextcloud является открытым исходным кодом, позволяя всем устанавливать и управлять им на частном сервере.

В отличие от проприетарных служб, таких как Dropbox, открытая архитектура позволяет добавлять дополнительные функции к серверу в виде приложений и позволяет пользователю полностью контролировать свои данные.

Оригинальный разработчик ownCloud Фрэнк Карличек разветвил ownCloud и создал Nextcloud, который продолжает активно развиваться Фрэнком и другими членами оригинальной команды ownCloud.

Файлы Nextcloud хранятся в обычных структурах каталогов и могут быть доступны через WebDAV, если это необходимо. Пользовательские файлы зашифровываются во время транзита и могут быть зашифрованы в покое. Пользователи Nextcloud могут управлять календарями (CalDAV), контактами (CardDAV), запланированными задачами и потоковыми медиа (Ampache) с платформы.

С точки зрения администрирования Nextcloud разрешает администрирование пользователей и групп (через OpenID или LDAP). Контент

может использоваться совместно, определяя грамотные разрешения на чтение и запись между пользователями и / или группами. Кроме того, пользователи Nextcloud могут создавать общедоступные URL-адреса при совместном использовании файлов. Также доступна регистрация действий, связанных с файлами, а также запрет доступа на основе правил доступа к файлам.[4]

Pydio

Pydio (ранее известный как AjaXplorer) – бесплатный сервис, позволяющий создать мастер-хранилище файлов (файл-хостинг) в собственном облаке, при этом отличительной чертой Pydio является простота интерфейса. Некоторые пользователи называют его опенсорсной альтернативой dropbox и box.com для предприятия. Pydio управляется с помощью веб-интерфейса и различных приложений и, следовательно, не привязан к конкретной операционной системе. Он способен превратить файловый или специально выделенный сервер в удобное средство обмена информацией между сотрудниками и внешними лицами.

Доступ к файлам осуществляется как с любых компьютеров, так и со смартфонов/планшетов. Помимо обмена файлами или папками Pydio позволяет создавать публичные минисайты для публикации списков документов, поддерживает управление правами и ролями, многоуровневую настройку синхронизации, перетаскивание и модальные окна, встроенный WebDAV доступ к хранилищам и др.

FreeNAS

FreeNAS, пожалуй, одно из наиболее продвинутых решений Open Source для создания NAS-решения, которое способно удовлетворить все нужды предприятий. По сути, это операционная система, она поддерживает протоколы iSCSI и Rsync, при этом может выступать как в качестве сервера, так и в качестве клиента. FreeNAS можно установить на жесткий диск или USB- флэшку. При этом система занимает весь объем носителя, на который устанавливается, независимо от емкости, а все сетевые ресурсы для хранения информации размещаются на других жестких дисках.

FreeNAS имеет смысл использовать, прежде всего, для организации универсального файлохранилища.

ProjectSend

ProjectSend также позволяет хранить предприятиям файлы и документы, но его особенность в том, что он предоставляет доступ к ним сторонним клиентам. ProjectSend упирает на то, что во времена, когда облачные службы не гарантируют сохранность данных, лучше получать доступ к файлам минуя эти службы. Вы можете не только отправлять документы и файлы для клиентов при помощи ProjectSend, но также и ваши клиенты могут загружать ваши файлы. На выбор можно создавать определенные группы клиентов. Загруженные файлы можно находить по описанию или названию при помощи встроенного поиска. ProjectSend также имеет систему шаблонов электронной почты, что упрощает работу с уведомлениями.

OpenFiler

OpenFiler – это решение для создания внутреннего сетевого хранилища, которое может превратить любой x86-совместимый компьютер в устройство, по функциональности похожее на систему NetApp, но базирующееся на открытом коде. Установка выделенного файл-сервера не всегда оправдана. Такой подход потребует значительных финансовых затрат на покупку ПО и оборудования, которые могут стать обузой для небольших организаций. Именно им рекомендуется использование OpenFiler.

Особенностью OpenFiler является работа с внутренними (NAS) и внешними (SAN) дисковыми массивами как с единым фреймворком. В качестве файловой системы можно выбрать любую из поддерживаемых Linux-ядром – именно поэтому OpenFiler можно полностью настроить под конкретные задачи. Реализована синхронная и асинхронная блочная репликация данных при помощи rsync. OpenFiler разрешает развертывать хранилище на базе как SAN, так и NAS, причем как одно, так и другое сможет управляться при помощи простого веб-интерфейса.

Настройка и запуск OpenFiler может быть осуществлена в кратчайшие сроки, для этого не требуется специальных знаний. Дистрибутив имеет встроенную поддержку создания снимков – можно указывать для их создания временные промежутки и размер. Сервис имеет поддержку контроллера домена Windows, а также встроенную поддержку Samba.[5]

Сравнительный анализ существующих систем

После рассмотрения существующих систем в отдельности был проведен их сравнительный анализ.

Ключевыми характеристиками являлись:

• • Наличие двухэтапной аутентификации;
  • Возможность установки на свой сервер;
  • Бесплатность;
  • Открытый исходный код;
  • Русскоязычный интерфейс.

В таблице 1.2.1 приведен сравнительный анализ перечисленных выше систем. [6]

Таблица 1.2.1 – Сравнительный анализ существующих систем

В результате сравнения систем можно сделать несколько выводов:

Из таблицы 1.2.1 видно, что большинством из перечисленных характеристик обладает система Nextcloud. В остальных не реализовано большее количество требований. Однако практически все системы при предоставлении необходимого функционала являются платными.

Каждый рассмотренный программный продукт, на сегодняшний день, реализует либо только часть из необходимых функций, либо содержит слишком много лишнего функционала. У большинства продуктов отсутствует двухфакторная аутентификация. Кроме того, в некоторых приложениях отсутствует возможность установки на свой сервер.

В связи с этим было решено разработать свою систему, которая будет реализовывать все необходимые функции и удовлетворять всем требованиям.

Безопасность данных

При организации работы с документами компании через глобальную сеть интернет, важнейшим требованием является обеспечение информационной безопасности, которую можно обеспечить, используя двухэтапную или двухфакторную аутентификацию.

Двухфакторная или двухэтапная аутентификация – это метод идентификации пользователя в каком-либо сервисе (как правило, в Интернете) при помощи запроса аутентификационных данных двух разных типов, что обеспечивает двухслойную, а значит, более эффективную защиту аккаунта от несанкционированного проникновения. На практике это обычно выглядит так: первый рубеж – это логин и пароль, второй – специальный код, приходящий по SMS или электронной почте. Реже второй «слой» защиты запрашивает специальный USB-ключ или биометрические данные пользователя.