Продолжающееся бурное развитие компьютерных технологий и повсеместное внедрение в бизнес с использованием Интернета коренным образом изменяет устоявшиеся способы ведения бизнеса. Системы корпоративной безопасности, обеспечивающие бизнес, тоже не могут оставаться в стороне.

В настоящее время, например, средства электронной почты, используются не только для общения между людьми, а для передачи контрактов и конфиденциальной финансовой информации. Web сервера используются не только для рекламных целей, но и для распространения программного обеспечения и электронной коммерции. Электронная почта, доступ к Web серверу, электронная коммерция, VPN требуют применения дополнительных средств для обеспечения конфиденциальности, аутентификации, контроля доступа, целостности и идентификации. В настоящее время в качестве таких средств повсеместно используются средства криптографической защиты и Инфраструктура Открытых Ключей (ИОК).

Система криптографической защиты должна обеспечивать:

· конфиденциальность ? Информация должна быть защищена от несанкционированного прочтения как при хранении, так и при передаче. Если сравнивать с бумажной технологией, то это аналогично запечатыванию информации в конверт. Содержание становится известно только после того, как будет открыт запечатанный конверт. В системах криптографической защиты обеспечивается шифрованием;

· контроль доступа ? Информация должна быть доступна только для того, для кого она предназначена. Если сравнивать с бумажной технологией, то только разрешенный получатель может открыть запечатанный конверт. В системах криптографической защиты обеспечивается шифрованием;

· аутентификацию ? Возможность однозначно идентифицировать отправителя. Если сравнивать с бумажной технологией, то это аналогично подписи отправителя. В системах криптографической защиты обеспечивается электронной цифровой подписью и сертификатом;

· целостность ? Информация должна быть защищена от несанкционированной модификации, как при хранении, так и при передаче. В системах криптографической защиты обеспечивается электронной цифровой подписью и имитозащитой;

· неотрекаемость ? Отправитель не может отказаться от совершенного действия. Если сравнивать с бумажной технологией, то это аналогично предъявлению отправителем паспорта перед выполнением действия. В системах криптографической защиты обеспечивается электронной цифровой подписью и сертификатом.

Криптографическое преобразование (шифрование) ? взаимно-однозначное математическое преобразование, зависящее от ключа (секретный параметр преобразования), которое ставит в соответствие блоку открытой информации (представленной в некоторой цифровой кодировке) блок шифрованной информации, также представленной в цифровой кодировке. Термин шифрование объединяет в себе два процесса: зашифрование и расшифрование информации.

Криптография делится на два класса: с симметричными ключами и открытыми ключами.

В криптографии с симметричными ключами отправитель и получатель используют один и тот же (общий) ключ, как для шифрования, так и для расшифрования.

Преимущества криптографии с симметричными ключами:

· производительность (производительность алгоритмов с симметричными ключами очень велика);

· стойкость (Криптография с симметричными ключами очень стойкая, что делает практически невозможным процесс дешифрования. При прочих равных условиях (общий алгоритм) стойкость определяется длиной ключа. При длине ключа 256 бит необходимо произвести 10 в 77 степени переборов для определения ключа.).

Недостатки криптографии с симметричными ключами:

· распределение ключей (так как для шифрования и расшифрования используется один и тот же ключ, при использовании криптографии с симметричными ключами требуются очень надежные механизмы для распределения ключей);

· масштабируемость (Так как используется единый ключ между отправителем и каждым из получателей, количество необходимых ключей возрастает в геометрической прогрессии. Для 10 пользователей нужно 45 ключей, а для 100 уже 499500.);

· ограниченное использование (так как криптография с симметричными ключами используется только для шифрования данных и ограничивает доступ к ним, при ее использовании невозможно обеспечить аутентификацию и неотрекаемость).

В криптографии с открытыми ключами используется пара ключей: открытый ключ и секретный (личный) ключ, известный только его владельцу. В отличие от секретного ключа, который должен сохраняться в тайне, открытый ключ может распространяться по сети. Секретный ключ в криптографии с открытыми ключами используется для формирования электронной подписи и расшифрования данных.

Криптография с открытыми ключами обеспечивает все требования, предъявляемые к криптографическим системам. Но реализация алгоритмов требует больших затрат процессорного времени. Поэтому в чистом виде криптография с открытыми ключами в мировой практике обычно не применяется. Для шифрования данных используются симметричные (сеансовые) ключи, которые в свою очередь шифруются с использованием открытых для передачи сеансовых ключей по сети.

1.2.1 Инфраструктура Открытых Ключей

Криптография с открытыми ключами требует наличия Инфраструктуры Открытых Ключей (PKI - Public Key Infrastructure) - неотъемлемого сервиса для управления электронными сертификатами и ключами пользователей, прикладного обеспечения и систем.

· Х.500 имя Издателя сертификата;

· Х.500 имя Владельца сертификата;

· открытый ключ Издателя;

· срок действия открытого (секретного) ключа Издателя и Владельца;

· ограничивающие дополнения, используемые при верификации цепочек (basicConstraints, nameConstraints, policyConstrains);

· СОС для каждого Издателя (даже если он не содержит отзываемых сертификатов).

Цепочка сертификатов представляет собой последовательность из n сертификатов, в которой:

· для всех x в {1, (n-1)}, Владелец сертификата x есть Издатель сертификата x+1;

· сертификат x=1 есть самоподписанный сертификат;

· сертификат x=n есть сертификат конечного пользователя.

Одновременно с цепочкой сертификатов используется цепочка СОС, представляющая собой последовательность из n СОС, в которой:

· для всех СОС x в {1, n}, Издатель сертификата x есть Издатель СОС x;

· СОС x=1 есть СОС, изданный Владельцем самоподписанного сертификата;

· СОС x=n есть СОС, изданный Издателем сертификата конечного пользователя.

После построения двух цепочек (сертификатов и СОС) выполняется:

· криптографическая проверка сертификатов и СОС в цепочках;

· проверка сроков действия сертификатов и СОС;

· проверка соответствия имен Издателя и Владельца с использованием дополнения nameConstraints;

· проверка длины цепочки с использованием дополнения basicConstraints;

· проверка на отзыв сертификатов, причем, если сертификат промежуточного центра был отозван СОС вышестоящего центра, все сертификаты, изданные промежуточным центром, считаются недействительными;

· проверка приемлемых регламентов использования сертификата и приемлемых областей использования ключа с использованием дополнений certificatesPolicies и extendedKeyUsage.

В состав компонент ИОК входят следующие компоненты:

· Центр Сертификации;

· Центр Регистрации;

· Конечные пользователи;

· Сетевой справочник.

Центр Сертификации (или Удостоверяющий Центр) - основная управляющая компонента ИОК, предназначенная для формирования электронных сертификатов подчиненных Центров и конечных пользователей. Кроме сертификатов, ЦС формирует список отозванных сертификатов X.509 CRL (СОС) с регулярностью, определенной Регламентом системы.

К основным функциям ЦС относятся:

· формирование собственного секретного ключа и сертификата ЦС;

· формирование сертификатов подчиненных Центров;

· формирование сертификатов открытых ключей конечных пользователей;

· формирование списка отозванных сертификатов;

· ведение базы всех изготовленных сертификатов и списков отозванных сертификатов.

Центр Регистрации ? Опциональная компонента ИОК, предназначенная для регистрации конечных пользователей. Основная задача ЦР - регистрация пользователей и обеспечение их взаимодействия с ЦС. В задачи ЦР может также входить публикация сертификатов и СОС в сетевом справочнике LDAP.

Пользователи ? Пользователь, приложение или система, являющиеся Владельцами сертификата и использующие ИОК.

Сетевой справочник ? Опциональная компонента ИОК, содержащая сертификаты и списки отозванных сертификатов и служащая для целей распространения этих объектов среди пользователей с использованием протокола LDAP (HTTP, FTP).

ИОК используется для управления ключами и электронными сертификатами в приложениях (таких как электронная почта, Web приложения, электронная коммерция), использующих криптографию для установления защищенных сетевых соединений (S/MIME, SSL, IPSEC), или для формирования ЭЦП электронных документов, приложений и т.д. Кроме того, ИОК может быть использована для корпоративных приложений.

Защищенные электронная почта и документооборот используют криптографию для шифрования сообщений или файлов и формирования ЭЦП. Из наиболее известных и распространенных стандартов стоит отметить протокол S/MIME (Secure Multipurpose Internet Mail Extensions), который является расширением стандарта Internet почты MIME (Multipurpose Internet Mail Extensions).

Web браузеры и сервера используют ИОК для аутентификации и конфиденциальности сессии, а также для онлайновых банковских приложений и электронных магазинов. Наиболее распространенным протоколом в этой сфере является протокол SSL (Secure Sockets Layer). Протокол SSL не ограничивается применением только для защиты HTTP (Hypertext Transfer Protocol), а также может быть использован для FTP (File Transfer Protocol) и Telnet.

Использование ЭЦП для подписи приложений и файлов позволяет безопасно распространять их по сети Internet. При этом пользователь уверен в корректности полученного приложения от фирмы-разработчика.

1.2.2 Стандарты в области ИОК

Стандарты в области ИОК делятся на две группы: часть из них описывает собственно реализацию ИОК, а вторая часть, которая относится к пользовательскому уровню, использует ИОК, не определяя ее. На приведенном рисунке показана связь приложений со стандартами. Стандартизация в области ИОК позволяет различным приложениям взаимодействовать между собой с использованием единой ИОК.

· процедуры регистрации и выработки ключа;

· описания формата сертификата;

· описания формата СОС;

· описания формата криптографически защищенных данных;

· описания онлайновых протоколов.

Основным центром по выпуску согласованных стандартов в области ИОК является рабочая группа ИОК (PKI working group) организации IETF (Internet Engineering Task Force), известная как группа PKIX (от сокращения PKI for X.509 certificates).

Стандарты PKIX

Спецификации PKIX основаны на двух группах стандартов: X.509 ITU-T (Международный комитет по телекоммуникациям) и PKCS (Public Key Cryptography Standards) firmy RSA Data Security. X.509 изначально был предназначен для спецификации аутентификации при использовании в составе сервиса X.500 директории. Фактически же, синтаксис электронного сертификата, предложенный в X.509 признан стандартом де-факто и получил всеобщее распространение независимо от X.500. Однако X.509 ITU-T не был предназначен для полного определения ИОК. В целях применения стандартов X.509 в повседневной практике пользователи, поставщики и комитеты по стандартизации обращаются к стандартам PKCS. PKIX группа издала следующие стандарты Internet (RFC):

· Internet X.509 Public Key Infrastructure Certificate and CRL Profile (RFC 2459);

· Internet X.509 Public Key Infrastructure Certificate Management Protocols (RFC 2510);

· Internet X.509 Certificate Request Message Format (RFC 2511);

· Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework (RFC 2527);

· Internet X.509 Public Key Infrastructure Representation of Key Exchange Algorithm (KEA) Keys in Internet X.509 Public Key Infrastructure Certificates (RFC 2528);

· Internet X.509 Public Key Infrastructure Operational Protocols - LDAPv2 (RFC 2559);

· Internet X.509 Public Key Infrastructure Operational Protocols: FTP and HTTP (RFC 2585);

· Internet X.509 Public Key Infrastructure LDAPv2 Schema (RFC 2587);

· X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP (RFC 2560);

· X.509.

Стандарт X.509 ITU-T является фундаментальным стандартом, лежащим в основе всех остальных, используемых в ИОК. Основное его назначение - определение формата электронного сертификата и списков отозванных сертификатов.

Из серии стандартов, изданных фирмой RSA Data Security, наиболее важными и используемыми в ИОК являются:

· PKCS #7 Cryptographic Message Syntax Standard;

· PKCS #10 Certificate Request Syntax Standard;

· PKCS #12 Personal Information Exchange Syntax Standard.

Вместо устаревшего стандарта RSA PKCS #7, описывающего форматы риптографических сообщений, в июне 1999 года был принят RFC 2630 Cryptographic Message Syntax.

Большинство стандартов, использующих криптографию, разработано с учетом использования ИОК.

Стандарт S/MIME определен IETF для обеспечения защищенного обмена сообщениями. S/MIME использует ИОК для формирования ЭЦП и шифрования информации. В группе стандартов S/MIME наиболее важными являются следующие: Cryptographic Message Syntax, Message Specification, Certificate Handling и Certificate Request Syntax.

Протокол SSL (разработанный фирмой Netscape) и соответствующий ему стандарт IETF TLS (RFC 2246) являются наиболее используемыми стандартами для обеспечения защищенного доступа к Web. Вместе с этим, SSL и TLS широко используются для создания клиент - серверных приложений, не использующих Web. Оба эти протокола в своей основе используют ИОК.

Протокол Secure Electronic Transactions (SET) был разработан фирмами Visa и MasterCard и предназначен для обеспечения системы электронных банковских расчетов с использованием пластиковых карт. В данном протоколе ИОК является фундаментом, на котором базируется вся система аутентификации участников расчетов.

Протокол IPSEC (Internet Protocol Security Protocol) разработан IETF как протокол для шифрования IP и является одним из основных протоколов, используемых для построения VPN. ИОК в протоколе IPSEC используется для аутентификации и шифрования. В настоящее время протокол еще широко не распространен, но повсеместное развитие ИОК приводит к возрастания количества реализаций IPSEC.

В заключении отметим, что криптография с открытыми ключами и электронные сертификаты позволяют реализовать по настоящему защищенные системы и приложения, использующие современные технологии и сети передачи данных. Стандартизация в данной области позволяет различным приложением взаимодействовать между собой, используя единую Инфраструктуру Открытых Ключей.

1.3 Системы электронной отчетности

Процедура сдачи отчетности заключается в следующем:

· налогоплательщик отправляет подготовленную отчетность через оператора связи в налоговую инспекцию (а также ПФР, Росстат или ФСС);

· документы подписываются электронной цифровой подписью, которая является аналогом собственноручной;

· налогоплательщик получает подтверждение о доставке отчетности в инспекцию. Это подтверждение имеет юридическую силу, а время получения отчета инспекцией является временем его сдачи.

Звено "Оператор связи" необходимо для обеспечения корректного документооборота между плательщиком и государственными органами. Оператор связи выступает здесь в роли электронного нотариата, т. е. при возникновении споров оператор связи является третьей стороной, которая правомочна подтверждать факт доставки и отправки документов.

СБиС++, в отличие от большинства аналогичных программ, не просто программа для отправки уже сформированных отчетов. СБиС++ - это полноценная система для управления вашей регламентированной отчетностью. С использованием СБиС++ вы сможете в удобном виде создавать и заполнять налоговые декларации, вы получите мощные средства по проверке и анализу вашей отчетности, а также сможете отправлять подготовленные отчеты в налоговые органы буквально нажатием одной кнопки.

Даже беглого взгляда на главное окно работы с налоговой отчетностью достаточно, чтобы оценить, насколько это просто и удобно - сдавать отчетность со СБиС++.

Все, что вам необходимо для работы с отчетностью, вынесено на экран в удобном и наглядном виде (Рисунок 1.2).

В верхней части рабочего окна СБиС++ указана четкая последовательность шагов, необходимых для сдачи отчетности. Действительно, для того чтобы создать и сдать декларацию со СБиС++, необходимо сделать всего 3 действия:

· создать или загрузить отчет;

· передать отчет на подпись;

· подписать и отправить отчет в налоговую инспекцию.

Рисунок 1.2 - Главное интерфейсное окно системы СБИС++

1.3.4 Программный комплекс "Клиент транспортной системы"

Программный комплекс "Клиент транспортной системы" разработан Филиалом ФГУП ГНИВЦ ФНС России в Сибирском Федеральном округе. Он предназначен для обеспечения юридически значимого документооборота между конечными пользователями и контролирующими органами в электронном виде по телекоммуникационным каналам связи. Обмен может осуществляться как через специализированного оператора связи, так и в режиме непосредственного взаимодействия пользователей.

ПК "Клиент транспортной системы" позволяет в полном объеме осуществить информационный обмен, а именно:

· сдача отчетности в контролирующие органы (ФНС, ПФР, Росстат);

· обмен неформализованными сообщениями;

· предоставление справки о состоянии расчетов с бюджетом;

· предоставление выписки операций из карточки "Расчеты с бюдежетом";

· предоставление перечня бухгалтерской и налоговой отчетности, представленной в отчетном году.

ПК "Клиент транспортной системы" дает возможность пользователям в полной мере использовать преимущества представления отчетности в контролирующие органы в электронном виде по телекоммуникационным каналам связи без подтверждения предоставленных документов на бумажных носителях.

ПК "Клиент транспортной системы" разработан на современном информационно-технологическом уровне. Поддерживается многопользовательская сетевая работа. Форматы, в которых происходит взаимодействие, полностью соответствует требованиям нормативных актов контролирующих органов и Федерального законодательства в области информационных технологий.

1.3.5 Постановка задачи на дипломное проектирование

Проведенный анализ предприятия показал, что на сегодняшний день существует три варианта сдачи отчетности (бухгалтерской, налоговой) в государственные контролирующие органы -- в бумажном виде, на электронных носителях с дублированием на бумаге и по телекоммуникационным каналам связи. Наиболее быстрым и удобным методом является сдача отчетности через Интернет. Использование современных технических решений предполагает существенную экономию рабочего времени бухгалтера, поскольку отправка отчетности через Интернет происходит непосредственно с рабочего места и не требует дублирования на бумаге. Однако возникает проблема быстрой и правильной настройки системы электронной отчетности у клиентов с учетом специфики оператора связи.

Целью дипломного проекта является повышение эффективности работы с системой электронной отчетности СБИС++ за счет использования средств адаптации к особенностям оператора связи.

Для решения поставленной цели необходимо решить следующие задачи:

- провести анализ существующих операторов связи и выявить особенности обмена информацией между ними и клиентами;

- проанализировать состав и структуру информационных баз системы электронной отчетности СБИС++;

- разработать программу автоматической настройки информационных баз системы СБИС++ с учетом особенностей оператора связи;

- разработать средства для учета программных продуктов клиентов на базе системы 1С Предприятие 8.2

- оценить экономическую эффективность предложенных решений;

- рассмотреть возможные мероприятия по улучшению условий труда персонала, предотвращению чрезвычайных ситуаций и охране атмосферного воздуха, рассчитал и подобрал кондиционер для помещения технического отдела.

2. Специальный раздел