УДК 004.75
Д.Д. Кононов, С. В. Исаев
ОРГАНИЗАЦИЯ ЗАЩИТЫ ИНФОРМАЦИИ ВЕБ-СЕРВИСОВ ДЛЯ ПОДДЕРЖКИ УПРАВЛЕНИЯ МУНИЦИПАЛЬНЫМ ЗАКАЗОМ
В работе решается задача организации сетевой информационной среды и защиты информации для поддержки муниципального управления. Представлены алгоритмические и программные средства для решения задач интернет-поддержки муниципального заказа. Особенностью решения задачи является применение модели безопасности, адаптированной для веб-сервисов, использование электронной цифровой подписи. Обеспечивается оперативное размещение информации, поддержка данных в актуальном состоянии, защита данных. Предложенные решения характеризуются универсальностью и кроссплатформенностью.
Ключевые слова: программные средства, веб-сервисы, базы данных, системы поддержки управления, информационная безопасность, модель безопасности.
D.D. Kononov, S. V. Isaev
INFORMATION SECURITY IN WEB-SERVICES FOR MUNICIPAL ORDERS SUPPORT
This article describes network information environment and information security for municipal government. Algorithmic and software tools for solving problems of municipal orders Internet support are presented. The feature of our work is a security model adapted for web-services, and using digital signatures. Rapid deployment of information, keeping data up-to-date, and data protection are ensured. The proposed solutions are flexible and cross-platform.
Keywords: software, web-services, database systems, management support, information security, security model.
Введение
Развитие и внедрение во все сферы деятельности новых информационно-коммуникационных технологий позволяют решать задачи организационного управления на новом уровне. Поддержка муниципального управления требует оперативного размещения информации в открытом доступе - вебпубликации. В настоящее время активно идет процесс интеграции веб-систем и других информационных технологий, информационные системы приобретают веб-интерфейс.
Одной из важных задач муниципального управления является автоматизация процессов подготовки и размещения муниципального заказа. Формирование и развитие интернет-ресурсов для поддержки управления муниципальным заказом создают оптимальные условия для удовлетворения информационных потребностей и реализации норм действующего законодательства в части расходования бюджетных средств.
В связи с этим требуется организация информационной среды для размещения, хранения, оперативного обновления разнородной информации, связанной с потребностями бюджетополучателей в поставках товаров, выполнении работ, оказании услуг. Выполнение исследований по системной интеграции технологий для решения задачи поддержки муниципального заказа является актуальным и перспективным направлением.
Веб-сервисы поддержки муниципального заказа должны решать такие задачи, как:
• публикация подписанных документов и другой информации;
• функции поиска и фильтрация данных;
• проведение электронных аукционов;
• проведение электронных запросов котировок;
• прием документов о муниципальных контрактах от заказчиков;
• прием заявок в реестр муниципальных потребностей.
Особое внимание уделялось исследованию проблем безопасности и обеспечения кроссплатформен-ного функционирования веб-сервисов.
Разработка и внедрение созданных подходов и методов выполнялись в рамках развития автоматизированной системы проведения муниципальных заказов (АСП МЗ) [1] для департамента муниципального заказа администрации города Красноярска.
Организация хранения данных
Одним из требований, предъявляемых к веб-сервисам муниципального заказа, является обеспечение возможности синхронизации оперативной базы данных АСП МЗ и базы данных веб-сервисов, что влечет регулярные обновления больших объемов структурированной информации.
Синхронизация информации производится посредством специального шлюза, принимающего данные с автоматизированных рабочих мест. Объем оперативной базы данных очень велик и не требует полной публикации. Модель базы данных веб-сервисов разработана с учетом возможностей быстрого доступа к данным, требований по полноте и неизбыточности содержащейся информации. Разработанная модель данных позволила уменьшить объемы передачи информации и обеспечила хранение на веб-сервере только данных, подлежащих размещению в сети Интернет.
База данных автоматизированных рабочих мест построена на СУБД Oracle, серверная база данных — на СУБД PostgreSQL.
Информационная безопасность
При создании информационных систем важную роль играет обеспечение защиты информации. Исследование вопросов обеспечения безопасности веб-систем проводилось в [2].
Режим функционирования веб-сервиса предполагает авторизованную работу пользователей. В качестве модели безопасности системы выбрана модель Role-Based Access Control (RBAC) [3, 4], которая была модифицирована для учета специфики веб-приложений. В модель RBAC добавлены новые понятия «токен» (token) и «запрос» (request). Запрос принадлежит сессии, в рамках одной сессии может выполняться несколько запросов. На множестве запросов вводится отношение включения, которое на множестве запросов задает отношение строгого частичного порядка. Полученная модель отражает предметную область и позволяет эффективно разграничивать доступ в веб-системах. Политики безопасности доступны для редактирования администратором системы.
Предусматривается несколько ролей пользователей: муниципальная организация, поставщик, уполномоченный орган, ведущий аукциона, участник аукциона, участник электронного аукциона, администратор.
При создании системы проведен детальный анализ возможностей несанкционированного доступа к данным [5], рассмотрены основные классы угроз. На основе полученных данных применялись специальные технологии, позволяющие обеспечить защиту он несанкционированного доступа (фильтрация параметров, проверка идентификаторов и т.п.). Построены программные решения для предотвращения атак типа XSS, инъекций кода и SQL, подмены файлов и сессий.
Для повышения надежности работы системы производится резервное копирование информации на запасной сервер в режиме реального времени.
Механизмы работы с ЭЦП
Особенности применения электронной цифровой подписи (ЭЦП) при решении задач муниципального управления рассмотрены в [6]. Электронная цифровая подпись используется для подтверждения действий пользователя при решении следующих задач:
• проведение электронных аукционов;
• проведение электронных запросов котировок;
• прием документов о муниципальных контрактах от заказчиков;
• прием заявок в реестр муниципальных потребностей.
В работе предлагается комбинированный подход для авторизованной работы пользователей. Предварительная аутентификация производится с помощью имени пользователя и пароля, что дает пользователю доступ на чтение к закрытой части системы. Дальнейшие действия пользователя подтверждаются электронной цифровой подписью, что обеспечивает юридическую значимость действий и аутентичность информации.
| Э http://127.0.0.1 - Лот - Microsoft Internet Explorer JnJxJ
Файл Правка Вид Избранное Сервис Справка »I
Заказы / Закупка / Лот
□ На главную Выполнение работ по формовочной обрезке деревьев
Б Заказы ¡1 Начальная цена: 1 ООО ООО р.
л Архив Условия контракта
□ Реестр
муниципальных контрактов Я подаю предложение: |360000| руб Подать | Отмена |
□ □ Ношмативно- поавовая информация Полезное Мой номер: 1 Мое предложение: 870 000,00 р. 18.02.2009 17:11:24
1 ESPR1 Настоойки Выход Лучшее предложение: 870 000,00 р. Предпоследнее предложение: 880 000,00 р. Достигнутая скидка: 130 000,00 р. 18.02.2009 17:11:24 участник 1 18.02.2009 17:10:26 участник 2 13% от начальной цены
Время до завершения: 14 мин. 42 сек. —
Обновить |
ф Интернет А
Рис. 1. Подача ценового предложения
На рисунке 1 приведен снимок экрана при подаче ценового предложения участником открытого электронного аукциона. Участник размещения заказа вводит цену и нажимает кнопку «Подать».
Рис. 2. Подписание электронного документа для подтверждения действия
После этого происходит формирование электронного документа, содержащего информацию об объекте, субъекте (пользователе) и производимом действии (рис. 2). Пользователь нажимает кнопку «Под-
писать», выбирает сертификат (если их несколько) и подписывает документ. Полученная подпись проверяется на сервере и в случае ее корректности указанное действие разрешается, а все данные вносятся в журнал. Торги проводятся в режиме реального времени, поэтому новая информация сразу же отображается у других участников электронного аукциона.
Подписание электронных документов осуществляется непосредственно в браузере пользователя. Сертификаты ЭЦП должны быть получены в одном из зарегистрированных в системе доверенных удостоверяющих центров.
Особенности реализации
При разработке системы применен метод декомпозиции, при котором система разделяется на ядро и набор модулей, обеспечивающих определенный функционал. Система имеет интерфейс API, позволяющий другим программным продуктам взаимодействовать с системой (рис. 1).
Рис. 3. Структура модулей системы
Ядро управляет модулями и осуществляет позднее связывание (lazy linking) модулей, что позволяет снизить затраты на обработку страниц. Также используются технологии XML, AJAX, Friendly URLs, шаблоны. Для определенного класса данных применяется кэширование.
Важной особенностью построенной системы является обеспечение требований кроссплатформенного функционирования. Это достигается за счет использования кроссплатформенных базовых инструментальных средств, платформенно независимой организации программных модулей и данных. Серверная часть системы работает на операционных системах Windows, FreeBSD, Linux.
В работе используется криптопровайдер КриптоПро CSP, который обеспечивает работу стандартов ГОСТ Р 34.10-94, ГОСТ Р 34.11-94, ГОСТ Р 34.10-2001, ГОСТ 28147-89.
Заключение
Предложенное решение задачи организации информационных веб-сервисов для поддержки управления муниципальным заказом обеспечило создание необходимых технических и организационных условий для повышения уровня интеграции информационно-телекоммуникационных технологий в деятельность муниципального органа управления.
Разработанные решения успешно интегрированы с автоматизированной системой проведения муниципальных заказов. Универсальность и кроссплатформенность разработанных подходов позволяют осуществлять информационную интернет-поддержку муниципального заказа и обеспечить гибкость программных решений.
Реализованные веб-сервисы обеспечивают защиту публикуемых данных, простоту и удобство работы специалистов муниципального заказа, оперативность размещения информации в сети Интернет, а также защиту от несанкционированного использования. Система успешно эксплуатируется более четырех лет и обеспечивает экономию бюджетных средств. За 2009-2010 гг. с использованием системы было проведено 354 электронных аукциона на общую сумму 238 660 934 р., экономия бюджета составила 42 443 682 р. Имеются свидетельства о регистрации программного обеспечения [7, 8].
Литература
1. Шербенин В.Ф., Ноженкова Л.Ф., Жучков Д.В., Исаева О.С. Перспективные задачи автоматизации муниципального заказа как основа повышения качества управленческих решений // «ПИР-2009»: материалы XI Всерос. науч.-практ. конф. - Красноярск: РИЦ СибГТУ, 2009. - С. 26-33.
2. Кононов Д.Д., Исаев С.В. Обеспечение безопасности веб-приложений на примере веб-сервера ИВМ СО РАН // Вестник ТГУ. - 2006. - № 17. - С. 156-161.
3. Sandhu, R., Coyne, E.J., Feinstein, H.L. and Youman, C.E. Role-Based Access Control Models // IEEE Computer (IEEE Press). 1996. - Vol. 29. - No. 2. - P. 38-47.
4. Ferraiolo D.F., Kuhn D.R. Chandramouli R. Role-Based Access Control. - Norwood: Artech House, Computer Security Series, 2003. 316 p.
5. Кононов Д.Д. Организация защиты информации при создании веб-системы информационной поддержки муниципальных заказов администрации Красноярска // Проблемы информатизации региона: материалы 10-й все-рос. науч.-практ. конф. в 2 т. - Красноярск: Сиб. федер. ун-т; Политехн. ин-т, 2007. Т. 1. - С. 115-120.
6. Кононов Д.Д., Исаев С.В. Применение электронной цифровой подписи для создания защищенных вебсервисов поддержки муниципальных закупок // Инфокоммуникационные и вычислительные технологии и системы: материалы III Междунар. конф. - Улан-Удэ: Изд-во Бурят. гос. ун-та, 2010. - С. 174-177.
7. Ноженкова Л.Ф., Исаев С.В., Кононов Д.Д., Исаева О.С., Жучков Д.В. Система проведения электронных интернет-аукционов // Свидетельство об официальной регистрации в Реестре программ для ЭВМ № 2009612095 от 24.04.2009 (Федеральная служба по интеллектуальной собственности, патентам и товарным знакам). - 2009.
8. Ноженкова Л. Ф., Исаев С. В., Кононов Д. Д., Исаева О. С. Интернет-система поддержки муниципального заказа // Свидетельство об официальной регистрации в Реестре программ для ЭВМ № 2009612093 от 24.04.2009 (Федеральная служба по интеллектуальной собственности, патентам и товарным знакам). - 2009.
Кононов Дмитрий Дмитриевич, научный сотрудник Института вычислительного моделирования СО РАН, 660036, г. Красноярск, Академгородок, 50/44, тел. (391) 2494767, e-mail: ddk@icm.krasn.ru
Исаев Сергей Владиславович, кандидат технических наук, старший научный сотрудник Института вычислительного моделирования СО РАН, 660036, г. Красноярск, Академгородок, 50/44, тел. (391) 2494767, e-mail: si@icm.krasn.ru
Kononov Dmitry Dmitrievich, scientific researcher of Institute of Computational Modeling SB RAS.
Isaev Sergey Vladislavovich, candidate of technical sciences, senior scientific researcher of Institute of Computational Modeling SB RAS.