АВТОМАТИЗАЦИЯ РАБОТЫ С ИНФОРМАЦИЕЙ В СФЕРЕ ЖКХ

AUTOMATION OF WORK WITH INFORMATION IN THE FIELD OF HOUSING AND COMMUNAL SERVICES

Nariman Gulmamedov

Student, Department of informatics and information security, Emperor alexander i st. Petersburg state transport university,

Russia, Saint Petersburg

Maria Barabanshchikova

Student, Department of informatics and information security, Emperor alexander i st. Petersburg state transport university,

Russia, Saint Petersburg

АННОТАЦИЯ

В современном мире цифровизация затрагивает все больше сфер жизни общества. Сфера ЖКХ не исключение. Здесь требуется профильное программное обеспечение в критической информационной инфраструктуре отечественного производства. Каждая организация должна решить проблему автоматизации работы с информацией. Но, как известно, чем выше уровень цифровизации, тем выше уровень автоматизации, и тем сильнее влияние технологий на производственную и управленческую деятельность, и тем выше риски информационной безопасности. В данной статье мы рассмотрим CRM систему «BCNW CRM System», разработанную нами для сферы ЖКХ и перспективы ее развития.

ABSTRACT

The digitalization affects more and more spheres of society in the modern world. The housing and utilities sector is no exception. It requires specialized software in the critical information infrastructure of domestic production. Every organization needs to solve the problem of automation of work with information. But, as you know, the higher the level of digitalization, the higher the level of automation, and the stronger the impact of technology on production and management activities, and the higher the risks of information security. In this article we will consider the CRM system "BCNW CRM System", developed by us for the housing and communal services sector and its development prospects.

Ключевые слова: автоматизация работы, информация, защита информации, жкх, документооборот, диспетчеризация, осж.

Keywords: automation of work, information, information protection, housing and communal services, document management, dispatching, OSH.

Введение

Понятие автоматизации работы с информацией, заключается в комплексе программного обеспечения, который предоставляет комфортную, безопасную и быструю обработку входящих и исходящих данных в организации. Для целей автоматизации был выделен вид прикладного программного обеспечения, называемого Customer Relationship Management (далее - CRM) системой. Такие системы могут автоматизировать и облегчить процессы, протекающие в организации, сократить количество ошибок и улучшить взаимодействие с заказчиками.

Программное обеспечение «BCNW CRM System» (далее - программа), является CRM системой, автоматизирующая работу с информацией в сфере ЖКХ и предназначена для управляющих организаций, ТСЖ, ЖСК, ЖКС (далее - УО) целью которых является автоматизация работы различных подразделений организации:

• Создание и ведение документооборота;
• Диспетчеризации;
• Рассылка информации контрагентам;
• Эффективное управление персоналом;
• Организация общих собраний собственников (далее - ОСС);
• Эффективное управление и учет корреспонденции организации.

В данной статье мы рассмотрим реализованные в данной программе методы защиты информации.

Основная часть

Ключевым вопросом в современном программном обеспечении является защищенность информации от внешних и внутренних угроз. В программе реализована комплексная система, обеспечивающая защиту информации:

• Двухэтапная аутентификация пользователей;
• Методы аутентификации и идентификации (процесс проверки подлинности пользователя);
• Ролевая модель доступа к информации;
• Шифрование с помощью RSA и XOR;
• Хеширование данных на сервере;
• Клиент-серверная архитектура.

В ходе развития программного продукта, была выбрана клиент-серверная архитектура передачи информации, в связи с тем, что появилась потребность работы сотрудников в удаленных точках. Данная архитектура подразумевает наличие сервера с базой данных и клиента, которые общаются между собой в формате «Запрос-Ответ», как показано на рисунке 1.

Рисунок 1. Клиент-серверное взаимодействие

Защита информации при такой передаче данных является очень важной задачей. Передача данных между клиентом и сервером реализована с помощью технологии TCP\IP и сокетов (Для этого был разработан уникальный класс «Net») и защищается методами шифрования.

Протокол TCP\IP обеспечивает надежную связь между сетевым оборудованием клиента и сервера, вне зависимости от его производителя, а одним из основных его преимуществ, является - подтверждения правильности прохождения информации при обмене между клиентом и сервером.

В свою очередь класс «Net» реализует функции подключения к серверу, отправки сообщения, получение ответа, отправки и получения файлов. Рассмотрим алгоритм работы подключения к серверу:

• Проверка наличия лицензии (в ключе лицензии находятся уникальные данные шлюза);
• Подключение по основному шлюзу, для получения уникального адреса шлюза для текущей сессии (уникальный шлюз сессии выделяется на основе свободных каналов связи с сервером, на 1 сервер на данный момент выделяется до 50 каналов связи);
• Подключение к шлюзу сессии;
• Обмен публичными ключами шифрования (RSA) и ключами в зашифрованном виде (XOR);
• Проверка стабильности и корректности подключения.

Далее передача данных реализуется с помощью созданного защищенного канала связи.

Планируется расширение класса для работы с API других продуктов, преимущественно государственных систем (прим. ГИС ЖКХ).

Система лицензирования включает в себя механику защиты программы от нелегитимного доступа. На каждую организацию выделяется либо группа лицензий, либо одна лицензия, в зависимости от потребности заказчика. В каждой лицензии спрятан ключ к основному серверу программы для организации и идентификатор шлюза.

Криптография

Как было описано выше, на этапе подключения к серверу, используется шифрование. К сожалению, при передаче данных в открытом виде, есть высокая вероятность утечки как конфиденциальных данных, так и персональных данных заказчиков, что в свою очередь уже может привести к более серьезным последствиям и недоверию к продукту.

В связи с этим, в программе используется два метода шифрования – XOR (исключающее ИЛИ) и RSA, дополняющие друг друга, для передачи информации каждая строка сначала проходит преобразование по XOR и, если имеет важный приоритет данных – по RSA.

Особенностью, а одновременно и недостатком, шифрования методом XOR в первую очередь его простота, но для передачи технической информации, которая не несет в себе каких-либо важных данных, этот метод вполне подходит, так как позволяет экономно и быстро зашифровать информацию.

Также известно, что XOR имеет всего один ключ, передавать по сети его не безопасно в открытом виде, поэтому ключ подвергается преобразованию по RSA.

Алгоритм RSA считается достаточно защищенным алгоритмом шифрования, использующий (в клиент-серверной архитектуре) 4 ключа – 2 публичных ключа и 2 закрытых. Имея только открытый ключ и зная алгоритм шифрования невозможно повторить закодированное сообщение, на базе алгоритма RSA работает программа шифрования PGP, реализуются хэш-функции и электронные подписи.

Для защиты учетных данных от утечек их хранение реализовано на сервере, и преобразованы с помощью алгоритма Хеширования SHA512, что позволяет свести к нулю возможность злоумышленника заполучить учетные данные в открытом виде.

Аутентификация и идентификация

Для обеспечения безопасности данных хранящихся на сервере программы, был реализован механизм первичной идентификации и аутентификации, и вторичной аутентификации. Такой механизм способствует защите учетных записей пользователей от взлома и последующего несанкционированного доступа к конфиденциальными и персональным данным.

Для входа в программу, требуется осуществить первичную идентификацию и аутентификацию по логину и паролю, которые выдаются каждому пользователю лично. Вне зависимости от результата первичной проверки, система автоматически запускает вторичную аутентификацию с помощью кода, что позволит вовремя обнаружить несанкционированный вход, так как владельцу учетной записи буду приходить сообщения с кодом на указанную ранее почту.

В случае неверно введенного кода вторичной аутентификации, программа завершает свою работу, что отлично скажется на защите от методов автоматизированного бутфорса, так как программу придется запускать каждый раз заново, и одновременно нужно угадать и пароль, и код.

Графическое изображение первичной идентификации и аутентификации и вторичной аутентификации, показано на рисунке 2.

Рисунок 2. Модуль аутентификации и идентификации пользователей и система двухэтапной аутентификации.

Ролевой доступ

В процессе разработки программы была обнаружена потребность в разделении доступов между пользователями программы, требовалось разграничить доступы к модулям программы и функциям внутри модулей для разных групп пользователей. Наилучшей моделью для такой задачи является ролевая модель разграничения доступа, он позволяет объединить в себе простоту реализации и достаточную безопасность, при этом также было решено использовать свойства мандатной и дискреционной моделей доступа:

- Обычные пользователи не могут изменить свой доступ к модулям программы;

- Доступ к объектам определяется в зависимости от их секретности;

- Наличие привилегии (разрешений) на чтение некоторым пользователям;

Пример матрицы ролевой модели доступа, используемой в программе, показан в таблице 1.

Таблица 1

Пример матрицы ролевой модели доступа

В таблице 1, определены следующие типы доступов:

• R – чтение;
• W – редактирование и чтение;
• E – полный доступ к модулю.
• 0 – доступ отсутствует.

В программе реализована базовая модель ролевого доступа, в которой определены следующие множества данных:

• S – Субъект, пользователь;
• R – Роль, должности;
• P - Разрешения, права доступа на объекты системы;
• SE - Сессия, Соответствие между S, R и/или P;

После успешной идентификации и аутентификации клиентская сторона запрашивает данные политики безопасности, для должности пользователя под которым инициирован вход. Исходя из полученных данных, открываются модули программы, а на сервере создается сессия для данного пользователя.

Каждой функции присвоен минимальный уровень доступа, так, например, сотрудник с доступом «R» может просмотреть список заявок, но внести изменения и сохранить – не сможет, так как для редактирования установлен минимальный уровень доступа «W».

Защита от изменения политики безопасности, реализуется следующими способами:

• Проверка на разрешения 0, R, W, E. Если атрибут не равен ни одному этому значению, разрешение становится равным «0», что означает отказ доступа;
• Свойства класса имеют защищённый модификатор доступа от изменения;
• Информация о доступе хранится на сервере и обновляется у клиента при входе в программу, что позволяет защитить данные от изменения политики на стороне клиента;
• При изменении политики безопасности запрашивается дополнительная аутентификация через почту.

Так как реализована динамическая модель доступа, в любой момент времени администратор системы может внести изменения в политику безопасности, добавить новые должности и изменить правила доступа к различным модулям.

Для критически важных областей программы также используются модификаторы «A», «M», «U», они позволяют разграничить доступы более точно. Пользователь даже с уровнем доступа «E» не сможет воспользоваться критически важными функциями, без присутствия модификатора «A» или «M».

Выводы

 Описанные выше методы защиты данных позволяют защитить программу от несанкционированного доступа к данным и перехвата информации.

В дальнейшем мы планируем продолжить работу по доработке и улучшению алгоритмов шифрования и разграничению доступа к данным организаций, что позволит реализовать новые политики информационной безопасности и минимизировать риски по утечке данных.

Список литературы:

1. Цирлов В.Л., Основы информационной безопасности автоматизированных систем: краткий курс/ Санкт-Петербург: Изд-во Феникс, 2008
2. Петров А.А., Компьютерная безопасность // Криптографические методы защиты/ Москва: Изд-во ДМК, 2000
3. Шнайер Б., Прикладная криптография: протоколы, алгоритмы и исходный код на C / Изд-во Диалектика, 2017
4. Горев А.И., Симаков А.А., Обеспечение Информационной Безопасности / Москва: Изд-во Мир, 2005
5. Литвинская, О. С., Основы теории передачи информации. Учебное пособие/ Москва: Изд-во КноРус, 2015
6. Прайс М., C# 7 и .NET Core. Кросс-платформенная разработка для профессионалов. 3-е издание/ Изд-во Питер, 2018