АНАЛИЗ ВОЗМОЖНОСТЕЙ РЕАЛИЗАЦИИ ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ ПОЛЬЗОВАТЕЛЕЙ В АС НА БАЗЕ СИСТЕМЫ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА ELMA
Михальцов Владислав Евгеньевич
студент группы БИ15-И1Сибирского государственного автомобильнодорожного университета, г.Омск
E-mail: Ladvis9@gmail.com
СибАДИМихайлов Евгений Михайлович
канд. техн. наук, доцент кафедры информационной безопасности Сибирского государственного автомобильно-дорожного университета, г. Омск
E-mail: mikhailov em@sibadi.org
АННОТАЦИЯ
Целью работы является повышение информационной безопасности аутентиф кац пользователей в системе электронного документооборота «ELMA». Выполнен сравнительный анализ систем электронного документооборота с аналогами в аспекте возможностей аутентификации. Разработан протот п модуля аутентификации для системы «ELMA».
Ключевые слова: аутентификация; электронный документооборот; ELMA; сравнительный анализ.
Любая система информационной езопасности не может существовать без надежной и адекватной системы аутентификации пользователей [1]. Системы электронного документооборота не являются исключением. Из 213 угроз, зарегистрированных в банке данных угроз безопасности информации на сайте ФСТЭК России, одиннадцать угроз связанны с подсистемой аутентификации [2]. Причем последняя зарегистрированная угроза (УБИ.213, последние изменения - 19.11.2018), также относится к аутентификации.
ELMA (ELegant MAnagement)– это разработка российской компании ООО
«Элма». ELMA BPM - система управления бизнес-процессами, позволяющая построить эффективное взаимодействие сотрудников компании контролировать их деятельность [3]. Система обладает 34 дополнительными встроенными модулями, расширяющими функционал программы по автоматизации процессов и интеграции. Система управление бизнеспроцессами включает в себя четыре приложения [4]:
ECM+ – включает в себя одновременно функции BPM и классической системы электронного документооборота. ECM-система позволяет управлять цифровыми документами и файлами различных форматов, а также их хранением, обработкой и доставкой внутри организации.
Проекты – отвечает за управление проектами. Система для планирования, взаимодействия и контроля выполнения в рамках проекта.
70
CRM+ – предназначена для автоматизации стратегии взаимодействия с клиентами, оптимизации маркетинга и улучшения обслуживания клиентов путем сохранения информации о клиентах и истории взаимоотношений с ними. помощью ELMA-CRM стало возможным осуществлять контроль над деятельностью пользователей, что ведет к повышению качества работы компании.
KPI – управление эффективностью. Формирует карты операционных и
СибАДИНа основе данных из таблицы 1, для сравнительного анализа систем электронного документооборота, кроме ELMA, были выбраны продукты
стратегических целей организации.
Немаловажной особенностью ELMA является возможность разработки сценариев на языке .NET C# для описания более сложных бизнес-процессов. Это позволяет знач тельно расширить функционал системы, создать удобный интерфейс в веб пр ложении, а также помочь в администрировании. Кроме того, есть возможность использовать визуальный редактор сценариев
(Конструктор сценар ев) [5].
В табл це 1 представлены самые популярные системы электронного документооборота, по данным азы TAdviser за период наблюдений с 2005 по
декабрь 2017 года [6].
|
|
|
Таблица 1. |
|
|
Топ-10 СЭД/ECM по количеству реализованных проектов, |
|||
|
|
TAdviser, декабрь 2017 г. |
||
№ |
|
Название продукта |
Количество проектов |
|
1 |
|
Directum |
693 |
|
2 |
|
DocsVision |
511 |
|
3 |
|
ELMA |
510 |
|
4 |
|
Дело (ЭОС) |
441 |
|
5 |
|
1С:Документооборот 8 |
187 |
|
6 |
|
ТЭЗИС (Haulmont) |
175 |
|
7 |
|
Microsoft SharePoint |
130 |
|
8 |
|
NauDoc (Naumen) |
111 |
|
9 |
|
E1 Евфрат (Cognitive Technologies) |
84 |
|
10 |
|
Documentum (OpenText) |
75 |
|
Directum DocsVision.
На основе проведенного анализа, составлена сравнительная таблица аспектов информационной безопасности, реализованных в указанных системах электронного документооборота (СЭД) (таблица 2).
Таблица 2.
Сравнительная таблица информационной безопасности СЭД
Аспект ИБ |
Directum |
DocsVision |
ELMA |
Поддержка различных способов |
+/- |
+ |
+ |
аутентификации |
|
|
|
Назначение прав пользователям |
+ |
+ |
+ |
71
|
Аспект ИБ |
Directum |
DocsVision |
ELMA |
|
|
Назначение прав группам пользователей |
+ |
+ |
+ |
|
|
Поддержка пользовательских ролей |
+ |
+ |
+ |
|
|
Разграничение прав доступа к объектам |
+ |
+/- |
+ |
|
|
Разграничение прав доступа к операциям |
+/- |
+ |
+ |
|
|
Выдача прав доступа на время исполнения |
+ |
+/- |
+ |
|
|
документа |
|
|
|
|
|
СибАДИ |
+ |
|
||
|
Шифрование данных системы, шифрование |
+ |
+ |
|
|
|
данных при передаче |
|
|
|
|
|
Протокол рован е действ й пользователей |
+ |
+ |
+ |
|
|
редства мон тор нга событий в системе |
+/- |
+/- |
+ |
|
|
Использован е ЭЦП |
+ |
+ |
+ |
|
|
Применен е серт ф ц рованных средств |
+ |
+ |
+ |
|
|
криптозащ ты |
|
|
|
|
|
Динамическая блок ровка документа, не |
+ |
+ |
+ |
|
|
подлежащего редакт рован ю |
|
|
|
|
|
Наличие программных средств контроля |
- |
+/- |
- |
|
|
целостности документов |
|
|
|
|
|
Организац я резервного копирования азы |
+ |
+ |
+ |
|
|
данных |
|
|
|
|
В системе «ELMA», лю ой пользователь может войти в систему везде, где есть доступ в интернет. Вход с использованием логина-пароля настроен по умолчанию для всех пользователей [7]. Кроме этого, существует еще несколько основных способов аутентификации:
•Доверенные устройства;
•Сертификат;
•Токен авторизации;
•Технология SSO.
Как уже было сказано ранее, благодаря тесной интеграции ELMA с платформой .NET, существует возможность написания сценариев, используя язык программирования C#.
Звонки, задачи, сделки, пользователи т.д. – это объекты системы. Объект
– это сущность, обладающая набором параметров и свойств, определяющих ее поведение [8].
В системе выделяют системные, пользовательские объекты и перечисления. Пользовательские объекты и перечисления могут создаваться администратором системы в дизайнере ELMA. Системные объекты и перечисления принадлежат разработчику системы и не могут быть удалены [8].
Сущность (тип сущности) – класс, экземпляры которого могут храниться в базе данных. Каждый тип сущности обладает параметрами, например, имя или имя класса, отображаемое имя на форме, описание, имя таблицы базы данных в которой хранится объект и другие. Дополнительно может существовать фильтр, по которому производится поиск экземпляров сущностей (класс
72
EntityFilterMetadata) и список действий над сущностью (класс
EntityActionsMetadata) [8].
Для реализации аутентификации пользователей через сценарий необходимо воспользоваться менеджером сущностей, который работает с данными о пользователях в базе данных ELMA. С помощью EntityManager доступны стандартные операции Создание/Обновление/Удаление/Выборка и так далее. Но есть некоторые детали, не зная которых можно что-то сломать или потерять много времени. Поэтому пользоваться данным инструментом нужно с крайней осторожностью и перед запуском скрипта рекомендуется
СибАДИнеобходимое действие, заполнить форму дождаться от системы отчета о результате выполнения.
сделать резервную коп ю базы данных.
Два нтерфейса реал зуют универсальный менеджер [9]:
•IEntityManager – базовый интерфейс менеджера сущностей;
•IEntityManager<T> – шаблонный интерфейс менеджера сущностей, где
вместо «Т» нужно подстав ть тип сущности.
EntityManager содержит следующие функции, рассмотрим самые
интересные |
з н х [10]: |
•Object Create() - создание новой сущности; |
|
•Bool |
IsNew(object obj) – проверка, является ли сущность новой, не |
сохраненной в базе данных; |
|
•Bool IsDirty(object obj) – перегруженная функция проверки, есть ли не сохраненные изменения в сущности. Есть возможность передать оригинальное
состояние сущности;
•Object Load(object id) – загружает сущность по идентификатору;
•Void Save (object obj) – сохраняет сущность в базу данных;
•Void Delete (object obj или string query) – перегруженная функция
удаления сущности в базе данных. Может осуществляться через экземпляр либо через SQL - запрос передаваемый строкой;
•Object LoadOrCreate(object id) – загрузить по идентификатору. Если не
найдена – возвращается новая сущность;
•System.Collections.IEnumerable FindAll() – найти все сущности. Не
рекомендуется использовать в больших базах данных.
Основная идея реализации через сценарий заключатся в создании бизнеспроцесса, в котором перед пользователем ставится задача - выбрать
Предполагается, что администратор передает в сценарий список ФИО пользователей и адреса электронной почты. Для этого нужно создать свойство типа «текст» в контексте процесса.
После заполнения формы, передается управление в тело сценария, в котором, используя EntityManager, создается массив пользователей, имеющих тип Security.Models.User. В результате работы парсера получаем данные для заполнения полей ФИО и адреса электронной почты. Логин и пароль будет генерироваться автоматически.
73
В результате работы модуля были созданы 2 пользователя. Используя эти учетные записи, в систему можно войти с пустым паролем (рисунок 1).
СибАДИhttps://bdu.fstec.ru/threat.
Рисунок 1. Таблица Users после выполнения сценария
Однако во время разработки возникли некоторые сложности. При
сохранен сгенер рованного пароля, было обнаружено, что парольные данные
в таблице Users не сохраняются, так как поле «password» отсутствует. По данной проблеме, от разработчиков системы «ELMA» была получена
рекомендац я не спользовать поле «Password» в классе Security.Models.User. Описанную проблему предполагается решить в рамках следующей работы.
Заключен е
В работе представлены о щие характеристики системы ELMA и ее
возможностей.
Выполнен сравн тельный анализ информационной безопасности среди программ предоставляющ х услуги электронного документооборота и управления бизнес-процессами. В результате исследования выяснилось, что все выбранные системы в целом соответствуют ключевым требованиям информационной безопасности. Однако оценки показали, что в «ELMA» аспект
безопасности прора отан несколько глубже, чем у «DocsVision» и «Directum».
Разработан прототип модуля аутентификации и идентификации пользователей для системы «ELMA». Планируется дальнейшая разработка
представленного модуля |
его внедрение в работающую организацию. |
Список литературы: |
|
1. Орлов . ЭЦП |
аутентификация: сделано в России/ Журнал сетевых |
решений/LAN, 2014, № 9. [Электронный ресурс] – Режим доступа: |
|
https://www.osp.ru/lan/2014/09/13042709 |
|
2. Банк данных угроз безопасности информации / ФСТЭК России, ФАУ |
|
«ГНИИИ ПТЗИ ФСТЭК России». [Электронный ресурс] – Режим доступа: |
|
3. ELMA Система управления бизнес-процессами и электронного документооборота [Электронный ресурс] – Режим доступа: http://www.tadviser.ru/index.php/Продукт:ELMA_BPM_Suite
4. Продуктовая линейка решений на платформе ELMA [Электронный ресурс] – Режим доступа: https://www.elma-bpm.ru/product/
5. ELMA 3.6 – уверенный шаг вперед [Электронный ресурс] – Режим доступа: https://www.elma-bpm.ru/journal/index.php?ELEMENT_ID=2880
6. СЭД [Электронный ресурс] – Режим доступа: http://www.tadviser.ru/index.php/СЭД
74
7. Внутренний портал ELMA. Руководство пользователя. [Электронный ресурс] – Режим доступа: https://www.elmabpm.ru/kb/help/elma_portal_quick_start.pdf
8. Модель данных [Электронный ресурс] – Режим доступа: https://www.elma-bpm.ru/KB/article-5574.html
9. Менеджер сущностей [Электронный ресурс] – Режим доступа: http://yambr.ru/entitymanager/
СибАДИ10. Интерфейс менеджера сущностей [Электронный ресурс] – Режим доступа: https://pastebin.com/dyfsi8Ys
75