CC BY
36
КОНТРОЛЬ ОБОРОТА КОНФИДЕНЦИАЛЬНЫХ ДОКУМЕНТОВ ПОСРЕДСТВОМ ЦИФРОВЫХ ВОДЯНЫХ ЗНАКОВ1
Е.С. Чиркин, А.В. Симкин
Тамбовский государственный университет имени Г.Р. Державина, г. Тамбов, Россия
Каждый руководитель или владелец собственного бизнеса порой сталкивается с проблемой учета документов, как созданных внутри организации, так и пришедших извне. Даже единственный утерянный вне организации финансовый документ способен привести к потере репутации, к потере конкурентоспособности предприятия, к судебным искам. И эта проблема актуальна в любой организации, независимо от ее масштабов. Автоматизация учета документов - необходимость: самое мелкое приносящее доход предприятие ежедневно оформляет до десятка документов, все прочие же - сотни, тысячи и даже десятки тысяч многостраничных документов. В настоящее время наблюдается переход от документов в бумажной форме к документам в электронной форме, что позволяет ускорить деловые процессы и сделать их более быстро реагирующими на внешние условия, что в сумме повышает конкурентоспособность предприятия на рынке и привлекательность как для клиентов, так и партнеров и инвесторов. Кстати, переход на электронную форму постепенно осуществляется и в сфере управления государством [4]. Электронные документы имеют один существенный недостаток: их крайне легко похитить, модифицировать, уничтожить, причем злоумышленник может это сделать удаленно, по каналам связи, не оставив не только ни единого следа, но и, возможно, скрыв сам факт несанкционированного доступа к документам, что приводит к низкой эффективности последующей работы правоохранительных органов (с печальной статистикой утечки конфиденциальной информации можно ознакомиться в пресс-центре [8] компании InfoWatch [9]). Действительно, документы в электронной форме возможно сделать неотъемлемой составляющей их носителя (например, решения [3]
1 Тема заявлена на отборочном мероприятии «Региональная школа-семинар "Наука и инновации (У.М.Н.И.К.-2010)"»
компании StarForce, известной своей высочайшей надежностью одноименной защиты CD/DVD от копирования), но это сводит на нет все преимущества электронной формы перед бумажной и добавляет ряд недостатков (например, такой электронный документ даже прочитать невозможно без использования специальных технических средств, в отличие от аналогичного по смыслу и назначению документа в бумажной форме).
Однако существует способ пометить электронной документ, что не сделает невозможным несанкционированный доступ к нему (уничтожение, модификацию, похищение), но позволяет установить, кто именно это сделал или по чьей вине это произошло. Существуют различные способы внесения данных меток, в том числе и способами, не допускающими их обнаружение и отделение от самого электронного документа, даже если злоумышленник знает об их возможном наличии в документе. В последнем случае данные метки называются цифровыми водяными знаками (ЦВЗ) [7].
Цель работы - разработка программного комплекса для контроля оборота конфиденциальных документов в организации посредством цифровых водяных знаков.
Для достижения данной цели необходимо решить следующие задачи:
1. Проанализировать различные способы внесения цифровых водяных знаков в документы, выявить их достоинства и недостатки.
2. Определить необходимые функциональные возможности и способы их реализации в программном комплексе для внесения цифровых водяных знаков с учетом возможности его быстрого развертывания и интеграции в существующие системы электронного документооборота.
3. Разработать программный комплекс для контроля оборота конфиденциальных документов посредством цифровых водяных знаков; проанализировать эффективность, устойчивость, защищенность, удобство работы разработанного программного комплекса
2. Тенденции и особенности развития систем информационной безопасности
и возможность его интеграции в системы электронного документооборота.
Следует отметить, что традиционно цифровые водяные знаки (по аналогии с типографскими водяными знаками) используются только в применении к защите графических изображений. В то же время повседневная финансовая информация представляет из себя, в основном, текстовые документы (возможно, с таблицами чисел). Третий случай - авторские произведения (книги всевозможных жанров, научные, газетные и рекламные статьи, переводы и многие другие произведения) идеальны с точки зрения как необходимости защиты (количество исков об установлении авторства в нашей стране в настоящее время незначительно (по миру -в тысячи раз больше), но продолжает расти, и часто это ситуации, имеющие значительный общественный резонанс [6]), так и точки зрения возможности защиты - например, значительный объем прозаического текста идеален для внесения в него ЦВЗ и, что самое главное, в отличие от финансовой информации, данные документы (произведения) созданы для того, чтобы быть опубликованными (как оригинал, так и плагиат либо похищенное произведение). По сравнению с конфиденциальным документооборотом задача защиты авторских произведений с помощью ЦВЗ с целью возможности последующего установления авторства (например, в суде) тривиальна и в данной работе не рассматривается.
Также следует отметить, что для достижения цели работы не обязательно создавать программный продукт, имеющий какие-либо признаки системы электронного документооборота, достаточно сделать его легко интегрируемым в существующие системы (такие как «Дело» [2], «Кадры» [5], 1С: Документооборот [1] и многие другие).
Было определено, что задача защиты электронного документооборота весьма многогранна, и к защите документа в последней можно отнести следующее:
1. Защита документов и их частей от подделки (в настоящее время данная проблема решена самым простым и самым эффективным способом - с помощью ЭЦП).
2. Отслеживание автора документа и контроль изменений в документах (эта про-
блема тривиальна и решается с помощью системы контроля версий документа).
3. Гибкий механизм контроля доступа сотрудников к документам (реализуется с помощью какой-либо модели разграничения доступа).
4. Выявление виновного в утечке конфиденциальных документов (кроме журналирования доступа к документу - никак данная проблема не решается).
Как было отмечено ранее, если невозможно предотвратить утечку документа (пункты 2 и 3 из списка выше), то поиск виновного в утечке и нахождение пути утечки (пункт 4) является главнейшей задачей для минимизации репутационных и финансовых потерь.
Для решения этой проблемы было решено:
1. Разработать программный комплекс для внедрения и извлечения ЦВЗ.
2. Внедрять в документы следующую информацию:
а) идентификатор автора текстового документа;
б) идентификатор пользователя, запросившего документ из хранилища;
в) метку прав доступа.
Для большей гибкости системы конфиденциального документооборота и дополнительной защиты от подделки цифрового водяного знака было разработано несколько методов внедрения ЦВЗ. Были разработаны следующие методы: метод изменения цвета символов, метод замены символов с одинаковым начертанием, метод встраивания скрытых пробелов, метод изменения шрифта знаков препинания. Каждый из методов имеет свои достоинства и недостатки. Одним из самых надежных и практичных методов является метод встраивания скрытых пробелов, так как его наличие достаточно сложно обнаружить, он также применим к документам, выводимым на печать. Метод изменения шрифта символов препинания имеет преимущество при детектировании его в документе на бумажном носителе, метод замены хорош для применения в текстах, которые, возможно, будут использоваться в не текстовых процессорах, а метод цвета хорош простотой реализации и благодаря трудности обнаружения. Также во многих случаях ЦВЗ может внедряться в документ не одним,
а несколькими методами, что повысит робастность ЦВЗ, увеличит информативность об изменениях в документе и уменьшит в десятки раз вероятность уничтожения.
Литература
1. 1С: Документооборот 8. иЯЬ:
1c.ru/ news/info.jsp?id=11402.
2. «Дело» - система автоматизации делопроизводства и электронного документооборота. иЯЬ: http://www.delo-soft.ru/delo.html.
3. Защита электронных документов. иКЬ: http://www. star-force.ru/solutions/all/content/.
4. Зубарева И. В электронном виде, пожалуйста! // Известия. 2010. 12 мая.
5. «Кадры» - программа кадрового учета. URL: http://www.delo-soft.ru/kadri.html.
6. Моргунова Е.А. Авторское право: учеб. пособие / отв. ред. В.П. Мозолин. М., 2008.
7. Оков И.Н., Ковалев Р.М. Электронные водяные знаки как средство аутентификации передаваемых сообщений. СПб., 2001.
8. Угрозы и утечки. URL: http://infowatch.ru/ press/ news/risks/.
9. InfoWatch - Интеллектуальные решения по защите информации. URL: http://infowatch.ru/ company/.
З
