Журнал «Компьютерра» № 10 от 14 марта 2006 года - Компьютерра
Шрифт:
Интервал:
Закладка:
Какие каналы связи используются Казначейством в Чечне? Наверняка с традиционными способами их прокладки там есть трудности…
— Насколько я знаю, они сидят на спутниковой связи. Это, конечно, дорого, зато и вмешиваться в ее работу гораздо сложнее — реально «достать» можно только базовую станцию. Ряд регионов для взаимодействия между собой использует открытые каналы связи — разумеется, с использованием средств шифрования трафика.
Давайте представим невозможное: я обошел всю защиту и вошел в систему как полноправный пользователь. Что там можно натворить?
— Это очень непростой вопрос. Нужно очень хорошо представлять устройство платежной казначейской системы. Посторонний человек, который влезет в систему, просто не разберется — что там к чему? Что он может сделать… Простейший вариант — забить канал, слать в него какой-нибудь информационный мусор, затрудняя взаимодействие легальных пользователей. То есть обычная DоS-атака, от которой не застрахован никто, но фатальных последствий она иметь не будет. Если же злоумышленник знает систему изнутри, он может способствовать перечислению денег «не той» организации. Хотя изначально перечень абонентов в системе закрытый. Искусственно расширить его практически невозможно, поскольку список бюджетополучателей конечен, и существует специальный порядок «включения» нового участника. Нельзя просто создать собственный банковский счет и перевести на него деньги — на этом уровне злоупотребление бюджетными средствами сильно затруднено. На мой взгляд, гораздо дешевле и эффективнее растаскивать средства внутри организации-бюджетополучателя. Но на этот случай есть Счетная палата и другие надзирающие органы. Задача же Казначейства — в заданные сроки и по нужным «адресам» распределить утвержденный бюджет.
А в других странах казначейства применяют аналогичные решения?
— С точки зрения казначейств не во всех странах это реализовано так, но по похожему принципу часто строятся системы сбора налогов. Например, в Ирландии и Австралии действует то же PKI-решение, на базе которого функционирует система Казначейства РФ. Каждый гражданин Австралии подает налоговую декларацию в электронном виде; у него есть свой цифровой сертификат, которым он ее подписывает, что гарантирует авторство документа; затем ему выдается квитанция с датой и временем отправки (она нужна для того, чтобы исключить судебные споры о задержке сроков подачи налоговой отчетности).
Это другой денежный поток, но система похожая — тоже на базе решения, которое когда-то называлось UniCert. Его родоначальником была ирландская компания Baltimore, которая объединилась с еще двумя и стала называться Betrusted, а потом ее купила американская Cybertrust. Несмотря на частую смену имен эта система входит в тройку крупнейших мировых производителей PKI-решений. Все разработчики (около двухсот человек) до настоящего времени работают в Ирландии. Локализация для России не делалась — фактически потребовалось добавление средств криптографии, предусмотренных отечественным законодательством. Это и было сделано нами совместно с «Крипто-Про» и «Балтимором».
Кстати, одним из требований Казначейства была реализация всех механизмов криптографии только на базе российских алгоритмов. Соответственно, был разработан совместный продукт, получивший название «Юнисерт-ГОСТ»; на данный момент это единственный зарубежный пакет, получивший сертификат ФСБ РФ. На нем и построена система, о которой мы говорим.
Как восприняли внедрение этой системы в регионах?
— Трудно сказать. Конечно, она облегчает жизнь, но в то же время одних людей она нагружает новыми обязанностями, а в других нужда отпадает. Разумеется, с развитием техники такие ситуации неизбежны: помню, когда я служил на одном крупном вычислительном центре, у нас сменили парк ЕС ЭВМ, для которых ранее были созданы специальные отделения кондиционирования и энергообеспечения. Вместо них поставили машину IBM с аналогичной вычислительной мощностью, питающуюся от обычной розетки, и никакой кондиционер ей был не нужен. В результате замена техники привела к сокращению тридцати с лишним человек. Тем не менее я не слышал о массовых увольнениях в Казначействе. Подобные организации очень жестко подходят к набору сотрудников, потому что «засланный казачок» может наделать бед. Такими кадрами не разбрасываются, проверенных людей обычно переучивают и направляют на другие участки работы.
Сейчас на рынках Москвы можно купить любые базы, вплоть до полного перечня проводок коммерческих банков за последний год. Не может ли из-за проведенной вами «централизации» документооборота в Казначействе по соседству появиться и информация о расходовании госбюджета?
— Стопроцентных вариантов защиты баз данных от кражи не существует. Всегда есть администратор, который обслуживает базу и делает ее резервные копии. Одно можно сказать точно: даже если уйдет список выданных сертификатов, воспользоваться ими злоумышленник не сможет, потому что каждый из сертификатов состоит из двух половинок — открытой и секретной, которая имеется только у его обладателя. Больше того: любой легальный пользователь теоретически может скопировать и унести список открытых половинок, но следует учитывать, что в систему встроены определенные контролирующие меры, которые позволят определить «несуна». И еще: прикладную часть, непосредственно отвечающую за выписку бумаг, система с открытыми ключами практически не затрагивает. Она интегрирована с нею на таком уровне, что когда генерируется финансовый документ, система автоматически ставит на нем подпись оператора, а затем там же ставится подпись принявшей документ стороны. Прикладное ПО делалось под заказ Федерального казначейства специализированной компанией-разработчиком, и я думаю, что там защита данных закладывалась на всех уровнях.
Конечно, если человек приедет на Ильинку на танке, пробьет стены и захватит сервер — он базу данных получит. Но для борьбы с такими случаями есть специальные меры физической защиты.
Итак, система внедрена и работает, но пока охвачены не все регионы…
— Нет, развернута она во всех регионах, и внутренний документооборот Казначейства работает на ней, однако пока подключены далеко не все бюджетополучатели. Есть опорные регионы — Москва, Южный Федеральный округ и Уральский Федеральный округ, где идет активное подключение бюджетополучателей. В остальных регионах пока подключают только самых крупных. Но условно говоря, если из трехсот тысяч абонентов подключить десять тысяч, восемьдесят процентов бюджета пойдет в электронном виде. А дальше это постепенный процесс, поскольку повсеместное внедрение требует и работы самих сотрудников Казначейства по выдаче сертификатов, и работы с бюджетополучателями, которые должны развернуть у себя соответствующие программные и аппаратные решения. Существует перечень ПО, которое должно быть установлено на компьютере, чтобы документооборот заработал. Это в первую очередь криптоядро производства компании «Крипто-Про» и «математика», необходимая для взаимодействия с точкой отправки и приема информации. В простейшем случае это может быть почтовый клиент, если взаимодействие осуществляется через почтовую систему, либо клиент казначейского приложения. Причем аппаратные требования достаточно низкие и совпадают с теми, что требовались уже снятым с продаж версиям Windows.
То есть можно сказать, что движение средств государственного бюджета до уровня каждого конкретного бюджетополучателя находится под полным контролем из федерального центра?
— Да, именно так.
PKI (public key infrastructure) — инфраструктура открытых ключей (или ИОК). Главное назначение PKI — оборот сертификатов, структур данных, содержащих идентификатор и открытый ключ пользователя системы, и другой служебной информации. Сертификат заверяется электронной цифровой подписью центра сертификации («удостоверяющего центра» в терминологии закона «Об ЭЦП»). То есть центр сертификации играет роль своеобразного нотариуса, хотя профессиональные юристы предъявляют к такому сравнению серьезные претензии. Подпись центра сертификации (или подчиненного ему центра регистрации) удостоверяет подлинность открытого ключа владельца сертификата. Таким образом, получатель сообщения, запросив сертификат и используя указанный там открытый ключ пользователя, может проверить целостность сообщения и подлинность его отправителя.
Наука: Эпоха гигантских эффектов
Авторы: Александр Самардак [email protected], Алексей Огнев
Конец ХХ и начало XXI веков без преувеличения можно назвать эпохой «гигантских эффектов». Начиная с 1965 г. было открыто полтора десятка физических феноменов, измеряемая величина в которых меняется от нескольких десятков до нескольких тысяч процентов. Это так поражало исследователей, что они по праву присваивали найденным эффектам титул гигантских. Особенно богатым на открытия был 2003 г., когда обнаружили четыре подобных явления (рис. 1). Ряд этих многообещающих эффектов уже нашел применение в науке и технике, позволив сконструировать приборы и технические устройства с весьма высокими характеристиками.