Веб-сервисы и стандарты информационного обмена

Веб-сервисы  и стандарты информационного  обмена

Структура веб-сервиса

 

     Для описания функциональных особенностей работы сервисов и клиентских интерфейсов, а также для организации доступа  к сервисам отдельных информационных систем используются протоколы WSDL (Web Services Description Language) и SOAP (Simple Object Access Protocol). Стандартом на структуру предоставляемых данных и документы выступает XML (eXtended Markup Language), широко применяемый для создания информационных ресурсов в последнее время благодаря его универсальности и независимости от используемой платформы.  
 
 
 

Использование XML

     Так, например, в Великобритании для работы «электронного правительства» организован  Шлюз государственных служб (Government Gateway), предоставляющий гражданам  и частным компаниям доступ ко всем органам власти по сети интернет. Каждое из ведомств может создавать и использовать свою собственную независимую компьютерную систему и задавать свои бизнес-процессы, однако на уровне единой среды взаимодействия используется общий формат. Таким образом, в качестве единой информационной среды использована уже существующая коммуникационная сеть, а вся информация предоставляется в стандарте XML. Это позволяет людям и организациям просто и согласованно получать доступ к любому государственному учреждению, ведомству или органу местной власти и обмениваться с ним информацией. Любые устройства и информационные системы — персональные компьютеры, веб-серверы, порталы, цифровые телевизоры, интернет-киоски — способны отправлять информацию на языке XML в Government Gateway, где с помощью реализованных там правил будет определяться организация, для которой эта информация предназначена. Кроме того, правила обработки определяют способ дальнейшей передачи данных. После этого информация поступает в соответствующее ведомство, а в случае необходимости Шлюз государственных служб может преобразовать ее в понятный для конечной системы формат.  

     Пример  взаимодействия в рамках среды электронного взаимодействия eGIF Великобритании

     Аналогично  подошли к выбору стандартов и в некоторых других европейских странах – Германии, Дании, а также в США.

     В России также принят курс на использование  общемировых стандартов. Так, глава  дирекции ФЦП «Электронная Россия», первый замминистра РФ по связи и  информатизации Андрей Коротков еще в 2002 г. заявил: «...Дирекция программы приняла решение о том, что все информационные системы, создаваемые в рамках ФЦП будут базироваться на принципах построения международного регистра, универсального описания поиска и интеграции данных. Это так называемый регистр UDDI, позволяющий не только регистрировать и находить информацию, но и организовывать взаимодействие между базами данных. При формировании каталогов, которые будут создаваться в рамках «Электронной России», мы договорились, что будем использовать стандарт XML. Он позволяет всем информационным системам экспортировать уже хранящуюся в их справочниках информацию в регистр без проведения дополнительных операций, при этом постоянно совершенствуется и развивается». 
 
 
 
 
 
 
 
 
 
 
 
 
 

Пример интеграции

 

     Кроме того, на федеральном уровне ведется  работа по подготовке единых стандартов на данные и метаданные (то есть правила  описания данных, их структуры и  содержимого):

• Создается каталог стандартных государственных данных. Этот каталог должен описывать элементы и типы данных, используемых при разработке согласованных XML-схем официальных государственных документов и сообщений, а также в соответствующих стандартах административных регламентов и услуг.
• Каталог стандартных XML-схем документов и сообщений, содержащий их все согласованные и утвержденные схемы, используемый ведомствами при создании ЭАР и в процессе обмена информацией между собой.
• Стандарт на метаданные также играет весьма большое значение, поскольку именно метаданные позволяют эффективно искать информацию и создавать архивы с записями электронных документов.

     Наглядно  представить структуру стандартов и методик, которые необходимо создать  в рамках реализации ЭАР, можно в  виде следующей схемы.

Единая  государственная схема создания ЭАР

 
 
 
 
 
 
 
 

     Стандарты информационной безопасности

     Развитие  информационных и телекоммуникационных систем различного назначения (в первую очередь сети Интернет), а также  электронный обмен ценной информацией, нуждающейся в защите, потребовали  от специалистов, работающих в этой сфере, систематизировать и упорядочить основные требования и характеристики компьютерных систем в части обеспечения безопасности. Однако перед тем, как перейти к рассмотрению сформированных стандартов, нужно определить, что же такое безопасность.

     Учитывая  важность понятия, попробуем сформулировать его расширенное определение, в  котором будут учтены последние  международные и отечественные  наработки в этой области. Итак, безопасность информации - это состояние устойчивости данных к случайным или преднамеренным воздействиям, исключающее недопустимые риски их уничтожения, искажения и раскрытия, которые приводят к материальному ущербу владельца или пользователя. Такое определение наиболее полно учитывает главное назначение коммерческой информационной компьютерной системы - минимизация финансовых потерь, получение максимальной прибыли в условии реальных рисков.

     Это положение особенно актуально для  так называемых открытых систем общего пользования, которые обрабатывают закрытую информацию ограниченного доступа, не содержащую государственную тайну. Сегодня системы такого типа стремительно развиваются и в мире, и у нас в стране.

Международный стандарт информационной безопасности

     Общеизвестно, что стандартизация является основой  всевозможных методик определения качества продукции и услуг. Одним из главных результатов подобной деятельности в сфере систематизации требований и характеристик защищенных информационных комплексов стала Система международных и национальных стандартов безопасности информации, которая насчитывает более сотни различных документов. В качестве примера можно привести стандарт ISO 15408, известный как "Common Criteria".

     Принятый  в 1998 году базовый стандарт информационной безопасности ISO 15408, безусловно, очень  важен для российских разработчиков. Тем более что в текущем, 2001 году Госстандарт планирует подготовить гармонизованный вариант этого документа. Международная организация по стандартизации (ISO) приступила к разработке Международного стандарта по критериям оценки безопасности информационных технологий для общего использования "Common Criteria" ("Общие критерии оценки безопасности ИТ") в 1990 году. В его создании участвовали: Национальный институт стандартов и технологии и Агентство национальной безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Германия), Агентство национальной безопасности коммуникаций (Голландия), органы исполнения Программы безопасности и сертификации ИТ (Англия), Центр обеспечения безопасности систем (Франция). После окончательного утверждения стандарта ему был присвоен номер ISO 15408.

     Общие критерии (ОК) созданы для взаимного  признания результатов оценки безопасности ИТ в мировом масштабе и представляют собой ее основу. Они позволяют  сравнить результаты независимых оценок информационной безопасности и допустимых рисков на основе множества общих требований к функциям безопасности средств и систем ИТ, а также гарантий, применяемых к ним в процессе тестирования.

     Главные преимущества ОК - полнота требований к информационной безопасности, гибкость в применении и открытость для последующего развития с учетом новейших достижений науки и техники. Критерии разработаны таким образом, чтобы удовлетворить потребности всех трех групп пользователей (потребителей, разработчиков и оценщиков) при исследовании свойств безопасности средства или системы ИТ (объекта оценки). Основное направление оценки - это угрозы, появляющиеся при злоумышленных действиях человека, но ОК также могут использоваться и при оценке угроз, вызванных другими факторами. В будущем ожидается создание специализированных требований для коммерческой кредитно-финансовой сферы. Напомним, что прежние отечественные и зарубежные документы такого типа были привязаны к условиям правительственной или военной системы, обрабатывающей секретную информацию, в которой может содержаться государственная тайна.

     Выпуск  и внедрение этого стандарта  за рубежом сопровождается разработкой  новой, стандартизуемой архитектуры, которая призвана обеспечить информационную безопасность вычислительных систем. Иными словами, создаются технические и программные средства ЭВМ, отвечающие Общим критериям. Например, международная организация "Open Group", объединяющая около 200 ведущих фирм-производителей вычислительной техники и телекоммуникаций из различных стран мира, выпустила новую архитектуру безопасности информации для коммерческих автоматизированных систем с учетом указанных критериев. Кроме того, "Open Group" создает учебные программы, способствующие быстрому и качественному внедрению документов по стандартизации.

     Реализация  системы Международного информационного  обмена конфиденциальными  электронными документами  при трансграничном информационном взаимодействии

     В соответствии с Концепцией формирования информационного пространства Содружества Независимых Государств должны быть определены необходимые условия для реализации комплекса мероприятий по дальнейшему развитию межгосударственных информационных обменов на принципах независимости и взаимо выгодности, использования международных стандартов при создании и развитии информационных систем, широкого применения техники и технологий государств-участников СНГ. Одной из важнейших задач Концепция определила разработку и принятие межгосударственных документов о трансграничном распространении информационной продукции. При этом, важнейшей проблемой при организации трансграничного информационного взаимодействия является обеспечение каждой из сторон собственной информационной безопасности и защиты своего информационного суверенитета. Трансграничное информационное взаимодействие должно осуществляться в соответствии с законодательствами стран-участников этого

процесса. До его начала стороны обязаны  убедиться в том, что иностранным

государством, на территорию которого осуществляется передача информации, обеспечивается адекватная защита прав участвующих субъектов.

     Одной из задач трансграничного информационного  взаимодействия (ТИВ) при осуществлении международного информационного обмена является упрощение процедур торговли в пограничных пунктах пропуска и портах, взаимодействие с ВТО, Всемирной таможенной организацией, Международной организацией по стандартизации (ISO) и др. Самостоятельной задачей ТИВ является юридическое признание электронного документа.

     ТИВ с использованием информационных технологий обеспечивает оптимальное взаимодействие сторон и включает в себя:

     – проведение переговоров, торговых и  финансовых сделок, в т.ч. конфиденциальных, обмен служебной информацией, взаимодействие межправительственных, общественных и др. международных организаций.;

     – сбор, анализ, обобщение и предоставление информации для заинтересованных сторон;

     – сбор и предоставление информации о  товарах и услугах;

     – проведение маркетинговых операций.

     ТИВ, реализованное в настоящее время, имеет, в основном, корпоративный и ограниченный характер вследствие ряда причин, которые сдерживают полномасштабное развитие реальной деловой активности в Интернете:

     – отсутствие надежной (подтвержденной) аутентификации участников

при осуществлении  ТИВ;

     – недостаток доверия к организациям, оказывающим услуги через

Интернет;

     – отсутствие механизмов гарантированного подтверждения

добросовестности  участников ТИВ;

     – отсутствие механизмов обеспечения  финансовых и правовых гарантий для сторон;

     – недостаток гарантий выполнения работ  и отсутствие уверенности в том, что электронный партнер действительно существует;

     – необеспеченность процесса предъявления потребительских претензий и разбора любых конфликтных ситуаций.

     В зоне риска находятся не только потребители (клиенты), но и поставщики, и банки, через которые выполняются платежи, а также межправительственные и общественные организации. Устранение этих причин возможно при построении системы обеспечивающей заключение соглашений, договоров и иных документов в электронной форме по существенным условиям при использовании единой структуры данных и нормативно-правовой базы, использовании процедур электронно-цифровой подписи, идентификации участников ТИВ, контроля за процессом оформления итоговых документов и сохранения протоколов обмена информацией в целях разбора конфликтных ситуаций.

     Информационное  взаимодействие при международном  обмене конфиденциальными электронными документами предлагается осуществлять взаимодействующими сторонами с помощью специальной автоматизированной системы трансграничного информационного взаимодействия (далее – СТИВ).