Интеграция и API ЭЦП на предприятии

Интеграция: варианты сетевых топологий


Всем привет!

В данной статье мы рассмотрим основные варианты сетевых топологий при интеграции с сервисом SIGEX и их особенности. Нужно учитывать что эти варианты являются только примерами, возможны другие, более специфические. Свяжитесь с нами для обсуждения.

# Взаимодействие по защищенному HTTPS каналу

Начнем с самого распространенного варианта - информационная система взаимодействует с API SIGEX по защищенному протоколу HTTPS через сеть интернет. Протокол HTTPS защищает данные от подмены и раскрытия, они передаются по сети интернет в зашифрованном виде.

graph TB ca[(Сервисы УЦ)] sigex[(SIGEX)] server[(Сервер ИС)] client[/Пользователь ИС\] extClient[/Внешний пользователь\] mobClient(Пользователь с eGov mobile/business) ca <-.->|*| sigex subgraph Инфраструктура SIGEX sigex end subgraph Инфраструктура компании server <-.->|**| client server <-->|Защищенный протокол HTTPS| sigex end sigex <-->|Защищенный протокол HTTPS| extClient sigex <-->|Защищенный протокол HTTPS| mobClient
  • (*) Взаимодействие между сервисами УЦ и SIGEX регламентируется УЦ и основывается на международных общепринятых нормах (RFC).
  • (**) Взаимодействие внутри инфраструктуры компании регламентируется компанией.

Очевидными преимуществами этого варианта являются:

  • скорость внедрения - не нужно разворачивать дополнительных серверов или оборудования, выполнять специфических настроек;
  • простота эксплуатации - в этом варианте компании требуется сопровождать минимальное количество систем;
  • цена - подписки на сервис SIGEX являются нашим самым экономически эффективным предложением.

В этом случае информация о цифровых подписях зарегистрированных под электронными документами хранится в облаке SIGEX. Подлинники электронных документов также могут храниться в облаке SIGEX, но только в том случае, если включена опция архивирования подписанных данных (по умолчанию она отключена). Так как для выполнения проверок цифровых подписей необходимы подлинники электронных документов, их нужно передавать нам на сервера как минимум один раз, но с отключенной опцией архивирования мы их не храним, а только вычисляем их криптографические хеши.

Ни документы, ни цифровые подписи под ними не попадают в УЦ, так как УЦ не выполняет проверок цифровых подписей под документами и не хранит ни цифровых подписей, ни документов.

# Взаимодействие по защищенному HTTPS каналу через VPN

Применяется в тех случаях, когда есть требования по информационной безопасности по передаче данных исключительно по VPN туннелям.

graph TB ca[(Сервисы УЦ)] sigex[(SIGEX)] sigexFW{{VPN шлюз}} server[(Сервер ИС)] serverFW{{VPN шлюз}} client[/Пользователь ИС\] extClient[/Внешний пользователь\] mobClient(Пользователь с eGov mobile/business) ca <-..->|*| sigex subgraph Инфраструктура SIGEX sigexFW <-->|Защищенный протокол HTTPS| sigex end subgraph Инфраструктура компании server <-.->|**| client server <-->|Защищенный протокол HTTPS| serverFW serverFW <==>|Защищенный протокол HTTPS внутри VPN| sigexFW end sigex <-->|Защищенный протокол HTTPS| extClient sigex <-->|Защищенный протокол HTTPS| mobClient
  • (*) Взаимодействие между сервисами УЦ и SIGEX регламентируется УЦ и основывается на международных общепринятых нормах (RFC).
  • (**) Взаимодействие внутри инфраструктуры компании регламентируется компанией.

Данный вариант позволяет с минимальными затратами обеспечить соответствие требованиям регуляторов или иным требованиям связанным информационной безопасности.

Построение VPN туннеля доступно только на тарифном плане Крупный бизнес и требует дополнительной оплаты.

В данном сценарии информация о цифровых подписях зарегистрированных под электронными документами также хранится в облаке SIGEX. Подлинники электронных документов также могут храниться в облаке SIGEX, но только в том случае, если включена опция архивирования подписанных данных (по умолчанию она отключена). Так как для выполнения проверок цифровых подписей необходимы подлинники электронных документов, их нужно передавать нам на сервера как минимум один раз, но с отключенной опцией архивирования мы их не храним, а только вычисляем их криптографические хеши. Передача данных между серверами информационных систем и сервисом SIGEX осуществляется по защищенному протоколу HTTPS через VPN туннель.

# Экземпляр сервиса SIGEX внутри периметра (SIGEX: Платформа)

SIGEX: Платформа - это опция для корпоративных клиентов, позволяющая развернуть экземпляр сервиса SIGEX на площадке заказчика для использования в качестве бекенда ЭЦП в информационных системах предприятия.

graph TB ca[(Сервисы УЦ)] sigex[(SIGEX: Платформа)] server[(Сервер ИС)] client[/Пользователь ИС\] extClient[/Внешний пользователь\] mobClient(Пользователь с eGov mobile/business) ca <-..->|*| sigex subgraph Инфраструктура компании server <-.->|**| client server <-.->|**| sigex end sigex <-->|Защищенный протокол HTTPS| extClient sigex <-->|Защищенный протокол HTTPS| mobClient
  • (*) Взаимодействие между сервисами УЦ и SIGEX регламентируется УЦ и основывается на международных общепринятых нормах (RFC).
  • (**) Взаимодействие внутри инфраструктуры компании регламентируется компанией.

Так как в этой конфигурации облачный сервис SIGEX не используется, то все документы и цифровые подписи не покидают периметра компании, естественно кроме тех случаев когда их передают на подписание контрагентам находящимся за пределами этого периметра.

Опять же ни документы, ни цифровые подписи под ними не попадают в УЦ, так как УЦ не выполняет проверок цифровых подписей под документами и не хранит ни цифровых подписей, ни документов.

Но SIGEX: Платформа редко используется в чистом виде, так как в этом случае возникают технические сложности с работой с внешними контрагентами (теми, кто находится вне инфраструктуры) и взаимодействием с приложениями eGov mobile/business.

# Гибридный вариант (SIGEX + SIGEX: Платформа)

Зачастую бизнес процессы и соответствующие документы можно разделить по тому под какие требования по обеспечению информационной безопасности они попадают и обрабатывать часть документов локально на SIGEX: Платформа, а другую часть с использованием облачного сервиса SIGEX.

graph TB ca[(Сервисы УЦ)] sigex[(SIGEX)] sigexPlatform[(SIGEX: Платформа)] server[(Сервер ИС)] client[/Пользователь ИС\] extClient[/Внешний пользователь\] mobClient(Пользователь с eGov mobile/business) ca <-.->|*| sigexPlatform ca <-.->|*| sigex subgraph Инфраструктура SIGEX sigex end subgraph Инфраструктура компании server <-.->|**| client server <-.->|**| sigexPlatform server <-->|Защищенный протокол HTTPS| sigex end sigex <-->|Защищенный протокол HTTPS| extClient sigex <-->|Защищенный протокол HTTPS| mobClient
  • (*) Взаимодействие между сервисами УЦ и SIGEX регламентируется УЦ и основывается на международных общепринятых нормах (RFC).
  • (**) Взаимодействие внутри инфраструктуры компании регламентируется компанией.

Такой подход позволяет с одной стороны обеспечить надлежащую защиту документов попадающих под специфические ограничения по обработке, хранению и передаче, а с другой стороны максимально эффективно использовать все технологические возможности наших продуктов. Хорошая новость заключается в том, что мы бесплатно предоставляем подписку Крупный бизнес к каждой лицензии SIGEX: Платформа.

У Вас есть какие-либо вопросы или Вы хотели бы обсудить свой проект? Свяжитесь с нами, будем рады помочь! Контакты здесь.

Разработано в ТОО "Множество" в 2025 году