Решение для интеграции с Единой системой электронного документооборота государственных органов (ЕСЭДО) Республики Казахстан

Компания-заказчик

Решение разрабатывалось как инструмент для продвижения Directum RX на рынке Казахстана без ориентации на конкретного Заказчика.

Уже используют:

• Национальная компания «КазМунайГаз»;
• КазМунайГаз Инжиниринг;
• КМГ-Кумколь;
• Международный финансовый центр «Астана»;
• Евразийский национальный университет им. Гумилева.

Описание заявки

В Казахстане давно и активно используется электронный документооборот между компаниями с госучастием, а также крупными организациями. Ключевым инструментом обмена является Единая система электронного документооборота государственных органов (ЕСЭДО). Если сравнивать с РФ, то она является аналогом единой межведомственной системы электронного документооборота (МЭДО). Основными объектами взаимодействия являются: переписка, обращения, поручения, уведомления-квитанции.

Ключевым отличием является то, что подключение к ЕСЭДО осуществляется не напрямую, а через сертифицированные интеграционные шины. Таким образом, перед Заказчиком стоят 2 задачи – выбор шины (поставщика услуг подключения к ЕСЭДО) и интеграция имеющейся СЭД с шиной.

Задачи и цели

Основной целью являлась разработка готового тиражируемого решения для массового подключения компаний с СЭД на базе Directum RX к ЕСЭДО.

Для достижения данной цели требовалось:

• Разработать сервис (интеграционную шину) для подключения к внешнему шлюзу электронного правительства с использованием транспортной ЭЦП (Электронная цифровая подпись, терминология РК);
• Сертифицировать сервис;
• Разработать плагины для подписания Электронной подписью в формате ЕСЭДО в веб-интерфейсе и для мобильных приложений;
• Разработать прикладной модуль для работы с ЕСЭДО, интегрированный в процессы классического делопроизводства с возможностью адаптации под измененные типы документов.

Описание и возможности решения

Интеграционная шина Directum QAZ

Шина Directum QAZ выполняет несколько функций:

• Подключение и безопасное взаимодействие с сервисами ЕСЭДО;
• Распределение пакетов обмена между клиентами;
• Временное хранение пакетов на случай восстановление после локальных сбоев.

Технически интеграция осуществляется с 3 сервисами электронного правительства с подключением по выделенному каналу VPN:

1. ЕНСИ – сервис для получения нормативно-справочной информации (виды документов, контрагенты, характеры вопросов, категории заявителей и т.д.);
2. ЕХЭД – хранилище электронных документов, именно через него перемещаются файлы;
3. ЕСЭДО – сервис, который отвечает за обмен пакетами с метаданными по документам и квитанциями уведомлениями

Для запуска шины в промышленную эксплуатацию потребовалось пройти комплексные испытания интеграции с каждым из 3 сервисов с получением соответствующих сертификатов.

Использование ЭЦП в интеграции с ЕСЭДО

В рамках интеграции с ЕСЭДО используются несколько типов электронных подписей.

• CMS-подписи (ГОСТ 34.310-2004) для комплектов документов, РКК и уведомлений-квитанций. Могут быть сформированы с использованием СКЗИ НУЦ РК (для юридических лиц, сертификаты выдаются УЦ НУЦ РК) или с использование Tumar CSP (для гос.органов, сертификаты выдаются УЦ ГО). Отличительной особенностью CMS-подписей формата ЕСЭДО является наличие в таблице подписываемых атрибутов имён подписываемых файлов (одна подпись может быть установлена на несколько документов) и OCSP-квитанции сертификата подписанта. Поддержка таких подписей реализована на основании СКЗИ НУЦ РК Kalkan и на основании шаблонов проектов для разработки плагинов для web-интерфейса Directum RX и для мобильных приложений (Directum Solo), которые предоставляются Directum.
• XML-подписи для обращений физических и юридических лиц с Портала электронного правительства. Поддержка таких подписей реализована отдельным базовым решением для работы с ЭЦП Казахстана. 
• Транспортные XML-подписи для отправки пакетов в адрес Внешнего шлюза электронного правительства. Поддержка таких подписей реализована с помощью СКЗИ НУЦ РК и инспектора сообщений для WCF-сервисов.

Все проверки, требуемые Законодательством, отрабатывают в режиме онлайн путем обращения к сервисам удостоверяющего центра.

Алгоритм подписания

Алгоритм подписания с использованием веб-агента представлен на схеме:

При разработке решения по интеграции к ЕСЭДО и при использовании ЭЦП в реальных условия потребовалась доработка ранее реализованных для рынка Казахстана плагинов в части поддержки форматов ЕСЭДО:

«Обертка» для библиотеки Kalkan. Средства для работы с ГОСТ ЭЦП НУЦ РК не являются потокобезопасными, поэтому для возможности параллельной работы пользователей и возможности одновременной работы с библиотекой Kalkan из прикладной разработки (решений Directum RX), из web-плагина и из solo-плагина была реализована «обертка» для библиотеки Kalkan с обеспечением потокобезопасности через поочередное использование библиотеки разными потоками в рамках запущенного процесса. В последней версии «обертки» добавлена возможность одновременной работы нескольких потоков с основными методами Kalkan через приложения, обменивающимися с «оберткой» данными через именованные каналы.

Дополнительные атрибуты подписания. Методы шаблона Web-плагина Directum RX для ЭЦП не предоставляет способов получить информацию о подписываемой сущности, поэтому для добавления в таблицу подписываемых атрибутов имени файла (обязательное требование для подписи в формате ЕСЭДО) потребовалось в базовом решении для ЭЦП Казахстана добавить справочник имен файлов. Далее web-плагин через БД по ГОСТ-хэшу подписываемых данных и по отпечатку сертификата подписанта находить в этом справочнике имя файла и добавляет его в таблицу атрибутов для подписания.

Зашифрованное хранилище. Так как НУЦ РК до сих пор не предоставило механизмы облачного подписания, то для подписания в мобильных приложениях (Directum Solo) потребовалось также разработать зашифрованное хранилище на сервере, к которому идет обращение через плагин.

Серверное подписание. Для сотрудников, использующих операционные системы, для которых нельзя использовать плагины ЭЦП (например, MacOS), реализовано серверное подписание документов (в том числе в формате ЕСЭДО) с использованием того же зашифрованного хранилища, как и для мобильных приложений. Такое подписание выполняется автоматически при выполнении задания на согласование или подписание, требующего усиленной подписи.

Автоисправление структуры CMS-подписи. Многие участники обмена через ЕСЭДО для ЭЦП используют Tumar CSP вместо средств НУЦ РК, то есть для одного ГОСТ-алгоритма используются два криптопровайдера, два удостоверяющих центра, два OCSP-сервиса, несколько сервисов штампов времени, поэтому «внутренности» CMS у таких ЭЦП заметно отличаются, и возникали проблемы с обработкой этих подписей и на стороне Kalkan, и на стороне Directum RX (в основном в части меток времени). В связи с этим, перед импортом подписи в RX выполняется анализ CMS-подписи и попытка исправления структуры CMS под нужный формат без изменения подписанных данных.

Ускорение через кэш OCSP-квитанций. Метод валидации сертификата подписанта вызывается в системе RX довольно часто, а проверка на OCSP-сервисе НУЦ РК занимает в лучшем случае около секунды (редко до 10-20 секунд) с учетом последовательного использования библиотеки, поэтому для ускорения подписания и проверки подписей был реализован «Кэш OCSP-квитанций», к которому обращаются плагины для Web и Solo перед обращением к OCSP. Например, если сотрудник подписывает документ, то выполняется онлайн-обращение к OCSP с запросом проверить сертификат подписывающего на текущий момент времени, квитанция ответа сохраняется в кэш, и все последующие проверки этого сертификата по интервалам дат уже берутся из кэша с офлайн-проверкой OCSP квитанции.

Прикладной модуль «Интеграция с ЕСЭДО»

Действия, связанные процессами взаимодействия через ЕСЭДО имплементированы в функциональность стандартной Канцелярии.

Поступление заданий из ЕСЭДО осуществляется в отдельный документопоток. При разработке типа задач для обработки поступающих документов в качестве «эталона» использовался интерфейс пользователя при работе с МЭДО.

Информация о пакете доступна из карточки электронного документа.

Отправка исходящих документов в ЕСЭДО осуществляется делопроизводителем из карточки документа и подтверждается ЭЦП.

Поддерживаются уведомления-квитанции от факта доставки до СЭД получателя до фактического исполнения поручения с указанием результата.

Для администрирования модуля была создана обложка, реализующая доступ к основным объектам решения:

Из полезных функций обложки можно выделить:

• Управление настройками подключения к шине в визуальном режиме;
• Возможность повторной загрузки данных с шины в случае сбоев;
• Управление списком корреспондентов, по которым осуществляется обмен через ЕСЭДО (система автоматически устанавливает необходимый способ доставки и способ формирования ЭЦП в процессе);
• Работа со списками пакетов.

Результаты

Для достижения результата была проведена не только техническая работа. Вся официальная документация по ЕСЭДО устаревшая и не является актуальной, некоторой уже 10 лет. Реальное положение дел можно было узнать только при прямом взаимодействии с аналитиками и разработчиками государственных сервисов, поиск выходов на которых также потребовал не мало усилий.

После комплексного тестирования на стендах сервисов электронного правительства, запуск в опытную эксплуатацию в первой компании занял около недели. Через месяц эксплуатации без значительных замечаний, было принято решение перевести переписку с участниками ЕСЭДО полностью в электронный вид без дублирования информации на бумажных носителях (до 30 исходящих документов в день).

Реализация решения заняла около 8 месяцев активной работы, при этом процесс развития не останавливается.

Перспективы развития решения

Решение готово к быстрому внедрению для широкого круга компаний Республики Казахстан. Без учета подготовительных мероприятий (обновление Directum RX до актуальной версии, получение идентификатора ЕСЭДО), инсталляция решения и подключение к шине Directum QAZ в Евразийском Национальном Университете им. Гумилева заняли 2 рабочих дня.

В рамках проекта в АО НК «КазМунайГаз» к ЕСЭДО будут подключены до 50 юридических лиц, что предъявляет дополнительные требования к стабильности работы.

Основными задачами развития являются:

• Оптимизация работы ЭЦП;
• Поддержка актуальных версий Directum RX;
• Доработка пользовательского интерфейса и расширенной поддержки режимов работы с редкими объектами (пункты поручений, обращения физических и юридических лиц, перенаправления обращений физ. и юр. лиц);
• Доработка шины Directum QAZ для подключения десятков инсталляций.

Стоит отметить и другие потенциальные возможности, которые мы прорабатываем:

• Использование для обмена между разными инсталляциями Directum RX без необходимости подключения к ЕСЭДО (все взаимодействие будет происходить через Directum QAZ);
• Подключение к другим сервисам электронного правительства для взаимодействия в рамках бизнес-процессов.

Показатели

• более 6000 - общее число компаний и гос.органов, использующих ЕСЭДО. Это потенциал роста использования решения;
• 5  компаний уже используют решение;
• 300 пакетов в день в среднем уже проходят через через Directum QAZ;
• до 10 раз сокращаются затраты при переводе исходящих документов в электронный вид (при 5000 документов в год – печать, хранение, доставка);
• в 24 раза ускоряется доставка относительно курьера.