Информационная безопасность

В результате всех этих угроз  компания теряет доверие клиентов и  теряет деньги от несовершенных сделок. В некоторых случаях этой компании можно предъявить иск за раскрытие  номеров кредитных карт. В случае реализации атак типа "отказ в  обслуживании" на восстановление работоспособности  тратятся временные и материальные ресурсы на замену оборудования. Перехват данных не зависит от используемого  программного и аппаратного обеспечения. Это связано с незащищенностью версии протокола IP (v4). Решение проблемы - использование криптографических средств или переход на шестую версию протокола IP. В обоих случаях существуют свои проблемы. В первом случае применение криптографии должно быть лицензировано в соответствующем ведомстве. Во втором случае возникают организационные проблемы. Еще возможны несколько угроз. Нарушение доступности узлов электронной коммерции и неправильная настройка программного и аппаратного обеспечения электронного магазина.

2. Методы  повышения уровня защищенности объекта

С ростом коммерциализации Интернет вопросам защиты передаваемой по сети информации  уделяется все больше внимания. Специализированные протоколы, предназначенные для организации защищенного  взаимодействия через Интернет (например, SET, SOCKS5, SSL, SHTTP и др.), получили широкое признание во всем мире и успешно используются зарубежными разработчиками для создания банковских и торговых электронных систем на базе Интернет.

За рубежом  решением проблемы информационной безопасности электронного бизнеса занимается независимый консорциум – Internet Security Task Force (ISTF) – общественная организация, состоящая из представителей и экспертов компаний- поставщиков средств информационной безопасности, электронного бизнеса и провайдеров Интернет - услуг.

Консорциум ISTF выделяет двенадцать областей информационной безопасности, на которых в первую очередь должно быть сосредоточено внимание организаторов электронного бизнеса:

• механизм объективного подтверждения идентифицирующей информации;
• право на персональную, частную информацию;
• определение событий безопасности;
• защита корпоративного периметра;
• определение атак;
• контроль потенциально u1086 опасного содержимого;
• контроль доступа;
• администрирование;
• реакция на события. 

Известно, что надежно защититься от многих угроз позволяет применение алгоритмов электронной цифровой подписи (ЭЦП), однако это справедливо только в том случае, если эти алгоритмы вплетены в обоснованные протоколы взаимодействия, юридически верную конструкцию отношений и логически замкнутую систему доверия. В основе защиты информации лежит простая  логика процессов вычисления цифровой  подписи и ее проверки парой соответствующих ключей, впрочем, логика, базирующаяся  на фундаментальных математических исследованиях. Вычислить цифровую  подпись может только владелец закрытого  ключа, а проверить – каждый, у кого  имеется открытый ключ, соответствующий  закрытому ключу. Безусловно, обеспечением информационной безопасности должны заниматься специалисты в данной области, но руководители органов  государственной власти, предприятий и учреждений независимо от форм собственности, отвечающие за экономическую безопасность тех или иных хозяйственных субъектов, должны постоянно держать данные вопросы в поле своего зрения. Для них ниже приведены основные  функциональные компоненты организации комплексной  системы информационной  безопасности:

• коммуникационные протоколы;
• средства криптографии;
• механизмы авторизации и аутентификации;
• средства контроля доступа к рабочим местам из сетей общего пользования;
• антивирусные комплексы;
• программы обнаружения атак и аудита;
• средства централизованного управления контролем доступа пользователей, а также безопасного обмена пакетами данных и сообщений любых приложений по открытым сетям.

В Интернет уже давно существует целый ряд  комитетов, в основном, из организаций - добровольцев, которые осторожно проводят предлагаемые технологии через процесс стандартизации. Эти комитеты, составляющие основную часть Рабочей группы инженеров Интернета (Internet Engineering Task Force, IETF) провели стандартизацию нескольких важных протоколов, ускоряя их внедрение в Интернете.

Такие протоколы, как семейство TCP/IP для передачи данных, SMTP (Simple Mail Transport Protocol) и POP (Post Office Protocol) для электронной почты, а так же SNMP (Simple Network Management Protocol) для управления сетью – непосредственные результаты усилий IETF. Тип применяемого продукта защиты зависит от нужд компании.

В Интернет популярны протоколы безопасной передачи данных, а именно SSL, SET, IP v.6. Перечисленные протоколы появились  в Интернет сравнительно недавно, как необходимость защиты ценной информации, и сразу стали стандартами де-факто.

Интернет создавалась несколько  десятилетий назад для научного обмена информацией, не имеющей большой стоимости.

Однако  приложения электронной коммерции, кроме внутренних угроз, подвержены  также и внешней опасности, исходящей  от Интернет. И поскольку нерационально присваивать каждому анонимному посетителю отдельный идентификатор входа (так как приложение при этом не увеличивается), компаниям необходимо  использовать другой вид аутентификации. Кроме того, необходимо подготовить сервера к отражению атак. И, наконец, следует соблюдать исключительную  осторожность по отношению к критическим  данным – например, таким, как номера кредитных карт.

1. Выявление вторжений

Системы выявления вторжений (Intrusion Detection Systems, IDS) могут идентифицировать  схемы или следы атак, генерировать аварийные сигналы для предупреждения  операторов и побуждать маршрутизаторы прерывать соединение с  источниками незаконного вторжения. Эти системы  могут также предотвращать попытки вызвать отказ от обслуживания.

2. Защита  данных сайта

Для защиты данных сайта необходимо проанализировать данные, используемые  сайтом, и определить политику безопасности. Эти данные могут представлять  собой HTML-код, подробности о клиентах и продуктах, хранящиеся в базе  данных, каталоги, пароли и другую аутентификационную информацию. Вот несколько основных принципов, которые можно  использовать при определении политики безопасности данных:

• Необходимо держать чувствительные данные за внутренним брандмауэром, в защищенной внутренней сети. К  чувствительным данным  должно быть обеспечено минимальное  число точек доступа. При этом необходимо помнить, что добавление уровней безопасности и усложнение  доступа в систему влияет на работу системы в целом.
• Базы данных, хранящие низко чувствительные данные, могут располагаться на серверах DMZ.
• Пароли могут храниться после преобразования с помощью односторонних алгоритмов. Однако это делает невозможным реализацию  общепринятой (и популярной) возможности  обрабатывать сообщения типа "Я забыл мой пароль, пожалуйста, вышлите мне его по электронной почте", хотя при этом можно создать  новый пароль и высылать  его в качестве альтернативы.
• Чувствительная информация – такая, как номера кредитных карт – может храниться в базах данных и  после шифрования. Расшифровывать ее каждый раз при возникновении такой  необходимости могут только авторизованные  пользователи и приложения. Однако это также влияет на скорость работы системы в целом.

Можно защитить данные сайта и с помощью  компонент среднего яруса. Эти компоненты  могут быть запрограммированы для  аутентификации пользователей, разрешая  доступ к базе данных и ее компонентам,  только авторизованным пользователям и защищая их от внешних угроз.

Можно реализовать дополнительные функции  безопасности серверной части системы. Например, для предотвращения несанкционированного внутреннего доступа к базе данных можно использовать пользовательские функции безопасности SQL Server.

Не менее важно защищать и  резервные копии, содержащие информацию  о потребителях.

Ситуация  усугубляется еще и тем, что каждую неделю обнаруживаются все новые и новые способы проникновения  или повреждения данных, следить за появлением  которых в состоянии только профессиональные организации, специализирующиеся  на информационной безопасности.

Интеграция  коммерции в Интернет сулит кардинальное изменение положения с обеспечением безопасности. С ростом коммерциализации Интернет вопросам защиты передаваемой  по сети информации уделяется все  больше внимания. Поэтому прогресс в области  безопасности информации во многом определяет развитие процесса электронной коммерции.

Под информационной безопасностью  понимается состояние защищенности  ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства. 

Чтобы показать, каким образом  применять технологии Интернет для  защиты сетей, начнем с обзора основ криптографии, что необходимо для понимания принципов работы различных систем безопасности. Затем рассмотрим основные стандарты, существующие в настоящее время для защиты электронной коммерции в Интернет.

Информацию  различают по отраслям знаний: техническая, экономическая, биологическая и т.п.

Экономическая информация относится к области экономических знаний. Она характеризует  процессы снабжения, производства, распределения и потребления материальных благ. 

В деятельности любой фирмы присутствует информационный ресурс – это документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных и др. информационных системах), т.е. документированные знания. Информационные ресурсы в современном обществе играют  не меньшую, а нередко и большую  роль, чем ресурсы материальные.

Знание - кому, когда и где продать товар  может цениться на меньше, чем  товар, и в этом плане динамика развития общества свидетельствует о том, что на "весах" материальных  и информационных ресурсов последние  начинают преобладать. Причем  тем сильнее, чем белее общество открыто, чем более развиты в  нем средства коммуникации, чем большей информацией оно  располагает. Основные этапы построения системы защиты заключаются в следующем:

Анализ -> Разработка системы защиты (планирование) -> Реализация системы защиты -> Сопровождение системы  защиты.   

План  защиты обычно содержит следующие группы сведений:

1. Политика  безопасности.

2. Текущее  состояние системы.

3. Рекомендации  по реализации системы защиты.

4. Ответственность  персонала.

5. Порядок  ввода в действие средств защиты.

6. Порядок  пересмотра плана и состава  средств защиты. 

3. Политика  безопасности

Политика безопасности определяется как совокупность документированных  управленческих решении, направленных на защиту информации и ассоциированных  с ней ресурсов.

Прежде чем получить доступ к ресурсам  системы, пользователь должен пройти процесс первичного взаимодействия с системой ИТ, который включает две стадии – идентификацию и аутентификацию.

После того, как субъект  идентифицирован и аутентифицирован, выполняется его авторизация. Эта процедура предоставления субъекту определенных прав и ресурсов в данной системе.

Применительно к системам электронной торговли процедура  авторизации выглядит следующим  образом:

- после успешного прохождения  процедур взаимной идентификации и аутентификации, покупателю разрешается подключение через Интернет к веб-серверу магазина;

- магазин в ответ на  запрос покупателя направляет  ему счет, подписанный электронно-цифровой  подписью (ЭЦП) магазина. С гражданско-правовой  точки зрения этот счет является  предложением заключить договор  (оферта);

- покупатель подписывает  своей ЭЦП предъявленный ему счет и отправляет его обратно в магазин, совершая тем самым акцепт.

В системах электронной коммерции  выполняется взаимная аутентификация субъектов (продавец, покупатель), то есть взаимное подтверждение подлинности  субъектов, связанных между собой  через Интернет.

Для подтверждения своей  подлинности субъект может предъявлять  системе разные сущности. В зависимости  от предъявляемых субъектом сущностей  процессы аутентификации могут быть разделены на следующие категории:

- на основе знания чего-либо. Примером могут служить стандартные пароли, персональные идентификационные номера (PIN-коды), а также секретные и открытые ключи, знание которых демонстрируют в протоколах типа «запрос-ответ»;