Информационная безопасность

Стандарты обеспечивают защиту соединений и приложений. Рассматриваемые  стандарты можно классифицировать в соответствии с тем, что они  защищают: соединения или приложения. Такие стандарты, как SSL (Secure Sockets Layer) и Secure WAN или S/WAN (Secure Wide-Area Networks) предназначены для защиты коммуникаций в Интернет, хотя SSL используется в основном с Web-приложениями. С другой стороны, S-HTTP (Secure HTTP) и S/MIME (Secure MIMЕ) нацелены на обеспечение аутентификации и конфиденциальности (S-HTTP—для Web-приложений, а S/MIME — для электронной почты). SET обеспечивает защиту только для транзакций электронной коммерции.

Защита Web-приложений: S-HTTP и SSL S-HTTP защищает данные, а SSL —коммуникационный канал.

Web-приложения защищены двумя протоколами — Secure HTTP и Secure Sockets Layer, которые обеспечивают аутентификацию для серверов и браузеров, а также конфиденциальность и целостность данных для соединений между Web-сервером и браузером. S-HTTP, предназначенный, в первую очередь, для поддержки протокола передачи гипертекста (HTTP), обеспечивает авторизацию и защиту документов. SSL предлагает схожие методы защиты, но для коммуникационного канала. Он действует в нижней части стека протоколов между прикладным уровнем и транспортным и сетевыми уровнями TCP/IP.

SSL можно использовать  не только для транзакций, которые  проходят в Web, но этот протокол не предназначен для обеспечения безопасности на основе аутентификации, происходящей на уровне приложения или документа. Для управления доступом к файлам и документам нужно использовать другие методы.

Защита электронной почты: РЕМ, S/MIME и PGP.Для защиты электронной почты в Интернет есть множество различных протоколов, но лишь один или два из них используются достаточно широко. Протокол РЕМ применяется все реже. S/MIME использует цифровые сертификаты и поддерживает электронные послания, состоящие из нескольких частей.

РЕМ (Privacy Enhanced Mail) — это стандарт Интернет для защиты электронной почты с использованием открытых или симметричных ключей. Он применяется все реже, поскольку не предназначен для обработки нового, поддерживаемого MIME, формата электронных посланий и, кроме того, требует жесткой иерархии сертификационных центров для выдачи ключей. S/MIME — новый стандарт. Он задействует многие криптографические алгоритмы, запатентованные и лицензированные компанией RSA Data Security Inc. S/MIME использует цифровые сертификаты, и, следовательно, при обеспечении аутентификации полагается на сертификационный центр (кооперативный или глобальный).

Еще одно популярное приложение, разработанное для защиты посланий и файлов — PGP (Pretty Good Privacy) – это общепринятый способ защиты электронной почты в Интернет. 
Вероятно, это самое распространённое приложение защиты электронной почты в Интернет, использующее различные стандарты шифрования. Приложения шифрования – расшифровки PGP выпускаются для всех основных операционных систем, и послания можно шифровать до использования программы отправки электронной почты. Некоторые почтовые программы, такие как Eudora Pro фирмы Quaicomm и OnNet от FTP Software, позволяют подключать специальные PGP-модули для обработки зашифрованной почты. PGP построена на принципе паутины доверия (web of trust) и позволяет пользователям распространять свои ключи без посредничества сертификационных центров.

Защита сетей: брандмауэры.Когда Вы соединяете ресурсы своей корпоративной сети с открытой сетью, такой, как Интернет, Вы подвергаете риску как содержащиеся в ней данные, так и сами компьютерные системы. Без брандмауэра данные будут мишенью для внешней атаки. Как и их аналоги в обыденной жизни, в электронном мире брандмауэры предназначены для защиты от повреждений, в данном случае, защиты данных и компьютерных систем. Брандмауэры способны обеспечить защиту отдельных протоколов и приложений, и весьма эффективны против маскарада. Брандмауэры осуществляют контроль доступа на основе содержимого пакетов данных, передаваемыми между двумя сторонами или устройствами по сети.

CryptoAPI u CDSA.В настоящее время есть два основных набора инструментов, призванных упростить для разработчиков задачу внедрения криптографических методов защиты в приложения для персональных компьютеров — это CryptoAPI от Microsoft и CDSA (Common Data Security Architecture) от Intel.

Microsoft разрабатывает интегрированную систему безопасности Интернет — Internet Security Framework — совместимую с Microsoft Windows 95 и Microsoft Windows NT. Важный компонент этой интегрированной системы — CryptoAPI. Этот интерфейс прикладного программирования (API) действует на уровне операционной системы и предоставляет разработчикам в среде Windows средства вызова криптографических функций (таких как алгоритмы шифрования) через стандартизированный интерфейс. Поскольку CryptoAPI имеет модульную структуру, он позволяет разработчикам в зависимости от их потребностей заменять один криптографический алгоритм другим. CryptoAPI также обладает средствами для обработки цифровых сертификатов.

CDSA от Intel предлагает практически те же самые функциональные возможности, что и CryptoAPI, но этот набор инструментов с самого начала предназначался для много платформенного использования, а не только для Windows. Некоторые компании (в том числе Netscape, Datakey, VASCO Data Security и Verisign) уже включили поддержку CDSA в свои продукты.

Одно из преимуществ брандмауэра в том, что он позволяет обеспечить единственную точку контроля за безопасностью в сети. Но это преимущество может обернуться против Вас: если брандмауэр окажется единственным слабым местом в системе защиты, то вероятно, он и привлечет к себе повышенное внимание хакеров.

Помните, что брандмауэры  не являются универсальным решением всех проблем безопасности в Интернет. Например, они не осуществляют проверку на вирусы и не способны обеспечить целостность данных. Кроме того, брандмауэры не аутентифицируют  источник данных и очень часто  не гарантируют конфиденциальности. Однако в настоящее время разрабатываются  новые протоколы для обеспечения  аутентификации и конфиденциальности пакетов данных в Интернет.

Корпоративные сети часто  связывают офисы, разбросанные по городу, региону, стране или всему миру. В  настоящее время ведутся работы по защите на сетевом уровне IP-сетей (именно такие сети формируют Интернет), что позволит компаниям создавать  свои собственные виртуальные частые сети (virtual private networks, VPN) и использовать Интернет как альтернативу дорогим арендованным линиям.

Ведущие поставщики брандмауэров и маршрутизаторов выступили  с инициативой: предложили технологию S/WAN (Secure Wide Area Networks) . Они взяли на себя внедрение и тестирование протоколов, предлагаемых Рабочей группой инженеров Интернет (Internet Engineering Task Force, IETF) для защиты IР-пакетов. Эти протоколы обеспечивают аутентификацию и шифрование пакетов, а также методы обмена и управления ключами для шифрования и аутентификации. Протоколы S/WAN помогут достичь совместимости между маршрутизаторами и брандмауэрами различных производителей, что позволит географически разобщенным офисам одной корпорации, а также партнерам, образующим виртуальное предприятие, безопасно обмениваться данными по Интернет.

Электронная цифровая подпись (ЭЦП) является электронным эквивалентом собственноручной подписи. ЭЦП служит не только для аутентификации отправителя  сообщения, но и для проверки его  целостности. При использовании  ЭЦП для аутентификации отправителя  сообщения применяются открытый и закрытый ключи. Процедура похожа на осуществляемую в асимметричном шифровании, но в данном случае закрытый ключ служит для шифрования, а открытый — для дешифрования.

Алгоритм применения ЭЦП  состоит из ряда операций. Генерируется пара ключей - открытый и закрытый. Открытый ключ передается заинтересованной стороне (получателю документов, подписанных стороной, сгенерировавшей ключи). Отправитель сообщения шифрует его своим закрытым ключом и передает получателю по каналам связи. Получатель дешифрует сообщение открытым ключом отправителя.

7. Безопасность электронной коммерции

Для начала давайте разберёмся с используемым термином ”безопасность”. Безопасность это состояние защищенности от возможных действий, которые могут  причинить определенные потери, а  так же средства сдерживания и  отражения опасных действий наряду с возможностью быстрой компенсации  потерь. Безопасность означает сохранение стабильности и возможности развития системы в любом случае. 

Говоря о безопасности электронной коммерции, до описания аспектов защиты и безопасности серверной  и клиентской частей необходимо привлечь внимание к следующим базовым  вопросам и мифам: 

В принципе, возможно, выстроить  полностью защищённую систему —  системы могут быть защищены только от известных опасностей, снизив количество связанных с ними рисков до приемлемого  уровня. Только сам управляющий предприятия  может обозначить необходимое равновесие между желаемым уровнем снижения рисков и стоимостью соответствующего решения. Безопасность сама по себе есть не что иное, как один из аспектов процесса управления рисками, в то время  как информационная безопасность является общностью здравого смысла, управления бизнес-рисками, адекватной базы технического опыта в области управления, рационального использования специализированных продуктов и других аспектов. В дополнение к этому нужно учитывать, что сама Веб-страница это только вид доставки информации потребителю.

Брандмауэры не проницаемы — после имплементации брандмауэра  можно сидеть, почивая на лаврах в уверенности, что злоумышленники некогда не пройдут через него. Проблема заключается в том, что  эго необходимо конфигурировать, причем, таким образом, чтобы через него в обоих направлениях шел определённый трафик. Атака на главную страницу вашего портала разительно отличается от попытки использования вашего Веб-сервера для получения доступа  до других серверов системы, соответственно требования к брандмауэрам в обоих  случаях абсолютно разные. Для  большей части систем необходимы сложные, многослойные системы зашиты сконфигурированные таким образом, чтобы доступ к защищаемой информации был только у авторизованных пользователей.

Компания, у которой имеется  открытый сертификат от заслуживающего уважения Сертификационного Агентства (Certification Authority (CA)), сама по себе уже заслуживает доверия — сертификат всего лишь означает что-то близкое к: „в момент запроса выдачи сертификата, я, CA, выполнило определённые действия для проверки личности этой компании. Вас это может устраивать или нет. Я не знакомо с этой компанией и не знаю можно ли ей доверять, и какой у неё бизнес. До момента, когда меня информируют, что выданный мной открытый ключ дискредитирован я даже не узнаю что он, например, украден или передан кому-нибудь другому и это ваш долг проверить, не аннулирован ли он. Моя ответственность ограничивается регулирующими правилами, которые описывают политику моей компании, которые вам необходимо тщательно изучить, перед использованием ключей связанных с этой компанией” 

Реализация безопасности на клиентской стороне

Безопасность клиентской части это безопасность персонального  компьютера клиента во время эго  соединения с сервером электронной  коммерции. Эта часть системы  включает в себя компьютер клиента, интернет браузер, а так же само соединение с сервером.

С этой частью системы связанны некоторые аспекты: 

• Защита информации во время её передачи между компьютером клиента и сервером;
• Защита информации сохраняемой на компьютере клиента;
• Защита факта того, что определённый клиент сделал определённый заказ.

1. Безопасность соединений

Защита соединения для  аппликаций электронной коммерции  включает в себя безопасность информации передаваемой между клиентской системой и сервером е-коммерции. Это могут  быть такие секретные данные как  данные кредитных карточек или пароли от Веб-страницы. Это информация настолько  же конфиденциальна, как и файлы  самого клиента. 

Единственное возможное  решение этой проблемы это шифрование данных. Большая часть стандартных  браузеров обеспечивает возможность  шифрования трафика. Такое решение  используется по умолчанию, вместо протокола HTTP используя протокол HTTPS. Используя HTTPS между клиентом и сервером, устанавливается  соединение, которое в свою очередь  использует SSL протокол (Secure Socket Layer). Весь трафик, который идёт через это соединение шифруется. 

Шифрование HTTPS гарантирует  безопасность информации с момента  её отправки с компьютера клиента  до прихода на сервер. Использование HTTPS стало необходимым, так как  пользователи стали понимать, что  преступник может получить доступ к  данным кредитных карточек посредством  интернета. 

2. Хранение информации на компьютере клиента

Не HTTP, не так же HTTPS протоколы  не фиксируют состояния, что означает, что после загрузки Веб-страницы в браузере, сервер не фиксирует, что  в данном браузере только что была загружена именно эта страница. Для  реализации коммерческой деятельности в интернете с использованием ВЕБ браузеров и ВЕБ серверов, серверам необходимо фиксировать информацию о действиях клиента (это информация о самом клиенте, информация о  заказываемых товарах и обо всех паролях, которые используются для  доступа к охраняемым страницам). Один из способов, с помощью которого можно обеспечит данную функциональность (это самый распространенный метод) это использование элементов  cookie.