Защита информации при передаче по сети .

Применяют разные способы защиты информации при передаче по сети. Среди них наиболее популярны:

Ø шифрование;

Ø туннелирование;

Ø защищенные оболочки.

Схема процесса шифрования проста. Для борьбы с перехватом передаваемой информации в сети, пакет перед передачей в сеть шифруют. В пункте назначения должен быть ключ шифра, чтобы расшифровать полученные данные.

При таком решении принцип защиты передачи легко программируется, но возникают организационные проблемы. Среди них:

Ø Цена шифрования-дешифрования;

Ø Надежность шифрования;

Ø Надежность передачи по сети ключей шифров.

Основной проблемой этого метода является невозможность контроля передачи в зашифрованном виде сведений, которые не подлежат распространению или вредоносны.

Туннелирование (tunneling) —это прием, когда между объектами, расположенными в разделенных сетях (могут даже в разных участках Интернета), устанавливается маршрутизация таким образом, будто они находятся в одной локальной сети. Информация между ними проходит по незащищенным каналам, в этом случае применяют шифрование пакетов.

Наиболее опасно удаленное администрирование, т.к. в этом случае по незащищенной сети проходит информация о настройках, способах защиты, пароли.

Для защиты от прослушивания используются безопасные или защищенные оболочки (Secure Shell – ssh). В параметрах защищенной оболочки можно задавать разные методы аутентификации, которые обеспечивают различную степень безопасности. Основные из них: DES, RSA, TIS.

Метод кодирования DES считается простым. Для его усложнения и увеличения таким образом надежности применяется метод 3DES (тройной DES). Здесь осуществляется тройное кодирование с тремя различными ключами.

Идея метода RSA основана на существовании двух ключей шифра: общедоступного и частного. Серверу известен общедоступный (public) ключ, частный ключ (private) знает только пользователь. Сервер, убедившись в том, что запрашивающий его клиент включен в список разрешенных, формирует ответ на запрос клиента, который может быть расшифрован только с помощью частного ключа. В этом случае обеспечивается подключение без использования пароля.

Метод TIS предполагает наличие на сервере базы данных, в которой разрешенным для подключения пользователям присваивается некоторый псевдоним, обычно длинный номер. Этот псевдоним передается при подключении к серверу, сервер анализирует базу данных и запрашивает пароль. Все остальные передачи также кодируются.

Существуют и другие алгоритмы шифрования, а также основанные на совокупности базовых.

34.  Обеспечение безопасности коммерческих и финансовых операций в Интернет.

Развитие коммерческой деятельности в сети Интернет способствовало повышению спроса на комплексные системы информационной безопасности.

 Под термином «электронная коммерция» понимается предоставления товаров и услуг через глобальные информационные сети. Среди наиболее распространенных видов электронной коммерции следующие:

Ø продажа информации, например подписка на базы данных, функционирующие в режиме on-line, доступ к электронным учебникам и пособиям и т.п.;

Ø электронные магазины. Обычно электронный магазин представляет собой Web -сайт, в котором имеются:

МУИТКонспект14doc.docРаздел

ü каталоги обновляются по мере изменения наличия товаров на складе, либо при поступлении новых товаров;

ü виртуальная «тележка» (корзина) покупателя, в нее собираются отмеченные покупателем в каталоге товары, и подсчитывается сумма заказа;

ü страничка оплаты, на которой можно выбрать способ оплаты – карточкой, наложенным платежом или электронными платежными средствами – чеками или деньгами, и произвести оплату –предоставлением номера кредитной карточки через Интернет, по телефону и пр.

ü информация о способе отправки товара: по почте, или, в случае покупки информационных товаров (программное или информационное обеспечение, игры, музыка и т.д.), через Интернет.

Ø электронные банк, это Web -сайт, выполняющий различные финансовые услуги. Вначале крупные банки для своих клиентов открывали такой электронный сервис, затем появились банки, функционирующие только в сети. Достоинством организации электронного банка является низкая себестоимость деятельности, т.к. не нужно арендовать или поддерживать и платить налоги за престижную недвижимость, не нужны хранилища ценностей и обслуживающий их персонал и т.д. и широкие возможности для привлечения клиентов, т.к. клиентом может стать любой посетитель Интернет. Поэтому электронный банк может предоставить своим клиентам кредит на более выгодных условиях и предоставить различные банковские услуги за более низкую плату.

 Пока информация, связанная с обеспечением сделок, передавалась по открытым сетям, существовала почва для автоматизированного мошенничества (например фильтрация пакетов с целью извлечения номеров кредитных карт и т.п.). Для роста объемов сделок необходимо иметь надежный и отработанный механизм защиты передачи электронных платежей.

Этот механизм базирует на принципе немедленной авторизации и шифровании финансовой информации в сети Интернет с использованием схем SSL и SET.

Протокол SSL (Secure Socket Layer) предполагает шифрование информации на канальном уровне.

Протокол «Безопасные электронные акции» SET (Secure Electronic Transactions), разработанный компаниями Visa и Master Card, предполагает шифрование  исключительно финансовой информации.

Для обеспечения полной безопасности и конфиденциальности сделок протокол SET гарантирует выполнение следующих условий:

ü абсолютная конфиденциальность информации. Владельцы счетов, карточек и других платежных средств должны быть уверены в том, что их платежная информация доступна только указанному адресату;

ü полная сохранность данных. Участники электронной торговли должны быть уверены в том, что при передаче от отправителя к адресату содержание сообщения останется неизменным Сообщения, отправляемые покупателями коммерсантам, содержат информацию о заказах, персональные данные и платежные инструкции. Если в процессе передачи изменится хотя один из компонентов, то данная транзакция далее не будет обработана надлежащим образом. Одним из средств гарантирующих сохранность и неизменность отправляемых сообщений, является механизм цифровых подписей;

ü аутентификация (установление подлинности) счета владельца карточки. Использование цифровых подписей и сертификатов владельца карточки гарантирует аутентификацию счета владельца карточки и подтверждение того, что владелец карточки является законным пользователем этого счета.

Владелец карточки тоже должен быть уверен, что коммерсант действительно имеет право проводить операции с финансовым учреждением. Использование цифровых подписей и сертификатов коммерсанта гарантирует владельцу карточки, что можно безопасно вести коммерческие отношения.

Технология взаимодействия участников системы расчетов в сети основана на участии третьей стороны.

Эквайером (получателем) является финансовое учреждение, которое открывает счет коммерсанту и обрабатывает авторизации и платежи его клиентов по кредитным картам. Финансовые учреждения создают ассоциации банковских кредитных карт, которые защищают и рекламируют данный тип карточек, создают и вводят в действие правила использования кредитных карточек, а также поддерживают сети для связи финансовых учреждений друг с другом.

Особенность использования кредитных карточек в Интернет заключается в том, что в соответствии со стандартом SET для защиты транзакций (операций передачи информации) электронной торговли применяются процедуры шифрования и цифровой подписи.

В коммерческих Интернет – приложениях для шифрования используются:

Ø Симметричные криптосистемы с секретными ключами;

Ø Ассиметричные криптосистемы с открытыми ключами

Шифрование с использованием открытых ключей предполагает, что у участников сделки имеются по два ключа:

ü Открытый, который может быть известен и другим лицам;

ü Частный (секретный), известный только получателю информации.

Правила SET предусматривают первоначальное шифрование сообщения с использованием случайным образом сгенерированного симметричного ключа, который следом шифруется открытым ключом получателя сообщения. В результате образуется так называемый электронный конверт. Получатель сообщения расшифровывает электронный конверт с помощью своего частного секретного ключа и получает симметричный ключ отправителя. С его помощью расшифровывается присланное сообщение.

Целостность информации обеспечивается использованием электронной цифровой подписи.

Кроме того, каждый участник коммерческой сделки должен подтвердить свои намерения электронным сертификатом. Суть ее в следующем. В сети Интернет для защиты участников сделок от мошенничества организованы специальные центры сертификации, которые следят за тем, чтобы каждый участник электронной коммерции идентифицировался оригинальным электронным сертификатом. Для получения сертификата надо представить в центр сертификации документ, подтверждающий личность участника (для юридических лиц – их регистрационный номер). Центр сертификации создает сообщение, содержащее имя владельца, его зашифрованный открытый ключ и дополнительную информацию. Такое сообщение называется электронным сертификатом и снабжается подписью центра сертификации.

Для разных участников сделок вид сертификата отличается. Выделяют:

ü Сертификат  владельцев кредитных карточек. Он снабжается цифровой подписью финансового учреждения и не может быть изменен третьей стороной;

ü Сертификат  коммерсанта является электронным аналогом фирменной картинки и выставляется на главной странице сайта электронного магазина;

ü Сертификат  платежных межсетевых интерфейсов выдаются эквайрам или их обработчикам для систем, которые обрабатывают авторизации и получают сообщения.