Безопасность и защита информации
Безопасность- это защищенность. Поэтому каждому виду опасности соответствует свояьбезопасность. Бурное развитие вычислительной техники, приведшее к появлению компьютеров различной производительности и назначения, стимулировало развитие систем передачи цифровой информации, объединяющих различные вычислительные средства в мощные комплексы обработки информации. Системы передачи информации прошли эволюцию от специализированных систем до распределенных высокопроизводительных сетей, использующие для подключения стандартные протоколы передачи информации. Изначально по своему назначению эти сети были общего доступа или корпоративные. Итогом развития сетейьобщегоьдоступаьстальИнтернет. Безопасность электронного бизнесаподразумевает обеспечение таких характеристик, как конфиденциальность информации, сохранение целостности информации, аутентификация, авторизация, гарантии доверия. Существуют технологические решения для реализации перечисленных требований в электронной торговле, однако, не все из них готовы к применению на практике и обеспечивают полную безопасность. Высокий уровень мошенничества в Интернете является сдерживающим фактором развития электронной коммерцией, в связи с этим вопросы безопасности в интернет вообще и в электронном бизнесе в частности находят все новые варианты решения. Для обеспечения конфиденциальности и аутентификации в киберпространстве используется шифрование (криптография), на основе этих криптографических методов строятся различные протоколы защиты информации. Механизмы идентификации покупателей и продавцов, а также гарантии доверия (доверия продавцу) реализуются с помощью цифровой подписи и цифровых сертификатов. В настоящий момент самый известным протоколом Интернет является SSL (Secure Socket Layer). Этот протокол получил большое распространение и на сегодняшние момент является составной частью всех известных Интернет-браузеров и Web–серверов. Первым же стандартом и протоколом, упрощающим проведение транзакций, считается протокол SET (Secure Electronic Transaction). Многообразие различных стандартов и приложений, созданных для защиты информации, можно классифицировать в соответствии с тем, что они защищают: соединения или приложения. Такие стандарты как SSL, S/WAN были созданы для защиты коммуникаций в Интернете, хотя SSL используется в основном с Web приложениями. Протокол S-HTTP и S/MINE нацелены на обеспечение аутентификации и конфиденциальности (S-HTTP - для Web приложений, а S/MINE - для электронной почты. Стандарт SET – обеспечивает защиту транзакций в электронной коммерции. Последними разработками в области защиты информации можно считать 3d-Secure от Visa и SPA/USAF от MasterCard, обеспечивающие также защиту электронных транзакций. В настоящее время должен появиться единый стандарт, экономически целесообразный и универсальный, который позволил бы программному обеспечению различных разработчиков функционировать совместно. Этот недостаток несовместимости разработок защиты безопасности пока сдерживает широкое распространение электронного бизнеса.
4.1. Преимущества и недостатки протокола SET. Протокол SET (Secure Electronic Transaction) был разработан консорциумом во главе с Visa и Master Card. Официальной датой рождения стандарта SET является 1 февраля 1996 г. В этот день Visa International и MasterCard International совместно с рядом технологических компаний (включая IBM, GlobeSet) объявили о разработке единого открытого стандарта защищенных Интернет-расчетов. SET представляет собой набор протоколов, предназначенных для использования другими приложениями (такими, как Web-браузер). Он был рекомендован как стандарт обработки транзакций, связанный с расчетами за покупки по кредитным картам в Интернет. В декабре 1997 г. была создана некоммерческая организация SETCo LLC, призванная координировать работы по развитию стандарта и осуществлять тестирование и сертификацию предлагаемого на рынке программного обеспечения с целью контроля над соответствием этого программного обеспечения спецификациям SET. В основе системы безопасности, используемой SET, лежат стандартные криптографические алгоритмы DES (Data Encryption Standard — стандарт шифрования данных) и RSA (Rivest-Shamir-Adleman — алгоритм цифровой подписи Райвеста-Шамира-Адлемана). Инфраструктура SET построена в соответствии с инфраструктурой открытого ключа (Public Key Infrastructure, PKI) на базе сертификатов, соответствующих ISO-стандарту X.509. Владелец карточки и магазин устанавливают у себя программное обеспечение - Cardholder Wallet и Merchant Server соответственно. Эквайер должен установить себе Payment Gateway. Всем участникам необходимо получить Certificate Authority так называемые сертификаты, которые используются для формирования цифровых подписей и шифрования данных. Для этого участники запрашивают и получают сертификаты от сертифицирующих организаций (SETCo). SET-сертификат Интернет-Магазина содержит идентификационные параметры торговой точки. SET-сертификат Покупателя – это электронный документ, который содержит зашифрованные параметры платежной карты (её номер, имя владельца и т. д.). Чтобы однозначно идентифицировать друг друга, все участники системы должны обменяться цифровыми SET-сертификатами. Интернет-Магазин предъявляет свой сертификат в качестве удостоверения. Покупатель в свою очередь также предъявляет SET-сертификат. Эта процедура заменяет ввод данных о кредитной карте и, следовательно, обеспечивает защиту информации о карте от злоумышленников. При этом очень важно, что номер карточки остается скрытым от магазина. Тем самым ставится заслон на пути хакеров и недобросовестных администраторов Интернет-магазинов, ворующих номера карточек. Преимущества использования SET: продавцы защищены от покупок с помощью неавторизованной платежной карточки и от отказа от покупки; продавцы видят только информацию о приобретаемых предметах, но не данные о счете клиента банки защищены от неавторизованных покупок; банки видят только информацию о лицевом счете клиента, но не информацию о покупаемых товарах. клиенты не пострадают от перехвата номера кредитки и от покупки у несуществующих продавцов.
Полноценное использование SET-технологий, предполагает наличие SET-сертификатов у всех участников сделки. Но существует также упрощённый вариант – технология MIA SET, которая также признана международными платёжными систeмами. MIA SET предполагает, что владельцу карточки и магазину не нужно устанавливать у себя сложного программного обеспечения. Фактически, Cardholder Wallet перекочевывает на сервер эмитента, а Merchant Server - на сервер эквайера. Эмитент и эквайер обмениваются между собой по SET от имени владельца карточки и магазина. Эмитент при этом может на свое усмотрение использовать любые средства идентификации владельца карточки (пароль, смарт-карта и т.д.). Это же правило распространяется и на эквайера при идентификации магазина. Благодаря этому MIA SET более прост во внедрении и эксплуатации чем традиционный SET. 4.2. Стандарт SPA/USAF от MasterCard International. Корпорация MasterCard International представила Secure Payment Application (SPA) - новое решение для обеспечения безопасности кредитных и дебетовых платежей между владельцами карточек, продавцами и финансовыми учреждениями. SPA является последней новинкой в ряду интернет-решений MasterCard в сфере защиты всех сторон, участвующих в онлайновых денежных операциях - владельца карточки, продавца и эмитента карточки. SPA представляет собой схему обеспечения безопасности, которая использует преимущества инфраструктуры Universal Cardholder Authentication Field (UCAF) корпорации MasterCard. Принцип действия Технология SPA аналогична электронному чеку, выписываемому от имени владельца счёта. Система предполагает использование Покупателем цифрового кошелька – e-wallet (SPA-совместимого кошелька). Для этого Покупатель должен скачать специальное программное обеспечение с сайта MasterCard. Каждый раз, когда зарегистрированный владелец счета осуществляет сделку, система генерирует ее специфический атрибут - "показатель удостоверения владельца счета" (Accountholder Authentication Value, AAV), представляющий собой 32-значный код, содержащий информацию описывающие именно эту сделку (информация о владельце счёта и проводимой транзакции, включая наименование товара и сумму платежа). Таким образом, уникальное значение этой переменной, меняющееся с каждой транзакцией, позволяет идентифицировать держателя карты, фактически связывая владельца счета со сделкой, имевшей место по отношению к определенному торговому предприятию на определенную сумму. Совпадение значения этой переменной, меняющегося с каждой следующей транзакцией, будет подтверждать легитимность использования карты для запрашивающей стороны.
Недостатки:
4.3. Криптография - основа защиты информации в Интернет. В основе защиты информации, передаваемой через Интернет, лежит криптография. Криптография – это наука о представлении информации в виде, понятном лишь посвященным. Криптографические технологии решают четыре основные задачи обеспечения безопасности в электронной коммерции: обеспечение целостности информации, аутентификацию (которая включает идентификацию), невозможность отказа от совершенного (non-repudiation) и обеспечение конфиденциальности информации. Обеспечение целостности - это невозможность для третьей стороны, расположенной между участниками информационного обмена, модифицировать передаваемую информацию, таким образом, чтобы принимающая сторона этого не заметила. Идентификация(подвид аутентификации) проверяет, является ли отправитель послания тем, за кого себя выдает. Аутентификация идет еще дальше – проверяет не только личность, но и отсутствие изменений в послании. Реализация требования невозможности отказане позволяет, кому бы то ни было, отрицать, что он отправил или получил отправленный файл или данные. И наконец, конфиденциальность информации – это невозможность для третьей стороны получить информацию, содержащеюся в передаваемых сообщениях. Существует два вида шифрования (криптографических преобразований) – это шифрование с использованием ключа – симметричное шифрование и шифрование с открытым ключом. При шифровании с закрытым ключом отправитель и получатель владеет одним и тем же колючем, с помощью которого и тот, и другой могут зашифровать и расшифровать информацию. Ключ используется один раз при шифровке, а второй - при расшифровке получателем. Недостатком - и существенным, - является то, что если участники переговоров никогда раньше не встречались, отправитель должен каким-то образом передать ключ получателю, а посылка ключа в открытую может быть перехвачена. Преимущества криптографии с симметричными ключами:
Недостатки криптографии с симметричными ключами:
Подход с открытыми ключами был изобретен в 1976 году Уитфилдом Диффи и Мартином Хэллманом и воплощен годом позже профессорами Рональдом Ривестом, Ади Шамиром и Леном Адлеманом. Этот подход использует схему, при которой один ключ используется для шифровки, а другой ключ - для расшифровки. При таком раскладе каждый участник переговоров имеет собственный набор из двух ключей: закрытый и открытый ключи. Заметим, что безопасность и надежность схемы шифрования с открытыми ключами целиком зависит от достоверности открытого ключа. Доказательством идентичности данного открытого ключа служит сертификат (своего рода цифровая подпись). Криптография с открытыми ключами требует наличия Инфраструктуры Открытых Ключей (PKI - Public Key Infrastructure) - неотъемлемого сервиса для управления электронными сертификатами и ключами пользователей, прикладного обеспечения и систем. Исторически сложилось так, что инфраструктура сертификатов открытых ключей (PKI) создавалась на базе зарубежных криптостандартов, таких как RSA и DES с учетом их специфических особенностей. Криптография с открытыми ключами обеспечивает все требования, предъявляемые к криптографическим системам. Но реализация алгоритмов требует больших затрат процессорного времени. Поэтому в чистом виде криптография с открытыми ключами в мировой практике обычно не применяется. Для шифрования данных используются симметричные (сеансовые) ключи, которые в свою очередь шифруются с использованием открытых для передачи сеансовых ключей по сети. Комбинирование симметричных и асимметричных алгоритмов мастерски реализовано в протоколе SET с целью оптимизации времени выполнения транзакций в электронной коммерции.
4.4. SSL и S-HTTP - защита web-приложений. Для защиты веб-приложений в Интернет используются 2 основных протокола – Secure HTTP и SSL (Secure Sockets Layer) Стандарт SSL был разработан фирмой Netscape Communications. В его основе лежит шифрование с открытым ключом. Основная идея заключается в том, что при использовании стандартных протоколов обмена (таких как http, ftp, telnet) вся информация передается по сети Интернет в незащищенном виде. Таким образом, при прослушивании трафика одним из промежуточных узлов, Ваши пароли, номера кредитных карт и иная конфиденциальная информация могут стать достоянием общественности. Протокол SSL оговаривает методы шифрования всей передаваемой информации прозрачно для пользователя. Существенным недостатком SSL является то, что протоколы основанные на использовании SSL, не поддерживают аутентификацию клиента Интернет-магазином, происходящей на уровне документов или приложения, поскольку сертификаты клиента в таких протоколах почти не используются. Использование «классических» сертификатов клиентами в схемах SSL является делом практически бесполезным. Такой «классический» сертификат, полученный клиентом в одном из известных центров сертификации, содержит только имя клиента и, что крайне редко, его сетевой адрес (большинство клиентов имеют динамический IP-адрес). В таком виде такой сертификат мало чем полезен торговой точке для проведения транзакции, поскольку может быть без большого труда получен мошенником. Для того, чтобы сертификат клиента что-то значил для торговой точки, необходимо, чтобы он устанавливал связь между номером карты клиента и его банком-эмитентом. Причем любой Интернет-магазин, в который обращается за покупкой владелец карты с сертификатом, должен иметь возможность проверить эту связь (возможно с помощью своего обслуживающего банка). Другими словами, такой сертификат должен быть получен клиентом в своем банке-эмитенте. Формат сертификата, специальные процедуры маскировки номера карты в сертификате (очевидно, номер карты не должен присутствовать в сертификате в открытом виде), процедуры распространения и отзыва сертификатов, а также многое другое в этом случае должно быть оговорено между всеми участниками транзакции. Иначе говоря, требуется создание иерархической инфраструктуры центров сертификации (по аналогии с тем, как это делается в протоколе SET). Без создания такой инфраструктуры все разговоры об обеспечении взаимной аутентификации участников транзакции не имеют смысла. Отсутствие аутентификации клиента в схемах SSL является самым серьезным недостатком протокола, который позволяет мошеннику успешно провести транзакцию, зная только реквизиты карты. Тем более, протокол SSL не позволяет аутентифицировать клиента обслуживающим банком (аутентификация клиента обслуживающим банком является важным элементом защиты последнего от недобросовестных действий торговой точки и обеспечивается, например, протоколом SET) При реализации протокола SSL вместо обычного http адреса пользователь видит https (буква s на конце обозначает secure - защищенный). Таким образом, устанавливая защищенное соединение через специальный сервер - Netscape Commerce WebServer, являющийся единственной SSL совместимой разработкой и необходимый для реализации защищенного режима. Программный продукт Netscape Commerce WebServer стоит несколько тысяч долларов, плюс плата за обслуживание. Тем не менее, SSL - не единственный способ защиты от хакеров и кардеров. Задолго до появления SSL компанией Enterprise Integration Technologies (EIT) была создала схема защиты информации специально для Internet - S-HTTP (secure hypertext transport protocol). Подводя итоги, SSL в настоящее время является де-факто стандартом, обеспечивающим конфиденциальность информации. Он поддерживается всеми известными браузерами, однако алгоритм шифрования SSL недостаточно надежен. Протокол S-HTTP предназначен только для HTTP-серверов и не работает на других платформах Internet, распространенность S-HTTP только среди производителей Web-серверов. Общей чертой SSL и S-HTTP является то, что разрабатывающие их компании делают ставку на защиту денежных расчетов. 4.5. 3-D Secure (протокол трех доменов). Архитектура 3-D Secure Виза разработала протокол 3-D Secure™ (так называемый протокол трех доменов), чтобы увеличить эффективность онлайновых транзакций и ускорить рост электронной коммерции. Развитие и внедрение этого протокола должно принести выгоду всем участникам онлайновой транзакции, предоставив банкам-эмитентам возможность аутентифицировать держателей карт во время онлайновой покупки. Это повысит надежность и безопасность транзакций и уменьшит возможность мошеннического использования кредитных карт в Интернете – если покупки будут совершаться с использованием технологии 3D-secure. Преимущества данного протокола состоят в следующем: - использование 3-D Secure уменьшает возможные потери денег всеми участниками транзакции, поскольку существенно уменьшает количество чарджбэков, инициированных держателями карт по причине того, что карта была использована мошенниками.
Архитектура 3-D Secure: Виза разработала модель трех доменов как основу новых решений для платежных систем. Issuer Domain (Домен эмитента)– его назначение в том, что обслуживающий банк производит аутентификацию своей торговой точки на основе правил и методов, установленных самим обслуживающим банком (т. е. в этом случае вся ответственность за аутентификацию ложиться на обслуживающий банк торговой точки); Acquirer Domain (Домен эквайра)– его назначение в том, чтобы определить правила и процедуры обмена информацией между доменами эмитента и эквайра, гарантирующие этим доменам взаимную аутентификацию друг друга. Владелец карты находится в домене эмитента, а торговое предприятие (мерчант) находится в домене эквайра, которые в свою очередь взаимодействуют между собой через домен Interoperability (Межоперационный). Рис.1 представляет собой простую иллюстрацию модели трех доменов. Эта модель позволяет банкам-эмитентам аутентифицировать владельцев карт во время онлайновых покупок. Эквайрам и мерчантам предоставлена гибкая система, которая может включать в себя различные технические разработки. Возможность взаимодействия между эмитентом и эквайром достигается через использование общего протокола и сервисов Visa. Модель 3-х доменов (рис. 1) Риc. 2 иллюстрирует основные функции 3-D Secure
Обеспечение безопасности в моделе 3-х доменов (рис. 2)
Рассмотрим подробно структуру доменов и что в них входит. Владелец карты
Дополнительные компоненты, доступные владельцу карты
Эмитент
Сервер контроля доступа (Access control server - ACS)
Домен эквайра Мерчант (Интернет-магазин, торговая точка) Плагин сервера мерчанта (ПСМ)
Эквайер:
Организация коммерческой сертификации
Центр сертификации Visa
Сервер истории аутентификаций Копия данных, сохраняемых сервером истории аутентификаций, может быть передана эквайрам и эмитентам для решения спорных вопросов.
VisaNet Относительно аутентификации платежей VisaNet выполняет свою традиционную роль:
Как работает аутентификация платежа Владелец карты совершает покупку Когда владелец кредитной карты намеревается совершить покупку, он либо должен предоставить информацию о своем счете (карте), либо использует специальное программное обеспечение (например, цифровой кошелек), чтобы это сделать. Когда владелец карты подтверждает свое желание сделать покупку, запускается плагин сервера мерчанта (ПСМ) Merchant Server Plug-in (MPI). Программа ПСМ может находиться на сайте интернет-магазина, у эквайера или у процессингового центра третьей стороны.
ПСМ посылает сообщение к серверу Виза Директори, чтобы определить, возможно ли провести аутентификацию для данной кредитной карты. Аутентификация владельца карты ПСМ посылает запрос на аутентификацию к серверу контроля доступа. Обычно эта отсылка производитсяисипомощьюибраузераипокупателя. Процессинг платежа Если полученный ответ подтверждает аутентификацию, мерчант пересылает запрос на автотризацию с необходимыми данными своему эквайру или процессинговому центру эквайра, для отправки в VisaNet. Поток сообщений при онлайновой транзакции
Рис. 3 На рисунке 3 изображены базовые цепочки сообщений, отправляемых в то вре
Популярное: Почему люди поддаются рекламе?: Только не надо искать ответы в качестве или количестве рекламы... Почему человек чувствует себя несчастным?: Для начала определим, что такое несчастье. Несчастьем мы будем считать психологическое состояние... Как распознать напряжение: Говоря о мышечном напряжении, мы в первую очередь имеем в виду мускулы, прикрепленные к костям ... ©2015-2024 megaobuchalka.ru Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. (571)
|
Почему 1285321 студент выбрали МегаОбучалку... Система поиска информации Мобильная версия сайта Удобная навигация Нет шокирующей рекламы |