Не важно, что произошло. То, что вы будете делать после этого, определяет результат. © Катрин Кульман 995 - | 769 - или читать все...
Обратная связь Пожаловаться на материал

Обеспечение безопасности электронных платежей через сеть Internet


⇐ ПредыдущаяСтр 4 из 7Следующая ⇒

Сегодня Internet может рассматриваться как огромный рынок, спо­собный охватить практически все население нашей планеты. Места со­вершения сделок постепенно перемещаются от традиционных рынков к более комфортным для потребителя - в дом или офис. Именно поэтому производители программных и аппаратных средств, торговые и финан­совые организации активно развивают различные виды и методы веде­ния коммерческой деятельности в Internet - электронной торговли, про­являя надлежащую заботу об обеспечении ее безопасности.

Под термином «электронная торговля» понимают предоставление товаров и платных услуг через глобальные информационные сети. Ос­новными видами электронной торговли являются:

• продажа информации (например, подписка на базы данных, функ­ционирующих в режиме on-line);

• концепция «электронных магазинов» (Web-site, в котором имеется оперативный каталог товаров, виртуальная «тележка» покупателя и средства оплаты);

• электронные банки, основным достоинством которых являются от­носительно низкая себестоимость и широкий охват клиентов (эти банки имеют свои собственные системы безопасности и защиты электронной информации, например, специальные карты- генераторы случайных паролей, синхронизируемых с паролем на банковском сервере, или персональные смарт-карты, также позво­ляющие генерировать сеансовые ключи).

Основные методы защиты электронной торговли должны обеспе­чивать немедленную авторизацию и шифрование финансовой информа­ции в сети Internet, что позволяет обеспечить два типа протоколов: из­вестный SSL (один из существующих протоколов обмена данными, обеспечивающий шифрование передаваемой информации. В настоящее время это наиболее распространенный метод защиты электронных транзакций в Интернете. Он использует асимметричную криптографию для аутентификации ключей обмена, симметричное шифрование для сохранения конфиденциальности, коды аутентификации сообщений для целостности сообщений. Протокол широко использовался для обмена мгновенными сообщениями и передачи голоса через IP в таких приложениях, как электронная почта, Интернет-факс и др. В настоящее время известно, что протокол не является безопасным) и протокол SET (Secure Electronic Transactions). Использовать для шифрования финансо­вой информации. Благодаря использованию цифровых сертификатов и технологий шифрования, SET позволяет как продавцам, так и покупателям производить аутентификацию всех участников сделки. Кроме того, SET обеспечивает надежную защиту номеров кредитных карт и другой конфиденциальной информации, пересылаемой через Интернет, а открытость стандарта позволяет разработчикам создавать решения, которые могут взаимодействовать между собой.

Протокол SET должен гарантировать непременное соблюдение следующих условий:

• абсолютная конфиденциальность информации;

• полная сохранность данных (одним из средств, обеспечивающих это, является ЭЦП);

• аутентификация счета владельца карточки и коммерсанта (это обеспечит, с одной стороны, сертификат владельца и ЭЦП, с дру­гой - сертификат коммерсанта и ЭЦП).

Протокол SET гарантирует, что при взаимодействиях владельца карточки с коммерсантом через Internet информация о счете кредитной карточки будет оставаться конфиденциальной, так как для защиты тран­закций используются процедуры шифрования и ЭЦП, при этом приме­няются криптосистемы обоих типов: симметричные и асимметричные. Правила SET нредусматривают комбинированное шифрование сообще­ния: сначала с использованием случайным образом сгенерированного симметричного ключа, который для передачи по сети, в свою очередь, шифруется (а затем расшифровывается) по методу Диффи-Хеллмана. В результате образуется электронный конверт. Целостность информации и аутентификация участников транзакции гарантируются использовани­ем ЭЦП.

 

(1 слайд) Тема 8. Алгоритмы безопасности в компьютерных сетях

 

Первая сетевая компьютерная технология - централизованные сис­темы доставки информации, по­зволяла сравнительно легко находить необходимые данные, однако в ней был затруднен обмен информацией, и централизованные компью­терные системы были сложны и дороги. Следующая технология кли­ент-сервер - получение информации из сети персональных компьюте­ров - оказалась дешевле, но пользователи ищут необходимые данные на множестве машин, среди большого числа приложений с различными интерфейсами.

В середине 90-х гг. появилась новая технология, заимствованная из организации глобальных компьютерных сетей Internet и представляющая собой технологию универсального клиента Web-сервиса. Web-сервис - это сервис, необходимый каж­дой организации со сколько-нибудь заметными информационными пото­ками. Поэтому он сразу после возникновения стал использоваться не только в Internet - глобальной вычислительной сети, для которой и был создан, но и в рамках небольших локальных вычислительных сетей, раз­работанных по протоколу TCP/IP, т. е. в режиме своеобразно внутренне­го Internet, или, как его называют теперь - Intranet.

И, наконец, последнее достижение - Java-технология, при приме­нении которой Web-сервис, и без того имевший огромную популяр­ность в мире, получил новый импульс. Теперь стало воз­можно выполнять все, не выходя из Web-браузера: запускать приложения, находящиеся на сервере, получать результаты прямо в HTML-страничку, не заботиться о клиентской части, распределенной среде, о доступе к различным базам данных

Базовую основу для Intranet-сетей составляют TCP/IP, NFS, Web-серверы, HTML-редакторы и e-mail. Такие сети и системы, создаваемые на основе стандартов Internet, отличаются относительной простотой на­стройки, низкой стоимостью, легко масштабируются, поддерживают распределенную обработку информации и обеспечивают быструю отда­чу вложении. Основным сдерживающим препятствием развития Intranet являются общеизвестные факты нарушения безопасности в Internet и через Internet (ежегодный ущерб от компь­ютерных преступлений составляет несколько млрд долларов и 80 % из них совершается через Internet). Отмеченная выше совместимость архи­тектурных концепции в различного класса сетях повлияла и на обеспе­чение безопасности обоих сетей.

(2 слайд) Теперь речь должна идти не о «защи­щенности» Internet, а об обеспечении принципа разумной достаточно­сти информационной безопасности сети. Под ним понимают следующее:

• в сети не должна храниться информация, раскрытие которой при­ведет к серьезным последствиям;

• в сети не должна храниться информация, распространение которой не желательно ее владельцу;

• необходимо учитывать тот факт, что в любой момент хранимая в сети информация может быть перехвачена, искажена, стать недоступной.

Не­обходимо применять специальные методы защиты для Intranet сетей и для них проблемы безопасности выходят на первый план, ибо помимо защиты информации в корпоративной сети необходимо учитывать воз­можность атак ее со стороны Internet.

Internet создавался как незащищенная система, не предназначенная для хранения и обработки конфиденциальной информации. Более того, за­щищенный Internet не смог бы стать той системой, которой он сейчас является, и не превратился бы в информационный образ мировой куль­туры, ее прошлого и настоящего.

 

(3 слайд)Особенности защиты на уровнях взаимодействия ISO/OSI

В зависимости от уровня взаимодействия открытых систем (OSI/ISO), когда в качестве основы взят стек протоколов TCP/IP, суще­ствуют свои наборы механизмов и служб обеспечения безопасности и соответственно свои угрозы. При этом каждый уровень с точки зрения реализации СрЗИ имеет свои преимущества и недостатки. Кроме того, атаки на каждом уровне проводятся с целью компрометации, изменения или уничтожения критических ресурсов данного уровня. Поэтому каж­дый уровень в соответствии с возможными угрозами должен быть за­щищен специальными средствами защиты, которые, взаимно дополняя друг друга, в совокупности обеспечат защиту системы в целом.

(4 слайд)Физический и канальный уровни. Здесь в качестве механизмов за­щиты используется шифрование соединения или трафика (всего или его части), т.е. обеспечивается конфиденциальность передаваемой инфор­мации. В качестве вероятных угроз выделяются следующие:

• несанкционированное подключение;

• ошибочная коммутация;

• прослушивание;

• перехват;

• фальсификация информации;

• имитоатаки (радиоэлектронное воздействие, которых может вызывать скрытное нарушение функционирования средств связи на канальном и информационном уровне);

• физическое уничтожение канала связи.

Для защиты на этих уровнях обычно применяют скремблирование (обратимое преобразование цифрового потока без изменения скорости передачи с целью получения свойств случайной последовательности), шифрующие модемы, специализированные канальные адаптеры.

Достоинства: простота применения, аппаратная реализация полная защита трафика, прозрачность выполнения СрЗИ своих функций. Не­достатки: негибкость решения, низкая совместимость и высокая стои­мость.

(5 слайд)Сетевой уровень. Здесь решаются следующие задачи защиты ин­формации:

• защищаются непосредственно пакеты, передаваемые по сети;

• в канале шифруется вся информация (защита трафика);

• контролируется доступ к сети.

На данном уровне может быть реализована аутентификация рабо­чей станции, являющейся источником сообщений. Угрозами могут являться:

• анализ служебной информации сетевого уровня (топологии сети);

• атаки на систему маршрутизации (модификация маршрутизационных таблиц через протоколы динамической маршрутизации и ICMP);

• атаки на систему управления (фальсификация IP-адресов);

• прослушивание, перехват и фальсификация информации

К решениям, способным устранить угрозы, можно отнести:

• пакетную фильтрацию;

• административную защиту на маршрутизаторах;

• протоколы зашиты информации сетевого уровня (защита и аутен­тификация трафика);

• туннелирование;

• векторизацию;

• динамическое распределение сетевых адресов;

• защиту топологии.

Достоинства: полнота контроля трафика, универсальность, про­зрачность, совместимость, адаптивность к сетевой технологам. Кроме того, защита информации на этом уровне имеет ряд архитектурных пре­имуществ:

• на сетевом уровне сеть становится полносвязанной системой, в то время как на более низких уровнях защита может быть реализована только как набор двухточечных звеньев защиты;

• можно установить защищенное соединение между двумя компью­терами в любых точках сети;

• появляется понятие топологии сети;

• можно различить внутренние и внешние каналы и реализовать фильтрацию трафика между внутренней (корпоративной) и внеш­ней (коммуникационной) сетью.

Недостатками являются:

• неподконтрольность протоколов на транспортном и прикладном уровнях;

• невозможно оказать существенное влияние на прикладные систе­мы.

(6 слайд)Транспортный уровень. На этом уровне опасными угрозами явля­ются:

• несанкционированные соединения и проведение разведки имею­щихся приложений;

• атаки на систему управления;

• прослушивание, перехват и фальсификация информации.

Традиционные решения по защите от этих угроз:

• защита в составе межсетевых экранов;

• proxy-системы;

• транспортные протоколы защиты и идентификация данных.

Достоинства: развитая функциональность и высокая гибкость за­щиты.

Недостатки: неполнота защиты и неподконтрольность событий в рамках прикладных и сетевых протоколов.

(7 слайд)Прикладной уровень. Если необходимо применить к каким-то объ­ектам этого уровня криптографические СрЗИ, то они должны продол­жать действовать и на нижестоящих уровнях. Кроме механизмов обес­печения целостности и конфиденциальности, на прикладном уровне существует возможность обеспечить жесткую связь информации с по­родившим ее пользователем, т. е. обеспечить аутентификацию пользо­вателя по созданной информации.

Основными угрозами на прикладном уровне следует считать:

· НСД к данным;

· разведку имен и паролей пользователей;

· атаки на систему разграничения нрав пользователей;

· маскировку под легитимного пользователя;

· атаки на систему управления и атаки через стандартные приклад­ные протоколы;

· фальсификацию информации.

Защита на этом уровне может быть традиционна: встроенная защи­та приложений, межсетевые экраны с фильтрацией прикладных прото­колов, proxy-системы и т. п.

Достоинства:

• полнота и высокая функциональность в рамках конкретного при­ложения;

• контроль на уровне действий конкретного процесса (пользователя). Недостатки:

• отсутствие универсальности;

• ограниченность рамками заданного приложения;

• неподконтрольность событий в нижележащих уровнях управления. Криптографическая защита информации на этом уровне наиболее предпочтительна с точки зрения ее гибкости, однако ее аппаратно-программная реализация сложна.

 

Дата добавления: 2018-05-12; просмотров: 582; Мы поможем в написании вашей работы!

Поделиться с друзьями:


⇐ Предыдущая1234567Следующая ⇒


Мы поможем в написании ваших работ!
.
.
© 2014-2024 — Студопедия.Нет — Информационный студенческий ресурс. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав (0.026)