double arrow

Стандарты информационной безопасности в Интернете

В Интернете уже давно существует ряд комитетов, в основном из организаций-добровольцев, которые осторожно проводят предлагаемые технологии через процесс стандартизации. Эти комитеты, составляющие основную часть рабочей группы инженеров Интернета IETF (Internet Engineering Task Force) провели стандартизацию нескольких важных протоколов, ускоряя их внедрение в Интернете. Непосредственными результатами усилий IETF являются такие протоколы, как семейство TCP/IP для передачи данных, SMTP (Simple Mail Transport Protocol) и POP (Post Office Protocol) для электронной почты, а также SNMP (Simple Network Management Protocol) для управления сетью.

Фактическая разработка новых стандартов и протоколов для Интернета выполняется рабочими группами, создаваемыми по разрешению группы IETF. Членство в рабочей группе является добровольным; участвовать может любая заинтересованная организация. При разработке спецификации рабочая группа создает документ под названием «Проект стандарта для Интернета» (Internet draft) и размещает его в Интернете для всеобщего доступа. Этот документ может оставаться проектом до шести месяцев, и заинтересованные стороны могут рецензировать и комментировать его. В течение этого времени группа IESG может одобрить публикацию проекта в виде документа RFC (Request for Comment — запрос комментариев). Если проект не приобретает статуса документа RFC в течение шестимесячного периода, он теряет также статус проекта стандарта для Интернета. Однако впоследствии рабочая группа может опубликовать переработанную версию проекта.

Группа IETF публикует документы RFC с одобрения группы IEsG. Документы RFC представляют собой рабочие записи сообщества исследователей и разработчиков Интернета. Документ этой серии может быть чем угодно, от доклада о собрании до спецификации стандарта.

В Интернете популярны протоколы безопасной передачи данных, а именно SSL, SET, IPSec. Перечисленные протоколы появились в Интернете сравнительно недавно как необходимость защиты ценной информации и сразу стали стандартами де-факто.

Протокол SSL (Secure Socket Layer) — популярный сетевой протокол с шифрованием данных для безопасной передачи по сети. Он позволяет устанавливать защищенное соединение, производить контроль целостности данных и решать различные сопутствующие задачи. Протокол SSL обеспечивает защиту данных между сервисными протоколами (такими как HTTP, FTP и др.) и транспортными протоколами (TCP/IP) с помощью современной криптографии. Протокол SSL подробно рассмотрен в главе 11.

Протокол SET (Security Electronics Transaction) — перспективный стандарт безопасных электронных транзакций в сети Интернет, предназначенный для организации электронной торговли через сеть Интернет. Протокол SET основан на использовании цифровых сертификатов по стандарту Х.509.

Протокол выполнения защищенных транзакций SET является стандартом, разработанным компаниями MasterCard и Visa при значительном участии IBM, GlobeSet и других партнеров. Он позволяет покупателям приобретать товары через Интернет, используя защищенный механизм выполнения платежей.

SET является открытым стандартным многосторонним протоколом для проведения безопасных платежей с использованием пластиковых карточек в Интернете. SET обеспечивает кросс-аутентификацию счета держателя карты, продавца и банка продавца для проверки готовности оплаты, а также целостность и секретность сообщения, шифрование ценных и уязвимых данных. Поэтому SET более правильно можно назвать стандартной технологией или системой протоколов выполнения безопасных платежей с использованием пластиковых карт через Интернет. SET позволяет потребителям и продавцам подтверждать подлинность всех участников сделки, происходящей в Интернете, с помощью криптографии, в том числе применяя цифровые сертификаты.

SET обеспечивает следующие специальные требования защиты операций электронной коммерции:

· секретность данных оплаты и конфиденциальность информации заказа, переданной наряду с данными об оплате;

· сохранение целостности данных платежей. Целостность информации платежей обеспечивается с помощью цифровой подписи;

· специальную криптографию с открытым ключом для проведения аутентификации;

· аутентификацию держателя по кредитной карточке. Она обеспечивается применением цифровой подписи и сертификатов держателя карт;

· аутентификацию продавца и его возможности принимать платежи по пластиковым карточкам с применением цифровой подписи и сертификатов продавца;

· аутентификацию того, что банк продавца является действующей организацией, которая может принимать платежи по пластиковым карточкам через связь с процессинговой карточной системой. Аутентификация банка продавца обеспечивается использованием цифровой подписи и сертификатов банка продавца;

· готовность оплаты транзакций в результате аутентификации сертификата с открытым ключом для всех сторон;

· безопасность передачи данных посредством преимущественного использования криптографии.

Основное преимущество SET по сравнению с другими существующими системами обеспечения информационной безопасности заключается в использовании цифровых сертификатов (стандарт Х509), которые ассоциируют держателя карты, продавца и банк продавца с банковскими учреждениями платежных систем Visa и Mastercard. Кроме того, SET позволяет сохранить существующие отношения между банком, держателями карт и продавцами и интегрируется с существующими системами.

Протокол IPSec. Спецификация IPSec входит в стандарт IP v.6 и является дополнительной по отношению к текущей версии протоколов TCP/IP. Она разработана Рабочей группой IP Security IETF. В настоящее время IPSec включает 3 алгоритмо-независимых базовых спецификации, представляющих соответствующие RFC-стандарты. Протокол IPSec обеспечивает стандартный способ шифрования трафика на сетевом (третьем) уровне IP и защи­щает информацию на основе сквозного шифрования: независимо от работающего приложения при этом шифруется каждый пакет данных, проходящий по каналу. Это позволяет организациям создавать в Интернете виртуальные частные сети. Протокол IPSec подробно рассмотрен в гл. 12.

Инфраструктура управления открытыми ключами PKI (Public Key Infrastructure) предназначена для защищенного управления криптографическими ключами электронного документооборота, основанного на применении криптографии с открытыми ключами. Эта инфраструктура подразумевает использование цифровых сертификатов, удовлетворяющих рекомендациям международного стандарта Х.509 и развернутой сети центров сертификации, обеспечивающих выдачу и сопровождение цифровых сертификатов для всех участников электронного обмена документами.

Конечно, в этом разделе представлено только несколько самых известных стандартов. Общее число их огромно. Даже для банковской сферы их очень много. В стандарте ISO TR 17944-2002 была сделана попытка их разбить на некоторые классы и перечислить. Изучить их все – сложнейшая задача.


Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:  



Сейчас читают про: