- •Содержание
- •Раздел 1. Коммерческие информационные системы
- •Раздел 2 защита коммерческих информационных систем
- •Раздел 3. Введение в криптографию. Симметричные криптосистемы
- •Введение
- •Раздел 2 защита коммерческих информационных систем
- •Раздел 3. Введение в криптографию. Симметричные криптосистемы
- •1. Пояснительная записка
- •2 Содержание учебного материала
- •Введение.
- •Раздел 1. Коммерческие информационные сиcтемы
- •Раздел 2. Защита коммерческих информационных систем
- •Предмет и объект защиты. Определение кис
- •.2. Методы обеспечения информационной безопасности кис
- •1.3. Политика информационной безопасности кис
- •Глава 31 «Преступления против информационной безопасности:
- •Раздел 2 защита коммерческих информационных систем
- •2.1. Сети электронной коммерции
- •2.2. Атаки на сети электронной коммерции
- •2.2.1.Снифферы пакетов .
- •2.2.3. Отказ в обслуживании.
- •2.2.4. Парольные атаки
- •2.2.5. Атаки типа «Man-in-the-Middle»
- •2.2.6. Атаки на уровне приложений
- •2.2.7. Сетевая разведка
- •2.2.8. Злоупотребление доверием
- •2.2.9. Переадресация портов
- •2.2.10. Несанкционированный доступ
- •2.2.11. Борьба с вирусами
- •2.3. Протоколы безопасности
- •2.3.1. Протокол ppp chap
- •2.3.2. Протокол ssl
- •2.3.3. Протокол ssh
- •2.3.4. Протокол https
- •2.3.5. Протокол iPsec
- •2.4. Программно-аппаратные средства обеспечения безопасности
- •Раздел 3. Введение в криптографию. Симметричные криптосистемы
- •3.1. Введение в криптографию
- •3.1.1. История криптографии.
- •3.1.2.Современный период развития криптографии
- •3.1.3. Правило Киркхгофа. Понятие криптоанализа.
- •3.1.4. Современные стандарты криптосистем
- •3.2. Симметричные алгоритмы
- •Принцип симметричного шифрования с секретным ключом
- •Шифры перестановок
- •3.2.3. Шифры замены
- •Шифры сложной замены
- •Поточное шифрование
- •3.3.1. Каналы перехвата информации
- •3.3.4. Скремблеры.
- •Раздел 4. Сети фейстеля
- •Блочные шрифты
- •4.2.Сеть фейстеля. Функция f
- •4.3 Сети фейстеля с 4-мя ветвями
- •Шифр rc6
- •Раздел 5 симметричный алгоритм шифрования des
- •5.1. Начальная перестановка
- •5.2 16 Циклов шифрования в сети фейстеля
- •5.3 Режимы применения des.
- •5.4.Достоинства и недостатки des
- •Криптостойкость алгоритма des
- •Раздел 6 стандарт симметричного шифрования гост 28147-89
- •6.1 Общие характеристики
- •6.2 Режим простой замены
- •6.3 Гаммирование
- •6.4 Гаммирование с обратной связью
- •6.5.Режим выработки имитовставки
- •6.6 Достоинства гост
- •Раздел 7 асимметричные криптосистемы
- •7.1 Базовые определения
- •8.2. Алгоритм rsa
- •Технологии цифровых подписей
- •Национальный алгоритм выработки и проверки эцп
- •3.Лабораторный практикум
- •3.2Лабораторная работа шифр цезаря.
- •Класс Alphabet
- •Класс Ceasar
- •Тестовый запуск
- •Введение
- •Раздел 1. Коммерческие информационные системы (кис).
- •Раздел 2. Защита коммерческих информационных систем
- •Раздел 3. Введение в криптографию. Симметричные криптосистемы
- •1. Пояснительная записка
- •2 Содержание учебного материала Введение.
- •Раздел 1. Коммерческие информационные сиcтемы
- •Раздел 2
- •Раздел 3
- •Раздел 4
- •Раздел 5
- •Раздел 6
- •Раздел 7
Раздел 2 защита коммерческих информационных систем
2.1. Сети электронной коммерции
Сфера электронной коммерции - это сравнительно недавно появившаяся область экономической деятельности, представляющая собой совокупность организационных, правовых, экономических и технических мероприятий. Обмен электронными данными (EDI - Electronic Data Interchange) - это межкомпьютерный (межсетевой) обмен деловыми, коммерческими, финансовыми и др. документами, представленными в электронном виде. Это могут быть заказы, платежные инструкции персональные и межбанковские платежи , контрактные предложения, накладными, квитанциями и т.п.
EDI обеспечивает оперативное взаимодействие торговых и деловых партнеров (клиентов, поставщиков,торговых посредников и др.) на всех этапах подготовки торговой сделки, заключения контракта и реализации поставки. На этапе оплаты контракта и перевода денежных средств EDI обеспечивает электронный обмен финансовыми документами, имеющими юридическую силу. Тем самым создается эффективная оперативная среда для торгово-платежных (коммерческих) операций, получившая общее название
E - commerce, реализуемое по схемам B2B (Business to Business), B2C (Business to Citizens ), B2G (Business to Government).
Функциями электронной коммерции являются:
- предоставление пользователям (клиентам) определенного набора услуг в сфере коммерции;
- обеспечение доступа пользователям к своей финансовой информации;
- автоматизация внутрибанковских и межбанковских операций, введение бухгалтерии и составление сводных отчетов;
- расширение клиентской базы за счет уделенного доступа.
В число субъектов сети электронной коммерции входят:
1. Acquirer (получатель) – пользователь сети совместно используемых терминалов (ATM), получающий данные о транзакции от подключенных к нему ATM и направляющий чужие транзакции на сетевой маршрутизатор.
2. Automated Clearing House (ACH) (автоматизированная расчетная (клиринговая) палата) - обеспечивает возможность электронных взаимных расчетов банков.
3. Automated Teller Machine (ATM) (автоматический кассовый аппарат, автомат - кассир) - автономное устройство, позволяющее клиенту выполнять необходимые ему банковские операции (снятие денег со счета, выдача наличных и т.д.) в отсутствии банковского персонала.
4. Bank Identification Number (BIN) - (идентификатор банка) - некоторое число, присворенное банку, которое хранится на сетевом маршрутизаторе и позволяет ему адресовать транзакции.
5. Clearing House Interbank Payments System (CHIPS) - ACH, используемая для передачи электронных денег на международном уровне. Организована New York Clearing House для своих клиентов и их международных партнеров.
6. Electronic Data Interchange (EDI) (обмен электронными данными) - передача стандартизованных сообщений, заменяющих документы и при наличии электронной цифровой подписи имеющие юридическую силу.
7. Issuer (Эмитент, Выпускатель) - участник сети совместно используемых ATM и получающий транзакции на обработку от сетевого маршрутизатора.
8. Message Authentication Algorithm (MAA) (алгоритм аутентификации сообщений) – специальный алгоритм, предназначенный для проверки подлинности сообщений. Результатом работы MAA является MAC.
9. Message Authentication Code (MAC) (код аутентификации сообщения) - специальная последовательность, которая используется для проверки подлинности получаемого сообщения.
10. Personal Identification Number (PIN) (персональный идентификатор) - число (от 4 до 12 символов), предназначенное для идентификации клиента банка при проведении им различных платежей.
11. Point-of-Sale (POS) System (система оплаты в точке продажи) - система, предназначенная для осуществления безналичных платежей в точке продажи с немедленным перечислением средств.
12. Society for World Wide Interbank Financial Telecommunications (SWIFT) (общество всемирных межбанковских финансовых телекоммуникаций) - кооперативная бесприбыльная сервисная организация, объединяющая основные банки Северной Америки и Европы и предназначенная для передачи электронных денег.
Развитие электронной коммерции стало следствием развития систем и сетей передачи данных, увеличения документооборота и ужесточения требований к скорости и качеству обращения информации. Построение систем электронной коммерции на основе уже существующих сетей способствует значительной экономии средств и расширяет их географическое распространение. Интегрированное оборудование позволяет использовать одну и ту же транспортную систему для передачи различных видов информации с заданной скоростью и качеством.
Таким образом, сфера электронной коммерции представляет собой систему самостоятельных организаций (например, банков) частных и юридических лиц, взаимодействующих по принципу B2B, B2C или B2G, объединенных в единую телекоммуникационную сеть.
По аналогии с ведешием терминов, принятых в системах электронной коммерции, определим общепринятые определения в сфере электроных коммуникаций.
Аутентификация процедура установления подлинности пользователя (абонента сети, отправителя сообщения), программы, устройства или данных (информации, получаемого сообщения, ключа). Частным случаем аутентификации является установление принадлежности сообщения конкретному автору.
Зашифрование – процесс преобразования информации с целью предотвращения несанкционированного доступа. Зашифрование преобразует исходный «открытый» текст в шифротекст (криптограмму).Стойкость зашифрования (уровень защищенности) определяется тем, что при зашифровании используется один или несколько секретных параметров, которые предполагаются известными только законным владельцам информации.
Ключ – секретный параметр, управаляющий шифрованием. Ключ управляет как зашифрованием, так и расшифрованием.
Криптоанализ – процесс вычисления исходного текста по шифрованному без знания ключа. Криптоанализ – процесс вычисления ключа по исходному и щифрованному текстам. Криптоанализ выполняется противником с целью получения возможности расшифрования информации или разработчиком с целью оценки стойкости шифра.
Криптосистема – система обеспечения безопасности компьютерной сети, использующая криптографические средства. Включает подсистемы шифрования, идентификации, электронной цифровой подписи, систему распределения ключей и др.
Криптостойкость (стойкость шифра) – способность кроиптосистемы противостоять атакам противника.
Протокол рукопожатия – протокол. Позволяющий двум взаимодействующим сторорнам установить проверку подлинности без раскрытия сеерета.
Расшифрование – востановление открытого текста по шифрованному текту и известному ключу.
Удостоверяющий центр – организация, осуществляющая регистрацию, хранение и распроситоранение открытых ключей.
Уравнение вычисления подписи – задает определенное соотношение между секретным ключом, значением хэш-функции от документа и цифровой подписью. Позволяет на приемной стороне вычислить с помощью собственного ключа цифровую подпись и сравнить ее с полученной. Служит для проверки подлинности подписи.
Целостность информации – характеристика соответствия информации ее эталонному состоянию. Нарушение целостности информации есть ее несанкционированное изменение (умышленное или случайное).
Электронная цифровая подпись (ЭЦП) – дополнительная информация, вносимая в особенную часть электронного документа, которая формируется только владельцем (автором) электронного документа с использованием секретного ключа и специального алгоритма. ЭЦП позволяетустановить соответствие подписи секретному ключу подписывающего. В более широком смысле ЭЦП является криптографической системой (совокупность алгоритмов и правил), позволяющей подписывать зашифрованные цифровые сообщения и проверять правильность формируемых подписей. Последнее обеспечивает подписанному документу юридическую силу.
Подсистема коммуникаций использует ресурсы как локальных сетей организаций, банков и клиентов, так и сетей общего доступа.
В связи с тем, что сети электронной коммерции представляют собой только разновидность сетей передачи данных, возрастает угроза разнообразных сетевых атак, которые становятся все более многочисленными и вредоносными. Этому способствуют два основных фактора.
Во-первых, это повсеместное проникновение Интернет. Сегодня к этой сети подключены миллионы устройств. Многие миллионы устройств будут подклю-чены к Интернету в ближайшем будущем. И поэтому вероятность доступа зло-умышленников к уязвимым устройствам постоянно возрастает.
Во-вторых, это всеобщее распространение технологий и технических средств. Этот фактор резкоповышает уровень возможностей, которые доступны злоумышленнику.