6.3.6. Организация защиты корпоративных виртуальных сетей с помощью межсетевых экранов

Корпорация – это большое предприятие, включающее в себя множество филиалов (т.е. более мелких предприятий) и подразделений различного назначения Как правило, корпорация распределена на большой территории, поэтому сеть корпорации (корпоративная сеть) представляет собой множество локальных сетей, объединённых в единую систему через глобальную сеть (рис. 6.11).

В таких сетях безопасность информации является важнейшим условием успешной работы корпорации. Построение собственной коммуникационной сети с прямыми каналами связи между пользователями корпоративной сети является слишком дорогим средством решения проблемы. Поэтому используется коммуникационная подсеть сети Internet. Отсутствие постоянных прямых линий связи между объектами сети (серверами и пользователями) приводит к необходимости создания временных соединений между ними, которые могут реализовываться из отдельных фрагментов подсети как одномоментно (все фрагменты собраны одновременно), так и постепенно (участок за участком) с последующей разборкой использованных участков. Такой канал связи называется виртуальным, а работающая таким образом сеть называется виртуальной корпоративной сетью. Для защиты виртуальной корпоративной сети на входах предприятия и его филиалов устанавливаются межсетевые экраны с усиленной аутентификацией (рис. 6.11).

С

МЭ

С

. . .

. . .

МЭ

Сеть центрального офиса

Рис. 6.11. Примерная схема корпоративной сети (КП – коммуникационная подсеть, МЭ – межсетевой экран, С – сервер, РМ – рабочее место)

Межсетевые экраны выполняют фильтрацию трафика. Экраны прикладного уровня позволяют применить более изощрённые методы фильтрации, чем традиционный синтаксический метод (метод квитирования):

• семантическая фильтрация циркулирующих потоков данных;

• фильтрация запросов на транспортном уровне на установление виртуальных соединений;

• фильтрация запросов на прикладном уровне к прикладным сервисам;

• локальная сигнализация попыток нарушения правил фильтрации;

• запрет доступа неизвестного субъекта или субъекта, подлинность которого при аутентификации не подтвердилась;

• обеспечение безопасности от точки до точки методом туннелирования в сочетании с криптозащитой данных.

Суть туннелирования описана выше в разделе 5.4. Она предполагает пересылку по сети сообщения, включающего заголовок используемого протокола и пакет данных. Пакет данных является контейнером (носителем) исходного сообщения, посылаемого пользователем, которое в свою очередь состоит из IP-заголовка и исходного пакета данных. Само по себе туннелирование не защищает передаваемую информацию. Однако криптографическия защита исходного сообщения резко повышает защищённость информации. Туннелирование может строиться по схемам "Сеть – сеть" и "Сеть – удалённый пользователь".

7. Недостатки межсетевых экранов

В заключение следует отметить недостатки межсетевых экранов:

• большое количество остающихся уязвимых мест в виде "черных входов (люков)" в сети;

• неудовлетворительная защита от атак сотрудников компании;

• ограничение в доступе к нужным сервисам, в частности к Telnet и FTP;

• концентрация средств обеспечения безопасности в одном месте;

• ограничение пропускной способности.

Таким образом, можно сделать вывод, что даже самые изощрённые межсетевые экраны не решают всех проблем защиты информации.

6.4. Защита данных в электронных платёжных системах

6.4.1. Принципы функционирования электронных платежных систем.

В практике торговли уже достаточно давно используются электронные системы обработки заказов и электронные витрины. Электронные платёжные системы превращают торговые объекты в полноценные магазины, позволяя покупателю осуществить платёж, не отходя от своего компьютера.

Электронные платежи осуществляются на основе следующих принципов:

• соблюдение конфиденциальности;

• обеспечение неизменяемости информации о покупке;

• обязательность аутентификации;

• доступность средств оплаты для покупателя;

• возможность одобрения транзакции платёжной системой или отказа от неё в случае отсутствия средств на счете покупателя (авторизация);

• гарантии рисков продавцов посредством согласования величины риска с провайдером платёжной системы и другими сторонами, участвующими в торговых цепочках на основании специальных соглашений;

• минимизация платы за транзакцию.

Современные электронные платежи являются электронными версиями существующих традиционных платежей.

Электронные платёжные системы бывают двух видов:

• кредитные;

• дебетовые.

Кредитные системы работают с кредитными карточками, на которые банк-эмитент зачисляет оговоренную соглашением с заёмщиком сумму. Использование этих средств определяется тем же соглашением. Обычно после списания с карточки некоторой суммы заёмщик имеет некоторый срок возврата снятой суммы, в течение которого на полученный кредит не начисляются проценты. Примерами таких систем являются FirstVirtual, Open Market, CyberCash.

Дебетовые системы работают с электронными чеками и цифровой наличностью в пределах средств, заранее положенных пользователем на соответствующий счёт.

Общая схема платежей в кредитной электронной платёжной системе показана на рис. 6.12. Сплошными стрелками показана передача информации, пунктирными – альтернативная передача информации. Цифры в прямоугольниках указывают этапы передачи информации.

В проведении платежей через Internet участвуют:

• покупатель, имеющий компьютер с установленным на нём web-броузером;

• банк-эмитент, который выпускает кредитные карточки, обслуживает соответствующий счёт покупателя и гарантирует выполнение клиентом финансовых обязательств;

• магазины, представленные в системе серверами электронной коммерции, на которых ведутся каталоги товаров и услуг и принимаются заказы;

• банки-эквайеры, обслуживающие магазины;

• компоненты-посредники, обеспечивающие передачу информации об оплате покупки между покупателями, магазинами и процессинговым центром;

• процессинговый центр платёжной системы, который обеспечивает информационное и технологическое взаимодействие участников платежей;

• расчётный банк платёжной системы, осуществляющий взаиморасчёты между участниками системы по поручению процессингового центра.

Рис. 6.12. Общая схема платежей в кредитной платёжной системе

Проведение платежей выполняется в несколько этапов

1. Формирование корзины покупок и выбор карточки в качестве средства оплаты.

2. Передача параметров кредитной карточки компонентам-посредни­кам покупателем (2а) или магазином (2б).

3. Передача запроса на авторизацию традиционной платёжной системе (комплексу финансовых и технологических средств), размещённой в процессинговом центре.

4. Запрос авторизации к базе данных БДС счетов покупателей, которая ведётся процессинговым центром или банком-эмитентом, и возврат результата авторизации процессинговому центру.

5. Передача результата авторизации компонентам-посредникам.

6. Передача результата авторизации покупателю непосредственно (6а) или в магазин (6б).

7. Передача результата авторизации от магазина покупателю.

8. Передача указания банкам на перечисление денег.

9. Перечисление денег со счёта покупателя на счёт банка-эквайера.

10. Перечисление денег на счёт магазина.

11. Отгрузка и доставка товара.

Вариант 2б передачи параметров карточки платёжной системе с точки зрения безопасности хуже варианта 2а, т.к. магазину становятся известны параметры карточки.

К недостаткам таких платёжных систем относятся:

• необходимость открытия кредитного расчётного счёта покупателя;

• плохая приспособленность системы к микроплатежам, на которые ориентирован Internet, вследствие высокой стоимости транзакции из-за выполнения авторизации;

• ограниченное количество магазинов, принимающих кредитные карточки;

• отсутствие анонимности, приводящее к навязчивому сервису торговых структур.

Дебетовые системы работают с электронными чеками и с электронной на­личностью. Электронные чеки представляют собой электронные аналоги бумажных чеков. Электронные деньги являются электронной моделью реальных денег и существуют в виде специальных файлов, которые содержат номинальную стоимость электронной купюры и электронную цифровую подпись эмитента электронных купюр. После эмиссии пользователи платёжных систем покупают электронные купюры.

Обобщённая схема проведения платежей в дебетовых платёжных системах показана на рис. 6.13. Тонкими стрелками показано движение информации, толстыми одинарными – движение электронных денег ЭД, толстыми двойными – движение обычных денег ОД. Покупатель и получатель платежа имеют в банке-эмитенте счета Счёт_1 и Счёт_2 соответственно.

В обоих случаях (работа без электронных денег и с их применением) прохождение платежа начинается внесением денег покупателем на Счёт _1. Если в системе используются электронные деньги, то они поступают в обмен на внешний платёж покупателю для хранения на жёстком диске компьютера или на смарт-картах (о карточках платёжных систем см. ниже).

Рис. 6.13. Общая схема платежей в дебетовой платёжной системе

Оплата товаров и услуг производится покупателем электронным чеком или электронными деньгами (2). Во втором случае электронные купюры перемещаются от покупателя к получателю платежа и хранятся на его сервере. Для того, чтобы получить обычные деньги получатель платежа предъявляет эмитенту электронные деньги или электронный чек (4), которые являются основанием для перечисления денег на Счёт_2 со счёта покупателя (5а), если не используются электронные деньги, и со счёта эмитента (5б), если электронные деньги используются в платеже. Наличные средства поступают получателю платежа посредством внешнего платежа (6).

6.4.2. Электронные пластиковые карты.

Пассивные и активные пластиковые карты. Основные типы активных пластиковых карт: карты-счетчики, карты с памятью, карты с микропроцессором, карты с контактным считыванием, карты с индукционным считыванием. Персональный идентификационный номер (PIN).

6.4.3. Обеспечение безопасности электронно-платежной системы POS (Point-of-Sale), схема функционирования POS. Обеспечение безопасности банкоматов в электронных платежных системах, схема обмена сообщениями между банкоматом и хост-ЭВМ банка при идентификации и платеже, схема прохождения данных с PIN клиента между банкоматом, банком-эквайером и банком-эмитентом. Универсальная платежная система UEPS (Universal Electronic Payment System), состав и архитектура платежной системы, распределение ключей и паролей, цикл платежной транзакции, торговые терминалы, формирование сессионных ключей, эмиссия карточек, разграничение ответственности между банками-участниками общей платежной системы, двойное шифрование записи о транзакции на ключах банка-эквайера и банка-эмитента. Обеспечение безопасности электронных платежей через сеть Internet. Авторизация и шифрование финансовой информации в сети Internet. Протоколы шифрования SSL (Secure Socket Layer) и SET (Secure Electronic Transactions), использование сертификатов.

1 Пример IP-адреса: 185.47.39.14

2 Ближайший по условиям связи сосед – компьютер, которому наиболее быстро можно передать полученный текущим компьютером пакет. Компьютеры соединённые высококачественной линией связи, географически удалённые друг от друга на большое расстояние, могут быть ближе друг к другу по условиям связи, чем компьютеры, удалённые на небольшое расстояние, но соединённые низкокачественной линией связи.

3 Таковыми соображениями, в частности являются:

• стремление сэкономить IP-адреса компьютеров локальной сети за счёт создания разделяемой точки доступа во внешнюю сеть;

• стремление удешевить обеспечение провайдерами безопасности компьютеров локальной сети, имеющих прямой выход в Интернет;

• стремление обойти сложность построения идеально работающих правил фильтрации пакетов.