- •Лекція 4 стандарти інформаційної безпеки
- •4.1. Роль стандартів інформаційної безпеки
- •4.2. Міжнародні стандарти інформаційної безпеки
- •4.2.1. Стандарти iso/iec 17799:2002(bs 7799:2000)
- •4.2.2. Германський стандарт bsi
- •4.2.3. Міжнародний стандарт iso 15408 «Загальних критеріїв безпеки інформаційних технологій»
- •4.2.4. Стандарти для безпровідних мереж
- •4.2.5. Стандарти інформаційної безпеки в Інтернеті
- •4.3. Вітчизняні стандарти безпеки інформаційних технологій
4.2.5. Стандарти інформаційної безпеки в Інтернеті
За оцінкою Комітету ООН з попередження злочинності і боротьби з нею, комп'ютерна злочинність вийшла на рівень однієї з міжнародних проблем. Тому надзвичайно важливо домагатися ефективного рішення проблем забезпечення комерційної інформації в глобальній мережі Інтернет і суміжних Интранетмережах, які по своїй технічній суті не мають принципових відмінностей і розрізняються в основному масштабами і відкритістю.
Розглянемо особливості стандартизації процесу забезпечення безпеки комерційної інформації в мережах з протоколом передачі даних IP/TCP і з акцентом на захист телекомунікацій [90].
Забезпечення безпеки ИТ особливе актуально для відкритих систем комерційного застосування, оброблювальних інформацію обмеженого доступу, що не містить державну таємницю. Під відкритими системами розуміють сукупності всілякого обчислювального і телекомунікаційного устаткування різного виробництва, спільне функціонування якого забезпечується відповідністю вимогам міжнародних стандартів.
Термін «відкриті системи» має на увазі також, що якщо обчислювальна система відповідає стандартам, то вона буде відкрита для взаємозв'язку з будь-якою іншою системою, яка відповідає тим же стандартам. Це, зокрема, відноситься і до механізмів криптографічного захисту інформації або до захисту від НСД до інформації.
Важлива заслуга Інтернету полягає в тому, що він змусив поновому поглянути на такі технології. Поперше, Інтернет заохочує застосування відкритих стандартів, доступних для впровадження усім, хто виявить до них цікавість. Подруге, він є найбільшим у світі, і ймовірно, єдину, мережа, до якої підключається така безліч різних комп'ютерів. І нарешті, Інтернет стає загальноприйнятим засобом представлення швидкозмінюючої нової продукції і нових технологій на світовому ринку.
У Інтернеті вже давно існує ряд комітетів, в основному з організацій, які обережно проводять пропоновані технології через процес стандартизації. Ці комітети, що становлять основну частину Робочої групи інженерів Інтернету IETF(Internet Engineering Task Force) провели стандартизацію декількох важливих протоколів, прискорюючи їх впровадження в Інтернеті. Безпосередніми результатами зусиль IETF є такі протоколи, як сімейство TCP/IP для передачі даних, SMTP(Simple Mail Transport Protocol) і POP
(Post Office Protocol) для електронної пошти, а також SNMP(Simple Network Management Protocol) для управління мережею.
У Інтернеті популярні протоколи безпечної передачі даних, а саме SSL, SET, IPSec. Перераховані протоколи з'явилися в Інтернеті порівняно недавно як необхідність захисту цінної інформації і відразу стали стандартами дефакто.
Протокол SSL(Secure Socket Layer) — популярний мережевий протокол з шифруванням даних для безпечної передачі по мережі. Він дозволяє встановлювати захищене з'єднання, робити контроль цілісності даних і вирішувати різні супутні завдання. Протокол SSL забезпечує захист даних між сервісними протоколами(такими як HTTP, FTP та ін.) і транспортними протоколами(TCP/IP) за допомогою сучасної криптографії. Протокол SSL детально розглянутий в главі 11.
Протокол SET(Security Electronics Transaction) — перспективний стандарт безпечних електронних транзакцій в мережі Інтернет, призначений для організації електронної торгівлі через мережу Інтернет. Протокол SET заснований на використанні цифрових сертифікатів із стандарту Х. 509.
Протокол виконання захищених транзакцій SET є стандартом, розробленим компаніями MasterCard і Visa при значній участі IBM, GlobeSet і інших партнерів. Він дозволяє покупцям придбавати товари через Інтернет, використовуючи захищений механізм виконання платежів.
SET є відкритим стандартним багатостороннім протоколом для проведення безпечних платежів з використанням пластикових карток в Інтернеті. SET забезпечує кросаутентифікацію рахунки утримувача карти, продавця і банку продавця для перевірки готовності оплати, а також цілісність і секретність повідомлення, шифрування цінних і уразливих даних. Тому SET правильніше можна назвати стандартною технологією або системою протоколів виконання безпечних платежів з використанням пластикових карт через Інтернет. SET дозволяє споживачам і продавцям підтверджувати достовірність усіх учасників угоди, що відбувається в Інтернеті, за допомогою криптографії, у тому числі застосовуючи цифрові сертифікати.
Як згадувалося раніше, базовими завданнями захисту інформації є забезпечення її доступності, конфіденційності, цілісності і юридичної значущості. SET, у відмінності від інших протоколів, дозволяє вирішувати вказані завдання захисту інформації в цілому.
Зокрема, він забезпечує наступні спеціальні вимоги захисту операцій електронної комерції :
• секретність даних оплати і конфіденційність інформації замовлення, переданої разом з даними про оплату;
• збереження цілісності цих платежів. Цілісність інформації платежів забезпечується за допомогою цифрового підпису;
• спеціальну криптографію з відкритим ключем для проведення аутентифікації;
• аутентифікацію утримувача по кредитній картці. Вона забезпечується застосуванням цифрового підпису і сертифікатів утримувача карт;
• аутентифікацію продавця і його можливості приймати платежі за пластиковими картками із застосуванням цифрового підпису і сертифікатів продавця;
• аутентифікацію того, що банк продавця є діючою організацією, яка може приймати платежі за пластиковими картками через зв'язок з процесингову картковою системою. Аутентифікація банку продавця забезпечується використанням цифрового підпису і сертифікатів банку продавця;
• готовність оплати транзакцій в результаті аутентифікації сертифікату з відкритим ключем для усіх сторін;
• безпека передачі даних за допомогою переважного використання криптографії.
Основна перевага SET в порівнянні з іншими існуючими системами забезпечення інформаційної безпеки полягає у використанні цифрових сертифікатів(стандарт Х509, версія 3), які асоціюють утримувача карти, продавця і банк продавця з банківськими установами платіжних систем Visa і Mastercard. Крім того, SET дозволяє зберегти існуючі стосунки між банком, утримувачами карт і продавцями і інтегрується з існуючими системами.
Протокол IPSec. Специфікація IPSec входить в стандарт IP v.6 і є додатковою по відношенню до поточної версії протоколів TCP/IP. Вона розроблена Робочою групою IP Security IETF. Нині IPSec включає 3 алгоритмонезалежних базових специфікації, представляючих відповідні RFCстандарты. Протокол IPSec забезпечує стандартний спосіб шифрування трафіку на мережевому(третьому) рівні IP і защи
щает інформацію на основі наскрізного шифрування: незалежно від працюючого застосування при цьому шифрується кожен пакет даних, що проходить по каналу. Це дозволяє організаціям створювати в Інтернеті віртуальні приватні мережі. Протокол IPSec детально розглянутий в л. 12.
Інфраструктура управління відкритими ключами PKI (Public Key Infrastructure) призначена для захищеного управління криптографічними ключами електронного документообігу, заснованого на застосуванні криптографії з відкритими ключами. Ця інфраструктура має на увазі використання цифрових сертифікатів, що задовольняють рекомендаціям міжнародного стандарту Х. 509 і розгорнутій мережі центрів сертифікації, видачу, що забезпечують, і супровід цифрових сертифікатів для усіх учасників електронного обміну документами. Інфраструктура PKI детально розглядається в л. 13.