Введение

В большинстве случаев передача информации по открытым каналам связи в настоящее время ведется через Web технологии. Безопасность такой передачи и будет рассмотрена в настоящей работе.

Специалисты утверждают, что в настоящее время имеются все необходимые продукты для выполнения безопасных Web-транзакций. На рынке в изобилии представлены продукты, оснащенные различными средствами обеспечения безопасности, среди которых - Web-браузеры и серверы, жетоны-удостоверения, программное обеспечение для электронной коммерции и брандмауэры. К сожалению, многими из этих продуктов не так легко пользоваться, а кроме того, их трудно интегрировать в систему. Для того чтобы объединить эти продукты и связать их с уже существующими системами, могут потребоваться услуги системных интеграторов. "Все необходимые составные части технологии уже созданы, остается только их объединить", - говорит Стив Кент, старший научный сотрудник по вопросам безопасности компании Bolt Beranek & Newman (BBN).

Цель и задчи работы – изучение защиты процессов и процедур информации по каналам связи ИС

Защита процессов и процедур передачи информации по каналам связи ИС

Объем онлайновых розничных продаж - как через Internet, так и по частным сетям - достиг в прошлом году 518 млн дол. По мнению Карен Эпперт, аналитика компании Forrester Research, эта сумма уже достаточно весома, чтобы начать относиться к этому виду коммерции со всей серьезностью. По оценкам компании Forrester, к 2000 г. объем продаж на этом рынке достигнет 6,6 млрд дол. Internet-банк Security First Network Bank существует уже целый год; Carolina First Bank и AT&T создали еще одно подобное предприятие, названное Atlanta Internet Bank.

Большая часть онлайновых розничных продаж совершается с использованием протокола Secure Sockets Layer (SSL), встроенного в Web-браузеры, выпускаемые компаниями Netscape Communications и Microsoft. Протокол SSL обеспечивает установление канала шифрованной связи между Web-клиентами и серверами. В последних версиях SSL, помимо этого, обеспечивается идентификация клиента: сервер знает, какие клиенты с ним работают, и наоборот. SSL также обеспечивает независимость от алгоритма шифрования, так что отпадает необходимость пользоваться одним и тем же алгоритмом RSA, основанным на применении открытых (public) ключей. Как пояснил Питер Торп, директор Федерального подразделения Netscape, его компания в настоящее время работает над созданием Web-браузера и сервера, в которых вместо RSA используется шифровальная карточка Fortezza. Предыдущие версии SSL, по словам Стива Кента, слишком сильно опирались на RSA.

Ожидается появление продуктов с использованием протокола Secure Electronic Transactions (SET), обеспечивающего сквозное кодирование номеров кредитных карточек. Появился новый проект протокола IP Security, и прошел апробацию стандартный протокол управления ключами. Тем временем Microsoft продолжает разрабатывать систему Internet Security Framework, в состав которой входят шифровальные интерфейсы API (по умолчанию шифрование будет осуществляться по алгоритму RSA), серверы сертификатов, коды идентификации и многое другое. В состав новой версии утилиты Explorer, выпуск которой намечен на начало 1997 г., будет включен "электронный кошелек".

Когда все эти новые стандарты наконец появятся, то, по словам Стива Кента, удаленные пользователи смогут связываться со своими интрасетями через Internet по каналам шифрованной связи с проверкой целостности данных и обеспечением идентификации; уровень информационной безопасности этих каналов будет ничуть не ниже, чем при использовании арендованных линий.

Ричард Ротвелл, старший управляющий по интеграции технологий Федеральной службы почтовой связи, считает, что шифрование с использованием открытых ключей пока не получило достаточно широкого распространения. "Я не вижу причин, по которым не может быть обеспечена полная безопасность транзакций. Надо лишь найти человека, который сумеет собрать воедино все необходимые прикладные пакеты". Г-н Ротвелл подчеркивает, однако, что при этом "кто-то должен взять на себя полицейские функции".

"Все части на месте, однако ни один из продуктов не обладает масштабируемостью, достаточной для обработки транзакций в больших количествах", - считает Мэри Мак-Нэлли, директор компании Computer Sciences, занимающейся системной интеграцией в коммерческом секторе. Управлять большими непрерывно изменяющимися базами данных прав пользователей и кластерами брандмауэров в реальном времени не так-то просто. По оценке г-жи Мак-Нэлли, коммерческие компании начнут ощущать выгоду от перехода на онлайновые технологии только после того, как число транзакций станет исчисляться миллионами в неделю. Г-жа Мак-Нэлли также считает, что многие из этих продуктов не прошли должного тестирования. "Рынок еще не вступил в пору зрелости, - говорит она. - Многие производители и заказчики с нетерпением ожидают появления надежных средств обеспечения информационный безопасности. Но от технологического цикла никуда не деться: тестирование продуктов в реальных условиях занимает от полугода до года с момента их появления на рынке".

Тем не менее "технология обеспечения информационной безопасности, возможно, уже появилась или появляется прямо на наших глазах", - считает Марти Вагнер, сотрудник Главной администрации услуг (General Services Administration - GSA) и советник Правительственной информационно-технической службы (Government Information Techno-logy Services - GITS), занимающейся вопросами электронной коммерции. Проблема состоит в том, чтобы обеспечить применение новой технологии и при этом не допустить возникновения запутанного клубка различных подходов к ее использованию.

Итак, какого уровня достигли программные продукты, обеспечивающие информационную безопасность и коммерцию в Web? Разделим продукты на шесть категорий: устройства доступа, программное обеспечение для браузеров и серверов, сертификаты, программное обеспечение для электронной коммерции, брандмауэры, инструментальные наборы и программы для обеспечения информационной безопасности.

Устройства доступа

Устройства доступа к компьютерным сетям и физическим ресурсам распространены весьма широко; можно ожидать, что в будущем таких средств станет еще больше. Г-н Вагнер высказывает надежду, что лет через десять появятся интегрированные многоцелевые интеллектуальные карточки, которые можно будет раздать всем сотрудникам. Во-первых, такая карточка позволит устанавливать личность владельца, во-вторых, ее можно будет использовать в поездках и при небольших покупках, а в-третьих, она будет применяться в качестве ключа при виртуальном и физическом доступе к ресурсам. Проблемы на пути появления такой карточки имеют скорее не технический, а юридический и маркетинговый характер.

Менее интегрированные решения могут появиться в достаточно близком будущем. По мнению Ширли Вильсон, директора GSA по пластиковым карточкам, повторный тендер по контрактам на поставки карточек для покупок и разъездов, объявленный Федеральной службой поставок (общая сумма контракта - 6 млрд дол.), послужит хорошим стимулом для развития технологий многоцелевых карточек. Ожидается, что тендер будет объявлен весной. Более краткосрочный проект GSA предусматривает создание диска безопасности (трехдюймовой дискеты с вмонтированной микросхемой), используемого при доступе к Internet.

Большой популярностью в качестве защитного жетона пользуется карточка SecurID компании Security Dynamics. Карточка стоит от 34 дол., цена используемого в системе сервера ACE составляет 2450 дол. В 1996 г. планировалось включить в ACE/Client для NT технологию WebID, обеспечивающую контроль за доступом к информации в корпоративной интрасети через Web. Другой подход к этой проблеме - использование миниатюрного цифрового устройства iButton (Dallas Semiconductors), обеспечивающего дополнительную степень информационной безопасности на Web.

Программное обеспечение для браузеров и серверов

Программное обеспечение для Web-браузеров и серверов, поддерживающее функции информационной безопасности, распространено на рынке весьма широко. В частности, в каталоге GSA фигурирует Netscape Navigator 3.0, поддерживающий SSL 3.0. Его стоимость составляет 17,95 дол. Протокол SSL 3.0 поддерживают также серверы семейства SuiteSpot производства Netscape, в том числе Web-серверы FastTrack и Enterprise версии 2.0 и старше.

Появившийся летом прошлого года Microsoft Explorer 3.0 поддерживает SSL 3.0. Однако текущая версия NT Server 4.0, куда входит Internet Information Server, поддерживает только SSL 2.0. Ожидается, что в будущем будет поддерживаться и SSL 3.0.

Браузер для Unix под названием XMosaic 2.6S (существующий пока в бета-версии) производства National Center for Supercomputing Applications (NCSA) поддерживает протоколы Secure HTTP (S-HTTP), SSL 2.0 и SSL 3.0. Последний Web-сервер для Unix под названием NCSA HTTPD 1.6, выпущенный этой компанией (он также существует в бета-версии), поддерживает обе версии SSL и S-HTTP. Кроме того, браузер и сервер производства NCSA поддерживают функцию электронной подписи на базе протокола S-HTTP. Благодаря этой функции пользователь не может уклониться от выполнения определенных операций, например изменения адреса или подписания Web-страниц. Обеспечивается также возможность шифрования подписи по алгоритму RSA.

Все браузеры Mosaic, а также сервер HTTPD поддерживают специальный механизм digest authentication, предотвращающий пересылку паролей открытым текстом, из-за чего они могут быть перехвачены злоумышленниками. Программное обеспечение для сервера можно загрузить, обратившись через Internet по адресу hoohoo.ncsa.uiuc.edu/beta-1.6. Правда, не следует забывать, что NCSA - это научно-исследовательская организация, которая предоставляет только экспериментальные, а не коммерческие версии.

Сертификаты

Другими важнейшими проблемами в этой области являются выпуск сертификатов и управление аутентификацией и доступом к сети. Наиболее известный источник сертификатов - компания VeriSign, которая предлагает сертификаты общего пользования трех уровней, соответствующих степени доверия к держателю сертификата. Тот, кто хочет решать эту проблему независимо от других компаний, может приобрести программное обеспечение для работы с сертификатами (а не сами услуги) у BBN или других компаний.

Кроме того, VeriSign собирается предложить так называемые "частные метки", которые могут привлечь внимание крупных организаций, желающих модифицировать службу сертификации в соответствии со своими запросами. Как утверждает менеджер по продуктам Боб Пратт, имеющаяся в настоящее время инфраструктура может обеспечить работу с десятками миллионов сертификатов.

Программное обеспечение для электронной коммерции

К числу программных продуктов для электронной коммерции с защитными функциями относится, в частности, такой пакет, как OM-Transact компании Open Market, избранный AT&T для запуска нового сервиса электронной коммерции в Internet. Данный продукт ориентирован на работу с большим количество транзакций. Его стоимость составляет 250 тыс. дол.; среди его покупателей - компании BBN, MCI и British Telecom.

Компания WebMate Techno-logies поставляет программное обеспечение MallMaker и Store-Maker, работающее на платформе Webmate/Foundation. Инструментальный набор Foundation стоит 495 дол.; он позволяет создавать расширения для баз данных SQL, обеспечивающие проведение электронных платежей и необходимый пользовательский интерфейс. Foundation обеспечивает также управление доступом к базам данных и шифрование сообщений. Store-Maker стоит 995 дол. за первый год использования и по 750 дол. за каждый последующий год; цена MallMaker составляет 750 дол. в год на один "магазин".

Компания SpaceWorks также продает комплект программ для электронной коммерции, обеспечивающих связь покупателя непосредственно с офисом продавца, без посредников. Стоимость комплекта высокоэффективных программ составляет от 100 до 250 тыс. дол.; он поддерживает шифрование по алгоритму RSA. Как указывает Лиз Сара, вице-президент по маркетингу компании SpaceWorks,этот комплект обеспечивает "полное техническое решение для осуществления электронной коммерции между компаниями".

Брандмауэры

Еще один важнейший элемент системы безопасности - брандмауэры. Применяя их, заказчик может определить, кому и при каких условиях разрешается осуществлять доступ к Internet-ресурсам. Эти продукты производит примерно 60-80 компаний; разброс по функциональным возможностям и ценам в этом секторе рынка весьма значителен.

Большинство брандмауэров обеспечивает простейшие защитные функции и может быть специально настроено в соответствии с запросами конкретного заказчика. Брандмауэры поддерживают SSL - их можно сконфигурировать таким образом, чтобы они обеспечивали передачу данных по этому протоколу.

Примерами популярных продуктов в этой области являются FireWall-1 (CheckPoint Software Technologies), Smart Wall (V-One), Gauntlet (Trusted Information Systems), Eagle (Raptor Systems) и Sidewinder (Secure Computing). Цены на изделия варьируются в диапазоне от пяти до пятидесяти с лишним тысяч долларов.

Инструментальные наборы и программы для обеспечения защиты данных

Инструментальные наборы для обеспечения информационной безопасности поставляют компании RSA и Terisa Systems. Работая с этими наборами, пользователи могут самостоятельно построить защищенные системы обработки Web-транзакций.

Продукт BSAFE компании RSA (290 дол. за комплект для разработчика) - "самый популярный набор инструментальных средств для криптографии общего назначения", как утверждает Курт Штаммбергер, директор по маркетингу компании RSA. Набор поддерживает RSA, DES, Triple DES, RC2, RC4 и другие методы шифрования. Новый инструментальный набор BCERT (также по цене 290 дол.) позволяет строить приложения для выпуска сертификатов и управления ими. Вскоре ожидается появление набора инструментальных средств разработчика SET.

Terisa Systems выпускает инструментальные наборы для разработки сложного программного обеспечения для клиентских станций и серверов. Такие наборы стоят примерно 3000 дол. Они позволяют разработчикам обеспечивать поддержку защитных протоколов (например, SSL и S-HTTP) в системах связи. Ожидается ,что вскоре будет обеспечена поддержка протокола SET.

Для обеспечения безопасности, не зависящей от использования конкретного приложения, можно, например, воспользоваться изделием HannaH, выпускаемым компанией SecureWare, которая одной из первых начала заниматься проблемой информационной безопасности в Unix-системах. Стартовый набор стоит 2995 дол.; программное обеспечение позволяет защищать любые информационные потоки под TCP/IP.

Заключение

Уже ясно, что Web станет главной артерией всемирной деловой жизни, вопрос состоит лишь в том, когда это произойдет. И именно потребности рынка заставят производителей обеспечивать необходимый уровень защиты информации. Аналитики расходятся лишь во мнениях о том, до какой степени Web-технология способна обеспечить информационную безопасность в настоящий момент.

Список литературы

1. Журнал «Сетевые решения», 2000 год, издательство «Открытые технологии», №10.

2. Гончаров Р.В., Любимов М.Ф., Савельева Н.Г. Информатика. Компьютерные системы и сети: учебное пособие/ РГЭА, - Ростов н\Д, 2001, - 255с.

3. Библиотека сетевой безопасности. http://www.security.tsu.ru

4. Независимый сервер Insecure. http://www.insecure.org

5. Лаборатория информационной безопасности. http://securitylab.ru