tify">. 4 Стандарти безпеки в Інтернеті
В якості засобів забезпечення безпеки в мережі Інтернет популярні протоколи захищеної передачі даних, а саме SSL (TLS), SET, IP v. 6. Вони з'явилися порівняно недавно, і відразу стали стандартами де-факто. (TLS) - Найбільш популярний зараз мережевий протокол шифрування даних для безпечної передачі по мережі являє собою набір криптографічних алгоритмів, методів і правил їх застосування. Дозволяє встановлювати захищене з'єднання, проводити контроль цілісності даних і вирішувати різні супутні завдання. (Security Electronics Transaction) - перспективний протокол, що забезпечує безпечні електронні транзакції в Інтернеті. Він заснований на використанні цифрових сертифікатів за стандартом Х.509 і призначений для організації електронної торгівлі через мережу.
Даний протокол є стандартом, розробленим компаніями MasterCard і Visa за участю IBM raquo ;, GlobeSet та інших партнерів. З його допомогою покупці можуть купувати товари через Інтернет, використовуючи найзахищеніший на сьогоднішній день механізм виконання платежів. SET - це відкритий стандартний багатосторонній протокол для проведення платежів в Інтернеті з використанням пластикових карток. Він забезпечує крос-аутентифікацію рахунки власника картки, продавця і банку продавця для перевірки готовності оплати, а також цілісність і секретність повідомлення, шифрування цінних та вразливих даних. SET можна вважати стандартною технологією або системою протоколів виконання безпечних платежів на основі пластикових карт через Інтернет.- Специфікація IPSec входить в стандарт IP v. 6 і є додатковою по відношенню до поточної версії протоколів TCP/IP. Вона розробляється Робочою групою IP Security IETF. В даний час IPSec включає три Алгоритм-незалежних базових специфікації, що представляють відповідні RFC-стандарти.
Протокол IPSec забезпечує стандартний спосіб шифрування трафіку на мережевому (третьому) рівні IP і захищає інформацію на основі наскрізного шифрування: незалежно від працюючого додатку, шифрується кожен пакет даних, що проходить по каналу. Це дозволяє організаціям створювати в Інтернеті віртуальні приватні мережі. IPSec працює поверх звичайних протоколів зв'язку, підтримуючи DES, MD5 і ряд інших криптографічних алгоритмів.
Забезпечення інформаційної безпеки на мережевому рівні за допомогою IPSec включає:
· підтримку немодифікованих кінцевих систем;
· підтримку транспортних протоколів, відмінних від ТСР;
· підтримку віртуальних мереж в незахищених мережах;
· захист заголовка транспортного рівня від перехоплення (запобігання несанкціонованого аналізу трафіку);
· захист від атак типу відмова в обслуговуванні raquo ;.
Крім того, IPSec має дві важливі переваги: ??
. його застосування не вимагає змін в проміжних пристроях мережі;
. робочі місця і сервери не обов'язково повинні підтримувати IPSec.
. 5 Особливості російського ринку
Історично склалося, що в Росії проблеми безпеки ІТ вивчалися і своєчасно вирішувалися тільки в сфері охорони державної таємниці. Аналогічні, але мають власну специфіку завдання комерційного сектора економіки довгий час не знаходили відповідних рішень. Даний факт досі істотно сповільнює появу і розвиток безпечних ІТ-засобів на вітчизняному ринку, який інтегрується з світовою системою. Тим більше що у захисту інформації в комерційній автоматизованій системі є свої особливості, які просто необхідно враховувати, адже вони роблять серйозний вплив на технологію інформаційної безпеки. Перелічимо основні з них:
Пріоритет економічних чинників. Для комерційної автоматизованої системи дуже важливо знизити або виключити фінансові втрати і забезпечити отримання прибутку власником і користувачами даного інструментарію в умовах реальних ризиків. Важливою умовою при цьому, зокрема, є мінімізація типово банківських ризиків (наприклад, втрат за рахунок помилкових напрямків платежів, фальсифікації платіжних документів тощо.);
Відкритість проектування, що передбачає створення підсистеми захисту інформації з коштів, широко доступних на ринку і працюючих у відкритих системах;
Юридична значимість комерційної інформації, яку можна визначити як властивість безпечної інформації, що дозволяє забезпечити юридичну силу електронним документам або інформаційним процесам відповідно до правовим режимом інформаційних ресурсів, встановленим законодавством Російської Федерації. Ця умова останнім часом набуває все більшої значущості в нашій країні поряд зі створенням нормативно-правової бази безпеки ІТ (особливо при взаємодії автоматизованих сист...
