Размещено на http://www.allbest.ru/
ЗМІСТ
ВСТУП
РОЗДІЛ 1. ЗАСОБИ ЗАХИСТУ ІНФОРМАЦІЇ
1.1 ІНФОРМАЦІЯ: СУТНІСТЬ, ВИДИ ТА КОНФІДЕНЦІЙНІСТЬ
1.2 ПРОГРАМНІ ЗАСОБИ ЗАБЕЗПЕЧЕННЯ ЗАХИСТУ ІНФОРМАЦІЇ
1.3 ТЕХНІЧНІ ЗАСОБИ ЗАБЕЗПЕЧЕННЯ ЗАХИСТУ ІНФОРМАЦІЇ
РОЗДІЛ 2. ПРАКТИЧНЕ ЗАВДАННЯ
ВИСНОВКИ
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ
ВСТУП
Система електронної торгівлі являє собою характерний приклад розподіленої обчислювальної системи. У ній кілька клієнтів працюють з одним сервером, рідше з декількома серверами. Таким чином, електронного магазину загрожують всі внутрішні і віддалені атаки, притаманні будь-якій розподіленої комп'ютерної системи, що взаємодіє за допомогою передачі даних по відкритих мереж.
Ми бачимо, що обидва учасники цього бізнес-процесу виявляються уразливими перед ними і незахищеними в плані відображення атак і їх відстеження. Крім інформаційних атак і погроз, в електронній комерції існують ще багато вразливостей іншого аспекту, більше пов'язаних з організаційними, правовими і фінансовими проблемами в економічній діяльності фірми в цілому. Тому, потрібно відзначити, що тільки технічних засобів для вирішення задачі побудови комплексної системи захисту недостатньо. Необхідний цілий комплекс організаційних, законодавчих, фізичних та технічних заходів.
Безперервний розвиток мережевих технологій при відсутності постійного аналізу безпеки призводить до того, що з плином часу захищеність мережі падає. З'являються нові невраховані загрози та вразливості системи. Є поняття – адаптивна безпека мережі. Вона дозволяє забезпечувати захист у реальному режимі часу, адаптуючись до постійних змін в інформаційній інфраструктурі. Складається з трьох основних елементів – технології аналізу захищеності, технології виявлення атак, технології управління ризиками. Технології аналізу захищеності є дієвим методом, який дозволяє проаналізувати і реалізувати політику мережевої безпеки. Системи аналізу захищеності проводять пошук вразливостей, але нарощуючи кількість перевірок і досліджуючи всі її рівні. Виявлення атак – оцінка підозрілих дій, які відбуваються в корпоративній мережі.
РОЗДІЛ 1. ЗАСОБИ ЗАХИСТУ ІНФОРМАЦІЇ
1.1 Інформація: сутність, види та конфіденційність
Інформація – абстрактне поняття, що має різні значення залежно від контексту. Походить від латинського слова «informatio», яке має декілька значень:
Роз'яснення;
Виклад фактів, подій;
Витлумачення;
Представлення, поняття;
Ознайомлення, просвіта. [1]
Загальне поняття інформації подано у філософії, де під нею розуміють відображення реального світу. [1]
В.Н. Ясенєв дає більш розгорнуте тлумачення інформації, на його погляд інформація
1) загальнонаукове поняття, яке включає у себе обмін відомостями між людьми;
2) з точки зору прийняття рішень інформацією є данні, які впливають на поведінку системи, які використовуються у процесі прийняття рішень або у зв’язку із здійсненням тих або інших дії;
3) відомості (відображення) про подію або стан реальної дійсності, що дозволяють приймати рішення, які ведуть до досягнення мети наочної діяльності. [4]
У кібернетиці інформація трактується зазвичай як міра усунення невизначеності знання у одержувача. Іншими словами, інформацій є не будь-яке повідомлення, а лише таке, яке містить невідомі раніше його одержувачеві факти.
У законі України «про інформацію» наведене таке тлумачення поняття інформація – будь-які відомості та/або дані, які можуть бути збережені на матеріальних носіях або відображені в електронному вигляді [7. Розділ 1, стаття 1].
Отже можна визначити інформацію як нові відомості, які прийняті, зрозумілі і оцінені її користувачем як корисні. Іншими словами, інформація – це нові знання, які отримує суб'єкт у результаті сприйняття і переробки певних відомостей.
Інформацію розрізняють по отраслям знань: технічна, економічна, біологічна та інші. [4]
Найважливішими, з практичної точки зору, властивостями інформації є
Цінність інформації – визначається забезпеченням можливості досягнення мети, поставленої перед отримувачем інформації.
Достовірність – відповідність отриманої інформації об'єктивній реальності навколишнього світу.
Актуальність – це міра відповідності цінності та достовірності інформації поточному часу (певному часовому періоду)
Часові властивості визначають здатність даних передавати динаміку зміни ситуації (динамічність).
Актуальність – властивість даних, що характеризує поточну ситуацію;
Оперативність – властивість даних, яка полягає в тому, що час їхнього збору та переробки відповідає динаміці зміни ситуації;
Ідентичність – властивість даних відповідати стану об'єкта.[1]
Для людини інформація поділяється на види залежно від типу рецепторів, що сприймають її.
Візуальна – сприймається органами зору.
Аудіальна – сприймається органами слуху.
Тактильна – сприймається тактильними рецепторами.
Нюхова – сприймається нюховими рецепторами.
Смакова – сприймається смаковими рецепторами
За формою подання інформація поділяється на такі види:
Текстова – що передається у вигляді символів, призначених позначати лексеми мови;
Числова – у вигляді цифр і знаків, що позначають математичні дії;
Графічна – у вигляді зображень, подій, предметів, графіків;
Звукова – усна або у вигляді запису передачі лексем мови аудіальним шляхом.
За призначенням інформацію також можна поділити на види:
Масова – містить тривіальні відомості і оперує набором понять, зрозумілим більшій частині соціуму
Спеціальна – містить специфічний набір понять, при використанні відбувається передача відомостей, які можуть бути не зрозумілі основній масі соціуму, але необхідні і зрозумілі в рамках вузької соціальної групи, де використовується дана інформація
Особиста – набір відомостей про яку-небудь особистість, що визначає соціальний стан і типи соціальних взаємодій всередині популяції. [1]
У законодавстві Україна виділяють інформацію з обмеженим доступом. Інформацією з обмеженим доступом є конфіденційна, таємна та службова інформація.
Інформація з обмеженим доступом – інформація, право доступу до якої обмежене встановленими правовими нормами та (або) правилами.[2]
Інформація таємна (secret information) – інформація з обмеженим доступом, що містить відомості, які становлять державну та іншу передбачену законом таємницю, і розголошення яких завдає шкоди особі, суспільству та державі.
Інформація конфіденційна – інформація з обмеженим доступом, що містить відомості, які перебувають у володінні, користуванні чи розпорядженні окремих фізичних чи юридичних осіб або держави, і порядок доступу до якої встановлюється ними..[2]
Конфіденційність інформації – властивість інформації, яка полягає в тому, що інформація не може бути отримана неавторизованим користувачем і (або) процесом. Інформація зберігає конфіденційність, якщо дотримуються встановлені правила ознайомлення з нею [13].
Російський автор В.Н. Ясенєв дає більш цікаве поняття конфіденційність, а саме конфіденційність комп’ютерної інформації, з його точки зору це властивість інформації бути відомою лише допущеним та пройшовшим перевірку суб’єктам системи (користувачам, програмам, процесам та ін.) [4].
Отже можна зробити висновки, що існує така інформація, яка потребує захисту.
Захист інформації – сукупність методів і засобів, що забезпечують цілісність, конфіденційність і доступність інформації за умов впливу на неї загроз природного або штучного характеру, реалізація яких може призвести до завдання шкоди власникам і користувачам інформації.
У тому ж законі про інформацію поняття захист інформації визначається як, сукупність правових, адміністративних, організаційних, технічних та інших заходів, що забезпечують збереження, цілісність інформації та належний порядок доступу до неї.
Захист – засіб для обмеження доступу чи використання всієї або частини обчислювальної системи; юридичні, організаційні та технічні, в тому числі програмні, заходи запобігання несанкціонованого доступу до апаратури, програм і даних [2].
Метод захисту (protection method) – система принципів і прийомів, спрямованих на реалізацію функції захисту. Метод захисту може бути реалізований програмним, програмно-апаратним або апаратним способом [2].
Захист інформації ведеться для підтримки таких властивостей інформації як:
Цілісність – неможливість модифікації інформації неавторизованим користувачем. Цілісність інформації важливий аспект інформаційної безпеки, що забезпечує запобігання несанкціонованих змін та руйнування інформації [4].
Цілісність, це стан даних або комп’ютерної системи, в якій дані та програми використовуються встановленим чином, що забезпечує: стійку роботу системи; автоматичне відновлення у випадку виявлення системою потенційної помилки; автоматичне використання альтернативних компонентів замість тих, що вийшли з ладу [2].
Конфіденційність – інформація не може бути отримана неавторизованим користувачем. Треба захисти інформацію від несанкціонованого ознайомлення з нею.
Доступність – полягає в тому, що авторизований користувач може використовувати інформацію відповідно до правил, встановлених політикою безпеки не очікуючи довше заданого (прийнятного) інтервалу часу. Доступність забезпечується як підтриманням систем в робочому стані так і завдяки способам, які дозволяють швидко відновити втрачену чи пошкоджену інформацію.
У книзі «Електронна комерція» розглядається ряд заходів для захисту інформаційної системи. Зокрема автори виділяють:
законодавчі (закони, нормативні акти, стандарти та ін.);
адміністративні (дії загального характеру організації, що робляться керівництвом);
процедурні (конкретні заходи безпеки, що мають справу з людьми);
програмно-технічні (для ідентифікації і перевірки автентичності користувачів; управління доступом; протоколювання і аудиту; криптографії; екранування та ін.).
Апаратно-програмні засоби захисту – засоби у яких програмні (мікропрограмні) та апаратні частини повністю взаємопов’язані та неразделимі.
Апаратні засоби захисту – це електрони, електромеханічні та інші пристрої, безпосередньо вбудовані у блоки автоматизованої інформаційної системи або оформлені у вигляді самостійних пристроїв які сполучаються з цими блоками. Вони призначені для внутрішнього захисту структурних елементів засобів та систем обчислюваної техніки: терміналів, процесорів, периферійного устаткування, ліній зв’язку та інше.
1.2 Програмні засоби забезпечення захисту інформації
інформація антивірусний шифрування захист
Програмні засоби захисту інформації призначені для виконання логічних та інтелектуальних функції захисту і включаються або у склад програмного забезпечення автоматизованих інформаційних систем, або до складу засобів, комплексів та систем апаратури контролю. Програмні засоби захисту є найбільш поширеним видом захисту, володіючи наступними позитивними властивостями: універсальністю, гнучкістю, простотою реалізації, можливістю змінення та розвитку. Дана обставина робить їх і самими вразливими елементами захисту інформаційної системи підприємства.
Важливим є захист інформації і у всесвітній мережі Internet. Якщо раніше мережа використовувалась лише в якості середи передачі файлів та повідомлень електронної пошти, то сьогодні вирішуються складніші завдання розподіленого доступу до ресурсу. Internet, який раніше слугував виключно дослідницьким та учбовим групам, стає все більш популярною у діловому світі. Компанії спокушають швидкість, дешевий глобальний зв'язок, зручність для проведення спільних робіт, доступні програми, унікальна база даних мережі. Вони розглядають глобальну мережу, як доповнення до власних локальних мереж.
При роботі в мережі Internet, для захисту інформації, на перше місце виходять міжмережеві екрани (firewalls) – найважливіший засіб захисту мережі організації. Вони контролюють мережевий трафік, що входить в мережу і що виходить з неї. Використовуючи інтерфейс настройок профілю доступу міжмережевого екрану, є можливість для кожного користувача створити свій профіль, який буде визначати не тільки права доступу цього користувача до мережі Інтернет, але і права доступу до цього користувача з Інтернет. Міжмережевий екран може блокувати передачу в мережу несанкціонованого трафіка та виконувати перевірки трафіка. Добре сконфігурований міжмережевий екран спроможний зупинити більшість відомих комп’ютерних атак.[6]
Firewall здатні забезпечити захист окремих протоколів і програмних застосувань. Вони здійснюють контроль доступу ззовні до внутрішньої мережі, ї окремих сегментів тощо на основі вмісту пакетів даних, що передаються між двома сторонами, або пристроями мережею.
Міжмережеві екрани працюють з програмами маршрутизації та фільтрами всіх мережевих пакетів, щоб визначити, чи можна пропустити інформаційний пакет, а якщо можна, то відправити його до певної комп'ютерної служби за призначенням. Для того щоб міжмережевий екран міг зробити це, необхідно визначити правила фільтрації. Отже, міжмережевий екран є немовби віртуальним кордоном, на якому перевіряється цілісність фрагментованих пакетів даних, що передаються, їх відповідність стандарту тощо.
Часто корпоративні мережі зв'язують офіси, розкидані в місті, регіоні, країні або всьому світі. Ведуться роботи щодо захисту на мережевому рівні ІР-мереж (саме такі мережі формують Інтернет). Провідні постачальники міжмережевих екранів і маршрутизаторів запропонували технологію S/WAN. Вони взяли на себе впровадження і тестування протоколів, що пропонуються Робочою групою інженерів Інтернет (Inernet Engineering Task Force, IETF) для захисту пакетів даних. Ці протоколи забезпечують автентифікацію й шифрування пакетів, а також засоби обміну та управління ключами для шифрування й автентифікації. Протоколи S/WAN допоможуть досягти сумісності між маршрутизаторами і брандмауерами різноманітних виробників, що дасть змогу географічно віддаленим офісам однієї корпорації, а також партнерам, що утворюють віртуальне підприємство, безпечно обмінюватися даними по Інтернет. Іншими словами, компанії зможуть створювати власні віртуальні приватні мережі (virtual private networks, VPN) і використовувати Інтернет як альтернативу традиційним каналам зв'язку, які орендуються за високу плату [5].
Віртуальні приватні мережі (virtual private networks, VPN) – територіально розподілені корпоративні мережі, які використовують для зв'язку між окремими сегментами Інтернет.
Однак міжмережеві екрани не є універсальним вирішенням усіх проблем безпеки в Інтернет. Наприклад, вони не здійснюють перевірку на віруси і не здатні забезпечити цілісність даних [6].
Засоби захисту VPN – це інтегровані з віртуальними мережами засоби захисту мережі, в цілому, її сегментів та кожного клієнта мережі окремо (захист TCP/IP трафіку, створюваного будь-якими додатками і програмами; захист робочих станцій, серверів WWW, баз даних і додатків; автопроцесингу, трансакцій для фінансових та банківських додатків і платіжних систем). Реалізуються в рамках програмно-апаратних рішень VVPN-шлюзів. Серед основних функцій VPN-шлюзів: автентифікація (MD5, SHA1), шифрування (DES, 3DES, AES), тунелювання пакетів даних через IP. Певні шлюзи підтримують також функції firewall.
Використання антивірусних засобів вважається необхідною умовою при підключенні до Internet, дозволяє значно знизити втрати інформації в наслідок зараження шкідливими програмами.
Антивірус – в обчислювальній техніці – програма, що виявляє або виявляє та знищує комп’ютерні віруси [2].
Вірус – програма, яка модифікує інші програми. У контексті проблем безпеки цей термін зазвичай використовується по відношенню до програм, зловмисно упроваджених у систему с цілю нанесення шкоди та руйнування. Вірусна програма поширюється за рахунок самокопіювання та під’єднання копій до інших програм. Коли у системі відбувається певна подія, на яку налаштован вірус, він починає виконувати свою цільову функцію [4].
Мережеві антивіруси – використовують для захисту від вірусів однієї або кількох OS, протоколів та команди комп’ютерних мереж і електронної пошти [4]. Використання автоматизованих засобів перевірки мережі на можливі уразливості в системі захисту та аудиту безпеки корпоративних серверів дозволяє встановити джерела загроз та значно понизити вірогідність ефективних атак на корпоративну мережу або персональний комп’ютер.
SKIPBridge – система, яка встановлюється на інтерфейсі внутрішня / зовнішня мережа (локальна мережа або комунікаційний провайдер). Забезпечує захист (шифрування) трафіка, що направляється з внутрішньої мережі у зовнішню на основі протоколу SKIP, а також фільтрацію і дешифрування трафіка, який поступає із зовнішньої мережі у внутрішню. IP-пакети, що приймаються із зовнішньої мережі, обробляються протоколом SKIP (розшифровуються, фільтруються відкриті пакети в режимі тільки захищеного трафіка, контролюється і забезпечується імітозахист). Пакети, які пройшли фільтрацію SKIP, за допомогою протоколу IP передаються програмному забезпеченню SKIP-Bridge. Програмне забезпечення вирішує завдання адміністративної безпеки (забезпечуючи пакетну фільтрацію), і потім системи SKIPBridge, який маршрутизує пакети на адаптер локальної мережі [6].
Використання Proxy та анонімних серверів дозволяє залишатись умовно анонімним при діях в мережі Internet та знизити ризики, пов’язані із збиранням та моніторингом мережевої інформації на користь третіх осіб, потоком непотрібної та шкідливої інформації у системі.
Використання систем обмеження доступу співробітників до мережевих ресурсів Internet, використання маршрутизаторів та надійних постачальників мережевих послуг, короткочасного каналу зв’язку дозволяє скоротити збір та моніторинг мережевої інформації на користь третіх осіб, потік непотрібної та шкідливої інформації.
Для захисту інформації у мережі також використовується шифрування. В основу шифрування покладено два елементи: криптографічний алгоритм і ключ.
Криптографічний алгоритм – математична функція, яка комбінує відкритий текст або іншу зрозумілу інформацію з ланцюжком чисел (ключем) з метою отримати незв'язний (шифрований) текст Новий алгоритм важко придумати, але один алгоритм можна використовувати з багатьма ключами. Існують ще спеціальні криптографічні алгоритми, які не використовують ключів [5].
Шифрування з ключем має дві переваги.
1. Новий алгоритм шифрування описати важко, і навряд чи хтось захоче це робити щоразу під час відправлення таємного повідомлення новому респонденту. Використовуючи ключ, можна застосовувати той самий алгоритм для відправлення повідомлень різним людям. Головне – закріпити окремий ключ за кожним респондентом.
2. Якщо хтось «зламає» зашифроване повідомлення, щоб продовжити шифрування інформації, достатньо лише змінити ключ. Переходити на новий алгоритм не потрібно (якщо був «зламаний» ключ, а не сам алгоритм). Чим більше комбінацій, тим важче підібрати ключ і переглянути зашифроване повідомлення [5].
Надійність алгоритму шифрування залежить від довжини ключа.
Довжина ключа – кількість біту ключі, яка визначає число можливих комбінацій [5].
Основні види алгоритмів шифрування – симетричні й асиметричні. Симетричні методи шифрування зручні тим, що для забезпечення високого рівня безпеки передачі даних не потрібно створення ключів великої довжини. Це дозволяє швидко шифрувати і дешифрувати великі обсяги інформації. Разом з тим, і відправник, і одержувач інформації володіють одним і тим же ключем, що робить неможливим аутентифікацію відправника. Крім того, для початку роботи із застосуванням симетричного алгоритму сторонам необхідно безпечно обмінятися секретним ключем, що легко зробити при особистій зустрічі, але дуже важко при необхідності передати ключ через будь-які засоби зв'язку.
Для безпеки електронної комерції розроблено низку протоколів і програмних застосувань, які використовують криптографічні методики. Крім того, всупереч думці про Інтернет як про ненадійний носій інформації через його децентралізацію, трансакції тут можуть бути добре захищені шляхом використання багатьох стандартів, які охоплюють усі рівні мережі – від пакета даних до програмного застосування. Стандарти забезпечують захист сполучень і програмних застосувань [5].
Принципово новий підхід до здійснення електронних платежів сьогодні полягає в негайній авторизації і шифруванні фінансової інформації в мережі Інтернет з використанням протоколів SSL (Seсure Sockets Layer) та SET (Secure Electronic Transaction). Протокол SSL припускає шифрування інформації на канальному рівні, а протокол SET, розроблений компаніями VISA, MasterCard та інші, – шифрування виключно фінансової інформації. Оскільки мережа Інтернет розрахована на одночасну роботу мільйонів користувачів, то в комерційних додатках "у чистому вигляді" неможливо використовувати ні традиційні системи, засновані виключно на "закритих ключах" (DES, ГОСТ 28147-89 та ін.), ні методи шифрування тільки на " відкритих ключах ", в тому числі і російський стандарт електронного підпису [5].
Застосування одних закритих ключів неможливо у зв'язку з тим, що розкриття (перехоплення) навіть одного ключа відразу ж приведе до "злому" усієї системи захисту. Тому при реалізації електронної комерції в Інтернет разом з системами шифрування за допомогою закритих ключів використовуються системи шифрування за допомогою відкритих ключів. Це пов'язано з тим, що шифрування лише відкритими ключами вимагає великих витрат обчислювальних ресурсів. Тому краще всього шифрувати інформацію, передану по мережах, за допомогою закритого ключа, який генерується динамічно та передається іншому користувачу зашифрованим з допомогою відкритого ключа. Така система шифрування буде працювати і швидше, і надійніше [5].
У додатках, заснованих на використанні алгоритму SET, покупець, не розшифровуючи платіжних реквізитів продавця, розшифровує всі дані замовлення, а банк, не маючи даних про структуру замовлення, має доступ до платіжних реквізитами і продавця і покупця. Це досягається завдяки використанню подвійний (сліпий) електронного підпису, і в даній ситуації банку надсилається одна частина повідомлення, а покупцеві – інша. Крім того, протокол SET описує стандартні види фінансових транзакцій між банками, центрами авторизації і торговими точками. При шифруванні з використанням закритих ключів передбачається, що і продавець і покупець мають загальний ключем, який вони використовують для шифрування / дешифрування інформації. У шифруванні ж з використанням відкритих ключів передбачено, що і продавець і покупець мають по два ключі: один – "відкритий", який може бути відомий будь-якої третьої стороні, а інший – "приватний", завжди відомий лише одній стороні – його власнику. При цьому по одному ключу неможливо відновити інший [5].
Також для захисту інформації використовують протоколи. Ці протоколи можна класифікувати відповідно до того, що саме вони захищають – сполучення чи програми. Такі стандарти, як SSL і S/WAN, призначені для захисту комунікацій в Інтернет; хоча SSL використовується насамперед з web-застосуваннями. S-HTTP і S/МІМЕ спрямовані на забезпечення автентифікації і конфіденційності (8-НТТР – для веб-застосувань, а 8/МІМЕ – для електронної пошти). SЕТ забезпечує тільки захист трансакцій електронної комерції.
Захист web-застосувань: S-НТТР і SSL. Web-застосування захищені двома протоколами – S-НТТР і SSL, які забезпечують автентифікацію для серверів і браузерів, а також конфіденційність і цілісність даних для сполучень між web-сервером і програмою-браузером
S-НТТР – захищений НТТР-протокол, розроблений компанією Enterprise Integration Technologies (ЕІТ) спеціально для Web. Він дає змогу забезпечити надійний криптозахист тільки для НТТР-документів web-сервера. Його використання неможливе для захисту інших прикладних протоколів (FТР, TELNET, SМТР тощо). S-НТТР призначений насамперед для підтримки протоколу передачі гіпертексту (НТТР), забезпечує авторизацію і захист web-документів. SSL – розробка компанії Netscape – пропонує ті ж самі засоби захисту, але для комунікаційного каналу [5].
Канал – лінія зв'язку між двома вузлами мережі або вузлом і одним з його абонентів.
За SSL кодування інформації здійснюється на рівні порту.
Порт – ідентифікаційний номер, який відповідає кожному програмному застосуванню або процесу, що використовують базовий протокол Internet TCP як транспортний.
Захист електронної пошти. Для захисту електронної пошти в Інтернет існує безліч різноманітних протоколів, але лише кілька з них поширені.
РЕМ (Ргіvасу Еnhanced Mail). Це стандарт Інтернет для захисту електронної пошти з використанням відкритих або симетричних ключів. Він застосовується усе рідше, оскільки не призначений для оброблення нового МІМЕ-формату електронних повідомлень і вимагає жорсткої ієрархії сертифікаційних центрів для видачі ключів.
S/МІМЕ. Відносно новий стандарт, у якому задіяно багато криптографічних алгоритмів, запатентованих і заліцензійованих компанією RSA Data Security Іnс. S/МІМЕ використовує цифрові сертифікати і, отже, при забезпеченні автентифікації спирається на використання сертифікаційного центру.
РGР (Рretty Good Privacy). Це родина програмних продуктів, які використовують найстійкіші криптографічні алгоритми. В їх основу покладено алгоритм RSA. РGР реалізує технологію, відому як криптографія з відкритими ключами, яка дає змогу обмінюватися зашифрованими повідомленнями і файлами каналами відкритого зв'язку без наявності захищеного каналу для обміну ключами, а також накладати на повідомлення й файли цифровий підпис. Іншими словами, програма побудована за принципом «павутини довіри» (Web of Trust) і дає змогу користувачам розповсюджувати свої ключі без посередництва сертифікаційних центрів.
Аутентифікація електронного документа здійснюється за допомогою перевірки електронно-цифрового підпису (ЕЦП). При перевірці ЕЦП файлу перевіряється, застосовувався чи при виробленні даної цифрового підпису конкретний ключ, що належить відправнику документа, і не зазнав чи файл змін у процесі пересилання адресату. Якщо програма перевірки підпису формує запис "ЕЦП вірна", то файл "аутентифікований". При аутентифікації файлу не має значення, яку корисну інформацію він містить і чи містить взагалі. Для подальшої ідентифікації файлу – документа потрібно механізм переведення бінарної інформації, що становить файл, в читану людиною форму і певним чином трактуються вміст даної форми. Очевидно, що тільки при наявності подібного механізму може бути забезпечена доказова сила електронного документа. Закон "Про електронний цифровий підпис" є підставою доказової сили цифрового підпису.
Доказова ж сила електронних документів ґрунтується на фіксації мови їх прочитання або, іншими словами, механізму ідентифікації цифр – нулів та одиниць, що утворюють документ. Найчастіше мова ідентифікації електронних документів в договірних відносинах не регламентований. Тому, за відсутності будь-яких правил, норм і вимог, ситуація необтяжливої хаосу в цьому питанні породжує додаткові ризики, які є принциповим гальмом розвитку технологій електронної комерції.
Електронний цифровий підпис (ЕЦП) є електронним еквівалентом власноручного підпису. ЕЦП служить не тільки для аутентифікації відправника повідомлення, а й для перевірки його цілісності. При використанні ЕЦП для аутентифікації відправника повідомлення застосовуються відкритий і закритий ключі. Процедура схожа на здійснювану в асиметричному шифруванні, але в даному випадку закритий ключ служить для шифрування, а відкритий – для дешифрування [5].
Алгоритм застосування ЕЦП складається з ряду операцій:
1) Генерується пара ключів – відкритий і закритий.
2) Відкритий ключ передається зацікавленій стороні (одержувачу документів, підписаних стороною, згенеровавшою ключі).
3) Відправник повідомлення шифрує його своїм закритим ключем і передає одержувачу по каналах зв'язку.
4) Одержувач дешифрує повідомлення відкритим ключем відправника.
Будь-якому програмному забезпеченню властиві певні уразливості, які призводять до реалізації атак. І уразливості проектування системи e-Commerce (наприклад, відсутність засобів захисту), та вразливості реалізації і конфігурації. Останні два типи вразливостей найпоширеніші і зустрічаються в будь-якій організації. Все це може призвести до реалізації різного роду атак, спрямованих на порушення конфіденційності і цілісності даних, що обробляються. [5]
Всі перераховані раніше загрози не страшні, якщо проти них існують дієві засоби захисту. Який же арсенал засобів сьогодні існує і чому все ж і його не завжди достатньо? Для відповіді на це питання потрібно розглянути всі чотири рівні, що є у будь-який інформаційної системи. 1 і 2-й рівні (нижні) – рівень операційної системи й рівень мережі. Рівень операційної системи (ОС), що відповідає за обслуговування СУБД і прикладного програмного забезпечення. Приклади – ОС MS Windows NT, Sun Solaris, Novell Netware. Рівень мережі, що відповідає за взаємодію вузлів інформаційної системи. Приклади – протоколи TCP / IP, IPS / SPX і SMB / NetBIOS. Ці рівні важливі особливо. Уявімо, що зловмисник отримав ідентифікатор та пароль користувача бази даних магазину або перехопив їх у процесі передачі по мережі, або підібрав за допомогою спеціальних програм. Це дуже небезпечно, потрібні такі засоби і механізми захисту, які швидко і точно виявляють і блокують мережеві атаки типу "відмова в обслуговуванні", а також атаки на операційну систему.
В даний час на рівні мережі застосовуються маршрутизатори і міжмережеві екрани, на рівні ж ОС – вбудовані засоби розмежування доступу. Одним із прикладів засобів виявлення атак є система RealSecure, розроблена компанією Internet Security Systems, Inc.
Наступний рівень – третій рівень прикладного програмного забезпечення (ПО), що відповідає за взаємодію з користувачем. Прикладом елементів цього рівня – текстовий редактор WinWord, редактор електронних таблиць Excel, поштова програма Outlook, браузер Internet Explorer [5].
Четвертий рівень системи управління базами даних (СКБД) відповідає за зберігання і обробку даних інформаційної системи. Прикладом елементів цього рівня – СУБД Oracle, MS SQL Server, Sybase і MS Access.
Система захисту повинна ефективно працювати на всіх рівнях. Інакше зловмисник зможе знайти уразливості системи і реалізувати атаку на ресурси електронного магазину. Тут допоможуть засоби аналізу захищеності та сканери безпеки.
1.3 Технічні засоби забезпечення захисту інформації
До технічних мір можна віднести захист від несанкціонованого доступу до системи, резервування особливо важливих комп'ютерних підсистем, організацію обчислювальних мереж з можливістю перерозподілу ресурсів у випадку порушення працездатності окремих ланок, установку устаткування виявлення і гасіння пожежі, вживання конструкційних заходів захисту від розкрадань, саботажу, диверсій, вибухів, установку резервних систем електроживлення, оснащення приміщень замками, установку сигналізації і багато чого іншого.
Вся сукупність технічних засобів захисту підрозділяється на апаратні і фізичні.
Апаратні засоби – пристрою, що вбудовуються безпосередньо в обчислювальну техніку, чи пристрою, що сполучаються з нею по стандартному інтерфейсі.
Системи будь-якої складності будуються на базі одних і тих же технічних пристроїв. При рішенні технічних завдань захисту й охорони в першу чергу необхідно вибрати основні параметри пристроїв, які забезпечать достатню надійність виконання покладених на них функцій. Система охоронна сигналізація фіксують факт несанкціонованого доступу на територію, що охороняється, передають сигнал тривоги, наприклад, на пульт охорони і включають виконуючі пристрої. Система охоронна сигналізація включають: датчики, пульт-концентратор, виконуючі пристрої.
Апаратні пристрої є мініатюрними пристроями, які можуть бути прикріплені між клавіатурою і комп'ютером або вбудовані в саму клавіатуру. Вони реєструють всі натиснення клавіш, зроблені на клавіатурі. Процес реєстрації абсолютно невидимий для кінцевого користувача. Щоб успішно перехоплювати всі натиснення клавіш, апаратні кейлоггери не вимагають установки ніякої програми на комп'ютері. Коли апаратний пристрій прикріплюють, абсолютно не має значення, в якому стані знаходиться комп'ютер – ввімкненому або вимкненому. Час його роботи не обмежений, оскільки він не вимагає для своєї роботи додаткового джерела живлення.
Об'єми внутрішньої незалежної пам'яті даних пристроїв дозволяють записувати до 20 мільйонів натиснень клавіш, причому з підтримкою юнікода. Дані пристрої можуть бути виконані у будь-якому вигляді, так що навіть фахівець не в змозі іноді визначити їх наявність при проведенні інформаційного аудиту. Залежно від місця прикріплення апаратні кейлоггери підрозділяються на зовнішні і внутрішні.
Сучасні комп'ютерні засоби побудовані на інтегральних схемах. При роботі таких схем відбуваються високочастотні зміни рівнів напруги і струмів, що приводить до виникнення в ланцюгах живлення, в ефірі, у близькорозташованої апаратурі і комп'ютерах у мережі і т.п. електромагнітних полів і наведень, що за допомогою спеціальних засобів (умовно назвемо їхній "шпигунськими") можна трансформувати в оброблювану інформацію. Тому, зі зменшенням відстані між приймачем порушника й апаратних засобів імовірність такого роду знімання і розшифровки інформації збільшується, унаслідок чого повинні дотримуватися нормативної відстані і ставитися захисні екрани і фільтри.
SunScreen – апаратна система захисту локальних мереж. SunScreen – це спеціалізована система захисту, що вирішує завдання розвиненої фільтрації пакетів, аутентифікації і забезпечення конфіденційності трафіка. SunScreen не має IP-адреси, тому він «невидимий» із зовнішньої мережі і тому не може бути безпосередньо атакований. Пристрій SunScreen містить п’ять Ethernet-адаптерів, до яких можуть приєднуватися чотири незалежних сегменти локальної мережі і комунікаційний провайдер. Для кожного сегмента забезпечується настройка індивідуальної політики безпеки шляхом встановлення складного набору правил фільтрації пакетів (у напрямі поширення, за адресами відправника / одержувача, за протоколами і додатками, за часом доби і т. д.). Іншою важливою рисою SunScreen є підтримка протоколу SKIP, який, з одного боку, використовується для забезпечення безпеки роботи, управління і конфігурування систем SunScreen, а з іншого – дозволяє організовувати SKIP-захист користувацького трафіка. Використання протоколу SKIP в Screen-системах дає кілька додаткових можливостей. Screen-пристрої можуть інкапсулювати весь зовнішній трафік локальних мереж, які захищаються в SKIP (проводити SKIP-тунелювання). При цьому початкові IP-пакети можуть вміщуватися в блоки даних SKIP-пакетів, а мережеві адреси всіх вузлів внутрішніх мереж можуть бути замінені на певні віртуальні адреси, що відповідають у зовнішній мережі Screen-пристроям (адресна векторизація). В результаті весь трафік між локальними мережами, які захищаються, може виглядати ззовні тільки як повністю шифрований трафік між вузлами Screen-пристроями. Вся інформація, яка може бути в цьому випадку доступна зовнішньому спостерігачеві динаміка і оцінка інтенсивності трафіка, яка, зазначимо, може маскуватися шляхом використання стиснення даних і видачі «пустого» трафіка.
РОЗДІЛ 2. ПРАКТИЧНЕ ЗАВДАННЯ
Скласти опис сайту електронної комерції на обрану тему.
Електроінструменти.
На першій Web-сторінці сайту, у верхній частині, подана контактна інформація: електрона адреса, номер телефону та інша необхідна інформація. У верхньому правому куті розміщена форма для реєстрації.
На головній сторінці розміщена інформація про магазин, як він працює. Способи оплати та доставки.
У середній частині першої сторінки розміщенні також, графічні гіперпосилання на категорії електроінструменту.
З лівого боку сторінки, розміщені гіперпосилання на вид інструменту. Для більшої зручності групуємо їх у категорії:
Електроінструмент;
Акумуляторний інструмент;
Бензоінструмент;
Будівельна техніка;
Пневматична техніка;
Водна техніка;
Силове обладнання;
Розхідні матеріали;
Інші.
З правого боку Web-сторінки, також розміщені гіперпосилання, на них вказані виробники інструменту. Це зроблено для зручнішого пошуку, необхідного інструменту.
Bosch
Makita
Metabo
Husgvanna
Karher
Hitachi
Steinee
Kress
Skil
Натиснувши на гіперпосилання категорії, або виробника, переходимо на наступну сторінку, де з правого боку розміщений перелік (гіперпосилання) інструменту. Вибравши, наприклад категорію електроінструмент, ми бачимо:
Гайковерти;
Дрилі;
Лобзики;
Молотки відбійні;
Перфоратори;
Рубанки.
Натиснувши на інструмент з переліку, ми переходимо на наступну сторінку. Де бачимо перелік інструментів, з вказаною маркою, технічними характеристиками, ціною та зображенням.
Для більш детального ознайомлення, необхідно натиснуту на графічне гіперпосилання інструменту який нас зацікавив. На сторінці яка з’явилась після натиснення на гіперпосилання бачимо: зображення, яке можна збільшити, опис інструменту, технічні характеристики, ціну.
Натиснувши на графічне зображення корзини, на цій або попередній сторінці, ми можемо придбати інструмент.
Для перегляду своїх покупок, можна зайти на сторінку корзина, де розміщенні усі товари які ми вибрали у цей раз.
ВИСНОВКИ
Підводячи підсумок, можна стверджувати, що інформаційна безпека передбачає можливість безперешкодної реалізації суспільством і окремими його членами своїх конституційних прав, пов’язаних з можливістю вільного одержання, створення й розповсюдження інформації. Поняття інформаційної безпеки держави слід також розглядати у контексті забезпечення безпечних умов існування інформаційних технологій, які включають питання захисту інформації, як такої інформаційної інфраструктури держави, інформаційного ринку та створення безпечних умов існування і розвитку інформаційних процесів.
Необхідний рівень інформаційної безпеки забезпечується сукупністю політичних, економічних, організаційних заходів, спрямованих на попередження, виявлення й нейтралізацію тих обставин, факторів і дій, які можуть вчинити збиток чи зашкодити реалізації інформаційних прав, потреб та інтересів країни і її громадян.
Слід зазначити, що поняття „інформаційної безпеки держави” розглядали Бондаренко В.О., Литвиненко О.В., Кормич Б.А., Остроухов В.В., Стрельцов А.А., Расторгуев С.П., Баринов А., Бучило И.Л., але, на наш погляд, інформаційна безпека держави – це стан її інформаційної захищеності, за якої спеціальні інформаційні операції, акти зовнішньої інформаційної агресії та негласного зняття інформації (за допомогою спеціальних технічних засобів), інформаційний тероризм і комп’ютерні злочини не завдають суттєвої шкоди національним інтересам [14].
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ
Закон України " Про інформацію" від 13.01.2011 №2938-VI;
Закон України "Про електронні документи та електронний документообіг" від 22 травня 2003 p. №851-IV;
Закон України "Про цифровий підпис" від 22 травня 2003 p. №852-IV;
Быков ВЛ. Электронный бизнес и безопасность. – М.: Радио и связь, 2000;
Голдовский И. Безопасность платежей в Интернете. – СПб.: Питер, 2001. – 240 с.;
Електронна комерція: Навч. посібник / А.М. Береза, І.А. Козак, Ф.А. Шевченко та ін. – К.: КНЕУ, 2002. – 326 с.;
Задірака В.К., Олексюк О.С. Методи захисту фінансової інформації: Навч. посіб. – Т.: Збруч, 2000. – 460 с.;
Затонацька Т.Г., Плескач В.Л. Електронна комерція. Підручник. – К.: Знання. – 2007. – 535 с.;
Макарова М.В. Електронна комерція: Посіб. – К.: Академія, 2002. – 272 с.;
Обеспечение безопасности коммерческой информации в интернет/интранет-сетях. // http://www.ibdarb.ru/publication/Scorod_paper5.htm