Стандарты информационной безопасности для Internet
Обеспечение безопасности информационных технологий актуально для открытых систем коммерческого применения, которые обрабатывают информацию ограниченного доступа, не содержащую государственную тайну. Под открытыми системами понимают совокупности всевозможного вычислительного и телекоммуникационного оборудования разного производства, совместное функционирование которого обеспечивается соответствием требованиям международных стандартов.
В Интернете давно существует целый ряд комитетов, в основном из организаций-добровольцев, которые проводят технологии информационной безопасности работы в сети через процесс стандартизации. Эти комитеты, составляющие основную часть Специальной комиссии интернет-разработок IETF (Internet Engineering Task Force), провели стандартизацию нескольких протоколов, ускоряя их внедрение в Интернете. Непосредственными результатами усилий IETF являются такие протоколы, как семейство TCP/IP для передачи данных, SMTP и POP для электронной почты, а так же SNMP для управления сетью. Также в Интернете популярны протоколы безопасной передачи данных SSL, SET, IPSec.
Протокол SSL (Secure Socket Layer) является популярным сетевым протоколом с шифрованием данных для безопасной передачи по сети. Он позволяет устанавливать защищенное соединение, производить контроль целостности данных и решать различные сопутствующие задачи. Протокол SSL обеспечивает защиту данных между сервисными протоколами (такими, как HTTP, FTP и др.) и транспортными протоколами (TCP/IP) с помощью современной криптографии.
Протокол IPSec. Спецификация IPSec входит в стандарт IPv6 и является дополнительной по отношению к текущей версии протоколов TCP/IP. Она разработана Рабочей группой IP Security IETF. В настоящее время IPSec включает три алгоритмо-независимых базовых спецификации, представляющих соответствующие RFC-стандарты. Протокол IPSec обеспечивает стандартный способ шифрования трафика на сетевом (третьем) уровне IP и защищает информацию на основе сквозного шифрования, независимо от работающего приложения, при этом шифруется каждый пакет данных, проходящий по каналу.
Протокол SET (Security Electronics Transaction) – стандарт безопасных электронных транзакций в сети Интернет, предназначенный для организации электронной торговли через Интернет. Протокол является стандартом, разработанным компаниями MasterCard и Visa при участии IBM, GlobeSet и других партнеров. Он позволяет покупателям приобретать товары через Интернет, используя защищенный механизм выполнения платежей.
Протокол SET является открытым стандартным многосторонним протоколом для проведения безопасных платежей с использованием пластиковых карт в Интернете. Протокол SET обеспечивает кросс-аутентификацию счета держателя карты, продавца и банка продавца для проверки готовности оплаты, а также целостность и секретность сообщения, шифрование ценных и уязвимых данных. SET позволяет потребителям и продавцам подтвердить подлинность всех участников сделки, происходящей в Интернете, с помощью криптографии, в том числе применяя цифровые сертификаты.
Протокол обеспечивает следующие требования защиты операций электронной коммерции:
¨ секретность данных оплаты и конфиденциальность информации заказа, переданной наряду с данными об оплате;
¨ сохранение целостности данных платежей – целостность информации платежей обеспечивается с помощью цифровой подписи;
¨ специальную криптографию с открытым ключом для проведения аутентификации;
¨ аутентификацию держателя по кредитной карте – она обеспечивается применением цифровой подписи и сертификатов держателя карт;
¨ аутентификацию продавца и его возможности принимать платежи по пластиковым картам с применением цифровой подписи и сертификатов продавца;
¨ аутентификацию того, что банк продавца является действующей организацией, которая может принимать платежи по пластиковым картам через связь с процессинговой карточной системой. Аутентификация банка продавца обеспечивается использованием цифровой подписи и сертификатов банка продавца;
¨ готовность оплаты транзакций в результате аутентификации сертификата с открытым ключом для всех сторон;
¨ безопасность передачи данных посредством преимущественного использования криптографии.
Основное преимущество SET по сравнению со многими существующими системами обеспечения информационной безопасности заключается в использовании цифровых сертификатов, которые ассоциируют держателя карты, продавца и банк продавца с рядом банковских учреждений платежных систем Visa и MasterCard.