Методи захисту

Одним із поширених методів захисту інформації є її криптографічний захист, тобто шифрування. Найважливіші критерії, за якими оцінюють системи шифрування, визначені К.Шенноном ще у 1945 р. таким чином:

Шифрування даних може здійснюватися в режимах On-Line (у темпі надходження інформації) і Off-Line (автономному). Найбільш поширені два алгоритми шифрування: DES (симетричний алгоритм), та RSA(асиметричним). Ці алгоритми покладені в основу електронного цифрового підпису.

В асиметричнихалгоритмах шифруваннявикористовуються різні ключі при шифруванні і дешифруванні, а у симетричних - один. Користувачі асиметричних алгоритмів шифрування мають два ключі і можуть вільно поширювати свій відкритий ключ. Відкритий ключвикористовується для шифрування повідомлення користувачем, але тільки визначений одержувач може дешифрувати його своїм секретним ключем; відкритий ключ не придатний для дешифрування. Це робить непотрібними секретні угоди про передачу ключів між кореспондентами.

Електронний цифровий підпис є електронним еквівалентом власноручного підпису. Він використовується не тільки для аутентифікації відправника повідомлення, але й для перевірки цілісності повідомлення. При використанні цифрового підпису для аутентифікації відправника повідомлення застосовуються відкритий і закритий ключі. Процедура схожа на здійснювану в асиметричному шифруванні, але в цьому випадку закритий ключ служить для шифрування, а відкритий – для дешифрування. Алгоритм застосування електронного цифрового підпису складається з ряду операцій:

• генерується пара ключів: відкритий і закритий;

• відкритий ключ передається зацікавленій стороні (одержувачеві документів, підписаних стороною, яка сгенерувала ключі);

• відправник повідомлення шифрує його своїм закритим ключем і передає одержувачеві по каналах зв'язку;

• одержувач дешифрує повідомлення відкритим ключем відправника.

Суть у тім, що створити зашифроване повідомлення, при розшифровці якого відкритим ключем виходить вихідний текст, може тільки власник закритого ключа, тобто відправник повідомлення. Використовувати для цього відкритий ключ неможливо.

Засіб електронного підпису – це програмне чи/і апаратне забезпечення, призначене для генерації пари ключів (закритого і відкритого) і автоматизованого їх застосування при шифруванні чи дешифруванні електронного підпису. Значна частина державних законодавчих актів, що стосуються електронного підпису, електронної комерції та електронного документообігу, присвячена механізму посвідчення особи власника відкритого ключа. Це механізм заснований на тому, що вводиться (призначається) додаткова сторона що засвідчує належність відкритого ключа конкретній юридичній чи фізичній особі. Це може бути державний орган чи організація, що уповноважена державою для ведення даної діяльності. В межах підприємства це може бути доручено особі, призначеній керівником. Особа, що створила собі пари ключів за допомогою електронного підпису, повинна звернутись в орган, уповноважений виконувати сертифікацію (Центр сертифікації при СБУ, де виконується офіційне затвердження та створення електронного підпису). Всі розвинені країни світу мають відповідну законодавчу базу стосовно електронного підпису. Україна поки що відстає в цьому напрямку. В міжнародному бізнесі діє модельний закон, розроблений Комісією ООН з міжнародного торгівельного права. Цей закон діє з 1995 року. Цифровий сертифікат – це інформація, яка включається до публічного ключа певної особи і допомагає іншим пересвідчитись, що цей ключ має силу і є справжнім. Існують довідкові сервери (сертифікаційні) де можна отримати сертифікат і отримати довідку.

Разом з електронним цифровим підписом звичайно застосовуються хеш-функції. Вони служать для того, щоб крім аутентифікації відправника, яка забезпечується електронним цифровим підписом, гарантувати, що повідомлення не має перекручувань (забезпечити цілісність даних), і одержувач одержав саме те повідомлення, що підписав і відправив йому відправник. Хеш-функція- це процедура обробки повідомлення, в результаті дії якої формується рядок символів (дайджест повідомлення) фіксованого розміру. Найменші зміни в тексті повідомлення приводять до зміни дайджесту при обробці повідомлення хеш-функцією. Таким чином, будь-які зміни, внесені в текст повідомлення, відіб'ються на дайджесті.

Дайджест повідомлення– це унікальна послідовність символів, що однозначно відповідає змісту повідомлення, і має фіксований розмір 128 чи 168 біт). Джайдест вводиться до складу електронного підпису з відомостями про автора і шифрується разом з ним. Дайджест повідомлення нерідко називають відбитком, за аналогією з відбитками пальців. Він є унікальним для кожного документа. Його також називають електронною печаткою або штампом. Приймаюча сторона розшифровує повідомлення, перевіряє електронний підпис за допомогою своєї половини ключа, а потім обробляє повідомлення. Експерти по комп’ютерній безпеці не рекомендують застосовувати криптографічний ключ довжиною менше 128 біт, оскільки за допомогою кількох ПК такій шифр можна за короткій термін часу розкрити.

а стенографія. При стенографії найчастіше використовуються цифрові водяні знаки, які заносяться спеціальними програмними засобами.

В комунікаційних системах використовуються наступні засоби мереженого захисту інформації:

- Мережеві екрани – для блокування атак з зовнішнього середовища. Вони керують проходженням мереженого трафіку відповідно правилам захисту, їх встановлюють на вході в мережу і розділяють внутрішні та зовнішні мережі.

- Системи виявлення вторгнень – для виявлення спроб несанкціонованого доступу як ззовні, так і в середині мережі, захисту від атак типу «відома в обслуговуванні».

- Засоби створення віртуальних приватних мереж, для організації захищених каналів передачі даних через незахищене середовище. Вони забезпечують прозоре для користувача сполучення локальних мереж, зберігаючи при цьому цілісність інформації і конфедеційність.

- Засоби аналізу захищеності – для аналізу захищеності корпоративної мережі та виявлення можливих каналів реалізації загроз, дозволяє попередити можливі атаки, оптимізувати витрати на захист.

Одним з методів захисту інформації – маскування ( захист інформації шляхом криптографічного закриття), цей метод широко використовується для захисту економічної інформації при передачі по каналах зв’язку великої протяжності. Ще один метод – регламентація(захист, що створює умови опрацювання інформації за регламентом). Примус – наступний метод захисту, коли персонал організації змушений дотримуватись певних правил опрацювання передачі і використання інформації з банка даних.

Президент Буш підписав наказ згідно до якого американський уряд розробив створення підрозділу, який буде проводити кібер-атаки на закордонні комп’ютерні системи, розробляти кібер-озброєння, вторгатись на телеконференції, розривати електронні зв’язки, вимикати радари тощо.

На сьогодні розроблені нові типи паролів так звані графічні паролі. Ця ідея висунута більше 10 років тому. Пароль включає в себе послідовність клацання мишкою по конкретній точці на конкретному графічному зображенні.

Ще одна проблема захисту інформації в мережі це зміна дати в документах при їх отриманні чи відправленні. Якщо дату змінити можна порушити роботу всієї системи документообігу на підприємстві. Дату легко змінити засобами ОС. Для вирішення цієї проблеми існує так званий шлях сертифікації дати. За участю третьої незалежної організації (це може бути сервер авторитетної організації).

НБУ і СБУ розглядають ідею про створення спеціальної організації, що супроводжуватиме всі угоди, які укладатимуться через Internet. Ця структура здійснюватиме сертифікацію учасників Internet-торгівлі, забезпечуватиме безпеку кожної угоди, що укладається на території України. У 2006 році був прийнятий закон про державну службу по захисту інформації.

ІТ необхідний сьогодні елемент для виявлення схем незаконних доходів, хабарництва, тероризму, шахрайства, наркобізнесу, схем легалізації коштів тощо.

В країнах Європи ще в 90-х роках розроблені нормативні акти, що стосуються регулювання відносин в Internet і ведення бізнесу через Internet. В них визначаються основний принцип Internet-індустрії – саморегуляція. В той же час чітко визначено відповідальність перед законом за протиправні дії. Європейський комітет з проблем злочинності Ради Європи підготував рекомендації з метою визначення правопорушень, пов’язаних з комп’ютерами для включення їх у законодавства європейських країн. Україні необхідно прийняти рішення, що до гармонізації законодавства України із законодавством Європейського союзу. Крім того, Україні необхідно ввести статті стосовно регулювання сучасних інформаційних відносин до Кодексу про адміністративні правопорушення та Цивільного кодексу, що має посилити правове забезпечення безпеки ІС, а також відповідальних посадових осіб, які забезпечують експлуатацію ІС. Без відповідного законодавства в нашій країні не можливо повноцінний розвиток інформаційних технологій і електронного бізнесу, а відповідно інтеграція України до світової цифрової економіки. В розвинених країнах світу Internet все більше і більше попадає під контроль з боку державних органів влади, а провайдери зобов’язані повідомляти уряд про протиправні дії, які виникають в мережі.

Відповідно до законодавства ЄС терміни електронного цифрового підпису і сертифікації в Закони України не відповідають термінам вдосконалений електронний підпис і безпечний механізм створення підпису, кваліфікований сертифікат. Таким чином, законодавчо термін надійністі/безпеки засобів створення підпису в Україні і ЄС розуміється по різному. Також багато зауважень з боку ЄС щодо функцій та вимог до діяльності регулюючих органів, визначених в Законі України «Про ЕЦП». Отже, можна зазначити що, прийняті у сфері електронної комерції Закон «Про ЕЦП» не діє, або ж електронна комерція в Україні обмежується виключно по причині ЕЦП, який не відповідає вимогам ЄС. Реалізація електронного підпису вимагає значних інвестицій, а хибність Закону може привести до неефективного витрачання коштів. Також може привести до електронного документообігу, який стоїть осторонь від Європейської та світової спільноти. Очевидно, що через певний час все одно доведеться ламати структуру, але витративши чималі ресурси спочатку на підтримку недієздатного законодавства, а потім на провадження кардинальних змін багатьох законів та підзаконних актів, що зможуть забезпечити розвиток економіки та бізнесу в Україні

Центри сертифікації. Протоколи

Сертифікати існують для підтвердження того факту, що даний відкритий ключ належить конкретній особі і нікому іншому. Це необхідно для запобігання спроб шахрайства. Сертифікати видаються спеціальними компаніями (Центрами Сертифікації) і підписуються електронним цифровим підписом цих компаній. Будь-хто бажаючий може ознайомитися з сертифікатом, виданим Центром Сертифікації, і переконатися, що даний відкритий ключ належить саме тій особі, що у ньому зазначене. Компанія, що є Центром Сертифікації, повинна мати високий авторитет, оскільки користувачі повинні їй довіряти. Для отримання сертифікату зацікавленій особі необхідно звернутися до Центру Сертифікації та надати необхідну інформацію про себе. Центр Сертифікації здійснить перевірку цієї інформації і, у випадку її правильності, видасть сертифікат. Це платна послуга і кожний Центр Сертифікації встановлює свої ціни. Як правило, сертифікат видається на рік з можливістю продовження після оплати чергового внеску. Особи, що володіють серт фікатами, можуть укладати між собою угоди через Internet, підписуючи документи електронним цифровим підписом і не побоюючись відмови один одного від зобов'язань по угоді. Найбільш відомими Центрами Сертифікації є компанії VeriSign (www.verisign.com) і Thawte (www.thawte.com).

Одним з найважливіших питань в області захисту є питання стандартів Стандарт на захист трансакцій (Internet-транзакцій) – SET але є і інші (SSL, SSH, S-HTTP, тощо).

Протокол SSL (Secure Socket Layer) (секюре сокет лейє) використовується для захисту даних при передачі їх через Internet. Цей протокол базується на комбінації алгоритмів асиметричного та симетричного шифрування. Протокол може працювати в трьох режимах:

- при взаємній аутентифікації сторін;

- при аутентифікації сервера і анонімності клієнта;

- при взаємній анонімності сторін.

Технологія SET (Secure Electronic Transactions) була розроблену 1996 році компаніями MasterCard International і Visa International. SET передбачає використання цифрових сертифікатів всіма учасниками угоди, що дозволяє проводити їх однозначну взаємну аутентифікацію. Технологія SET спрямована на організацію максимально захищених транзакцій. В основі процедур захисту інформації SET лежать технології RSA і DES, що забезпечує високий рівень безпеки. У загальному випадку алгоритм взаємодії учасників угоди за технологією SET виглядає таким чином:

· перш ніж почати роботу з використанням SET всі учасники угоди одержують цифрові сертифікати у відповідної організації, чим встановлюється однозначна відповідність між учасником і його електронним цифровим підписом;

· відвідавши сайт продавця, покупець оформлює замовлення і вказує спосіб оплати задопомогою кредитної карти;

· покупець і продавець "демонструють" один одному свої сертифікати;

· продавець ініціює перевірку платіжною системою наданої клієнтом інформації; платіжна система передає продавцеві результати перевірки;

· при позитивних результатах перевірки за запитом продавця відбувається перерахування грошей.

Читайте також:

<== попередня сторінка	\|	наступна сторінка ==>
Стандарти захисту інформації	\|	Internet- торгівля , бізнес- портали, аукціон, Internet-банкінг

Не знайшли потрібну інформацію? Скористайтесь пошуком google:

Генерація сторінки за: 0.006 сек.