ЗАЩИТА ИНФОРМАЦИИ В КОММЕРЧЕСКИХ WEB-ПРИЛОЖЕНИЯХ
© Ахмед Весам М.А.*
Волгоградский государственный технический университет, г. Волгоград
В статье рассмотрены проблемы защиты информации в электронных коммерческих ШеЪ-приложениях, важность обеспечения безопасности и конфиденциальности передаваемых данных. Автором выполнен краткий обзор средств безопасность ШеЪ-приложений.
Ключевые слова: Безопасность информации, коммерческие ШеЪ-приложении, криптография, аутентификация, алгоритмы, протоколы.
В современном мире информация и её обработка играют ключевую роль в управлении и функционировании предприятий. Имея доступ к нужной информации, можно правильно оценить текущую ситуацию, принять своевременные решения. Сегодняшний реалии таковы, что эффективность работы любой компании напрямую зависит от качества и оперативности управления бизнес-процессами.
Новый рынок основан на применении современных информационных технологий и ориентирован на оперативное взаимодействие с потребителем (в режиме он-лайн). В настоящее время электронные торговые операции стали основной частью любого бизнеса. Компании, активно использующие Шегле^технологии, получают преимущества перед конкурентами, прежде всего, благодаря оперативному решению своих задач. Конкуренция вынуждает каждую компанию становиться все более открытой для своего окружения, все более чувствительной к постоянно меняющейся внешней среде. Установить четкие границы для любого бизнеса сегодня практически невозможно - информация выходит за пределы корпорации к ее клиентам, поставщикам и партнерам, за пределы границ различных сетевых сред, за пределы национальных границ с различными правовыми режимами.
Согласно проводимым исследованиям, одной из основных причин медленного роста электронной коммерции является озабоченность покупателей надежностью средств, применяемых при выполнении платежей в Интернете с использованием кредитных карт и электронных платежных систем. Основные причины обеспокоенности связаны со следующими факторами:
1. Отсутствие гарантии конфиденциальности - кто-либо может перехватить передаваемые данные и попытаться извлечь ценную информацию, например данные о кредитных картах или что-нибудь секретное. Это может произойти как во время передачи информа-
* Аспирант кафедры «Системы автоматизированного проектирования и поискового конструирования».
ции, так и непосредственно после совершения покупки с торговых Web-сайтов.
2. Недостаточный уровень проверки (аутентификации) участников операции - пользователь или покупатель, посещая электронный магазин, не уверен, что представленная на нем компания именно та, за кого она себя выдает, а у продавца нет возможности проверить, что покупатель, сделавший заказ или покупавший цифровые товары, является законным обладателем какой-либо платежной системы.
3. Нет гарантии целостности данных - даже если отправитель данных может быть идентифицирован, то, возможно, третья сторона изменит данные во время их передачи.
Поэтому проблема безопасности электронного коммерческого Web-приложения имеет сегодня огромное значение. Повышение уровеня безопасности при создании этих систем является главной и важной целью. Для достижения этой цели необходимо более детально изучить протоколов и алгоритмов защиты информации, которые должны обеспечивать:
- Конфиденциальность информации обо всех происходящих процессах.
- Гарантию целостности передаваемых данных
- Аутентификацию предъявителя информация.
- Гарантированное использование лучших конструктивных решений и методов защиты для обеспечения наивысшей степени защиты всех легальных участников электронных коммерческих транзакций.
- Независимость протокола от механизмов защиты транспортировки данных при отсутствии каких-либо ограничений на использование таких механизмов.
Процессы обеспечения безопасности электронной коммерции можно реализовать разными методами на основании известныех алгоритмов и протоколов.
Криптография
Криптографические механизмы широко используются для осуществления аутентификации в современных сетях. Существует два базовых вида криптографии «симметричная и асимметричная». Одной из фундаментальных проблем для криптографии является транспортировка секретных ключей. Для этой цели может использоваться и квантовая криптография [1, 2].
Использование криптографии защищает данные от просмотра или изменения, а также создает защищенные каналы связи. Например, данные могут быть зашифрованы с помощью некоторого криптографического алгоритма, переданы в зашифрованном виде, а затем расшифрованы лицом, которому они предназначались. Если зашифрованные данные будут перехвачены третьим лицом, расшифровать их будет трудно.
В типичной ситуации, когда используется криптография, две стороны (А и Б) осуществляют связь по незащищенному каналу. А и Б хотят быть
166
ПЕРСПЕКТИВЫ РАЗВИТИЯ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
уверены, что передаваемые ими данные не могут быть прочитаны даже в случае возможного перехвата. Более того, поскольку А и Б находятся в удаленных друг от друга местах, А должен быть уверен, что информация, которую он получает от Б, не подвергается изменению во время передачи. Также он должен быть уверен, что получаемые им данные действительно исходят от Б, а не от кого-то, выдающего себя за Б [3].
Алгоритмы с закрытым ключом
При шифровании с закрытым ключом для шифровки и дешифровки данных используется один закрытый ключ [3]. Необходимо обезопасить этот ключ от несанкционированного доступа, потому что любое обладающее им лицо может использовать его для расшифровки данных. Шифрование с закрытым ключом называют также симметричным шифрованием, так как для шифровки и дешифровки используется один и тот же ключ. Алгоритмы шифрования с закрытым ключом являются очень быстрыми (по сравнению с алгоритмами шифрования с открытым ключом) и хорошо подходят для осуществления криптографических преобразований больших массивов информации.
Обычно алгоритмы шифрования с закрытым ключом, называемые блочными шифрами, используются для шифрования целого блока данных за один раз. Блочные шифры (такие как RC2, DES, TrippleDES и Rijndael) преобразуют входной блок данных длиной в n байтов в выходной блок зашифрованных данных. Если необходимо зашифровать или расшифровать последовательность байтов, вам следует делать это блок за блоком. Поскольку n достаточно мало (n = 8 байт для RC2, DES и TripleDES; n = 16, 24 или 32 байта для Rijndael), данные большей длины, чем n, должны шифроваться, один блок за раз. Блоки данных размером менее n байт должны быть увеличены до n байт перед обработкой [3].
Алгоритмы с открытым ключом
При шифровании с открытым ключом используются закрытый ключ, который должен храниться в секрете от неправомочных пользователей, а также открытый ключ, который может предоставляться свободно. Открытый и закрытый ключи математически взаимосвязаны. данные, зашифрованные с помощью открытого ключа, можно расшифровать исключительно с помощью соответствующего закрытого ключа, а цифровая подпись данных, подписанных с помощью закрытого ключа, может быть проверена только с помощью соответствующего открытого ключа. Открытый ключ может быть предоставлен любому лицу. Этот ключ используется для шифрования данных, которые должны быть отправлены хранителю закрытого ключа. Оба ключа являются уникальными для сеанса связи. Алгоритмы шифрования с открытым ключом
также известны как асимметричные алгоритмы, потому что для шифрования данных требуется один ключ, а для дешифрования - другой ключ [3].
Алгоритмы электронной цифровой подписи
Технология применения системы электронной цифровой подписи (ЭЦП) предполагает наличие сети абонентов, посылающих друг другу подписанные электронные документы. Для каждого абонента генерируется пара ключей: секретный и открытый [4]. Секретный ключ хранится абонентом в тайне и используется им для формирования ЭЦП. Открытый ключ известен всем другим пользователям и предназначен для проверки ЭЦП получателем подписанного электронного документа. Иначе говоря, открытый ключ является необходимым инструментом, позволяющим проверить подлинность электронного документа и автора подписи. Открытый ключ не позволяет вычислить секретный ключ.
Для генерации пары ключей (секретного и открытого) в алгоритмах ЭЦП используются разные математические схемы, основанные на применении однонаправленных функций. Эти схемы разделяются на две группы. В основе такого разделения лежат известные сложные вычислительные задачи:
- задача факторизации (разложения на множители) больших целых чисел;
- задача дискретного логарифмирования.
Первой и наиболее известной во всем мире конкретной системой ЭЦП стала система RSA, математическая схема которой была разработана в 1977 г. В Массачуссетском технологическом институте США.
Более надежный и удобный для реализации на персональных компьютерах ЭЦП алгоритм был разработан в 1984 г. американцем арабского происхождения Тахером Эль Гамалем и получил название El Gamal Signature Algorithm (EGSA) [5].
Алгоритм цифровой подписи DSA (Digital Signature Algorithm) предложен в 1991 г. в НИСТ США для использования в стандарте цифровой подписи DSS (Digital Signature Standard). Алгоритм DSA является развитием алгоритмов цифровой подписи Эль Гамаля и К.Шнорра[5].
Протоколы
Существуют много протоколов, которые используются для защиты информации и для безопасности Web-приложений, но самый известный и широко используемый из этих протоколов «Протокол SSL» [б].
SSL (Secure Sockets Layer) - универсальный протокол, являющийся в настоящее время де-факто стандартом для решения проблемы безопасности для Web технологий был разработан компанией Netscape Communications, Inc. Протокол SSL используется наиболее распространенными программными продуктами для World-Wide-Web (в том числе браузерами Netscape и Microsoft Explorer) для работы в защищенном режиме HTTPS (HTTP Secure).
168
ПЕРСПЕКТИВЫ РАЗВИТИЯ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
Протокол SSL позволяет решить следующие задачи:
- Обеспечить сокрытие передаваемой информации.
- Обеспечить целостность этой информации, т.е. защиту от модификации.
- Обеспечить аутентификацию сервера, т.е доказательство того, что сервер является именно тем, за кого он себя выдает.
- Обеспечить аутентификацию клиентов при доступе к серверу.
Список литературы:
1. Needham R., and M. Schroeder. Using Encryption for Аутентификация in Large Networks of Computers // Communications of the ACM. - 1978. - Vol. 21, No. 12, December.
2. Needham, R., and M. Schroeder. Аутентификация Revisited // ACM Operating Systems Review. - 1987. - Vol. 21, No. 1.
3. MSDN Library Службы криптографии [Электронный ресурс]. - Режим доступа https://msdn.microsoft.com/ru-ru/library/92f9ye3s(v=vs.110).aspx.
4. Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. - М.: Радио и связь, 2001. - 376 с.
5. Конеев И.Р., Беляев А.В. Информационная безопасность предприятия. - СПб.: БХВ-Петербург, 2003.
6. Протокол SSL безопасный уровень соединителей [Электронный ресурс]. - Режим доступа: http://book.itep.ru/6/ssl_65.htm.
ИНТЕЛЛЕКТУАЛЬНЫЕ СИСТЕМЫ УПРАВЛЕНИЯ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
© Заводцев И.В.*, Гайнов А.Е.*, Ржевский Д.А.*
Краснодарское высшее военное училище, г. Краснодар
Обработка регистрационных данных, генерируемых событиями информационной безопасности, в современных информационно-телекоммуникационных сетях и информационных системах без применения специализированных систем невозможна. В статье раскрывается структура системы управления инцидентами информационной безопасности, в основу которой положены методы имитации интеллектуальной
* Доцент кафедры Защиты информации в автоматизированных системах, кандидат технических наук, доцент.
* Соискатель. " Соискатель.