Стандарты информационной безопасности для Internet

Обеспечение безопасности информационных технологий актуально для открытых систем коммерческого применения, которые обрабатывают ин­формацию ограниченного доступа, не содержащую государственную тайну. Под открытыми системами понимают совокупности всевозможного вычислительного и телекоммуникационного оборудования разного производства, совместное функционирование которого обеспечивается соответствием требованиям международных стандартов.

В Интернете давно существует целый ряд комитетов, в основном из организаций-добровольцев, которые проводят технологии информационной безопасности работы в сети через процесс стандартизации. Эти комитеты, составляющие основную часть Специальной комиссии интернет-разработок IETF (Internet Engineering Task Force), провели стандартизацию нескольких протоколов, ускоряя их внедрение в Интернете. Непосредственными результатами усилий IETF являются такие протоколы, как семейство TCP/IP для передачи данных, SMTP и POP для электронной почты, а так же SNMP для управления сетью. Также в Интернете популярны протоколы безопасной передачи данных SSL, SET, IPSec.

Протокол SSL (Secure Socket Layer) является популярным сетевым про­токолом с шифрованием данных для безопасной передачи по сети. Он позволяет устанавливать защищенное соединение, производить контроль целостности данных и решать различные сопутствующие задачи. Протокол SSL обеспечивает защиту данных между сервисными протоколами (такими, как HTTP, FTP и др.) и транспортными протоколами (TCP/IP) с помощью современной криптографии.

Протокол IPSec. Спецификация IPSec входит в стандарт IPv6 и является дополнительной по отношению к текущей версии протоколов TCP/IP. Она разработана Рабочей группой IP Security IETF. В настоящее время IPSec включает три алгоритмо-независимых базовых спецификации, представляющих соответствующие RFC-стандарты. Протокол IPSec обеспечивает стандартный способ шифрования трафика на сетевом (третьем) уровне IP и защищает информацию на основе сквозного шифрования, независимо от работающего приложения, при этом шифруется каждый пакет данных, проходящий по каналу.

Протокол SET (Security Electronics Transaction) – стандарт безопасных электронных транзакций в сети Интернет, предназначенный для организации электронной торговли через Интернет. Протокол является стандартом, разработанным компаниями MasterCard и Visa при участии IBM, GlobeSet и других партнеров. Он позволяет покупателям приобретать товары через Интернет, используя защищенный механизм выполнения платежей.

Протокол SET является открытым стандартным многосторонним протоколом для проведения безопасных платежей с использованием пластиковых карт в Интернете. Протокол SET обеспечивает кросс-аутентификацию счета держателя карты, продавца и банка продавца для проверки готовности оплаты, а также целостность и секретность сообщения, шифрование ценных и уязвимых данных. SET позволяет потребителям и продавцам подтвердить подлинность всех участников сделки, происходящей в Интернете, с помощью криптографии, в том числе применяя цифровые сертификаты.

Протокол обеспечивает следующие требования защиты операций электронной коммерции:

¨ секретность данных оплаты и конфиденциальность информации заказа, переданной наряду с данными об оплате;

¨ сохранение целостности данных платежей – целостность информации платежей обеспечивается с помощью цифровой подписи;

¨ специальную криптографию с открытым ключом для проведения аутентификации;

¨ аутентификацию держателя по кредитной карте – она обеспечивается применением цифровой подписи и сертификатов держателя карт;

¨ аутентификацию продавца и его возможности принимать платежи по пластиковым картам с применением цифровой подписи и сертификатов продавца;

¨ аутентификацию того, что банк продавца является действующей организацией, которая может принимать платежи по пластиковым картам через связь с процессинговой карточной системой. Аутентификация банка продавца обеспечивается использованием цифровой подписи и сертификатов банка продавца;

¨ готовность оплаты транзакций в результате аутентификации сертификата с открытым ключом для всех сторон;

¨ безопасность передачи данных посредством преимущественного использования криптографии.

Основное преимущество SET по сравнению со многими существующими системами обеспечения информационной безопасности заключается в использовании цифровых сертификатов, которые ассоциируют держателя карты, продавца и банк продавца с рядом банковских учреждений платежных систем Visa и MasterCard.