Глава 7. Телекоммуникационныетехнологии в экономических информационных системах

ГЛАВА 7. ТЕЛЕКОММУНИКАЦИОННЫЕТЕХНОЛОГИИ В ЭКОНОМИЧЕСКИХ ИНФОРМАЦИОННЫХ СИСТЕМАХ

 

7.1. Основные принципы построение сети интернет. 3

7.1.1. История создания сети интернет. 4

7.1.2. Роль документации в развитии интернета. 9

7.1.3. Организационная структура интернета. 10

7.1.4. Современная структура интернета. 10

7.2. Основные протокоы сети интернет. 12

7.2.1. Адресация в сети интернет. 13

7.2.2. Протокол ip. 14

7.2.3. Протокол тср/ip. 14

7.2.4. Порты и соединения. 15

7.2.5. Система доменных имен dns. 15

7.3. Электронная почта. 16

7.3.1. Адрес электронной почты.. 17

7.3.2. Формат сообщения электронной почты.. 17

7.4. Система world wide web. 25

7.4.1. Принципы работы сервера и клиента. 29

7.4.2. Универсальный адрес ресурса. 32

7.4.3. Язык разметки гипертекста (html) 34

7.4.4. Протокол передачи гипертекста (http) 35

7.4.5. Поиск информации в интернете. 36

7.5. Перспективные технологии на основе интернета. 42

7.5.1. Ip-телефония. 42

7.6. Электронная коммерция. 43

7.6.1. Общие сведения об электронной коммерции. 44

7.6.2. Электронный рынок и роль информацияя в элктронном бизнесе. 45

7.6.3. Системы электронных латежей. 46

7.6.4. Электронные платежные средства. 46

7.7. Защита информации в интернете. 47

7.7.1. Принципы защиты информации. 48

7.7.2. Криптография. 49

7.7.3. Электронная подпись. 51

7.7.4. Аутентификация. 52

7.7.5. Защита сетей. 53

7.8. Телекоммуникационные взаимодействия коммерческого банка. 55

7.9. Электронное денежное обращение на основе банковских карточек. 59

7.10. Телекоммуникационные взаимодействия клиента и банка. 77

Процессы взаимодействия вычислительных средств достаточно быстро переросли рамки отдельных фирм и организаций. Тенденции к интеграции и глобализации в современном мире получили адекватное отражение и в сфере компьютерных технологий. Совокупности вычислительных машин, объединенных коммуникационной средой, охватывающей значительные по расстоянию территории, получили название глобальных компьютерных сетей. За последние два-три десятилетия все виды организационного, аппаратного и программного обеспечения этих сетей бурно развивались и претерпели массу метаморфоз. Среди сетей, получивших общемировую известность, могут быть названы SPRINT, некоммерческая компьютерная сеть FIDO, международная система расчетов S.W.I.F.T. Однако самой примечательной тенденцией в последние годы стало выделение из всего сообщества компьютерных сетей сети Интернет в качестве явного лидера как по размерам, так и по темпам прироста функциональных возможностей. Вопросы, связанные с возникновением, развитием, организацией и экономическими приложениями данной сети, рассматриваются в настоящей главе.

 

ОСНОВНЫЕ ПРИНЦИПЫ ПОСТРОЕНИЕ СЕТИ ИНТЕРНЕТ

 

Интернет - это глобальная информационная инфраструктура. Интернет является и механизмом распространения данных, и средой взаимодействия между пользователями и компьютерами вне зависимости от их географического положения.

Интернет представляет собой один из наиболее удачных примеров долгосрочных инвестиций в исследование и развитие информационных технологий. Первоначально целью создания Интернета являлось объединение компьютерных сетей различных типов. В настоящее время влияние Интернета распространяется не только на области, связанные с использованием компьютеров и телекоммуникаций, но и на общество в целом.

Строго говоря, определение "охватывающей значительные по расстоянию территории" с учетом современного состояния глобальных сетей нуждается и уточнении, что и будет сделано в ходе последующего изложения. В процессе создания сети Интернет были разработаны технические принципы функционирования и объединения компьютерных сетей, решена проблема управления глобальными информационными структурами, использованы новые принципы совместной работы над проектами и управления информационными потоками. И совсем недавно все это было очень успешно применено для ведения бизнеса.

 

АДРЕСАЦИЯ В СЕТИ ИНТЕРНЕТ

 

Каждый компьютер, включенный в сеть Интернет, имеет уникальный IP-адрес, на основании которого протокол IP передает пакеты в сети. IP-адрес состоит из четырех байтов и записывается в виде четырех десятичных чисел, разделенных точками, например:

194.85.120.66

IP-адрес состоит из двух логических частей: номера сети и номера узла в сети. Если сеть, в которую включен компьютер пользователя, является частью Интернета, то номер сети выдает специальное подразделение Интернета - InterNIC (Internet Network Information Center) или его представители. Номер узла определяет администратор сети.

В зависимости от того, какое количество байтов в IP-адресе выделяется для номера сети и номера узла, выделяют несколько классов IP-адресов.

Если номер сети занимает один байт, а номер узла три байта, то такой адрес относится к классу А. Количество узлов в сети класса А может достигать 224, или 16 777 216. Номер сети класса А меняется в диапазоне от 1.0.0.0 до 126.0.0.0. Если под номер сети и номер узла отводится по два байта, то адрес принадлежит к классу В. Количество возможных узлов в сети класса В составляет 216, или 65536 узлов. Номер сети класса В меняется от 128.0.0.0 до 191.255.0.0.

Если под номер сети отводится три байта, то адрес принадлежит к классу С. Количество узлов в сети класса С ограничено 28, или 256. Номер сети меняется от 192.0.1.0 до 223.255.255.0.

Например, в IP-адресе 194.85.120.66, 0.0.0.66 - это номер узла в сети класса С с номером 194.85.120.0.

Существует несколько специальных IP-адресов. Так, например, адрес 127.0.0.1 определяет локальную машину пользователя и используется для тестирования различных программ. При этом данные по сети не передаются.

ПРОТОКОЛ IP

 

Протокол IP представляет собой основу протоколов TCP/IP. Протокол IP относится к типу протоколов без установления соединения, то есть - никакой управляющей информации кроме той, что содержится в самом IP-пакете, по сети не передается. Кроме того, протокол IP не гарантирует надежной доставки сообщений.

Поток данных протокол IP разбивает на определенные части - дейтаграммы и рассматривает каждую дейтаграмму как независимую единицу, не имеющую связи с другими дейтаграммами. Дейтаграмма - общее название единицы данных, которыми оперируют протоколы без установления соединения. Основной задачей протокола IP является передача дейтаграмм между сетями. Часто дейтаграммы, передаваемые с помощью протокола IP, называют IP-пакетами.

 

ПРОТОКОЛ ТСР/IP

 

Так как протокол IP не гарантирует надежную доставку сообщений, эту задачу решает протокол TCP. В отличие от протокола IP, протокол TCP устанавливает логическое соединение между взаимодействующими процессами. Перед передачей данных посылается запрос на начало сеанса передачи, получателем посылается подтверждение.

Надежность протокола TCP заключается в том, что источник данных повторяет их посылку в том случае, если не получит в определенный промежуток времени от адресата подтверждения их успешного получения. Части, на которые протокол TCP разбивает поток данных, принято называть сегментами. Каждый сегмент предваряется заголовком. В заголовке сегмента существует поле контрольной суммы. Если при пересылке данные повреждены, то по контрольной сумме протокол TCP может это определить. Поврежденный сегмент уничтожается, а источнику ничего не посылается. Если данные не были повреждены, то они пропускаются на сборку сообщения приложения, а источнику отправляется подтверждение.

Для транспортировки сегментов протокол TCP использует протокол IP. Перед отправкой протокол TCP помещает сегменты в оболочку IP-пакета.

 

ПОРТЫ И СОЕДИНЕНИЯ

 

Задача протокола TCP заключается в передаче данных между любыми прикладными процессами, выполняющимися на компьютерах в сети. На каждом компьютере может выполняться одновременно несколько процессов. Для того чтобы доставить сообщение определенному процессу, необходимо каким-то образом идентифицировать его среди других. Идентификатор процесса носит название номера порта. Номер порта и IP-адрес компьютера однозначно определяют процесс, работающий в сети. Набор этих параметров называется сокет.

За некоторыми процессами номера портов закреплены. Так, например, порт 21 закреплен за службой удаленного доступа к файлам FTP, порт 23 - за службой удаленного управления telnet.

Для организации надежной передачи данных предусматривается установление логического соединения между прикладными процессами, которое определяется парой сокетов взаимодействующих процессов. В процессе соединения осуществляется подтверждение правильности приема сообщений и при необходимости выполняется повторная передача.

 

СИСТЕМА ДОМЕННЫХ ИМЕН DNS

 

Человеку крайне неудобно использовать числовые IP-адреса, поэтому логичным представляется создание механизма, позволяющего ставить в соответствие IP-адресам символьные имена. В сети Интернет для этой цели используется система доменных имен (DNS), которая имеет иерархическую структуру. Младшая часть доменного имени соответствует конечному узлу сети. Составные части отделяются друг от друга точкой. Например, mail.econ.pu.ru. У одного узла может быть несколько имен.

Совокупность имен, у которых несколько старших частей доменного имени совпадают, называется доменом. Например, имена mail.econ.pu.ru и www.econ.pu.ru принадлежат домену econ.pu.ru.

Самым главным является корневой домен. Далее следуют домены первого, второго и третьего уровней. Корневой домен управляется InterNIC. Домены первого уровня назначаются для каждой страны, при этом принято использовать трехбуквенные и двухбуквенные аббревиатуры. Так, например, для России домен первого уровня - ru, для США - us. Кроме того, несколько имен доменов первого уровня закреплено для различных типов организаций:

com - коммерческие организации (например, ibm.com);

edu - образовательные организации (например, spb.edu);

gov - правительственные организации (например, loc.gov);

org - некоммерческие организации (например, w3.org);

net - организации, поддерживающие сети (например, ripn.net);

Для каждого имени домена создается свой DNS-сервер, который хранит базу данных соответствий IP-адресов и доменных имен, расположенных в данном домене, а также содержит ссылки на DNS-серверы доменов нижнего уровня. Таким образом, для того чтобы получить адрес компьютера по его доменному имени, приложению достаточно обратиться к DNS-серверу корневого домена, а тот, в свою очередь, перешлет запрос DNS-серверу домена нижнего уровня. Благодаря такой организации системы доменных имен нагрузка по разрешению имен равномерно распределяется среди DNS-серверов.

 

ЭЛЕКТРОННАЯ ПОЧТА

 

Система электронной почты позволяет доставить сообщение на любой компьютер, включенный в сеть Интернет. Сообщение может содержать текст или файл практически любого формата - графику, музыку и т. д.

Все пользователи электронной почты имеют уникальные адреса. Адрес пользователя зарегистрирован в определенном домене Интернета. С каждым доменом связан почтовый сервер, управляющий адресами пользователей.

Пользователь набирает текст письма в специальной программе, которая называется почтовым клиентом. Эта программа, в зависимости от возможностей, позволяет создавать и редактировать новые письма, обрабатывать пришедшие, хранить и систематизировать переписку и т. д.
Почтовый клиент помещает письмо в "почтовый ящик" пользователя, расположенный на почтовом сервере. Сервер, в свою очередь, передает письмо на почтовый сервер адресата.

 

АДРЕС ЭЛЕКТРОННОЙ ПОЧТЫ

 

В Интернете принята система адресов, которая базируется на доменном адресе машины, подключенной к сети. Адрес пользователя состоит из двух частей, разделенных символом "@": Например: [email protected]

В данном случае Jones - это имя пользователя. A Registry, org - адрес, доменное имя почтового сервера.

 

СИСТЕМА WORLD WIDE WEB

 

В 1989 году гипертекст представлял новую многообещающую технологию, которая имела относительно большое число реализаций, с одной стороны, а с другой стороны, делались попытки построить формальные модели гипертекстовых систем, которые носили скорее описательный характер и были навеяны успехом реляционного подхода описания данных. Идея создания системы WWW заключалась в том, чтобы применить гипертекстовую модель к информационным ресурсам, распределенным в сети, и сделать это максимально простым способом. Он заложил три краеугольных камня системы из четырех существующих ныне, разработав:

· язык гипертекстовой разметки документов HTML (HyperText Markup Language);

· универсальный способ адресации ресурсов в сети URL (Universal Resource Locator);

· протокол обмена гипертекстовой информацией HTTP (HyperText Transfer Protocol).

Позже команда NCSA добавила к этим трем компонентам четвертый: универсальный интерфейс шлюзов CGI (Common Gateway Interface).

Язык программирования Java не включается в этот список намеренно, так как область применения этого языка гораздо шире, чем простое "оживление" World Wide Web.

Идея HTML - пример чрезвычайно удачного решения проблемы построения гипертекстовой системы при помощи специального средства управления отображением. На разработку языка гипертекстовой разметки существенное влияние оказали два фактора: исследования в области интерфейсов гипертекстовых систем и желание обеспечить простой и быстрый способ создания гипертекстовой базы данных, распределенной в сети.

В 1989 году активно обсуждалась проблема интерфейса гипертекстовых систем, то есть способов отображения гипертекстовой информации и навигации в гипертекстовой сети. Значение гипертекстовой технологии сравнивали со значением книгопечатания. Утверждалось, что лист бумаги и компьютерные средства отображения/воспроизведения серьезно отличаются друг от друга, и поэтому форма представления информации тоже должна отличаться. Наиболее эффективной формой организации гипертекста были признаны контекстные гипертекстовые ссылки, а кроме того, было признано деление на ссылки, ассоциированные со всем документом в целом и с отдельными его частями.
Обычно гипертекстовые системы имеют специальные программные средства построения гипертекстовых связей. Сами гипертекстовые ссылки хранятся в специальных форматах или даже составляют специальные файлы. Такой подход хорош для локальной системы, но не для распределенной на множестве различных компьютерных платформ. В HTML гипертекстовые ссылки встроены в тело документа и хранятся как его часть. Часто в системах применяют специальные форматы хранения данных для повышения эффективности доступа. В WWW-документах это обычные ASCII-файлы, которые можно подготовить в любом текстовом редакторе. Таким образом, проблема создания гипертекстовой базы данных была решена чрезвычайно просто.

 

Рис. 7.1. Финансовые индикаторы и новости финансового рынка на сервере информационного агентства Bloomberg

 

С момента разработки первой версии языка (HTML 1.0) прошло уже пять лет. За это время произошло довольно серьезное развитие языка. Почти вдвое увеличилось число элементов разметки, оформление документов все больше приближается к оформлению качественных печатных изданий, развиваются средства описания нетекстовых информационных ресурсов и способы взаимодействия с прикладным программным обеспечением. Совершенствуется механизм разработки типовых стилей. Фактически, в настоящее время HTML развивается в сторону создания стандартного языка разработки интерфейсов как локальных, так и распределенных систем. Вторым краеугольным камнем WWW стала универсальная форма адресации информационных ресурсов (Universal Resource Identification, URI), представляющая собой довольно стройную систему, учитывающую опыт адресации и идентификации E-mail, Gopher, WAIS, Telnet, FTP и т. п. Но реально из всего, что описано в URI, для организации баз данных в WWW требуется только Universal Resource Locator (URL). Без наличия этой спецификации вся мощь HTML оказалась бы бесполезной. URL используется в гипертекстовых ссылках и обеспечивает доступ к распределенным ресурсам сети. В URL можно адресовать как другие гипертекстовые документы формата HTML, так и ресурсы E-mail, Telnet, FTP, Gopher, WAIS. Различные программы различным образом осуществляют доступ к этим ресурсам. Следует отметить, что программы обработки электронной почты в формате MIME также имеют возможность отображать документы, представленные в формате HTML. Для этой цели в MIME зарезервирован тип text/html.

Третьим в нашем списке стоит протокол обмена данными в World Wide Web - HTTP (HyperText Transfer Protocol). Данный протокол предназначен для обмена гипертекстовыми документами и учитывает специфику такого обмена. Так, в процессе взаимодействия клиент может получить новый адрес ресурса сети, запросить встроенную графику, принять и передать параметры и т. п. Управление в HTTP реализовано в виде ASCII-команд. Реально разработчик гипертекстовой базы данных сталкивается с элементами протокола только при использовании внешних программ или при доступе к внешним относительно WWW информационным ресурсам, например базам данных.

Последняя составляющая технологии WWW - это спецификация CGI (Common Gateway Interface). CGI была специально разработана для расширения возможностей WWW за счет подключения внешнего программного обеспечения. Эта технология соответствовала принципам простоты разработки, доступности и наращивания возможностей WWW. Предложенный и описанный в CGI способ подключения не требовал дополнительных библиотек и буквально ошеломлял своей простотой. Сервер взаимодействовал с программами через стандартные потоки ввода/вывода, что упрощает программирование до предела. При реализации CGI чрезвычайно важное место заняли методы доступа, описанные в HTTP. И хотя реально используются только два из них (GET и POST), опыт развития HTML показывает, что сообщество WWW ждет развития и CGI по мере усложнения задач, в которых будет использоваться WWW-технология.

 

УНИВЕРСАЛЬНЫЙ АДРЕС РЕСУРСА

 

Для того чтобы получить информацию из Интернета, необходимо знать адрес, по которому она расположена. Универсальный адрес ресурса (URL) - это адрес в системе World Wide Web, с помощью которого однозначно определяется любой документ. В общем случае универсальный адрес ресурса имеет следующий формат:

протокол://компьютер/путь

Протокол является набором правил, согласно которому должна происходить передача данных. Основным протоколом в системе World Wide Web является протокол HTTP - протокол передачи гипертекста, поэтому большая часть адресов начинается следующим образом:
http://

Тем не менее, могут быть использованы и другие протоколы передачи данных, например протокол передачи файлов - FTP или протокол передачи данных в формате Gopher. Тогда на первое место в универсальном адресе ресурса ставится название используемого протокола. Например:

ftp://

или

gopher://

Компьютер - это адрес сервера, с которым необходимо установить соединение. Может использоваться как IP-адрес, так и имя сервера в доменной системе имен. Например:

http://www.econ.pu.ru

ИЛИ

ftp://194.85.120.66

Адреса большей части серверов в системе World Wide Web начинаются с префикса www. Этот префикс используется просто как удобное обозначение того, что на данном компьютере запущен Web-сервер.
Путь представляет собой точное указание месторасположения документа на Web-сервере. Это может быть название директории и файла, как в следующем примере:

http://www.econ.pu.ru/info/history/jubilee.htm

Если ввести в строке "адрес" броузера данный адрес, броузер установит связь с компьютером www.econ.pu.ru по протоколу HTTP и запросит у него документ с названием jubilee.htm из каталога/info/history.

Последняя часть универсального адреса ресурса может включать дополнительную информацию, которую обычно используют для того, чтобы передать Web-серверу параметры запроса пользователя в интерактивных страницах, а также путь и имя той программы на сервере, которая этот запрос будет обрабатывать. Например:

http://www.econ. pu. ru/sf/cgi - bin/main. bat?object=teachers&id=1

Получив такой запрос, Web-сервер попытается найти программу main.bat в каталоге /sf/cgi-bin/, запустить ее и передать ей параметры object и id с соответствующими значениями.

В современных версиях броузеров нет необходимости указывать имя протокола в начале каждого адреса ресурса. Если имя протокола не указано, то броузер попытается самостоятельно определить, какой протокол необходимо использовать.

Если не указано имя файла, а только каталог, в котором он должен находиться, то пользователю будет передан файл, который администратор Web-сервера определил как файл, передаваемый по умолчанию. Обычно таковым является файл с названием index.htm (index.html) или default.htm (default.html). Если в каталоге нет файла по умолчанию, то будет выдано сообщение об ошибке.

Для указания документов на одном и том же сервере в HTML-документах часто используется сокращенное обозначение, называемое относительным адресом. Перед отправкой запроса на Web-сервер броузер преобразует относительный адрес в полный. Например, если документ по адресу http://www.econ.pu.ru/info/index.htm содержит ссылку на документ history/jublilee.htm, то броузер преобразует эту ссылку в http://www.econ.pu.ru/info/history/jubilee.htm.

 

IP-ТЕЛЕФОНИЯ

 

Под IP-телефонией понимается технология, позволяющая использовать Интернет или любую другую IP-сеть в качестве средства организации и ведения телефонных разговоров и передачи факсов в режиме реального времени. Существует техническая возможность оцифровать звук или факсимильное сообщение и переслать его аналогично тому, как пересылаются цифровые данные. И в этом смысле IP-телефония использует Интернет (или любую другую IP-сеть) для пересылки голосовых или факсимильных сообщений между двумя пользователями компьютера в режиме реального времени.

Общий принцип действия телефонных серверов IP-телефонии таков: с одной стороны, сервер связан с телефонными линиями и может соединиться с любым телефоном мира. С другой стороны, сервер связан с Интернетом и может связаться с любым компьютером в мире. Сервер принимает стандартный телефонный сигнал, оцифровывает его (если он исходно не цифровой), значительно сжимает, разбивает на пакеты и отправляет через Интернет по назначению с использованием протокола TCP/IP. Для пакетов, приходящих из Сети на телефонный сервер и уходящих в телефонную линию, операция происходит в обратном порядке. Обе составляющие операции (вход сигнала в телефонную сеть и его выход из телефонной сети) происходят в режиме реального времени.

Для того чтобы осуществить связь с помощью телефонных серверов, организация или оператор услуги должны иметь серверы в тех местах, куда и откуда планируются звонки. Стоимость такой связи на порядок меньше стоимости телефонного звонка по обычным телефонным линиям. Особенно велика эта разница для международных переговоров.

 

ЭЛЕКТРОННАЯ КОММЕРЦИЯ

 

Электронная коммерция подразумевает использование технологий глобальных компьютерных сетей для ведения бизнеса. Благодаря широкому распространению технологии World Wide Web в течение последних лет сеть Интернет из академической сети превратилась в популярную среду для общения, рекламы и бизнеса. Хотя электронная коммерция существовала и ранее, но именно популярность и доступность Интернета сделала возможным широкое использование электронной коммерции.

Электронная коммерция позволяет изменить практически все процессы, происходящие в современном бизнесе, интегрируя их в единое целое. Потребители могут искать, заказывать и оплачивать товары, используя Интернет, обмениваться информацией о товарах и услугах с другими пользователями. Правительственные организации могут использовать Интернет для сбора налоговых деклараций и распространения официальной информации.

 

СИСТЕМЫ ЭЛЕКТРОННЫХ ЛАТЕЖЕЙ

 

Существуют две основные области применения систем электронных платежей - это обмен данными (заказы, счета и др.) и электронный перевод денежных средств, который осуществляется между банками и имеет достаточно большой объем и относительно небольшое количество передаваемых полей, а также долгосрочные связи.

 

ПРИНЦИПЫ ЗАЩИТЫ ИНФОРМАЦИИ

 

Проблемы, возникающие с безопасностью передачи информации при работе в компьютерных сетях, можно разделить на три основных типа:

· перехват информации - целостность информации сохраняется, но ее конфиденциальность нарушена;

· модификация информации - исходное сообщение изменяется либо полностью подменяется другим и отсылается адресату;

· подмена авторства информации. Данная проблема может иметь серьезные последствия. Например, кто-то может послать письмо от вашего имени (этот вид обмана принято называть спуфингом) или Web-сервер может притворяться электронным магазином, принимать заказы, номера кредитных карт, но не высылать никаких товаров.

В соответствии с перечисленными проблемами при обсуждении вопросов безопасности под самим термином "безопасность" подразумевается совокупность трех различных характеристик обеспечивающей безопасность системы:

1. Аутентификация - это процесс распознавания пользователя системы и предоставления ему определенных прав и полномочий. Каждый раз, когда заходит речь о степени или качестве аутентификации, под этим следует понимать степень защищенности системы от посягательств сторонних лиц на эти полномочия.

2. Целостность - состояние данных, при котором они сохраняют свое информационное содержание и однозначность интерпретации в условиях различных воздействий. В частности, в случае передачи данных под целостностью понимается идентичность отправленного и принятого.

3. Секретность - предотвращение несанкционированного доступа к информации. В случае передачи данных под этим термином обычно понимают предотвращение перехвата информации.

 

КРИПТОГРАФИЯ

 

Для обеспечения секретности применяется шифрование, или криптография, позволяющая трансформировать данные в зашифрованную форму, из которой извлечь исходную информацию можно только при наличии ключа.

В основе шифрования лежат два основных понятия: алгоритм и ключ. Алгоритм - это способ закодировать исходный текст, в результате чего получается зашифрованное послание. Зашифрованное послание может быть интерпретировано только с помощью ключа.

Очевидно, чтобы зашифровать послание, достаточно алгоритма. Однако использование ключа при шифровании предоставляет два существенных преимущества. Во-первых, можно использовать один алгоритм с разными ключами для отправки посланий разным адресатам. Во-вторых, если секретность ключа будет нарушена, его можно легко заменить, не меняя при этом алгоритм шифрования. Таким образом, безопасность систем шифрования зависит от секретности используемого ключа, а не от секретности алгоритма шифрования. Многие алгоритмы шифрования являются общедоступными.

Количество возможных ключей для данного алгоритма зависит от числа бит в ключе. Например, 8-битный ключ допускает 256 (28) комбинаций ключей. Чем больше возможных комбинаций ключей, тем труднее подобрать ключ, тем надежнее зашифровано послание. Так, например, если использовать 128-битный ключ, то необходимо будет перебрать 2128 ключей, что в настоящее время не под силу даже самым мощным компьютерам. Важно отметить, что возрастающая производительность техники приводит к уменьшению времени, требующегося для вскрытия ключей, и системам обеспечения безопасности приходится использовать все более длинные ключи, что, в свою очередь, ведет к увеличению затрат на шифрование.

Поскольку столь важное место в системах шифрования уделяется секретности ключа, то основной проблемой подобных систем является генерация и передача ключа. Существуют две основные схемы шифрования: симметричное шифрование (его также иногда называют традиционным или шифрованием с секретным ключом) и шифрование с открытым ключом (иногда этот тип шифрования называют асимметричным).

При симметричном шифровании отправитель и получатель владеют одним и тем же ключом (секретным), с помощью которого они могут зашифровывать и расшифровывать данные. При симметричном шифровании используются ключи небольшой длины, поэтому можно быстро шифровать большие объемы данных. Симметричное шифрование используется, например, некоторыми банками в сетях банкоматов. Однако симметричное шифрование обладает несколькими недостатками. Во-первых, очень сложно найти безопасный механизм, при помощи которого отправитель и получатель смогут тайно от других выбрать ключ. Возникает проблема безопасного распространения секретных ключей. Во-вторых, для каждого адресата необходимо хранить отдельный секретный ключ. В третьих, в схеме симметричного шифрования невозможно гарантировать личность отправителя, поскольку два пользователя владеют одним ключом.

В схеме шифрования с открытым ключом для шифрования послания используются два различных ключа. При помощи одного из них послание зашифровывается, а при помощи второго - расшифровывается. Таким образом, требуемой безопасности можно добиться, сделав первый ключ общедоступным (открытым), а второй ключ хранить только у получателя (закрытый, личный ключ). В таком случае любой пользователь может зашифровать послание при помощи открытого ключа, но расшифровать послание способен только обладатель личного ключа. При этом нет необходимости заботиться о безопасности передачи открытого ключа, а для того чтобы пользователи могли обмениваться секретными сообщениями, достаточно наличия у них открытых ключей друг друга.

Недостатком асимметричного шифрования является необходимость использования более длинных, чем при симметричном шифровании, ключей для обеспечения эквивалентного уровня безопасности, что сказывается на вычислительных ресурсах, требуемых для организации процесса шифрования.

 

ЭЛЕКТРОННАЯ ПОДПИСЬ

 

Даже если послание, безопасность которого мы хотим обеспечить, должным образом зашифровано, все равно остается возможность модификации исходного сообщения или подмены этого сообщения другим. Одним из путей решения этой проблемы является передача пользователем получателю краткого представления передаваемого сообщения. Подобное краткое представление называют контрольной суммой, или дайджестом сообщения.

Контрольные суммы используются при создании резюме фиксированной длины для представления длинных сообщений. Алгоритмы расчета контрольных сумм разработаны так, чтобы они были по возможности уникальны для каждого сообщения. Таким образом, устраняется возможность подмены одного сообщения другим с сохранением того же самого значения контрольной суммы.

Однако при использовании контрольных сумм возникает проблема передачи их получателю. Одним из возможных путей ее решения является включение контрольной суммы в так называемую электронную подпись.

При помощи электронной подписи получатель может убедиться в том, что полученное им сообщение послано не сторонним лицом, а имеющим определенные права отправителем. Электронные подписи создаются шифрованием контрольной суммы и дополнительной информации при помощи личного ключа отправителя. Таким образом, кто угодно может расшифровать подпись, используя открытый ключ, но корректно создать подпись может только владелец личного ключа. Для защиты от перехвата и повторного использования подпись включает в себя уникальное число - порядковый номер.

 

АУТЕНТИФИКАЦИЯ

 

Аутентификация является одним из самых важных компонентов организации защиты информации в сети. Прежде чем пользователю будет предоставлено право получить тот или иной ресурс, необходимо убедиться, что он действительно тот, за кого себя выдает.

При получении запроса на использование ресурса от имени какого-либо пользователя сервер, предоставляющий данный ресурс, передает управление серверу аутентификации. После получения положительного ответа сервера аутентификации пользователю предоставляется запрашиваемый ресурс.

При аутентификации используется, как правило, принцип, получивший название "что он знает", - пользователь знает некоторое секретное слово, которое он посылает серверу аутентификации в ответ на его запрос. Одной из схем аутентификации является использование стандартных паролей. Эта схема является наиболее уязвимой с точки зрения безопасности - пароль может быть перехвачен и использован другим лицом. Чаще всего используются схемы с применением одноразовых паролей. Даже будучи перехваченным, этот пароль будет бесполезен при следующей регистрации, а получить следующий пароль из предыдущего является крайне трудной задачей. Для генерации одноразовых паролей используются как программные, так и аппаратные генераторы, представляющие собой устройства, вставляемые в слот компьютера. Знание секретного слова необходимо пользователю для приведения этого устройства в действие. Одной из наиболее простых систем, не требующих дополнительных затрат на оборудование, но в то же время обеспечивающих хороший уровень защиты, является S/Key, на примере которой можно продемонстрировать порядок представления одноразовых паролей.

В процессе аутентификации с использованием S/Key участвуют две стороны - клиент и сервер. При регистрации в системе, использующей схему аутентификации S/Key, сервер присылает на клиентскую машину приглашение, содержащее зерно, передаваемое по сети в открытом виде, текущее значение счетчика итераций и запрос на ввод одноразового пароля, который должен соответствовать текущему значению счетчика итерации. Получив ответ, сервер проверяет его и передает управление серверу требуемого пользователем сервиса.

 

ЗАЩИТА СЕТЕЙ

 

В последнее время корпоративные сети все чаще включаются в Интернет или даже используют его в качестве своей основы. Учитывая то, какой урон может принести незаконное вторжение в корпоративную сеть, необходимо выработать методы защиты. Для защиты корпоративных информационных сетей используются брандмауэры. Брандмауэр - это система или комбинация систем, позволяющие разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов из одной части в другую. Как правило, эта граница проводится между локальной сетью предприятия и Интернетом, хотя ее можно провести и внутри. Однако защищать отдельные компьютеры невыгодно, поэтому обычно защищают всю сеть.

Брандмауэр пропускает через себя весь трафик и для каждого проходящего пакета принимает решение - пропускать его или отбросить. Для того чтобы брандмауэр мог принимать эти решения, для него определяется набор правил.

Брандмауэр может быть реализован как аппаратными средствами (то есть как отдельное физическое устройство), так и в виде специальной программы, запущенной на компьютере.

Как правило, в операционную систему, под управлением которой работает брандмауэр, вносятся изменения, цель которых - повышение защиты самого брандмауэра. Эти изменения затрагивают как ядро ОС, так и соответствующие файлы конфигурации. На самом брандмауэре не разрешается иметь разделов пользователей, а, следовательно, и потенциальных дыр - только раздел администратора. Некоторые брандмауэры работают только в однопользовательском режиме, а многие имеют систему проверки целостности программных кодов.

Брандмауэр обычно состоит из нескольких различных компонентов, включая фильтры или экраны, которые блокируют передачу части трафика. Все брандмауэры можно разделить на два типа:

пакетные фильтры, которые осуществляют фильтрацию IP-пакетов средствами фильтрующих маршрутизаторов;

серверы прикладного уровня, которые блокируют доступ к определенным сервисам в сети. Таким образом, брандмауэр можно определить как набор компонентов или систему, котора