- •Л.М. Лыньков, в.Ф. Голиков, т.В. Борботько основы защиты информации
- •Содержание
- •1.1. Введение в защиту информации
- •1.2. Классификация угроз информационной безопасности
- •1.3. Классификация методов защиты информации
- •1.4. Охраняемые сведения
- •1.5. Демаскирующие признаки
- •1.6. Контрольные вопросы
- •2. Правовые и организационные методы защиты информации
- •2.1. Правовое обеспечение защиты информации
- •2.2. Государственное регулирование в сфере защиты информации
- •2.3. Контрольные вопросы
- •3. Технические каналы утечки информации
- •3.1. Классификация
- •3.2. Акустические каналы утечки информации
- •3.3. Материально-вещественный и визуально-оптический каналы утечки информации
- •3.4. Электромагнитные каналы утечки информации
- •3.5. Утечка информации по цепям заземления
- •3.6. Утечка информации по цепям электропитания
- •3.7. Перехват информации в телефонных каналах связи
- •3.8. Высокочастотное навязывание
- •3.9. Контрольные вопросы
- •4. Пассивные методы защиты информации от утечки по техническим каналам
- •4.1. Экранирование электромагнитных полей
- •4.2. Конструкции экранов электромагнитного излучения
- •4.3. Фильтрация
- •4.4. Заземление технических средств
- •4.5. Звукоизоляция помещений
- •4.6. Контрольные вопросы
- •5. Активные методы защиты информации от утечки по техническим каналам
- •5.1. Акустическая маскировка
- •5.2. Электромагнитная маскировка
- •5.3. Обнаружение закладных устройств
- •5.4. Технические средства обнаружения закладных устройств
- •5.5. Контрольные вопросы
- •6. Инженерно-техническая защита объектов от несанкционированного доступа
- •6.1. Категорирование объектов
- •6.2. Классификация помещений и территории объекта
- •6.3. Инженерные заграждения
- •6.4. Технические средства охраны периметра объекта
- •6.4.1 Радиоволновые и радиолучевые средства обнаружения
- •6.4.2 Оптические средства обнаружения
- •6.4.3 Сейсмические средства обнаружения
- •6.4.4 Магнитометрические средства обнаружения
- •6.5. Охранное телевидение
- •Способы представления визуальной информации оператору
- •6.6. Системы контроля и управления доступом
- •6.6.1 Автономные скуд
- •6.6.2 Сетевые скуд
- •6.7. Управляемые преграждающие устройства
- •6.8. Контрольные вопросы
- •7. Криптографическая защита информации
- •7.1. Основы построения криптосистем
- •7.1.1. Общие принципы криптографической защиты информации
- •7.1.2. Блочные и поточные шифры
- •Поточное шифрование
- •Блочное шифрование
- •Блочное шифрование с обратной связью
- •7.2. Симметричные криптосистемы
- •7.2.1. Основные понятия и определения
- •7.2.2. Традиционные симметричные криптосистемы
- •Шифры перестановок
- •Шифры простой замены
- •Шифры сложной замены
- •Шифрование методом гаммирования
- •7.2.3. Современные симметричные криптосистемы
- •7.3. Стандарт шифрования данных гост 28147-89
- •7.3.1. Режим простой замены Шифрование открытых данных в режиме простой замены
- •Расшифровывание в режиме простой замены
- •7.3.2. Режим гаммирования Зашифровывание открытых данных в режиме гаммирования
- •Расшифровывание в режиме гаммирования
- •7.3.3. Режим гаммирования с обратной связью
- •Шифрование открытых данных в режиме гаммирования с обратной связью
- •Расшифровывание в режиме гаммирования с обратной связью
- •7.3.4. Режим выработки имитовставки
- •7.4. Асимметричные криптосистемы Концепция криптосистемы с открытым ключом
- •7.5. Электронная цифровая подпись
- •7.5.1. Общие сведения
- •Эцп функционально аналогична обычной рукописной подписи и обладает ее основными достоинствами:
- •7.5.2. Однонаправленные хэш-функции
- •7.5.3. Алгоритм электронной цифровой подписи rsa
- •7.5.4. Белорусские стандарты эцп и функции хэширования
- •Обозначения, принятые в стандарте стб‑1176.02‑99
- •Процедура выработки эцп
- •Процедура проверки эцп
- •7.6. Аутентификация пользователей в телекоммуникационных системах
- •7.6.1. Общие сведения
- •7.6.2. Удаленная аутентификация пользователей с использованием пароля
- •7.6.3. Удаленная аутентификация пользователей с использованием механизма запроса-ответа
- •7.6.4. Протоколы идентификации с нулевой передачей знаний
- •Упрощенная схема идентификации с нулевой передачей знаний
- •Параллельная схема идентификации с нулевой передачей знаний
- •7.7. Контрольные вопросы
- •8. Защита информации в автоматизированных системах
- •8.1. Политика безопасности
- •8.1.1. Избирательная политика безопасности
- •8.1.2. Полномочная политика безопасности
- •8.1.3. Управление информационными потоками
- •8.2. Механизмы защиты
- •8.3. Принципы реализации политики безопасности
- •8.4. Защита транзакций в Интернет
- •8.4.1 Классификация типов мошенничества в электронной коммерции
- •8.4.2. Протокол ssl
- •Этап установления ssl-сессии («рукопожатие»)
- •Этап защищенного взаимодействия с установленными криптографическими параметрами ssl-сессии
- •8.4.3. Протокол set
- •6. Банк продавца авторизует данную операцию и посылает подтверждение, подписанное электронным образом, web-серверу продавца.
- •8.5. Атаки в компьютерных сетях
- •8.5.1. Общие сведения об атаках
- •8.5.2. Технология обнаружения атак
- •8.5.3. Методы анализа информации при обнаружении атак Способы обнаружения атак
- •Методы анализа информации
- •8.6. Межсетевые экраны
- •8.6.1. Общие сведения
- •8.6.2. Функции межсетевого экранирования
- •8.6.3. Фильтрация трафика
- •8.6.4. Выполнение функций посредничества
- •8.6.5. Особенности межсетевого экранирования на различных уровнях модели osi
- •8.6.6. Экранирующий маршрутизатор
- •8.6.7. Шлюз сеансового уровня
- •8.6.8. Прикладной шлюз
- •8.7. Контрольные вопросы
- •Литература
- •Основы защиты информации
- •220013, Минск, п. Бровки, 6
8.4.3. Протокол set
Для операций с кредитными карточками используется протокол SET (Secure Electronic Transactions), разработанный совместно компаниями Visa, MasterCard, Netscape и Microsoft.
В отличие от SSL протокол SET узко специализирован. Целью SET является обеспечение необходимого уровня безопасности для платежного механизма, в котором участвует три или более субъектов. При этом предполагается, что транзакция реализуется через Интернет.
На базовом уровне SET осуществляет следующие функции:
Аутентификация. Все участники кредитных операций идентифицируются с помощью электронных подписей. Это касается клиента-покупателя, продавца, банка, выдавшего кредитную карточку, и банка-продавца.
Конфиденциальность. Все операции производятся в зашифрованном виде.
Целостность сообщений. Информация не может быть подвергнута модификации по дороге, в противном случае это будет сразу известно.
Совместимость. Должна быть предусмотрена совместимость с любыми программными продуктами и с любыми сервис-провайдерами.
Независимость от транспортного протокола. Безопасность операций не должна зависеть от уровня безопасности транспортного протокола. Такие гарантии особенно важны, так как протокол SET ориентирован для работы в Интернете.
На более высоком уровне протокол SET поддерживает все возможности, предоставляемые современными кредитными карточками:
– регистрацию держателя карточки;
– регистрацию продавца;
– запрос покупки;
– авторизацию платежа;
– перевод денег;
– кредитные операции;
– возврат денег;
– отмену кредита;
– дебитные операции.
Окончательная версия протокола SET была выпущена в мае 1997 года. Протокол работает с четырьмя субъектами: владельцем кредитной карточки, банком, эту карточку выпустившим (issuer ‑ эмитент), продавцом (merchant) и банком, где помещен счет продавца (acquirer). Помимо этих функциональных субъектов в процессе обычно (опционно) участвуют центры сертификации, в задачу которых входит подтверждение подлинности предъявляемых параметров аутентификации, причем в случае крупных сделок с этими центрами должны взаимодействовать все участники. Основной целью сертификатов является подтверждение того, что присланный общедоступный ключ прибыл от настоящего отправителя.
Схема взаимодействия субъектов при использовании протокола SET показана на рис. 8.6 (взаимодействия с центром сертификации не показаны).
Рис. 8.6. Схема взаимодействия субъектов при использовании протокола SET |
Протокол SET помогает реализовать следующие процедуры.
1. Покупатель инициализирует покупку. При этом покупатель выбирает продавца, просматривает его WEB-сайт, принимает решение о покупке, заполняет бланк заказа. Все это делается до вступления в дело протокола SET. Взаимодействие участников сделки регламентируется протоколом IOTP. SET начинает свою работу, когда покупатель нажимает клавишу оплаты. При этом сервер посылает ЭВМ-покупателя сообщение, которое и запускает соответствующую программу. Процедура эта может быть реализована с помощью PHP- или CGI-скрипта или JAVA-аплета.
2. Программа клиента посылает заказ и информацию об оплате. Для этого формируется два сообщения, одно содержит данные о полной стоимости покупки и номере заказа, второе – номер кредитной карточки покупателя и банковскую информацию. Сообщение о заказе шифруется с использованием симметричного метода (например DES) и вкладывается в цифровой конверт, где используется общедоступный ключ продавца. Сообщение об оплате шифруется с привлечением общедоступного ключа банка (эмитента кредитной карты). В результате продавец не получает доступа к номеру кредитной карточки покупателя. Программа генерирует хэш-дайджест (SHA1) обоих сообщений с использованием секретного ключа покупателя. Это позволяет продавцу и банку проконтролировать целостность сообщения, но препятствует прочтению части, ему не предназначенной (например номера кредитной карты продавцом).
3. Продавец выделяет часть, адресованную банку, и направляет ее по месту назначения. Программа SET WEB-сервера продавца генерирует запрос авторизации серверу банка, где находится счет продавца. При формировании запроса авторизации используется электронная подпись продавца, базирующаяся на его секретном ключе, что позволяет однозначно его идентифицировать. Этот запрос шифруется с помощью ключа сессии и вкладывается в цифровой конверт, где используется общедоступный ключ банка.
4. Банк проверяет действительность кредитной карточки, расшифровывает запрос авторизации продавца и идентифицирует продавца. После этого осуществляется проверка авторизации покупателя. При этом посылается запрос авторизации, снабженный электронной подписью, банку, выпустившему кредитную карточку.
5. Банк, выпустивший карточку, выполняет авторизацию и подписывает чек, если кредитная карточка покупателя в порядке. Отклик, снабженный соответствующей подписью, посылается банку продавца.