Отправляет email-рассылки с помощью сервиса Sendsay

Безопасность в Интернет

Рассылка закрыта

Вы можете найти рассылки сходной тематики в Каталоге рассылок.

  Октябрь 2000  
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
31.10.2000
10:05:39
11:05:56
Автор Гость

Статистика

9.910 подписчиков
за неделю
  Все выпуски  

Безопасность в Интернет


Служба Рассылок Subscribe.Ru проекта Citycat.Ru
Безопасность в Интернет #12 октябрь 2000

Друзья!

Cегодня я предлагаю вашему вниманию статью по безопасности финансовых транзакций через Internet из популярного журнала по сетевым технологиям Data Communications. Она будет интересна не только специалистам, занятым в банковском секторе, которые судя по статистике моей рассылки составляют немалую долю подписчиков, но и всем интересующимся электронной коммерцией.

Пользуясь случаем, я хотел бы сообщить, что 18 и 19 октября в ЦДХ на Крымском валу будет проходить выставка "Управление-2000", где корпорация "Стинс Коман" на стенде своих партнеров, компании "Интертраст" будет представлять свое решение по обеспечению безопасного доступа в Internet -- Stins Firewall Solution. Приглашаю всех желающих пообщаться со специалистами "Стинс Коман" и со мной лично. Компании, заинтересованные в решении проблем защиты информации могут связаться со мной по тел. 231-3040 или e-mail: andboc@mail.ru и получить бесплатные приглашения на выставку.

Безопасность финансовых транзакций через Internet

Развитие электронной коммерции с использованием Internet сталкивается с серьезной проблемой обеспечения безопасности финансовых транзакций. Каждая компания, особенно крупная, решает эту проблему по-своему, в силу понимания ее важности и имеющихся возможностей. Однако существуют общие принципы и способы обеспечения информационной безопасности, которыми следует руководствоваться при осуществлении финансовых транзакций

НАСТУПЛЕНИЕ БИЗНЕСА НА INTERNET

Долгое время Internet был свободным от коммерческого использования российскими торгово-промышленными организациями и кредитно-финансовыми учреждениями. Однако последние всегда рассматривали его как одно из возможных и перспективных средств извлечения дополнительной прибыли и решения растущих задач коммуникаций друг с другом и клиентами. В то же время, Internet пугает многих потенциальных пользователей слабой защищенностью сервисов от злоумышленников. Открытость и доступность, являясь несомненным достоинством Internet, имеет и обратную сторону. Коммерческие и кредитно-финансовые учреждения опасаются, и порой не без оснований, что при использовании Internet злоумышленники получат доступ к конфиденциальной коммерческой и финансовой информации. Однако эти опасения в большинстве случаев сильно преувеличены. В настоящее время существует широкий набор современных эффективных программных и аппаратных средств, обеспечивающих требуемую информационную безопасность при использовании Internet в коммерческих целях. К ним относятся: системы аутентификации, межсетевые экраны, криптографическое шифрование информации, применение электронной цифровой подписи и др.

Сегодня средства информационной безопасности таковы, что если даже злоумышленник, используя Internet, проникнет в корпоративную сеть коммерческого или кредитно-финансового учреждения, пройдет процедуру идентификации и аутентификации, а сделать это в ряде случаев достаточно легко, то получить необходимую информацию, расшифровать ее, модифицировать или ввести ложные сведения за приемлемое время практически невозможно. Другое дело, если злоумышленник входит в состав персонала коммерческого или кредитно-финансового учреждения. В этом случае указанные средства информационной безопасности вряд ли помогут. Кстати, статистика говорит, что 80% случаев нарушения информационной безопасности происходит именно по вине или при участии персонала корпоративных вычислительных сетей. Для защиты информации от персонала используются специальные программно-аппаратные средства и организационные мероприятия, осуществляемые службами безопасности коммерческих и кредитно-финансовых учреждений.

СЕРВИСЫ INTERNET ДЛЯ КОММЕРЧЕСКОГО ИСПОЛЬЗОВАНИЯ

Многие коммерческие и кредитно-финансовые учреждения активно и эффективно используют сервисы Internet в своем бизнесе. Наиболее часто используются четыре сервиса Internet: электронная почта, электронный обмен данными, информационные транзакции и финансовые транзакции. (Иногда эти сервисы объединяют понятием электронная коммерция, что, по нашему мнению, не вполне правильно).

Электронная почта является важнейшим сервисом Internet, используемым большинством коммерческих и кредитно-финансовых учреждений. Она заменила обычную почту при обмене сообщениями между учреждениями и с их клиентами, которая традиционно использовала записи на бумаге, помещенные в конверт. Эти конверты обеспечивают конфиденциальность между отправителем и получателем, и, кроме того, в случае целостности бумаги конверта, обеспечивают получателя высокой степенью уверенности в том, что послание не было подменено.

Использование электронной почты не обеспечивает этих гарантий. Адреса электронной почты в Internet легко подделать. Практически нельзя сказать наверняка, кто написал и послал электронное письмо только на основе его адреса. Электронные письма могут быть легко модифицированы.

Стандартное SMTP-письмо не содержит средств проверки целостности. В Internet имеется ряд мест, где содержимое письма может быть прочитано теми, кому оно не предназначено. Электронное письмо скорее похоже на открытку, а не на конверт -- его могут прочитать на каждом промежуточном узле Internet. Обычно Internet не предоставляет гарантий доставки электронного письма. Хотя некоторые почтовые системы дают возможность получить сообщение о доставке, часто такие уведомления означают лишь то, что почтовый сервер получателя (а не обязательно сам пользователь) получил сообщение.

Эти уязвимые места электронной почты требуют при ее использовании в коммерческих целях других мер обеспечения информационной безопасности. К счастью, существуют средства, такие, как шифрование, цифровая подпись и коды аутентификации сообщений, которые помогают решить проблемы и обеспечить гарантии информационной безопасности электронной почты. Для этих целей может, например, использоваться защищенная электронная почта по стандарту Х.400.

Электронный обмен данными используется для обмена сообщениями между коммерческими и кредитно-финансовыми учреждениями и с их клиентами. Электронный обмен данными в большинстве случаев представляет собой совокупность транзакций в стандартах Х.9 и UN/EDIFACT, соответствующих какому-либо документу, например, платежному поручению или поручению депо. Использование электронного обмена данными позволило существенно сократить время прохождения финансовых документов и уменьшить затраты на контакты с партнерами и клиентами. Однако, Internet не обеспечивает необходимой информационной безопасности (целостности, конфиденциальности, контроля участников), требуемых для электронного обмена данными. Как и электронная почта, транзакции электронного обмена данными уязвимы для модификации, компрометации или уничтожения при передаче через Internet. Использование криптографии для обеспечения требуемых сервисов безопасности изменило положение, и многие коммерческие и кредитно-финансовые учреждения применяют электронный обмен данными в Internet.

Информационные транзакции являются одним из необходимых атрибутов деятельности коммерческих и кредитно-финансовых учреждений. По оценкам J.P.Morgan, распределение информационных ресурсов в Internet, свидетельствует, что финансовая и коммерческая информация составляет большую часть информационных ресурсов сети.

Как правило, для информационных транзакций используются средства World Wide Web (WWW) Internet. Именно на WWW-сайтах коммерческие и кредитно-финансовые учреждения размещают корпоративные сведения, информацию об услугах, ценах, статистические данные, курсы валют и акций, другую информацию. Пользователи Internet могут искать и получать данную информацию обычно без каких-либо дополнительных затрат. К информационным транзакциям предъявляются требования безопасности, целостности, доступности и достоверности предоставляемой информации.

Финансовые транзакции применяются для перевода денежных средств со счета на счет между банками, списания с расчетных счетов клиентов при использовании кредитных карт или электронных денег, оформление сделок купли-продажи акций, выполнение клиринговых, дилинговых и других финансовых операций

.

Продолжение статьи в завтрашнем выпуске

Новости от "Монитора"

03.10.00 09:55 (Москва) Cisco представляет новую стратегию безопасности
Москва, 3 октября (Монитор). Стратегию безопасности для архитектуры Cisco AVVID, получившую название SAFE представила компания Cisco Systems. Как сообщается в пресс-релизе компании, эта стратегия позволит организациям работать в сфере электронного бизнеса с высокой степенью надежности, эффективности и безопасности. Теперь Cisco AVVID (архитектура Cisco для голоса, видео и интегрированных данных) включает масштабируемые и высокопроизводительные услуги в области безопасности для всей инфраструктуры электронного бизнеса, что позволяет компаниям проектировать и внедрять интеллектуальные сети с механизмами самозащиты. Программа SAFE исходит из модульного принципа построения системы безопасности корпоративной сети. При этом проектирование, внедрение и управление средствами безопасности проводится в полном соответствии с требованиями заказчика. При разработке каждого модуля SAFE, Cisco ориентируется на нескольких базовых критериев, включая учет потенциальных угроз и средств реагирования, устойчивость, производительность, масштабируемость, безопасность управления, качество услуг и поддержку голосовой связи. Каждый модуль определяет, где и почему нужно использовать основные продукты безопасности Cisco (межсетевой экран Cisco Secure PIX Firewall, набор свойств Cisco IOS Firewall Feature Set, системы обнаружения атак Cisco Secure Intrusion Detection Systems (IDS) концентраторы виртуальных частных сетей Cisco VPN Concentrators и т.д.). Модульная структура SAFE предоставляет заказчикам максимальную гибкость, позволяя устанавливать те модули, которые в наибольшей степени отвечают конкретным потребностям бизнеса.

Кроме этого, SAFE позволяет заказчикам поэтапно разворачивать защищенные инфраструктуры Cisco AVVID в полном соответствии с текущими деловыми потребностями. В результате организации получают возможность пользоваться старыми системами безопасности и разумно расходовать финансовые средства на создание новых систем безопасности электронного бизнеса. Помимо SAFE, Cisco представила несколько новых продуктов для обнаружения атак - Cisco Secure Intrusion Detection System, а также две новые опции по управлению системами безопасности для сетевых администраторов. Среди анонсированного: модуль Catalyst 6000 IDS, решение IDS с полным набором функций, предназначенное для обнаружения хакерских атак в коммутируемой среде; Cisco Secure IDS 4210, устройство IDS с поддержкой технологии plug-and-play, предназначенное для крупных, малых и средних предприятий; средство управления правилами безопасности Cisco Secure Policy Manager (CSPM) версия 2.2 расширяет возможности IDS, распространяя их на масштабируемую систему управления правилами высокого уровня. Теперь заказчики могут управлять своими системами IDS с той же консоли, с которой они управляют межсетевыми экранами Cisco и маршрутизаторами виртуальных частных сетей (VPN).

Ваши отклики - andboc@mail.ru
AS/400 Stins FireWall Solution
http://subscribe.ru/
E-mail: ask@subscribe.ru
В избранное