Обеспечение безопасности бизнеса

Обеспечение безопасности и неприкосновенности информации при ее движении между организациями всегда создает проблемы, тем более это относится к Интернету. Вспомним, что рост пользователей Интернета происходит неконтролируемым образом, подключиться к нему может каждый человек почти в любой стране. Для этого нужно всего лишь иметь ПК, модем, сетевой адрес и связь с сервером Интернета. Подобно вопросу, сколько замков навесить на дверь вашей квартиры, уровень безопасности зависит от того, как используется система и существует ли прямая связь между Интернетом и информационной системой вашего предприятия (такие же проблемы безопасности возникают в любой МОС).

Каждый, кто рассматривает вопрос об использовании электронной коммерции через Интернет, должен учитывать, что любой человек в мире может «постучать в дверь». В таблице 1.4.1 обобщаются характеристики безопасности, необходимые для электронной коммерции. Особенно нуждаются в защите от нежелательных вторжений внутренние корпоративные сети. В этих целях используются электронные барьеры, регулирующие потоки информации между внутренними и внешними сетями. Компании обычно выделяют один или несколько компьютеров, используемых, с одной стороны, в качестве серверов Интернета (или МОС), а с другой — представляющих собой барьеры против нежелательных вторжений в свои внутренние системы. В некоторых случаях, когда требуется высокая степень безопасности, компании устанавливают физические барьеры, сквозь которые невозможна электронная связь между серверами Интернета и внутренними информационными системами компаний.

Таблица 1.4.1

Проблемы безопасности МОС

Кроме использования специальных барьеров и паспортов можно «просеивать» потенциальных пользователей и гарантировать, что только те из них, кто внесен в утвержденный список, могут получить доступ к информации. Конечно, это требует дополнительных расходов и в какой-то степени противоречит духу электронной коммерции, но в то же время дает свои выгоды.

В некоторых ситуациях компания может потребовать подтверждения от клиен­тов, что они действительно те, за кого себя выдают. Одно из возможных решений этой проблемы заключается в использовании специального оборудования и программного обеспечения для идентификации. «Законный» пользователь может связаться со специальным сервером, который проконтролирует его кредитную карточку. Когда такой пользователь пытается выйти на другой сервер компании, он получает случайное пятизначное число для идентификации, которое вводит в механизм контроля и получает другое пятизначное число и затем отвечает этим числом как отзывом на пароль. Если система удовлетворена ответом, доступ к серверу открывается.

Другая проблема электронной коммерции состоит в защите конфиденциальной информации, доступ к которой можно получить, несмотря на все барьеры и паспорта. Озабоченность вызывают и электронные финансовые сделки: одни предприятия используют цифровые подписи и тайные ключи для идентификации данных о сделках, другие требуют, чтобы информация о кредитных картах была подтверждена по телефону, третьи создают барьеры. Разработка вариантов защиты продолжается.

< В компании PrivaSys разрабатывается смарт-карта с мини-клавиатурой и ЖК-дисплеем, хранящая информацию о всех кредитных и дебитных картах владельца. Карта имеет обычные размеры и совместима со стандартными считывающими устройствами и банкоматами. Для каждой операции купли-продажи после указания pin-кода генерируется уникальный идентификационный номер, по которому затем можно будет получить сведения о карте и ее владельце. Дополнительная защита обеспечивается за счет фотографии владельца, хранимой картой и выводимой на дисплей каждый раз при совершении покупки. Карта также поддерживает возможность приема текстовых сообщений о специальных предложениях и скидках[20].

< Электронные ключи будут реагировать на отпечатки пальцев. 13 марта на выставке CeBIT’2002 компания Rainbow eSecurity, дочернее подразделение фирмы Rainbow Technologies (www.rtcs.ru), представила широкой публике электронный ключ iKey 3000 — продукт, разрабо­танный совместно с компанией Giesecke & Devient (G&D). USB-ключ iKey 3000 содержит чип с прошивкой, полностью отвечающей стандарту ITSEC (Information Technology Security Evaluation Criteria), применяемому в с большинстве стран Европы.

В iKey 3000 используется двухфакторный метод аутентификации (знание PIN-кода плюс нали­чие ключа) для усиления системы безопасности ОС Windows 2000, систем на основе инфра­структуры открытого ключа (PKI) и ряда других приложений. 32 Кб энергонезависимой памяти устройства обеспечивают защищенное хранение сразу нескольких цифровых сертификатов стандарта Х.509 и ключей PGP. Все операции с закрытым ключом по аутентификации и цифровой подписи производятся внутренним процессором, функционирующим под управлением ОС STARCOS, разработанной G&D и сертифицированной по стандарту ITSEC E4.

Массовые поставки iKey 3000 намечаются на II квартал 2002 г. Цены на новый продукт будут зависеть как от количества заказанных экземпляров, так и от конкретной области их применения.

Кроме того, Rainbow и G&D продемонстрировали на выставке CeBIT концептуальную модель нового продукта, названного SuperToken. Это устройство сочетает хорошо зарекомендовавшую себя двухфакторную аутентификацию, присущую всем представителям семейства iKey, с биометрическим сканированием отпечатков пальцев. Герольд Гербер (Нагald Gerber), начальник отдела стратегического планирования G&D, утверждает, что прототип уже проходит испытания и обещает быть таким же легким в использовании, как и все семейство iKey[21].

Электронная коммерция создает множество новых проблем по охране частной информации. Хотя барьеры, алгоритмы, паспорта могут помочь защитить права в сети, их недостаточно. Нужно изучать существующие процедуры, обеспечивающие безопасность, неприкосновенность, тайну информации. Должна быть сформирована политика в области межорганизационной информации и коммуникаций. Необходимо разработать и законодательно закрепить соответствующие юридические нормы.