Таблиця 11.3

Призначення стандартів для захисту всіх рівнів мережі

Стандарт (протокол) Виконувана функція Місце використання стандартів
Secure HTTP (S-HTTP) Захист трансакцій у Web Програми-браузери, Web-сервери, програм­ні застосування для Internet
Secure Sockets Layer (SSL) Захист пакетів даних на мережевому рівні Програми-браузери, Web-сервери, програм­ні застосування для Internet
Secure MIME (S/MIME) Захист електронних повідомлень, які передаються за поштовим протоколом МІМЕ Поштові програми зпідтримкою шифру­вання і цифрового підпису RSA
Secure Wide Area Networks (S/WAN) Шифрування одно-рангових сполучень між брандмауерами і маршрутизаторами Віртуальні приватні мережі
Secure Electro­nic Transaction (SET) Захист трансакцій 3кредитними картками Смарт-картки, сервери трансакцій, електронна комерція

S-HTTP – захищений HTTP-протокол, розроблений компанією Enterprise Integration Technologies (ЕІТ) спе­ціально для Web. Він дає змогу забезпечити надійний криптозахист тільки для HTTP-документів Web-серве­ра. Його використання неможливе для захисту інших прикладних протоколів (FTP, TELNET, SMTP тощо). S-HTTP призначений насамперед для підтримки про­токолу передачі гіпертексту (HTTP), забезпечує автори­зацію і захист Web-документів.

SSL – наймасовіший механізм захисту інформа­ції, який застосовується у WWW-системі. Однак він не призначений для забезпечення безпеки на основі автентифікації, що відбувається на рівні програмного застосування або документа. Для управління доступом до файлів і документів потрібно використовувати інші засоби.

Однак поки що жоден з існуючих криптопротоколів не оформився як єдиний стандарт захисту сполучення, який би підтримувався всіма виробниками мережевих операційних систем (ОС). Якби протокол SSL підтри­мували всі мережеві ОС, не було б потреби в розробці спеціального програмного забезпечення SSL-сумісних серверів (DNS, FTP, TELNET, WWW тощо). Але вироб­ники мережевих ОС не можуть домовитися про єдину позицію і певним чином перекладають рішення про­блем інформаційної безпеки безпосередньо на корис­тувачів Internet.

Отже, S-HTTP захищає дані, а SSL – комунікацій­ний канал.

Захист електронної пошти. Для захисту електрон­ної пошти в Internet існує безліч різноманітних прото­колів, але лише кілька з них поширені.

РЕМ (Privacy Enhanced Mail). Це стандарт Internet для захисту електронної пошти з використанням від­критих або симетричних ключів. Він застосовується усе рідше, оскільки не призначений для оброблення нового МІМЕ-формату електронних повідомлень і ви­магає жорсткої ієрархії сертифікаційних центрів для видачі ключів.

S/MIME. Відносно новий стандарт, у якому задія-но багато криптографічних алгоритмів, запатентова­них і заліцензійованих компанією RSA Data Security Inc. S/MIME використовує цифрові сертифікати і, от­же, при забезпеченні автентифікації спирається на ви­користання сертифікаційного центру.

PGP (Pretty Good Privacy). Це родина програмних продуктів, які використовують найстійкіші крипто­графічні алгоритми. В їх основу покладено алгоритм RSA. PGP реалізує технологію, відому як криптогра­фія з відкритими ключами, яка дає змогу обмінюва­тися зашифрованими повідомленнями і файлами ка­налами відкритого зв’язку без наявності захищеного каналу для обміну ключами, а також накладати на повідомлення й файли цифровий підпис. Іншими словами, програма побудована за принципом «паву­тини довіри» (Web of Trust) і дає змогу користувачам розповсюджувати свої ключі без посередництва серти­фікаційних центрів.

Захист мереж: міжмережеві екрани (брандмауери, Firewall). Віртуальні приватні мережі. Коли з’єдну­ються ресурси корпоративної мережі установи, її сег­мента чи окремого комп’ютера з відкритою мережею, наприклад, Internet, підвищується ризик атакування і пошкоджень як самих даних у мережі, так і комп’ютер­ної системи загалом.

Корпоративна мережа – ТСР/ІР-мережа установи з під­ключенням до Internet і з улаштуванням спеціального додатко­вого захисту.

Міжмережеві екрани (брандмауери. Firewall) слугу­ють для захисту даних і комп’ютерних систем.

Міжмережеві екрани (Firewall) – програмне забезпечення, розташоване на комп’ютері, що містить певні інформаційні ре­сурси на окремому спеціалізованому комп’ютері чи пристрої з метою захисту цих ресурсів або ресурсів корпоративної мережі від користувачів із зовнішньої мережі.

Firewall здатні забезпечити захист окремих про­токолів і програмних застосувань. Вони здійснюють контроль доступу ззовні до внутрішньої мережі, її окремих сегментів тощо на основі вмісту пакетів да­них, що передаються між двома сторонами, або при­строями мережею.

Віртуальні приватні мережі (virtual private network, VPN) – те­риторіально розподілені корпоративні мережі, які використо­вують для зв’язку між окремими сегментами Internet.

Однак міжмережеві екрани не є універсальним вирі­шенням усіх проблем безпеки в Internet. Наприіслад, вони не здійснюють перевірку на віруси і не здатні за­безпечити цілісність даних.

Інтерфейси прикладного програмування. Існує два основних набори інструментів, призначених для спро­щення впровадження криптографічних засобів за­хисту розробникам програмних застосувань для пер­сональних комп’ютерів – CryptoAPI від фірми Micro­soft і CDSA (Common Data Security Architecture) від Intel.

CryptoAPI. Є важливим компонентом інтегрова­ної системи безпеки Internet від Microsoft – Internet Security Framework, сумісної з операційними систе­мами Windows. Цей інтерфейс прикладного програ­мування (АРІ) діє на рівні операційної системи і на­дає розробникам засоби виклику криптографічних функцій через стандартний інтерфейс у середовищі Windows. Оскільки CryptoAPI має модульну структу­ру, він дає змогу розробникам залежно від їх потреб замінювати один криптографічний алгоритм іншим. CryptoAPI також містить засоби для оброблення циф­рових сертифікатів.

CDSА від Intel. Пропонує практично ті ж самі фун­кціональні можливості, що й CryptoAPI, але цей набір інструментів призначений для використання на бага­тьох інших платформах, а не тільки для Windows. Деякі компанії (в тому числі Netscape, VeriSign) вже включи­ли підтримку CDSA до своїх продуктів.