Безопасность транзакций в системе Web

Некоторые продукты, обеспечивающие информационную безопасность в системе Web

Торговые организации и банки довольно успешно пользуются Web-транзакциями в коммерческих целях; правительственные ведомства США также всерьез заинтересовались этой технологией. Однако как обстоят дела с информационной безопасностью? Достаточно ли совершенны, удобны и доступны по цене современные технологии управления доступом, шифрования данных и сертификации?

Специалисты утверждают, что в настоящее время имеются все необходимые продукты для выполнения безопасных Web-транзакций. На рынке в изобилии представлены продукты, оснащенные различными средствами обеспечения безопасности, среди которых - Web-браузеры и серверы, жетоны-удостоверения, программное обеспечение для электронной коммерции и брандмауэры. К сожалению, многими из этих продуктов не так легко пользоваться, а кроме того, их трудно интегрировать в систему. Для того чтобы объединить эти продукты и связать их с уже существующими системами, могут потребоваться услуги системных интеграторов. "Все необходимые составные части технологии уже созданы, остается только их объединить", - говорит Стив Кент, старший научный сотрудник по вопросам безопасности компании Bolt Beranek & Newman (BBN).

Уже ясно, что Web станет главной артерией всемирной деловой жизни, вопрос состоит лишь в том, когда это произойдет. И именно потребности рынка заставят производителей обеспечивать необходимый уровень защиты информации. Аналитики расходятся лишь во мнениях о том, до какой степени Web-технология способна обеспечить информационную безопасность в настоящий момент.

Объем онлайновых розничных продаж - как через Internet, так и по частным сетям - достиг в прошлом году 518 млн дол. По мнению Карен Эпперт, аналитика компании Forrester Research, эта сумма уже достаточно весома, чтобы начать относиться к этому виду коммерции со всей серьезностью. По оценкам компании Forrester, к 2000 г. объем продаж на этом рынке достигнет 6,6 млрд дол. Internet-банк Security First Network Bank существует уже целый год; Carolina First Bank и AT&T создали еще одно подобное предприятие, названное Atlanta Internet Bank.

Большая часть онлайновых розничных продаж совершается с использованием протокола Secure Sockets Layer (SSL), встроенного в Web-браузеры, выпускаемые компаниями Netscape Communications и Microsoft. Протокол SSL обеспечивает установление канала шифрованной связи между Web-клиентами и серверами. В последних версиях SSL, помимо этого, обеспечивается идентификация клиента: сервер знает, какие клиенты с ним работают, и наоборот. SSL также обеспечивает независимость от алгоритма шифрования, так что отпадает необходимость пользоваться одним и тем же алгоритмом RSA, основанным на применении открытых (public) ключей. Как пояснил Питер Торп, директор Федерального подразделения Netscape, его компания в настоящее время работает над созданием Web-браузера и сервера, в которых вместо RSA используется шифровальная карточка Fortezza. Предыдущие версии SSL, по словам Стива Кента, слишком сильно опирались на RSA.

Ожидается появление продуктов с использованием протокола Secure Electronic Transactions (SET), обеспечивающего сквозное кодирование номеров кредитных карточек. Появился новый проект протокола IP Security, и прошел апробацию стандартный протокол управления ключами. Тем временем Microsoft продолжает разрабатывать систему Internet Security Framework, в состав которой входят шифровальные интерфейсы API (по умолчанию шифрование будет осуществляться по алгоритму RSA), серверы сертификатов, коды идентификации и многое другое. В состав новой версии утилиты Explorer, выпуск которой намечен на начало 1997 г., будет включен "электронный кошелек".

Когда все эти новые стандарты наконец появятся, то, по словам Стива Кента, удаленные пользователи смогут связываться со своими интрасетями через Internet по каналам шифрованной связи с проверкой целостности данных и обеспечением идентификации; уровень информационной безопасности этих каналов будет ничуть не ниже, чем при использовании арендованных линий.

Ричард Ротвелл, старший управляющий по интеграции технологий Федеральной службы почтовой связи, считает, что шифрование с использованием открытых ключей пока не получило достаточно широкого распространения. "Я не вижу причин, по которым не может быть обеспечена полная безопасность транзакций. Надо лишь найти человека, который сумеет собрать воедино все необходимые прикладные пакеты". Г-н Ротвелл подчеркивает, однако, что при этом "кто-то должен взять на себя полицейские функции".

"Все части на месте, однако ни один из продуктов не обладает масштабируемостью, достаточной для обработки транзакций в больших количествах", - считает Мэри Мак-Нэлли, директор компании Computer Sciences, занимающейся системной интеграцией в коммерческом секторе. Управлять большими непрерывно изменяющимися базами данных прав пользователей и кластерами брандмауэров в реальном времени не так-то просто. По оценке г-жи Мак-Нэлли, коммерческие компании начнут ощущать выгоду от перехода на онлайновые технологии только после того, как число транзакций станет исчисляться миллионами в неделю. Г-жа Мак-Нэлли также считает, что многие из этих продуктов не прошли должного тестирования. "Рынок еще не вступил в пору зрелости, - говорит она. - Многие производители и заказчики с нетерпением ожидают появления надежных средств обеспечения информационный безопасности. Но от технологического цикла никуда не деться: тестирование продуктов в реальных условиях занимает от полугода до года с момента их появления на рынке".

Тем не менее "технология обеспечения информационной безопасности, возможно, уже появилась или появляется прямо на наших глазах", - считает Марти Вагнер, сотрудник Главной администрации услуг (General Services Administration - GSA) и советник Правительственной информационно-технической службы (Government Information Techno-logy Services - GITS), занимающейся вопросами электронной коммерции. Проблема состоит в том, чтобы обеспечить применение новой технологии и при этом не допустить возникновения запутанного клубка различных подходов к ее использованию.

Деятельность правительства

Правительственные органы все сильнее интересуются обеспечением безопасности Web-транзакций. По словам Пэтти Эдфорс, советника GITS по обеспечению конфиденциальности и защите информации, в настоящее время инфраструктура частных шифровальных ключей (Private Key Infrastructure - PKI) используется в 46 правительственных приложениях.

На Internet положило глаз даже Министерство обороны США. "Мы осознаем, что пора переводить всю нашу электронную коммерцию в Internet", - считает Пол Грант, специальный помощник по электронной коммерции заместителя секретаря GSA по командованию и управлению. "У нас уже имеются технологии, благодаря которым можно решить наши задачи", - говорит г-жа Эдфорс. Проблема состоит в том, что "пока еще не сделаны некоторые базовые вещи". При этом г-жа Эдфорс имеет в виду обеспечение безопасности и реализацию систем, а также обучение персонала.

Пэтти Эдфорс ссылается на грант-программы по развитию электроники Департамента энергии и транспорта; с использованием PKI выполняются программы гарантированных ссуд Администрации малого бизнеса и системы сбора данных о зарплате Администрации по социальному страхованию.

Компания CyberSource - реселлер программного обеспечения для Internet - использует имеющееся на рынке программное обеспечение для идентификации пользователей, осуществляющих доступ к Web-узлу Национального агентства по картам и изображениям (National Imagery and Mapping Agency - NIMA). Как сообщил Кендэлл Фарго, менеджер по продажам правительственным структурам из CyberSource, компания заключила с NIMA двухлетний контракт на поставку продуктов Microsoft. CyberSource предполагает также поставлять это программное обеспечение в Министерство внутренних дел.

Как рассказал руководитель работ по внедрению программного обеспечения Дуг Хэнсон, клиенты Центра космических полетов NACA, работающие в рамках контракта по поставкам рабочих станций для научных работ и проектирования (Scientific and Engineering Workstation Procurement I - SEWP), посылают свои заказы через Internet.

Еще одна серьезная программа - система Advantage, с которой работает GSA. Благодаря этой программе правительственные ведомства могут отбирать товары и размещать заказы средствами Web. В Advantage используется протокол SSL, шифрованием сообщений занимается браузер. В настоящее время в базу данных занесено 100 тыс. продуктов 233 производителей; по словам менеджера программы Терезы Сорренти, недельный доход от продаж составляет "пару сотен тысяч долларов".

Бюро переписи населения закупило программу Publishing System компании Netscape. Как поясняет г-н Торп, цель закупки - "онлайновое распространение информации и выставление счетов за ее использование". Для управления доступом и защиты информации в программе используются SSL и другие протоколы обеспечения информационной безопасности. Г-н Торп также сообщает, что почтовая служба USPS (US Postal Service) приобрела системы Merchant и Publishing компании Netscape. Netscape участвует в договоре об автоматизированной разработке программного обеспечения (Computer-Aided Software Engineering Pact) и в SEWP II, а также имеет контракты с Министерством сельского хозяйства и Национальным институтом здравоохранения.

По словам Рика Гарвина, директора по разработке систем и сетевой интеграции компании BTG, Бюро переписи населения объявило тендер по контракту на размещение (с коммерческими целями) результатов проводимых раз в десять лет переписей населения на Internet. Данная программа называется Data Access and Dissemination System.

USPS проводит работы по выпуску экспериментальной электронной "почтовой марки" - службы архивации и идентификации, обеспечивающей безопасность и целостность электронных сообщений и транзакций.

GSA предполагает выпустить пилотную версию системы безбумажных правительственных транзакций. В этой системе сама GSA будет играть роль центра сертификации, утверждает Дик Кемп, директор федеральных программ по созданию инфраструктуры обеспечения информационной безопасности. В пилотной версии будут использованы "правительственные алгоритмы", в частности Data Encryption Standard и Digital Signature Standard; в систему будут также входить некоторые коммерческие приложения.

Как видим, правительственные ведомства "запустили" множество пилотных проектов. Поэтому им необходимо знать, какого уровня достигли программные продукты, обеспечивающие информационную безопасность и коммерцию в Web. Мы разделили продукты на шесть категорий: устройства доступа, программное обеспечение для браузеров и серверов, сертификаты, программное обеспечение для электронной коммерции, брандмауэры, инструментальные наборы и программы для обеспечения информационной безопасности.

Устройства доступа

Устройства доступа к компьютерным сетям и физическим ресурсам распространены весьма широко; можно ожидать, что в будущем таких средств станет еще больше. Г-н Вагнер высказывает надежду, что лет через десять появятся интегрированные многоцелевые интеллектуальные карточки, которые можно будет раздать всем сотрудникам. Во-первых, такая карточка позволит устанавливать личность владельца, во-вторых, ее можно будет использовать в поездках и при небольших покупках, а в-третьих, она будет применяться в качестве ключа при виртуальном и физическом доступе к ресурсам. Проблемы на пути появления такой карточки имеют скорее не технический, а юридический и маркетинговый характер.

Менее интегрированные решения могут появиться в достаточно близком будущем. По мнению Ширли Вильсон, директора GSA по пластиковым карточкам, повторный тендер по контрактам на поставки карточек для покупок и разъездов, объявленный Федеральной службой поставок (общая сумма контракта - 6 млрд дол.), послужит хорошим стимулом для развития технологий многоцелевых карточек. Ожидается, что тендер будет объявлен весной. Более краткосрочный проект GSA предусматривает создание диска безопасности (трехдюймовой дискеты с вмонтированной микросхемой), используемого при доступе к Internet.

Большой популярностью в качестве защитного жетона пользуется карточка SecurID компании Security Dynamics. Карточка стоит от 34 дол., цена используемого в системе сервера ACE составляет 2450 дол. В 1996 г. планировалось включить в ACE/Client для NT технологию WebID, обеспечивающую контроль за доступом к информации в корпоративной интрасети через Web. Другой подход к этой проблеме - использование миниатюрного цифрового устройства iButton (Dallas Semiconductors), обеспечивающего дополнительную степень информационной безопасности на Web.

Программное обеспечение для браузеров и серверов

Программное обеспечение для Web-браузеров и серверов, поддерживающее функции информационной безопасности, распространено на рынке весьма широко. В частности, в каталоге GSA фигурирует Netscape Navigator 3.0, поддерживающий SSL 3.0. Его стоимость составляет 17,95 дол. Протокол SSL 3.0 поддерживают также серверы семейства SuiteSpot производства Netscape, в том числе Web-серверы FastTrack и Enterprise версии 2.0 и старше.

Появившийся летом прошлого года Microsoft Explorer 3.0 поддерживает SSL 3.0. Однако текущая версия NT Server 4.0, куда входит Internet Information Server, поддерживает только SSL 2.0. Ожидается, что в будущем будет поддерживаться и SSL 3.0.

Браузер для Unix под названием XMosaic 2.6S (существующий пока в бета-версии) производства National Center for Supercomputing Applications (NCSA) поддерживает протоколы Secure HTTP (S-HTTP), SSL 2.0 и SSL 3.0. Последний Web-сервер для Unix под названием NCSA HTTPD 1.6, выпущенный этой компанией (он также существует в бета-версии), поддерживает обе версии SSL и S-HTTP. Кроме того, браузер и сервер производства NCSA поддерживают функцию электронной подписи на базе протокола S-HTTP. Благодаря этой функции пользователь не может уклониться от выполнения определенных операций, например изменения адреса или подписания Web-страниц. Обеспечивается также возможность шифрования подписи по алгоритму RSA.

Все браузеры Mosaic, а также сервер HTTPD поддерживают специальный механизм digest authentication, предотвращающий пересылку паролей открытым текстом, из-за чего они могут быть перехвачены злоумышленниками. Программное обеспечение для сервера можно загрузить, обратившись через Internet по адресу hoohoo.ncsa.uiuc.edu/beta-1.6. Правда, не следует забывать, что NCSA - это научно-исследовательская организация, которая предоставляет только экспериментальные, а не коммерческие версии.

Сертификаты

Другими важнейшими проблемами в этой области являются выпуск сертификатов и управление аутентификацией и доступом к сети. Наиболее известный источник сертификатов - компания VeriSign, которая предлагает сертификаты общего пользования трех уровней, соответствующих степени доверия к держателю сертификата. Тот, кто хочет решать эту проблему независимо от других компаний, может приобрести программное обеспечение для работы с сертификатами (а не сами услуги) у BBN или других компаний.

Кроме того, VeriSign собирается предложить так называемые "частные метки", которые могут привлечь внимание крупных организаций, желающих модифицировать службу сертификации в соответствии со своими запросами. Как утверждает менеджер по продуктам Боб Пратт, имеющаяся в настоящее время инфраструктура может обеспечить работу с десятками миллионов сертификатов.

Программное обеспечение для электронной коммерции

К числу программных продуктов для электронной коммерции с защитными функциями относится, в частности, такой пакет, как OM-Transact компании Open Market, избранный AT&T для запуска нового сервиса электронной коммерции в Internet. Данный продукт ориентирован на работу с большим количество транзакций. Его стоимость составляет 250 тыс. дол.; среди его покупателей - компании BBN, MCI и British Telecom.

Компания WebMate Techno-logies поставляет программное обеспечение MallMaker и Store-Maker, работающее на платформе Webmate/Foundation. Инструментальный набор Foundation стоит 495 дол.; он позволяет создавать расширения для баз данных SQL, обеспечивающие проведение электронных платежей и необходимый пользовательский интерфейс. Foundation обеспечивает также управление доступом к базам данных и шифрование сообщений. Store-Maker стоит 995 дол. за первый год использования и по 750 дол. за каждый последующий год; цена MallMaker составляет 750 дол. в год на один "магазин".

Компания SpaceWorks также продает комплект программ для электронной коммерции, обеспечивающих связь покупателя непосредственно с офисом продавца, без посредников. Стоимость комплекта высокоэффективных программ составляет от 100 до 250 тыс. дол.; он поддерживает шифрование по алгоритму RSA. Как указывает Лиз Сара, вице-президент по маркетингу компании SpaceWorks,этот комплект обеспечивает "полное техническое решение для осуществления электронной коммерции между компаниями".

Брандмауэры

Еще один важнейший элемент системы безопасности - брандмауэры. Применяя их, заказчик может определить, кому и при каких условиях разрешается осуществлять доступ к Internet-ресурсам. Эти продукты производит примерно 60-80 компаний; разброс по функциональным возможностям и ценам в этом секторе рынка весьма значителен.

Большинство брандмауэров обеспечивает простейшие защитные функции и может быть специально настроено в соответствии с запросами конкретного заказчика. Брандмауэры поддерживают SSL - их можно сконфигурировать таким образом, чтобы они обеспечивали передачу данных по этому протоколу.

Примерами популярных продуктов в этой области являются FireWall-1 (CheckPoint Software Technologies), Smart Wall (V-One), Gauntlet (Trusted Information Systems), Eagle (Raptor Systems) и Sidewinder (Secure Computing). Цены на изделия варьируются в диапазоне от пяти до пятидесяти с лишним тысяч долларов.

Инструментальные наборы и программы для обеспечения защиты данных

Инструментальные наборы для обеспечения информационной безопасности поставляют компании RSA и Terisa Systems. Работая с этими наборами, пользователи могут самостоятельно построить защищенные системы обработки Web-транзакций.

Продукт BSAFE компании RSA (290 дол. за комплект для разработчика) - "самый популярный набор инструментальных средств для криптографии общего назначения", как утверждает Курт Штаммбергер, директор по маркетингу компании RSA. Набор поддерживает RSA, DES, Triple DES, RC2, RC4 и другие методы шифрования. Новый инструментальный набор BCERT (также по цене 290 дол.) позволяет строить приложения для выпуска сертификатов и управления ими. Вскоре ожидается появление набора инструментальных средств разработчика SET.

Terisa Systems выпускает инструментальные наборы для разработки сложного программного обеспечения для клиентских станций и серверов. Такие наборы стоят примерно 3000 дол. Они позволяют разработчикам обеспечивать поддержку защитных протоколов (например, SSL и S-HTTP) в системах связи. Ожидается ,что вскоре будет обеспечена поддержка протокола SET.

Для обеспечения безопасности, не зависящей от использования конкретного приложения, можно, например, воспользоваться изделием HannaH, выпускаемым компанией SecureWare, которая одной из первых начала заниматься проблемой информационной безопасности в Unix-системах. Стартовый набор стоит 2995 дол.; программное обеспечение позволяет защищать любые информационные потоки под TCP/IP.

Некоторые продукты, обеспечивающие информационную безопасность в системе Web