На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Когда NT не похожа на себя

Как становится ясно из приведенных рекомендаций, укрепление
защиты сервера Web на базе NT предполагает отказ именно от тех
функций, которыми NT и ценна. Понять, какие сервисы надо отклю­чить и как управлять «урезанным» NT-сервером задача не из лег­ких. Именно поэтому NT нельзя считать идеальной платформой для
сервера Web. Тем, кто имеет опыт работы с UNIX, стоит подумать о
том, чтобы развернуть сервер на этой платформе (согласно некоторым
исследованиям, серверы Web на базе UNIX превосходят NT по произ­водительности почти в два раза). Тем же, кто имеет дело только с про­дуктами Microsoft, при настройке сервера Web следует соблюдать осо­бую осторожность.
Шифруйтесь!
Хотя современная реклама и сулит Internet возможности, порой весьма и весьма далекие от реальности, в области электронной ком­мерции World-Wide Web действительно становится основной плат­формой.
Однако предстоит преодолеть множество технических и психо­логических преград, прежде чем Web обретет стабильность и сможет поддсржпвать многомиллиардные долларовые транзакции. В 1995 году объем транзакций электронной коммерции оценивался в 150—500 млн. долларов. По прогнозам исследовательской корпорации Mentis, к 2003 году объем розничных продаж достигнет 8 млрд. долларов, но для того, чтобы эти оценки воплотились в жизнь, придет­ся немало потрудиться.
Хотя использование Internet в таких сферах, как продажа авиа­ционных билетов или цветов, и привлекает внимание средств массо­вой информации, все же, скорее, это исключение, а не правило. В об­щем же объем розничных продаж по Internet остается чрезвычайно низким. Пока что современная электронная коммерция действует только между предприятиями.
Для того, чтобы Web стала «пуленепробиваемой» средой, спо­собной поддерживать коммерческие транзакции на миллиарды долла­ров, необходимо широкое распространение ряда технологий. Со мно­гими из них можно было ознакомиться на выставке Internet Commerce Exposition.
Самым необходимым элементом сетевой инфраструктуры при­менительно к электронной коммерции является технология сертифи­кации X. 509, известная также как метод цифровых сертификатов. С его помощью идентичность пользователей, получаю-
щих доступ к данным по различным сетям. В приложениях электрон­ной коммерции пользователи регистрируют свои цифровые сертифи­каты в том банке, где им выдавались кредитные карточки. Когда поль­зователь хочет совершить транзакцию, браузер, совместимый с про­токолом Secure Electronic Transaction (SET), посылает копию серти­фиката продавцу для подтверждения достоверности его карточки. SET — это технологическая и процедурная спецификация; она была разработана компаниями Visa и MasterCard. Этот протокол внедряет­ся также такими компаниями, как Verisign, CyberCash и First Virtual,
которые организуют доверительные службы, позволяющие торговцам и банкам аутентифицировать пользователей.
Однако это лишь часть проблемы электронной коммерции.
«Протокол SET незаменим при работе с банковскими кредитны­ми карточками в сети Web, но это всего лишь спецификация, а не про­дукт, реально обеспечивающий защиту», — считает Майкл Гулд, стар­ший консультант компании Patricia Seybold Group.
Еще один животрепещущий вопрос — это технология шифрова­ния, которая в настоящее время не устраивает многих пользователей из-за непомерных требований по обработке, предъявляемых ею к тран­закциям в Web. Шифрование основано на самоидентификации данных личными или открытыми ключами. Когда необходимо послать сообще-
ние конкретному пользователю, отправитель находит личный ключ
пользователя и присоединяет его к сообщению. Пользователь-получа­тель применяет свой личный ключ, чтобы декодировать сообщение.
Существуют также методы, основанные на использовании двух
личных ключей; они применяются для более быстрого обмена сообще­ниями между пользователями, однако посылать личный ключ вместе
с сообщением не всегда безопасно.
Чтобы снизить издержки обработки, компания Cisco Systems на­чала включать поддержку шифрования в свои маршрутизаторы, а кор­порация Intel пытается создать стандарт шифрования для своих про­цессоров.
В будущем алгоритмы шифрования войдут в интеллектуальные
карты — кредитные карточки с процессором, осуществляющим шиф­рование или генерацию случайного кодового числа, что дает пользова­телям возможность осуществить удаленный доступ к сети. Интеллек­туальные карты могут быть созданы персонально для каждого пользо­вателя, однако в случае потери или кражи их замена может обойтись слишком дорого. Больше всего пользователей не устраивают уровень взаимодействия и стоимость таких систем.
«У нас во всех университетах страны насчитывается более 3 тыс. пользователей, так что большой проблемой оборачивается рассылка, -заявил администратор правительственного узла. — Я не смогу посы­лать им карточки всякий раз, когда требуется новая». Необходимо также доработать и серверное обеспечение. Надежное промежуточное ПО, способное отслеживать транзакции в базах данных на Web-серве-рах и на серверах приложений, сейчас только начинает появляться.
Хотя администраторы информационных систем (ИС) готовы по­клясться в абсолютной необходимости таких технологий для электрон­ной коммерции, некоторые наблюдатели склонны считать это преуве­личением.
«Люди зачастую ищут проблему там, где ее вовсе нет, — утверж­дает Питер Типпетт, президент ассоциации National Computer Security
Association (NCSA). — Сейчас самая большая беда — это возможность
кражи номеров кредитных карточек во время электронных транзак­ций, однако вероятность того, что ваш номер будет изъят линии данных, гораздо меньше,       его похищение работником ресторана
или бензоколонки».
Тем не менее, недостаточность средств защиты в Web беспокоит многих потенциальных потребителей.
Используя Internet, я расширил свой зарубежный консалтинго­вый бизнес, однако мои европейские потребители по-прежнему посы­лают мне номера своих кредитных карточек по а не по сети, — объясняет Вилл Страус, президент компании Forward Concepts. — Я почувствую себя намного спокойнее, когда появятся разумные прото­колы
Конечно, телефон никак нельзя считать полностью защищенной коммуникационной технологией, поскольку подключиться к чьему-
либо телефонному разговору совсем не сложно. Но пока и Web не да­ет никакой гарантии защиты.
«В традиционных средах сетевых коммуникаций безопасность фактически нулевая, — отмечает Дин Макюррон, глава компании Mercury Research. — Любой желающий может прочитать незашифро­ванные данные, поэтому многие пользователи остерегаются работать с удаленным доступом».
По вопросам защиты пользователи могут обращаться в NCSA -независимую тестирующую организацию, разработавшую список кри­териев, которым должен соответствовать разработчик Web-узла, чтобы получить от NCSA печать «одобрено». Эта группа также консультиру­ет пользователей-клиентов по вопросам улучшения защиты их узлов,
NCSA пытается по возможности решить все проблемы пользова­телей, чтобы они не испытывали разочарования в предпринятых ме­рах безопасности.
«Общество быстро приближается к использованию Internet в ка­честве основного средства телефонной и информационной бизнес-
связи в любой области, начиная от поддержки и управления процес­сом продаж и кончая отслеживанием продуктов и анализом произво­дительности», — к подобному заключению пришел Типпетт.
Хотя хакеру почти невозможно подключиться к сети для опреде­ления номера чьей-либо кредитной карточки, Типпетт уверяет, что не
следует ограничиваться одними только разговорами о проблемах за­щиты.
«Единственное решение, которое работает, - это комплект про­дуктов и приложений, — рассказал Типпетт. — Ни один поставщик
средств защиты не может одновременно справиться больше, чем с од­ной или двумя проблемами».
Самый опасный враг для компаний типа Open Horizon, специа­лизирующихся на средствах защиты для Internet, это невежество
пользователей.
«Наша компания часто выступает как скорая помощь для орга­низаций, которым требуется неотложное решение их проблем, — огор­чается Чип Оверстрит, вице-президент Open Horizon. — Больше всего нас возмущают те, кто ничего не предпринимает для своей защиты.
Первой линией обороны всегда является брандмауэр. Как только зло­умышленник преодолел его и попал на Web-сервер, считайте, что он проник на предприятие, однако после этого ему еще предстоит нелег­кая задача овладения внутренними базами данных и бизнес-стратеги­ей компании».
т. \     j." I
Но, по мнению администраторов ИС, они не внедряют ПО для защиты вовсе не потому, что игнорируют эту проблему.
«У нас нет брандмауэра или ПО для защиты из-за того, что где-на линии какая-то важная "шишка" сказала — признается
один администратор из Калифорнии.
Поскольку большинство проблем безопасности зарождается
внутри компании, такое решение может дорого обойтись.
По оценкам Типпетта, до 80% брешей в защите организации
обусловлено действиями ее собственных сотрудников.
«Нам известны случаи, когда обиженные сотрудники оставляют "троянских коней" после своего увольнения, — продолжает Типпетт. -
Обычно это делается так: работник ИС оставляет команду "убить" оп­ределенные приложения в течение двух недель, после того как его ко­довый номер исчезнет из платежной ведомости. От подобных дейст­вий брандмауэры не спасут; компаниям необходимо вводить полити­ку ограничения доступа».
По мере развития становится ясно, что администраторам ИС придется разобраться с тем «лоскутным одеялом», каким представля­ется весь комплекс проблем защиты. Даже если компании Cisco и Intel включат функции защиты в свои маршрутизаторы или другую аппара­туру ПК, пользователи, скорее всего, будут требовать всесторонней и долгосрочной системы защиты.
«Безопасность любой транзакции складывается из различных компонентов, — предостерегает Гулд из Seybold Group. — Если в вашу аппаратуру включены средства защиты, это не означает, что вы защи­щены полностью».
В какой-то мере электронная коммерция по Internet является воплощением великой мечты о взаимообмене электронными данными
(Electronic Data Interchange — EDI). Однако широкого внедрения EDI
не произошло из-за высокой стоимости собственных используемых сетей и ПО, неразберихи со стандартами и необходимости приобре­тать одну и ту же технологию всеми заинтересованными сторонами.
Web может решить сетевую часть проблемы EDI, обеспечив каж­дому доступ за небольшую плату. Однако в настоящее время Web не может создать безопасную инфраструктуру личной EDI-сети.
Возможно, когда-нибудь наступит время и пользователи будут
спокойно посылать все важные деловые и личные сообщения по сети Web. Но, пока этого нет, аналитики рекомендуют пользователям быть осторожными. «Для среднего пользователя уровень сквозной безопас­ности определяется тем, как он расценивает степень конфиденциаль­ности своих сообщений, — сказал МакКэррон из Mercury Research. -В настоящее время посылка информации по Internet подобна отправ­ке конфиденциальной почты на открытках».
В области технологии, где борьба между различными протокола­ми и межплатформенными продуктами будет идти до победного кон­ца, роль Internet-полицейского, идущего по следу мошенника, лучше
всех пока удается ассоциации National Computer Security Association (NCSA).
Эта организация представляет пользователям информацию по вопросам безопасности, позволяющую им защитить свои сети от внут­ренних и внешних вторжений. Она также публикует список критери­ев безопасности сети и Web-узла. За плату NCSA пришлет одного из своих консультантов для посещения узла.
Президент Питер Типпетт считает, что основу деятельности
NCSA по безопасности составляет стремление дать пользователям де­шевое базовое которое поможет им пересмотреть свои взгляды в отношении защиты.
«Наша конечная цель — обеспечить каждому возможность бес­платно обезопасить свои узлы, — поясняет Типпетт. — Проблема в том, что, как показывает опыт, многие пользователи готовы запустить со­мнительное приложение или средство коммуникации, даже если не знают, кто их прислал, или не доверяют ему».
С группой NCSA сотрудничает ряд бывших сотрудников право­охранительных органов, которые пытаются проникнуть в хакерские сети и ликвидировать опасность в зародыше.
«Мы отслеживаем хакеров, "подкапываясь" под их узлы и притво­ряясь их друзьями, — говорит Типпетт. — По существу, их притязания на 98% пустое бахвальство, однако, иногда встречаются и настоящие самородки».
Типпетт рассказал, что недавно они поймали хакера, который
подключился к локальной сети американского сенатора и доказал это, продемонстрировав код личного ключа сенатора и подлинные распи­сания его встреч. Правда, непонятно, зачем он все это демонстрировал, неужели для того, чтобы больше дали? Впрочем, у хакеров своя психо­логия и желающих ознакомиться с ней отсылаем к главе «Хакер как диагноз».
Хотя при ловле хакеров сотрудники ощущают себя
«рыцарями плаща и Типпетт все же уверен, что большая
часть проблем безопасности компании имеет внутреннее происхожде­ние.
инженеры запросто могут показать вам дыры в вашей Windows 95 или в ваших маршрутизаторах, однако эта проблема реша­ется легко, — заверяет Типпетт. — Конечно, кто-то может взломать ок­но в вашем доме и проникнуть внутрь, но гораздо страшнее, если вы оставите входную дверь незапертой».
Он считает, что на данный момент главное для пользователей — видеть реальную перспективу и поддерживать безопасность на таком
уровне, чтобы чувствовать себя спокойно.
«Если можете, вводите дешевые, простые и эффективные усо­вершенствования так, чтобы они как можно меньше влияли на ваших служащих и в то же время повышали уровень защищенности вашего узла», — советует Типпетт.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика