Ольга Полянская - Инфраструктуры открытых ключей
- Название:Инфраструктуры открытых ключей
- Автор:
- Жанр:
- Издательство:Интернет-университет информационных технологий - ИНТУИТ.ру
- Год:2007
- ISBN:978-5-9556-0081-9
- Рейтинг:
- Избранное:Добавить в избранное
-
Ваша оценка:
Ольга Полянская - Инфраструктуры открытых ключей краткое содержание
В курс включены сведения, необходимые специалистам в области информационной безопасности. Рассматривается технология инфраструктур открытых ключей (Public Key Infrastructure – PKI), которая позволяет использовать сервисы шифрования и цифровой подписи согласованно с широким кругом приложений, функционирующих в среде открытых ключей. Технология PKI считается единственной, позволяющей применять методы подтверждения цифровой идентичности при работе в открытых сетях.
Курс дает представление об основных концепциях и подходах к реализации инфраструктур открытых ключей, в нем описываются политика безопасности, архитектура, структуры данных, компоненты и сервисы PKI. Предлагается классификация стандартов и спецификаций в области инфраструктур открытых ключей. Подробно рассматриваются процессы проектирования инфраструктуры и подготовки ее к работе, обсуждаются типовые сценарии использования и способы реагирования на инциденты во время функционирования PKI.
Инфраструктуры открытых ключей - читать онлайн бесплатно полную версию (весь текст целиком)
Шрифт:
Интервал:
Закладка:
В приведенном примере ресурсы торгового web-сайта складываются из твердых активов (покупаемых товаров и услуг) и деловой репутации (торговой марки и финансового положения продавца и/или качества продаваемых товаров). Для большинства компаний товары и деловая репутация равно важны. Фальсификация товаров приводит к прямым материальным потерям. Компрометация торговой марки и репутации может повлиять на снижение будущих продаж. Наконец, покупатель должен быть уверен, что его персональные данные, в частности, информация кредитной карты, будут обрабатываться с соблюдением правил безопасности. Невозможность визуально следить за совершением сделки, к чему покупатель привык в обычном магазине, означает, что покупатель должен доверять продавцу. Необходимость приобрести товар у неизвестного продавца, то есть проявить слишком большое доверие , может заставить покупателя отказаться от сделки.
Характерной чертой доверия является то, что на его приобретение требуется много времени, а исчезнуть оно может очень быстро. Известно немало примеров, когда из-за причастности к скандалам происходило падение крупных компаний за один день. С другой стороны, если покупатель доверяет , он склонен быть лояльным. Чем ниже степень доверия покупателя, тем ему легче обратиться к другому продавцу. По сути, чтобы сохранить покупателей и увеличить повторные продажи, продавцу важно обеспечить степень доверия к своему бизнесу выше, чем у конкурентов.
Для поддержки концепций доверия в сфере электронных коммуникаций были разработаны специальные технологии ( см. табл. 1.1).
| Технология| Поддержка ключевых элементов|
|Анализ уязвимости | Снижение количества атак на ресурсы, повышение предсказуемости и уменьшение неопределенности качества услуг |
|Онлайновые услуги депонирования | Обеспечение защиты ресурсов в условиях неопределенности взаимодействия с неизвестной стороной. Достижение предсказуемости на основе истории транзакций депонирования |
|Контрольные журналы | Анализ и фильтрация проблем, снижающих предсказуемость услуг |
|Межсетевые экраны | Зашита ресурсов от онлайновых атак |
Таблица 1.1.Примеры технологий, поддерживающих концепции доверия
Реализовать доверие намного сложнее, чем просто понять, на чем оно строится. Формирование доверительных отношений в реальной жизни может занимать месяцы, годы и даже десятилетия.
Политики доверия
Один из простейших, но не самых эффективных методов установления доверия в сфере электронных транзакций заключается в использовании прозрачных политик доверия . Политики доверия должны обеспечивать:
*конфиденциальность;
*корректное использование информации;
*реагирование в случае нарушения доверия ;
*внутренние механизмы гарантирования непрерывности доверия ;
*согласие пользователей.
Конфиденциальность
Политики конфиденциальности разрабатываются для того, чтобы пользователи правильно понимали, как данная компания будет обращаться с той персональной и деловой информацией, которую они ей предоставляют. Опубликованная на web-сайте компании политика конфиденциальности объясняет правила использования персональных данных и способствует установлению контакта с пользователями. Пользователи должны ознакомиться с этой политикой и подтвердить свое согласие с указанными правилами. Примером политики конфиденциальности может служить политика, опубликованная на сайте Yahoo [207].
Корректное использование информации
Другой аспект политик доверия - корректное использование информации. Это касается ситуаций, когда персональная информация может использоваться не в интересах человека, а, например, для оценки его финансовых возможностей (доходов, суммы медицинской страховки) как потенциального покупателя. В настоящее время некоторые компании практикуют отбор и классификацию потребителей определенных товаров и услуг, а затем продают эту информацию другим компаниям. Подобная практика приводит к тому, что люди начинают получать по почте нежелательные сообщения рекламного характера, спам, их вынуждают отвечать на телефонные звонки, пытаются привлечь в качестве потенциальных клиентов кредитных карточных систем и т.п.
Реагирование в случае нарушения доверия
Политика доверия должна предлагать некоторые финансовые гарантии, то есть страховать пользователя, на тот случай, когда невозможно обеспечить полную защиту его ресурсов. Достаточно часто в политиках содержится утверждение о том, что споры о нарушении конфиденциальности рассматриваются в арбитражном суде. Следует учитывать, что арбитражное разбирательство имеет гораздо менее серьезные последствия для стороны, нарушившей политику доверия , чем судебное. Очевидно, что в штате крупных компаний, заинтересованных в поддержке отношений доверия , должен присутствовать администратор информационной безопасности или ответственный за конфиденциальность персональных данных. К сожалению, на практике чаще всего единственным выходом для клиентов при нарушении конфиденциальности является прекращение использования сервисов данного web-сайта.
Непрерывность доверия
Политика доверия должна раскрывать внутренние механизмы доверия и демонстрировать, что доверие базируется не просто на обещаниях, а является важной составной частью деловых операций. Примерами внутренних механизмов доверия могут служить строгий контроль за уровнем подготовки и соблюдением служащими политики конфиденциальности, защищенность компьютерных систем и оборудования, а также аудит бизнес-процессов.
Согласие пользователей
Наконец, политика доверия должна предусматривать механизм получения согласия пользователей. Он обычно называется участием. Многие организации либо не дают возможности пользователям выражать согласие на участие, либо не обладают системами, позволяющими отслеживать и исполнять предпочтения пользователей. Часто компании автоматически предполагают согласие пользователя на участие, тем самым перекладывая на него ответственность за возможные последствия нарушения конфиденциальности.
Ассоциации доверия
В повседневной жизни люди часто допускают транзитивные отношения доверия . Например, если наш друг дает хорошую рекомендацию человеку, которого мы не знаем, то мы обычно склонны относится к этому незнакомцу с большим доверием , чем если бы познакомились с ним сами. В этом случае, поскольку мы доверяем своему другу, то полагаемся на правильность его мнения.
Шрифт:
Интервал:
Закладка:
