информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Spanning Tree Protocol: недокументированное применениеПортрет посетителяЗа кого нас держат?
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft обещает радикально усилить... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / библиотека / www
БИБЛИОТЕКА
вход в библиотеку
книги
безопасность
программирование
криптография
internals
www
телефония
underground
беллетристика
разное
обзор: избранное
конкурс
рейтинг статей
обсуждение




Подписка:
BuqTraq: Обзор
RSN
БСК
Закон есть закон




Знак качества для Web-сервера
А.В.Лукацкий
Опубликовано: dl, 25.10.02 21:34

Покупаете ли вы товары в Internet? Я, например, люблю www.books.ru и если бы не сроки доставки книг, я бы всегда приобретал бы книжную продукцию через этот online-магазин. Когда вы заходите на сайт Internet-магазина, то он собирает о вас некоторую информацию, включая ту, которую вы сами предоставили ему при регистрации (ФИО, адрес доставки, телефон и, иногда, номер кредитной карты) и ту, которая собирается Web-сервером самостоятельно (например, ваши предпочтения и т.д.). Разумеется, вы хотите, чтобы эта информация была сохранена в тайне от разного рода злоумышленников. И если опасность со стороны хакеров, которые украдут номер вашей кредитной карты, несколько преувеличена, то опасность со стороны спаммеров, присылающих вам ежедневно десятки различных сообщений рекламного характера, является вполне реальной. Я лично получаю до двадцати таких сообщений ежедневно - каким-то образом мой адрес попал в различные базы рассылки. Помимо Internet-магазинов информацию, которая должна остаться в тайне, собирают и другие сервера, например, в процессе различных опросов и т.д.

А можете ли быть уверенным, посещая такого рода сервера, что собранная о вас информация, будет доступна только персоналу (да и то не всему) Web-сервера? Да и подлинность помещенного вами Web-сервера тоже может вызывать у вас сомнения. Если для Internet-покупок потеря в 20-30 долларов не столь удручающа (хотя и неприятна), то в случае захода на поддельный сервер Internet-банка (а такие случаи известны), вы можете потерять несоизмеримо больше. Что же делать в этом случае? Как удостовериться, что посещенный вами сервер именно тот, за кого он себя выдает, а предоставленная вами информация будет сохранена в тайне.

В обычной жизни такую гарантию даст договор о конфиденциальности, заключаемый с банком или иной организацией? Хотелось бы и в виртуальности иметь некий знак качества, подтверждающий все маркетинговые заявления о "гарантии безопасности платежей" (такое заявление, например, "висит" на оЗоне) и т.д. И в последнее время такие цифровые печати стали появляться во всем мире, в том числе и в России. Я бы хотел рассказать о двух "знаках качества" - сертификате Thawte и WebTrust.

Первый получил широкое распространение в России в последний год в виду своей дешевизны для заказчика. Например, электронный магазин "оЗон" или страховая компания "Ренессанс-Страхование", осуществляющая страхование через Internet, воспользовались этой услугой, заплатив всего 125 долларов США за годовое обслуживание одного сертификата. Разместив на своем сайте небольшую иконку, Web-сервер гарантирует, что он именно тот, за кого себя выдает. Подтверждение подлинности гарантируется третьей стороной (в данном случае Thawte), используя цифровые SSL-сертификаты. В терминах инфраструктуры открытых ключей (PKI), компания Thawte является Certificate Authority (CA). Для установки на свой сайт знака качества необходимо выполнить всего 8 простых шагов, начиная от получения и подписания документов на оказание услуги (обязательным условием является обладание прав на Internet-домен) и заканчивая оплатой счета (в т.ч. и по кредитной карте) и инсталляцией полученного сертификата на вашем сервере. Кстати, список поддерживаемых Web-серверов впечатляет: Apache, IIS, Netscape, Stronghold, WebSite, 4D WebStar, ICSS, Domino и т.д. Абсолютно идентичную услугу предоставляет и VeriSign. Отличие состоит только в иконке на сайте и стоимости услуг - она как минимум вдвое (для коммерческих сайтов разница составляет 7 раз, а для крупных сайтов это различие может достигать 10 раз) превышает стоимость аналогичных услуг Thawte. Оно и понятно. VeriSign - известная во всем мире торговая марка, а Thawte знают очень немногие.

Второй знак качества еще не получил широкого распространения в России, но его активно начинают продвигать консалтинговые компании "большой пятерки", например, Ernst & Young и KPMG. По своей сути печать WebTrust аналогична сертификату Thawte - это гарантия качества Web-сервера. Однако WebTrust отражает в первую очередь не техническую сторону дела, а его бизнес-составляющую. Печать WebTrust гарантирует, что online-бизнес проверен лицензированной аудиторской компанией на соответствие Принципам и Критериям, описанным Американским институтом сертифицированных бухгалтеров AICPA и Канадским институтом присяжных бухгалтеров CICA. К принципам и критериям могут быть отнесены конфиденциальность (confidentiality), защищенность (security), доступность (availability), соблюдение прав на частную жизнь (privacy), удовлетворение клиентов (consumer redress) и прозрачность деловых принципов (business practice). "Знак качества" WebTrust обычно выдается компаниям, которые осуществляют свою деятельность в Internet и реализуют схему "бизнес клиентам" (business-to-client. B2C), с целью повышения доверия посетителей Web-сервера к розничным online-покупкам. В отличие от Thawte и VeriSign, сертификат которых выдается на 1 год, печать WebTrust требует ежеквартального обновления, в рамках которого подтверждается очередное соответствие Принципам и Критериям.

Выдавать заключения о соответствии тестируемого Web-сервера документам AICPA и CICA может любая компания, получившая лицензию на право проведения такой деятельности. В России таких компаний пока немного - их можно пересчитать по пальцам одной руки, например, KPMG или Ernst & Young. Однако больший объем работ, проводимых в процессе сертификации на получение WebTrust, приводит и к большим затратам.

В заключение хочу сказать, что получение "знака качества" для Web-сервера несет с собой ряд значительных преимуществ, к которым, в частности, можно отнести:

  • Повышение доверия к вашему бизнесу со стороны инвесторов, клиентов, партнеров и третьих лиц.
  • Отрыв на шаг вперед в конкурентной борьбе. При всех прочих равных условиях заказчик может уйти к той компании, которая подтвердит свой статус с помощью "знака качества", выданного третьей стороной.



Об авторе:

Алексей Викторович Лукацкий, заместитель директора по маркетингу Научно-инженерного предприятия "Информзащита"
(Москва). Автор книги "Обнаружение атак". Сертифицированный инструктор по безопасности компании Internet Security
Systems. Сертифицированный инженер по безопасности компании Check Point Software Technologies. Связаться с ним
можно по тел. (095) 937-3385 или e-mail: luka@infosec.ru.

14 января 2002 г.


обсудить  |  все отзывы (0)

[24570; 4; 5]




Rambler's Top100
Рейтинг@Mail.ru





  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach