La taxonomía siguiente es útil en entender los sistemas de la seguridad, las tecnologías y la autentificación filetea extensamente disponible para apoyar la transmisión y el almacenaje seguros de la información en un ambiente networked del e-negocio.
|
|
Los cortafuegos se utilizan para mantener una red
segura de intrusos. Un cortafuego es un hardware y un software
que consisten en del nodo de red que aísla una red privada.
Para entender cómo un cortafuego trabaja, uno debe tener una
comprensión de paquetes, de direcciones del IP y de ataques del DOS.
Sin embargo, muy simplemente, se explica con 2000) descripciones
de Hazari (:
"un cortafuego es como un bouncer en un nightclub.
Como un bouncer en un nightclub los cortafuegos
tienen un sistema de las reglas, similar a la lista de la huésped o al código del vestido, que se determinan si los
datos no se prohiben la entrada. Apenas pues el
bouncer se coloca en la puerta del nightclub, el
cortafuego está situado actualmente la entrada, donde los datos
procuran incorporar el sistema informático.
Pues diversos nightclubs pudieron tener diversas reglas para la entrada, diversos cortafuegos
tienen diversos métodos de examinar los datos para la aceptación o
el rechazamiento " (Turban et el al., 2002, p. 565).
Donde los servicios se proporcionan en línea, las
agencias necesitarán valorar de nuevo cómo authentican a usuarios.
Los defectos en la autentificación pueden conducir a las
situaciones tales como la transferencia ilegal de fondos, ordenar
desautorizada de mercancías o la alteración dañosa de datos.
La autentificación hace cumplir confianza en transacciones
electrónicas y es un componente vital del e-negocio.
Éstos se pueden poner en ejecucio'n de las maneras siguientes:
Una contraseña es un código o más a menudo una
palabra común usada para acceder a una red de ordenadores. Las
contraseñas son el método más común de autentificación para los
sistemas informáticos hoy. Los sistemas se deben diseñar para
incluir la expiración de contraseñas en los intervalos regulares.
Si un usuario tiene acceso a más de una sistema o base de datos
en la organización, él o ella debe aplicar diversas contraseñas a
diversos sistemas del acceso. La contraseña se cambia cuanto
más a menudo, más segura la cuenta llega a ser. Las tentativas
de la conexión se deben limitar a dos o tres veces y contraseñas no
se deben anotar. Según lo descrito por NOIE (2002), bajo
sistema de la contraseña, un cliente que tiene acceso al uso
electrónico de una agencia se solicita para incorporar un ' secreto
compartido ' por ejemplo una contraseña con su identificación del
usuario. El sistema comprueba que la contraseña contra la
información en una base de datos para asegurar su corrección y de
tal modo ' authenticara a cliente. Las contraseñas múltiples y
el cifrado de la contraseña se pueden utilizar para consolidar esta
técnica. Las identificaciones de usuario se utilizan
generalmente conjuntamente con contraseñas. La identificación
del usuario no se mantiene privada y se puede necesariamente componer
de varios pedazos de información simples. Por ejemplo, Shirley
Jones puede tener sjones de identificación del usuario los '.
Las identificaciones de usuario pueden también contener
números para ayudar a distinguir entre los clientes con nombres
similares o idénticos, e.g., ' sjones637 '. Típicamente, la
autentificación contraseña-basada no requiere ningunos productos o
servicio de los terceros. Es más barato poner en ejecucio'n y
garantiza un grado limitado de autentificación, y confía en los
usuarios que mantienen sus contraseñas secretas.
Que algunos usos es conveniente incluyan una contraseña de una
sola vez donde el sistema genera una contraseña única que se
entrará cada vez el uso está alcanzado. Los sistemas del
desafío y de la respuesta también authentican pidiendo que un
usuario responda a un desafío al azar que se base en la información
en su expediente del cliente, o en las frases ' secretas ' alojadas
con la agencia. Por ejemplo, al entrar en un Web site del
desafío y de la respuesta, pedirán el usuario primero una
identificación del usuario y una contraseña. Entonces serían
pedidas la información única, tal como el nombre medio de su segundo
niño. Si todos los datos emparejan, el acceso se concede http://www.rsasecurity.com.
Una galleta es un pedazo de la información que permite que un Web site registre sus comings y goings. Puede actuar como forma de autentificación para identificar al usuario cuando él o ella entra en después el mismo Web site. Pueden los sitios de la tela de la ayuda de las galletas reconocer no solamente a usuarios que vuelven, ellos pueden proporcionar el acceso a los recursos específicos, pista en la línea compras o proporcionar Web pages modificados para requisitos particulares. Utilizadas correctamente, las galletas pueden realzar grandemente la experiencia del usuario de los recursos de la tela y aumentar la conveniencia. Sin embargo, el uso erróneo de galletas plantea ediciones obvias de la aislamiento y de seguridad. Si se utilizan las galletas, debe ser mencionado en el Privacy Statement del Web site. Aunque las galletas son útiles para los usuarios también, han levantado preocupaciones por aislamiento con los sitios de la tela que recogían la información privada tal como usuarios, preferencias, intereses y practicando surf patrones.
Un control biométrico es la verificación de la
identidad de una persona basada en las características fisiológicas
o del comportamiento (Turban, 2002). La biométrica más común
es fotos de la cara, de las huellas digitales, de la geometría de la
mano, del patrón del vaso sanguíneo en la retina del ojo de una
persona, de la voz, de la firma, de las dinámicas del golpe de
teclado, de la exploración del diafragma y del otro thermography
facial. Con tecnología biométrica, se mide (por un micrófono,
un lector óptico o un poco de otro dispositivo) y se convierte la
característica física en forma digital. Esta información
después se compara con una copia almacenada ya en la computadora y
authenticó como perteneciendo a una persona particular. Si
emparejan, el software aceptará la autentificación y la transacción
se permite proceder.
Los usos biométricos pueden proporcionar niveles muy altos de
la autentificación, y se pueden aplicar para identificar a
estudiantes que emprenden exámenes en línea de una posición remota,
los recipientes del fraude de los derechos del gobierno, los
compradores y los vendedores autorizados, y persona que emprende las
entrevistas para el empleo. Los usos para la biométrica
incluyen el acceso de la máquina de caja automática, conexión de la
red del ordenador personal, tiempo y atención, seguridad de datos del
empresa-nivel, acceso físico y verificación del cliente. La
autentificación biométrica es también conveniente para el acceso a
los dispositivos individuales. Se satisface menos para la
autentificación a las redes abiertas del excedente de los sistemas de
software tales como el Internet.
El cifrado es la codificación de la información
usando un programa matemáticamente basado y un secreto para producir
una cadena de caracteres que jumbled. Consiste en un algoritmo y
una llave para codificar y descifrar del texto. El sistema
utiliza una llave secreta, que es un fichero electrónico que incluye
un valor matemático. Esto se utiliza conjuntamente con un
algoritmo para cifrar o para descifrar un mensaje. El cifrado
convencional se utiliza para el cifrado y el desciframiento de la
información, y se puede realizar muy rápidamente por las PC
modernas.
La criptografía asimétrica también authentica a usuarios.
Por ejemplo, publicarían los clientes con una llave privada en
un dispositivo de hardware. La llave pública asociada es
llevada a cabo con seguridad por la agencia. Al entrar, el
cliente incorporaría su o su identificación del usuario y
contraseña. La agencia entonces enviaría automáticamente un
número al azar para el usuario a la llave en su o su dispositivo.
El dispositivo emplea la llave privada para procesar el número
al azar y produce un resultado que el usuario incorpore en el proceso
de la conexión de la agencia. Si la agencia puede recuperar el
número al azar original invirtiendo el proceso con la llave pública
correspondiente, después el cliente es auténtico (http://webopedia.internet.com/TERM/C/challenge_response.html).
El cifrado dominante público es una forma de
criptografía asimétrica. Asegura el secreto y la aislamiento
de un mensaje mientras que se mueve a través de una red
revolviéndola o cifrando de modo que sea difícil y desperdiciador de
tiempo para que una persona desautorizada descifre el mensaje.
Las aplicaciones dominantes públicas de la criptografía
separan pares de las llaves para la autentificación (o firma) y
cifrado (o secreto). Los pares dominantes se refieren como
llaves públicas y llaves privadas. Un uso de la criptografía
dominante pública según lo descrito en el informe de NOIE (2002) es:
"autentificación (o firma). Al usar un par de la
llave de la autentificación, la llave pública se publica al mundo
mientras que guarda su secreto dominante de ' firma ' privado.
Cualquier persona con una copia de la llave pública puede
descifrar algo cifró unos llave de ' firma ' privada. Esto
proveerá les un nivel del aseguramiento de unos de identidad.
En sus el propios, la llave del público no se puede utilizar
para firmar un documento; puede ser utilizado solamente para
verificar quién lo ha firmado.
Cifrado (o secreto). En la misma manera, utilizar un
par de la llave del cifrado se publica la llave pública mientras que
la llave privada se mantiene un secreto. Cualquier persona con
una copia de esta llave pública publicada puede entonces cifrar la
información que solamente el remitente puede leer. La
información cifrada con el ' secreto público ' llave se puede
descifrar solamente usando unos ' secreto privado ' llave."
Varias soluciones prominentes de la autentificación hacen
uso la criptografía dominante pública. Éstos incluyen PKI, el
PGP y el SSL.
PKI es un sistema de procedimientos y de la tecnología que permite a usuarios de una red tales como el Internet authenticar identidad, e intercambiar a con seguridad y privado la información con el uso de la criptografía dominante pública. Para alcanzar esto, las llaves públicas y privadas y un certificado digital se pueden obtener con una autoridad confiada en de los terceros, conocida como autoridad de la certificación (CA). El CA liga la llave pública al certificado digital y atestigua para la identidad del sostenedor dominante. Las autoridades del registro (RAs) recogen y manejan los niveles apropiados de la evidencia de la identidad (EOI) de los aspirantes para los certificados digitales. El dependiente sobre el modelo del negocio de PKI empleado, RAs apropiadamente acreditado puede también crear las llaves y los certificados (NOIE, 2002).
El PGP es un uso del software de la seguridad que
permite a dos partidos sabidos intercambiar la información con
seguridad por uno a. El PGP se puede utilizar para las
comunidades o los negocios pequeños que se conocen y desean
comunicarse con seguridad. En estos casos es fácil intercambiar
manualmente los diskettes o los E-maices que contienen la llave
pública de cada dueño más bien que las llaves públicas que
publican al mundo. Cada miembro del grupo lleva a cabo una copia
de uno a llave pública.
Las dificultades se asociaron a llevar a cabo una gran cantidad
de llaves públicas significan que el PGP es práctico solamente a
cierto punto. Más allá de ese punto, es necesario poner
sistemas en el lugar que puede proporcionar la seguridad necesaria,
los mecanismos del almacenaje y del intercambio para los compañeros
de trabajo, los socios de negocio o los extranjeros para comunicarse
si sea la necesidad. Los sistemas de PKI (discutidos arriba)
proporcionan estas clases de características.
El protocolo seguro de la capa de los zócalos (SSL) es un sistema de reglas que gobiernan la autentificación de servidores (tales como servidores de la tela) y la comunicación cifrada entre los clientes y los servidores. Funciona en la capa de TCP/IP y apoya una variedad de algoritmos del cifrado y de métodos de la autentificación. El protocolo fue desarrollado para asegurar la transmisión de datos sobre el Internet. El proceso de la autentificación debajo del SSL utiliza el cifrado dominante público, y las firmas digitales no authentican a usuario sino confirman que un servidor es en hecho el servidor que demanda ser. Una vez que se haya authenticado el servidor, el cifrado dominante simétrico del uso del cliente y del servidor para cifrar la información intercambiada electrónicamente. Una diversa llave de la sesión se utiliza para cada transacción, impidiendo la capacidad de un hacker de descifrar mensajes. Sin embargo, el SSL y la seguridad de la capa de transporte (TLS) proporcionan solamente secreto y la integridad para el servidor (http://www.dsd.gov.au/infosec/publications/SSL_policy.html).
Una solución crypotographic que se diseña para manejar la transacción completa es la transacción electrónica segura (FIJE). Para satisfacer pagos de la tarjeta de crédito en la tela, la visa y la Mastercard necesitaron un protocolo que podría ligar con seguridad el Internet a la tarjeta de banco existente que procesaba redes, y los dos iban head-to-head con las soluciones competentes (Turban, 2002). Esto hace cumplir confianza en e-negocio debido a la implicación de compañías reputadas. Sin importar qué protocolo viene hacia fuera en la tapa, la confianza de los clientes en la seguridad de transacciones en la tela es realzada por nombres como visa y Mastercard. El protocolo convergido que la colaboración que sobrevenía produjo se conoce como transacciones electrónicas seguras, o SISTEMA. Como cualquier otro protocolo del seguro-canal, el SISTEMA proporciona la autentificación de public/private y la integridad dominantes del mensaje y se diseña específicamente para las transacciones de la tarjeta de crédito, en que la información sensible está cifrada a través de la red de tarjeta-proceso. Fijó la configuración permite que los comerciantes tengan acceso solamente a los datos que requieren para satisfacer la orden, haciéndola más segura. El restos de la tarjeta de crédito de los datos del cliente cifrado hasta que alcanza a instituciones financieras apropiadas. Todas las compañías principales implicaron esperanza que el SISTEMA es el protocolo que finalmente confianza del instil en el Internet como espacio seguro en el cual conducir el e-negocio (NOIE, 2002). La aceptación del SISTEMA ha sido lenta en Australia debido al requisito de ambos clientes para tener el software especializado.
Online: 662 users browsing the articles directory
|
|