O seguinte taxonomy é útil em compreender os sistemas da segurança, as tecnologias e o authentication dirigem extensamente disponível para suportar a transmissão e o armazenamento seguros da informação em um ambiente networked do e-negócio.
|
|
Os guarda-fogos são usados manter uma rede segura
dos intruders. Um guarda-fogo é uma ferragem e um software
consistindo do nó de rede que isole uma rede confidencial. A
fim compreender como um guarda-fogo trabalha, um deve ter uma
compreensão dos pacotes, dos endereços do IP e dos ataques do DoS.
Entretanto, muito simplesmente, é explicado com 2000)
descrições de Hazari (:
"um guarda-fogo é como um bouncer em um nightclub.
Como um bouncer em um nightclub os guarda-fogos
têm um jogo de réguas, similar à lista do convidado ou ao código do vestido, que determinam se os dados for
permitida a entrada. Apenas porque o bouncer se
coloca na porta do nightclub, o guarda-fogo é ficado
situado no ponto da entrada, onde os dados tentam incorporar o sistema computatorizado. Porque os
nightclubs diferentes puderam ter réguas diferentes
para a entrada, os guarda-fogos diferentes têm métodos diferentes de
inspecionar dados para a aceitação ou a rejeção " (Turban et al., 2002, p. 565).
Onde os serviços são fornecidos em linha, as
agências necessitarão reassess como authenticate usuários. As
falhas no authentication podem conduzir às situações tais como
transferência ilegal dos fundos, requisitar desautorizado dos bens ou
a alteração mischievous dos dados. O authentication reforça a
confiança em transações eletrônicas e é um componente vital do
e-negócio.
Estes podem ser executados nas seguintes maneiras:
Uma senha é um código ou mais frequentemente uma
palavra comum usado ganhar o acesso a uma rede de computador. As
senhas são o método o mais comum do authentication para os sistemas
computatorizados hoje. Os sistemas devem ser projetados incluir
a expiração das senhas em intervalos regulares. Se um usuário
tiver o acesso a mais de uma sistema ou base de dados na
organização, ou devem aplicar senhas diferentes aos sistemas
diferentes do acesso. A senha é mudada mais frequentemente,
mais seguro o cliente torna-se. As tentativas do início de uma
sessão devem ser limitadas a dois ou três vezes e senhas não devem
ser escritas para baixo. Como descrito por NOIE (2002), sob um
sistema da senha, um cliente que alcança a aplicação eletrônica de
uma agência é pedido para incorporar ' um segredo compartilhado '
como uma senha com seu usuário ID. O sistema certifica-se de
que a senha de encontro à informação em uma base de dados para
assegurar sua exatidão e desse modo ' authenticates' o cliente.
As senhas múltiplas e o encryption da senha podem ser usados
strengthen esta técnica. O usuário IDs é usado geralmente em
combinação com senhas. O usuário ID necessariamente não é
mantido confidencial e pode ser composto de diversas partes de
informação simples. Para o exemplo, Shirley Jones pode ter os
sjones' do ID de usuário '. O usuário IDs pode também conter
números para ajudar distinguir entre clientes com nomes similares ou
idênticos, por exemplo, ' sjones637 '. Tipicamente, o
authentication senha-baseado não requer nenhum produto ou serviço do
terceiro partido. É mais barato executar e garante um grau
limitado de authentication, e confia nos usuários que mantêm suas
senhas secretas.
Para algumas aplicações é apropriado incluir uma senha
one-time onde o sistema gere uma senha original a ser entrada cada vez
a aplicação seja alcançado. Os sistemas do desafio e da
resposta authenticate também pedindo que um usuário responda a um
desafio aleatório que seja baseado na informação em seu registro do
cliente, ou nas frases ' secretas ' alojadas com a agência.
Para o exemplo, ao entrar em um Web site do desafio e da
resposta, o usuário será pedido primeiramente um usuário ID e
senha. Ser-lhes-iam pedidos então informação original, tal
como o nome médio de sua segunda criança. Se todos os dados
combinarem, o acesso está concedido http://www.rsasecurity.com.
Um bolinho é uma parte de informação que permite que um Web site grave one's comings e goings. Pode agir como um formulário do authentication para identificar o usuário quando ou entram em seguida no mesmo Web site. Não somente podem os locais da correia fotorreceptora da ajuda dos bolinhos reconhecer usuários de retorno, eles podem fornecer o acesso aos recursos específicos, trilha na linha compras ou fornecer Web pages customised. Usados corretamente, os bolinhos podem extremamente realçar a experiência do usuário de recursos da correia fotorreceptora e aumentar a conveniência. Entretanto, o emprego errado dos bolinhos levanta edições óbvias da privacidade e de segurança. Se os bolinhos forem usados, deve-se mencionar no Privacy Statement do Web site. Embora os bolinhos fossem úteis para usuários também, levantaram interesses sobre a privacidade com locais da correia fotorreceptora que coletam a informação confidencial tal como usuários, preferências, interesses e surfing testes padrões.
Um controle biometric é a verificação da
identidade de uma pessoa baseada em características physiological ou
behavioural (Turban, 2002). O biometrics o mais comum é fotos
da cara, das impressões digitais, da geometria da mão, do teste
padrão da embarcação de sangue no retina do olho de uma pessoa, da
voz, da assinatura, da dinâmica do keystroke, da varredura da íris e
do outro thermography facial. Com tecnologia biometric, a
característica física é medida (por um microfone, por um leitor
ótico ou por algum outro dispositivo) e convertida no formulário
digital. Esta informação então é comparada com uma cópia
armazenada já no computador e authenticated como pertencendo a uma
pessoa particular. Se combinarem, o software aceitará o
authentication e a transação é permitida proseguir.
As aplicações biometric podem fornecer níveis muito elevados
do authentication, e podem ser aplicadas para identificar os
estudantes que empreendem exams em linha de uma posição remota,
receptores do fraud de entitlements do governo, compradores e sellers
autorizados, e pessoa que empreende as entrevistas para o emprego.
As aplicações para o biometrics incluem o acesso da máquina
de caixa automática, o início de uma sessão da rede de computador
pessoal, o tempo e o comparecimento, a segurança de dados do
empresa-nível, acesso físico e verificação do cliente. O
authentication biometric é também apropriado para o acesso aos
dispositivos individuais. É servido mais menos para o
authentication às redes abertas do excesso dos sistemas de software
tais como o Internet.
O encryption é o coding da informação usando um
programa matematicamente baseado e um segredo produzir uma corda dos
caráteres que jumbled. Consiste em um algoritmo e em uma chave
para codificar e descodificar do texto. O sistema usa uma chave
secreta, que seja uma lima de computador que inclua um valor
matemático. Isto é usado conjuntamente com um algoritmo cifrar
ou descifrar uma mensagem. O encryption convencional é usado
para o encryption e o decryption da informação, e pode ser
executado muito rapidamente por PCES modernos.
O cryptography asymmetric authenticates também usuários.
Para o exemplo, os clientes seriam emitidos com uma chave
confidencial em um dispositivo de ferragem. A chave pública
associada é mantida firmemente pela agência. Ao entrar, o
cliente incorporaria seu ou seu usuário ID e senha. A agência
então emitiria automaticamente um número aleatório para o usuário
à chave em seu ou seu dispositivo. O dispositivo emprega a
chave confidencial para processar o número aleatório e produz um
resultado que o usuário incorpore no processo do início de uma
sessão da agência. Se a agência puder recuperar o número
aleatório original invertendo o processo com a chave pública
correspondente, a seguir o cliente é authentic (http://webopedia.internet.com/TERM/C/challenge_response.html).
O encryption chave público é um formulário do
cryptography asymmetric. Assegura o confidentiality e a
privacidade de uma mensagem enquanto se move através de uma rede
scrambling ou cifrando a de modo que seja difícil e hora que consome
para que uma pessoa desautorizada descifre a mensagem. Os usos
chaves públicos do cryptography separam pares das chaves para o
authentication (ou assinar) e o encryption (ou o confidentiality).
Os pares chaves são consultados como às chaves públicas e às
chaves confidenciais. Uma aplicação do cryptography chave
público como descrita no relatório de NOIE (2002) é:
"authentication (ou assinar). Ao usar um par da
chave do authentication, a chave pública é publicada ao mundo ao
manter seu segredo chave ' assinando ' confidencial. Qualquer um
com uma cópia da chave pública pode descifrar algo cifrou chave '
assinando ' confidencial. Isto fornecer-lhes-á com um nível da
garantia de umas a identidade. No seus próprios, a chave do
público não pode ser usada assinar um original; pode-se
somente usar-se verificar quem o assinou.
Encryption (ou confidentiality). Na mesma forma,
para usar um par da chave do encryption a chave pública é publicada
quando a chave confidencial for mantida um segredo. Qualquer um
com uma cópia desta chave pública publicada pode então cifrar a
informação que somente o remetente pode ler. A informação
cifrada com ' o confidentiality público ' chave pode somente ser
descifrada usando ' confidentiality confidencial ' chave."
Diversas soluções proeminentes do authentication
empregam o cryptography chave público. Estes incluem PKI, PGP e
SSL.
PKI é um jogo dos procedimentos e da tecnologia que permite usuários de uma rede tais como o Internet de authenticate a identidade, e para trocar a firmemente e confidencialmente a informação com o uso do cryptography chave público. Para conseguir isto, as chaves públicas e confidenciais e um certificado digital podem ser obtidos com uma autoridade confiada do terceiro partido, sabida como uma autoridade da certificação (CA). O CA liga a chave pública ao certificado digital e vouches para a identidade do suporte chave. As autoridades do registo (RAs) coletam e controlam os níveis apropriados da evidência da identidade (EOI) dos pretendentes para certificados digitais. O dependente em cima do modelo do negócio de PKI empregado, RAs apropriadamente acreditado pode também criar as chaves e os certificados (NOIE, 2002).
O PGP é uma aplicação do software da segurança
que permita dois partidos sabidos de trocar firmemente a informação
com se. O PGP pode ser utilizado para as comunidades ou os
negócios pequenos que se conhecem e se desejam se comunicar
firmemente. Nestes exemplos é fácil trocar manualmente os
diskettes ou os E-mais que contêm a chave pública de cada
proprietário melhor que chaves públicas publicando ao mundo.
Cada membro do grupo prende uma cópia de se chave pública.
As dificuldades associaram com prender um grande número chaves
públicas significam que o PGP é prático somente a algum ponto.
Além desse ponto, é necessário pôr sistemas no lugar que
pode fornecer a segurança necessária, mecanismos do armazenamento e
da troca para colegas de trabalho, sócios de negócio ou desconhecido
para se comunicar se a necessidade for. Os sistemas de PKI
(discutidos acima) fornecem estes tipos das características.
O protocolo seguro da camada dos soquetes (SSL) é um jogo de réguas que governam o authentication dos usuários (tais como usuários da correia fotorreceptora) e uma comunicação cifrada entre clientes e usuários. Opera-se na camada de TCP/IP e suporta-se uma variedade de algoritmos do encryption e de métodos do authentication. O protocolo foi desenvolvido para fixar a transmissão dos dados sobre o Internet. O processo do authentication sob o SSL usa o encryption chave público, e as assinaturas digitais não authenticate o usuário mas confirmam que um usuário é no fato o usuário que reivindica ser. Uma vez que o usuário authenticated, o encryption chave symmetric do uso do cliente e do usuário para cifrar a informação trocou eletronicamente. Uma chave diferente da sessão é usada para cada transação, impedindo a abilidade de um hacker de descifrar mensagens. Entretanto, o SSL e a segurança da camada de transporte (TLS) fornecem somente o confidentiality e a integridade para o usuário (http://www.dsd.gov.au/infosec/publications/SSL_policy.html).
Uma solução crypotographic que seja projetada segurar a transação completa é a transação eletrônica segura (AJUSTE). A fim cumprir pagamentos credit-card na correia fotorreceptora, o visto e o masterCard necessitaram um protocolo que poderia com segurança ligar o Internet a bank-card existente que processa redes, e os dois foram head-to-head com soluções competindo (Turban, 2002). Isto reforça a confiança no e-negócio por causa da participação de companhias reputed. Não obstante que protocolo vem para fora no alto, a confiança dos clientes na segurança das transações na correia fotorreceptora é realçada por nomes como o visto e o masterCard. O protocolo convergido que a colaboração seguindo produziu é sabido como transações eletrônicas seguras, ou JOGO. Como todos os outros protocolos da seguro-canaleta, o JOGO fornece o authentication de public/private e a integridade chaves da mensagem e é projetado especificamente para transações credit-card, que a informação sensível está cifrada durante todo a rede cartão-processando. Ajustou a configuração permite que os comerciantes alcancem somente os dados que requerem para cumprir a ordem, fazendo a mais segura. O remains credit-card dos dados do cliente cifrado até que alcançar as instituições financeiras apropriadas. Todas as companhias principais envolveram a esperança que o JOGO é o protocolo que finalmente confiança do instil no Internet como um espaço seguro em que para conduzir o e-negócio (NOIE, 2002). A aceitação do JOGO foi lenta em Austrália devido à exigência por ambos os clientes ter o software especializado.
Online: 600 users browsing the articles directory
|
|