Bezpieczeństwo transakcji internetowych, Praca magisterska Opcje

[markonix]

Ostatecznie zmieniłem temat z "automatyzacji" na "bezpieczeństwo".
Tematykę mam dobrze przemyślaną ale brakuje mi kilku punktów w teorii.

1. Znaczenie, historia, aspekty
2. Konkretne zagrożenia (ataki) i sposoby zapobiegania.
3. PRAKTYKA: Wdrożenie wirtualnego portfela.

O ile 3 to praktyczne dział rzeka bo zabezpieczać go mogę na mnóstwo sposobów, przy drugim też mogę się dość dobrze rozpisać to przy pierwszym troszkę mam problemów z wymyśleniem - opisałem co to bezpieczeństwo, czemu trzeba uważać, historia i jakaś definicja ale wyszło mi zaledwie z tego kilka stron, troszkę kiepsko jak na cały rozdział. Jakieś sugestie?

[ano]

Spółkę Bazy i Systemy Bankowe pewnie znasz...? Jeśli nie to czym prędzej się zapoznaj, na pewno coś Ci sie rzuci w oczy. Najstarsza Polska firma z tej branży, obsługuje praktycznie cały sektor bankowy w PL ;-)
http://www.bsb.pl/
I np konkretne przykłady: http://www.bsb.pl/sektor-bankowy/bezpieczenstwo-it.html

Powinny Cię też zainteresować zalecenia KNF - http://www.knf.gov.pl/regulacje/praktyka/r...komendacje.html
W szczególności: http://www.knf.gov.pl/Images/Rekomendacja_...tcm75-33016.pdf (dotycząca zarządzania ryzykami towarzyszącymi systemom informatycznym i telekomunikacyjnym używanym przez banki)

[Jowix]

Witam. Co do historii to mogę dodać własne przemyślenia. Problem z transakcjami jak i wszelkimi innymi działaniami związanymi z Internetem polega na tym, iż wiele tych aspektów jeszcze parę lat temu nie było prawnie uregulowanych. Szczególnie w takich krajach jak USA, gdzie większość technologii przecierało szlaki. Polska mogła zapożyczać pewne prawne rozwiązania z krajów zachodnich. Przykładowo, nie można było sądzić osób za kradzież internetową, bo taka rzecz prawnie nie istniała. Dziś wszystko już wygląda inaczej. Potrzeba wprowadzenia sankcji pociągnęła za sobą wiele zmian i nowych ustaleń, ponieważ było to niezbędne by skutecznie rozwiązywać wszelkiej maści problemy dotyczące praw autorskich, kradzieży i bardzo wielu innych rzeczy. Jak wiadomo w Internecie wszystko jest możliwe . Nowe rodzaje działalności przestępczej będą się pewnie cały czas pojawiały. Do autora tematu "markonix": trochę wiadomości związanych ze swoją pracą możesz znaleźć w normie PN-ISO/IEC 17799:2007. Z tego co pamiętam punkt 10.9 o tym mówi. Pozdrawiam

Ten post edytował Jowix 6.05.2013, 15:19:44

[markonix]

Dzięki ano za linki, fajne są te rekomendacje.
Ogólnie jednak nie chce aż tak bardzo wchodzić w temat bankowości bo to już troszkę odbiega od założeń (temat nie ma jeszcze ostatecznej formy).
Bezpieczeństwo w bankowości to dość rozległy temat, potem też trzeba by cały rozdział o kartach kredytowych..

Bardziej przez transakcje rozumiem transakcje w serwisie internetowym - tu wirtualny portfel.
Zabezpieczenia serwisu (logowanie, ataki) oraz autoryzacja transakcji (potwierdzenia sms, hasła tymczasowe).

Jowix, dzięki za sugestie. Właśnie to akurat w historii opisałem bo to dość ciekawe, że po prostu wcześniej przestępstwa internetowe nie mogły mieć miejsca
Opisałem kilka pierwszych ataków i pierwsze zmiany w prawie ich dotyczące.

Ogólnie na razie pierwszy rozdział ruszył, bezpieczeństwo rozpatruje się w literaturze przez różne aspekty jak autoryzacja, uwierzytelnianie, integralność itp.
Jest ich troszkę i o każdym da się spokojnie kilka stron

[Galik]

Jeśli chodzi o historię transakcji internetowych to rzeczywiście na początku nie było zbyt kolorowo, ale na szczęście z czasem zmieniło się trochę na lepsze, chociaż i tak co jakiś czas się słyszy o występowaniu różnych incydentów. Co do normy, którą wspomniał Jowix to opisuje ona bardzo fajnie jak zachować maksymalne bezpieczeństwo w transakcjach internetowych. Wskazówka do wdrożenia odpowiednich zabezpieczeń mówi:

„ Zalecane jest uwzględnienie następujących aspektów bezpieczeństwa związanych z transakcjami on-line:
a) stosowanie podpisów elektronicznych przez wszystkie strony zaangażowania w transakcję;
b) wszystkie aspekty transakcji, tzn. zapewnienie, że:
1) dokumenty uwierzytelniające wszystkich stron są ważne i zweryfikowane;
2) transakcja pozostaje poufna;
3) pozostaje utrzymana prywatność wszystkich zaangażowanych stron;
c) szyfrowanie ścieżki komunikacji pomiędzy stronami;
d) wykorzystywanie bezpiecznych protokołów do komunikacji pomiędzy zaangażowanymi stronami;
e) zapewnienie, że szczegóły transakcji przechowywane są poza publicznie dostępnym środowiskiem, np. na platformie przechowującej umieszczonej w Internecie organizacji, a nie są przechowywane i wystawione na nośniku bezpośrednio dostępnym z Internetu;
f) jeśli jest wykorzystywana zaufana strona trzecia (np. w celu wydawania i utrzymywania podpisów i/lub certyfikatów cyfrowych), to bezpieczeństwo jest zintegrowane i włączone w cały proces zarządzania certyfikatami lub podpisami.”

Co też może być interesujące, norma ta została opracowana na podstawie brytyjskiego standardu
BS 7799 wydanego w 1995, który stanowił podstawę systemów zarządzania bezpieczeństwem informacji.

Ten post edytował Galik 6.05.2013, 17:02:14