صفحه نخست     خدمات بانک و بیمه     سود بانکی     پیوندها     نسخه موبایل     RSS     درباره ما     تماس با ما  
جمعه، 9 مهر 1395 - 15:12   
  سرخط خبرها:  
 آخرین مطالب سایت
  رشد موسسات مالی غیرمجاز مهار شد
  به روز رسانی سامانه اینترنت بانک شهر ویژه نابینایان
  اولویت بانک مرکزی - گسترش کارتهای اعتباری
  پاسخگویی مدیران بانک صادرات با صدای سپهر
  تصویب صورت های مالی بانک ملت
  لگزایی عضو هیات مدیره بانک ملت شد
  افزایش مراودات بانک "ایران و اروپا" با تهران
  گنجاندن خدمات دندانپزشکی در پوشش بیمه
  همکاری میان بیمه مرکزی و وزارت تجارت عمان
  اعلام برنامه های معاونت جدید بیمه دانا
  پرداخت تسهیلات به مشاغل خانگی روستایی
  سرمایه بانک کشاورزی افزایش می‌یابد
  بررسی راهکارهای سودآوری شعب بانک ملی
  وام بانک ملی برای آزادی زندانیان جرایم غیرعمد
  حضور نمایندگان بیمه مرکزی در کمیته اجرایی فیر
  اعلام زمان بندی پرداخت سود سهام بانک ملت
  قیمت طلا در کوتاه مدت در نوسان خواهد بود
  فساد کلان در بانک تجارت
  افتتاح شصت ویکمین شعبه بیمه پارسیان
  بانک سینا مجمع سالانه برگزار می کند
  بانک صادرات به بازنشستگان وام می دهد
  خریدنرم افزار آلمانی در بیمه بررسی می شود
  افزایش همکاری بانک سینا با بانک مسقط
  تداوم کاسبی تحریم از سوی برخی بانک‎ها!
  حذف یارانه خانوارهای با درآمد سالانه ۳۵ میلیونی
  رسیدگی به پرونده اختلاس بانک تجارت‌
  صدور ۱۵۸ هزار کارت اعتباری رنگی از ابتدای مهر
  اتریش پوشش بیمه‌ای صادرات به ایران را افزایش داد
  معاملات مسکن تهران در شهریورماه افزایش یافت
  بانک مرکزی به بانک‌ها درجه‌ می دهد
  اعتبار کارت خرید کالای ایرانی تمدید شد
  رشد 14 درصدی حق بیمه نوین در6 ماه اول سال
  بازدیدمدیرعامل بانک کشاورزی از شعب زنجان
  پربازده‌ترین صندوق‌های سرمایه‌گذاری کدامند؟
  تکلیف موسسه اعتباری میزان مشخص می شود
  افزایش 39 درصدی تسهیلات پرداختی بانک ها
  بیمه پارسیان جایزه مدیریت سلامت اداری گرفت
  تأکید بیمه آرمان بر توسعه و فروش بیمه های عمر
  همکاری نزدیک آتش نشان ها و بیمه گران
  تقاضای فیزیکی طلا با کاهش روبرو شده
 
 پربیننده ترین اخبار
  گنجاندن خدمات دندانپزشکی در پوشش بیمه
  افزایش مراودات بانک "ایران و اروپا" با تهران
  همکاری میان بیمه مرکزی و وزارت تجارت عمان
  پاسخگویی مدیران بانک صادرات با صدای سپهر
  رشد موسسات مالی غیرمجاز مهار شد
  به روز رسانی سامانه اینترنت بانک شهر ویژه نابینایان
  اولویت بانک مرکزی - گسترش کارتهای اعتباری
  لگزایی عضو هیات مدیره بانک ملت شد
  تصویب صورت های مالی بانک ملت
- اندازه متن: + -  کد خبر: 12033پنجشنبه، 21 مهر 1390 - 03:43
امنیت فناوری اطلاعات در بانکداری الکترونیکی
امنیت فناوری اطلاعات در بانکداری الکترونیکی* افشین لامعی** تینا تعویذی
  
  اشاره
 فناوری اطلاعات از دو جنبه بانکداری را تحت تأثیر قرار می‏دهد. یکی ارتباطات و دیگری مهندسی مجدد فرایندهای تجاری. به کمک فناوری اطلاعات، توسعة محصولات با قابلیت‏های پیچیده، مدیریت مخاطرات و غلبه بر فواصل جغرافیایی تسهیل می‌شود. دو مورد از مهم‏ترین محصولات توسعه یافته به‌واسطة فناوری اطلاعات، بانکداری متمرکز و بانکداری الکترونیکی هستند. در این نوشته به مسائل امنیتی مطرح در به‌کارگیری این فناوری‌ها پرداخته‌ایم.

مزایای به‌کارگیری فناوری اطلاعات
استفاده از خدمات بانکداری متمرکز و بانکداری الکترونیکی مزایای فراوانی برای بانک‌ها به همراه داشته است، از جمله:
*تسریع در انجام عملیات بانکی و صرفه‌جویی در زمان به‌واسطه فراهم شدن امکان تراکنش‏های برخط.
* امکان به‌کارگیری فناوری اینترنت، که کیفیت سرویس خدمات بانکی را از جنبه‏های پاسخ‌گویی بهتر، ارتباطات و دسترس‏پذیری بهبود داده و در هر کجا و هر زمان در دسترس است.
* امکان معرفی کانال‏های جدید سرویس‏دهی مانند خودپرداز، تلفن بانک و موبایل بانک.
* یکپارچگی اطلاعات و خدمات بانکی که موجب انعطاف پذیری بیشتر این سیستم‏ها شده است.

بانکداری متمرکز (Core Banking)
براساس یک تعریف کلی، سیستم بانکداری متمرکز سیستمی است که در آن کلیة محصولات و خدمات بانکی و عملیات راهبری و مدیریت آن‏ها، از طریق دسترسی به پایگاه داده‌های مشترک و متمرکز، در قالب یک سیستم ارائه می‌شودکه انعطاف‌پذیری این سیستم و مشتری محوری از ویژگی‌های مهم آن است. بدون ایجاد یک بانک اطلاعاتی متمرکز و یکپارچه، خدمات به‌صورت جزیره‌ای و غیرهمسان ارائه خواهد شد.

بانکداری الکترونیک
بانکداری الکترونیک به معنای استفاده از تجهیزات الکترونیکی به‌جای استفاده از شیوه‌های سنتی برای انجام عملیات بانکی است. برخی از انواع خدمات در‌ بانکداری الکترونیک شامل موارد زیر است :
1.بانکداری اینترنتی
2.چک الکترونیکی
3.دستگاه‏های خودپرداز
4.SMS، WAP)Mobile Banking )
5.پایانه فروش (POS)
6.وب‌کیوسک‌های خدمات بانکی
7.ارائة خدمات بانکی از طریق تلویزیون‌های کابلی
8.ارائه خدمات بانکی از طریق دستیارهای شخصی (PDA)
واقعیت این است که در بانکداری الکترونیک به‌جای کنترل چشمی اطلاعات و ارقام مندرج در اسناد بانکداری که دور از خطا نیست، از کنترل الکترونیکی ارقام و اطلاعات که به مراتب دقیق‌تر، همه‌جانبه‌تر، با قابلیت اعتماد به مراتب افزون‌تر و دور از خطای انسانی است بهره گرفته می‌‌شود که این امر به نوبه خود مستلزم درک عمیق از ساز و کار معماری بانکداری الکترونیکی است. این آگاهی هم می‌‌تواند کلید کنترل این فناوری را در اختیار بانکداران قرار دهد، کلیدی که همانند هر فناوری دیگری، قالب‌های زمانی اجرای عملیات را می‌‌شکند و به‌تبع آن هزینه‌های رو به تزاید بانکداری سنتی را به‌طور مستمر کاهش می‌‏دهد و می‌‌تواند این واقعیت را آشکار سازد که بانکداری الکترونیکی به لحاظ استقلال از زمان و مکان، هم تعداد سپرده‌گذاران را افزایش ‌‌دهد و هم عاملی باشد که سپرده‌های جمع آوری شده را بدون درنگ در اختیار وام گیرندگان قرار دهد.

مشکلات توسعه بانکداری متمرکز
در زیر به برخی مشکلات توسعه و گستردگی به‌کارگیری بانکداری متمرکز اشاره شده است:
1.دشواری دسترسی و خرید نرم‌افزار‌های خارجی
2.دشواری انطباق نرم افزارهای خارجی با عملیات بانکی داخلی
3.عدم طراحی و تهیه نرم‌افزار  core banking  بانک‌های دولتی داخل
4.دشواری جذب و نگهداری نیروهای متخصص در این زمینه
5.دشواری‌های ناشی از عدم شناخت مدیران و دستگاه‌های ناظر و بازرس
6.محدودیت‌های ناشی از آیین‌نامه‌های معاملاتی

امنیت اطلاعات در بانکداری متمرکز
بانکداری الکترونیک به مشتریان بانک اجازه می‌‌دهد با رعایت روش‏های کاری مشخص و استفاده از پروتکل‌های استاندارد نسبت به افتتاح حساب از راه دور اقدام کند و با استفاده از رمز اختصاصی به درون شبکه بانکداری راه یافته، از ایستگاه‏های بازرسی و کنترل عبور کرده، مبلغی به حساب خود واریز و یا از آن برداشت نمایند. چنین فرآیندی مبین این واقعیت است که تراکنش‌های عملیات که در بانکداری سنتی قابل رؤیت است، در بانکداری الکترونیک پنهان از دید مستقیم بانکداران صورت می‌‌پذیرد و همین نامرئی بودن ظاهری تراکنش‌ها، گاهی موجب تردید در به‌کارگیری این معماری می‌شود.
باید توجه داشت که در کنار مزایای یاد شده، به‌منظور صحت انجام عملیات و تراکنش‏های بانکی در قالب سیستم‏های بانکداری متمرکز و بانکداری الکترونیک و جلوگیری از هر گونه سوء استفاده، باید جنبه‏های امنیتی در پیاده‌سازی و به‌کارگیری این فناوری را شناخته و به کمک کارشناسان متخصص در حیطة امنیت، این موارد را به‌درستی پیاده‌سازی کرد.
به‌کارگیری هر فناوری جنبه‏های امنیتی خاص خود را دارد. در ادامه به برخی سرفصل‌های کلی و اهداف امنیتی مورد نظر در به‌کارگیری خدمات بانکداری الکترونیکی اشاره می­ کنیم.
1. پیشگیری از تراکنش­های غیر مجاز و سرقت پول
2.پیشگیری و شناسایی جعل هویت
3.حفظ یکپارچگی داده‌های بانکی
4.حفظ دسترس‌پذیری خدمات بانکی
5.عدم افشای اطلاعات محرمانة مشتریان و حفظ حریم خصوصی آنان
برای نیل به اهداف فوق می‌­توان امنیت خدمات بانکداری الکترونیک را در سه سطح سرور، رسانه انتقال و کلاینت (مشتری) طبقه‌بندی و مکانیزم‌های امنیتی قابل ارائه در هر سطح را بر‌شمرد.
امنیت سرور
 تصدیق اصالت و مجازشناسی کاربر
محکم‌سازی بستر سیستم عاملی و سرویس‌های پایه
 استفاده از ضد بدافزارها
 رمزنگاری داده‌ها برای حفظ محرمانگی و یکپارچگی
 حفظ امنیت فیزیکی سرور
 پیاده‌سازی خط‌مشی‌های راهبری امن سرور
 مانیتورینگ امنیت سرور
امنیت رسانه انتقال
 پیشگیری از شنود ارتباط با استفاده از رمزنگاری
 مقابله با جعل هویت و حملات فردی در میان (Man in the Middle)
 ایجاد کانال امن بر بستر شبکه‌های عمومی (VPN)
 جلوگیری از تغییرات غیرمجاز داده‌ها در هنگام انتقال یا شناسایی آن‌ها
امنیت سمت کاربر
محافظت در برابر بدافزارهایی مانند Key logger، ویروس‌ها با استفاده از ضد بدافزارها
 مقابله با Phishing و حملات مبتنی بر مهندسی اجتماعی
 آگاهی‌رسانی و آموزش کاربر
 تصدیق اصالت چند عامله
 شاخص‌های امنیتی نرم‌افزار
در راستای پیاده‌سازی و طراحی امن سیستم بانکداری متمرکز، باید هر یک از مسائل مربوط به معماری، بستر نرم‌افزار، طراحی امن نرم‌افزار و مدیریت امنیت را در متدولوژی توسعة سیستم مد نظر داشت. در ادامه هر یک از موارد فوق شرح داده می‏شود:
امنیت معماری کلی نرم‌افزار
بایستی در طراحی اولیة نرم‌افزار بانکداری متمرکز به امنیت توجه شده باشد. در صورتی که دید امنیتی در ابتدا وجود نداشته باشد جبران آن پس از تولید نرم‌افزار بسیار دشوار یا غیر ممکن است. به‌عنوان مثال اگر بخش سرویس‌گیرنده نرم‌افزار دسترسی مستقیم و بی‌واسطه به پایگاه داده‌ها داشته باشد و یا کنترل دسترسی به صورت صحیح پیاده‌سازی نشده باشد، امنیت کل معماری زیر سؤال رفته است. از جمله موارد مهم در این بخش عبارتند از:
* معماری امن گردش داده میان اجزای نرم‌افزار
* معماری کنترل دسترسی
* معماری امنیتی پایگاه داده
* معماری کنترل‌های امنیتی منطق نرم‌افزار بانکی (شناسایی اختلاس، پول‌شویی و غیره)

امنیت بستر نرم‌افزار
منظور از بستر نرم‌افزار بانکی، شبکه، سیستم­ عامل، پایگاه داده و سخت‌افزارهای مرتبط با نرم‌افزار است. امنیت در هر یک از حوزه ­های شبکه، سیستم­ عامل، پایگاه داده جداگانه بایستی بررسی شود؛ ولی از لحاظ تعامل با نرم‌افزار نیز باید نکات امنیتی را لحاظ کرد. در‌واقع نرم‌افزار بایستی به‌صورت مستقل عمل کرده و آسیب‌پذیری‌­های بستر، موجب وارد آمدن آسیب به نرم‌افزار و سازمان نشود. برای استقلال نرم‌افزار باید تمامی پروتکل‌‌ها و تعاملات نرم‌افزار با بستر به‌صورت استاندارد پیاده سازی شده باشد. از جمله این نکات که بر امنیت نرم‌افزار بانکداری متمرکز مؤثر است عبارتند از:
* آسیب‌پذیری در نرم‌افزارهای دیگر از جمله نرم‌افزارهای خودپرداز ،کیوسک، اینترنت بانک، و غیره
* محدودیت­های امنیتی شبکه از جمله فایروال، سیستم تشخیص نفوذ (intrusion detection system IDS )
محدودیت های سیستم­‌عامل از جمله نوع سیستم‌عامل، بسته‌های خدماتی سیستم‌­عامل و سرویس ای آسیب پذیر سیستم ­عامل
محدودیت­‌های پایگاه داده از جمله نوع پایگاه داده، تصدیق اصالت پایگاه داده، نسخه پایگاه داده

امنیت نرم‌افزار
منظور از امنیت نرم‌افزار وجود و پیاده‌سازی صحیح پارامترهای امنیتی در نرم‌افزار است. درواقع هر نرم‌افزار باید مکانیزم‌های امنیتی داشته باشد که سه فاکتور مهم امنیت یعنی محرمانگی، یکپارچگی و دسترس‌پذیری داده را حفظ کند. تنها پیاده‌سازی این پارامترها معیار نیست و بایستی پیاده‌سازی این پارامترها بر اساس استانداردهای موجود و صحیح باشد. از جمله این پارامترها می‌توان به این موارد اشاره کرد.:
* نرم‌افزار دارای پیاده‌سازی صحیح عملیات تصدیق اصالت باشد.
* نرم‌افزار دارای پیاده‌سازی صحیح عملیات کنترل دسترسی باشد.
* نرم‌افزار دارای پیاده‌سازی صحیح رمزنگاری داده‌های حساس در عملیات انتقال و ذخیره­‌سازی باشد.
* نرم‌افزار دارای پیاده‌سازی صحیح عملیات ممیزی (Auditing) باشد.
* نرم‌افزار دارای پیاده‌سازی صحیح عملیات ثبت وقایع(log) باشد.
* نرم‌افزار در برابر حملات شناخته شده مقاوم باشد.
* نرم‌افزار بایستی به‌صورت ماژول­‌های مستقل پیاده‌سازی شده باشد تا در صورت آسیب دیدن هر یک از ماژول‌ها، بتوان آسان و سریع و بدون تأثیر در عملیات دیگر ماژول­‌ها آن را اصلاح کرد.
* در صورت در دسترس بودن کد، باید کد نرم‌افزار مرور امنیتی شود.
* باید نرم‌افزار مود ارزیابی و تست نفوذ قرار گیرد.

مدیریت امنیت
منظور از مدیریت امنیت ، وجود امکاناتی در نرم‌افزار است که بتوان امنیت را مدیریت کرد. اگر این بخش وجود نداشته باشد، در صورت بروز مخاطرات سازمان نمی‌­تواند آن مخاطرات را مدیریت کند یا از بروز مجدد آن جلوگیری کند. می‌­توان این مشخصه‌­ها را برای مدیریت امنیت توسط نرم‌افزار بانکداری متمرکز ذکر کرد:
* باید بتوان سطوح دسترسی را به‌طور مناسب مدیریت کرد.
* باید نرم‌افزار شامل بخش‌­های مانیتورینگ برای اعلام هشدار حمله احتمالی باشد.

جمع بندی
امنیت خدمات نوین بانکی وابستگی تام به نرم‌افزارهایی چون سیستم بانکداری متمرکز دارد. امنیت در این نرم‌افزارها باید از ابتدای تولید لحاظ شود. بنابراین بانک‌­ها چه در انتخاب راه حل و چه در نگه‌داری و مدیریت آن، باید به پارامترها و سطوح امنیتی توجه کنند.

 * مدیر فنی شرکت پیشتاز پردازش پارس
** کارشناس شرکت پیشتاز پردازش پارس
فابا
   
  

اضافه نمودن به: دنباله   کلوب   دیگ   دلیشز   فیسبوک   توییتر   گوگل  

نظر شما:
نام:
پست الکترونیکی:
آدرس وب:
نظر
 
 کد امنیتی:
 
 
 
 
کلیه حقوق محفوظ است، استفاده از مطالب با ذکر منبع بلامانع است
پشتیبانی توسط: خبرافزار