صفحه نخست     خدمات بانک و بیمه     سود بانکی     پیوندها     نسخه موبایل     RSS     درباره ما     تماس با ما  
چهارشنبه، 8 مرداد 1393 - 09:43   
  سرخط خبرها:افزایش نرخ تورم نقطه به نقطه      لباس جدید پرسپولیس /عکس      خودروی محبوب اروپا به زودی در ایران/ عکس      ماسوله ایتالیا! /عکس     عکس هوایی بی نظیر از ایران      خواننده‌هایی با بینی عمل کرده /عکس       مشارکت بانک انصار در برگزاری عیدسعیدفطر     بانک قوامین هزینه مطالبات مشکوک الوصول را افزایش داد     وضعیت اقتصادی امسال بهتر از سال 92      ده زن ثروتمند جهان چه کسانی هستند؟     قیمت سکه ، طلا و ارز / ۶ مرداد     رسم های شگفت‌آور ازدواج در دنیا!       پرداخت وام ازدواج در بانک مسکن افزایش می‌یابد     نقش بانک ها و بیمه‌ها در اقتصاد مقاومتی     تحلیل تکنیکال روند آتی قیمت طلا     سطح حمایتی قیمت طلا چند دلار است؟     مشکل وام ازدواج حل شد      تبریک عید فطر به سبک پودولسکی     بانک ملی ۳۰۰ هزار فقره وام ازدواج می دهد     هدایت سیستم بانکداری به سمت دلالی        
 آخرین مطالب سایت
  افزایش نرخ تورم نقطه به نقطه
  لباس جدید پرسپولیس /عکس
  خودروی محبوب اروپا به زودی در ایران/ عکس
  ماسوله ایتالیا! /عکس
  عکس هوایی بی نظیر از ایران
  خواننده‌هایی با بینی عمل کرده /عکس
  مشارکت بانک انصار در برگزاری عیدسعیدفطر
  بانک قوامین هزینه مطالبات مشکوک الوصول را افزایش داد
  وضعیت اقتصادی امسال بهتر از سال 92
  ده زن ثروتمند جهان چه کسانی هستند؟
  قیمت سکه ، طلا و ارز / ۶ مرداد
  رسم های شگفت‌آور ازدواج در دنیا!
  پرداخت وام ازدواج در بانک مسکن افزایش می‌یابد
  نقش بانک ها و بیمه‌ها در اقتصاد مقاومتی
  تحلیل تکنیکال روند آتی قیمت طلا
 
 پربیننده ترین مطالب
  لباس جدید پرسپولیس /عکس
  خودروی محبوب اروپا به زودی در ایران/ عکس
  عکس هوایی بی نظیر از ایران
  خواننده‌هایی با بینی عمل کرده /عکس
  مشارکت بانک انصار در برگزاری عیدسعیدفطر
  هدایت سیستم بانکداری به سمت دلالی
  رسم های شگفت‌آور ازدواج در دنیا!
  ماسوله ایتالیا! /عکس
  ده زن ثروتمند جهان چه کسانی هستند؟
  وضعیت اقتصادی امسال بهتر از سال 92
  افزایش نرخ تورم نقطه به نقطه
  نحوه ارسال پیامک رایگان تبریک عید فطر
  مشکل وام ازدواج حل شد
  پرداخت وام ازدواج در بانک مسکن افزایش می‌یابد
  پراید 70 میلیون تومانی! /عکس
  تبریک عید فطر به سبک پودولسکی
ادامه پربیننده ترین مطالب
- اندازه متن: + -  کد خبر: 12033پنجشنبه، 21 مهر 1390 - 09:43
امنیت فناوری اطلاعات در بانکداری الکترونیکی
امنیت فناوری اطلاعات در بانکداری الکترونیکی* افشین لامعی** تینا تعویذی
  
  اشاره
 فناوری اطلاعات از دو جنبه بانکداری را تحت تأثیر قرار می‏دهد. یکی ارتباطات و دیگری مهندسی مجدد فرایندهای تجاری. به کمک فناوری اطلاعات، توسعة محصولات با قابلیت‏های پیچیده، مدیریت مخاطرات و غلبه بر فواصل جغرافیایی تسهیل می‌شود. دو مورد از مهم‏ترین محصولات توسعه یافته به‌واسطة فناوری اطلاعات، بانکداری متمرکز و بانکداری الکترونیکی هستند. در این نوشته به مسائل امنیتی مطرح در به‌کارگیری این فناوری‌ها پرداخته‌ایم.

مزایای به‌کارگیری فناوری اطلاعات
استفاده از خدمات بانکداری متمرکز و بانکداری الکترونیکی مزایای فراوانی برای بانک‌ها به همراه داشته است، از جمله:
*تسریع در انجام عملیات بانکی و صرفه‌جویی در زمان به‌واسطه فراهم شدن امکان تراکنش‏های برخط.
* امکان به‌کارگیری فناوری اینترنت، که کیفیت سرویس خدمات بانکی را از جنبه‏های پاسخ‌گویی بهتر، ارتباطات و دسترس‏پذیری بهبود داده و در هر کجا و هر زمان در دسترس است.
* امکان معرفی کانال‏های جدید سرویس‏دهی مانند خودپرداز، تلفن بانک و موبایل بانک.
* یکپارچگی اطلاعات و خدمات بانکی که موجب انعطاف پذیری بیشتر این سیستم‏ها شده است.

بانکداری متمرکز (Core Banking)
براساس یک تعریف کلی، سیستم بانکداری متمرکز سیستمی است که در آن کلیة محصولات و خدمات بانکی و عملیات راهبری و مدیریت آن‏ها، از طریق دسترسی به پایگاه داده‌های مشترک و متمرکز، در قالب یک سیستم ارائه می‌شودکه انعطاف‌پذیری این سیستم و مشتری محوری از ویژگی‌های مهم آن است. بدون ایجاد یک بانک اطلاعاتی متمرکز و یکپارچه، خدمات به‌صورت جزیره‌ای و غیرهمسان ارائه خواهد شد.

بانکداری الکترونیک
بانکداری الکترونیک به معنای استفاده از تجهیزات الکترونیکی به‌جای استفاده از شیوه‌های سنتی برای انجام عملیات بانکی است. برخی از انواع خدمات در‌ بانکداری الکترونیک شامل موارد زیر است :
1.بانکداری اینترنتی
2.چک الکترونیکی
3.دستگاه‏های خودپرداز
4.SMS، WAP)Mobile Banking )
5.پایانه فروش (POS)
6.وب‌کیوسک‌های خدمات بانکی
7.ارائة خدمات بانکی از طریق تلویزیون‌های کابلی
8.ارائه خدمات بانکی از طریق دستیارهای شخصی (PDA)
واقعیت این است که در بانکداری الکترونیک به‌جای کنترل چشمی اطلاعات و ارقام مندرج در اسناد بانکداری که دور از خطا نیست، از کنترل الکترونیکی ارقام و اطلاعات که به مراتب دقیق‌تر، همه‌جانبه‌تر، با قابلیت اعتماد به مراتب افزون‌تر و دور از خطای انسانی است بهره گرفته می‌‌شود که این امر به نوبه خود مستلزم درک عمیق از ساز و کار معماری بانکداری الکترونیکی است. این آگاهی هم می‌‌تواند کلید کنترل این فناوری را در اختیار بانکداران قرار دهد، کلیدی که همانند هر فناوری دیگری، قالب‌های زمانی اجرای عملیات را می‌‌شکند و به‌تبع آن هزینه‌های رو به تزاید بانکداری سنتی را به‌طور مستمر کاهش می‌‏دهد و می‌‌تواند این واقعیت را آشکار سازد که بانکداری الکترونیکی به لحاظ استقلال از زمان و مکان، هم تعداد سپرده‌گذاران را افزایش ‌‌دهد و هم عاملی باشد که سپرده‌های جمع آوری شده را بدون درنگ در اختیار وام گیرندگان قرار دهد.

مشکلات توسعه بانکداری متمرکز
در زیر به برخی مشکلات توسعه و گستردگی به‌کارگیری بانکداری متمرکز اشاره شده است:
1.دشواری دسترسی و خرید نرم‌افزار‌های خارجی
2.دشواری انطباق نرم افزارهای خارجی با عملیات بانکی داخلی
3.عدم طراحی و تهیه نرم‌افزار  core banking  بانک‌های دولتی داخل
4.دشواری جذب و نگهداری نیروهای متخصص در این زمینه
5.دشواری‌های ناشی از عدم شناخت مدیران و دستگاه‌های ناظر و بازرس
6.محدودیت‌های ناشی از آیین‌نامه‌های معاملاتی

امنیت اطلاعات در بانکداری متمرکز
بانکداری الکترونیک به مشتریان بانک اجازه می‌‌دهد با رعایت روش‏های کاری مشخص و استفاده از پروتکل‌های استاندارد نسبت به افتتاح حساب از راه دور اقدام کند و با استفاده از رمز اختصاصی به درون شبکه بانکداری راه یافته، از ایستگاه‏های بازرسی و کنترل عبور کرده، مبلغی به حساب خود واریز و یا از آن برداشت نمایند. چنین فرآیندی مبین این واقعیت است که تراکنش‌های عملیات که در بانکداری سنتی قابل رؤیت است، در بانکداری الکترونیک پنهان از دید مستقیم بانکداران صورت می‌‌پذیرد و همین نامرئی بودن ظاهری تراکنش‌ها، گاهی موجب تردید در به‌کارگیری این معماری می‌شود.
باید توجه داشت که در کنار مزایای یاد شده، به‌منظور صحت انجام عملیات و تراکنش‏های بانکی در قالب سیستم‏های بانکداری متمرکز و بانکداری الکترونیک و جلوگیری از هر گونه سوء استفاده، باید جنبه‏های امنیتی در پیاده‌سازی و به‌کارگیری این فناوری را شناخته و به کمک کارشناسان متخصص در حیطة امنیت، این موارد را به‌درستی پیاده‌سازی کرد.
به‌کارگیری هر فناوری جنبه‏های امنیتی خاص خود را دارد. در ادامه به برخی سرفصل‌های کلی و اهداف امنیتی مورد نظر در به‌کارگیری خدمات بانکداری الکترونیکی اشاره می­ کنیم.
1. پیشگیری از تراکنش­های غیر مجاز و سرقت پول
2.پیشگیری و شناسایی جعل هویت
3.حفظ یکپارچگی داده‌های بانکی
4.حفظ دسترس‌پذیری خدمات بانکی
5.عدم افشای اطلاعات محرمانة مشتریان و حفظ حریم خصوصی آنان
برای نیل به اهداف فوق می‌­توان امنیت خدمات بانکداری الکترونیک را در سه سطح سرور، رسانه انتقال و کلاینت (مشتری) طبقه‌بندی و مکانیزم‌های امنیتی قابل ارائه در هر سطح را بر‌شمرد.
امنیت سرور
 تصدیق اصالت و مجازشناسی کاربر
محکم‌سازی بستر سیستم عاملی و سرویس‌های پایه
 استفاده از ضد بدافزارها
 رمزنگاری داده‌ها برای حفظ محرمانگی و یکپارچگی
 حفظ امنیت فیزیکی سرور
 پیاده‌سازی خط‌مشی‌های راهبری امن سرور
 مانیتورینگ امنیت سرور
امنیت رسانه انتقال
 پیشگیری از شنود ارتباط با استفاده از رمزنگاری
 مقابله با جعل هویت و حملات فردی در میان (Man in the Middle)
 ایجاد کانال امن بر بستر شبکه‌های عمومی (VPN)
 جلوگیری از تغییرات غیرمجاز داده‌ها در هنگام انتقال یا شناسایی آن‌ها
امنیت سمت کاربر
محافظت در برابر بدافزارهایی مانند Key logger، ویروس‌ها با استفاده از ضد بدافزارها
 مقابله با Phishing و حملات مبتنی بر مهندسی اجتماعی
 آگاهی‌رسانی و آموزش کاربر
 تصدیق اصالت چند عامله
 شاخص‌های امنیتی نرم‌افزار
در راستای پیاده‌سازی و طراحی امن سیستم بانکداری متمرکز، باید هر یک از مسائل مربوط به معماری، بستر نرم‌افزار، طراحی امن نرم‌افزار و مدیریت امنیت را در متدولوژی توسعة سیستم مد نظر داشت. در ادامه هر یک از موارد فوق شرح داده می‏شود:
امنیت معماری کلی نرم‌افزار
بایستی در طراحی اولیة نرم‌افزار بانکداری متمرکز به امنیت توجه شده باشد. در صورتی که دید امنیتی در ابتدا وجود نداشته باشد جبران آن پس از تولید نرم‌افزار بسیار دشوار یا غیر ممکن است. به‌عنوان مثال اگر بخش سرویس‌گیرنده نرم‌افزار دسترسی مستقیم و بی‌واسطه به پایگاه داده‌ها داشته باشد و یا کنترل دسترسی به صورت صحیح پیاده‌سازی نشده باشد، امنیت کل معماری زیر سؤال رفته است. از جمله موارد مهم در این بخش عبارتند از:
* معماری امن گردش داده میان اجزای نرم‌افزار
* معماری کنترل دسترسی
* معماری امنیتی پایگاه داده
* معماری کنترل‌های امنیتی منطق نرم‌افزار بانکی (شناسایی اختلاس، پول‌شویی و غیره)

امنیت بستر نرم‌افزار
منظور از بستر نرم‌افزار بانکی، شبکه، سیستم­ عامل، پایگاه داده و سخت‌افزارهای مرتبط با نرم‌افزار است. امنیت در هر یک از حوزه ­های شبکه، سیستم­ عامل، پایگاه داده جداگانه بایستی بررسی شود؛ ولی از لحاظ تعامل با نرم‌افزار نیز باید نکات امنیتی را لحاظ کرد. در‌واقع نرم‌افزار بایستی به‌صورت مستقل عمل کرده و آسیب‌پذیری‌­های بستر، موجب وارد آمدن آسیب به نرم‌افزار و سازمان نشود. برای استقلال نرم‌افزار باید تمامی پروتکل‌‌ها و تعاملات نرم‌افزار با بستر به‌صورت استاندارد پیاده سازی شده باشد. از جمله این نکات که بر امنیت نرم‌افزار بانکداری متمرکز مؤثر است عبارتند از:
* آسیب‌پذیری در نرم‌افزارهای دیگر از جمله نرم‌افزارهای خودپرداز ،کیوسک، اینترنت بانک، و غیره
* محدودیت­های امنیتی شبکه از جمله فایروال، سیستم تشخیص نفوذ (intrusion detection system IDS )
محدودیت های سیستم­‌عامل از جمله نوع سیستم‌عامل، بسته‌های خدماتی سیستم‌­عامل و سرویس ای آسیب پذیر سیستم ­عامل
محدودیت­‌های پایگاه داده از جمله نوع پایگاه داده، تصدیق اصالت پایگاه داده، نسخه پایگاه داده

امنیت نرم‌افزار
منظور از امنیت نرم‌افزار وجود و پیاده‌سازی صحیح پارامترهای امنیتی در نرم‌افزار است. درواقع هر نرم‌افزار باید مکانیزم‌های امنیتی داشته باشد که سه فاکتور مهم امنیت یعنی محرمانگی، یکپارچگی و دسترس‌پذیری داده را حفظ کند. تنها پیاده‌سازی این پارامترها معیار نیست و بایستی پیاده‌سازی این پارامترها بر اساس استانداردهای موجود و صحیح باشد. از جمله این پارامترها می‌توان به این موارد اشاره کرد.:
* نرم‌افزار دارای پیاده‌سازی صحیح عملیات تصدیق اصالت باشد.
* نرم‌افزار دارای پیاده‌سازی صحیح عملیات کنترل دسترسی باشد.
* نرم‌افزار دارای پیاده‌سازی صحیح رمزنگاری داده‌های حساس در عملیات انتقال و ذخیره­‌سازی باشد.
* نرم‌افزار دارای پیاده‌سازی صحیح عملیات ممیزی (Auditing) باشد.
* نرم‌افزار دارای پیاده‌سازی صحیح عملیات ثبت وقایع(log) باشد.
* نرم‌افزار در برابر حملات شناخته شده مقاوم باشد.
* نرم‌افزار بایستی به‌صورت ماژول­‌های مستقل پیاده‌سازی شده باشد تا در صورت آسیب دیدن هر یک از ماژول‌ها، بتوان آسان و سریع و بدون تأثیر در عملیات دیگر ماژول­‌ها آن را اصلاح کرد.
* در صورت در دسترس بودن کد، باید کد نرم‌افزار مرور امنیتی شود.
* باید نرم‌افزار مود ارزیابی و تست نفوذ قرار گیرد.

مدیریت امنیت
منظور از مدیریت امنیت ، وجود امکاناتی در نرم‌افزار است که بتوان امنیت را مدیریت کرد. اگر این بخش وجود نداشته باشد، در صورت بروز مخاطرات سازمان نمی‌­تواند آن مخاطرات را مدیریت کند یا از بروز مجدد آن جلوگیری کند. می‌­توان این مشخصه‌­ها را برای مدیریت امنیت توسط نرم‌افزار بانکداری متمرکز ذکر کرد:
* باید بتوان سطوح دسترسی را به‌طور مناسب مدیریت کرد.
* باید نرم‌افزار شامل بخش‌­های مانیتورینگ برای اعلام هشدار حمله احتمالی باشد.

جمع بندی
امنیت خدمات نوین بانکی وابستگی تام به نرم‌افزارهایی چون سیستم بانکداری متمرکز دارد. امنیت در این نرم‌افزارها باید از ابتدای تولید لحاظ شود. بنابراین بانک‌­ها چه در انتخاب راه حل و چه در نگه‌داری و مدیریت آن، باید به پارامترها و سطوح امنیتی توجه کنند.

 * مدیر فنی شرکت پیشتاز پردازش پارس
** کارشناس شرکت پیشتاز پردازش پارس
فابا
   
  

اضافه نمودن به: بالاترین   دنباله   کلوب   دیگ   دلیشز   فیسبوک   توییتر   گوگل  

نظر شما:
نام:
پست الکترونیکی:
آدرس وب:
نظر
 
 کد امنیتی:
 
 
 آب و هوا
 
 
 
::  نسخه موبایل ::  RSS ::  نسخه تلکس
کلیه حقوق محفوظ است، استفاده از مطالب با ذکر منبع بلامانع است
info@bima.ir
پشتیبانی توسط: گروه نرم افزاری فکا