صفحه نخست     خدمات بانک و بیمه     پیوندها     نسخه موبایل     RSS     درباره ما     تماس با ما  
سه شنبه، 3 مرداد 1396 - 01:18   
  سرخط خبرها:  
 آخرین مطالب سایت
  نسبت موثر سپرده قانونی ۲.۱ درصد است
  جشنواره قرعه کشی بانک سینا آغاز شد
  "تومان" واحد پول ایران شد
  مشارکت بانک پارسیان در طرح ضربتی وام ازدواج
  زورآزمایی بانک مرکزی و بورس!
  حمایت سازمان تامین اجتماعی از استارتاپ‌ها
  رشد بی سابقه بیمه شدگان تامین اجتماعی
  بانک‌رفاه مقید به استانداردهای بانک‌مرکزی است
  بانک ملی از مدرسه‌سازی حمایت می‌کند
  بانک ملی طرح ضربتی اعطای وام ازدواج را کلید زد
  آغاز به کار تیم جدید مرکز تماس بانک گردشگری
  با "ایوا" جریمه تخلفات رانندگی را بپردازید
  ارائه نسخه IOS همراه بانک جدید ملت
  مجمع بانک شهر به حد نصاب نرسید
  خیز برند بانک رفاه در بخش عملیات ارزی
  شماره تلفن ارتباط مشتریان بانک سینا تغییر کرد
  شرایط دریافت وام ازدواج اعلام شد+جزییات
  جذب نیروهای متخصص در تامین اجتماعی
  مجمع بانک پارسیان به حد نصاب نرسید
  صورت‌های مالی بانک تجارت تصویب شد
  بانک‌ها به بانک مرکزی بدهکارتر شدند
  نتایج مجمع بانک آینده مشخص شد
  ۲۰میلیون پرونده الکترونیک در تامین اجتماعی
  خدماتCIP بانک سامان راه اندازی شد
  بانک آینده ۱۵۷ ریال سود پیش‌بینی کرد
  جدیت بانک مرکزی در حل مشکل موسسات مالی
  جنگ ابلاغیه‌ها بر سر تراز مالی بانک‌ها بالا گرفت
  طلا رهن کنید، ۲ میلیون وام بگیرید+شرایط
  بانک تجارت به طرح ضربتی وام ازدواج پیوست
  ۳ راه برای تامین کسری بودجه غیرمجازها
  کارت به کارت اپلیکیشن تاپ فعال شد
  مجامع بانک ملت امروز برگزار می‌شود
  بانک پارسیان ۳۰۹ شعبه ای شد
  آماده‌باش بانک سپه برای اجرای طرح ضربتی وام ازدواج
  استعلام ضمانتنامه های ریالی آنی شد
  شروط بانک مرکزی برای برگزاری مجامع بانک‌ها
  بحران نقدینگی را غیرمجازها خلق کردند؟
  مسکن با ارزانی رونق می‌گیرد
  دارایی های بانک گردشگری افزایش یافت
  برترین نشان اعتماد به بانک سینا رسید
 
 پربیننده ترین اخبار
  خدماتCIP بانک سامان راه اندازی شد
  بانک ملی طرح ضربتی اعطای وام ازدواج را کلید زد
  نسبت موثر سپرده قانونی ۲.۱ درصد است
  نتایج مجمع بانک آینده مشخص شد
  طلا رهن کنید، ۲ میلیون وام بگیرید+شرایط
  بانک آینده ۱۵۷ ریال سود پیش‌بینی کرد
  "تومان" واحد پول ایران شد
  ۳ راه برای تامین کسری بودجه غیرمجازها
  جدیت بانک مرکزی در حل مشکل موسسات مالی
  با "ایوا" جریمه تخلفات رانندگی را بپردازید
  مجمع بانک شهر به حد نصاب نرسید
  ارائه نسخه IOS همراه بانک جدید ملت
  بانک تجارت به طرح ضربتی وام ازدواج پیوست
  جنگ ابلاغیه‌ها بر سر تراز مالی بانک‌ها بالا گرفت
  ۲۰میلیون پرونده الکترونیک در تامین اجتماعی
  مجمع بانک پارسیان به حد نصاب نرسید
  شرایط دریافت وام ازدواج اعلام شد+جزییات
  صورت‌های مالی بانک تجارت تصویب شد
  خیز برند بانک رفاه در بخش عملیات ارزی
  آغاز به کار تیم جدید مرکز تماس بانک گردشگری
- اندازه متن: + -  کد خبر: 12033صفحه نخست » وام و خدمات بانکی و بیمه ایپنجشنبه، 21 مهر 1390 - 09:43
امنیت فناوری اطلاعات در بانکداری الکترونیکی
امنیت فناوری اطلاعات در بانکداری الکترونیکی* افشین لامعی** تینا تعویذی
  
  اشاره
 فناوری اطلاعات از دو جنبه بانکداری را تحت تأثیر قرار می‏دهد. یکی ارتباطات و دیگری مهندسی مجدد فرایندهای تجاری. به کمک فناوری اطلاعات، توسعة محصولات با قابلیت‏های پیچیده، مدیریت مخاطرات و غلبه بر فواصل جغرافیایی تسهیل می‌شود. دو مورد از مهم‏ترین محصولات توسعه یافته به‌واسطة فناوری اطلاعات، بانکداری متمرکز و بانکداری الکترونیکی هستند. در این نوشته به مسائل امنیتی مطرح در به‌کارگیری این فناوری‌ها پرداخته‌ایم.

مزایای به‌کارگیری فناوری اطلاعات
استفاده از خدمات بانکداری متمرکز و بانکداری الکترونیکی مزایای فراوانی برای بانک‌ها به همراه داشته است، از جمله:
*تسریع در انجام عملیات بانکی و صرفه‌جویی در زمان به‌واسطه فراهم شدن امکان تراکنش‏های برخط.
* امکان به‌کارگیری فناوری اینترنت، که کیفیت سرویس خدمات بانکی را از جنبه‏های پاسخ‌گویی بهتر، ارتباطات و دسترس‏پذیری بهبود داده و در هر کجا و هر زمان در دسترس است.
* امکان معرفی کانال‏های جدید سرویس‏دهی مانند خودپرداز، تلفن بانک و موبایل بانک.
* یکپارچگی اطلاعات و خدمات بانکی که موجب انعطاف پذیری بیشتر این سیستم‏ها شده است.

بانکداری متمرکز (Core Banking)
براساس یک تعریف کلی، سیستم بانکداری متمرکز سیستمی است که در آن کلیة محصولات و خدمات بانکی و عملیات راهبری و مدیریت آن‏ها، از طریق دسترسی به پایگاه داده‌های مشترک و متمرکز، در قالب یک سیستم ارائه می‌شودکه انعطاف‌پذیری این سیستم و مشتری محوری از ویژگی‌های مهم آن است. بدون ایجاد یک بانک اطلاعاتی متمرکز و یکپارچه، خدمات به‌صورت جزیره‌ای و غیرهمسان ارائه خواهد شد.

بانکداری الکترونیک
بانکداری الکترونیک به معنای استفاده از تجهیزات الکترونیکی به‌جای استفاده از شیوه‌های سنتی برای انجام عملیات بانکی است. برخی از انواع خدمات در‌ بانکداری الکترونیک شامل موارد زیر است :
1.بانکداری اینترنتی
2.چک الکترونیکی
3.دستگاه‏های خودپرداز
4.SMS، WAP)Mobile Banking )
5.پایانه فروش (POS)
6.وب‌کیوسک‌های خدمات بانکی
7.ارائة خدمات بانکی از طریق تلویزیون‌های کابلی
8.ارائه خدمات بانکی از طریق دستیارهای شخصی (PDA)
واقعیت این است که در بانکداری الکترونیک به‌جای کنترل چشمی اطلاعات و ارقام مندرج در اسناد بانکداری که دور از خطا نیست، از کنترل الکترونیکی ارقام و اطلاعات که به مراتب دقیق‌تر، همه‌جانبه‌تر، با قابلیت اعتماد به مراتب افزون‌تر و دور از خطای انسانی است بهره گرفته می‌‌شود که این امر به نوبه خود مستلزم درک عمیق از ساز و کار معماری بانکداری الکترونیکی است. این آگاهی هم می‌‌تواند کلید کنترل این فناوری را در اختیار بانکداران قرار دهد، کلیدی که همانند هر فناوری دیگری، قالب‌های زمانی اجرای عملیات را می‌‌شکند و به‌تبع آن هزینه‌های رو به تزاید بانکداری سنتی را به‌طور مستمر کاهش می‌‏دهد و می‌‌تواند این واقعیت را آشکار سازد که بانکداری الکترونیکی به لحاظ استقلال از زمان و مکان، هم تعداد سپرده‌گذاران را افزایش ‌‌دهد و هم عاملی باشد که سپرده‌های جمع آوری شده را بدون درنگ در اختیار وام گیرندگان قرار دهد.

مشکلات توسعه بانکداری متمرکز
در زیر به برخی مشکلات توسعه و گستردگی به‌کارگیری بانکداری متمرکز اشاره شده است:
1.دشواری دسترسی و خرید نرم‌افزار‌های خارجی
2.دشواری انطباق نرم افزارهای خارجی با عملیات بانکی داخلی
3.عدم طراحی و تهیه نرم‌افزار  core banking  بانک‌های دولتی داخل
4.دشواری جذب و نگهداری نیروهای متخصص در این زمینه
5.دشواری‌های ناشی از عدم شناخت مدیران و دستگاه‌های ناظر و بازرس
6.محدودیت‌های ناشی از آیین‌نامه‌های معاملاتی

امنیت اطلاعات در بانکداری متمرکز
بانکداری الکترونیک به مشتریان بانک اجازه می‌‌دهد با رعایت روش‏های کاری مشخص و استفاده از پروتکل‌های استاندارد نسبت به افتتاح حساب از راه دور اقدام کند و با استفاده از رمز اختصاصی به درون شبکه بانکداری راه یافته، از ایستگاه‏های بازرسی و کنترل عبور کرده، مبلغی به حساب خود واریز و یا از آن برداشت نمایند. چنین فرآیندی مبین این واقعیت است که تراکنش‌های عملیات که در بانکداری سنتی قابل رؤیت است، در بانکداری الکترونیک پنهان از دید مستقیم بانکداران صورت می‌‌پذیرد و همین نامرئی بودن ظاهری تراکنش‌ها، گاهی موجب تردید در به‌کارگیری این معماری می‌شود.
باید توجه داشت که در کنار مزایای یاد شده، به‌منظور صحت انجام عملیات و تراکنش‏های بانکی در قالب سیستم‏های بانکداری متمرکز و بانکداری الکترونیک و جلوگیری از هر گونه سوء استفاده، باید جنبه‏های امنیتی در پیاده‌سازی و به‌کارگیری این فناوری را شناخته و به کمک کارشناسان متخصص در حیطة امنیت، این موارد را به‌درستی پیاده‌سازی کرد.
به‌کارگیری هر فناوری جنبه‏های امنیتی خاص خود را دارد. در ادامه به برخی سرفصل‌های کلی و اهداف امنیتی مورد نظر در به‌کارگیری خدمات بانکداری الکترونیکی اشاره می­ کنیم.
1. پیشگیری از تراکنش­های غیر مجاز و سرقت پول
2.پیشگیری و شناسایی جعل هویت
3.حفظ یکپارچگی داده‌های بانکی
4.حفظ دسترس‌پذیری خدمات بانکی
5.عدم افشای اطلاعات محرمانة مشتریان و حفظ حریم خصوصی آنان
برای نیل به اهداف فوق می‌­توان امنیت خدمات بانکداری الکترونیک را در سه سطح سرور، رسانه انتقال و کلاینت (مشتری) طبقه‌بندی و مکانیزم‌های امنیتی قابل ارائه در هر سطح را بر‌شمرد.
امنیت سرور
 تصدیق اصالت و مجازشناسی کاربر
محکم‌سازی بستر سیستم عاملی و سرویس‌های پایه
 استفاده از ضد بدافزارها
 رمزنگاری داده‌ها برای حفظ محرمانگی و یکپارچگی
 حفظ امنیت فیزیکی سرور
 پیاده‌سازی خط‌مشی‌های راهبری امن سرور
 مانیتورینگ امنیت سرور
امنیت رسانه انتقال
 پیشگیری از شنود ارتباط با استفاده از رمزنگاری
 مقابله با جعل هویت و حملات فردی در میان (Man in the Middle)
 ایجاد کانال امن بر بستر شبکه‌های عمومی (VPN)
 جلوگیری از تغییرات غیرمجاز داده‌ها در هنگام انتقال یا شناسایی آن‌ها
امنیت سمت کاربر
محافظت در برابر بدافزارهایی مانند Key logger، ویروس‌ها با استفاده از ضد بدافزارها
 مقابله با Phishing و حملات مبتنی بر مهندسی اجتماعی
 آگاهی‌رسانی و آموزش کاربر
 تصدیق اصالت چند عامله
 شاخص‌های امنیتی نرم‌افزار
در راستای پیاده‌سازی و طراحی امن سیستم بانکداری متمرکز، باید هر یک از مسائل مربوط به معماری، بستر نرم‌افزار، طراحی امن نرم‌افزار و مدیریت امنیت را در متدولوژی توسعة سیستم مد نظر داشت. در ادامه هر یک از موارد فوق شرح داده می‏شود:
امنیت معماری کلی نرم‌افزار
بایستی در طراحی اولیة نرم‌افزار بانکداری متمرکز به امنیت توجه شده باشد. در صورتی که دید امنیتی در ابتدا وجود نداشته باشد جبران آن پس از تولید نرم‌افزار بسیار دشوار یا غیر ممکن است. به‌عنوان مثال اگر بخش سرویس‌گیرنده نرم‌افزار دسترسی مستقیم و بی‌واسطه به پایگاه داده‌ها داشته باشد و یا کنترل دسترسی به صورت صحیح پیاده‌سازی نشده باشد، امنیت کل معماری زیر سؤال رفته است. از جمله موارد مهم در این بخش عبارتند از:
* معماری امن گردش داده میان اجزای نرم‌افزار
* معماری کنترل دسترسی
* معماری امنیتی پایگاه داده
* معماری کنترل‌های امنیتی منطق نرم‌افزار بانکی (شناسایی اختلاس، پول‌شویی و غیره)

امنیت بستر نرم‌افزار
منظور از بستر نرم‌افزار بانکی، شبکه، سیستم­ عامل، پایگاه داده و سخت‌افزارهای مرتبط با نرم‌افزار است. امنیت در هر یک از حوزه ­های شبکه، سیستم­ عامل، پایگاه داده جداگانه بایستی بررسی شود؛ ولی از لحاظ تعامل با نرم‌افزار نیز باید نکات امنیتی را لحاظ کرد. در‌واقع نرم‌افزار بایستی به‌صورت مستقل عمل کرده و آسیب‌پذیری‌­های بستر، موجب وارد آمدن آسیب به نرم‌افزار و سازمان نشود. برای استقلال نرم‌افزار باید تمامی پروتکل‌‌ها و تعاملات نرم‌افزار با بستر به‌صورت استاندارد پیاده سازی شده باشد. از جمله این نکات که بر امنیت نرم‌افزار بانکداری متمرکز مؤثر است عبارتند از:
* آسیب‌پذیری در نرم‌افزارهای دیگر از جمله نرم‌افزارهای خودپرداز ،کیوسک، اینترنت بانک، و غیره
* محدودیت­های امنیتی شبکه از جمله فایروال، سیستم تشخیص نفوذ (intrusion detection system IDS )
محدودیت های سیستم­‌عامل از جمله نوع سیستم‌عامل، بسته‌های خدماتی سیستم‌­عامل و سرویس ای آسیب پذیر سیستم ­عامل
محدودیت­‌های پایگاه داده از جمله نوع پایگاه داده، تصدیق اصالت پایگاه داده، نسخه پایگاه داده

امنیت نرم‌افزار
منظور از امنیت نرم‌افزار وجود و پیاده‌سازی صحیح پارامترهای امنیتی در نرم‌افزار است. درواقع هر نرم‌افزار باید مکانیزم‌های امنیتی داشته باشد که سه فاکتور مهم امنیت یعنی محرمانگی، یکپارچگی و دسترس‌پذیری داده را حفظ کند. تنها پیاده‌سازی این پارامترها معیار نیست و بایستی پیاده‌سازی این پارامترها بر اساس استانداردهای موجود و صحیح باشد. از جمله این پارامترها می‌توان به این موارد اشاره کرد.:
* نرم‌افزار دارای پیاده‌سازی صحیح عملیات تصدیق اصالت باشد.
* نرم‌افزار دارای پیاده‌سازی صحیح عملیات کنترل دسترسی باشد.
* نرم‌افزار دارای پیاده‌سازی صحیح رمزنگاری داده‌های حساس در عملیات انتقال و ذخیره­‌سازی باشد.
* نرم‌افزار دارای پیاده‌سازی صحیح عملیات ممیزی (Auditing) باشد.
* نرم‌افزار دارای پیاده‌سازی صحیح عملیات ثبت وقایع(log) باشد.
* نرم‌افزار در برابر حملات شناخته شده مقاوم باشد.
* نرم‌افزار بایستی به‌صورت ماژول­‌های مستقل پیاده‌سازی شده باشد تا در صورت آسیب دیدن هر یک از ماژول‌ها، بتوان آسان و سریع و بدون تأثیر در عملیات دیگر ماژول­‌ها آن را اصلاح کرد.
* در صورت در دسترس بودن کد، باید کد نرم‌افزار مرور امنیتی شود.
* باید نرم‌افزار مود ارزیابی و تست نفوذ قرار گیرد.

مدیریت امنیت
منظور از مدیریت امنیت ، وجود امکاناتی در نرم‌افزار است که بتوان امنیت را مدیریت کرد. اگر این بخش وجود نداشته باشد، در صورت بروز مخاطرات سازمان نمی‌­تواند آن مخاطرات را مدیریت کند یا از بروز مجدد آن جلوگیری کند. می‌­توان این مشخصه‌­ها را برای مدیریت امنیت توسط نرم‌افزار بانکداری متمرکز ذکر کرد:
* باید بتوان سطوح دسترسی را به‌طور مناسب مدیریت کرد.
* باید نرم‌افزار شامل بخش‌­های مانیتورینگ برای اعلام هشدار حمله احتمالی باشد.

جمع بندی
امنیت خدمات نوین بانکی وابستگی تام به نرم‌افزارهایی چون سیستم بانکداری متمرکز دارد. امنیت در این نرم‌افزارها باید از ابتدای تولید لحاظ شود. بنابراین بانک‌­ها چه در انتخاب راه حل و چه در نگه‌داری و مدیریت آن، باید به پارامترها و سطوح امنیتی توجه کنند.

 * مدیر فنی شرکت پیشتاز پردازش پارس
** کارشناس شرکت پیشتاز پردازش پارس
فابا
 وام و خدمات بانکی و بیمه ای
  ثبت نام خانوارهای کم‌درآمد در سامانه رفاه
  مشاهده سوابق بیمه‌شدگان
  پیش شماره کارت شتابی بانک‎های کشور
  لیست تمام کدهای USSD بانک ها
  اعلام موجودی تمام بانک‌های کشور
  پرداخت قبوض همه بانک ها
  همراه بانک تمامی بانک‌ها + دانلود
  بانک های مرکزی کشورهای جهان
  صرافی های مجاز
  فرمول محاسبه سود و اقساط وام های بانکی
  تسهیلات بانکی خارجی، حواله جات و امور ارزی
  نحوه افتتاح حساب بانکی خارجی
  اینترنت بانک،تلفن بانک،آنی بانک
  سود حساب بلندمدت یک‌‌ساله و بیشتر
  سود صندوق های سرمایه‌گذاری‌
  وام خرید کالا
  وام نقدی
  وام تعمیر مسکن
  وام خرید مسکن
  وام خودرو
  دریافت شماره شبا همه بانک ها
   
  

اضافه نمودن به: Share/Save/Bookmark

نظر شما:
نام:
پست الکترونیکی:
آدرس وب:
نظر
 
  کد امنیتی:
 
 
 
 
کلیه حقوق محفوظ است، استفاده از مطالب با ذکر منبع بلامانع است
پشتیبانی توسط: خبرافزار