صفحه نخست     خدمات بانک و بیمه     سود بانکی     پیوندها     نسخه موبایل     RSS     درباره ما     تماس با ما  
چهارشنبه، 29 دی 1395 - 21:42   
  سرخط خبرها:  
 آخرین مطالب سایت
  با کارت خانواده بانک سینا هزینه ها را مدیریت کنید
  کارفرمایان از بخشش جرائم بیمه ای آگاه باشند
  قیمت طلا به بالاترین سطح در 8 هفته اخیر رسید
  تعداد عجیب دستگاههای کارتخوان در کشور
  ۲۰ نکته مهم درباره وام مسکن جوانان بدانید!
  بانکهایی که پرداخت وام را متوقف کردند
  نشست هم اندیشی ایثارگران بیمه مرکزی
  افزایش قیمت ۲۴ ارز بانکی+جدول قیمت
  استقبال ورزشکاران از استخر کارت پارسیان
  هلوکاست اجتماعی در گورهای چند لایه"
  سیاست مهمترین عامل موثر بر قیمت جهانی طلا
  توضیح تامین اجتماعی برای تماس سودجویان
  پوشش کامل بیمه صادرات نفت ایران
  گزارش بانک مرکزی از اوضاع اقتصادی پس از برجام
  حداکثر نرخ سود وامهای لیزینگی تعیین شد
  دلار ارزان و سکه گران شد
  سقف جوایز سپرده های قرض الحسنه افزایش یافت
  پیامدهای رشد بدهی دولت
  بخشنامه بانک مرکزی برای شفافیت صورت‌های مالی
  برگزاری اولین همایش بزرگ بیمه‌های زندگی در تهران
  ۳۰ میلیون دستگاه پوز بانکی در مغازه‌های ایرانی
  رشد 46 درصدی کاربران کانون جوانه‌های بانک ملی
  درخواست قدردانی از بانک کشاورزی
  اولین مواجهه بازار ارز با ترامپ
  طلای جهانی به بالای ۱۲۰۰ دلار صعود کرد
  فیش‌هایی که خزانه اعتماد ملت را خالی کرد
  شمارش معکوس برای بازگشت بانک‌ها به بورس
  کاهش قیمت دلار در سالگرد برجام+جدول نرخ
  دارایی بانک‌ها ۱۰ برابر "یارانه مردم"است
  بانک شهر تنها بانک حامی پروژه های شهری
  رونمایی از 100 عملکرد برجسته دولت
  رشد 35 درصدی فعالیتهای ارزی بانک سپه
  بازنشستگی زنان 42 ساله با 20 سال سابقه
  پیشگیری از اختلاس وظیفه بانک‌هاست
  جزئیات مزایده اموال مازاد بانک‌ها
  بخشودگی جرائم بیمه ای کارفرمایان خوش حساب
  ترس بانک‌ها و بیمه‌های خارجی از معامله با ایران
  بانک صادرات ١٧٦٢ بنگاه اقتصادی را سامان داد
  پولی در کار نیست که وصول شود!
  پرداخت تسهیلات مشاغل خانگی توسط بانک کشاورزی
 
 پربیننده ترین اخبار
  کاهش قیمت دلار در سالگرد برجام+جدول نرخ
  چرا بانک مرکزی به "کاسپین" مجوز داد؟
  بخشنامه بانک مرکزی برای شفافیت صورت‌های مالی
  حداکثر نرخ سود وامهای لیزینگی تعیین شد
  سقف جوایز سپرده های قرض الحسنه افزایش یافت
  پیامدهای رشد بدهی دولت
  موسسه کاسپین پاسخگو باشد
  دلار ارزان و سکه گران شد
  نجات بانک‌‌ها از زیان‌ هزاران میلیارد تومانی
  طلای جهانی به بالای ۱۲۰۰ دلار صعود کرد
  اولین مواجهه بازار ارز با ترامپ
  طلا گران‌تر خواهد شد
  فیش‌هایی که خزانه اعتماد ملت را خالی کرد
  رونمایی از 100 عملکرد برجسته دولت
  دارایی بانک‌ها ۱۰ برابر "یارانه مردم"است
  نرخ دلار پایین آمد/سکه گران شد
  اقدام موثر تامین اجتماعی در بخشودگی جرائم بیمه
  پیشگیری از اختلاس وظیفه بانک‌هاست
  بخشودگی جرائم بیمه ای،به کارگاه ها انرژی داد
  سیاست مهمترین عامل موثر بر قیمت جهانی طلا
- اندازه متن: + -  کد خبر: 12033صفحه نخست » گزارشپنجشنبه، 21 مهر 1390 - 08:43
امنیت فناوری اطلاعات در بانکداری الکترونیکی
امنیت فناوری اطلاعات در بانکداری الکترونیکی* افشین لامعی** تینا تعویذی
  
  اشاره
 فناوری اطلاعات از دو جنبه بانکداری را تحت تأثیر قرار می‏دهد. یکی ارتباطات و دیگری مهندسی مجدد فرایندهای تجاری. به کمک فناوری اطلاعات، توسعة محصولات با قابلیت‏های پیچیده، مدیریت مخاطرات و غلبه بر فواصل جغرافیایی تسهیل می‌شود. دو مورد از مهم‏ترین محصولات توسعه یافته به‌واسطة فناوری اطلاعات، بانکداری متمرکز و بانکداری الکترونیکی هستند. در این نوشته به مسائل امنیتی مطرح در به‌کارگیری این فناوری‌ها پرداخته‌ایم.

مزایای به‌کارگیری فناوری اطلاعات
استفاده از خدمات بانکداری متمرکز و بانکداری الکترونیکی مزایای فراوانی برای بانک‌ها به همراه داشته است، از جمله:
*تسریع در انجام عملیات بانکی و صرفه‌جویی در زمان به‌واسطه فراهم شدن امکان تراکنش‏های برخط.
* امکان به‌کارگیری فناوری اینترنت، که کیفیت سرویس خدمات بانکی را از جنبه‏های پاسخ‌گویی بهتر، ارتباطات و دسترس‏پذیری بهبود داده و در هر کجا و هر زمان در دسترس است.
* امکان معرفی کانال‏های جدید سرویس‏دهی مانند خودپرداز، تلفن بانک و موبایل بانک.
* یکپارچگی اطلاعات و خدمات بانکی که موجب انعطاف پذیری بیشتر این سیستم‏ها شده است.

بانکداری متمرکز (Core Banking)
براساس یک تعریف کلی، سیستم بانکداری متمرکز سیستمی است که در آن کلیة محصولات و خدمات بانکی و عملیات راهبری و مدیریت آن‏ها، از طریق دسترسی به پایگاه داده‌های مشترک و متمرکز، در قالب یک سیستم ارائه می‌شودکه انعطاف‌پذیری این سیستم و مشتری محوری از ویژگی‌های مهم آن است. بدون ایجاد یک بانک اطلاعاتی متمرکز و یکپارچه، خدمات به‌صورت جزیره‌ای و غیرهمسان ارائه خواهد شد.

بانکداری الکترونیک
بانکداری الکترونیک به معنای استفاده از تجهیزات الکترونیکی به‌جای استفاده از شیوه‌های سنتی برای انجام عملیات بانکی است. برخی از انواع خدمات در‌ بانکداری الکترونیک شامل موارد زیر است :
1.بانکداری اینترنتی
2.چک الکترونیکی
3.دستگاه‏های خودپرداز
4.SMS، WAP)Mobile Banking )
5.پایانه فروش (POS)
6.وب‌کیوسک‌های خدمات بانکی
7.ارائة خدمات بانکی از طریق تلویزیون‌های کابلی
8.ارائه خدمات بانکی از طریق دستیارهای شخصی (PDA)
واقعیت این است که در بانکداری الکترونیک به‌جای کنترل چشمی اطلاعات و ارقام مندرج در اسناد بانکداری که دور از خطا نیست، از کنترل الکترونیکی ارقام و اطلاعات که به مراتب دقیق‌تر، همه‌جانبه‌تر، با قابلیت اعتماد به مراتب افزون‌تر و دور از خطای انسانی است بهره گرفته می‌‌شود که این امر به نوبه خود مستلزم درک عمیق از ساز و کار معماری بانکداری الکترونیکی است. این آگاهی هم می‌‌تواند کلید کنترل این فناوری را در اختیار بانکداران قرار دهد، کلیدی که همانند هر فناوری دیگری، قالب‌های زمانی اجرای عملیات را می‌‌شکند و به‌تبع آن هزینه‌های رو به تزاید بانکداری سنتی را به‌طور مستمر کاهش می‌‏دهد و می‌‌تواند این واقعیت را آشکار سازد که بانکداری الکترونیکی به لحاظ استقلال از زمان و مکان، هم تعداد سپرده‌گذاران را افزایش ‌‌دهد و هم عاملی باشد که سپرده‌های جمع آوری شده را بدون درنگ در اختیار وام گیرندگان قرار دهد.

مشکلات توسعه بانکداری متمرکز
در زیر به برخی مشکلات توسعه و گستردگی به‌کارگیری بانکداری متمرکز اشاره شده است:
1.دشواری دسترسی و خرید نرم‌افزار‌های خارجی
2.دشواری انطباق نرم افزارهای خارجی با عملیات بانکی داخلی
3.عدم طراحی و تهیه نرم‌افزار  core banking  بانک‌های دولتی داخل
4.دشواری جذب و نگهداری نیروهای متخصص در این زمینه
5.دشواری‌های ناشی از عدم شناخت مدیران و دستگاه‌های ناظر و بازرس
6.محدودیت‌های ناشی از آیین‌نامه‌های معاملاتی

امنیت اطلاعات در بانکداری متمرکز
بانکداری الکترونیک به مشتریان بانک اجازه می‌‌دهد با رعایت روش‏های کاری مشخص و استفاده از پروتکل‌های استاندارد نسبت به افتتاح حساب از راه دور اقدام کند و با استفاده از رمز اختصاصی به درون شبکه بانکداری راه یافته، از ایستگاه‏های بازرسی و کنترل عبور کرده، مبلغی به حساب خود واریز و یا از آن برداشت نمایند. چنین فرآیندی مبین این واقعیت است که تراکنش‌های عملیات که در بانکداری سنتی قابل رؤیت است، در بانکداری الکترونیک پنهان از دید مستقیم بانکداران صورت می‌‌پذیرد و همین نامرئی بودن ظاهری تراکنش‌ها، گاهی موجب تردید در به‌کارگیری این معماری می‌شود.
باید توجه داشت که در کنار مزایای یاد شده، به‌منظور صحت انجام عملیات و تراکنش‏های بانکی در قالب سیستم‏های بانکداری متمرکز و بانکداری الکترونیک و جلوگیری از هر گونه سوء استفاده، باید جنبه‏های امنیتی در پیاده‌سازی و به‌کارگیری این فناوری را شناخته و به کمک کارشناسان متخصص در حیطة امنیت، این موارد را به‌درستی پیاده‌سازی کرد.
به‌کارگیری هر فناوری جنبه‏های امنیتی خاص خود را دارد. در ادامه به برخی سرفصل‌های کلی و اهداف امنیتی مورد نظر در به‌کارگیری خدمات بانکداری الکترونیکی اشاره می­ کنیم.
1. پیشگیری از تراکنش­های غیر مجاز و سرقت پول
2.پیشگیری و شناسایی جعل هویت
3.حفظ یکپارچگی داده‌های بانکی
4.حفظ دسترس‌پذیری خدمات بانکی
5.عدم افشای اطلاعات محرمانة مشتریان و حفظ حریم خصوصی آنان
برای نیل به اهداف فوق می‌­توان امنیت خدمات بانکداری الکترونیک را در سه سطح سرور، رسانه انتقال و کلاینت (مشتری) طبقه‌بندی و مکانیزم‌های امنیتی قابل ارائه در هر سطح را بر‌شمرد.
امنیت سرور
 تصدیق اصالت و مجازشناسی کاربر
محکم‌سازی بستر سیستم عاملی و سرویس‌های پایه
 استفاده از ضد بدافزارها
 رمزنگاری داده‌ها برای حفظ محرمانگی و یکپارچگی
 حفظ امنیت فیزیکی سرور
 پیاده‌سازی خط‌مشی‌های راهبری امن سرور
 مانیتورینگ امنیت سرور
امنیت رسانه انتقال
 پیشگیری از شنود ارتباط با استفاده از رمزنگاری
 مقابله با جعل هویت و حملات فردی در میان (Man in the Middle)
 ایجاد کانال امن بر بستر شبکه‌های عمومی (VPN)
 جلوگیری از تغییرات غیرمجاز داده‌ها در هنگام انتقال یا شناسایی آن‌ها
امنیت سمت کاربر
محافظت در برابر بدافزارهایی مانند Key logger، ویروس‌ها با استفاده از ضد بدافزارها
 مقابله با Phishing و حملات مبتنی بر مهندسی اجتماعی
 آگاهی‌رسانی و آموزش کاربر
 تصدیق اصالت چند عامله
 شاخص‌های امنیتی نرم‌افزار
در راستای پیاده‌سازی و طراحی امن سیستم بانکداری متمرکز، باید هر یک از مسائل مربوط به معماری، بستر نرم‌افزار، طراحی امن نرم‌افزار و مدیریت امنیت را در متدولوژی توسعة سیستم مد نظر داشت. در ادامه هر یک از موارد فوق شرح داده می‏شود:
امنیت معماری کلی نرم‌افزار
بایستی در طراحی اولیة نرم‌افزار بانکداری متمرکز به امنیت توجه شده باشد. در صورتی که دید امنیتی در ابتدا وجود نداشته باشد جبران آن پس از تولید نرم‌افزار بسیار دشوار یا غیر ممکن است. به‌عنوان مثال اگر بخش سرویس‌گیرنده نرم‌افزار دسترسی مستقیم و بی‌واسطه به پایگاه داده‌ها داشته باشد و یا کنترل دسترسی به صورت صحیح پیاده‌سازی نشده باشد، امنیت کل معماری زیر سؤال رفته است. از جمله موارد مهم در این بخش عبارتند از:
* معماری امن گردش داده میان اجزای نرم‌افزار
* معماری کنترل دسترسی
* معماری امنیتی پایگاه داده
* معماری کنترل‌های امنیتی منطق نرم‌افزار بانکی (شناسایی اختلاس، پول‌شویی و غیره)

امنیت بستر نرم‌افزار
منظور از بستر نرم‌افزار بانکی، شبکه، سیستم­ عامل، پایگاه داده و سخت‌افزارهای مرتبط با نرم‌افزار است. امنیت در هر یک از حوزه ­های شبکه، سیستم­ عامل، پایگاه داده جداگانه بایستی بررسی شود؛ ولی از لحاظ تعامل با نرم‌افزار نیز باید نکات امنیتی را لحاظ کرد. در‌واقع نرم‌افزار بایستی به‌صورت مستقل عمل کرده و آسیب‌پذیری‌­های بستر، موجب وارد آمدن آسیب به نرم‌افزار و سازمان نشود. برای استقلال نرم‌افزار باید تمامی پروتکل‌‌ها و تعاملات نرم‌افزار با بستر به‌صورت استاندارد پیاده سازی شده باشد. از جمله این نکات که بر امنیت نرم‌افزار بانکداری متمرکز مؤثر است عبارتند از:
* آسیب‌پذیری در نرم‌افزارهای دیگر از جمله نرم‌افزارهای خودپرداز ،کیوسک، اینترنت بانک، و غیره
* محدودیت­های امنیتی شبکه از جمله فایروال، سیستم تشخیص نفوذ (intrusion detection system IDS )
محدودیت های سیستم­‌عامل از جمله نوع سیستم‌عامل، بسته‌های خدماتی سیستم‌­عامل و سرویس ای آسیب پذیر سیستم ­عامل
محدودیت­‌های پایگاه داده از جمله نوع پایگاه داده، تصدیق اصالت پایگاه داده، نسخه پایگاه داده

امنیت نرم‌افزار
منظور از امنیت نرم‌افزار وجود و پیاده‌سازی صحیح پارامترهای امنیتی در نرم‌افزار است. درواقع هر نرم‌افزار باید مکانیزم‌های امنیتی داشته باشد که سه فاکتور مهم امنیت یعنی محرمانگی، یکپارچگی و دسترس‌پذیری داده را حفظ کند. تنها پیاده‌سازی این پارامترها معیار نیست و بایستی پیاده‌سازی این پارامترها بر اساس استانداردهای موجود و صحیح باشد. از جمله این پارامترها می‌توان به این موارد اشاره کرد.:
* نرم‌افزار دارای پیاده‌سازی صحیح عملیات تصدیق اصالت باشد.
* نرم‌افزار دارای پیاده‌سازی صحیح عملیات کنترل دسترسی باشد.
* نرم‌افزار دارای پیاده‌سازی صحیح رمزنگاری داده‌های حساس در عملیات انتقال و ذخیره­‌سازی باشد.
* نرم‌افزار دارای پیاده‌سازی صحیح عملیات ممیزی (Auditing) باشد.
* نرم‌افزار دارای پیاده‌سازی صحیح عملیات ثبت وقایع(log) باشد.
* نرم‌افزار در برابر حملات شناخته شده مقاوم باشد.
* نرم‌افزار بایستی به‌صورت ماژول­‌های مستقل پیاده‌سازی شده باشد تا در صورت آسیب دیدن هر یک از ماژول‌ها، بتوان آسان و سریع و بدون تأثیر در عملیات دیگر ماژول­‌ها آن را اصلاح کرد.
* در صورت در دسترس بودن کد، باید کد نرم‌افزار مرور امنیتی شود.
* باید نرم‌افزار مود ارزیابی و تست نفوذ قرار گیرد.

مدیریت امنیت
منظور از مدیریت امنیت ، وجود امکاناتی در نرم‌افزار است که بتوان امنیت را مدیریت کرد. اگر این بخش وجود نداشته باشد، در صورت بروز مخاطرات سازمان نمی‌­تواند آن مخاطرات را مدیریت کند یا از بروز مجدد آن جلوگیری کند. می‌­توان این مشخصه‌­ها را برای مدیریت امنیت توسط نرم‌افزار بانکداری متمرکز ذکر کرد:
* باید بتوان سطوح دسترسی را به‌طور مناسب مدیریت کرد.
* باید نرم‌افزار شامل بخش‌­های مانیتورینگ برای اعلام هشدار حمله احتمالی باشد.

جمع بندی
امنیت خدمات نوین بانکی وابستگی تام به نرم‌افزارهایی چون سیستم بانکداری متمرکز دارد. امنیت در این نرم‌افزارها باید از ابتدای تولید لحاظ شود. بنابراین بانک‌­ها چه در انتخاب راه حل و چه در نگه‌داری و مدیریت آن، باید به پارامترها و سطوح امنیتی توجه کنند.

 * مدیر فنی شرکت پیشتاز پردازش پارس
** کارشناس شرکت پیشتاز پردازش پارس
فابا
   
  

اضافه نمودن به: Share/Save/Bookmark

نظر شما:
نام:
پست الکترونیکی:
آدرس وب:
نظر
 
  کد امنیتی:
 
 
 
 
کلیه حقوق محفوظ است، استفاده از مطالب با ذکر منبع بلامانع است
پشتیبانی توسط: خبرافزار