لینک فایل تحقیق درباره امنیت در بانکداری- 82 صفحهword

مشخصات فایل

عنوان: امنیت در بانکداری

قالب بندی:word

تعداد صفحات:82

 

محتویات

فهرست مطالب

 

 

1       مقدمه 6

1-1       فاکتورهای امنیتی. 6

1-2      فرآیند امن‌سازی. 7

2       آشنایی با پروتکلهای امنیتی. 9

2-1      پروتکل PKI 9

2-2       SET.. 10

  1. 2.1 مدل SET.. 11

2-3       S-HTTP  13

2-4      S-MIME.. 13

2-5       SSL.. 14

2-6      SEPP.. 15

2-7       PCT.. 15

3       برنامه‌ریزی امنیتی. 17

3-1      برنامه‌ریزی استراتژیک امنیت.. 17

  1. 1.1 سیاست‌های برنامه‌ریزی استراتژیک.. 18

3-2      برنامه‌ریزی سیاست‌های امنیتی. 18

  1. 2.1 استراتژی‌‌های طراحی سیاست‌ها 21

3-3      نمونه‌ای از سیاست‌های مدیریتی امنیتی بانکداری. 22

3-4      سیاستهای مدیریتی. 23

  1. 4.1 نظارت مدیریتی. 23
  2. 4.2 کنترل‌های امنیتی. 25
  3. 4.3 مدیریت ریسک‌های حقوقی و حیثیت.. 28

3-5       سیاستهای اجزای سیستم. 30

  1. 5.1 سیاست سازمان. 31
  2. 5.2 سیاست امنیت اطلاعات.. 31
  3. 5.2.1 طبقه‌بندی اطلاعات.. 32
  4. 5.3 سیاست امنیت کارکنان. 35
  5. 5.3.1 اصول اخلاقی. 35
  6. 5.3.2 سیاست کلمات عبور 35
  7. 5.3.3 سیاست عمومی نرم‌افزار 37
  8. 5.3.4 شبکه‌ها 37
  9. 5.3.5 اینترنت.. 38
  10. 5.3.6 کامپیوترهای قابل‌حمل و laptop ها 39
  11. 5.4 سیاست کامپیوتر و شبکه. 40
  12. 5.4.1 سیاست مدیریت سیستم. 40
  13. 5.4.2 سیاست شبکه 45
  14. 5.4.3 سیاست توسعة نرم‌افزار 47

4       تحلیل مخاطرات. 48

4-1      مراحل مدیریت مخاطرات.. 48

  1. 1.1 تعیین منابع و موجودی‌ها 49
  2. 1.2 تعیین خطرات امنیتی ممکن. 49
  3. 1.3 استخراج آسیب‌پذیری‌ها 50
  4. 1.4 شناسایی حفاظهای موجود و در دست اقدام. 51
  5. 1.5 ارزیابی مخاطرات.. 52
  6. 1.6 ارائه راهکارهای مقابله با مخاطرات.. 53
  7. 1.7 ریسک در سیستمهای بانکی. 54
  8. 1.7.1 ریسک عملیات 54
  9. 1.7.2 ریسک محرمانگی. 55
  10. 1.7.3 ریسک حقوقی. 55
  11. 1.7.4 ریسک حیثیت 56
  12. 1.7.5 ریسک اعتبار 56
  13. 1.7.6 ریسک نرخ بهره. 56
  14. 1.7.7 ریسک تسویه 57
  15. 1.7.8 ریسک قیمت 57
  16. 1.7.9 ریسک مبادلة خارجی. 57
  17. 1.7.10 ریسک تراکنش 57
  18. 1.7.11 ریسک استراتژیک 58
  19. 1.7.12 مثال‌هایی از انواع ریسک.. 58

5       حفاظ‌های امنیتی و سیاست‌های آنها 63

5-1      امنیت فیزیکی. 63

  1. 1.1 کنترل دسترسی فیزیکی. 63
  2. 1.2 اعتبار سنجی فیزیکی. 65
  3. 1.3 منبع تغذیه وقفه ناپذیر2 65
  4. 1.4 سیاست‌های امنیت فیزیکی. 66
  5. 1.4.1 محافظت ساختمانی و جلوگیری از دزدی. 66
  6. 1.4.2 محافظت در برابر آتش.. 67
  7. 1.4.3 محافظت در برابر آب / مایعات.. 68
  8. 1.4.4 محافظت در برابر حوادث طبیعی. 68
  9. 1.4.5 محفاظت از سیم کشی‌ها 68
  10. 1.4.6 محفاظت در مقابل برق. 69

5-2      تعیین هویت و تصدیق اصالت (I & A). 70

  1. 2.1 سیاست‌های تشخیص هویت.. 71

5-3      کنترل دسترسی. 71

  1. 3.1 سیاست‌های کنترل دسترسی. 73

5-4      رمزنگاری. 75

  1. 4.1.1 محافظت از محرمانگی دادهها 77
  2. 4.1.2 محافظت از تمامیت دادهها 77
  3. 4.1.3 عدم انکار 78
  4. 4.1.4 تصدیق اصالت داده. 78
  5. 4.1.5 مدیریت کلید 78
  6. 4.2 سیاست‌های رمزنگاری. 79

5-5      محافظت در برابر کدهای مخرب.. 80

  1. 5.1 اقسام برنامه‌های مزاحم و مخرب.. 81
  2. 5.2 سیاست‌های ضد کدهای مخرب.. 83

5-6      دیواره آتش.. 84

  1. 6.1 سیاست‌های دیواره آتش.. 87

5-7      سیستم‌های تشخیص نفوذ. 90

  1. 7.1 سیاست‌های تشخیص نفوذ. 91

5-8      شبکه خصوصی مجازی ( (VPN.. 93

5-9      امنیت سیستم عامل. 94

  1. 9.1 محکم‌سازی سیستم. 95
  2. 9.2 سیاست‌های امنیت سیستم‌عامل. 96
  3. 9.2.1 امنیت در سرورها 97
  4. 9.2.2 امنیت در سیستم های Desktop. 97

6       نگهداری و پشتیبانی امنیتی. 99

6-1      نظارت و ارزیابی امنیتی. 99

  1. 1.1 سیاست‌های نظارت امنیتی. 102

6-2      نصب، پیکربندی و کنترل تغییرات.. 104

  1. 2.1 سیاست‌های مدیریت پیکربندی. 105

6-3      سیستم‌هایی با دسترسی بالا. 106

  1. 3.1 مدیریت تحمل‌پذیری خطا 108
  2. 3.2 پشتیبان‌گیری. 109
  3. 3.3 خوشه‌بندی. 110
  4. 3.4 سیاست‌های دسترس‌پذیری بالا. 110

6-4      مدیریت حوادث.. 111

  1. 4.1 سیاست‌های مدیریت حوادث.. 113

6-5      آموزش و تربیت امنیتی. 114

  1. 5.1 سیاست‌های آموزش و آگاهی رسانی. 115

7       ضمیمه الف – برخی از تهدیدات متداول. 117

8       ضمیمه ب – برخی از آسیب‌پذیری‌های متداول. 120

 

 


1      مقدمه

با گسترش فناوری اطلاعات و ارتباطات، امنیت به یکی از مهمترین مباحث در فرآیند طراحی و مدیریت سازمان‌ها تبدیل شده است. به خصوص در سیستم‌های بانکداری یکی از اصلی‌ترین مسائل مطرح، تأمین امنیت لازم برای انواع سیستم‌ها و سرویس‏های بانکی است.

اصولاً امنیت بانک در دو سطح قابل بررسی است. سطح اول مربوط به امنیت پیام‏هایی است که بین بانک و مشتریان مبادله می‏شود. این نوع امنیت شامل تصدیق اصالت کاربران، صحت (عدم تغییر داده در زمان انتقال)، عدم انکار (جلوگیری از انکار هر یک از طرفین بعد از انجام کامل تراکنش)، محدود ساختن دسترسی به سیستم برای کاربران مجاز و تصدیق اصالت شده (براساس سیاست امنیتی تعیین شده) و حفظ محرمانگی است.

سطح دوم از مسائل امنیتی مرتبط با سیستم بانک الکترونیکی، امنیت محیطی است که داده‌های بانکی و اطلاعات مشتریان در آن قرار می‏گیرد. این نوع امنیت با اعمال کنتر‏ل‏های داخلی و یا دیگر احتیاط‏های امنیتی امکان‏پذیر می‏شود.

1-1   فاکتورهای امنیتی

به طور کلی، برای برقراری یک محیط امن، چند فاکتور اساسی باید موجود باشد. این فاکتورها عبارتند از:

  • جامعیت[1]: اطمینان از اینکه اطلاعات صحیح و کامل است.
  • محرمانگی[2]: اطمینان از اینکه اطلاعات تنها توسط افراد یا سازمان‌های مجاز قابل استفاده است و هیچ‌گونه فاش‌سازی اطلاعات برای افراد تشخیص و تأیید هویت نشده صورت نخواهد گرفت.
  • شناسایی و اعتبار سنجی[3]: گیرنده و فرستنده، هر دو باید بتوانند از هویت طرف مقابل خود مطمئن باشند.
  • دسترس‌پذیری: اطمینان از اینکه سیستم مسئول تحویل، ذخیره‌سازی و پردازش اطلاعات همواره در زمان نیاز و در دسترس افراد مربوطه باشد.
  • انکارنا‌پذیری[4]: هیچ یک از دو سوی ارتباط نتوانند مشارکت خود در ارتباط را انکار کنند.

برای رسیدن به یک طرح مناسب و کارا در ارتباط با امنیت بایست برای برقراری توازن در سه مورد تصمیم‌گیری کنیم:

  • ارائة سرویس در برابر امن‌سازی: ارائة برخی از سرویس‌ها و وجود آنها در شبکه از اهمیت بالایی برخوردار نیست. باید تصمیم گرفت که چه سرویس‌هایی را می‌خواهیم ارائه کنیم. این سرویس‌ها باید آنقدر ارزشمند و مهم باشند تا صرف زمان و انرژی برای امن‌سازی آنها بیهوده نباشد.
  • سادگی استفاده[5] در برابر امنیت: امن‌سازی سیستم، استفاده از آن را مشکل‌تر می‌کند. هر چه یک سیستم امن‌تر باشد استفاده از آن نیز مشکل‌تر خواهد بود. زیرا امنیت محدودیت ایجاد می‌کند، بنابراین باید بین قابلیت‌استفاده[6] و میزان امنیت تعادلی را برقرار ساخت.
  • هزینة برقرار‌سازی امنیت در برابر خطر از دست دادن[7]: طراحی و پیاده‌سازی امنیت نیازمند صرف هزینه‌هایی در بخش‌های نیروی انسانی، نرم‌افزار و سخت‌افزار خواهد بود. باید مجموع هزینه‌هایی که در صورت از دست دادن هر کدام از منابع یا اطلاعات داخلی به شرکت اعمال می‌شوند محاسبه شده و بین این هزینه‌ها و هزینه‌های تأمین امنیت تعادل برقرار شود. هزینة از دست دادن منابع باید با توجه به احتمال از دست دادن آنها مورد محاسبه قرار گیرند. در صورتی‌که احتمال از دست دادن یا دچار مشکل شدن یک منبع بسیار پایین باشد و آن منبع از درجة اهمیت بالایی نیز برخوردار نباشد صرف هزینه زیاد برای امن‌سازی آن بهینه نخواهد بود.

1-2   فرآیند امن‌سازی

امروزه دیگر به فن آوری امنیت به دید یک محصول نگریسته نمی‌شود، بلکه به اتفاق نظر اکثر متخصصین این فن، امنیت یک فرآیند است؛ فرآیندی که مطابق با شکل زیر باید به چرخة حیات یک تشکل تزریق شود.

 

 

با دید فرآیند گونه بودن امنیت می‌توان به این نتیجه رسید که مقولة امنیت لازم است که در تمامی پیکرة یک سازمان یا تشکل لحاظ شود و نه تنها بر روی اطلاعات یا تجهیزات آن تشکل یا سازمان. موضوعات موجود در مقولة مدیریت امنِ فن آوری اطلاهات و ارتباطات نوعاً شامل موارد زیر می باشد:

  • سیاست امنیتی (سازمانی و سیستمی)
  • تحلیل مخاطرات
  • انتخاب حفاظ
  • طرح دقیق امنیتی سیستمی
  • پیاده سازی حفاظ‌ها در هر سیستم
  • طرح پشتیبانی و تداوم فعالیت
    • ارزیابی و نظارت
    • تحمل‌پذیری خطا
    • مدیریت تغییرات
    • طرح مواجهه با حوادث غیرمترقبه
    • اطلاع رسانی و آموزش امنیتی

از میان مراحل فوق در این گزارش تنها سه مرحله اول و مرحله آخر را مرور خواهیم کرد. واضح است که مراحل مربوط طراحی دقیق و پیاده‌سازی در این مقال نمی‌گنجد و نیاز به تعریف پروژه‌ای جداگانه در مرحله بعدی دارد.


 

2      آشنایی با پروتکل­های امنیتی

در ادامه به معرفی برخی از پروتکلهای امنیتی مطرح در امنیت اطلاعات و ارتباطات خصوصاً در بانک‌ها می‌پردازیم.

2-1    پروتکل PKI

پروتکل PKI، اطمینان لازم در محیط‌های دیجیتالی را فراهم می‌کند. PKI مبتنی بر گواهی دیجیتالی است (گواهی دیجیتالی به نوعی معادل با گذرنامه است که در دنیای فیزیکی مورد استفاده قرار می‌گیرد). گواهی دیجیتالی برای تائید ماهیت شخص یا مؤسسه‌ای است که در برقراری ارتباط نقش دارد و باعث تراکنش‌های دیجیتالی می‌شود. یک سیستم مبتنی بر گواهی، سرویسهای امنیتی تصدیق اصالت، صحت داده، محرمانگی و عدم انکار را تأمین می­کند.

اجزای اصلی PKI شامل مرجع ثبت[8] و مرجع گواهی[9] است (شکل زیر). مرجع ثبت یا RA، وظیفة تصدیق اصالت و ثبت کاربران جدید و درخواست گواهی برای آن‌ها را دارد. مرجع گواهی یا CA، براساس تقاضاهای صورت گرفته به‌وسیلة RA، صدور را انجام داده و آن‌ها را ارسال می‌کند. یک مدل PKI، همچنین شامل سیاستها، رویه‌ها[10] و قراردادهایی است که نحوة صدور گواهی، صدور مجدد و ابطال گواهی را تعیین می‌کنند. کاربردهایی که از PKI پشتیبانی می‌کنند، می‌توانند مدیریت گواهی‌های کاربران و تولید گواهی دیجیتالی را بر روی PC، تلفن‌های همراه و غیره انجام دهند.

 

2-2   SET[11]

SET یک پروتکل پرداخت را در سطح شبکة ارتباطی میان خریدار، فروشنده، بانک و دروازة پرداخت فراهم می‌کند. SET یک توصیف امنیتی و رمزنگاری باز، برای حفاظت از تراکنش‌های الکترونیکی انجام شده بر روی اینترنت است که کاربران را برای به‌کارگیری امن کارتهای اعتباری در یک شبکة باز (مانند اینترنت) قادر می‌سازد. برای استفاده از این پروتکل بایستی دارندة کارت اعتباری و فروشنده دارای گواهی باشند. این گواهی‌ها از طرف یک مرجع گواهی صادر می‌شوند. در طرف خریدار، بایستی نرم‌افزار SET نصب شده و یک حساب کارت اعتباری که از SET پشتیبانی کرده و گواهی مورد‌نیاز را فراهم می‌کند، افتتاح شود. فروشنده نیز باید نرمافزار را نصب کرده و آن را در ترکیب با یک نرم‌افزار مبتنی بر وب که ارائة خدمات فروش کالا را انجام می‌دهد، برای استفادة مشتریان بر روی وب قرار دهد. نرمافزار مورد استفاده توسط فروشنده اندکی پیچیده‌تر است چرا که نیاز به برقراری ارتباط با هر دو طرف خریدار و دروازة پرداخت دارد.

بهطورکلی، می‌توان مزایا و معایب SET را بهصورت زیر بیان نمود:

  • مزایا: حفاظت درمقابل استراقسمع، حفاظت در مقابل سوءاستفادة فروشنده ازکارت اعتباری خریدار، ایجاد اطمینان بیشتر برای بانک، حفظ محرمانگی خریدار نسبت به فروشنده.
  • معایب: نیاز به گواهی دارد که دارای مکانیزم مدیریتی پیچیده­ای است. عدم وجود سیستم‌های SET کامل، عدم امکان ایجاد مکانیزم گمنامی به‌طور کامل.

SET، یک تراکنش مابین مشتریان (صاحبان کارت‌های اعتباری)، بانک، طرف تجاری، سازمانهای پردازش پرداخت پول و مراجع گواهی بهوجود می‌آورد و تمامی امکانات موردنیاز برای تراکنش‌های مربوط به کارتهای اعتباری بر روی اینترنت را دارا می‌باشد. این امکانات شامل موارد زیر است:

محرمانگی اطلاعات: امنیت اطلاعات دارندة کارت و فروشنده در زمان انتقال بر روی شبکه حفظ می‌شود. یک ویژگی مهم و جالب‌توجه SET این است که از فاش شدن شماره و مشخصات کارت اعتباری، برای طرف حساب تجاری ممانعت می‌کند و این اطلاعات تنها از طریق بانک قابل دسترسی است. معمولاً از روشی مانند DES برای رمزنگاری استفاده می‌شود.

صحت داده‌ها: SET تضمین می‌کند که اطلاعات تراکنش‌های مختلف، بدون هیچگونه تغییری انتقال ‌می‌یابند. از امضای دیجیتالی RSA با استفاده از کدهای درهم‌سازی[12]SHA- 1 برای تحقق این امر استفاده می‌شود.

تصدیق اصالت دارندة کارت اعتباری[13]: SET، طرف تجاری را قادر می‌سازد تا از اعتبار دارندة کارت، اطمینان حاصل کند. برای این منظور از گواهی و امضای دیجیتالی استفاده می‌شود.

تصدیق اصالت طرف تجاری[14]: صاحبان کارت اعتباری نیز می‌توانند با بهره‌گیری از امکانات SET، اعتبار طرف تجاری خود و ارتباط آن‌ها با مؤسسات مالی (جهت حصول اطمینان از اینکه امکان استفاده از کارت اعتباری برای انجام پرداخت ها وجود دارد)، را مورد بررسی قرار دهند.

2.2.1   مدل SET

مطابق با شکل زیر، موجودیتهای شرکتکننده درتراکنش‌های SET به ‌شرح زیر میباشند:

دارندة کارت: در یک محیط الکترونیکی، مشتریان و خریدارها با دریافت کارتهای اعتباری به ‌وسیلة خطوط اینترنت با طرف تجاری خود وارد معامله می‌شوند.

طرف تجاری: فرد یا سازمانی است که فروش‌ کالا و خدمات تجاری را به صاحبان کارت اعتباری ارائه می‌کند. این کالاها و خدمات از طریق سایتهای وب و یا پست الکترونیکی به مشتریان عرضه می‌شوند.

 

 

صادرکننده[15]: یک مؤسسة مالی از قبیل بانک که افتتاح حساب و صدور کارت اعتباری را برای مشتریان (ازطریق اینترنت و یا به شکل حضوری) انجام داده و مسئولیت کلیة تراکنش‌های مالی، از جمله مسئولیت بدهی‌های دارندگان کارت را بر عهده دارد.

Acquirer: ارائهدهندگان کالا و خدمات فروش (فروشندگان) بایستی با یک مؤسسة مالی که بررسی پرداخت‌ها و تائید اعتبار آن‌ها را انجام می‌دهد ارتباط داشته باشند. acquirer بعد از انجام بررسیهای لازم، فعال بودن یک کارت اعتباری خاص و عدم تجاوز از مقدار اعتبار دارندة کارت را به فروشنده اطلاع می‌دهد. همچنین انتقال الکترونیکی پول پرداخت شده به حساب فروشنده نیز از این طریق انجام می‌شود.

دروازة پرداخت[16]: بهعنوان یک واسط مابین SET و شبکه‌های پرداخت بانکی عمل می‌کند و وظیفة آن بررسی مجوزها و انجام عملیات مربوط به پرداخت‌ها و انتقال پول می‌باشد. طرف تجاری با استفاده از پیغام‌های SET، با دروازة پرداخت ارتباط پیدا می‌کند (ازطریق اینترنت). درحالیکه دروازة پرداخت به نوبة خود با acquirer از طریق شبکه و یا به‌طور مستقیم اتصال دارد. به این ترتیب، پردازش پیامهای فروشندگان از طریق این بخش انجام می‌شود.

مرجع گواهی (CA): مرجعی است که گواهی کلید عمومی را با استانداردX.509v3 برای دارندگان کارت اعتباری، فروشندگان و دروازه‌های پرداخت صادر می‌کند.


[1] Data Integrity

[2] Confidentiality

[3] Identification & Authentication

[4] Non-repudiation

[5] Ease of use

[6] Usability

[7] Risk of loss

[8] Registration Authority

[9] Certificate Authority

[10] Procedures

[11] Secure Electronic Transaction

[12] Hash Codes

[13] Cardholder

[14] Merchant

[15] Issuer

[16] Payment Gateway


کلمات کلیدی : تحقیق درباره امنیت در بانکداری,فاکتورهای امنیتی,فرآیند امن‌سازی,پروتکل,برنامه‌ریزی استراتژیک امنیت, برنامه‌ریزی سیاست‌های امنیتی,نظارت
در این سایت هیچ فایلی برای فروش قرار نمی گیرد. برای پشتیبانی و خرید فایل به سایت اصلی فروشنده مراجعه بفرمائید:

لینک دریافت فایل از سایت اصلی


ادامه مطلب ...

لینک فایل تحقیق درباره امنیت در بانکداری- 82 صفحهword

مشخصات فایل

عنوان: امنیت در بانکداری

قالب بندی:word

تعداد صفحات:82

 

محتویات

فهرست مطالب

 

 

1       مقدمه 6

1-1       فاکتورهای امنیتی. 6

1-2      فرآیند امن‌سازی. 7

2       آشنایی با پروتکلهای امنیتی. 9

2-1      پروتکل PKI 9

2-2       SET.. 10

  1. 2.1 مدل SET.. 11

2-3       S-HTTP  13

2-4      S-MIME.. 13

2-5       SSL.. 14

2-6      SEPP.. 15

2-7       PCT.. 15

3       برنامه‌ریزی امنیتی. 17

3-1      برنامه‌ریزی استراتژیک امنیت.. 17

  1. 1.1 سیاست‌های برنامه‌ریزی استراتژیک.. 18

3-2      برنامه‌ریزی سیاست‌های امنیتی. 18

  1. 2.1 استراتژی‌‌های طراحی سیاست‌ها 21

3-3      نمونه‌ای از سیاست‌های مدیریتی امنیتی بانکداری. 22

3-4      سیاستهای مدیریتی. 23

  1. 4.1 نظارت مدیریتی. 23
  2. 4.2 کنترل‌های امنیتی. 25
  3. 4.3 مدیریت ریسک‌های حقوقی و حیثیت.. 28

3-5       سیاستهای اجزای سیستم. 30

  1. 5.1 سیاست سازمان. 31
  2. 5.2 سیاست امنیت اطلاعات.. 31
  3. 5.2.1 طبقه‌بندی اطلاعات.. 32
  4. 5.3 سیاست امنیت کارکنان. 35
  5. 5.3.1 اصول اخلاقی. 35
  6. 5.3.2 سیاست کلمات عبور 35
  7. 5.3.3 سیاست عمومی نرم‌افزار 37
  8. 5.3.4 شبکه‌ها 37
  9. 5.3.5 اینترنت.. 38
  10. 5.3.6 کامپیوترهای قابل‌حمل و laptop ها 39
  11. 5.4 سیاست کامپیوتر و شبکه. 40
  12. 5.4.1 سیاست مدیریت سیستم. 40
  13. 5.4.2 سیاست شبکه 45
  14. 5.4.3 سیاست توسعة نرم‌افزار 47

4       تحلیل مخاطرات. 48

4-1      مراحل مدیریت مخاطرات.. 48

  1. 1.1 تعیین منابع و موجودی‌ها 49
  2. 1.2 تعیین خطرات امنیتی ممکن. 49
  3. 1.3 استخراج آسیب‌پذیری‌ها 50
  4. 1.4 شناسایی حفاظهای موجود و در دست اقدام. 51
  5. 1.5 ارزیابی مخاطرات.. 52
  6. 1.6 ارائه راهکارهای مقابله با مخاطرات.. 53
  7. 1.7 ریسک در سیستمهای بانکی. 54
  8. 1.7.1 ریسک عملیات 54
  9. 1.7.2 ریسک محرمانگی. 55
  10. 1.7.3 ریسک حقوقی. 55
  11. 1.7.4 ریسک حیثیت 56
  12. 1.7.5 ریسک اعتبار 56
  13. 1.7.6 ریسک نرخ بهره. 56
  14. 1.7.7 ریسک تسویه 57
  15. 1.7.8 ریسک قیمت 57
  16. 1.7.9 ریسک مبادلة خارجی. 57
  17. 1.7.10 ریسک تراکنش 57
  18. 1.7.11 ریسک استراتژیک 58
  19. 1.7.12 مثال‌هایی از انواع ریسک.. 58

5       حفاظ‌های امنیتی و سیاست‌های آنها 63

5-1      امنیت فیزیکی. 63

  1. 1.1 کنترل دسترسی فیزیکی. 63
  2. 1.2 اعتبار سنجی فیزیکی. 65
  3. 1.3 منبع تغذیه وقفه ناپذیر2 65
  4. 1.4 سیاست‌های امنیت فیزیکی. 66
  5. 1.4.1 محافظت ساختمانی و جلوگیری از دزدی. 66
  6. 1.4.2 محافظت در برابر آتش.. 67
  7. 1.4.3 محافظت در برابر آب / مایعات.. 68
  8. 1.4.4 محافظت در برابر حوادث طبیعی. 68
  9. 1.4.5 محفاظت از سیم کشی‌ها 68
  10. 1.4.6 محفاظت در مقابل برق. 69

5-2      تعیین هویت و تصدیق اصالت (I & A). 70

  1. 2.1 سیاست‌های تشخیص هویت.. 71

5-3      کنترل دسترسی. 71

  1. 3.1 سیاست‌های کنترل دسترسی. 73

5-4      رمزنگاری. 75

  1. 4.1.1 محافظت از محرمانگی دادهها 77
  2. 4.1.2 محافظت از تمامیت دادهها 77
  3. 4.1.3 عدم انکار 78
  4. 4.1.4 تصدیق اصالت داده. 78
  5. 4.1.5 مدیریت کلید 78
  6. 4.2 سیاست‌های رمزنگاری. 79

5-5      محافظت در برابر کدهای مخرب.. 80

  1. 5.1 اقسام برنامه‌های مزاحم و مخرب.. 81
  2. 5.2 سیاست‌های ضد کدهای مخرب.. 83

5-6      دیواره آتش.. 84

  1. 6.1 سیاست‌های دیواره آتش.. 87

5-7      سیستم‌های تشخیص نفوذ. 90

  1. 7.1 سیاست‌های تشخیص نفوذ. 91

5-8      شبکه خصوصی مجازی ( (VPN.. 93

5-9      امنیت سیستم عامل. 94

  1. 9.1 محکم‌سازی سیستم. 95
  2. 9.2 سیاست‌های امنیت سیستم‌عامل. 96
  3. 9.2.1 امنیت در سرورها 97
  4. 9.2.2 امنیت در سیستم های Desktop. 97

6       نگهداری و پشتیبانی امنیتی. 99

6-1      نظارت و ارزیابی امنیتی. 99

  1. 1.1 سیاست‌های نظارت امنیتی. 102

6-2      نصب، پیکربندی و کنترل تغییرات.. 104

  1. 2.1 سیاست‌های مدیریت پیکربندی. 105

6-3      سیستم‌هایی با دسترسی بالا. 106

  1. 3.1 مدیریت تحمل‌پذیری خطا 108
  2. 3.2 پشتیبان‌گیری. 109
  3. 3.3 خوشه‌بندی. 110
  4. 3.4 سیاست‌های دسترس‌پذیری بالا. 110

6-4      مدیریت حوادث.. 111

  1. 4.1 سیاست‌های مدیریت حوادث.. 113

6-5      آموزش و تربیت امنیتی. 114

  1. 5.1 سیاست‌های آموزش و آگاهی رسانی. 115

7       ضمیمه الف – برخی از تهدیدات متداول. 117

8       ضمیمه ب – برخی از آسیب‌پذیری‌های متداول. 120

 

 


1      مقدمه

با گسترش فناوری اطلاعات و ارتباطات، امنیت به یکی از مهمترین مباحث در فرآیند طراحی و مدیریت سازمان‌ها تبدیل شده است. به خصوص در سیستم‌های بانکداری یکی از اصلی‌ترین مسائل مطرح، تأمین امنیت لازم برای انواع سیستم‌ها و سرویس‏های بانکی است.

اصولاً امنیت بانک در دو سطح قابل بررسی است. سطح اول مربوط به امنیت پیام‏هایی است که بین بانک و مشتریان مبادله می‏شود. این نوع امنیت شامل تصدیق اصالت کاربران، صحت (عدم تغییر داده در زمان انتقال)، عدم انکار (جلوگیری از انکار هر یک از طرفین بعد از انجام کامل تراکنش)، محدود ساختن دسترسی به سیستم برای کاربران مجاز و تصدیق اصالت شده (براساس سیاست امنیتی تعیین شده) و حفظ محرمانگی است.

سطح دوم از مسائل امنیتی مرتبط با سیستم بانک الکترونیکی، امنیت محیطی است که داده‌های بانکی و اطلاعات مشتریان در آن قرار می‏گیرد. این نوع امنیت با اعمال کنتر‏ل‏های داخلی و یا دیگر احتیاط‏های امنیتی امکان‏پذیر می‏شود.

1-1   فاکتورهای امنیتی

به طور کلی، برای برقراری یک محیط امن، چند فاکتور اساسی باید موجود باشد. این فاکتورها عبارتند از:

  • جامعیت[1]: اطمینان از اینکه اطلاعات صحیح و کامل است.
  • محرمانگی[2]: اطمینان از اینکه اطلاعات تنها توسط افراد یا سازمان‌های مجاز قابل استفاده است و هیچ‌گونه فاش‌سازی اطلاعات برای افراد تشخیص و تأیید هویت نشده صورت نخواهد گرفت.
  • شناسایی و اعتبار سنجی[3]: گیرنده و فرستنده، هر دو باید بتوانند از هویت طرف مقابل خود مطمئن باشند.
  • دسترس‌پذیری: اطمینان از اینکه سیستم مسئول تحویل، ذخیره‌سازی و پردازش اطلاعات همواره در زمان نیاز و در دسترس افراد مربوطه باشد.
  • انکارنا‌پذیری[4]: هیچ یک از دو سوی ارتباط نتوانند مشارکت خود در ارتباط را انکار کنند.

برای رسیدن به یک طرح مناسب و کارا در ارتباط با امنیت بایست برای برقراری توازن در سه مورد تصمیم‌گیری کنیم:

  • ارائة سرویس در برابر امن‌سازی: ارائة برخی از سرویس‌ها و وجود آنها در شبکه از اهمیت بالایی برخوردار نیست. باید تصمیم گرفت که چه سرویس‌هایی را می‌خواهیم ارائه کنیم. این سرویس‌ها باید آنقدر ارزشمند و مهم باشند تا صرف زمان و انرژی برای امن‌سازی آنها بیهوده نباشد.
  • سادگی استفاده[5] در برابر امنیت: امن‌سازی سیستم، استفاده از آن را مشکل‌تر می‌کند. هر چه یک سیستم امن‌تر باشد استفاده از آن نیز مشکل‌تر خواهد بود. زیرا امنیت محدودیت ایجاد می‌کند، بنابراین باید بین قابلیت‌استفاده[6] و میزان امنیت تعادلی را برقرار ساخت.
  • هزینة برقرار‌سازی امنیت در برابر خطر از دست دادن[7]: طراحی و پیاده‌سازی امنیت نیازمند صرف هزینه‌هایی در بخش‌های نیروی انسانی، نرم‌افزار و سخت‌افزار خواهد بود. باید مجموع هزینه‌هایی که در صورت از دست دادن هر کدام از منابع یا اطلاعات داخلی به شرکت اعمال می‌شوند محاسبه شده و بین این هزینه‌ها و هزینه‌های تأمین امنیت تعادل برقرار شود. هزینة از دست دادن منابع باید با توجه به احتمال از دست دادن آنها مورد محاسبه قرار گیرند. در صورتی‌که احتمال از دست دادن یا دچار مشکل شدن یک منبع بسیار پایین باشد و آن منبع از درجة اهمیت بالایی نیز برخوردار نباشد صرف هزینه زیاد برای امن‌سازی آن بهینه نخواهد بود.

1-2   فرآیند امن‌سازی

امروزه دیگر به فن آوری امنیت به دید یک محصول نگریسته نمی‌شود، بلکه به اتفاق نظر اکثر متخصصین این فن، امنیت یک فرآیند است؛ فرآیندی که مطابق با شکل زیر باید به چرخة حیات یک تشکل تزریق شود.

 

 

با دید فرآیند گونه بودن امنیت می‌توان به این نتیجه رسید که مقولة امنیت لازم است که در تمامی پیکرة یک سازمان یا تشکل لحاظ شود و نه تنها بر روی اطلاعات یا تجهیزات آن تشکل یا سازمان. موضوعات موجود در مقولة مدیریت امنِ فن آوری اطلاهات و ارتباطات نوعاً شامل موارد زیر می باشد:

  • سیاست امنیتی (سازمانی و سیستمی)
  • تحلیل مخاطرات
  • انتخاب حفاظ
  • طرح دقیق امنیتی سیستمی
  • پیاده سازی حفاظ‌ها در هر سیستم
  • طرح پشتیبانی و تداوم فعالیت
    • ارزیابی و نظارت
    • تحمل‌پذیری خطا
    • مدیریت تغییرات
    • طرح مواجهه با حوادث غیرمترقبه
    • اطلاع رسانی و آموزش امنیتی

از میان مراحل فوق در این گزارش تنها سه مرحله اول و مرحله آخر را مرور خواهیم کرد. واضح است که مراحل مربوط طراحی دقیق و پیاده‌سازی در این مقال نمی‌گنجد و نیاز به تعریف پروژه‌ای جداگانه در مرحله بعدی دارد.


 

2      آشنایی با پروتکل­های امنیتی

در ادامه به معرفی برخی از پروتکلهای امنیتی مطرح در امنیت اطلاعات و ارتباطات خصوصاً در بانک‌ها می‌پردازیم.

2-1    پروتکل PKI

پروتکل PKI، اطمینان لازم در محیط‌های دیجیتالی را فراهم می‌کند. PKI مبتنی بر گواهی دیجیتالی است (گواهی دیجیتالی به نوعی معادل با گذرنامه است که در دنیای فیزیکی مورد استفاده قرار می‌گیرد). گواهی دیجیتالی برای تائید ماهیت شخص یا مؤسسه‌ای است که در برقراری ارتباط نقش دارد و باعث تراکنش‌های دیجیتالی می‌شود. یک سیستم مبتنی بر گواهی، سرویسهای امنیتی تصدیق اصالت، صحت داده، محرمانگی و عدم انکار را تأمین می­کند.

اجزای اصلی PKI شامل مرجع ثبت[8] و مرجع گواهی[9] است (شکل زیر). مرجع ثبت یا RA، وظیفة تصدیق اصالت و ثبت کاربران جدید و درخواست گواهی برای آن‌ها را دارد. مرجع گواهی یا CA، براساس تقاضاهای صورت گرفته به‌وسیلة RA، صدور را انجام داده و آن‌ها را ارسال می‌کند. یک مدل PKI، همچنین شامل سیاستها، رویه‌ها[10] و قراردادهایی است که نحوة صدور گواهی، صدور مجدد و ابطال گواهی را تعیین می‌کنند. کاربردهایی که از PKI پشتیبانی می‌کنند، می‌توانند مدیریت گواهی‌های کاربران و تولید گواهی دیجیتالی را بر روی PC، تلفن‌های همراه و غیره انجام دهند.

 

2-2   SET[11]

SET یک پروتکل پرداخت را در سطح شبکة ارتباطی میان خریدار، فروشنده، بانک و دروازة پرداخت فراهم می‌کند. SET یک توصیف امنیتی و رمزنگاری باز، برای حفاظت از تراکنش‌های الکترونیکی انجام شده بر روی اینترنت است که کاربران را برای به‌کارگیری امن کارتهای اعتباری در یک شبکة باز (مانند اینترنت) قادر می‌سازد. برای استفاده از این پروتکل بایستی دارندة کارت اعتباری و فروشنده دارای گواهی باشند. این گواهی‌ها از طرف یک مرجع گواهی صادر می‌شوند. در طرف خریدار، بایستی نرم‌افزار SET نصب شده و یک حساب کارت اعتباری که از SET پشتیبانی کرده و گواهی مورد‌نیاز را فراهم می‌کند، افتتاح شود. فروشنده نیز باید نرمافزار را نصب کرده و آن را در ترکیب با یک نرم‌افزار مبتنی بر وب که ارائة خدمات فروش کالا را انجام می‌دهد، برای استفادة مشتریان بر روی وب قرار دهد. نرمافزار مورد استفاده توسط فروشنده اندکی پیچیده‌تر است چرا که نیاز به برقراری ارتباط با هر دو طرف خریدار و دروازة پرداخت دارد.

بهطورکلی، می‌توان مزایا و معایب SET را بهصورت زیر بیان نمود:

  • مزایا: حفاظت درمقابل استراقسمع، حفاظت در مقابل سوءاستفادة فروشنده ازکارت اعتباری خریدار، ایجاد اطمینان بیشتر برای بانک، حفظ محرمانگی خریدار نسبت به فروشنده.
  • معایب: نیاز به گواهی دارد که دارای مکانیزم مدیریتی پیچیده­ای است. عدم وجود سیستم‌های SET کامل، عدم امکان ایجاد مکانیزم گمنامی به‌طور کامل.

SET، یک تراکنش مابین مشتریان (صاحبان کارت‌های اعتباری)، بانک، طرف تجاری، سازمانهای پردازش پرداخت پول و مراجع گواهی بهوجود می‌آورد و تمامی امکانات موردنیاز برای تراکنش‌های مربوط به کارتهای اعتباری بر روی اینترنت را دارا می‌باشد. این امکانات شامل موارد زیر است:

محرمانگی اطلاعات: امنیت اطلاعات دارندة کارت و فروشنده در زمان انتقال بر روی شبکه حفظ می‌شود. یک ویژگی مهم و جالب‌توجه SET این است که از فاش شدن شماره و مشخصات کارت اعتباری، برای طرف حساب تجاری ممانعت می‌کند و این اطلاعات تنها از طریق بانک قابل دسترسی است. معمولاً از روشی مانند DES برای رمزنگاری استفاده می‌شود.

صحت داده‌ها: SET تضمین می‌کند که اطلاعات تراکنش‌های مختلف، بدون هیچگونه تغییری انتقال ‌می‌یابند. از امضای دیجیتالی RSA با استفاده از کدهای درهم‌سازی[12]SHA- 1 برای تحقق این امر استفاده می‌شود.

تصدیق اصالت دارندة کارت اعتباری[13]: SET، طرف تجاری را قادر می‌سازد تا از اعتبار دارندة کارت، اطمینان حاصل کند. برای این منظور از گواهی و امضای دیجیتالی استفاده می‌شود.

تصدیق اصالت طرف تجاری[14]: صاحبان کارت اعتباری نیز می‌توانند با بهره‌گیری از امکانات SET، اعتبار طرف تجاری خود و ارتباط آن‌ها با مؤسسات مالی (جهت حصول اطمینان از اینکه امکان استفاده از کارت اعتباری برای انجام پرداخت ها وجود دارد)، را مورد بررسی قرار دهند.

2.2.1   مدل SET

مطابق با شکل زیر، موجودیتهای شرکتکننده درتراکنش‌های SET به ‌شرح زیر میباشند:

دارندة کارت: در یک محیط الکترونیکی، مشتریان و خریدارها با دریافت کارتهای اعتباری به ‌وسیلة خطوط اینترنت با طرف تجاری خود وارد معامله می‌شوند.

طرف تجاری: فرد یا سازمانی است که فروش‌ کالا و خدمات تجاری را به صاحبان کارت اعتباری ارائه می‌کند. این کالاها و خدمات از طریق سایتهای وب و یا پست الکترونیکی به مشتریان عرضه می‌شوند.

 

 

صادرکننده[15]: یک مؤسسة مالی از قبیل بانک که افتتاح حساب و صدور کارت اعتباری را برای مشتریان (ازطریق اینترنت و یا به شکل حضوری) انجام داده و مسئولیت کلیة تراکنش‌های مالی، از جمله مسئولیت بدهی‌های دارندگان کارت را بر عهده دارد.

Acquirer: ارائهدهندگان کالا و خدمات فروش (فروشندگان) بایستی با یک مؤسسة مالی که بررسی پرداخت‌ها و تائید اعتبار آن‌ها را انجام می‌دهد ارتباط داشته باشند. acquirer بعد از انجام بررسیهای لازم، فعال بودن یک کارت اعتباری خاص و عدم تجاوز از مقدار اعتبار دارندة کارت را به فروشنده اطلاع می‌دهد. همچنین انتقال الکترونیکی پول پرداخت شده به حساب فروشنده نیز از این طریق انجام می‌شود.

دروازة پرداخت[16]: بهعنوان یک واسط مابین SET و شبکه‌های پرداخت بانکی عمل می‌کند و وظیفة آن بررسی مجوزها و انجام عملیات مربوط به پرداخت‌ها و انتقال پول می‌باشد. طرف تجاری با استفاده از پیغام‌های SET، با دروازة پرداخت ارتباط پیدا می‌کند (ازطریق اینترنت). درحالیکه دروازة پرداخت به نوبة خود با acquirer از طریق شبکه و یا به‌طور مستقیم اتصال دارد. به این ترتیب، پردازش پیامهای فروشندگان از طریق این بخش انجام می‌شود.

مرجع گواهی (CA): مرجعی است که گواهی کلید عمومی را با استانداردX.509v3 برای دارندگان کارت اعتباری، فروشندگان و دروازه‌های پرداخت صادر می‌کند.


[1] Data Integrity

[2] Confidentiality

[3] Identification & Authentication

[4] Non-repudiation

[5] Ease of use

[6] Usability

[7] Risk of loss

[8] Registration Authority

[9] Certificate Authority

[10] Procedures

[11] Secure Electronic Transaction

[12] Hash Codes

[13] Cardholder

[14] Merchant

[15] Issuer

[16] Payment Gateway


کلمات کلیدی : تحقیق درباره امنیت در بانکداری,فاکتورهای امنیتی,فرآیند امن‌سازی,پروتکل,برنامه‌ریزی استراتژیک امنیت, برنامه‌ریزی سیاست‌های امنیتی,نظارت
در این سایت هیچ فایلی برای فروش قرار نمی گیرد. برای پشتیبانی و خرید فایل به سایت اصلی فروشنده مراجعه بفرمائید:

لینک دریافت فایل از سایت اصلی


ادامه مطلب ...