مشخصات فایل
عنوان: امنیت در بانکداری
قالب بندی:word
تعداد صفحات:82
محتویات
فهرست مطالب
2 آشنایی با پروتکلهای امنیتی. 9
3-1 برنامهریزی استراتژیک امنیت.. 17
3-2 برنامهریزی سیاستهای امنیتی. 18
3-3 نمونهای از سیاستهای مدیریتی امنیتی بانکداری. 22
5 حفاظهای امنیتی و سیاستهای آنها 63
5-2 تعیین هویت و تصدیق اصالت (I & A). 70
5-5 محافظت در برابر کدهای مخرب.. 80
5-8 شبکه خصوصی مجازی ( (VPN.. 93
6 نگهداری و پشتیبانی امنیتی. 99
6-1 نظارت و ارزیابی امنیتی. 99
6-2 نصب، پیکربندی و کنترل تغییرات.. 104
6-3 سیستمهایی با دسترسی بالا. 106
7 ضمیمه الف – برخی از تهدیدات متداول. 117
8 ضمیمه ب – برخی از آسیبپذیریهای متداول. 120
1 مقدمه
با گسترش فناوری اطلاعات و ارتباطات، امنیت به یکی از مهمترین مباحث در فرآیند طراحی و مدیریت سازمانها تبدیل شده است. به خصوص در سیستمهای بانکداری یکی از اصلیترین مسائل مطرح، تأمین امنیت لازم برای انواع سیستمها و سرویسهای بانکی است.
اصولاً امنیت بانک در دو سطح قابل بررسی است. سطح اول مربوط به امنیت پیامهایی است که بین بانک و مشتریان مبادله میشود. این نوع امنیت شامل تصدیق اصالت کاربران، صحت (عدم تغییر داده در زمان انتقال)، عدم انکار (جلوگیری از انکار هر یک از طرفین بعد از انجام کامل تراکنش)، محدود ساختن دسترسی به سیستم برای کاربران مجاز و تصدیق اصالت شده (براساس سیاست امنیتی تعیین شده) و حفظ محرمانگی است.
سطح دوم از مسائل امنیتی مرتبط با سیستم بانک الکترونیکی، امنیت محیطی است که دادههای بانکی و اطلاعات مشتریان در آن قرار میگیرد. این نوع امنیت با اعمال کنترلهای داخلی و یا دیگر احتیاطهای امنیتی امکانپذیر میشود.
1-1 فاکتورهای امنیتی
به طور کلی، برای برقراری یک محیط امن، چند فاکتور اساسی باید موجود باشد. این فاکتورها عبارتند از:
برای رسیدن به یک طرح مناسب و کارا در ارتباط با امنیت بایست برای برقراری توازن در سه مورد تصمیمگیری کنیم:
1-2 فرآیند امنسازی
امروزه دیگر به فن آوری امنیت به دید یک محصول نگریسته نمیشود، بلکه به اتفاق نظر اکثر متخصصین این فن، امنیت یک فرآیند است؛ فرآیندی که مطابق با شکل زیر باید به چرخة حیات یک تشکل تزریق شود.
با دید فرآیند گونه بودن امنیت میتوان به این نتیجه رسید که مقولة امنیت لازم است که در تمامی پیکرة یک سازمان یا تشکل لحاظ شود و نه تنها بر روی اطلاعات یا تجهیزات آن تشکل یا سازمان. موضوعات موجود در مقولة مدیریت امنِ فن آوری اطلاهات و ارتباطات نوعاً شامل موارد زیر می باشد:
از میان مراحل فوق در این گزارش تنها سه مرحله اول و مرحله آخر را مرور خواهیم کرد. واضح است که مراحل مربوط طراحی دقیق و پیادهسازی در این مقال نمیگنجد و نیاز به تعریف پروژهای جداگانه در مرحله بعدی دارد.
2 آشنایی با پروتکلهای امنیتی
در ادامه به معرفی برخی از پروتکلهای امنیتی مطرح در امنیت اطلاعات و ارتباطات خصوصاً در بانکها میپردازیم.
2-1 پروتکل PKI
پروتکل PKI، اطمینان لازم در محیطهای دیجیتالی را فراهم میکند. PKI مبتنی بر گواهی دیجیتالی است (گواهی دیجیتالی به نوعی معادل با گذرنامه است که در دنیای فیزیکی مورد استفاده قرار میگیرد). گواهی دیجیتالی برای تائید ماهیت شخص یا مؤسسهای است که در برقراری ارتباط نقش دارد و باعث تراکنشهای دیجیتالی میشود. یک سیستم مبتنی بر گواهی، سرویسهای امنیتی تصدیق اصالت، صحت داده، محرمانگی و عدم انکار را تأمین میکند.
اجزای اصلی PKI شامل مرجع ثبت[8] و مرجع گواهی[9] است (شکل زیر). مرجع ثبت یا RA، وظیفة تصدیق اصالت و ثبت کاربران جدید و درخواست گواهی برای آنها را دارد. مرجع گواهی یا CA، براساس تقاضاهای صورت گرفته بهوسیلة RA، صدور را انجام داده و آنها را ارسال میکند. یک مدل PKI، همچنین شامل سیاستها، رویهها[10] و قراردادهایی است که نحوة صدور گواهی، صدور مجدد و ابطال گواهی را تعیین میکنند. کاربردهایی که از PKI پشتیبانی میکنند، میتوانند مدیریت گواهیهای کاربران و تولید گواهی دیجیتالی را بر روی PC، تلفنهای همراه و غیره انجام دهند.
2-2 SET[11]
SET یک پروتکل پرداخت را در سطح شبکة ارتباطی میان خریدار، فروشنده، بانک و دروازة پرداخت فراهم میکند. SET یک توصیف امنیتی و رمزنگاری باز، برای حفاظت از تراکنشهای الکترونیکی انجام شده بر روی اینترنت است که کاربران را برای بهکارگیری امن کارتهای اعتباری در یک شبکة باز (مانند اینترنت) قادر میسازد. برای استفاده از این پروتکل بایستی دارندة کارت اعتباری و فروشنده دارای گواهی باشند. این گواهیها از طرف یک مرجع گواهی صادر میشوند. در طرف خریدار، بایستی نرمافزار SET نصب شده و یک حساب کارت اعتباری که از SET پشتیبانی کرده و گواهی موردنیاز را فراهم میکند، افتتاح شود. فروشنده نیز باید نرمافزار را نصب کرده و آن را در ترکیب با یک نرمافزار مبتنی بر وب که ارائة خدمات فروش کالا را انجام میدهد، برای استفادة مشتریان بر روی وب قرار دهد. نرمافزار مورد استفاده توسط فروشنده اندکی پیچیدهتر است چرا که نیاز به برقراری ارتباط با هر دو طرف خریدار و دروازة پرداخت دارد.
بهطورکلی، میتوان مزایا و معایب SET را بهصورت زیر بیان نمود:
SET، یک تراکنش مابین مشتریان (صاحبان کارتهای اعتباری)، بانک، طرف تجاری، سازمانهای پردازش پرداخت پول و مراجع گواهی بهوجود میآورد و تمامی امکانات موردنیاز برای تراکنشهای مربوط به کارتهای اعتباری بر روی اینترنت را دارا میباشد. این امکانات شامل موارد زیر است:
محرمانگی اطلاعات: امنیت اطلاعات دارندة کارت و فروشنده در زمان انتقال بر روی شبکه حفظ میشود. یک ویژگی مهم و جالبتوجه SET این است که از فاش شدن شماره و مشخصات کارت اعتباری، برای طرف حساب تجاری ممانعت میکند و این اطلاعات تنها از طریق بانک قابل دسترسی است. معمولاً از روشی مانند DES برای رمزنگاری استفاده میشود.
صحت دادهها: SET تضمین میکند که اطلاعات تراکنشهای مختلف، بدون هیچگونه تغییری انتقال مییابند. از امضای دیجیتالی RSA با استفاده از کدهای درهمسازی[12]SHA- 1 برای تحقق این امر استفاده میشود.
تصدیق اصالت دارندة کارت اعتباری[13]: SET، طرف تجاری را قادر میسازد تا از اعتبار دارندة کارت، اطمینان حاصل کند. برای این منظور از گواهی و امضای دیجیتالی استفاده میشود.
تصدیق اصالت طرف تجاری[14]: صاحبان کارت اعتباری نیز میتوانند با بهرهگیری از امکانات SET، اعتبار طرف تجاری خود و ارتباط آنها با مؤسسات مالی (جهت حصول اطمینان از اینکه امکان استفاده از کارت اعتباری برای انجام پرداخت ها وجود دارد)، را مورد بررسی قرار دهند.
مطابق با شکل زیر، موجودیتهای شرکتکننده درتراکنشهای SET به شرح زیر میباشند:
دارندة کارت: در یک محیط الکترونیکی، مشتریان و خریدارها با دریافت کارتهای اعتباری به وسیلة خطوط اینترنت با طرف تجاری خود وارد معامله میشوند.
طرف تجاری: فرد یا سازمانی است که فروش کالا و خدمات تجاری را به صاحبان کارت اعتباری ارائه میکند. این کالاها و خدمات از طریق سایتهای وب و یا پست الکترونیکی به مشتریان عرضه میشوند.
صادرکننده[15]: یک مؤسسة مالی از قبیل بانک که افتتاح حساب و صدور کارت اعتباری را برای مشتریان (ازطریق اینترنت و یا به شکل حضوری) انجام داده و مسئولیت کلیة تراکنشهای مالی، از جمله مسئولیت بدهیهای دارندگان کارت را بر عهده دارد.
Acquirer: ارائهدهندگان کالا و خدمات فروش (فروشندگان) بایستی با یک مؤسسة مالی که بررسی پرداختها و تائید اعتبار آنها را انجام میدهد ارتباط داشته باشند. acquirer بعد از انجام بررسیهای لازم، فعال بودن یک کارت اعتباری خاص و عدم تجاوز از مقدار اعتبار دارندة کارت را به فروشنده اطلاع میدهد. همچنین انتقال الکترونیکی پول پرداخت شده به حساب فروشنده نیز از این طریق انجام میشود.
دروازة پرداخت[16]: بهعنوان یک واسط مابین SET و شبکههای پرداخت بانکی عمل میکند و وظیفة آن بررسی مجوزها و انجام عملیات مربوط به پرداختها و انتقال پول میباشد. طرف تجاری با استفاده از پیغامهای SET، با دروازة پرداخت ارتباط پیدا میکند (ازطریق اینترنت). درحالیکه دروازة پرداخت به نوبة خود با acquirer از طریق شبکه و یا بهطور مستقیم اتصال دارد. به این ترتیب، پردازش پیامهای فروشندگان از طریق این بخش انجام میشود.
مرجع گواهی (CA): مرجعی است که گواهی کلید عمومی را با استانداردX.509v3 برای دارندگان کارت اعتباری، فروشندگان و دروازههای پرداخت صادر میکند.
[1] Data Integrity
[2] Confidentiality
[3] Identification & Authentication
[4] Non-repudiation
[5] Ease of use
[6] Usability
[7] Risk of loss
[8] Registration Authority
[9] Certificate Authority
[10] Procedures
[11] Secure Electronic Transaction
[12] Hash Codes
[13] Cardholder
[14] Merchant
[15] Issuer
[16] Payment Gateway
مشخصات فایل
عنوان: امنیت در بانکداری
قالب بندی:word
تعداد صفحات:82
محتویات
فهرست مطالب
2 آشنایی با پروتکلهای امنیتی. 9
3-1 برنامهریزی استراتژیک امنیت.. 17
3-2 برنامهریزی سیاستهای امنیتی. 18
3-3 نمونهای از سیاستهای مدیریتی امنیتی بانکداری. 22
5 حفاظهای امنیتی و سیاستهای آنها 63
5-2 تعیین هویت و تصدیق اصالت (I & A). 70
5-5 محافظت در برابر کدهای مخرب.. 80
5-8 شبکه خصوصی مجازی ( (VPN.. 93
6 نگهداری و پشتیبانی امنیتی. 99
6-1 نظارت و ارزیابی امنیتی. 99
6-2 نصب، پیکربندی و کنترل تغییرات.. 104
6-3 سیستمهایی با دسترسی بالا. 106
7 ضمیمه الف – برخی از تهدیدات متداول. 117
8 ضمیمه ب – برخی از آسیبپذیریهای متداول. 120
1 مقدمه
با گسترش فناوری اطلاعات و ارتباطات، امنیت به یکی از مهمترین مباحث در فرآیند طراحی و مدیریت سازمانها تبدیل شده است. به خصوص در سیستمهای بانکداری یکی از اصلیترین مسائل مطرح، تأمین امنیت لازم برای انواع سیستمها و سرویسهای بانکی است.
اصولاً امنیت بانک در دو سطح قابل بررسی است. سطح اول مربوط به امنیت پیامهایی است که بین بانک و مشتریان مبادله میشود. این نوع امنیت شامل تصدیق اصالت کاربران، صحت (عدم تغییر داده در زمان انتقال)، عدم انکار (جلوگیری از انکار هر یک از طرفین بعد از انجام کامل تراکنش)، محدود ساختن دسترسی به سیستم برای کاربران مجاز و تصدیق اصالت شده (براساس سیاست امنیتی تعیین شده) و حفظ محرمانگی است.
سطح دوم از مسائل امنیتی مرتبط با سیستم بانک الکترونیکی، امنیت محیطی است که دادههای بانکی و اطلاعات مشتریان در آن قرار میگیرد. این نوع امنیت با اعمال کنترلهای داخلی و یا دیگر احتیاطهای امنیتی امکانپذیر میشود.
1-1 فاکتورهای امنیتی
به طور کلی، برای برقراری یک محیط امن، چند فاکتور اساسی باید موجود باشد. این فاکتورها عبارتند از:
برای رسیدن به یک طرح مناسب و کارا در ارتباط با امنیت بایست برای برقراری توازن در سه مورد تصمیمگیری کنیم:
1-2 فرآیند امنسازی
امروزه دیگر به فن آوری امنیت به دید یک محصول نگریسته نمیشود، بلکه به اتفاق نظر اکثر متخصصین این فن، امنیت یک فرآیند است؛ فرآیندی که مطابق با شکل زیر باید به چرخة حیات یک تشکل تزریق شود.
با دید فرآیند گونه بودن امنیت میتوان به این نتیجه رسید که مقولة امنیت لازم است که در تمامی پیکرة یک سازمان یا تشکل لحاظ شود و نه تنها بر روی اطلاعات یا تجهیزات آن تشکل یا سازمان. موضوعات موجود در مقولة مدیریت امنِ فن آوری اطلاهات و ارتباطات نوعاً شامل موارد زیر می باشد:
از میان مراحل فوق در این گزارش تنها سه مرحله اول و مرحله آخر را مرور خواهیم کرد. واضح است که مراحل مربوط طراحی دقیق و پیادهسازی در این مقال نمیگنجد و نیاز به تعریف پروژهای جداگانه در مرحله بعدی دارد.
2 آشنایی با پروتکلهای امنیتی
در ادامه به معرفی برخی از پروتکلهای امنیتی مطرح در امنیت اطلاعات و ارتباطات خصوصاً در بانکها میپردازیم.
2-1 پروتکل PKI
پروتکل PKI، اطمینان لازم در محیطهای دیجیتالی را فراهم میکند. PKI مبتنی بر گواهی دیجیتالی است (گواهی دیجیتالی به نوعی معادل با گذرنامه است که در دنیای فیزیکی مورد استفاده قرار میگیرد). گواهی دیجیتالی برای تائید ماهیت شخص یا مؤسسهای است که در برقراری ارتباط نقش دارد و باعث تراکنشهای دیجیتالی میشود. یک سیستم مبتنی بر گواهی، سرویسهای امنیتی تصدیق اصالت، صحت داده، محرمانگی و عدم انکار را تأمین میکند.
اجزای اصلی PKI شامل مرجع ثبت[8] و مرجع گواهی[9] است (شکل زیر). مرجع ثبت یا RA، وظیفة تصدیق اصالت و ثبت کاربران جدید و درخواست گواهی برای آنها را دارد. مرجع گواهی یا CA، براساس تقاضاهای صورت گرفته بهوسیلة RA، صدور را انجام داده و آنها را ارسال میکند. یک مدل PKI، همچنین شامل سیاستها، رویهها[10] و قراردادهایی است که نحوة صدور گواهی، صدور مجدد و ابطال گواهی را تعیین میکنند. کاربردهایی که از PKI پشتیبانی میکنند، میتوانند مدیریت گواهیهای کاربران و تولید گواهی دیجیتالی را بر روی PC، تلفنهای همراه و غیره انجام دهند.
2-2 SET[11]
SET یک پروتکل پرداخت را در سطح شبکة ارتباطی میان خریدار، فروشنده، بانک و دروازة پرداخت فراهم میکند. SET یک توصیف امنیتی و رمزنگاری باز، برای حفاظت از تراکنشهای الکترونیکی انجام شده بر روی اینترنت است که کاربران را برای بهکارگیری امن کارتهای اعتباری در یک شبکة باز (مانند اینترنت) قادر میسازد. برای استفاده از این پروتکل بایستی دارندة کارت اعتباری و فروشنده دارای گواهی باشند. این گواهیها از طرف یک مرجع گواهی صادر میشوند. در طرف خریدار، بایستی نرمافزار SET نصب شده و یک حساب کارت اعتباری که از SET پشتیبانی کرده و گواهی موردنیاز را فراهم میکند، افتتاح شود. فروشنده نیز باید نرمافزار را نصب کرده و آن را در ترکیب با یک نرمافزار مبتنی بر وب که ارائة خدمات فروش کالا را انجام میدهد، برای استفادة مشتریان بر روی وب قرار دهد. نرمافزار مورد استفاده توسط فروشنده اندکی پیچیدهتر است چرا که نیاز به برقراری ارتباط با هر دو طرف خریدار و دروازة پرداخت دارد.
بهطورکلی، میتوان مزایا و معایب SET را بهصورت زیر بیان نمود:
SET، یک تراکنش مابین مشتریان (صاحبان کارتهای اعتباری)، بانک، طرف تجاری، سازمانهای پردازش پرداخت پول و مراجع گواهی بهوجود میآورد و تمامی امکانات موردنیاز برای تراکنشهای مربوط به کارتهای اعتباری بر روی اینترنت را دارا میباشد. این امکانات شامل موارد زیر است:
محرمانگی اطلاعات: امنیت اطلاعات دارندة کارت و فروشنده در زمان انتقال بر روی شبکه حفظ میشود. یک ویژگی مهم و جالبتوجه SET این است که از فاش شدن شماره و مشخصات کارت اعتباری، برای طرف حساب تجاری ممانعت میکند و این اطلاعات تنها از طریق بانک قابل دسترسی است. معمولاً از روشی مانند DES برای رمزنگاری استفاده میشود.
صحت دادهها: SET تضمین میکند که اطلاعات تراکنشهای مختلف، بدون هیچگونه تغییری انتقال مییابند. از امضای دیجیتالی RSA با استفاده از کدهای درهمسازی[12]SHA- 1 برای تحقق این امر استفاده میشود.
تصدیق اصالت دارندة کارت اعتباری[13]: SET، طرف تجاری را قادر میسازد تا از اعتبار دارندة کارت، اطمینان حاصل کند. برای این منظور از گواهی و امضای دیجیتالی استفاده میشود.
تصدیق اصالت طرف تجاری[14]: صاحبان کارت اعتباری نیز میتوانند با بهرهگیری از امکانات SET، اعتبار طرف تجاری خود و ارتباط آنها با مؤسسات مالی (جهت حصول اطمینان از اینکه امکان استفاده از کارت اعتباری برای انجام پرداخت ها وجود دارد)، را مورد بررسی قرار دهند.
مطابق با شکل زیر، موجودیتهای شرکتکننده درتراکنشهای SET به شرح زیر میباشند:
دارندة کارت: در یک محیط الکترونیکی، مشتریان و خریدارها با دریافت کارتهای اعتباری به وسیلة خطوط اینترنت با طرف تجاری خود وارد معامله میشوند.
طرف تجاری: فرد یا سازمانی است که فروش کالا و خدمات تجاری را به صاحبان کارت اعتباری ارائه میکند. این کالاها و خدمات از طریق سایتهای وب و یا پست الکترونیکی به مشتریان عرضه میشوند.
صادرکننده[15]: یک مؤسسة مالی از قبیل بانک که افتتاح حساب و صدور کارت اعتباری را برای مشتریان (ازطریق اینترنت و یا به شکل حضوری) انجام داده و مسئولیت کلیة تراکنشهای مالی، از جمله مسئولیت بدهیهای دارندگان کارت را بر عهده دارد.
Acquirer: ارائهدهندگان کالا و خدمات فروش (فروشندگان) بایستی با یک مؤسسة مالی که بررسی پرداختها و تائید اعتبار آنها را انجام میدهد ارتباط داشته باشند. acquirer بعد از انجام بررسیهای لازم، فعال بودن یک کارت اعتباری خاص و عدم تجاوز از مقدار اعتبار دارندة کارت را به فروشنده اطلاع میدهد. همچنین انتقال الکترونیکی پول پرداخت شده به حساب فروشنده نیز از این طریق انجام میشود.
دروازة پرداخت[16]: بهعنوان یک واسط مابین SET و شبکههای پرداخت بانکی عمل میکند و وظیفة آن بررسی مجوزها و انجام عملیات مربوط به پرداختها و انتقال پول میباشد. طرف تجاری با استفاده از پیغامهای SET، با دروازة پرداخت ارتباط پیدا میکند (ازطریق اینترنت). درحالیکه دروازة پرداخت به نوبة خود با acquirer از طریق شبکه و یا بهطور مستقیم اتصال دارد. به این ترتیب، پردازش پیامهای فروشندگان از طریق این بخش انجام میشود.
مرجع گواهی (CA): مرجعی است که گواهی کلید عمومی را با استانداردX.509v3 برای دارندگان کارت اعتباری، فروشندگان و دروازههای پرداخت صادر میکند.
[1] Data Integrity
[2] Confidentiality
[3] Identification & Authentication
[4] Non-repudiation
[5] Ease of use
[6] Usability
[7] Risk of loss
[8] Registration Authority
[9] Certificate Authority
[10] Procedures
[11] Secure Electronic Transaction
[12] Hash Codes
[13] Cardholder
[14] Merchant
[15] Issuer
[16] Payment Gateway