راه پرداخت
رسانه فناوری‌های مالی ایران

گذر از تونل امنیت

ثنا کمرئی و سولماز نقدیانی؛ گروه راهبری امنیت اطلاعات شرکت خدمات انفورماتیک؛

سیستم بانکداری الکترونیکی، سیستم یکپارچه‌ای است که کلیه مدیریت و عملیات خدمات بانکی را از طریق دسترسی به پایگاه‌های داده‌ مشترک و متمرکز در قالب یک سیستم ارائه می‌کند. بانکداری الکترونیکی به صورت الکترونیکی از فناوری‌های پیشرفته نرم‌افزاری و سخت‌افزاری مبتنی بر شبکه و مخابرات جهت مبادله اطلاعات حساس مالی استفاده می‌کند. ارائه کلیه خدمات بانکداری الکترونیکی، از طریق واسطه‌های امن و بدون نیاز به حضور فیزیکی مشتری در شعب بانک‌ها امکان‌پذیر است. توسعه خدمات بانکداری الکترونیکی، امکان کنترل لحظه به لحظه سود، زیان و صورتحساب کاربر را فراهم می‌کند. بانکداری الکترونیکی شامل سیستم‌های بانکداری اینترنتی، بانکداری تلفنی، بانکداری مبتنی بر پایانه فروش (POS)، بانکداری مبتنی بر موبایل و سایر کانال‌های تحویل الکترونیکی است. هدف این مقاله، تمرکز روی امنیت سیستم بانکداری اینترنتی است.

در نمودار زیر ارتباط تجارت الکترونیکی و زیرمجموعه‌های آن مشخص شده است:

بانکداری اینترنتی:

امروزه سیستم بانکداری اینترنتی به عنوان یک کانال کارآمد که از طریق آن می‌توان معاملات بانکی را بدون نیاز به ترک خانه یا دفتر انجام داد، مطرح شده است. بانکداری ‌اینترنتی، مزیت‌های مختلفی همچون بهبود کارایی، سرعت و آسانی کار را به همراه دارد. سیستم بانکداری اینترنتی، برنامه کاربردی مبتنی بر وب است که برای کاربران به صورت آشکار و قابل دسترس روی اینترنت قرار گرفته است. هدف کاربران این سیستم، انجام عملیات مالی بدون اتلاف وقت و هزینه رفت و آمد است. این مدل کسب و کار برای ارائه محصولات امنیتی و خدمات بانکی با توجه به ماهیت حساس اطلاعات رد و بدل‌شده زمینه فراوانی برای تحقیق و کار فراهم کرده است. با شکل‌گیری بانکداری ‌اینترنتی، با مباحث جدیدی پیرامون محرمانگی و امنیت اطلاعات مواجه هستیم.

 

استانداردهای امنیت بانکداری اینترنتی

با گسترش بانکداری اینترنتی نیاز به استانداردهای امنیت بانکداری اینترنتی به سرعت شناسایی و منجر به ایجاد تعدادی مستندات راهنما شده است. این استانداردهای امنیتی جهت سیستم‌های بانکداری اینترنتی به طور خاص توسط برخی از مراجع و موسسات استاندارد ارائه شده است. هدفی که از ارائه استانداردهای امنیتی عنوان می‌شود، ارائه پیشنهادات امنیتی برای محافظت از اطلاعات مهم بانک‌ها و موسسات مالی است. از جمله این استاندارد‌ها می‌توان به موارد زیر اشاره کرد.

  • راهنمایی برای بانک‌ها که توسط) Financial Institutions Examination Council (FIEC تهیه شده است و به تشریح روش‌های احراز هویت پیشرفته با تاکید به ناکارآمد بودن احراز هویت تک عاملی می‌پردازد.
  • چارچوبBasel II که به تعریف کنترل‌های امنیتی برای سیستم بانکداری اینترنتی می‌پردازد.
  • استانداردی به نام Internet Organization for Standardizations ISO ۲۱۱۸۸: ۲۰۰۶ که به تشریح چارچوب لازم برای فعال کردن راه‌حل‌های مبتنی بر گواهی دیجیتال برای کاربردهای امن سیستم بانکداری اینترنتی و تسهیل و هدایت فرآیند مدیریت ریسک توسط ارائه هدف‌ها و رویه‌های امنیتی می‌پردازد.
  • استاندارد ISACA IS که راهنمای بازبینی و بازرسی سیستم بانکداری اینترنتی است.
  • استاندارد ISO/TR ۱۳۵۶۹ تحت عنوان Banking and Related Financial Services Information Security
  • استاندارد X۹/TG-S تحت عنوان ANSI Information Security for Financial Organizations Guidelines
  • استاندارد شرکت Master card با عنوانManual Master card Security Policies & Procedures
  • استاندارد شرکت Visa تحت عنوان Account Information Security
  • استاندارد ISO/IEC ۲۷۰۰۱ که به تشریح پیاده‌سازی یک سیستم مدیریت امنیت اطلاعات می‌پردازد.
  • استانداردهای امنیتی PCI که مجموعه راهکارهای امنیتی برای سیستم کارت است.

حملات متداول بانکداری اینترنتی

به طور کلی می‌توان حملات را به سه بخش زیر تقسیم کرد:

راه‌های موثر برای جلوگیری از حملات

یکی از قسمتهای بسیار مهم سیستم بانکداری اینترنتی، روند احراز هویت کاربران است که این روند در معرض شدید حملات قرار دارد. روند احراز هویت از دو دیدگاه مورد بررسی قرار می‌گیرد:

 

۱. احراز هویت سرور

برای احراز هویت سرور، کاربر می‌تواند از طریق SSL اقدام کند. این روش یکی از راه‌های متداول جلوگیری از حملات Phishing است.

•SSL

استفاده از SSL در بانکداری اینترنتی:

پروتکل SSL به دو صورت ۴۰ و ۱۲۸ بیتی که به طول session key تولیدشده بستگی دارد، ارائه شده است. هر اندازه طول کلید بیشتر باشد، امکان شکستن رمز مشکل‌تر خواهد بود. رمزنگاری SSL از نوع ۱۲۸ بیتی، قوی‌ترین نوع رمزنگاری است. قدرت رمزنگاری ۱۲۸ بیتی تقریبا ۲۶ ۱۰ *۳ مرتبه قوی‌تر از رمزنگاری ۴۰ بیتی SSL است. مرورگرهای IE و نت‌اسکیپ، سطوح متفاوتی از رمزنگاری را بر اساس نوع گواهینامه سرویس‌دهنده SSL ارائه می‌کنند. (گواهینامه‌های سرویس‌دهنده SSL از نوع ۴۰ بیتی، گواهینامه‌های سرویس‌دهنده SSL از نوع ۱۲۸ بیتی) در بانکداری اینترنتی بیشتر از پروتکل SSL ۱۲۸ بیتی استفاده می‌شود.

 

۲. احراز هویت کاربران

کنترل دسترسی منطقی شامل کنترل دسترسی کاربران به اطلاعات و احراز هویت آنهاست. در کلیه تراکنش‌های بانکداری اینترنتی باید روند احراز هویت بر اساس حداقل دو فاکتور طراحی و پیاده‌سازی شود.

امنیت روند احراز هویت کاربران وابسته به طراحی و پیاده‌سازی موثر آن است که در این راستا یکی از سه روش زیر پیشنهاد می‌شود و در هر سه روش امضای دیجیتال تکمیل‌کننده امنیت سیستم بانکداری اینترنتی و برای تصدیق عمل جابه‌جایی مالی در معامله مورد استفاده قرار می‌گیرد.

• حفاظت چندلایه‌ای Multilayer Protection

برای جلوگیری از حملات ذکرشده در قسمت‌های قبلی نمی‌توان از یک استراتژی استفاده کرد که کل سیستم را از همه این حملات محافظت کند اما یکی از روش‌های کارآمد حفاظت چندلایه‌ای است.

 

حفاظت چندلای‌های شامل ترکیب عوامل مختلف زیر است:

۱ – محافظت از چرخه احراز هویت در مقابل فرآیندهای مخرب از طرف ایستگاه کاربر نهایی

۲ – فراهم کردن استراتژی‌های احراز هویت که اتصالات میان کاربران و سایت را بررسی می‌کند.

۳ – پیاده‌سازی عوامل احراز هویت مبتنی بر آنچه کاربر دارد (OTP، USB Device، ….).

۴ – پیاده‌سازی عوامل احراز هویت مبتنی بر آنچه کاربر می‌داند (هر اطلاعاتی که بانک از کاربر دارد).

۵ – پیاده‌سازی عوامل احراز هویت مبتنی بر آنچه کاربر است (اطلاعات بیومتریک).

۶ – ارائه پیشنهاد حفاظت مکمل برای ایستگاه کاربر نهایی

۷ -ارتباط سیستم با کاربر نهایی تا آن را از وقوع تقلب آگاه کند.

 

• امنیت لایه‌ای Layered Security

در این روش مکانیسم‌های مختلف امنیتی در قسمت‌های مختلف فرآیند به کار گرفته می‌شود.

مثل فیلتر کردن سیستم‌ها، حفاظت از منابع فناوری اطلاعات و…

به طور کلی امنیت لایه‌ای کنترل موثری است که شامل موارد زیر است:

• سیستم‌های نظارتی که شامل در نظرگرفتن تاریخ، زمان ورود و رفتار کاربر و تشخیص تقلب و پاسخ به موقع به آن است.

• استفاده از Out of Band Verification برای هر معامله (یعنی بعد از پرداخت، واریز به حساب از طریق پیام کوتاه یا پست الکترونیکی به کاربر در کوتاه‌ترین زمان اعلام شود)

• کنترل بر فعالیت‌های حساب‌ها:

– آستانه مجاز ارزش معامله‌ها

– تعداد مجاز معامله‌های انجام‌شده در روز

– گیرندگان پرداخت

• سیاست‌ها و شیوه‌های شناسایی Device کاربر

• آموزش به کاربران و بالا بردن آگاهی کاربران از خطر تقلب و آموزش برای استفاده از تکنیک‌های موثر برای کاهش خطر

• مسدود کردن اتصالات با آدرسIP مشکوک به سرور بانکی

• روش‌های دیگر

 

یکی دیگر از راهکارهای موثر برای حفاظت از روند احراز هویت ترکیب روش‌های زیر است:

۱ -کلمه عبور

۲ – کلمه عبور یکبارمصرف

۳ – احراز هویت به وسیله تجهیزات (Type، Manufacture، Serial Number ….)

۴ – سوالات چالش‌برانگیز

۵ – (USB (Token

۶ – گواهینامه دیجیتالی

به طور خلاصه می‌توان گفت برای افزایش امنیت و جلب اعتماد بیشتر مشتریان سیستم بانکداری اینترنتی لازم است ترکیبی از روش‌های گفته‌شده در بالا مورد استفاده قرار گیرد. با توجه به اهمیت روند احراز هویت در این سیستم، بانک‌ها موظفند حداقل از دو فاکتور برای احراز هویت کاربران استفاده کنند.

منبع: عصر ارتباط؛ ویژه نامه بانکداری الکترونیکی؛ تیرماه 91

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.