راه پرداخت
رسانه فناوری‌های مالی ایران

 پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشت‌ماه ۱۳۹۰ شروع کرده و اکنون پرمخاطب‌ترین رسانه ایران در زمینه فناوری‌های مالی، بانکداری و پرداخت و استارت‌آپ‌های فین‌تک است.

بانک‌تک

امنیت فناوری اطلاعات در بانکداری الکترونیکی [یادداشت]

نویسنده: رضا قربانی 0

نویسندگان: افشین لامعی: مدیر فنی شرکت پیشتاز پردازش پارس، تینا تعویذی: کار‌شناس شرکت پیشتاز پردازش پارس.

 

اشاره

فناوری اطلاعات از دو جنبه بانکداری را تحت تأثیر قرار می‌‏دهد. یکی ارتباطات و دیگری مهندسی مجدد فرایندهای تجاری. به کمک فناوری اطلاعات، توسعة محصولات با قابلیت‏های پیچیده، مدیریت مخاطرات و غلبه بر فواصل جغرافیایی تسهیل می‌شود. دو مورد از مهم‏‌ترین محصولات توسعه یافته به‌واسطة فناوری اطلاعات، بانکداری متمرکز و بانکداری الکترونیکی هستند. در این نوشته به مسائل امنیتی مطرح در به‌کارگیری این فناوری‌ها پرداخته‌ایم.

 

مزایای به‌کارگیری فناوری اطلاعات

استفاده از خدمات بانکداری متمرکز و بانکداری الکترونیکی مزایای فراوانی برای بانک‌ها به همراه داشته است، از جمله:

*تسریع در انجام عملیات بانکی و صرفه‌جویی در زمان به‌واسطه فراهم شدن امکان تراکنش‏های برخط.

* امکان به‌کارگیری فناوری اینترنت، که کیفیت سرویس خدمات بانکی را از جنبه‏های پاسخ‌گویی بهتر، ارتباطات و دسترس‏پذیری بهبود داده و در هر کجا و هر زمان در دسترس است.

* امکان معرفی کانال‏های جدید سرویس‏دهی مانند خود‌پرداز، تلفن بانک و موبایل بانک.

* یکپارچگی اطلاعات و خدمات بانکی که موجب انعطاف پذیری بیشتر این سیستم‏‌ها شده است.

 

بانکداری متمرکز (Core Banking)

براساس یک تعریف کلی، سیستم بانکداری متمرکز سیستمی است که در آن کلیة محصولات و خدمات بانکی و عملیات راهبری و مدیریت آن‏‌ها، از طریق دسترسی به پایگاه داده‌های مشترک و متمرکز، در قالب یک سیستم ارائه می‌شودکه انعطاف‌پذیری این سیستم و مشتری محوری از ویژگی‌های مهم آن است. بدون ایجاد یک بانک اطلاعاتی متمرکز و یکپارچه، خدمات به‌صورت جزیره‌ای و غیرهمسان ارائه خواهد شد.

 

بانکداری الکترونیک

بانکداری الکترونیک به معنای استفاده از تجهیزات الکترونیکی به‌جای استفاده از شیوه‌های سنتی برای انجام عملیات بانکی است. برخی از انواع خدمات در‌ بانکداری الکترونیک شامل موارد زیر است:

۱. بانکداری اینترنتی

۲. چک الکترونیکی

۳. دستگاه‏های خود‌پرداز

۴. SMS، WAP) Mobile Banking)

۵. پایانه فروش (POS)

۶. وب‌کیوسک‌های خدمات بانکی

۷. ارائة خدمات بانکی از طریق تلویزیون‌های کابلی

۸. ارائه خدمات بانکی از طریق دستیارهای شخصی (PDA)

واقعیت این است که در بانکداری الکترونیک به‌جای کنترل چشمی اطلاعات و ارقام مندرج در اسناد بانکداری که دور از خطا نیست، از کنترل الکترونیکی ارقام و اطلاعات که به مراتب دقیق‌تر، همه‌جانبهتر، با قابلیت اعتماد به مراتب افزون‌تر و دور از خطای انسانی است بهره گرفته می‌‌شود که این امر به نوبه خود مستلزم درک عمیق از ساز و کار معماری بانکداری الکترونیکی است. این آگاهی هم می‌‌تواند کلید کنترل این فناوری را در اختیار بانکداران قرار دهد، کلیدی که همانند هر فناوری دیگری، قالب‌های زمانی اجرای عملیات را می‌‌شکند و به‌تبع آن هزینه‌های رو به تزاید بانکداری سنتی را به‌طور مستمر کاهش می‌‏دهد و می‌‌تواند این واقعیت را آشکار سازد که بانکداری الکترونیکی به لحاظ استقلال از زمان و مکان، هم تعداد سپرده‌گذاران را افزایش ‌دهد و هم عاملی باشد که سپرده‌های جمع آوری شده را بدون درنگ در اختیار وام گیرندگان قرار دهد.

 

مشکلات توسعه بانکداری متمرکز

در زیر به برخی مشکلات توسعه و گستردگی به‌کارگیری بانکداری متمرکز اشاره شده است:

۱. دشواری دسترسی و خرید نرم‌افزار‌های خارجی

۲. دشواری انطباق نرم افزارهای خارجی با عملیات بانکی داخلی

۳. عدم طراحی و تهیه نرم‌افزار core banking بانک‌های دولتی داخل

۴. دشواری جذب و نگهداری نیروهای متخصص در این زمینه

۵. دشواری‌های ناشی از عدم شناخت مدیران و دستگاه‌های ناظر و بازرس

۶. محدودیت‌های ناشی از آیین‌نامه‌های معاملاتی

 

امنیت اطلاعات در بانکداری متمرکز

بانکداری الکترونیک به مشتریان بانک اجازه می‌‌دهد با رعایت روش‏های کاری مشخص و استفاده از پروتکل‌های استاندارد نسبت به افتتاح حساب از راه دور اقدام کند و با استفاده از رمز اختصاصی به درون شبکه بانکداری راه یافته، از ایستگاه‏های بازرسی و کنترل عبور کرده، مبلغی به حساب خود واریز و یا از آن برداشت نمایند. چنین فرآیندی مبین این واقعیت است که تراکنش‌های عملیات که در بانکداری سنتی قابل رؤیت است، در بانکداری الکترونیک پنهان از دید مستقیم بانکداران صورت می‌‌پذیرد و همین نامرئی بودن ظاهری تراکنش‌ها، گاهی موجب تردید در به‌کارگیری این معماری می‌شود.

باید توجه داشت که در کنار مزایای یاد شده، به‌منظور صحت انجام عملیات و تراکنش‏های بانکی در قالب سیستم‏های بانکداری متمرکز و بانکداری الکترونیک و جلوگیری از هر گونه سوء استفاده، باید جنبه‏های امنیتی در پیاده‌سازی و به‌کارگیری این فناوری را شناخته و به کمک کار‌شناسان متخصص در حیطة امنیت، این موارد را به‌درستی پیاده‌سازی کرد.

به‌کارگیری هر فناوری جنبه‏های امنیتی خاص خود را دارد. در ادامه به برخی سرفصل‌های کلی و اهداف امنیتی مورد نظر در به‌کارگیری خدمات بانکداری الکترونیکی اشاره می‌­ کنیم.

۱. پیشگیری از تراکنش­های غیر مجاز و سرقت پول

۲. پیشگیری و شناسایی جعل هویت

۳. حفظ یکپارچگی داده‌های بانکی

۴. حفظ دسترس‌پذیری خدمات بانکی

۵. عدم افشای اطلاعات محرمانة مشتریان و حفظ حریم خصوصی آنان

برای نیل به اهداف فوق می‌­توان امنیت خدمات بانکداری الکترونیک را در سه سطح سرور، رسانه انتقال و کلاینت (مشتری) طبقه‌بندی و مکانیزم‌های امنیتی قابل ارائه در هر سطح را بر‌شمرد.

امنیت سرور

تصدیق اصالت و مجاز‌شناسی کاربر

محکم‌سازی بستر سیستم عاملی و سرویس‌های پایه

استفاده از ضد بدافزار‌ها

رمزنگاری داده‌ها برای حفظ محرمانگی و یکپارچگی

حفظ امنیت فیزیکی سرور

پیاده‌سازی خط‌مشی‌های راهبری امن سرور

مانیتورینگ امنیت سرور

امنیت رسانه انتقال

پیشگیری از شنود ارتباط با استفاده از رمزنگاری

مقابله با جعل هویت و حملات فردی در میان (Man in the Middle)

ایجاد کانال امن بر بستر شبکه‌های عمومی (VPN)

جلوگیری از تغییرات غیرمجاز داده‌ها در هنگام انتقال یا شناسایی آن‌ها

امنیت سمت کاربر

محافظت در برابر بدافزارهایی مانند Key logger، ویروس‌ها با استفاده از ضد بدافزار‌ها

مقابله با Phishing و حملات مبتنی بر مهندسی اجتماعی

آگاهی‌رسانی و آموزش کاربر

تصدیق اصالت چند عامله

شاخص‌های امنیتی نرم‌افزار

در راستای پیاده‌سازی و طراحی امن سیستم بانکداری متمرکز، باید هر یک از مسائل مربوط به معماری، بستر نرم‌افزار، طراحی امن نرم‌افزار و مدیریت امنیت را در متدولوژی توسعة سیستم مد نظر داشت. در ادامه هر یک از موارد فوق شرح داده می‌‏شود:

امنیت معماری کلی نرم‌افزار

بایستی در طراحی اولیة نرم‌افزار بانکداری متمرکز به امنیت توجه شده باشد. در صورتی که دید امنیتی در ابتدا وجود نداشته باشد جبران آن پس از تولید نرم‌افزار بسیار دشوار یا غیر ممکن است. به‌عنوان مثال اگر بخش سرویس‌گیرنده نرم‌افزار دسترسی مستقیم و بی‌واسطه به پایگاه داده‌ها داشته باشد و یا کنترل دسترسی به صورت صحیح پیاده‌سازی نشده باشد، امنیت کل معماری زیر سؤال رفته است. از جمله موارد مهم در این بخش عبارتند از:

* معماری امن گردش داده میان اجزای نرم‌افزار

* معماری کنترل دسترسی

* معماری امنیتی پایگاه داده

* معماری کنترل‌های امنیتی منطق نرم‌افزار بانکی (شناسایی اختلاس، پول‌شویی و غیره)

 

امنیت بستر نرم‌افزار

منظور از بستر نرم‌افزار بانکی، شبکه، سیستم­ عامل، پایگاه داده و سخت‌افزارهای مرتبط با نرم‌افزار است. امنیت در هر یک از حوزه ­های شبکه، سیستم­ عامل، پایگاه داده جداگانه بایستی بررسی شود؛ ولی از لحاظ تعامل با نرم‌افزار نیز باید نکات امنیتی را لحاظ کرد. در‌واقع نرم‌افزار بایستی به‌صورت مستقل عمل کرده و آسیب‌پذیری‌­های بستر، موجب وارد آمدن آسیب به نرم‌افزار و سازمان نشود. برای استقلال نرم‌افزار باید تمامی پروتکل‌‌ها و تعاملات نرم‌افزار با بستر به‌صورت استاندارد پیاده سازی شده باشد. از جمله این نکات که بر امنیت نرم‌افزار بانکداری متمرکز مؤثر است عبارتند از:

* آسیب‌پذیری در نرم‌افزارهای دیگر از جمله نرم‌افزارهای خود‌پرداز، کیوسک، اینترنت بانک، و غیره

* محدودیت­های امنیتی شبکه از جمله فایروال، سیستم تشخیص نفوذ (intrusion detection system IDS)

محدودیت‌های سیستم­‌عامل از جمله نوع سیستم‌عامل، بسته‌های خدماتی سیستم‌­عامل و سرویس‌ای آسیب پذیر سیستم ­عامل

محدودیت­‌های پایگاه داده از جمله نوع پایگاه داده، تصدیق اصالت پایگاه داده، نسخه پایگاه داده

 

امنیت نرم‌افزار

منظور از امنیت نرم‌افزار وجود و پیاده‌سازی صحیح پارامترهای امنیتی در نرم‌افزار است. درواقع هر نرم‌افزار باید مکانیزم‌های امنیتی داشته باشد که سه فاکتور مهم امنیت یعنی محرمانگی، یکپارچگی و دسترس‌پذیری داده را حفظ کند. تنها پیاده‌سازی این پارامتر‌ها معیار نیست و بایستی پیاده‌سازی این پارامتر‌ها بر اساس استانداردهای موجود و صحیح باشد. از جمله این پارامتر‌ها می‌توان به این موارد اشاره کرد.:

* نرم‌افزار دارای پیاده‌سازی صحیح عملیات تصدیق اصالت باشد.

* نرم‌افزار دارای پیاده‌سازی صحیح عملیات کنترل دسترسی باشد.

* نرم‌افزار دارای پیاده‌سازی صحیح رمزنگاری داده‌های حساس در عملیات انتقال و ذخیره­‌سازی باشد.

* نرم‌افزار دارای پیاده‌سازی صحیح عملیات ممیزی (Auditing) باشد.

* نرم‌افزار دارای پیاده‌سازی صحیح عملیات ثبت وقایع (log) باشد.

* نرم‌افزار در برابر حملات شناخته شده مقاوم باشد.

* نرم‌افزار بایستی به‌صورت ماژول­‌های مستقل پیاده‌سازی شده باشد تا در صورت آسیب دیدن هر یک از ماژول‌ها، بتوان آسان و سریع و بدون تأثیر در عملیات دیگر ماژول­‌ها آن را اصلاح کرد.

* در صورت در دسترس بودن کد، باید کد نرم‌افزار مرور امنیتی شود.

* باید نرم‌افزار مود ارزیابی و تست نفوذ قرار گیرد.

 

مدیریت امنیت

منظور از مدیریت امنیت، وجود امکاناتی در نرم‌افزار است که بتوان امنیت را مدیریت کرد. اگر این بخش وجود نداشته باشد، در صورت بروز مخاطرات سازمان نمی‌­تواند آن مخاطرات را مدیریت کند یا از بروز مجدد آن جلوگیری کند. می‌­توان این مشخصه‌­‌ها را برای مدیریت امنیت توسط نرم‌افزار بانکداری متمرکز ذکر کرد:

* باید بتوان سطوح دسترسی را به‌طور مناسب مدیریت کرد.

* باید نرم‌افزار شامل بخش‌­های مانیتورینگ برای اعلام هشدار حمله احتمالی باشد.

 

جمع بندی

امنیت خدمات نوین بانکی وابستگی تام به نرم‌افزارهایی چون سیستم بانکداری متمرکز دارد. امنیت در این نرم‌افزار‌ها باید از ابتدای تولید لحاظ شود. بنابراین بانک‌­‌ها چه در انتخاب راه حل و چه در نگه‌داری و مدیریت آن، باید به پارامتر‌ها و سطوح امنیتی توجه کنند.

منبع: فابا

رضا قربانی

رضا قربانی هستم؛ بنیان‌گذار راه پرداخت و یکی از هم‌بنیان‌گذاران راه‌کار. در سال‌های گذشته تلاش کرده‌ام در دنیای رسانه کسب‌وکار و کسب‌وکار رسانه تجربه کنم. همچنین علاوه بر فعالیت‌هایی که در راه‌کار به عنوان مدیر محصول انجام می‌دهم تلاش می‌کنم در زمینه توسعه صنف فناوری اطلاعات و ارتباطات ایران نیز فعال باشم.

مطالب پیشنهادی مطالب بیشتر از این نویسنده
ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.