بررسی اصول امنیتی بانکها و بانکهای الکترونیکی
دسته بندي :
فنی و مهندسی »
کامپیوتر و IT
قسمتی از متن :
با گسترش فناوری اطلاعات و ارتباطات، امنیت به یکی از مهمترین مباحث در فرآیند طراحی و مدیریت سازمانها تبدیل شده است. به خصوص در سیستمهای بانکداری یکی از اصلیترین مسائل مطرح، تأمین امنیت لازم برای انواع سیستمها و سرویسهای بانکی است.
اصولاً امنیت بانک در دو سطح قابل بررسی است. سطح اول مربوط به امنیت پیامهایی است که بین بانک و مشتریان مبادله میشود. این نوع امنیت شامل تصدیق اصالت کاربران، صحت (عدم تغییر داده در زمان انتقال)، عدم انکار (جلوگیری از انکار هر یک از طرفین بعد از انجام کامل تراکنش)، محدود ساختن دسترسی به سیستم برای کاربران مجاز و تصدیق اصالت شده (براساس سیاست امنیتی تعیین شده) و حفظ محرمانگی است.
سطح دوم از
مسائل امنیتی مرتبط با
سیستم بانک الکترونیکی، امنیت محیطی است که دادههای بانکی و اطلاعات مشتریان در آن قرار میگیرد. این نوع امنیت با اعمال کنترلهای داخلی و یا دیگر احتیاطهای امنیتی امکانپذیر میشود.
فاکتورهای امنیتی
به طور کلی، برای برقراری یک محیط امن، چند فاکتور اساسی باید موجود باشد. این فاکتورها عبارتند از:
- جامعیت : اطمینان از اینکه اطلاعات صحیح و کامل است.
- محرمانگی : اطمینان از اینکه اطلاعات تنها توسط افراد یا سازمانهای مجاز قابل استفاده است و هیچگونه فاشسازی اطلاعات برای افراد تشخیص و تأیید هویت نشده صورت نخواهد گرفت.
- شناسایی و اعتبار سنجی : گیرنده و فرستنده، هر دو باید بتوانند از هویت طرف مقابل خود مطمئن باشند.
- دسترسپذیری: اطمینان از اینکه سیستم مسئول تحویل، ذخیرهسازی و پردازش اطلاعات همواره در زمان نیاز و در دسترس افراد مربوطه باشد.
- انکارناپذیری : هیچ یک از دو سوی ارتباط نتوانند مشارکت خود در ارتباط را انکار کنند.
برای رسیدن به یک طرح مناسب و کارا در ارتباط با امنیت بایست برای برقراری توازن در سه مورد تصمیم گیری کنیم.
- ارائة سرویس در برابر امنسازی: ارائة برخی از سرویسها و وجود آنها در شبکه از اهمیت بالایی برخوردار نیست. باید تصمیم گرفت که چه سرویسهایی را میخواهیم ارائه کنیم. این سرویسها باید آنقدر ارزشمند و مهم باشند تا صرف زمان و انرژی برای امنسازی آنها بیهوده نباشد.
- سادگی استفاده در برابر امنیت: امنسازی سیستم، استفاده از آن را مشکلتر میکند. هر چه یک سیستم امنتر باشد استفاده از آن نیز مشکلتر خواهد بود. زیرا امنیت محدودیت ایجاد میکند، بنابراین باید بین قابلیتاستفاده و میزان امنیت تعادلی را برقرار ساخت.
- هزینة برقرارسازی امنیت در برابر خطر از دست دادن : طراحی و پیادهسازی امنیت نیازمند صرف هزینههایی در بخشهای نیروی انسانی، نرمافزار و سختافزار خواهد بود. باید مجموع هزینههایی که در صورت از دست دادن هر کدام از منابع یا اطلاعات داخلی به شرکت اعمال میشوند محاسبه شده و بین این هزینهها و هزینههای تأمین امنیت تعادل برقرار شود. هزینة از دست دادن منابع باید با توجه به احتمال از دست دادن آنها مورد محاسبه قرار گیرند. در صورتیکه احتمال از دست دادن یا دچار مشکل شدن یک منبع بسیار پایین باشد و آن منبع از درجة اهمیت بالایی نیز برخوردار نباشد صرف هزینه زیاد برای امنسازی آن بهینه نخواهد بود.
فهرست مطالب :
مقدمه
فاکتورهای امنیتی
فرآیند امن سازی
آشنایی با پروتکلهای امنیتی
پروتکل PKI
SET
مدل SET
S-HTTP
S-MIME
SSL
SEPP
PCT
برنامه ریزی امنیتی
برنامه ریزی استراتژیک امنیت
سیاست های برنامه ریزی استراتژیک
برنامه ریزی سیاست های امنیتی
استراتژی های طراحی سیاستها
نمونه ای از سیاست های مدیریتی امنیتی بانکداری
سیاستهای مدیریتی
نظارت مدیریتی
کنترل های امنیتی
مدیریت ریسکهای حقوقی و حیثیت
سیاستهای اجزای سیستم
سیاست سازمان
سیاست امنیت اطلاعات
طبقه بندی اطلاعات
سیاست امنیت کارکنان
اصول اخلاقی
سیاست کلمات عبور
سیاست عمومی نرمافزار
شبکه ها
اینترنت
کامپیوترهای قابلحمل و laptop ها
سیاست کامپیوتر و شبکه
سیاست مدیریت سیستم
سیاست شبکه
سیاست توسعة نرمافزار
تحلیل مخاطرات
مراحل مدیریت مخاطرات
تعیین منابع و موجودیها
تعیین خطرات امنیتی ممکن
استخراج آسیبپذیریها
شناسایی حفاظهای موجود و در دست اقدام
ارزیابی مخاطرات
ارائه راهکارهای مقابله با مخاطرات
ریسک در سیستمهای بانکی
ریسک عملیات
ریسک محرمانگی
ریسک حقوقی
ریسک حیثیت
ریسک اعتبار
ریسک نرخ بهره
ریسک تسویه
ریسک قیمت
ریسک مبادلة خارجی
ریسک تراکنش
ریسک استراتژیک
مثالهایی از انواع ریسک
حفاظ های امنیتی و سیاستهای آنها
امنیت فیزیکی
کنترل دسترسی فیزیکی
اعتبار سنجی فیزیکی
منبع تغذیه وقفه ناپذیر
سیاستهای امنیت فیزیکی
محافظت ساختمانی و جلوگیری از دزدی
محافظت در برابر آتش
محافظت در برابر آب
محافظت در برابر حوادث طبیعی
محفاظت از سیم کشیها
محفاظت در مقابل برق
تعیین هویت و تصدیق اصالت (I & A)
سیاستهای تشخیص هویت
کنترل دسترسی
سیاستهای کنترل دسترسی
رمزنگاری
محافظت از محرمانگی داده ها
محافظت از تمامیت داده ها
عدم انکار
تصدیق اصالت داده
مدیریت کلید
سیاستهای رمزنگاری
محافظت در برابر کدهای مخرب
اقسام برنامههای مزاحم و مخرب
سیاستهای ضد کدهای مخرب
دیواره آتش
سیاستهای دیواره آتش
سیستمهای تشخیص نفوذ
سیاستهای تشخیص نفوذ
شبکه خصوصی مجازی
امنیت سیستم عامل
محکمسازی سیستم
سیاستهای امنیت سیستمعامل
امنیت در سرورها
امنیت در سیستم های Desktop
نگهداری و پشتیبانی امنیتی
نظارت و ارزیابی امنیتی
سیاستهای نظارت امنیتی
نصب، پیکربندی و کنترل تغییرات
سیاستهای مدیریت پیکربندی
سیستمهایی با دسترسی بالا
مدیریت تحملپذیری خطا
پشتیبانگیری
خوشه بندی
سیاستهای دسترس پذیری بالا
مدیریت حوادث
سیاست های مدیریت حوادث
آموزش و تربیت امنیتی
سیاستهای آموزش و آگاهی رسانی
ضمیمه الف – برخی از تهدیدات متداول
ضمیمه ب – برخی از آسیبپذیری های متداول
-
محتوای فایل دانلودی:
حاوی فایل ورد