مقدمه
با گسترش فناوری اطلاعات و ارتباطات، امنیت به یکی از مهمترین مباحث در فرآیند طراحی و مدیریت سازمانها تبدیل شده است. به خصوص در سیستمهای بانکداری یکی از اصلیترین مسائل مطرح، تأمین امنیت لازم برای انواع سیستمها و سرویسهای بانکی است.اصولاً امنیت بانک در دو سطح قابل بررسی است. سطح اول مربوط به امنیت پیامهایی است که بین بانک و مشتریان مبادله میشود. این نوع امنیت شامل تصدیق اصالت کاربران، صحت (عدم تغییر داده در زمان انتقال)، عدم انکار (جلوگیری از انکار هر یک از طرفین بعد از انجام کامل تراکنش)، محدود ساختن دسترسی به سیستم برای کاربران مجاز و تصدیق اصالت شده (براساس سیاست امنیتی تعیین شده) و حفظ محرمانگی است.سطح دوم از مسائل امنیتی مرتبط با سیستم بانک الکترونیکی، امنیت محیطی است که دادههای بانکی و اطلاعات مشتریان در آن قرار میگیرد. این نوع امنیت با اعمال کنترلهای داخلی و یا دیگر احتیاطهای امنیتی امکانپذیر میشود.
1-1 فاکتورهای امنیتی
به طور کلی، برای برقراری یک محیط امن، چند فاکتور اساسی باید موجود باشد. این فاکتورها عبارتند از:
• جامعیت : اطمینان از اینکه اطلاعات صحیح و کامل است.
• محرمانگی : اطمینان از اینکه اطلاعات تنها توسط افراد یا سازمانهای مجاز قابل استفاده است و هیچگونه فاشسازی اطلاعات برای افراد تشخیص و تأیید هویت نشده صورت نخواهد گرفت.
• شناسایی و اعتبار سنجی : گیرنده و فرستنده، هر دو باید بتوانند از هویت طرف مقابل خود مطمئن باشند.
• دسترسپذیری: اطمینان از اینکه سیستم مسئول تحویل، ذخیرهسازی و پردازش اطلاعات همواره در زمان نیاز و در دسترس افراد مربوطه باشد.
• انکارناپذیری : هیچ یک از دو سوی ارتباط نتوانند مشارکت خود در ارتباط را انکار کنند.
برای رسیدن به یک طرح مناسب و کارا در ارتباط با امنیت بایست برای برقراری توازن در سه مورد تصمیمگیری کنیم:
• ارائة سرویس در برابر امنسازی: ارائة برخی از سرویسها و وجود آنها در شبکه از اهمیت بالایی برخوردار نیست. باید تصمیم گرفت که چه سرویسهایی را میخواهیم ارائه کنیم. این سرویسها باید آنقدر ارزشمند و مهم باشند تا صرف زمان و انرژی برای امنسازی آنها بیهوده نباشد.
• سادگی استفاده در برابر امنیت: امنسازی سیستم، استفاده از آن را مشکلتر میکند. هر چه یک سیستم امنتر باشد استفاده از آن نیز مشکلتر خواهد بود. زیرا امنیت محدودیت ایجاد میکند، بنابراین باید بین قابلیتاستفاده و میزان امنیت تعادلی را برقرار ساخت.
• هزینة برقرارسازی امنیت در برابر خطر از دست دادن : طراحی و پیادهسازی امنیت نیازمند صرف هزینههایی در بخشهای نیروی انسانی، نرمافزار و سختافزار خواهد بود. باید مجموع هزینههایی که در صورت از دست دادن هر کدام از منابع یا اطلاعات داخلی به شرکت اعمال میشوند محاسبه شده و بین این هزینهها و هزینههای تأمین امنیت تعادل برقرار شود. هزینة از دست دادن منابع باید با توجه به احتمال از دست دادن آنها مورد محاسبه قرار گیرند. در صورتیکه احتمال از دست دادن یا دچار مشکل شدن یک منبع بسیار پایین باشد و آن منبع از درجة اهمیت بالایی نیز برخوردار نباشد صرف هزینه زیاد برای امنسازی آن بهینه نخواهد بود.
فهرست مطالب
1 مقدمه 6
1-1 فاکتورهای امنیتی 6
1-2 فرآیند امنسازی 7
2 آشنایی با پروتکلهای امنیتی 9
2-1 پروتکل PKI 9
2-2 SET 10
2.2.1 مدل SET 11
2-3 S-HTTP 13
2-4 S-MIME 13
2-5 SSL 14
2-6 SEPP 15
2-7 PCT 15
3 برنامهریزی امنیتی 17
3-1 برنامهریزی استراتژیک امنیت 17
3.1.1 سیاستهای برنامهریزی استراتژیک 18
3-2 برنامهریزی سیاستهای امنیتی 18
3.2.1 استراتژیهای طراحی سیاستها 21
3-3 نمونهای از سیاستهای مدیریتی امنیتی بانکداری 22
3-4 سیاستهای مدیریتی 23
3.4.1 نظارت مدیریتی 23
3.4.2 کنترلهای امنیتی 25
3.4.3 مدیریت ریسکهای حقوقی و حیثیت 28
3-5 سیاستهای اجزای سیستم 30
3.5.1 سیاست سازمان 31
3.5.2 سیاست امنیت اطلاعات 31
3.5.2.1 طبقهبندی اطلاعات 32
3.5.3 سیاست امنیت کارکنان 35
3.5.3.1 اصول اخلاقی 35
3.5.3.2 سیاست کلمات عبور 35
3.5.3.3 سیاست عمومی نرمافزار 37
3.5.3.4 شبکهها 37
3.5.3.5 اینترنت 38
3.5.3.6 کامپیوترهای قابلحمل و laptop ها 39
3.5.4 سیاست کامپیوتر و شبکه 40
3.5.4.1 سیاست مدیریت سیستم 40
3.5.4.2 سیاست شبکه 45
3.5.4.3 سیاست توسعة نرمافزار 47
4 تحلیل مخاطرات 48
4-1 مراحل مدیریت مخاطرات 48
4.1.1 تعیین منابع و موجودیها 49
4.1.2 تعیین خطرات امنیتی ممکن 49
4.1.3 استخراج آسیبپذیریها 50
4.1.4 شناسایی حفاظهای موجود و در دست اقدام 51
4.1.5 ارزیابی مخاطرات 52
4.1.6 ارائه راهکارهای مقابله با مخاطرات 53
4.1.7 ریسک در سیستمهای بانکی 54
4.1.7.1 ریسک عملیات 54
4.1.7.2 ریسک محرمانگی 55
4.1.7.3 ریسک حقوقی 55
4.1.7.4 ریسک حیثیت 56
4.1.7.5 ریسک اعتبار 56
4.1.7.6 ریسک نرخ بهره 56
4.1.7.7 ریسک تسویه 57
4.1.7.8 ریسک قیمت 57
4.1.7.9 ریسک مبادلة خارجی 57
4.1.7.10 ریسک تراکنش 57
4.1.7.11 ریسک استراتژیک 58
4.1.7.12 مثالهایی از انواع ریسک 58
5 حفاظهای امنیتی و سیاستهای آنها 63
5-1 امنیت فیزیکی 63
5.1.1 کنترل دسترسی فیزیکی 63
5.1.2 اعتبار سنجی فیزیکی 65
5.1.3 منبع تغذیه وقفه ناپذیر2 65
5.1.4 سیاستهای امنیت فیزیکی 66
5.1.4.1 محافظت ساختمانی و جلوگیری از دزدی 66
5.1.4.2 محافظت در برابر آتش 67
5.1.4.3 محافظت در برابر آب / مایعات 68
5.1.4.4 محافظت در برابر حوادث طبیعی 68
5.1.4.5 محفاظت از سیم کشیها 68
5.1.4.6 محفاظت در مقابل برق 69
5-2 تعیین هویت و تصدیق اصالت (I & A) 70
5.2.1 سیاستهای تشخیص هویت 71
5-3 کنترل دسترسی 71
5.3.1 سیاستهای کنترل دسترسی 73
5-4 رمزنگاری 75
5.4.1.1 محافظت از محرمانگی دادهها 77
5.4.1.2 محافظت از تمامیت دادهها 77
5.4.1.3 عدم انکار 78
5.4.1.4 تصدیق اصالت داده 78
5.4.1.5 مدیریت کلید 78
5.4.2 سیاستهای رمزنگاری 79
5-5 محافظت در برابر کدهای مخرب 80
5.5.1 اقسام برنامههای مزاحم و مخرب 81
5.5.2 سیاستهای ضد کدهای مخرب 83
5-6 دیواره آتش 84
5.6.1 سیاستهای دیواره آتش 87
5-7 سیستمهای تشخیص نفوذ 90
5.7.1 سیاستهای تشخیص نفوذ 91
5-8 شبکه خصوصی مجازی ( (VPN 93
5-9 امنیت سیستم عامل 94
5.9.1 محکمسازی سیستم 95
5.9.2 سیاستهای امنیت سیستمعامل 96
5.9.2.1 امنیت در سرورها 97
5.9.2.2 امنیت در سیستم های Desktop 97
6 نگهداری و پشتیبانی امنیتی 99
6-1 نظارت و ارزیابی امنیتی 99
6.1.1 سیاستهای نظارت امنیتی 102
6-2 نصب، پیکربندی و کنترل تغییرات 104
6.2.1 سیاستهای مدیریت پیکربندی 105
6-3 سیستمهایی با دسترسی بالا 106
6.3.1 مدیریت تحملپذیری خطا 108
6.3.2 پشتیبانگیری 109
6.3.3 خوشهبندی 110
6.3.4 سیاستهای دسترسپذیری بالا 110
6-4 مدیریت حوادث 111
6.4.1 سیاستهای مدیریت حوادث 113
6-5 آموزش و تربیت امنیتی 114
6.5.1 سیاستهای آموزش و آگاهی رسانی 115
7 ضمیمه الف – برخی از تهدیدات متداول 117
8 ضمیمه ب – برخی از آسیبپذیریهای متداول 120
.
پایان نامه کارشناسی رشته آی تی با عنوان امنیت بانکها
