پایان نامه کارشناسی رشته آی تی با عنوان امنیت بانکها
(بصورت کامل و جامع)
مقدمه
با گسترش فناوری اطلاعات و ارتباطات، امنیت به یكی از مهمترین مباحث در فرآیند طراحی و مدیریت سازمانها تبدیل شده است. به خصوص در سیستمهای بانكداری یكی از اصلیترین مسائل مطرح، تأمین امنیت لازم برای انواع سیستمها و سرویسهای بانكی است.اصولاً امنیت بانك در دو سطح قابل بررسی است. سطح اول مربوط به امنیت پیامهایی است كه بین بانك و مشتریان مبادله میشود. این نوع امنیت شامل تصدیق اصالت كاربران، صحت (عدم تغییر داده در زمان انتقال)، عدم انكار (جلوگیری از انكار هر یك از طرفین بعد از انجام كامل تراكنش)، محدود ساختن دسترسی به سیستم برای كاربران مجاز و تصدیق اصالت شده (براساس سیاست امنیتی تعیین شده) و حفظ محرمانگی است.سطح دوم از مسائل امنیتی مرتبط با سیستم بانك الكترونیكی، امنیت محیطی است كه دادههای بانكی و اطلاعات مشتریان در آن قرار میگیرد. این نوع امنیت با اعمال كنترلهای داخلی و یا دیگر احتیاطهای امنیتی امكانپذیر میشود.
کلمات کلیدی:
امنیت بانکها
برنامهریزی امنیتی
نظارت و ارزیابی امنیتی
سیاستهای نظارت امنیتی
ریسك در سیستمهای بانکی
سیاستهای مدیریتی امنیتی بانکداری
1-1فاكتورهای امنیتی
به طور كلی، برای برقراری یك محیط امن، چند فاكتور اساسی باید موجود باشد. این فاكتورها عبارتند از:
•جامعیت : اطمینان از اینكه اطلاعات صحیح و كامل است.
•محرمانگی : اطمینان از اینكه اطلاعات تنها توسط افراد یا سازمانهای مجاز قابل استفاده است و هیچگونه فاشسازی اطلاعات برای افراد تشخیص و تأیید هویت نشده صورت نخواهد گرفت.
•شناسایی و اعتبار سنجی : گیرنده و فرستنده، هر دو باید بتوانند از هویت طرف مقابل خود مطمئن باشند.
•دسترسپذیری: اطمینان از اینكه سیستم مسئول تحویل، ذخیرهسازی و پردازش اطلاعات همواره در زمان نیاز و در دسترس افراد مربوطه باشد.
•انكارناپذیری : هیچ یك از دو سوی ارتباط نتوانند مشاركت خود در ارتباط را انكار كنند.
برای رسیدن به یك طرح مناسب و كارا در ارتباط با امنیت بایست برای برقراری توازن در سه مورد تصمیمگیری كنیم:
•ارائة سرویس در برابر امنسازی: ارائة برخی از سرویسها و وجود آنها در شبكه از اهمیت بالایی برخوردار نیست. باید تصمیم گرفت كه چه سرویسهایی را میخواهیم ارائه كنیم. این سرویسها باید آنقدر ارزشمند و مهم باشند تا صرف زمان و انرژی برای امنسازی آنها بیهوده نباشد.
•سادگی استفاده در برابر امنیت: امنسازی سیستم، استفاده از آن را مشكلتر میكند. هر چه یك سیستم امنتر باشد استفاده از آن نیز مشكلتر خواهد بود. زیرا امنیت محدودیت ایجاد میكند، بنابراین باید بین قابلیتاستفاده و میزان امنیت تعادلی را برقرار ساخت.
•هزینة برقرارسازی امنیت در برابر خطر از دست دادن : طراحی و پیادهسازی امنیت نیازمند صرف هزینههایی در بخشهای نیروی انسانی، نرمافزار و سختافزار خواهد بود. باید مجموع هزینههایی كه در صورت از دست دادن هر كدام از منابع یا اطلاعات داخلی به شركت اعمال میشوند محاسبه شده و بین این هزینهها و هزینههای تأمین امنیت تعادل برقرار شود. هزینة از دست دادن منابع باید با توجه به احتمال از دست دادن آنها مورد محاسبه قرار گیرند. در صورتیكه احتمال از دست دادن یا دچار مشكل شدن یك منبع بسیار پایین باشد و آن منبع از درجة اهمیت بالایی نیز برخوردار نباشد صرف هزینه زیاد برای امنسازی آن بهینه نخواهد بود.
فهرست مطالب
1مقدمه6
1-1فاكتورهای امنیتی6
1-2فرآیند امنسازی7
2آشنایی با پروتکلهای امنیتی9
2-1پروتکل PKI9
2-2SET10
2.2.1مدل SET11
2-3S-HTTP13
2-4S-MIME13
2-5SSL14
2-6SEPP15
2-7PCT15
3برنامهریزی امنیتی17
3-1برنامهریزی استراتژیك امنیت17
3.1.1سیاستهای برنامهریزی استراتژیك18
3-2برنامهریزی سیاستهای امنیتی18
3.2.1استراتژیهای طراحی سیاستها21
3-3نمونهای از سیاستهای مدیریتی امنیتی بانکداری22
3-4سیاستهای مدیریتی23
3.4.1نظارت مدیریتی23
3.4.2كنترلهای امنیتی25
3.4.3مدیریت ریسكهای حقوقی و حیثیت28
3-5سیاستهای اجزای سیستم30
3.5.1سیاست سازمان31
3.5.2سیاست امنیت اطلاعات31
3.5.2.1طبقهبندی اطلاعات32
3.5.3سیاست امنیت كاركنان35
3.5.3.1اصول اخلاقی35
3.5.3.2سیاست كلمات عبور35
3.5.3.3سیاست عمومی نرمافزار37
3.5.3.4شبكهها37
3.5.3.5اینترنت38
3.5.3.6كامپیوترهای قابلحمل و laptop ها39
3.5.4سیاست كامپیوتر و شبكه40
3.5.4.1سیاست مدیریت سیستم40
3.5.4.2سیاست شبكه45
3.5.4.3سیاست توسعة نرمافزار47
4تحلیل مخاطرات48
4-1مراحل مدیریت مخاطرات48
4.1.1تعیین منابع و موجودیها49
4.1.2تعیین خطرات امنیتی ممكن49
4.1.3استخراج آسیبپذیریها50
4.1.4شناسایی حفاظهای موجود و در دست اقدام51
4.1.5ارزیابی مخاطرات52
4.1.6ارائه راهكارهای مقابله با مخاطرات53
4.1.7ریسك در سیستمهای بانکی54
4.1.7.1ریسك عملیات54
4.1.7.2ریسك محرمانگی55
4.1.7.3ریسك حقوقی55
4.1.7.4ریسك حیثیت56
4.1.7.5ریسك اعتبار56
4.1.7.6ریسك نرخ بهره56
4.1.7.7ریسك تسویه57
4.1.7.8ریسك قیمت57
4.1.7.9ریسك مبادلة خارجی57
4.1.7.10ریسك تراكنش57
4.1.7.11ریسك استراتژیك58
4.1.7.12مثالهایی از انواع ریسک58
5حفاظهای امنیتی و سیاستهای آنها63
5-1امنیت فیزیكی63
5.1.1كنترل دسترسی فیزیكی63
5.1.2اعتبار سنجی فیزیکی65
5.1.3منبع تغذیه وقفه ناپذیر265
5.1.4سیاستهای امنیت فیزیكی66
5.1.4.1محافظت ساختمانی و جلوگیری از دزدی66
5.1.4.2محافظت در برابر آتش67
5.1.4.3محافظت در برابر آب / مایعات68
5.1.4.4محافظت در برابر حوادث طبیعی68
5.1.4.5محفاظت از سیم کشیها68
5.1.4.6محفاظت در مقابل برق69
5-2تعیین هویت و تصدیق اصالت (I & A)70
5.2.1سیاستهای تشخیص هویت71
5-3كنترل دسترسی71
5.3.1سیاستهای كنترل دسترسی73
5-4رمزنگاری75
5.4.1.1محافظت از محرمانگی دادهها77
5.4.1.2محافظت از تمامیت دادهها77
5.4.1.3عدم انکار78
5.4.1.4تصدیق اصالت داده78
5.4.1.5مدیریت کلید78
5.4.2سیاستهای رمزنگاری79
5-5محافظت در برابر كدهای مخرب80
5.5.1اقسام برنامههای مزاحم و مخرب81
5.5.2سیاستهای ضد کدهای مخرب83
5-6دیواره آتش84
5.6.1سیاستهای دیواره آتش87
5-7سیستمهای تشخیص نفوذ90
5.7.1سیاستهای تشخیص نفوذ91
5-8شبكه خصوصی مجازی ( (VPN93
5-9امنیت سیستم عامل94
5.9.1محكمسازی سیستم95
5.9.2سیاستهای امنیت سیستمعامل96
5.9.2.1امنیت در سرورها97
5.9.2.2امنیت در سیستم های Desktop97
6نگهداری و پشتیبانی امنیتی99
6-1نظارت و ارزیابی امنیتی99
6.1.1سیاستهای نظارت امنیتی102
6-2نصب، پیكربندی و كنترل تغییرات104
6.2.1سیاستهای مدیریت پیكربندی105
6-3سیستمهایی با دسترسی بالا106
6.3.1مدیریت تحملپذیری خطا 108
6.3.2پشتیبانگیری109
6.3.3خوشهبندی110
6.3.4سیاستهای دسترسپذیری بالا110
6-4مدیریت حوادث111
6.4.1سیاستهای مدیریت حوادث113
6-5آموزش و تربیت امنیتی114
6.5.1سیاستهای آموزش و آگاهی رسانی115
7ضمیمه الف – برخی از تهدیدات متداول117
8ضمیمه ب – برخی از آسیبپذیریهای متداول120