کامپیوتر و IT
پایان نامه کارشناسی رشته آی تی با عنوان امنیت بانکها (بصورت کامل و جامع) مقدمه با گسترش فناوری اطلاعات و ارتباطات، امنیت به یكی از مهمترین مباحث در فرآیند طراحی و مدیریت سازمانها تبدیل شده است. به خصوص در سیستمهای بانكداری یكی از اصلیترین مسائل مطرح، تأمین امنیت لازم برای انواع سیستمها و سرویسهای بانكی است.اصولاً امنیت بانك در دو سطح قابل بررسی است. سطح اول مربوط به امنیت پیامهایی است كه بین بانك و مشتریان مبادله میشود. این نوع امنیت شامل تصدیق اصالت كاربران، صحت (عدم تغییر داده در زمان انتقال)، عدم انكار (جلوگیری از انكار هر یك از طرفین بعد از انجام كامل تراكنش)، محدود ساختن دسترسی به سیستم برای كاربران مجاز و تصدیق اصالت شده (براساس سیاست امنیتی تعیین شده) و حفظ محرمانگی است.سطح دوم از مسائل امنیتی مرتبط با سیستم بانك الكترونیكی، امنیت محیطی است كه دادههای بانكی و اطلاعات مشتریان در آن قرار میگیرد. این نوع امنیت با اعمال كنترلهای داخلی و یا دیگر احتیاطهای امنیتی امكانپذیر میشود. کلمات کلیدی: امنیت بانکها برنامهریزی امنیتی نظارت و ارزیابی امنیتی سیاستهای نظارت امنیتی ریسك در سیستمهای بانکی سیاستهای مدیریتی امنیتی بانکداری 1-1 فاكتورهای امنیتی به طور كلی، برای برقراری یك محیط امن، چند فاكتور اساسی باید موجود باشد. این فاكتورها عبارتند از: • جامعیت : اطمینان از اینكه اطلاعات صحیح و كامل است. • محرمانگی : اطمینان از اینكه اطلاعات تنها توسط افراد یا سازمانهای مجاز قابل استفاده است و هیچگونه فاشسازی اطلاعات برای افراد تشخیص و تأیید هویت نشده صورت نخواهد گرفت. • شناسایی و اعتبار سنجی : گیرنده و فرستنده، هر دو باید بتوانند از هویت طرف مقابل خود مطمئن باشند. • دسترسپذیری: اطمینان از اینكه سیستم مسئول تحویل، ذخیرهسازی و پردازش اطلاعات همواره در زمان نیاز و در دسترس افراد مربوطه باشد. • انكارناپذیری : هیچ یك از دو سوی ارتباط نتوانند مشاركت خود در ارتباط را انكار كنند. برای رسیدن به یك طرح مناسب و كارا در ارتباط با امنیت بایست برای برقراری توازن در سه مورد تصمیمگیری كنیم: • ارائة سرویس در برابر امنسازی: ارائة برخی از سرویسها و وجود آنها در شبكه از اهمیت بالایی برخوردار نیست. باید تصمیم گرفت كه چه سرویسهایی را میخواهیم ارائه كنیم. این سرویسها باید آنقدر ارزشمند و مهم باشند تا صرف زمان و انرژی برای امنسازی آنها بیهوده نباشد. • سادگی استفاده در برابر امنیت: امنسازی سیستم، استفاده از آن را مشكلتر میكند. هر چه یك سیستم امنتر باشد استفاده از آن نیز مشكلتر خواهد بود. زیرا امنیت محدودیت ایجاد میكند، بنابراین باید بین قابلیتاستفاده و میزان امنیت تعادلی را برقرار ساخت. • هزینة برقرارسازی امنیت در برابر خطر از دست دادن : طراحی و پیادهسازی امنیت نیازمند صرف هزینههایی در بخشهای نیروی انسانی، نرمافزار و سختافزار خواهد بود. باید مجموع هزینههایی كه در صورت از دست دادن هر كدام از منابع یا اطلاعات داخلی به شركت اعمال میشوند محاسبه شده و بین این هزینهها و هزینههای تأمین امنیت تعادل برقرار شود. هزینة از دست دادن منابع باید با توجه به احتمال از دست دادن آنها مورد محاسبه قرار گیرند. در صورتیكه احتمال از دست دادن یا دچار مشكل شدن یك منبع بسیار پایین باشد و آن منبع از درجة اهمیت بالایی نیز برخوردار نباشد صرف هزینه زیاد برای امنسازی آن بهینه نخواهد بود. فهرست مطالب 1 مقدمه 6 1-1 فاكتورهای امنیتی 6 1-2 فرآیند امنسازی 7 2 آشنایی با پروتکلهای امنیتی 9 2-1 پروتکل PKI 9 2-2 SET 10 2.2.1 مدل SET 11 2-3 S-HTTP 13 2-4 S-MIME 13 2-5 SSL 14 2-6 SEPP 15 2-7 PCT 15 3 برنامهریزی امنیتی 17 3-1 برنامهریزی استراتژیك امنیت 17 3.1.1 سیاستهای برنامهریزی استراتژیك 18 3-2 برنامهریزی سیاستهای امنیتی 18 3.2.1 استراتژیهای طراحی سیاستها 21 3-3 نمونهای از سیاستهای مدیریتی امنیتی بانکداری 22 3-4 سیاستهای مدیریتی 23 3.4.1 نظارت مدیریتی 23 3.4.2 كنترلهای امنیتی 25 3.4.3 مدیریت ریسكهای حقوقی و حیثیت 28 3-5 سیاستهای اجزای سیستم 30 3.5.1 سیاست سازمان 31 3.5.2 سیاست امنیت اطلاعات 31 3.5.2.1 طبقهبندی اطلاعات 32 3.5.3 سیاست امنیت كاركنان 35 3.5.3.1 اصول اخلاقی 35 3.5.3.2 سیاست كلمات عبور 35 3.5.3.3 سیاست عمومی نرمافزار 37 3.5.3.4 شبكهها 37 3.5.3.5 اینترنت 38 3.5.3.6 كامپیوترهای قابلحمل و laptop ها 39 3.5.4 سیاست كامپیوتر و شبكه 40 3.5.4.1 سیاست مدیریت سیستم 40 3.5.4.2 سیاست شبكه 45 3.5.4.3 سیاست توسعة نرمافزار 47 4 تحلیل مخاطرات 48 4-1 مراحل مدیریت مخاطرات 48 4.1.1 تعیین منابع و موجودیها 49 4.1.2 تعیین خطرات امنیتی ممكن 49 4.1.3 استخراج آسیبپذیریها 50 4.1.4 شناسایی حفاظهای موجود و در دست اقدام 51 4.1.5 ارزیابی مخاطرات 52 4.1.6 ارائه راهكارهای مقابله با مخاطرات 53 4.1.7 ریسك در سیستمهای بانکی 54 4.1.7.1 ریسك عملیات 54 4.1.7.2 ریسك محرمانگی 55 4.1.7.3 ریسك حقوقی 55 4.1.7.4 ریسك حیثیت 56 4.1.7.5 ریسك اعتبار 56 4.1.7.6 ریسك نرخ بهره 56 4.1.7.7 ریسك تسویه 57 4.1.7.8 ریسك قیمت 57 4.1.7.9 ریسك مبادلة خارجی 57 4.1.7.10 ریسك تراكنش 57 4.1.7.11 ریسك استراتژیك 58 4.1.7.12 مثالهایی از انواع ریسک 58 5 حفاظهای امنیتی و سیاستهای آنها 63 5-1 امنیت فیزیكی 63 5.1.1 كنترل دسترسی فیزیكی 63 5.1.2 اعتبار سنجی فیزیکی 65 5.1.3 منبع تغذیه وقفه ناپذیر2 65 5.1.4 سیاستهای امنیت فیزیكی 66 5.1.4.1 محافظت ساختمانی و جلوگیری از دزدی 66 5.1.4.2 محافظت در برابر آتش 67 5.1.4.3 محافظت در برابر آب / مایعات 68 5.1.4.4 محافظت در برابر حوادث طبیعی 68 5.1.4.5 محفاظت از سیم کشیها 68 5.1.4.6 محفاظت در مقابل برق 69 5-2 تعیین هویت و تصدیق اصالت (I & A) 70 5.2.1 سیاستهای تشخیص هویت 71 5-3 كنترل دسترسی 71 5.3.1 سیاستهای كنترل دسترسی 73 5-4 رمزنگاری 75 5.4.1.1 محافظت از محرمانگی دادهها 77 5.4.1.2 محافظت از تمامیت دادهها 77 5.4.1.3 عدم انکار 78 5.4.1.4 تصدیق اصالت داده 78 5.4.1.5 مدیریت کلید 78 5.4.2 سیاستهای رمزنگاری 79 5-5 محافظت در برابر كدهای مخرب 80 5.5.1 اقسام برنامههای مزاحم و مخرب 81 5.5.2 سیاستهای ضد کدهای مخرب 83 5-6 دیواره آتش 84 5.6.1 سیاستهای دیواره آتش 87 5-7 سیستمهای تشخیص نفوذ 90 5.7.1 سیاستهای تشخیص نفوذ 91 5-8 شبكه خصوصی مجازی ( (VPN 93 5-9 امنیت سیستم عامل 94 5.9.1 محكمسازی سیستم 95 5.9.2 سیاستهای امنیت سیستمعامل 96 5.9.2.1 امنیت در سرورها 97 5.9.2.2 امنیت در سیستم های Desktop 97 6 نگهداری و پشتیبانی امنیتی 99 6-1 نظارت و ارزیابی امنیتی 99 6.1.1 سیاستهای نظارت امنیتی 102 6-2 نصب، پیكربندی و كنترل تغییرات 104 6.2.1 سیاستهای مدیریت پیكربندی 105 6-3 سیستمهایی با دسترسی بالا 106 6.3.1 مدیریت تحملپذیری خطا 108 6.3.2 پشتیبانگیری 109 6.3.3 خوشهبندی 110 6.3.4 سیاستهای دسترسپذیری بالا 110 6-4 مدیریت حوادث 111 6.4.1 سیاستهای مدیریت حوادث 113 6-5 آموزش و تربیت امنیتی 114 6.5.1 سیاستهای آموزش و آگاهی رسانی 115 7 ضمیمه الف – برخی از تهدیدات متداول 117 8 ضمیمه ب – برخی از آسیبپذیریهای متداول 120
