پایان نامه کارشناسی رشته آی تی با عنوان امنیت بانکها

(بصورت کامل و جامع)
 
مقدمه
با گسترش فناوری اطلاعات و ارتباطات، امنیت به یكی از مهمترین مباحث در فرآیند طراحی و مدیریت سازمان‌ها تبدیل شده است. به خصوص در سیستم‌های بانكداری یكی از اصلی‌ترین مسائل مطرح، تأمین امنیت لازم برای انواع سیستم‌ها و سرویس‏های بانكی است.اصولاً امنیت بانك در دو سطح قابل بررسی است. سطح اول مربوط به امنیت پیام‏هایی است كه بین بانك و مشتریان مبادله می‏شود. این نوع امنیت شامل تصدیق اصالت كاربران، صحت (عدم تغییر داده در زمان انتقال)، عدم انكار (جلوگیری از انكار هر یك از طرفین بعد از انجام كامل تراكنش)، محدود ساختن دسترسی به سیستم برای كاربران مجاز و تصدیق اصالت شده (براساس سیاست امنیتی تعیین شده) و حفظ محرمانگی است.سطح دوم از مسائل امنیتی مرتبط با سیستم بانك الكترونیكی، امنیت محیطی است كه داده‌های بانكی و اطلاعات مشتریان در آن قرار می‏گیرد. این نوع امنیت با اعمال كنتر‏ل‏های داخلی و یا دیگر احتیاط‏های امنیتی امكان‏پذیر می‏شود.
 
 
کلمات کلیدی:

امنیت بانکها

برنامه‌ریزی امنیتی

نظارت و ارزیابی امنیتی

سیاست‌های نظارت امنیتی

ریسك در سیستمهای بانکی

سیاست‌های مدیریتی امنیتی بانکداری

 
 
 

1-1 فاكتورهای امنیتی

به طور كلی، برای برقراری یك محیط امن، چند فاكتور اساسی باید موجود باشد. این فاكتورها عبارتند از:
جامعیت : اطمینان از اینكه اطلاعات صحیح و كامل است. 
محرمانگی : اطمینان از اینكه اطلاعات تنها توسط افراد یا سازمان‌های مجاز قابل استفاده است و هیچ‌گونه فاش‌سازی اطلاعات برای افراد تشخیص و تأیید هویت نشده صورت نخواهد گرفت.
شناسایی و اعتبار سنجی : گیرنده و فرستنده، هر دو باید بتوانند از هویت طرف مقابل خود مطمئن باشند. 
دسترس‌پذیری: اطمینان از اینكه سیستم مسئول تحویل، ذخیره‌سازی و پردازش اطلاعات همواره در زمان نیاز و در دسترس افراد مربوطه باشد. 
انكارنا‌پذیری : هیچ یك از دو سوی ارتباط نتوانند مشاركت خود در ارتباط را انكار كنند.
برای رسیدن به یك طرح مناسب و كارا در ارتباط با امنیت بایست برای برقراری توازن در سه مورد تصمیم‌گیری كنیم:
ارائة سرویس در برابر امن‌سازی: ارائة برخی از سرویس‌ها و وجود آنها در شبكه از اهمیت بالایی برخوردار نیست. باید تصمیم گرفت كه چه سرویس‌هایی را می‌خواهیم ارائه كنیم. این سرویس‌ها باید آنقدر ارزشمند و مهم باشند تا صرف زمان و انرژی برای امن‌سازی آنها بیهوده نباشد.
سادگی استفاده  در برابر امنیت: امن‌سازی سیستم، استفاده از آن را مشكل‌تر می‌كند. هر چه یك سیستم امن‌تر باشد استفاده از آن نیز مشكل‌تر خواهد بود. زیرا امنیت محدودیت ایجاد می‌كند، بنابراین باید بین قابلیت‌استفاده  و میزان امنیت تعادلی را برقرار ساخت. 
هزینة برقرار‌سازی امنیت در برابر خطر از دست دادن : طراحی و پیاده‌سازی امنیت نیازمند صرف هزینه‌هایی در بخش‌های نیروی انسانی، نرم‌افزار و سخت‌افزار خواهد بود. باید مجموع هزینه‌هایی كه در صورت از دست دادن هر كدام از منابع یا اطلاعات داخلی به شركت اعمال می‌شوند محاسبه شده و بین این هزینه‌ها و هزینه‌های تأمین امنیت تعادل برقرار شود. هزینة از دست دادن منابع باید با توجه به احتمال از دست دادن آنها مورد محاسبه قرار گیرند. در صورتی‌كه احتمال از دست دادن یا دچار مشكل شدن یك منبع بسیار پایین باشد و آن منبع از درجة اهمیت بالایی نیز برخوردار نباشد صرف هزینه زیاد برای امن‌سازی آن بهینه نخواهد بود.
 
 
 
 
فهرست مطالب
1 مقدمه 6
1-1 فاكتورهای امنیتی 6
1-2 فرآیند امن‌سازی 7
2 آشنایی با پروتکلهای امنیتی 9
2-1 پروتکل PKI 9
2-2 SET 10
2.2.1 مدل SET 11
2-3 S-HTTP 13
2-4 S-MIME 13
2-5 SSL 14
2-6 SEPP 15
2-7 PCT 15
3 برنامه‌ریزی امنیتی 17
3-1 برنامه‌ریزی استراتژیك امنیت 17
3.1.1 سیاست‌های برنامه‌ریزی استراتژیك 18
3-2 برنامه‌ریزی سیاست‌های امنیتی 18
3.2.1 استراتژی‌‌های طراحی سیاست‌ها 21
3-3 نمونه‌ای از سیاست‌های مدیریتی امنیتی بانکداری 22
3-4 سیاستهای مدیریتی 23
3.4.1 نظارت مدیریتی 23
3.4.2 كنترل‌های امنیتی 25
3.4.3 مدیریت ریسك‌های حقوقی و حیثیت 28
3-5 سیاستهای اجزای سیستم 30
3.5.1 سیاست سازمان 31
3.5.2 سیاست امنیت اطلاعات 31
3.5.2.1 طبقه‌بندی اطلاعات 32
3.5.3 سیاست امنیت كاركنان 35
3.5.3.1 اصول اخلاقی 35
3.5.3.2 سیاست كلمات عبور 35
3.5.3.3 سیاست عمومی نرم‌افزار 37
3.5.3.4 شبكه‌ها 37
3.5.3.5 اینترنت 38
3.5.3.6 كامپیوترهای قابل‌حمل و laptop ها 39
3.5.4 سیاست كامپیوتر و شبكه 40
3.5.4.1 سیاست مدیریت سیستم 40
3.5.4.2 سیاست شبكه 45
3.5.4.3 سیاست توسعة نرم‌افزار 47
4 تحلیل مخاطرات 48
4-1 مراحل مدیریت مخاطرات 48
4.1.1 تعیین منابع و موجودی‌ها 49
4.1.2 تعیین خطرات امنیتی ممكن 49
4.1.3 استخراج آسیب‌پذیری‌ها 50
4.1.4 شناسایی حفاظهای موجود و در دست اقدام 51
4.1.5 ارزیابی مخاطرات 52
4.1.6 ارائه راهكارهای مقابله با مخاطرات 53
4.1.7 ریسك در سیستمهای بانکی 54
4.1.7.1 ریسك عملیات 54
4.1.7.2 ریسك محرمانگی 55
4.1.7.3 ریسك حقوقی 55
4.1.7.4 ریسك حیثیت 56
4.1.7.5 ریسك اعتبار 56
4.1.7.6 ریسك نرخ بهره 56
4.1.7.7 ریسك تسویه 57
4.1.7.8 ریسك قیمت 57
4.1.7.9 ریسك مبادلة خارجی 57
4.1.7.10 ریسك تراكنش 57
4.1.7.11 ریسك استراتژیك 58
4.1.7.12 مثال‌هایی از انواع ریسک 58
5 حفاظ‌های امنیتی و سیاست‌های آنها 63
5-1 امنیت فیزیكی 63
5.1.1 كنترل دسترسی فیزیكی 63
5.1.2 اعتبار سنجی فیزیکی 65
5.1.3 منبع تغذیه وقفه ناپذیر2 65
5.1.4 سیاست‌های امنیت فیزیكی 66
5.1.4.1 محافظت ساختمانی و جلوگیری از دزدی 66
5.1.4.2 محافظت در برابر آتش 67
5.1.4.3 محافظت در برابر آب / مایعات 68
5.1.4.4 محافظت در برابر حوادث طبیعی 68
5.1.4.5 محفاظت از سیم کشی‌ها 68
5.1.4.6 محفاظت در مقابل برق 69
5-2 تعیین هویت و تصدیق اصالت (I & A) 70
5.2.1 سیاست‌های تشخیص هویت 71
5-3 كنترل دسترسی 71
5.3.1 سیاست‌های كنترل دسترسی 73
5-4 رمزنگاری 75
5.4.1.1 محافظت از محرمانگی دادهها 77
5.4.1.2 محافظت از تمامیت دادهها 77
5.4.1.3 عدم انکار 78
5.4.1.4 تصدیق اصالت داده 78
5.4.1.5 مدیریت کلید 78
5.4.2 سیاست‌های رمزنگاری 79
5-5 محافظت در برابر كدهای مخرب 80
5.5.1 اقسام برنامه‌های مزاحم و مخرب 81
5.5.2 سیاست‌های ضد کدهای مخرب 83
5-6 دیواره آتش 84
5.6.1 سیاست‌های دیواره آتش 87
5-7 سیستم‌های تشخیص نفوذ 90
5.7.1 سیاست‌های تشخیص نفوذ 91
5-8 شبكه خصوصی مجازی ( (VPN 93
5-9 امنیت سیستم عامل 94
5.9.1 محكم‌سازی سیستم 95
5.9.2 سیاست‌های امنیت سیستم‌عامل 96
5.9.2.1 امنیت در سرورها 97
5.9.2.2 امنیت در سیستم های Desktop 97
6 نگهداری و پشتیبانی امنیتی 99
6-1 نظارت و ارزیابی امنیتی 99
6.1.1 سیاست‌های نظارت امنیتی 102
6-2 نصب، پیكربندی و كنترل تغییرات 104
6.2.1 سیاست‌های مدیریت پیكربندی 105
6-3 سیستم‌هایی با دسترسی بالا 106
6.3.1 مدیریت تحمل‌پذیری خطا 108
6.3.2 پشتیبان‌گیری 109
6.3.3 خوشه‌بندی 110
6.3.4 سیاست‌های دسترس‌پذیری بالا 110
6-4 مدیریت حوادث 111
6.4.1 سیاست‌های مدیریت حوادث 113
6-5 آموزش و تربیت امنیتی 114
6.5.1 سیاست‌های آموزش و آگاهی رسانی 115
7 ضمیمه الف – برخی از تهدیدات متداول 117
8 ضمیمه ب – برخی از آسیب‌پذیری‌های متداول 120