امنیت سیستم های بانكداری الكترونیكی امروزی

امروزه فناوری رشد و تكاملی شتابان دارد و همواره ابعادی تازه را در زندگی روزانه ما پدید می آورد و در این راه, سیستم های بانكداری الكترونیكی, خدمات بانكی آسانی را برای ما فراهم آورده است تبادل اطلاعات میان كاربر و بانك, به كمك ابزارهای ATM۱, بانكداری تلفنی و اینترنتی و بیش از همه بانكداری موبایلی, تا اندازه زیادی بهبود یافته است

امروزه فناوری رشد و تكاملی شتابان دارد و همواره ابعادی تازه را در زندگی روزانه ما پدید می‌آورد و در این راه، سیستم‌های بانكداری الكترونیكی، خدمات بانكی آسانی را برای ما فراهم آورده است. تبادل اطلاعات میان كاربر و بانك، به‌كمك ابزارهای ATM۱، بانكداری تلفنی و اینترنتی و بیش از همه بانكداری موبایلی، تا اندازه زیادی بهبود یافته است.

این نوشتار به امنیت سیستم‌های بانكداری الكترونیكی می‌پردازد و تمركز آن بر بانكداری اینترنتی و موبایلی بوده، تكنیك‌هایی كه در این زمینه در سیستم‌های جاری به‌كار می‌رود را ارایه می‌كند تا یك الگو و سرمشق را - به‌همراه بهبود و توسعه در آینده - نشان می‌دهد. بیشتر مواردی كه در این نوشتار می‌آیند، در دیگر خدمات الكترونیكی - مانند تجارت الكترونیكی و دولت الكترونیكی - نیز كاربرد دارند.

سیستم‌های بانكداری الكترونیكی به همه این امكان را می‌دهد كه سریع و آسان به كارهای بانكی خود - مانند دریافت موجودی حساب، انتقال پول میان حساب‌های گوناگون یك مشتری، انتقال پول از حساب یك مشتری به حساب مشتری دیگر و دریافت صورت حساب بانكی در یك دوره ویژه - دسترسی داشته باشند. برخی از بانك‌ها خدماتی مانند انتقال سهام و ارسال فایل‌های پرداخت از یك حساب مشخص به حساب افراد گوناگون (مانند پرداخت حقوق) را نیز انجام می‌دهند. با گسترش فناوری، انواع سیستم‌های بانكداری الكترونیكی نیز ایجاد شده است كه هر یك از آنها ابعادی تازه را - در زمینه تبادل اطلاعات میان كاربر و بانك - ارایه می‌كنند. ATM نخستین سیستم شناخته شده‌ای است كه برای آسانی دسترسی كاربران به فعالیت‌های بانكی خود معرفی گردید. به‌كمك یك رابط گرافیكی كاربر (UGI۲)، كاربر می‌تواند برخی از این كارها را اجرا كند و این عملیات به سیستم كامپیوتر مركزی بانك منتقل می‌گردد. گام بعدی، معرفی بانكداری تلفنی بود. كاربران با تلفن از خانه به سیستم كامپیوتری بانك متصل شده، با كلیدهای تلفن كار بانكی خود را انجام می‌دادند. اینترنت نیز یك جایگزین تازه برای سیستم بانك تلفنی پیشنهاد كرده است. مردم با یك رابط كاربرپسند و پیچیده‌تر، یك مرورگر یا برنامه كاربردی استاندارد، می‌توانند در اینترنت به سیستم كامپیوتری بانك راه یابند. ابزارهای الكترونیكی همواره در حال كوچك شدن هستند، در حالی‌كه كارایی آنها افزایش می‌یابد. هم‌اكنون، تلفن همراه نیز امكان اجرای سیستم بانكداری الكترونیكی را فراهم آورده است.

۱-۱- دامنه پژوهش

این نوشتار درباره امنیت سیستم‌های بانكداری الكترونیكی امروزی سخن می‌گوید و تمركز آن، بیشتر روی بانكداری اینترنتی، www ]۲[ و بانكداری موبایلی ]۳۲[، ۳WAP است. كار ما برپایه یك بررسی گسترده از سیستم‌های موجود بانكداری اینترنتی جهانی است و این بررسی بر مبنای اطلاعات عمومی موجود تنظیم گردیده است. بررسی و پژوهش نیز روی كاربر و تبادل اطلاعات میان كاربر و بانك متمركز است.

ما امنیت نزدیك به ۳۰ سیستم بانكداری الكترونیكی را بررسی كرده‌ایم كه تنها بخش كوچكی از سیستم‌های زیر پوشش بانكداری الكترونیكی است و معتقدیم كه این زیرمجموعه، نماینده خوبی برای همه سیستم‌های بانكی موجود است.

۱-۲- عنوان بخش‌های این نوشتار

این نوشتار به‌صورت زیر سازماندهی شده است: بخش ۲ با توضیح زیربنای معماری www و سیستم‌های بانكداری الكترونیكی WAP آغاز می‌شود، سپس نیازهای اساسی امنیت در سیستم بانكداری الكترونیكی تعیین می‌گردد، تعادل مهم امنیت در برابر هزینه نشان داده می‌شود، خدمات متفاوت بانك در سیستم بانكداری الكترونیكی - كه با ساختار درونی بانك مرتبط است - به‌كوتاهی بررسی می‌شود و سرانجام فرق میان دو سیستم امنیت شناخته می‌شود. بخش ۳ به امنیت مخابرات میان مشتری و بانك می‌پردازد و بخش ۴ موضوع احراز هویت مشتری را به‌دقت تشریح می‌كند. در بخش ۵ نیز جنبه‌های دیگر امنیت بررسی می‌شود و در پایان در بخش ۶، دست‌آوردها جمع‌بندی خواهد شد. این مطالب اشاره‌ای به بهترین روش كنونی و چند پیشنهاد برای بهبود در آینده را نیز در بر دارد.

۲- معماری و نیازمندی‌های امنیت

۲-۱- معماری اینترنت

پركاربردترین راه ارتباط با بانك - برای كاربری كه یك كامپیوتر شخصی با اتصال شبكه دارد - از طریق یك مرورگر وب۴ برای كار بانكی بر بستر شبكه جهانی (WWW۵) یا بانكداری اینترنتی۶ (وبی) است. در این حالت پروتكل استاندارد برای ارتباط میان مرورگر و وب‌سرور۷ بانك به‌كار خواهد رفت. این پروتكل استاندارد http است كه بالای لایه امنیت جای دارد. http زبان ارتباطی شبكه جهانی است.

یك بانك اغلب به امنیتی بیش از آنچه كه مرورگرهای معمولی فراهم می‌آورند، نیاز دارد. اعمال این امنیت اضافه در محدودیت‌های آمریكا برای صادرات، ، به‌ویژه شامل رمزنگاری نیرومند است. یك برنامه كاربردی ویژه كلاینت / سرور۸ قابل نصب بر كامپیوترهای شخصی، ارتباط با بانك را برقرار می‌كند. پروتكل مشابهی كه در مرورگر/سرور وب به‌كار می‌رود، امنیت دلخواه را فراهم می‌آورد. اما بانك باید نرم‌افزار مورد نیاز مشتری را فراهم كند، زیرا به مرورگرهای نصب شده روی كامپیوتر مشتری اعتماد چندانی نیست.

برای دوری از مسایل مرتبط به توزیع و نصب نرم‌افزارهای اضافه كامپیوتر مشتری، بانك اغلب یك راه‌حل مناسب را پیش می‌گیرد. یك مرورگر عادی روی كامپیوتر مشتری نصب می‌گردد، اما برای افزایش ضریب امنیت دلخواه، یك قطعه برنامه جاوا۹ از سایت بانك روی كامپیوتر مشتری كپی می‌شود. این برنامه یك نرم‌افزار كوچك است كه در هنگام فعال شدن مرورگر، به‌كار افتاده، امنیت دلخواه را تامین می‌كند.

بزرگترین امتیاز این روش این است كه سرور بانك می‌تواند نرم‌افزار مشتری را پشتیبانی و روزآمد كند. كامپیوتر مشتری به‌طور خودكار نگارش‌های تازه نرم‌افزار را از سایت بانك دریافت می‌شود. لذا بانك‌ها نیازی به توزیع و نصب نرم‌افزار خود با روش‌های پیشین ندارند.

۲-۲- معماری WAP

هنگامی‌كه یك مشتری، موبایل با امكانات WAP داشته باشد، می‌تواند با ارتباط بی‌سیم به بانك متصل شود. WAP در اصل یك ابزار بدون سیم برای استفاده از پروتكل اینترنتی یعنی TCP/IP است. برای اتصال بی‌سیم به اینترنت، به پراكسی WAP یا گیت‌وی۱۰ نیاز است تا پروتكل WAP را به پروتكل TCP/IP ترجمه و تبدیل كند. برای مثال این نرم‌افزار با كدگذاری، حجم داده‌ها را برای ارسال كاهش می‌دهد. همچون www، رابط كاربر سیستم بانكداری الكترونیكی، یك مرورگر كوچك در تلفن همراه است. ارتباط میان تلفن همراه و پراكسیWAP۱۱ با پروتكلی - كه با آنچه كه در اینترنت به‌كار می‌رود، بسیار همانند است - محافظت می‌شود. اختلاف عمده در سیستم بانكداری بر مبنای WAP، این است كه ارتباط نقطه‌به‌نقطه میان كامپیوتر مشتری و وب‌سرور بانك وجود ندارد. بانك نباید متكی بر نرم‌افزار پیش‌فرض و غیرقابل اعتماد باشد، اما در یك محیط با سرور ایمن و قابل اعتماد، می‌تواند كار كند.

۲-۳- نیازمندی‌های امنیت

نیازمندی‌های امنیتی عمومی زیر ]۲۲[در سیستم‌های بانكداری الكترونیكی نیز به‌كار می‌رود:

▪ امنیت و رازداری۱۲، این اطمینان را می‌دهد كه تنها افراد صلاحیت‌دار می‌توانند به محتوای اطلاعات مبادله شده دست یابند. برای مثال، استراق‌سمع‌كنندگان نباید بفهمند كه یك كاربر خاص چه اعمالی در سیستم انجام می‌دهد.

▪ تایید داده‌ها۱۳، یعنی تایید داده‌های اصلی و حفظ یكپارچگی داده و اینكه داده‌ها از دستكاری و تغییر توسط افراد غیرمجاز مصون باشد. دستكاری وارده شامل افزودن، حذف یا تغییر محتوای داده است. برای مثال، كاربر و بانك باید اطمینان یابد كه داده موجود واقعی است نه داده دستكاری شده.

▪ تایید موجودیت۱۴، كاربر باید - پیش از آن‌كه اطلاعات حساسی را بفرستد - اصمینان یابد كه با بانك حقیقی كار می‌كنند. بانك نیز باید پیش از اجرای تراكنش‌ها، كاربر را شناسایی كند.

▪ انكار ناپذیری۱۵، از تكذیب عملیات انجام شده پیشین جلوگیری می‌كند. برای نمونه، بانك باید بتواند ثابت كند كه یك كاربر خاص، كارهی ویژه‌ای را انجام داده است، اما به‌هر حال آن‌را فراموش یا تكذیب می‌كند.

۲-۴- هزینه در ازای امنیت

اندازه امنیت، نیازمند این است كه از برخی ریسك‌ها و به‌بار آوردن هزینه‌های مربوط به آن جلوگیری كند. درجه و مقیاس امنیت نیز، خود هزینه‌هایی را به سیستم تحمیل می‌كند. اینكه سیستم دارای امنیت بالا باشد، هزینه‌های خود را خواهد داشت و بانك در این باره تصمیم خواهد گرفت.

در سیستم‌های بانكداری الكترونیكی، باید تا جای ممكن، هزینه‌های اضافی مربوط به مشتری كاهش یابد و كاربر بتواند از سیستم بانكداری الكترونیكی و نرم‌افزارهای استاندارد موجود بهره برد. این كار سیستم بانكداری الكترونیكی را جذاب‌تر خواهد كرد، اما متاسفانه ممكن است امنیت سیستم را به مخاطره اندازد. در عمل بانك‌ها تلاش می‌كنند كه با امكانات بیشتر برای كاربران، درجه ریسك سیستم را نیز به كمترین اندازه برسانند.

۲-۵- خدمات سیستم بانكداری الكترونیكی

این مقاله تمركز خود را بر كاربر و تبادل اطلاعات میان كاربر و بانك قرار داده است؛ با این وجود اگر اندكی به ساختار درونی بانك پرداخته شود، بینش و آگاهی بیشتری در سیستم بانكداری الكترونیكی ایجاد خواهد شد. اگر بخواهیم یك سیستم بانكداری الكترونیكی دلخواه را بررسی كنیم، چهار وظیفه عمده در آن بانك موجود است. این چهار وظیفه، چهار گونه خدمت را ارایه می‌كنند:

۱) بانك - برای مبادله اطلاعات با مشتریان - نیاز به یك رابط سرور۱۶ دارد. به‌این رابط در همه محیط‌های WWW, ATM و WAP نیاز است.

---

• بعدى
• 4
• 3
• 2
• 1
• قبلى

شما در حال مطالعه صفحه 1 از یک مقاله 4 صفحه ای هستید. لطفا صفحات دیگر این مقاله را نیز مطالعه فرمایید.