Identifier
شنبه 13 اسفند 1384, 08:35 صبح
بانکداری الکترونیکی (E-Banking)از دیدگاه امنیت و اعتماد
گرد آورنده : حامد ذوالقدری
مقدمه
تجارت الکترونیک یک اصطلاح وسیعی است که برای فعالیتهایی بکار می رود که در ارتباط با انتقال کالا یا سرویسها در قبال پرداخت وجهی از طریق شبکه های کامپیوتری یا هر نوع سیستم الکترونیکی می باشد . همانند شرکت کنندگان بزرگ در این بازار، مراکز مالی نیز در امر الکترونیکی کردن فعالیتهای بانکی که شامل سیتم های بازاریابی پیچیده ، انجام امور بانکی از راه دور و برنامه های برای ارزش ذخیره شده وغیره می باشد بسیار فعال شده اند. این زمینه بدلیل گسترش روزافزن فن آوریهای جدید بسیار پویا و متغییر می باشد. سیستم های الکترونیکی دربانکها روز به روز بر اهمیتشان افزوده میشود که از دلایل آن می توان به موارد زیر اشاره کرد :
_ گسترش رقابت میان شرکت های مالی غیر بانکی و میان صنایع ارتباطات و تولید کنندگان نرم افزار
_ تقاضا برای سرویسهای کاراتر و راحت تر
_ افزایش فاصله میان سیستم های با قابلیت الکترونیکی و دیگر سیستمهای قدیمی از نظر هزینه ها.
وجود چنین فرصتهایی البته ریسک های مهمی را نیز برای یک موسسه مالی بهمراه دارد . البته ریسک ها را می توان با اتخاذ یک برنامه مدیریت ریسک (Risk management program ) توانا و داشتن یک طرح استراتژی خوب کمتر کرد. حوزه برنامه مدیریت ریسک یک موسسه مالی مالی باید متناسب باپیچیدگی فعالیتهایی که درگیر آن است باشد. برای مثال بانک هایی که فقط سیستم اطلاع رسانی روی وب ارائه می دهند برنامه مدیریت ریسکشان با بانکی که سرویسهای پیچیده روی وب ارائه می دهد متفاوت است .
محیط شبکه ای
یک شبکه کامپیوتری بطور ساده کامپیوترهای متعددی است که برای نقل وانتقال اطلاعات، برنامه ها و اشتراک منابع بهم متصل شده اند . دسترسی به شبکه می تواند از طریق PC ها ،تلفن ها, سیستم بصری- محاوره ای, کارت های الکترونیکی که چیپهای کامپیوتری در آن تعبیه شده اند می تواند باشد . اتصالات عمدتا از طریق خطوط تلفن سیستم های کابلی و یا از طریق تکنولوژی های بدون سیم است.
بانکداری الکترونیکی بر یک محیط شبکه ای استوار است . قابل ذکر است که همه شبکه های کامپیوتری در رابطه با سطح امنیت و ریسک برابر نیستند. سیستم ها چه اطلاعاتی باشند و چه تراکنشی (transaction) حاوی تعامل میان کاربر و سیستم می باشند.
Phone banking یا سرویسهای banking pc و برنامه های ذخیره شده مهمترین نمونه ها از شبکه های الکترونیکی بانکی هستند که بر اساس ساختار واستانداردهای اینترنت پایه ریزی شده اند . اینترانت ها برخلاف اینترنت که در تمام دنیا گسترده است تنها قابل دسترسی پرسنل داخلی سازمان می باشد . اینترانت ها می توانند به دنیای خارج نیز برای استفاده مشتریها و دیگر افراد توسعه داده شود که درآن صورت به آن extranet گفته می شود.
امنیت شبکه های کامپیوتری : امنیت شبکه های کامپیوتری چه خصوصی و چه عمومی باید ارزیابی و بازنگری شود . حملات اینترنتی بسیار مخرب هستندزیرا پرسنل موسسه که می تواند شامل همه کارمندان موسسه باشد ،ممکن است به منابع حیاتی و مهمی دسترسی داشته باشند. با توجه به دانش کاملی که مربوط به فعالیتها و روالهای بانک می باشد یک مهاجم داخلی می تواند به سیستم انتقال ارزش بطور مستقیم دسترسی داشته باشد، یا روابط مهم میان سیستم های شبکه شده را استخراج کندتا به سطحی از دسترسی برسد که به مهاجم اجازه دهد تا کنترلهای امنیتی را از کار بیاندازد.
امنیت شبکه های عمومی : استفاده از شبکه های عمومی حاوی ریسک های بیشتری نسبت به شبکه های داخلی است ، استفاده از خطوط خصوصی ممکن است این تصور را ایجاد کند که امنیت برقرار شده است , ولی باید گفت که همین خطوط اختصاصی نیز از ساختار شبکه های عمومی نیز بهره میگیرد و لذا با تکنیک هایی چون line tapping (گرفتن اتصال از خط) و … داده ها قابل دسترسی می شوند. داده های محرمانه که از شبکه های عمومی می گذرد ممکن است توسط افرادی که مجوز ندارند و داده ها مربوط به آنان نمی باشد، قابل دسترسی باشد . بنابراین رمزگذاری داده ها بسیار الزامی است.
قابلیتهای الکترونیکی
چند سالی است که موسسه های مالی قابلیت های الکترونیکی فراهم آورده اند ، برای مثال phone banking ATM(Automated teller machines), ها نمونه هایی از این قابلیت ها هستند ،بعلاوه پیشرفتهای تکنولوژی سیستم های پیچیده تری را ارایه کرده است. سیستم های تلفن پیچیده و برنامه های کامپیوتری روی اینترنت دسترسی ها را افزایش داده اند . محصولات و سرویس های قدیمی می توانند توسط کانالهای جدید ارائه شوندیا سرویسهای جدیدی توسعه یابند. برای مثال در کنار دادن وام ، امر مربوط به حسابها و بانک می تواند برنامه های پرداخت پول را پشتیبانی کند و از پول الکترونیکی حمایت کند . سیستمهای الکترونیکی برای بانک را می توان به سه سطح اصلی تقسیم کرد. سطح اول سیستم هایی که فقط اطلاعات ارائه می دهند و احتمالا حاوی یک نامه الکترونیکی غیر حساس هستند .سطح دوم سیستمهایی که به کاربران اجازه می دهند که اطلاعات حساس را به اشتراک بگذارندو با هم ارتباط داشته باشند و سطح سوم سیستمهایی که انتقالات پول و تراکنش های مالی راپشتیبانی می کنند می باشد .بسیاری از سیستمها ترکیبی از این فعالیتها را دارند.
گرد آورنده : حامد ذوالقدری
مقدمه
تجارت الکترونیک یک اصطلاح وسیعی است که برای فعالیتهایی بکار می رود که در ارتباط با انتقال کالا یا سرویسها در قبال پرداخت وجهی از طریق شبکه های کامپیوتری یا هر نوع سیستم الکترونیکی می باشد . همانند شرکت کنندگان بزرگ در این بازار، مراکز مالی نیز در امر الکترونیکی کردن فعالیتهای بانکی که شامل سیتم های بازاریابی پیچیده ، انجام امور بانکی از راه دور و برنامه های برای ارزش ذخیره شده وغیره می باشد بسیار فعال شده اند. این زمینه بدلیل گسترش روزافزن فن آوریهای جدید بسیار پویا و متغییر می باشد. سیستم های الکترونیکی دربانکها روز به روز بر اهمیتشان افزوده میشود که از دلایل آن می توان به موارد زیر اشاره کرد :
_ گسترش رقابت میان شرکت های مالی غیر بانکی و میان صنایع ارتباطات و تولید کنندگان نرم افزار
_ تقاضا برای سرویسهای کاراتر و راحت تر
_ افزایش فاصله میان سیستم های با قابلیت الکترونیکی و دیگر سیستمهای قدیمی از نظر هزینه ها.
وجود چنین فرصتهایی البته ریسک های مهمی را نیز برای یک موسسه مالی بهمراه دارد . البته ریسک ها را می توان با اتخاذ یک برنامه مدیریت ریسک (Risk management program ) توانا و داشتن یک طرح استراتژی خوب کمتر کرد. حوزه برنامه مدیریت ریسک یک موسسه مالی مالی باید متناسب باپیچیدگی فعالیتهایی که درگیر آن است باشد. برای مثال بانک هایی که فقط سیستم اطلاع رسانی روی وب ارائه می دهند برنامه مدیریت ریسکشان با بانکی که سرویسهای پیچیده روی وب ارائه می دهد متفاوت است .
محیط شبکه ای
یک شبکه کامپیوتری بطور ساده کامپیوترهای متعددی است که برای نقل وانتقال اطلاعات، برنامه ها و اشتراک منابع بهم متصل شده اند . دسترسی به شبکه می تواند از طریق PC ها ،تلفن ها, سیستم بصری- محاوره ای, کارت های الکترونیکی که چیپهای کامپیوتری در آن تعبیه شده اند می تواند باشد . اتصالات عمدتا از طریق خطوط تلفن سیستم های کابلی و یا از طریق تکنولوژی های بدون سیم است.
بانکداری الکترونیکی بر یک محیط شبکه ای استوار است . قابل ذکر است که همه شبکه های کامپیوتری در رابطه با سطح امنیت و ریسک برابر نیستند. سیستم ها چه اطلاعاتی باشند و چه تراکنشی (transaction) حاوی تعامل میان کاربر و سیستم می باشند.
Phone banking یا سرویسهای banking pc و برنامه های ذخیره شده مهمترین نمونه ها از شبکه های الکترونیکی بانکی هستند که بر اساس ساختار واستانداردهای اینترنت پایه ریزی شده اند . اینترانت ها برخلاف اینترنت که در تمام دنیا گسترده است تنها قابل دسترسی پرسنل داخلی سازمان می باشد . اینترانت ها می توانند به دنیای خارج نیز برای استفاده مشتریها و دیگر افراد توسعه داده شود که درآن صورت به آن extranet گفته می شود.
امنیت شبکه های کامپیوتری : امنیت شبکه های کامپیوتری چه خصوصی و چه عمومی باید ارزیابی و بازنگری شود . حملات اینترنتی بسیار مخرب هستندزیرا پرسنل موسسه که می تواند شامل همه کارمندان موسسه باشد ،ممکن است به منابع حیاتی و مهمی دسترسی داشته باشند. با توجه به دانش کاملی که مربوط به فعالیتها و روالهای بانک می باشد یک مهاجم داخلی می تواند به سیستم انتقال ارزش بطور مستقیم دسترسی داشته باشد، یا روابط مهم میان سیستم های شبکه شده را استخراج کندتا به سطحی از دسترسی برسد که به مهاجم اجازه دهد تا کنترلهای امنیتی را از کار بیاندازد.
امنیت شبکه های عمومی : استفاده از شبکه های عمومی حاوی ریسک های بیشتری نسبت به شبکه های داخلی است ، استفاده از خطوط خصوصی ممکن است این تصور را ایجاد کند که امنیت برقرار شده است , ولی باید گفت که همین خطوط اختصاصی نیز از ساختار شبکه های عمومی نیز بهره میگیرد و لذا با تکنیک هایی چون line tapping (گرفتن اتصال از خط) و … داده ها قابل دسترسی می شوند. داده های محرمانه که از شبکه های عمومی می گذرد ممکن است توسط افرادی که مجوز ندارند و داده ها مربوط به آنان نمی باشد، قابل دسترسی باشد . بنابراین رمزگذاری داده ها بسیار الزامی است.
قابلیتهای الکترونیکی
چند سالی است که موسسه های مالی قابلیت های الکترونیکی فراهم آورده اند ، برای مثال phone banking ATM(Automated teller machines), ها نمونه هایی از این قابلیت ها هستند ،بعلاوه پیشرفتهای تکنولوژی سیستم های پیچیده تری را ارایه کرده است. سیستم های تلفن پیچیده و برنامه های کامپیوتری روی اینترنت دسترسی ها را افزایش داده اند . محصولات و سرویس های قدیمی می توانند توسط کانالهای جدید ارائه شوندیا سرویسهای جدیدی توسعه یابند. برای مثال در کنار دادن وام ، امر مربوط به حسابها و بانک می تواند برنامه های پرداخت پول را پشتیبانی کند و از پول الکترونیکی حمایت کند . سیستمهای الکترونیکی برای بانک را می توان به سه سطح اصلی تقسیم کرد. سطح اول سیستم هایی که فقط اطلاعات ارائه می دهند و احتمالا حاوی یک نامه الکترونیکی غیر حساس هستند .سطح دوم سیستمهایی که به کاربران اجازه می دهند که اطلاعات حساس را به اشتراک بگذارندو با هم ارتباط داشته باشند و سطح سوم سیستمهایی که انتقالات پول و تراکنش های مالی راپشتیبانی می کنند می باشد .بسیاری از سیستمها ترکیبی از این فعالیتها را دارند.