امنیت در فناوری خویش خدمت

یکی از دغدغه‎های اصلی برای پیاده سازی فناوری خویش خدمت در ایران، مشکل امنیت سرمایه‎هاست. چرا که به عقیده بسیاری از مردم، یک هکر می‎تواند به راحتی به فناوری خویش خدمت نفوذ و مبلغی را از حسابی برداشت کند. یکی از کارهایی که باید انجام شود اطلاع رسانی درست به مردم درباره مکانیزم استفاده از خدمات فناوری خویش خدمت و جلب اعتماد آن‎ها به این سیستم است. مشکل امنیت در فناوری خویش خدمت مبحث بسیار مهمی‎است. امنیت سیستم می‎تواند موجب افزایش اعتماد مشتریان ‎شود (Meuter,2013). اگر مشتریان دائما این دغدغه را داشته باشند که ممکن است حساب و اطلاعات آن‎ها در خطر باشد، هرگز نمی‎توانند به فناوری خویش خدمت اعتماد نمایند و ترجیح می‎دهند از خدمات غیر خویش خدمت ولی با صرف زمان بالاتر استفاده کنند که دارای امنیت بسیار بالایی است. با توجه به اینکه بحث امنیت اطلاعات در این پژوهش موضوعیت پیدا می‎کند، در ادامه به تفصیل به راهکارهای ایجاد امنیت در سیستم اطلاعات فناوری خویش خدمت می‎پردازیم.

 

2-1-4-9-1 امنیت اطلاعات در فناوری خویش خدمت

فناوری خویش خدمت به مشتریان اجازه می‌‌دهد با رعایت روش‏های کاری مشخص و استفاده از پروتکل‌های استاندارد نسبت به افتتاح حساب از راه دور اقدام کند و با استفاده از رمز اختصاصی به درون شبکه ‎راه یافته، از ایستگاه‏های بازرسی و کنترل عبور کرده، مبلغی به حساب خود واریز و یا از آن برداشت نمایند( Meuter, 2013). چنین فرآیندی مبین این واقعیت است که تراکنش‌های عملیات که در بانکداری سنتی قابل رؤیت است، در فناوری خویش خدمت پنهان از دید مستقیم صورت می‌‌پذیرد و همین نامرئی بودن ظاهری تراکنش‌ها، گاهی موجب تردید در به‌کارگیری این معماری می‌شود (Mytur & walker, 2010).

باید توجه داشت که در کنار مزایای یاد شده، به‌منظور صحت انجام عملیات و تراکنش‏ها در قالب سیستم‏های ‎متمرکز و فناوری خویش خدمت و جلوگیری از هر گونه سوء استفاده، باید جنبه‏های امنیتی در پیاده‌سازی و به‌کارگیری این فناوری را شناخته و به کمک کارشناسان متخصص در حیطه امنیت، این موارد را به‌درستی پیاده‌سازی کرد.

مطلب مشابه :  همه چیز برای برگزاری یک مراسم عروسی عالی

به‌کارگیری هر فناوری جنبه‏های امنیتی خاص خود را دارد. در ادامه به برخی سرفصل‌های کلی و اهداف امنیتی مورد نظر در به‌کارگیری خدمات فناوری خویش خدمت اشاره می‎کنیم.

1- پیشگیری از تراکنش‎های غیر مجاز و سرقت پول

2- پیشگیری و شناسایی جعل هویت

3- حفظ یکپارچگی داده‌ها

4- حفظ دسترس‌پذیری خدمات

5- عدم افشای اطلاعات محرمانه مشتریان و حفظ حریم خصوصی آنان

برای نیل به اهداف فوق می‌توان امنیت خدمات فناوری خویش خدمت را در سه سطح سرور، رسانه انتقال و کلاینت (مشتری) طبقه‌بندی و مکانیزم‌های امنیتی قابل ارائه در هر سطح را بر‌شمرد.

امنیت سرور

تصدیق اصالت و مجازشناسی کاربر

محکم‌سازی بستر سیستم عاملی و سرویس‌های پایه

استفاده از ضد بدافزارها

رمزنگاری داده‌ها برای حفظ محرمانه بودن و یکپارچگی

حفظ امنیت فیزیکی سرور

پیاده‌سازی خط‌مشی‌های راهبری امن سرور

مانیتورینگ امنیت سرور

امنیت رسانه انتقال

پیشگیری از شنود ارتباط با استفاده از رمزنگاری

مقابله با جعل هویت و حملات فردی در میان (Man in the Middle)

ایجاد کانال امن بر بستر شبکه‌های عمومی‎(VPN)

جلوگیری از تغییرات غیرمجاز داده‌ها در هنگام انتقال یا شناسایی آن‌ها

امنیت سمت کاربر

محافظت در برابر بدافزارهایی مانند Key logger، ویروس‌ها با استفاده از ضد بدافزارها

مقابله با Phishing و حملات مبتنی بر مهندسی اجتماعی

آگاهی‌رسانی و آموزش کاربر

تصدیق اصالت چند عامله (Mytur & walker,2010).

 

2-1-4-9-2 شاخص‌های امنیتی نرم‌افزار

در راستای پیاده‌سازی و طراحی امن سیستم فناوری خویش خدمت متمرکز، باید هر یک از مسائل مربوط به معماری، بستر نرم‌افزار، طراحی امن نرم‌افزار و مدیریت امنیت را در متدولوژی توسعه سیستم مد نظر داشت. در ادامه هر یک از موارد فوق شرح داده می‏شود (Meuter, 2013).

 

2-1-4-9-3 امنیت معماری کلی نرم‌افزار

بایستی در طراحی اولیه نرم‌افزار فناوری خویش خدمت متمرکز به امنیت توجه شده باشد. در صورتی که دید امنیتی در ابتدا وجود نداشته باشد جبران آن پس از تولید نرم‌افزار بسیار دشوار یا غیر ممکن است. به‌عنوان مثال اگر بخش سرویس‌گیرنده نرم‌افزار دسترسی مستقیم و بی‌واسطه به پایگاه داده‌ها داشته باشد و یا کنترل دسترسی به صورت صحیح پیاده‌سازی نشده باشد، امنیت کل معماری زیر سؤال رفته است. از جمله موارد مهم در این بخش عبارتند از:

مطلب مشابه :  طراحی سایت _ طراحی وب سایت _ سئو بهینه سازی _ ستاک

معماری امن گردش داده میان اجزای نرم‌افزار

معماری کنترل دسترسی

معماری امنیتی پایگاه داده

معماری کنترل‌های امنیتی منطق نرم‌افزار ‎(شناسایی اختلاس، پول‌شویی و غیره) (Meuter, 2013).

بایستی در طراحی اولیه نرم‌افزار فناوری خویش خدمت متمرکز به امنیت توجه شده باشد. در صورتی که دید امنیتی در ابتدا وجود نداشته باشد جبران آن پس از تولید نرم‌افزار بسیار دشوار یا غیر ممکن است. به‌عنوان مثال اگر بخش سرویس‌گیرنده نرم‌افزار دسترسی مستقیم و بی‌واسطه به پایگاه داده‌ها داشته باشد و یا کنترل دسترسی به صورت صحیح پیاده‌سازی نشده باشد، امنیت کل معماری زیر سؤال رفته است. از جمله موارد مهم در این بخش عبارتند از:

معماری امن گردش داده میان اجزای نرم‌افزار

معماری کنترل دسترسی

معماری امنیتی پایگاه داده

معماری کنترل‌های امنیتی منطق نرم‌افزار ‎(شناسایی اختلاس، پول‌شویی و غیره) (Meuter, 2013).

2-1-4-9-4 امنیت بستر نرم‌افزار

منظور از بستر نرم‌افزار بانکی، شبکه، سیستم­ عامل، پایگاه داده و سخت‌افزارهای مرتبط با نرم‌افزار است. امنیت در هر یک از حوزه‎های شبکه، سیستم­ عامل، پایگاه داده جداگانه بایستی بررسی شود؛ ولی از لحاظ تعامل با نرم‌افزار نیز باید نکات امنیتی را لحاظ کرد. در‌واقع نرم‌افزار بایستی به‌صورت مستقل عمل کرده و آسیب‌پذیری‌­های بستر، موجب وارد آمدن آسیب به نرم‌افزار و سازمان نشود. برای استقلال نرم‌افزار باید تمامی‎پروتکل‌‌ها و تعاملات نرم‌افزار با بستر به‌صورت استاندارد پیاده سازی شده باشد. از جمله این نکات که بر امنیت نرم‌افزار بانکداری متمرکز مؤثر است عبارتند از:

آسیب پذیری در نرم افزارهای دیگر از جمله نرم افزارهای خودپرداز،کیوسک، اینترنت بانک ،و غیره محدودیت‎های امنیتی شیکه از جمله فایروال[1]، سیستم‎های تشخیص نفوذ.محدودیت‎های سیستم عامل از جمله نوع سیستم عامل،بسته‎های خدماتی سیستم عامل و سرویس‎های آسیب پذیر سیستم عامل محدودیت‎های پایگاه داده از جمله نوع پایگاه داده، تصدیق اصالت پایگاه داده، نسخه پایگاه داده(Meuter 2013 ,).

 

مطلب مشابه :  منبع آگهی و نیازمندیها : سایت دو فانوس

2-1-4-9-5 امنیت نرم‌افزار

منظور از امنیت نرم‌افزار وجود و پیاده‌سازی صحیح پارامترهای امنیتی در نرم‌افزار است. درواقع هر نرم‌افزار باید مکانیزم‌های امنیتی داشته باشد که سه فاکتور مهم امنیت یعنی محرمانگی، یکپارچگی و دسترس‌پذیری داده را حفظ کند. تنها پیاده‌سازی این پارامترها معیار نیست و بایستی پیاده‌سازی این پارامترها بر اساس استانداردهای موجود و صحیح باشد. از جمله این پارامترها می‌توان به این موارد اشاره کرد:

نرم‌افزار دارای پیاده‌سازی صحیح عملیات تصدیق اصالت باشد.

نرم‌افزار دارای پیاده‌سازی صحیح عملیات کنترل دسترسی باشد.

نرم‌افزار دارای پیاده‌سازی صحیح رمزنگاری داده‌های حساس در عملیات انتقال و ذخیره ‌سازی باشد.

نرم‌افزار دارای پیاده‌سازی صحیح عملیات ممیزی (Auditing) باشد.

نرم‌افزار دارای پیاده‌سازی صحیح عملیات ثبت وقایع(log) ‎باشد.

نرم‌افزار در برابر حملات شناخته شده مقاوم باشد(Meuter, 2013).

نرم‌افزار بایستی به‌صورت ماژول‌های مستقل پیاده‌سازی شده باشد تا در صورت آسیب دیدن هر یک از ماژول‌ها، بتوان آسان و سریع و بدون تأثیر در عملیات دیگر ماژول‌ها آن را اصلاح کرد. در صورت در دسترس بودن کد، باید کد نرم‌افزار مرور امنیتی شود.

باید نرم‌افزار مود ارزیابی و تست نفوذ قرار گیرد(Meuter, 2013).

 

2-1-4-9-6مدیریت امنیت

منظور از مدیریت امنیت، وجود امکاناتی در نرم‌افزار است که بتوان امنیت را مدیریت کرد. اگر این بخش وجود نداشته باشد، در صورت بروز مخاطرات سازمان نمی‌­تواند آن مخاطرات را مدیریت کند یا از بروز مجدد آن جلوگیری کند. می‌­توان این مشخصه‌­ها را برای مدیریت امنیت توسط نرم‌افزار متمرکز ذکر کرد:
باید بتوان سطوح دسترسی را به‌طور مناسب مدیریت کرد.

باید نرم‌افزار شامل بخش‌­های مانیتورینگ[2] برای اعلام هشدار حمله احتمالی باشد(Meuter, 2013).

[1] Firewall

[2] -Monitoring