نیازهای امنیتی یک بانک و بررسی امنیت در بانک به صورت ابری

امنیت بانکداری|سپهرنت ایرانیان

مقدمه:

بسیاری از اعتراضاتی که نسبت به پردازش ابری مطرح شده‌است، ریشه‌های احساسی دارد و در واقع نوعی عکس‌العمل افراد نسبت به این فناوری است

نیازهای امنیتی یک بانک و بررسی امنیت در بانک به صورت ابری

مقدمه:

بسیاری از اعتراضاتی که نسبت به پردازش ابری مطرح شده‌است، ریشه‌های احساسی دارد و در واقع نوعی عکس‌العمل افراد نسبت به این فناوری است .رایانش ابری یک سری مباحث امنیتی خاص خود را بوجود آورده است هم برای مشتری و هم برای ارایه دهندگان سرویسهای امنیتی را به دهندگان سرویسهای امنیتی میخواهند تا با استفاده از سرمایه گذاری در رایانش ابری به مدیریت شناسایی و دسترسی دستیابند چالش ارائه دهندگان سرویسهای ابری  برقراری امنیت محیطهای مجازی و همچنین برقراری امنیت اطلاعات اجاره کنندگان این سرویسها میباشد .

مدیریت شناسایی و دسترسی ها یک سری پردازشها و پشتیبانی فرا ساختارها میباشد برای ایجاد، مدیریت ، استفاده شناسایی دیجیتال و انجام سیستهای دسترسی .

نیازهای امنیتی بانکها در حالت کلی

امنیت اطلاعات

وقتی صحبت از امنیت اطلاعات میشود، انتظار داریم مثلث امنیت اطلاعات(محرمانگی،در دسترسپذیری و صحت و جامعیت) را پوشش بدهد. از منظر اجرا سه عامل اصلی در تمامی پروژههای IT درگیر هستند: نیروی انسانی، فرایندها و فناوری. توضیح مختصری در مورد این سه عامل و تاثیر آنها بر ISMS خواهیم داشت.banking-cloud-01

نیروی انسانی از یک طرف مهمترین و از طرف دیگر ضعیفترین عامل است. به این دلیل مهمترین است که ایجاد کننده یا اجرا کننده دو عامل دیگر نیروی انسانی است ولی چندان به آن توجه نمیشود. این در حالی است که اگر اطلاعرسانی و آموزش کافی داشته باشد، جلو بسیاری از موارد گرفته میشود.

فرآیندها و خط مشیهای سازمان در واقع شالوده ساختمان امنیتی هستند. بنابراین اگر این شالوده به طور صحیح ایجاد نشود، نمیتوان انتظار دستاورد خاصی داشت. فناوری عامل دیگری است که معمولا خیلی بیشتر از دو عامل دیگر به آن توجه میشود. وقتی صحبت از ارتقای امنیت میشود معمولا اولین چیزی که مد نظر قرار میگیرد سخت افزارها یا نرمافزارهای امنیتی است، این در حالی است که تاثیر آن به مراتب از دو عامل دیگر کمتر است. اگر فرایندها درست تعریف شوند و نیروی انسانی آموزش مناسب ببینند به مراتب بازدهی امنیتی بیشتری حاصل خواهد شد.

معماری امنیت اطلاعات

 در شکل زیر عناصر موثر در امنیت نشان داده شده است. عوامل، ویژگیها و اطلاعات به سه شکل وجود دارند، که عبارتند از: دادههای ذخیره شده، در حال پردازش یا در حال انتقال. مکعبهای کوچک یکی از این عوامل را نشان میدهد.

banking-cloud-02 در واقع امنیت در همه لایهها باید دیده شود و بحث End point securityمطرح است. نمیتوان گفت من وبسایت را امن طراحی میکنم ولی چون فیشینگ مربوط به کاربر است به من ربطی ندارد. در واقع اگر آگاهی در مشتری ایجاد نشود، قطعا عواقب آن تمام سیستم را درگیر خواهد کرد. اگر نگاه کنیم مدیریت اامنیت که تعامل بین انسان، فرآیندها و فناوری تعریف میشود ستون اصلی کار است که اگر از سیستم حذف شود، نباید انتظار خاصی داشته باشیم.

وقتی از مدیریت امنیت صحبت میکنیم چه مواردی را در بر میگیرد؟ مدیریت امنیت تمام فرایندها را از پایینترین سطح که فناوری است تا بالاترین سطح که تدوین راهبردهای کلان امنیتی است دربر میگیرد. اصولا دستیابی به امنیت بدون برنامهریزی و داشتن راهبردهای مشخص امکانپذیر نیست، این در حالی است که معمولا وقتی صحبت از امنیت میشود در بیشتر موارد فقط سطح پایین (فناوری) مد نظر قرار میگیرد. از مهمترین راهبردهایی که انتظار میرود مدیریت امنیت ایجاد کند مدیریت مخاطرات(ریسک) است. در همین رابطه یک اشتباه رایجی وجود دارد. معمولا سازمانها تمایل دارند بگویند ما امن هستیم. این در حالی است که وجود امنیت در دنیا مفهوم خاصی ندارد، آنچه میتوان گفت این است که سازمان مخاطرات و امنیت خود را مدیریت میکند.

نکات مهم:

* امنیت فقط فناوری نیست و آنچه سازمان را امنتر میکند، مدیریت امنیت است. مدیریت امنیت نیز جدای از مدیریت ریسک نیست، برای هیچ چیزی نمیتوان بودجه امنیتی تعریف کرد مگر اینکه ریسکهای آن مشخص شده باشد. یعنی اینکه برای هر هزینه باید مشخص شود اگر این هزینه صورت نگیرد چه چیزی را از دست میدهیم.

* امنیت یک زنجیره است، اگر به فرض مثال به عامل انسانی توجه نکنیم، قاعدتا این زنجیره به شکل محکم برقرار نخواهد بود.

چرا امنیت در بانکها مهمتر است؟

تا اینجا در مورد امنیت به عنوان یک موضوع کلی صحبت کردیم که در تمام بخشها مطرح است. اکنون میخواهیم بدانیم در بخش بانکی امنیت اطلاعات چه وضعیتی دارد؟

طبق یک پژوهش که در سال ۲۰۱۰ انجام شده است، در صدر عواملی که بانکها مشتاق به سرمایهگذاری در امر امنیت هستند، اعتماد مشتریان به چشم میخورد. بحث اعتماد شاید در هیچ صنعت دیگری اینقدر اهمیت نداشته باشد. ممکن است هک یک کارت ضرر مالی چندانی به بار نیاورد اما جنبه اعتماد عمومی آن خیلی ارزش دارد. سایر عوامل با اهمیت در این زمینه به ترتیب مباحث مالی، الزامات قانونی و تقاضای مشتریان است.

امنیت اطلاعات در صنعت بانکداری

برخی موارد امنیت اطلاعات در همه زمینهها مشترک هستند ولی بانکها نمیتوانند هیچکدام از آنها را نادیده بگیرند یا اهمیت کمتری قایل شوند. این موارد که بانکها باید توجه بیشتری بکنند عبارتند از: احراز هویت، صحت، دسترسپذیری و حفظ محرمانگی، مدیریت رخداد که از جنس فرآیندهاست، کنترل دسترسی و امنیت فیزیکی که هر کدام ملاحظات خاص خود را دارد. در موقع طراحی هر کدام از این فاکتورها در کنارشان باید مدیریت مخاطرات دیده شود. بحث آموزش و آگاهی رسانی اهمیت زیادی دارد ودر تمام راهنماها و استانداردهای امنیتی بر این امر تاکید شده است. تطابق با الزامات قانونی، تداوم کسب و کار و حفظ حریم شخصی و قابلیت اعتماد از دیگر مواردی است که بانکها باید توجه بیشتری به آنها نشان دهند.

به‌منظور درک علت باید مشکلات امنیتی را به بخش‌های کوچک‌تر تجزیه‌کنیم. در سازمان‌هایی که از سرویس‌های پردازش ابری استفاده می‌کنند، تمام مشکلات امنیتی در سه گروه اصلی جای می‌گیرند:
– 
امنیت پلتفرمی که در اقامتگاه سرویس‌دهنده ابری قرار دارد.
– 
امنیت ایستگاه‌های کاری (نقاط انتهایی) که در اقامتگاه کلاینت‌ها قرار دارد.
– 
امنیت داده‌هایی که از نقاط انتهایی به پلتفرم ارسال می‌شود.

آخرین نگرانی امنیتی یادشده که همان امنیت داده‌ای انتقالی است، عملاً با استفاده از تکنیک‌های کدگذاری، اتصالات ایمن و VPN حل شده است. تقریباً تمام سرویس‌های جدید ابری از این سازوکارها پشتیبانی می‌کنند و امروزه انتقال اطلاعات از نقاط نهایی به پلتفرم‌ها در یک فرآیند کاملاً ایمن انجام می‌گیرد.

بررسی امنیت در ابرها:

پلتفرم: مشکلات امنیتی مربوط به اعتبارسنجی و کارکرد سیستم
امروزه، بزرگ‌ترین کابوس مدیران IT وجود مشکلات امنیتی مربوط به عملکرد پلتفرم‌های سرویس‌دهنده است. برای اغلب این افراد، یافتن شیوه مناسبی برای تأمین امنیت سیستمی که امکان کنترل مستقیم آن وجود ندارد، فرآیند ساده‌ای نیست. پلتفرم سرویس‌های ابری به‌شکل یک سیستم متمرکز در اقامتگاه یک سازمان متفرقه‌ای‌است، بلکه اغلب در یک دیتاسنتر ناشناخته در کشوری نامعلوم قرار گرفته است. به عبارت دیگر، اصلی‌ترین مشکل امنیتی پردازش ابری از وجود اشکال در اعتبار (و اعتبارسنجی) سرویس‌دهندگان ناشی می‌شود و در واقع دنباله همان مشکلاتی است که در جریان محول کردن بخشی از امور سازمان‌ها به تأمین‌کنندگان خارجی بروز می‌کند؛ متخصصان و مدیران سازمان‌ها با محول کردن امور حیاتی مانند تأمین امنیت اطلاعات کاری خود به تأمین‌کنندگان خارجی نامأنوس هستند.  به هر حال می‌توان مطمئن بود که این مشکل نیز مانند مشکلات قبلی مربوط به تفویض اختیار انجام امور داخلی سازمان‌ها به تأمین‌کنندگان متفرقه رفع شده و تمام نگرانی‌های موجود درباره امنیت منابع از بین می‌رود.

حال این اظهارات برچه اساسی است؟ پیش از هرچیز، تأمین امنیت مرکز داده‌ای که دربرگیرنده منابع پردازشی هستند، برای سرویس‌دهندگان بسیار ساده‌تر است. علت این امر ویژگی توزیع‌شدگی (مقیاس) پردازش ابری است. از آنجا که سرویس‌دهندگان، خدمات خود را به تعداد زیادی از کاربران عرضه می‌کنند، امکان تأمین امنیت تمام کاربران را به‌طور همزمان دارند و در نتیجه می‌توانند از رویکردهای امنیتی مؤثرتر و پیچیده‌تر بهره بگیرند. البته، شرکت‌های گوگل و مایکروسافت نسبت به شرکت‌های کوچک و حتی مؤسسات بزرگی که از مراکزداده اختصاصی استفاده می‌کنند، منابع و امکانات بیشتری را برای تأمین امنیت اطلاعات در اختیار دارند.

دوم این که استفاده از سرویس‌های ابری بین سازمان‌های مشتری و سرویس‌دهنده همواره براساس کیفیت مورد توافق طرفین در قراردادهایی انجام می‌شود که تمام مسئولیت‌های سرویس‌دهنده را در رابطه با مشکلات امنیتی پیش‌بینی کرده‌اند. سوم این که ادامه کار سرویس‌دهندگان به‌طورمستقیم به سوابق کاری آنان مربوط است و به همین دلیل، همواره سعی می‌کنند امنیت اطلاعات را در بالاترین سطح ممکن تأمین کنند.

مشتری‌های پلتفرم‌های ابری علاوه بر مشکلات اعتباری و ارزیابی اعتبار، در مورد مشکلات امنیتی مربوط به نحوه عملکرد سیستم‌های ابری نیز نگرانی‌هایی دارند. با وجود این که بسیاری از سیستم‌های خانگی (در نتیجه تکامل درازمدت) از این ویژگی برخوردارند، هنگام استفاده از سرویس‌های ابری، اوضاع بسیار پیچیده‌تر می‌شود.

مؤسسه تحقیقاتی گارتنر در یک مقاله کوتاه با عنوان «ارزیابی خطرات امنیتی پردازش ابری» به بررسی هفت مورد از مهم‌ترین مشکلات امنیتی سرویس‌های ابری می‌پردازد. اغلب این مشکلات به نحوه عملکرد سیستم‌های ابری مربوط می‌شوند. مؤسسه گارتنر به‌ویژه بررسی سیستم‌های ابری را از جنبه‌های توزیع حق دسترسی به اطلاعات، قابلیت‌های بازیابی اطلاعات، پشتیبانی‌های تحقیقی و بازبینی‌های دوره‌ای توصیه می‌کند.

آیا محدودیتی وجود دارد که پیاده‌سازی عملی این ویژگی‌ها را غیرممکن کند؟ پاسخ قطعاً منفی است. هر اقدامی که امکان انجام آن در یک سازمان وجود دارد، انجام آن توسط یک سیستم ابری نیز امکان‌پذیر است. اصولاً مشکلات امنیتی به نحوه طراحی محصولات و سرویس‌های ابری بستگی دارند. پیش از ورود به بحث امنیت پلتفرم‌های پردازش ابری باید مشکلات قانونی و ممیزی مهمی را برطرف کنید. مشکل زمانی بروز می‌کند که تفکیک اطلاعات بین کلاینت یک سرویس‌دهنده در یک محیط ابری انجام می‌شود و این تفکیک معمولاً فرآیند اطمینان از رعایت قوانین مدون و استانداردها را پیچیده‌تر می‌کند. با وجود این که مشکل مذکور بسیار بااهمیت است، شکی وجود ندارد که این مشکل نیز دیر یا زود حل می‌شود. از یک طرف با توسعه پردازش ابری، فناوری‌های مورد استفاده برای نظارت بر اجرای قوانین نیز بهبود می‌یابد. از طرف دیگر قانون‌گذاران پیچیدگی‌های فنی محیط پردازش ابری را در قوانین جدی درنظر می‌گیرند.

به‌طور خلاصه، نگرانی‌های موجود در رابطه با امنیت اطلاعات تا جایی که به بخش پلتفرم از محیط پردازش ابری مربوط می‌شود، ما را به این نتیجه می‌رساند که بالاخره تمام مشکلات شناسایی‌شده توسط‌کاربران امروزی سیستم‌های ابری، به طور موفقیت‌آمیز برطرف خواهد شد. در پردازش ابری هیچ نوع محدودیت انتزاعی وجود ندارد.

نقاط انتهایی: ادامه مشکلات و وخیم‌تر شدن اوضاع
در یک «دنیای ابری» ایده‌آل از آنجا که اطلاعات درون تجهیزات ذخیره نمی‌شود، امنیت پردازش ابری در سطح پلتفرم و از طریق ارتباط با تجهیزات جانبی تأمین می‌شود. این مدل هنوز برای استفاده عملی مناسب نیست و اطلاعاتی که به پلتفرم می‌رسد، در حقیقت، در نقاط انتهایی سیستم ساخته، پردازش و ذخیره می‌شود.

به‌این ترتیب به نظر می‌رسد، تجهیزات جانبی محیط‌های ابری همواره درگیر مشکلات امنیتی خواهند بود. در حقیقت، براساس یک تئوری قوی‌تر این مشکلات به مرورزمان وخیم‌ترهم می‌شوند. برای درک بهتر علت ماجرا اجازه دهید بعضی از مدل‌های پردازش خانگی اطلاعات را در قالب نمودار با شرایط محیط‌ابری مقایسه‌کنیم (شکل‌های‌ ۳ و۴).

banking-cloud-03

شکل ۳- تهدیدات امنیتی مربوط به مدل سنتی اجرای نرم‌افزارها

banking-cloud-04

شکل ۴- تهدیدات امنیتی در یک محیط ابری سازمانی

در هر مورد، اغلب تهدیدات امنیتی از جانب شبکه‌ جهانی و ورود به زیرساخت سازمانی کلاینت ایجاد می‌شوند. در سیستم خانگی مشکل اصلی هنگام تعامل با پلتفرم بروز می‌کند، اما در محیط ابری نقاط انتهایی محافظت نشده دچار مشکلات امنیتی می‌شوند. چنان‌که پیش از این گفته‌شد، سطح امنیتی پلتفرم‌های‌ابری‌جهانی مانند گوگل و مایکروسافت به دلیل بهره‌مندی از امکانات و قابلیت‌های بسیار زیاد، متخصصان حرفه‌ای و منابع نامحدود بسیار بالاتر از سطح امنیتی است که توسط سیستم‌های مستقل سازمانی تأمین می‌شود. به همین دلیل، مهاجمان خارجی از بی‌نتیجه ماندن حمله‌های خود نسبت به سرویس‌دهندگان حفاظت شده اطمینان دارند.  در نتیجه، مجرمان دنیای مجازی حمله‌های خود را متوجه تجهیزات جانبی دنیای ابری می‌کنند. مفهوم اصلی پردازش ابری که شامل دسترسی همیشگی و بدون محدودیت مکانی به یک پلتفرم است، احتمال وقوع چنین وقایعی را افزایش می‌دهد.

با بررسی تعداد حمله‌ها به کامپیوترهایی که در نقاط انتهایی سیستم قرار دارند، سرویس‌های امنیتی اطلاعات سازمانی باید به گونه‌ای تغییر کنند که بتوانند از تجهیزات جانبی محیط ابری محافظت کنند. انجام این کار برای تأمین امنیت اطلاعات سازمانی حیاتی است.

منبع : http://www.ertebateamn.com