• امروز Saturday 25 Oct 2014
  • چالش¬های امنیتی نظام بانکداری الکترونیک

    E-mail Print PDF
    There are no translations available.

      روح الله کوثری لنگری-داوود وحدت-نصرالله مقدم چرکری

    چکيده:
    بهره¬گیری از مزایای تکنولوژی اطلاعات در تجارت الکترونیکی مستلزم شناخت کاملی از ویژگی¬ها و بسترهای حقوقی در قانون توسعه بانکداری الکترونیکی است. یکی از این زیرساخت¬های مهم در مقبولیت فرایندهای بانکداری الکترونیکی، امنّیت و کنترل رفتارهای غیرقانونی در این نوع سیستمها است. امنیّت به عنوان یکی از چالش¬های توسعه بانکداری الکترونیکی در جهت کاهش ریسک و زیان بانک¬ها مطرح بوده و از مهم¬ترین پارامترهای تضمین سلامت تراکنش¬های مالی محسوب می¬شود. هر سیستم بانکداری الکترونیکی باید عوامل تصدیق اصالت، محرمانگی، یکپارچگی، انکارناپذیری و دیگر پارامترهای امنیتی را در نظر داشته و تضمین کند که فقط افراد مجاز بتوانند به اطلاعات مجاز، محرمانه و حساب¬های مشتریان دسترسی داشته و سوابق معاملات، غیرقابل ردیابی و رسیدگی باشند. مسئله اعتماد در محیط بانکداری الکترونیکی مهم¬تر از بانکداری در محیط آفلاین است زیرا ایجاد و پرورش اعتماد وقتی مهم است که عدم اطمینان و ریسک فراگیر باشد.
    واژه های کلیدی:
    بانکداری الکترونیکی ، بانکداری اینترنتی ، امنیت ، تقلب ، پرداخت الکترونیکی

    1-   مقدمه
    لزوم تبدیل بانکداری سنتی به بانکداری الکترونیکی جهت کاهش هزینه¬ها و تسریع فرایندها امری واضح و مبرهن است. این روند برای بانک¬ها هم یک فرصت بالقوه و هم عاملی در جهت تهدید امنیت تراکنش¬ها و نقض حریم خصوصی کاربران بشمار می¬آید، چرا که در عصر ارتباطات، با پیشرفت فنآوری، تعداد نقاط آسیب پذیر و حملات کاربران غیرمجاز، سبب نگرانی مشتریان می¬شود]15[. در این راستا کنترل همه جانبه امنیت سامانه¬های پرداخت الکترونیکی و ردیابی آن نیز به نسبت پیچیده شده است]4[.
    بانکداری الکترونیکی در راستای تحقق اهداف استراتژیک تجارت الکترونیک و شکل¬گیری شبکه اینترنت، با چالش جدی و جدیدی پیرامون محرمانگی و جلوگیری از جرائم در فضای سایبر  مواجه است. اینکه چگونه این سامانه¬ها و با چه سطحی از دسترسی و امنیت، تراکنش¬ها را مورد پردازش قرار می¬دهند، درجه¬ای از مخاطره و آسیب¬پذیری را تعریف می¬کند که این درجه خطر، در مورد اینترنت که هویت کاربران آن قابل شناسایی نیست بیشتر است]12[. گرایش مردم به خرید آنلاین  روز به روز در حال افزایش است. مطابق مطالعه ای¬سی¬نیلسن که در سال 2005 اجرا شد، یک دهم مردم جهان به صورت آنلاین خرید می¬کنند]8[. آلمان و بریتانیا بیشترین خریداران آنلاین را دارند، و کارت اعتباری معمول¬ترین شیوه پرداخت(59 درصد) است. در حدود 350 میلیون تراکنش در هر سال به صورت گزارشی به وسیله بارکلی کارت، بزرگترین شرکت کارت اعتباری در بریتانیا در پایان قرن گذشته انجام شد]10[. تعداد وب¬سایت¬های تجاری موجود در ژوئن سال 2004 بیش از 51635284 وب¬سایت بوده است که نسبت به سال قبل 36 درصد افزایش داشته است]16[. بالطبع هرچه شمار کاربران خدمات آنلاین در پهنه جهان افزایش می¬یابند، فرصت¬ها برای سرقت مهاجمین به جزئیات سوابق عملکرد و اطلاعات مالی مشتریان و سپس ارتکاب به تقلّب  در حال افزایش است.
     لذا این روند عاملی در جهت تهدید امنیت تراکنش¬ها و نقض حریم خصوصی کاربران بشمار آمده و با پیشرفت فن¬آوری، تعداد نقاط آسیب پذیر و حملات کاربران غیرمجاز، نگرانی بسیاری را برای مشتریان اینترنتی و صنعت بانکداری بوجود می¬آورد]15[. اخیراً موسّسه  SAS، تخمین خود را از هزینه فریب در اقتصاد انگلستان از 14 میلیارد پوند به 18 میلیارد پوند در سال افزایش داده است. این اطّلاعات در حالی است که افت و خیز تقلّب و کلاهبرداری به عنوان یک پدیده کلی حدود 30% در سال افزایش می¬یابد]13و7[.
    2-   بانکداری الکترونیکی
    بانکدارى الکترونيکى عبارت است از فراهم آوردن امکاناتى براى کارکنان در جهت افزايش سرعت و کارايي آنها در ارائه خدمات بانکي در محل شعبه و فرآيند¬هاي بين¬شعبه¬اي و بين¬بانکي در سراسر دنيا و همچنین ارائه امکانات سخت¬¬افزاري و نرم¬افزاري مبتني بر شبکه و مخابرات براي تبادل منابع و اطلاعات مالي به صورت الکترونيکي است تا مشتريان بتوانند بدون نياز به حضور فيزيکى در بانک، در هر ساعت از شبانه¬روز(۲۴ساعته) از طريق کانال¬هاى ارتباطى ايمن، عمليات بانکى دلخواه خود را انجام دهند]3[.
    3-    مزایای بانکداری الکترونیکی
    در تحقیقات مختلف حوزه بانکداری الکترونیکی به ویژگی¬ها و مزایای بانکداری الکترونیکی اشاره شده است]5[. برخی از این مزایا در کوتاه مدت، برخی در میان مدت و تعدادی در بلندمدت محقق می¬شوند. رقابت یکسان، نگهداری و جذب مشتری از جمله مزایای بانکداری الکترونیکی در کوتاه مدت (کمتر از یکسال) هستند. در میان مدت(کمتر از 8 ماه) مزایای بانکداری الکترونیکی عبارتند از: یکپارچه¬سازی شبکه¬ها و پایگاه¬های مختلف، مدیریت اطلاعات، گستردگی طیف مشتریان، هدایت مشتریان به سوی شبکه¬های مناسب با ویژگی¬های مطلوب، کاهش هزینه¬ها، ارائه خدمات به مشتریان بازار هدف و ایجاد درآمد نیز از جمله مزایای بلندمدت بانکداری الکترونیکی هستند. به طور کلی مزایای بانکداری الکترونیکی را می¬توان به ویژگی¬هایی چون ایجاد و افزایش شهرت بانک¬ها در ارائه نوآوری، حفظ مشتریان به رغم تغییرات مکانی بانک¬ها، ایجاد فرصت برای جست¬و¬جوی مشتریان جدید در بازارهای هدف، گسترش محدوده جغرافیائی فعالیت و برقراری شرایط رقابت کامل را نام برد. بر اساس تحقیقات مؤسسه دیتا مانیتور،  مهم¬ترین مزیت بانکداری الکترونیکی عبارتند از: تمرکز بر کانال¬های توزیع جدید، ارائه خدمات اصلاح شده به مشتریان و استفاده از راهبردهای جدید تجارت الکترونیکی است. بانکداری الکترونیکی در واقع اوج استفاده از فنآوری جدید برای حذف دو قید محدودکننده زمان و مکان از خدمات بانکی است]14[.
    4-   مدل توسعه بانکداری الکترونیکی در کشور
    یکی از اهدف توسعه بانکداری الکترونیکی، کاهش و یا حذف الزام و اجبار افراد برای مراجعه به شعب برای دریافت خدمات بانکی است. از این طریق ضمن کاهش زمان، هزینه و انرژی، میزان کارائی، کیفیت و سرعت خدمات به نحو مطلوبی بالا می¬رود. اتوماسیون سامانه بانکی و یا در واقع توسعه بانکداری الکترونیکی موضوع ساده¬ای نبوده و نیاز به گذر از یک فرایند پیچیده و هدف¬دار سه مرحله¬ای است تا در نهایت ارائه خدمات مطلوب به مشتری صورت پذیرد. سطح اول: نیازمند تحول فکری در ساختار بانک¬هاست که با تغییرات اساسی در بینش مدیران در جهت تحول اساسی فرایندها و ساختار بدنه بانک¬ها شکل می¬گیرد. این امر با ورود سامانه¬ها، نرم¬افزارها و سخت¬افزاری رایانه¬ای صورت می¬پذیرد. سطح دوم: شبکه تبادل اطلاعات نام دارد که این سطح سامانه¬های ارتباطی داخل شعب و بین شعب یک بانک و بانک-های دیگر را شامل می¬شود که از طریق امکانات ارتباطی و سامانه¬های مخابراتی فراهم می¬آید و سطح سوم: با هدف اتوماسیون مجاری، ارائه خدمات نام گرفته که از طریق کانال¬های مختلف مورد بهره¬برداری قرار گرفته است]3[.

     

     

     

    شکل2-3- مدل توسعه بانکداری الکترونیکی
    عوامل مؤثر بر توسعه بانکداری الکترونیکی در دو طبقه کلی عوامل نرم و سخت قابل طبقه¬بندی است]3[. عوامل نرم آنهایی هستند که اندازه¬گیری و ارزیابی آنها ضمن دشواری بر بلندمدت تأکید دارند که فرهنگ، آگاهی، روابط¬کاری، اعتماد، تغییرپذیری، امنیت، سازماندهی و آموزش از جمله این عوامل هستند. اما عوامل سخت بیشتر سیستم¬گرا بوده و نقشی حمایتی برای اعمال عوامل نرم دارند. زیرساخت¬های فنی و اقتصادی، تأمین هزینه¬های توسعه شبکه، سرمایه¬گذاری¬ها، تهیه نرم¬افزار و سخت¬افزارهای مربوطه و مسائلی از این جمله عوامل سخت بشمار می¬آیند.

    جدول2-6- موانع و شاخص¬های استقرار و توسعه بانکداری الکترونیکی
    مانع شاخص
    موانع فنی و تکنیکی
    Technological
    Barriers * میزان دسترسی بانک¬ها به شبکه وب
    * سرعت خطوط مخابراتی در بانک ها
    * تعداد مراکز ارائه دهنده خدمات اینترنت
    * امکانات نرم افزاری و سخت افزاری موجود
    * پهنای باند خطوط اینترنت
    * کیفیت دانش فنی متخصصان در زمینه IT و eB
    موانع
    فرهنگی و اجتماعی
    CulturalSocial
    Barriers * میزان گستردگی فرهنگ استفاده صحیح از امکانات IT و eB
    * میزان آگاهی ذینفعان از مزایای eB
    * میزان ترس از وابستگی به سایر کشورها جهت بهره¬مندی از فنآوری eB
    * میزان مقاومت از سوی ذینفعان نظام سنتی در برابر eB
    موانع مدیریتی
    Managerial Barriers * میزان شفافیت در سیاست¬گذاری
    * میزان جابجایی و تغییر مدیران و تصمیم¬گیران
    * میزان هماهنگی فرابخشی
    * وجود چندگانگی مراکز تصمیم¬گیری
    * وجود مدیریت راهبردی و بلندمدت
    موانع مالی
    Financial Barriers * میزان تامین هزینه¬های سرمایه¬گذاری در بستر مخابرات
    * میزان فراهم نمودن هزینه¬های اتصال به وب
    * میزان هزینه¬های توسعه شبکه¬های ماهواره¬ای
    * میزان تامین هزینه¬های بروزرسانی شبکه¬ها

    5-   چالش¬های توسعه بانکداری الکترونیکی در ایران
    ایجاد و توسعه بانکداری الکترونیکی در کشورمان با وجود زیرساخت-های اقتصادی و اجتماعی موجود، نگرانی¬ها و مشکلات متعددی را به وجود می¬آورد که به عوامل بازدارنده عملیاتی، اقتصادی، فرهنگی، آموزشی و اجتماعی تقسیم می¬شوند]6[. عدم تحقق هر یک از این عوامل چالشی جهت دستیابی بانکداری الکترونیکی محسوب می¬شود که می¬توان به سه دسته از این چالش¬ها در ایران اشاره نمود:
    5-1-       چالش¬های قبل از تحقق سامانه
    * عدم توسعه طرح¬های مطالعاتی و نیازسنجی جهت پیاده¬سازی فنآوری¬های جدید
    * عدم گزینش و پیاده¬سازی فنآوری با بالاترین کارایی در جهت رفع نیازها
    * نبود فرهنگ پذیرش و دانش کم بانک¬ها در خصوص بانکداری و پول الکترونیکی
    * عدم تغییر و نگرش سنتی سیستم در خصوص مهندسی مجدد  فرآیندها
    * ضعف مدیریت در بکارگیری متخصصان حرفه¬ای در بخش فنآوری اطلاعات
    5-2-      چالش¬های هنگام تحقق سامانه
    * وجود زیرساخت¬های ضعیف
    * کمبود حمایت مالی و بودجه
    * فقدان یا عدم حمایت مؤسسه خصوصی همانند بیمه از بانکداری الکترونیکی
    * نبود محتوای  لازم و کاربرپسند
    5-3-     چالش¬های پس از تحقق سامانه
    * نبود قانون و محیط حقوقی لازم و عدم استناد¬پذیری ادلّه الکترونیکی
    * عدم اطمینان  و قابلیت اطمینان برای کاربران
    * عدم وجود دسترسی¬های امنیتی بستر امضای دیجیتال و زیرساخت کلید عمومی
    * عدم تمایل افراد به فاش نمودن مسائل اقتصادی خود(خودسانسوری)
    بدون شک فراهم شدن بسترهای لازم جهت تحقق موارد یادشده مسیری را برای پذیرش بانکداری الکترونیکی تعیین نموده که در صورت فقدان آن، شکست فنآوری ارائه خدمات الکترونیکی بانک قطعی پیش¬بینی می¬شود]6[.


    6-    رویکرد چالش امنیت در بانکداری الکترونیکی
    مهم¬ترین چالش سیستم¬های پرداخت الکترونیکی، ایجاد و حفظ امنیت برای تراکنش¬ها است. بر این اساس توجه به سه عامل امنیتی در سیستم های پرداخت الکترونیکی ضروری است. این سه عامل عبارتند از: 1-شناسایی مشکلات امنیتی مشتریان2-امنیت فروش مجازی در انتقال اطلاعات از مرورگرها به سرویس¬گیرها و انتقال به بانک3 -طراحی مناسب وب¬سایت¬ها و صفحات وب و رمزگذاری مناسب آنها]2[.
    با توجه به اینکه امنیت در زیرساخت¬های فنی سازمانی و در سطح تراکنش¬های مالی از بایدهائی است که اعمال آن در جهت فرایند پرداخت الکترونیکی تضمین می¬شود عملاً تکمیل پروتکل¬های امنیتی در لایه¬های مختلف سایت¬های امنیتی خصوصاً در سطح خدمات اینترنتی به دنبال پاسخ به سه مشکل اصلی در فضای ایمن مالی است:
    الف- کلاهبرداری
    چگونه تضمین کنیم که با ورود مشتری به سایت و انجام معامله در آن، شماره رمز کارت اعتباری وی مورد سرقت و جعل قرار نخواهد گرفت؟
    ب- استراق سمع
    چگونه تضمین کنیم که اطلاعات شماره حساب مشتری هنگامی که برای یک معامله امن در وب اقدام می کند، قابل دستیابی برای متخلفان نیست؟
    ج- دگرگونی اطلاعات
    چگونه تضمین کنیم که اطلاعات شخصی مشتری توسط متخلفان قابل تغییر نیست؟

    7-     زیرساخت¬های فناوری سیستم پرداخت الکترونیکی
    7-1-       زیرساخت های قانونی سیستم پرداخت الکترونیکی
    یک سیستم پرداخت تنها زمانی می¬تواند به طور موفقیت¬آمیزی مورد استفاده قرار گیرد که در یک محیط قانونی امن اجرا شود. زمانی یک سیستم پرداخت به خوبی عمل می¬کند که به طور واضح چهارچوب حقوقی و قانونی، اختیارات و الزامات طرف¬های درگیر در سیستم پرداخت الکترونیکی مشخص و تعریف شده باشند. باید طرفین اعتماد و اطمینان داشته باشند که حقوقشان ضایع نمی¬شود و اگر اشتباهی صورت پذیرد از لحاظ قانونی قابل رفع است]9[.
    7-2-     زیرساخت¬های امنیتی سیستم پرداخت الکترونیکی
    یک سیستم پرداخت الکترونیکی مناسب باید از پروتکل¬های امنیتی شناخته شده استفاده نماید، زیرا مسائل امنیتی یکی از مولفه¬های اساسی سیستم¬های پرداخت الکترونیکی بشمار می¬آید. در این خصوص سیستم پرداخت باید ویژگی¬های زیر را به لحاظ امنیتی داشته باشد]9[.
    7-2-1-       محرمانگی
    پرداخت الکترونیکی زمانی می¬تواند محرمانگی و قابلیت اطمینان خود را حفظ نماید که انتظارات و توقعات امنیتی بیشتری را برآورده سازد. یکی از روش¬های معمول اما نه به عنوان مکانیزم دائمی، استفاده از روش¬های رمزگزاری توسط کلیدهای مشترک یا عمومی است]3[.
    7-2-2-       هویت¬سنجی
    هویت¬سجی یا تائید هویت، به این معنی است که اگر مولفه¬ای بخواهد با مؤلفه دیگری ارتباط برقرار کند، هر یک از آنها نیاز دارند هویت طرف دیگر برایشان به اثبات رسیده باشد و وظیفه هویت¬سنجی، تضمین این مهم است. هویت¬سنجی در جواب این پرسش طرح می شود: آیا فرستنده درخواست و یا جواب دهنده به درخواست، همان شخص یا مؤلفه¬ای است که ادعا می¬کند یا نه ]3[.فرایند هویت¬سنجی به طوری نظام¬مند از طریق چهارچوبی تحت عنوان سیستم مدیریت هویت، قابل کنترل است]4[.
    7-2-3-       اعتبار¬سنجی
    اعتبار¬سنجی یا معتبر¬شناسی یعنی یک مولفه که هویت آن برای سرویس¬دهنده مشخص شده، تا چه اندازه از نظر این سرویس¬دهنده معتبر است و چه اطلاعاتی را می¬تواند درخواست کند.]3[.
    7-2-4-      استاندارد¬سازی
    استانداردها قابلیت تبادل اطلاعات را بین سامانه¬های مختلف، ممکن ساخته و به کاربران پرداخت الکترونیکی توانایی خرید و دریافت اطلاعات را صرف¬نظر از اینکه، این درخواست از چه سیستم، شبکه، یا مکانی صادر شده، را فراهم می¬سازد]4[.
    7-2-5-       رد انکار
    نقض انکار یعنی اینکه اگر فرستنده پیامی را فرستاده، نتواند منکر ارسال آن شود و در این صورت
    گیرنده پیام تضمین کند که اگر درخواستی از طرف فرستنده ارسال شد و او آن را انجام داده باشد آنگاه فرستنده نمی¬تواند منکر قضیه شود]3[.
    7-2-6-       صحت
    یعنی اینکه اطلاعات دریافت شده توسط گیرنده، باید دقیقاً با اطلاعات ارسالی برابر باشد. داده¬های باید در تمام مراحل فعالیت سیستم پرداخت الکترونیکی محافظت شوند. استفاده از روش¬های مختلف رمزنگاری از مهم¬ترین راه¬های ایجاد و حفظ محرمانگی محسوب می-شود]4[.
    7-2-7-      در دسترس بودن
    در دسترس بودن به معنای فعال بودن مداوم سیستم پرداخت الکترونیکی در ارائه خدمات است و در شرایط مختلف، بدون توجه به موقعیت جغرافیایی، اجتماعی، اقتصادی و ملیت و نژاد استفاده کرد]4[.
    7-2-8-      کارائی
    هر سیستم پرداخت الکترونیکی باید در هر مرحله از فرایند خدمات بتواند، بهترین عملکرد را داشته باشد. برای رسیدن به سطحی از کارائی قابل قبول، عواملی مانند سرعت بارگزاری وبگاه، کنترل ترافیک سامانه، زمان پردازش اطلاعات بسیار مهم هستند]4[.

    8-    طبقه¬بندی جرائم در بانکداری الکترونیکی
    افراد مهاجم با انگیزه¬های متفاوتی همچون: کنجکاوی، اهداف مالی یا دستیابی به اطلاعات شخصی یا سازمانی دست به تقلب زده و در نتیجه به سامانه¬های مالی نفوذ پیدا می¬کنند. عموماً جرائم الکترونیکی به جرائمی اطلاق می¬شود که به نوعی با تجارت الکترونیکی مرتبط باشد و ارتباط بین جرم و قربانی تحت یک شبکه رایانه¬ای انجام شود]14[. جرائم الکترونیکی به چهار دسته تقسیم می¬شوند:
    8-1-     جعل عنوان
    جعل عنوان از جمله موارد سوءاستفاده بشمار می¬آید که از مشخصه-های فردی مشتری مانند: نام، شماره ملی، شماره کارت اعتباری، به منظور انجام امور مجرمانه یا کلاهبرداری، سوءاستفاده شود. مطابق با گزارش¬های ارائه شده میزان خسارت ناشی از جعل عنوان در سال 2005 در انگلستان معادل 72/1 میلیارد پوند برآورد شده است]3[.
    8-2-     بدست آوردن حساب
    این نوع کلاهبرداری یکی از انواع رایج جعل عنوان بوده و فرد شیاد پس از بدست آوردن اطلاعات مشخص، شماره حساب و تغییر نشانی ایمیل رسمی طعمه خود، با ارسال ایمیل به بانک از گم¬شدن یا دزدیده شدن کارت، تقاضای کارت جدیدی می¬نماید. کارت جدید و صورت حساب به نشانی شیاد ارسال خواهد بود. این نوع از کلاهبرداری بیشتر در مورد کارت¬های اعتباری صادق است.
    8-3-     بیراهه¬کشانی
    حمله نفوذگر  به منظور تغییر ترافیک وب سایت به یک وب سایت جعلی دیگر است. در این بخش از شیادی، با دستکاری سرویس¬دهنده دامین  توسط فرد شیاد که در اصطلاح فنی «سمی شدن » سرویس دهنده دامین معروف است، منجر می¬شود. کاربر به تصور ورود به سایت اصلی بانک، وارد سایت جعلی فرد شیاد شده و اطلاعات محرمانه بانکی اعم از شماره حساب، شماره کارت و کلمه عبور را وارد می¬نماید و آنگاه فرد شیاد به راحتی می¬تواند نسبت به سوءاستفاده اقدام نماید]3[.
    8-4-     سرقت هویت
    فرایندی است که شیاد را قادر می¬سازد تا با جلب اعتماد کاربر، اطلاعات شخصی، کلمه عبور و اطلاعات مالی محرمانه را در اختیار او قرار دهد. در این فرایند اطلاعات در قالب فرم¬ها با عناوین مختلف از جمله بانک، مؤسسه¬های وابسته به بانک یا دولت، برای طعمه ارسال می¬شود و طعمه بدون اطلاع از اینکه فرم دریافتی جعلی(و فقط شبیه فرم اصلی است) ناآگاهانه اطلاعات محرمانه مورد نظر را در آن وارد و برای شیاد ارسال می¬نماید]3[.
    9-   معماری سیستم پرداخت بانکداری الکترونیکی
    هر سيستم بانكداري الكترونيكي چهار وظيفه عمده را در جهت ارائه خدمات الکترونیکی بعهده دارد:
    1- بانك براي مبادله اطلاعات با مشتريان  نياز به يك رابط سرور دارد. به ‌اين رابط در همه محيط‌هاي WWW, ATM و WAP نياز است.
    2- بانك بايد هويت مشتري و درستي پاسخ‌هاي او را بررسي كند. اين كار توسط سرور تاييد  انجام مي‌پذيرد.
    3- عمليات مالي توسط سرور تراكنش ارزيابي مي‌شود. اين سرور يك رابط ساده ميان كاربر و بانك را نيز فراهم مي‌آورد.
    4- سرانجام كامپيوتر سرور  تراكنشي را انجام داده، پيشينه مالي مورد نياز را نگهداري مي‌كند.
    10-    پروتکل¬های امنیتی در سيستم بانكداري الكترونيكي
    10-1-      پروتکل لایه سوکت¬های امن(SSI) و (S-HTTP)
    پركاربردترين راه ارتباط با بانك براي كاربري كه يك كامپيوتر شخصي با اتصال اینترنت دارد از طريق يك مرورگر وب  صورت می¬گیرد. بسیاری از تولیدکنندگان بزرگ محصولات اینترنتی، از یک پروتکل رمزنگاری، به نام پروتکل لایه سوکت¬های امن  که توسط شرکت Netscape، بمنظور ارسال اسناد محرمانه از طریق اینترنت ایجاد شده، استفاده می¬کنند. SSL از یک کلید خصوصی برای رمزنگاری داده¬های ارسالی استفاده می¬کند. بسیاری از وب سایت¬ها از این پروتکل برای گرفتن اطلاعات محرمانه از کاربر، مانند رمز و شماره کارت¬های اعتباری، استفاده می¬کنند. این پروتکل که بین لایه-های پروتکل سطح لایه کاربردی و پروتکل لایه انتقال قرار می¬گیرد برای جلوگیری از استراق سمع، تحریف کردن و جعل پیام طراحی شده است. پروتکل دیگر برای ارسال ایمن داده ها روی وب(S-HTTP) است که نسخه تغییر یافته¬ و ایمنی از پروتکلHTTTP می¬باشد. این پروتکل توسط شرکت Technologies Enterprise Integration طراحی شده است. در عین اینکه پروتکل SSL یک اتصال مطمئن بین مشتری وسرور ایجاد کرده و انتقال ایمن داده را تضمین می¬کندS-HTTP به نحوی طراحی شده است که پیام های جداگانه را به صورت ایمن ارسال کند. بنابراین SSL و S-HTTP را می¬توان به دید تکنولوژی¬های مکمل]1[.
    با استفاده از روش¬های رمزنگاری و امضاهای دیجیتال این پروتکل¬ها:
    الف- به مشتری و سرور اجازه می¬دهند تا یکدیگر را تصدیق نمایند.
    ب- به دارندگان سایت¬های وب اجازه می¬دهند تا دسترسی  به سرورها، دایرکتوری¬ها، فایل¬ها یا سرویس¬های خاصی را محدود سازند.
    ج- اجازه می¬دهند تا اطلاعات حساس(شماره کارت¬های اعتباری) بین مشتری و سرور مبادله شوند، در حالی که، برای افراد دیگر غیرقابل دسترسی باشند.
    د- تضمین می¬کنند که داده¬های تبادل شده بین مشتری و سرور قابل اعتماد هستند.
     10-2-     پروتکل WAP
    هنگامي‌كه مشتري، موبايلی با امكاناتWAP داشته باشد، مي‌تواند با ارتباط بي‌سيم به بانك متصل شود. WAP در اصل يك ابزار بی¬سيم براي استفاده از پروتكل اينترنتي يعني TCP/IP است. براي اتصال بي‌سيم به اينترنت، به پراكسيWAP يا گيت‌وي  نياز است تا پروتكلWAP را به پروتكلTCP/IP ترجمه و تبديل كند. همچونwww، رابط كاربر سيستم بانكداري الكترونيكي، يك مرورگر كوچك در تلفن همراه است. ارتباط ميان تلفن همراه و پراكسيWAP  با پروتكلي كه در اينترنت به‌كار مي‌رود، محافظت مي‌شود. اختلاف عمده در سيستم بانكداري بر مبنايWAP، اين است كه ارتباط نقطه‌به‌نقطه بین مشتري و وب‌سرور بانك وجود نداشته و اصولا غیرقابل اعتماد است]1[.
    10-3-      پروتکل ايمن SSL/TLS/WTLS
    پروتکل SSL/TLS/WTLS يك كانال ارتباطي ايمن را ميان مشتری و بانك فراهم مي‌آورد. اين بدان معني است كه داده انتقال يافته از يك سو به سوي ديگر، كاملا امن و درست خواهد بود و از تداخل و دستكاري اطلاعات توسط شیادان جلوگيري مي‌كند(تاييد داده‌ها). بانك هميشه احراز هويت مي‌كند و كاربر هم نياز به شناسايي دارد. بسياري از سيستم‌هاي بانكداري الكترونيكي به خصوصيات كانال امنيتي اعتبارسنجي(تشخيص هويت) مشتريان متكي نيستند، بلكه مكانيزم تشخيص هويت مشتري را در بالاي اين كانال امنيتي قرار مي‌دهند. دستاورد این پروتکل¬ها اين است كه به‌سادگي پروتكل‌هاي ارتباطي ديگر مانندhttp را نيز به‌كار مي‌گيرند. اين پروتكل‌ها تنها يك كانال امن فراهم مي‌كنند، اما امكان عدم انكار را فراهم نمي‌آورند. در طرف گيرنده، داده فرستاده شده، كانال امن را ترك مي‌كند و حفاظ رمزنگاري از گردونه خارج مي‌شود و هيچ امضاي ديجيتالي نيز در طرف داده كاربر وجود ندارد. بنابراين سيستم بانكداري الكترونيكي بايد مكانيزم "انكار ناپذيري" را در بالاترین كانال امنيتي خود جاي دهد]1[.
    10-4-      معاملات الکترونیک امن( SET) و تکنولوژی معاملات امن( STT)
    پروتکل مبادلات الکترونیکی امن یک استاندارد باز برای پردازش معاملات کارت¬های اعتباری بر روی اینترنت می¬باشد که با همکاریMastercard,Visa,Microsoft,Netscape ایجاد شده است. هدف SET این است که معاملات با کارت اعتباری بر روی اینترنت، با همان سادگی و ایمنی که در فروشگاه¬ها انجام می¬گیرند، باشد. برای حفظ محرمانه بودن، معاملات طوری تقسیم می¬شود که فروشنده به اطلاعات کالای مربوط به نحوه پرداخت مشتری را در اختیار ندارد. به طور مشابه، صادرکننده کارت اعتباری دسترسی به قیمت کالا را دارد، ولی دسترسی به اطلاعاتی مربوط به نوع کالا را ندارد. SET از گواهینامه¬های دیجیتال برای تصدیق صاحب کارت، تصدیق اینکه فروشنده با مؤسسه اعتباری ارتباط دارد و غیره، استفاده می¬کند]1[.
    10-5-      سیستم اعتبارسنجي مشتری
    تامين امنيت كانال ارتباطي از مشتری تا بانكي كه اعتبار دارد تنها بخشي از سيستم امنيت بانكداري الكترونيكي است و بخش‌هاي ديگري هم در اين كار وجود دارد]11[.
    10-5-1-      موجوديت در برابر اعتبارسنجي تراكنش
    بايد يك تفكيك مهم ميان تصديق موجوديت و تصديق تراكنش‌ها قائل شد. تصديق موجوديت يعني اين‌كه مشتري تصديق مي‌كند كه آغاز به برقراري ارتباط با بانك كرده است. اما تصديق تراكنش يعني آن‌كه همه تراكنش‌ها در طول اين تماس توسط مشتري تاييد مي‌شود. بسته به مكانيزم اعتبارسنجي، تصديق تراكنش مي‌تواند انكار ناپذيري را فراهم آورد، اما در تصديق موجوديت اين امكان فراهم نمي‌شود.
    10-5-2-     مكانيزم تصديق
    10-5-2-1-     رمز با طول ثابت
    اکثر بانک¬ها هنوز براي تاييد كاربر در سيستم‌هاي بانكداري الكترونيكي، متكي به رمز با طول ثابت هستند. اين رمز ممكن است يك شماره شناسايي شخصي( PIN) يا يك رمز بر مبناي حروف و ارقام بي‌ربط به مشخصات كاربر باشد تا به‌سادگي حدس زده نشود و امنيتي را در برابر رسوخ‌گران فراهم آورد و ممكن است كه بانك هر از گاهي مشتري بخواهد كه رمزش را تغيير دهد. رمز با طول ثابت بيشتر براي تشخيص هويت مشتري به‌كار مي‌رود و كمتر براي احراز اعتبار تراكنش‌ها به‌كار برده مي‌شود]11[.
    10-5-2-2-        رمز پويا 
    گاهي از اوقات، بانك‌ها ليستي از رمزهاي يك‌بارمصرف را براي كاربران خود مي‌فرستند. اين رمزها تنها يك‌بار بكار مي‌روند و امنيت بالايي دارند. اما اشكال عمده در به‌يادسپاري آنها است. واژه‌اي كه بانك‌ها به‌كار مي‌برند فهرست اعداد مخدوش ، بيشتر براي احراز اعتبار موجودي و شماره تراكنش براي تاييد تراكنش‌هاي مستقل است. برخي از سيستم‌ها آميزه‌اي از رمز‌هاي ثابت و پويا را بكار مي‌برند: رمز ثابت براي احراز اعتبار موجودي و رمز پويا براي تاييد تراكنش‌ها]11[.
    10-5-2-3-     پرسش/ پاسخ 
    ايده پرسش و پاسخ اين است كه كاربر با ارايه برخي اطلاعات محرمانه شخصي، خود را از طريق احراز اعتبار موجودي به بانك معرفي مي‌كند. البته نه با فرستادن مستقيم اين اطلاعات، بلكه با پرسش و پاسخ تصادفي، هر بار بخشي از اطلاعات سري را به بانك مي‌دهد و بانك با استفاده از جواب‌هاي دريافتي مشتري را شناسايي مي‌كند. طرح‌هاي متقارن و غيرمتقارن سيستم پرسش/پاسخ وجود دارد. امضاي ديجيتالي در پرسش پاسخ‌هاي تصادفي نيز، نمونه غيرمتقارن است. اين طرح‌ها بيشتر با رمزهاي سخت‌افزاري پياده‌سازي مي‌شود.
    10-5-2-4-     امضاي ديجيتالي
    در كنار احراز هويت موجوديت، امضاي ديجيتالي نيز مي‌تواند براي تاييد تراكنش به‌كار رود. اين امن‌ترين راه جايگزين است، اما از مرورگرهاي امروزي، تنها نت‌اسكيپ مكانيزم جاوااسكريپت را براي استفاده از امضاي ديجيتالي در جايي مانند محتواي يك فرم  فراهم آورده است. اغلب، كليد امضاي خصوصي روي كامپيوتر كاربر ذخيره شده، تنها با يك رمز حفاظت مي‌شود. افزون بر اين، كليدهاي رمزنگاري در نرم‌افزار بسيار آسيب‌پذير است و اطمينان روش رمز پويا بيش از رمز با طول ثابت است]1[.
    10-5-2-5-   مجوزهاي سخت‌افزاري 
    برخي از مكانيزم‌هاي ياد شده مي‌تواند با روش مجوز سخت‌افزاري پياده‌سازي شود. كليدهاي امضاي ديجيتالي خصوصي براي احراز هويت تراكنش روي كارت‌هاي هوشمند  ثبت و نگهداري گردد. به‌دليل هزينه‌اي كه كاربرد كارت هوشمند براي كاربران دارد، اين روش كمتر به‌كار مي‌رود. اما كارت هوشمند براي تاييد هويت در پول الكترونيكي و كارت شناسايي كاربرد دارد.
    11- نتیجه¬گیری
    با پيشرفت فناوري بيشتر فعالیت¬های مالی نيز به‌سوي برخط شدن پيش مي‌روند و این موضوع چالشی اساسی را در جهت توسعه و صنعت مبادلات الکترونیکی تعریف می¬کند. بانكداري الكترونيكي يكي از مهم‌ترين نمونه‌هاي اين روند است. نخستين موضوع، امنيت و ايجاد يك كانال امن مخابراتی است تا تبادل يكپارچه و با اطمينان را ميان كاربر و بانك تضمین کند. دومين موضوع مهم، احراز هويت كاربر در آغاز ارتباط وي با بانك است. درباره نخستين موضوع بايد گفت كه بيشتر سيستم‌هاي بانكداري الكترونيكي امروزي متكي به پروتكل SSL/TLS/WTLS هستند. اگرچه برخي راه‌حل‌هاي ديگر هم وجود دارد، اما استفاده از اين پروتكل به‌خاطر آن ‌كه بيشتر مرورگرها آن‌را پشتيباني مي‌كنند مشهورترين روش است. درباره موضوع دوم، بايد گفت كه رمز‌هاي ثابت همچنان به‌گستردگي به‌كار خواهند رفت، زيرا كاربردي ساده دارند، اما از ديدگاه امنيتي، رمزنگاري كليد عمومي بهترين راه‌حل است. كارت‌هاي هوشمند و كارت‌خوان‌ها نيز، راه‌حلي گران را ارايه مي‌كنند و شايد بهترين راه كه هماهنگي ميان هزينه و امنيت دارد مجوز سخت‌افزاري باشد. حتي بهترين راه‌حل هم بستگي به اين دارد كه سيستم مدیریت امنیت سامانه¬های موجود تا چه ‌اندازه قابل اطمينان است و این مهم تابع و پیش¬شرطی جهت اعتماد مشتری بوده و راه رشد و توسعه خدمات بانکداری الکترونیکی را فراهم می¬سازد.

    مراجع
    [1] اله یاری فرد، محمود(1384)، خدمات بانکداری الکترونیک و نیازهای اجرایی آن، پژوهشکده پولی و بانکی، چاپ اول، صفحه 50-96
    [2] جمشیدی، مریم(1380)، روش های پرداخت در اینترنت، ماهنامه تدبیر، شماره115، صفحه96-97
    [3] حسنی.ف وسلطانی.س وضرابیه.ف(1387)، "مدیریت بانکداری الکترونیک"، انتشارات سبزان، چاپ اول، صفحه 143-170
    [4] درودچی.م(1386)، "مدل سازی اعتماد در بانکداری اینترنتی". اولین کنفرانس بین المللی بانکداری الکترونیکی تهران
    [5] سقطچی.ر(1385)، بانکداری الکترونیکی و سیرتحول آن در ایران، ماهنامه تدبیر، شماره172
    [6] کلباسی.ح(1380)، "تجارت الکترونیکی از رویا تا واقعیت" ، فصلنامه بانک صادرات، شماره 17
     
    [7] Dorrington, P, (2003). “Detecting and eliminating the risk of Fraud”, SAS white paper, May, 2003.
    [8] Global Consumer Attitude Towards On-Line Shopping, http://www2.acnielsen.com/reports/documents/2005_cc_online shopping.pdf, Mar. 2007.
    [9] Georgios I.Doukidis,(2005), “Electronic Payments on E-Invoicing: Opportunities, Challenges and Security Issues”, Athens University, www.ebusiness-watch.org.
    [10] Kelly, C, (2003). Electronic Government Strategics , Meta Group, advisory Service. 
    [11] Liao, Shaogi & other(1999), “The Adoption of Virtual Banking: An Emperical Study”, International Journal of Information Management, Vol.19, pp: 63-74.
    [12] Phua, C. W. C,(2003). Investigative Data Mining in Fraud Detection. Schol of Business Systems. Moash University.
    [13] SAS Institute,(1996).”Using Data Mining Techniques for Fraud Detection”: A Best Practices Approach to Government Technology Solutions, Whitepapers. http://www.sas.com.
    [14] Shah, M. H., Branganza, A., Khan, S. & Xu, M,(2005). “A survey of Critical Success Factors in e-Banking”. European and Mediterrance on information Systems.
    [15] Simpson, J,(2002).”the impact of the internet in banking”: observations and evidence from developed and emerging markets Telematics and Informatics 19, pp:315-330.
    [16] UNCTAD,(2004). E-commerce and Development Report, Geneva and New York: United nations Publication. Derived from: www.unctad.org/e-commerce Accessed:9 mar 2005

     

     

     

     

     

    Tags:
    Latest Articles

    نمونه شماره 1

    نمونه شماره 2

    نمونه شماره 3

    نمونه شماره 4