سیستم های بانکداری الکترونیکی این امکان را برای کاربر فراهم می کند تا سریع و آسان کلیه کارهای بانکی خود را از طریق تلفن ثابت، تلفن همراه(WAP)، دستگاه های خود پرداز(ATM) و یا اینترنت انجام دهد. باگسترش فناوری انواع سیستم های بانکداری الکترونیکی نیز ایجاد شده است که هر یک از آنها ابعاد تازه ای را در زمینه تبادل اطلاعات میان کاربر و بانک ارایه کرده که از ATMها می توان به عنوان نخستین سیستم شناخته شده در بانکداری الکترونیک اشاره کرد. ۳۰۰ هزار پایانه کارت اعتباری سهم ایران از ۳۷ میلیون پایانه در جهان بسیاری از کارشناسان دستگاه های خودپرداز را سرآغازی در بانکداری الکترونیکی می دانند.
عبدالحمید منصوری، معاون فناوری اطلاعات شرکت تجارت الکترونیک پارسیان می گوید: طبق بررسی‌های صورت گرفته توسط بانک مرکزی، ۳۰۰ هزار دستگاه کارت خوان باید در سراسر کشور نصب شود تا پدیده کارت الکترونیکی در کشور به صورت عمومی درآید.
او می‌گوید: برای فراگیر شدن این تکنولوژی در کشور، باید ۱۰ میلیون کارت در اختیار کاربران قرار گیرد و علاوه بر تمرکز روی این فناوری به عنوان پول الکترونیکی باید با فرهنگسازی لازم، بستر رشد این تکنولوژی فراهم شود.وی با اشاره به نقاط ضعف و قوت پول الکترونیکی می‌گوید: نقاط ضعف موجود در پول الکترونیکی، بسیار پایینتر ار نقاط قوت آن است و برای فراگیر شدن این پدیده در کشور، سرمایه‌گذاری‌های سنگین و برنامه‌ریزی منسجم موردنیاز است.
منصوری می افزاید: در سراسر جهان، ۳۷ میلیون پایانه کارت اعتباری وجود دارد، ولی متاسفانه سهم ایران از این تعداد ۳۰۰ هزار پایانه است که آن هم در صورت نصب تمامی پایانه‌ها محقق خواهد شد. بانک مرکزی عهده دار تامین امنیت نرم افزاری است
مهمترین و شاید اصلی ترین موضوع در بانکداری الکترونیک بحث امنیت است و نخستین موضوع مهم در بحث امنیت، ایجاد یک کانال امن است تا داده ها یکپارچه و با اطمینان میان کاربر و بانک تبادل شود. مهندس رحیمی صفت، مدیر فناوری اطلاعات بانک اقتصاد نوین، پس از تقویت زیر ساخت های ارتباطی لازم ، امنیت را مهمترین اصل برای ایجاد بانکداری الکترونیکی می داند.
او معتقد است که سخت افزار و نرم افزاری که بتواند امنیت کامل را ایجاد کند در ایران وجود ندارد و می گوید: هر چه توان امنیتی در سیستم ها افزایش یابد به طبع آن قدرت هکرها نیز بالا میرود.
رحیمی صفت بر این باوراست که امنیت سخت افزاری بر عهده خود بانک ها است اما امنیت نرم افزاری را بانک مرکزی باید تامین کند.
نبود امنیت های لازم در سیستم بانکداری الکترونیکی ، مشتریان خدمات مالی و اعتباری را بر این باور رسانده است که استفاده از بانکداری الکترونیکی با شکست روبه رو خواهد شد.
بیمه یا امنیت؟ مسئله کدام است؟
حمیدرضا مختاریان، مدیر امنیت شبکه و سیستم های بانکداری الکترونیک، معتقد است امنیت زیر شاخه بانکداری الکترونیک است.
او می گوید: در هیج جای جهان امنیت صد درصد وجود ندارد و مهمترین دلیل آن هم مشکلات به وجود آمده در نرم افزارها و تغییرات روزافزون آنها است. به اعتقاد مختاریان امنیت در سیستم های بانکداری الکترونیکی در مدیریت ریسک به وجود می آید.
او با اشاره به بیمه کارت های اعتباری در سراسر جهان می گوید: مدیریت ریسک با بررسی سیستم های الکترونیکی تصمیم می گیرد که در کدام نقطه از شبکه هزینه بیشتری برای تامین امنیت باید صرف شود و در کدام قسمت نیز صرف هزینه برای ایجاد امنیت بی مورد است. مهمترین فاکتور در برقراری امنیت، نگهداری و بروز رسانی سیستم های امنیتی است. برای بالا بردن امنیت در سیستم های مالی الکترونیکی هزینه های بیشماری باید صرف شود به همین دلیل باید کلیه تراکنش های مالی بررسی شود تا مشخص گردد در چه مراحلی صرف هزینه برای بالا بردن امنیت مقرون به صرفه است. تامین امنیت بانکداری الکترونیک، متولی ندارد
یکی از بحث های مهمی که امروزه در بانکداری الکترونیکی به وفور به آن پرداخته می شود، فراگیر شدن بهره گیری از e-bankingدر بین مشتریان است. مشتریان تا چه اندازه به خدمات بانکداری الکترونیکی اعتماد دارند؟ چگونه باید این اعتماد در بین متقاضیان ایجاد شود؟ آیا در ایران امنیت به معنای بین المللی تعریف می شود؟ اینها سئوالاتی است که ذهن بسیاری از مشتاقان تجارت اینترنتی را به خود جلب کرده است. روش های گوناگونی در ایران برای برقراری امنیت در سیستم های مالی الکترونیکی به وجود آمده است که بسیاری از کارشناسان تعدد این راهکارها را مهمترین علل در سردرگمی مشتریان می دانند.مختاریان در این زمینه می گوید: برای بررسی و برقراری امنیت در سیستم های بانکداری الکترونیکی باید شورایی همانند شورایعالی امنیت فضای تبادل اطلاعات کشور، به وجود آید و راهکاری اصلی برای این مهم در نظر گرفته شود.
او به وظیفه بانک مرکزی در این میان اشاره می کند و می گوید: بانک مرکزی باید بر عملکرد بانک ها در زمینه ایجاد بانکداری الکترونیکی نظارت داشته باشد. هدف ما جلب اعتماد مشتریان است کارشناس امنیت شبکه ، در ادامه می گوید: برای اینکه بتوانیم مشتریان را به سمت بانکداری الکترونیکی جذب کنیم باید اعتماد آنها را نسبت به این مقوله جلب نماییم. او به روش های متفاوت القا امنیت اشاره می کند و می گوید: این روش ها در جهان متداول نیست چون حس اعتماد در بین مخاطبان حارجی ایجاد شده است. مختاریان با اشاره به استفاده از Device های سخت افزاری می گوید: در این فناوری هر بار فرد قصد اتصال به شبکه بانکی را داشته باشد باید دستگاه مورد نظر را به کامپیوتر متصل کرده که توسط آن یک کد امنیتی یک بار مصرف به مقصد ارسال می شود که صحت دارنده اصلی حساب را تایید می کند و قبل از خروج از سیستم نیز کد امنیتی دیگر به حافظه دستگاه برای استفاده مجدد ارسال می شود. وی به دریافت SMS در هنگام اتصال به شبکه بانکی به عنوان روشی دیگر اشاره می کند و می گوید در این روش نیز هنگامی که فرد وارد شبکه بانکی می شود به او SMS زده می شود که همین امر باعث می شود اعتماد فرد به امنیت موجود در شبکه افزایش یابد.
بانک مرکزی: پرداخت اینترنتی در گرو کد دوم
پس از آنکه یک سایت جعلی از طریق سیستم شتاب ، کلاهبرداری کرد،بانک مرکزی پرداخت های اینترنتی را برای بانک های عضو شتاب منوط به ارایه کد امنیتی دوم، موسوم به کد پرداخت اینترنتی دانست. این دستورالعمل در حالی صادر شده است که ۶ ماه پیش بانک مرکزی دستور پرداخت اینترنتی را برای تمامی بانکهای عضو شتاب صادر کرده بود. به زعم بسیاری از کارشناسان، مهمترین عامل برای ارایه چنین دستورالعملی بالابردن فضای امنیتی در پرداخت های اینترنتی است. صدور کد پرداخت اینترنتی بنا به مشکلات مالی و اعتباری میان بانک ها مقرون به صرفه نیست. این در حالی است که تنها راه رسیدن به پرداخت های اینترنتی از دید بانک مرکزی وجود کد دوم و تامین سخت افزارهای امنیتی مورد نیاز است. بی شک، امنیت مهمترین مسئله در ایجاد تجارت الکترونیک است. جا دارد مسوولان نظام بانکی کشور با در نظر گرفتن شرایط سخت افزاری و نرم افزاری موجود و نیز تاسیس بیمه های کارت های اعتباری، ریسک موجود در داد وستدهای دیجیتالی را پایین آورده و گام های سریع تری را در ارایه خدمات تجارت الکترونیکی بردارند.

WordNews

بانکداری الکترونیک: در حالیکه معاون فناوری اطلاعات بانک پارسیان معتقد است ده درصد هزینه های عملیات IT وفناوری اطلاعات باید به امنیت تفکری ،آموزشی ومدیریتی (به غیر از تجهیزات) اختصاص یابد برخی کارشناسان شبکه بانکی معتقدند در ایران تنها نیم درصد از هزینه های ITصرف امنیت شبکه واطلاعات می شود.
عبدالحمید منصوری ،معاون فناوری اطلاعات بانک پارسیان،با بیان اینکه امنیت یکی از زیرساختهای بانکداری الکترونیک است گفت:"هزینه هایی که برای امنیت شبکه بانکی باید اختصاص یابد ،حوزه های امنیت تفکری ،مدیریتی،نرم افزاروتجهیزات شبکه را دربرمی گیرد."

وی با اشاره به سند امنیت فناوری اطلاعات که از سوی کارگروه امنیت بانکداری الکترونیک ابلاغ شده ،عنوان کرد:"اهمیت امنیت به اندازه ای است که حتی در سند مزبور نیز مشخص شده که باید درصدی از بودجه IT صرف مباحث تفکری وآموزشی امنیت (به غیر از تجهیزات) شود."

منصوری در ادامه عنوان کرد:"در این سند به بانک ها توصیه شده که سازمان" "ASMS را ایجاد کنند به طوریکه در این سازمان همیشه افرادی هستند که سیستم ها را رصد می کنند تا نقاط نفوذ را تشخیص دهند ،علاوه بر این آنها فرمول ها وراه حل های پیشگیری از ایجاد نفوذ رانیز طراحی می کنند ."

وی در خصوص این سوال که از زمان ابلاغ سند امنیت فناوری اطلاعات چه اقداماتی صورت گرفته،گفت:"اکثر بانک ها فعالیت خود را درراستای اجرای این سند آغاز کرده اند اما مسایل امنیتی باید مقداری مسکوت باشد."

رییس کارگروه امنیت فناوری اطلاعات افزود:"در یکی از بند های مهم این سند به تداوم عملیات اشاره شده است به طوریکه وقتی سرویس شبانه روزی ایجاد می شود باید تداوم هم داشته باشد بنابراین در این سند بر ایجاد سایت های پشتیبان تاکید شده است به طوریکه تا قبل از ابلاغ این سند ایجا سایت در دستور کار بانکها نبود اما از زمان ابلاغ ان در دستور کار قرار گرفت وبانک ها ملزم شدند دوسایت داشته باشند که اگر برای یکی مشکلی پیش آمد سایت دوم در لحظه وارد مدار شود وپشتیبانی کند ."

منصوری ادامه داد :"علاوه بر این ،ایجاد سایت بحران از دیگر مواردی است که در سند به ان اشاره شده به طوریکه حتما باید در شهر دیگری باشد بنابراین در سند امنیت براین اقدامات به عنوان تداوم عملیات بانکی تاکید شده است."

وی با اشاره به تست نفوذ پذیری به عنوان یکی دیگر از مباحث مطرح در سند امنیت عنوان کرد:"تست نفوذ پذیری باید سالی دوبار توسط بانک ها صورت پذیرد زیرا کسی که از بیرون مسایل را رصد می کند ودر این زمینه نیز تخصص دارد بهتر می تواند نقاط نفوذ را تشخیص داده وبه بانک ها اطلاع دهد."

معاون فناوری بانک پارسیان افزود:"در سیستم شبکه یکسری استانداردهایی وجود دارد از جمله اینکه شبکه زمینی حتما باید باشد ودر شبکه زمینی هم یک سازمان متولی وجود دارد به طور مثال فیبر نوری را هر کسی نمی تواند پیوند بزند واطلاعات را دریافت کند ویا هر کسی نمی تواند گلوگاههای مخابراتی را شنود کند بنابراین می توان گفت از این لحاظ نظام امنیتی مناسبی حاکم است."

منصوری با بیان اینکه از وایرلس v100باید به عنوان آبشن دوم استفاده شود،اظهار داشت:"شبکه زمینی متعلق به کشور است واصولا داده ها از طریق آن بیرون نمی رود اما در خصوصv100 باید گفت این امکان وجود دارد که داده ها مورد نفوذ قرار بگیرد ."

وی در این خصوص افزود:"البته از انجا که جابجایی ها از طریق استاندارد سوئیفت انجام می شود اگر داده ها مورد نفوذ واقع شود وتغییرکند تنها حس اطمینان خدشه دار می شود وضرر مالی چندانی ایجاد نمی گردد بنابراین v100در این گونه موارد ممکن است مخاطره ایجاد کند."

منصوری با بیان اینکه مخابرات موظف است از شبکه بانکی محافظ کند،عنوان کرد:"اما خود بانک ها هم در این خصوص وظایفی دارند به طوریکه فعالیت واقدامات خود بانک ها برای ایجاد امنیت بسیار مهم است."

ام دوره : امنیت و روش های مقابله با نفوذ

 

مدت دوره: 90 ساعت

 

 

پیش نیاز : -

 

هدف : در این دوره دانشجو درباره تکنیک های هکینگ و نفوذ به سرورها و کلاینت ها و وب سایت ها مطالبی از پایه تا سطوح پیشرفته می آموزد و سپس با روش های نفوذ به شبکه های داخلی، روترها و شبکه های وایرلس آشنا می شود. همچنین دانشجو در این دوره با تکنیک های کشف حفره در نرم افزارهای تحت وب و نوشتن exploit کدها آشنا می شود. همچنین دانشجو بعد از اتمام این دوره می تواند از سیستم خود در برابر حمله هکرها محافظت کند و با روش های پیشگیری و امنیت آشنا می شود. این دوره به تمام کسانی که به هکینگ علاقه دارند و از پایه می خواهند این رشته را تا سطوح حرفه ای فرا بگیرند پیشنهاد می شود.

 

سرفصل های این دوره:

 

1-   آشنایی با شبکه و دستورات لینوکس

2-   FootPrinting مرحله شناسایی و

3-   آنالیز سیستم عامل ها و Scanning

4-   EnuMeration

5-   Gaining Access

6-   Metasploit و Backtrack آشنایی با سیستم عامل

7-   Escalating Privilege

8-  Creating Backdoors

9-   نفوذ و محافظت از کامپیوترهای شخصی

10- تکذیب سرویس یا DoS Attacks

11- نفوذ و امنیت شبکه های Wireless

12- نفوذ به وب سایت ها

13- نفوذ و امنیت دیتابیس ها

14- نفوذ و امنیت شبکه های داخلی

15- نصب Rootkit و راه های شناسایی

16- Covering tracks

17- عبور از  IDS – FireWall

18- Cryptography

19- نفوذ و امنیت روترها

20- امنیت ایمیل ها و آشنایی با راه های نفوذ

21- SQL Injection

22- کشف حفره امنیتی command execution

23- کشف حفره امنیتی file inclusion در نرم افزارهای تحت وب

24- کشف حفره امنیتی XSS در نرم افزارهای تحت وب

25- اکسپلویت نویسی به زبان های Perl و PHP

---

نام دوره :SCNP

 

مدت دوره: 80 ساعت

 

 

پیش نیاز : -

هدف : دوره SCNP   که سطح اول دوره SCP  مي باشد، تمرکز علمی – کاربردی بر روی دفاع  دارد. اين دوره شامل دو بخش مي باشد  که بخش اول آن  Hardening The Infrastructure  يا HTI   و بخش دوم  Network Defense Countermeasure  يا NDC  نام دارد. اين دو بخش جهت متخصصان شبکه، مديران و کارشناسان امنيتی طراحی شده و مباحث آن کاملا علمی به همراه انجام آزمايشات مختلف و حل سناريو های متعدد جهت آمادگی نهايی برای دريافت گواهينامه SCNP می باشد.

 

سرفصل های این دوره:

 

1- Advanced TCP/IP

2- Implementing IPSe

3- Hardening Linux Computers

4- Hardening Windows Computers

5- Routers and Access List

6- Contingency Planning

7- Security on the Internet and the WWW

8- Attack Techniques

9- Network Defense Fundamentals

10- Designing Firewall Systems

11- Configuring Firewalls

12- Configuring VPNs

13- Designing an IDS

14- Configuring an IDS

15- Analyzing Intrusion Signatures

16- Performing a Risk Analysis

17- Creating a Security Policy

---