شرح مسئله و اهداف شرکت برای تعریف پروژه

پرداخت حضوری مبتنی بر Palm Biometrics با اتکا به الگوهای یکتای کف دست (Palmprint)، رگ‌نگاری مادون‌قرمز نزدیک (Palm Vein NIR) و هندسه دست، امکان تأیید هویت بدون تماس، سریع و ایمن را در پایانه‌های فروش فراهم می‌کند. در ایران، با رشد پرداخت‌های بدون کارت و نیاز به کاهش اصطکاک تجربه کاربری، نبود راهکار بومی با دقت بالا، تاب‌آوری در شرایط نوری و محیطی متغیر، و تضمین حریم خصوصی، مانع پذیرش گسترده شده است.
این پروژه با تمرکز بر R&D الگوریتمی، به‌دنبال بومی‌سازی و ارزیابی روش‌های استخراج ویژگی، تطبیق چندوجهی (Multi-modal Matching)، و تشخیص حمله ارائه‌ای (PAD/Liveness) برای استفاده روی دستگاه‌های لبه‌ای پایانه پرداخت (POS/کیوسک) است؛ به‌گونه‌ای که تأخیر زیر ۳۰۰ میلی‌ثانیه، نرخ خطای پذیرش کاذب (FAR) بسیار پایین و نرخ رد کاذب (FRR) قابل‌قبول حاصل شود. اهداف:

• توسعه و ارزیابی الگوریتم‌های Palmprint/Palm Vein با تأکید بر NIR Imaging و بی‌نیازی از تماس.
  
  
• طراحی Pipeline کامل ثبت، عادی‌سازی، استخراج ویژگی و تطبیق با مقاومت بالا در برابر نویز محیطی.
  
  
• تحقیق و پیاده‌سازی PAD/Liveness (تشخیص چاپ سه‌بعدی، نمایشگر، پروتز، گرمای بافت/جریان خون).
  
  
• تعیین خط‌مشی‌های حریم خصوصی، ناشناس‌سازی قالب‌ها (Template Protection) و انطباق با مقررات.
  
  
• آماده‌سازی برای ادغام با پایانه‌های فروش و سوئیچ پرداخت در مقیاس فروشگاهی/خُرد.
  
  

چالش‌های فنی تخصصی پروژه

1. کیفیت تصویر و پایداری ویژگی‌ها: تغییرات نور محیط، زاویه دست، فاصله و آلودگی سطح سنسور بر کیفیت اثر می‌گذارد. نیاز به Preprocessing تطبیقی (کالیبراسیون نور، تصحیح پرسپکتیو، حذف نویز) و Registration دقیق ناحیه ROI وجود دارد.
   
   
2. استخراج ویژگی مقاوم: پژوهش و مقایسه روش‌های کلاسیک (Gabor, LBP, SIFT) با نمایش‌های عمیق (CNN/ViT) برای Palmprint و Palm Vein، و نیز Fusion سطح ویژگی/نمره برای افزایش دقت.
   
   
3. PAD/Liveness چندوجهی: ترکیب سرنخ‌های بافتی–طیفی در NIR، سرعت تغییر سیگنال رگی (Photoplethysmography-PPG)، و سرنخ‌های سه‌بعدی برای مقابله با حملات ارائه‌ای.
   
   
4. کارایی روی دستگاه‌های لبه‌ای: بهینه‌سازی مدل‌ها با Quantization، Pruning و Distillation برای اجرا روی پردازنده‌های ARM/NPUs پایانه‌ها با بودجه انرژی و حافظه محدود.
   
   
5. معیارهای عملکرد و مرجع‌گذاری: تعریف پروتکل‌های آزمون با سناریوهای دنیای واقعی (نور فروشگاه، حرکت کاربر، سری زمانی ثبت) و اهداف کمی مانند FAR ≤ 0.001%، FRR ≤ 1%، EER حداقلی، تاخیر <300ms.
   
   
6. محافظت از قالب و حریم خصوصی: تحقیق در Cancelable Biometrics، Bloom Filters، Biometric Cryptosystems و ذخیره امن On-Device (Secure Element/HSM) با حداقل امکان پیونددهی مجدد (Unlinkability).
   
   
7. یکپارچه‌سازی با پرداخت: طراحی Flow تراکنشی (Enroll → Verify → Tokenize → Authorize) و نگاشت خروجی تطبیق به Token پرداخت/توکن مشتری بدون نگهداری داده خام بیومتریک در سوئیچ.
   
   
8. مقیاس‌پذیری و ثبت‌نام امن (Enrollment): تعریف فرآیند ثبت استاندارد در فروشگاه با کیفیت‌سنجی خودکار، جلوگیری از چندثبت‌نام (De-duplication) و مدیریت چرخه عمر قالب‌ها (Revocation/Update).
   
   

نوآوری محصول نسبت به محصولات مشابه در کشور/شرکت

• Fusion رگی–پوستی بومی: ترکیب Palm Vein (NIR) با Palmprint سطحی برای دقت بالا و مقاومت در محیط‌های پرتلاطم.
  
  
• PAD چندحسگری کم‌هزینه: طراحی پروتکل Liveness سبک مبتنی بر NIR + سرنخ‌های زمانی/دما بدون نیاز به حسگرهای گران‌قیمت.
  
  
• اجرای کامل On-Device: تطبیق و نگهداری قالب روی دستگاه به‌جای سرور؛ کاهش ریسک حریم خصوصی و وابستگی شبکه.
  
  
• Template Protection پیشرفته: به‌کارگیری Cancelable Templates و Helper Data برای بی‌اثر کردن نشت احتمالی.
  
  
• Targeting پرداخت خُرد ایران: طراحی اهداف کمی و UX متناسب با POSهای رایج، تراکنش‌های آفلاین کوتاه‌مدت و خط‌مشی‌های داخلی.
  
  

مقیاس پروژه

• کاربران و نقاط نصب: پایانه‌های فروش فروشگاهی، کیوسک‌ها، گیت‌های دسترسی شعب/پرداخت.
  
  
• ابعاد داده و آموزش: ایجاد دیتاست بومی چندسنسوری (RGB+NIR) با پوشش تنوع جمعیتی/محیطی و پروتکل‌های برچسب‌گذاری PAD.
  
  
• اثر اقتصادی/عملیاتی: کاهش Fraud حضوری، حذف کارت/توکن فیزیکی، تسریع صف، بهبود تجربه مشتری و کاهش هزینه پشتیبانی کارت/رمز.
  
  
• قابلیت توسعه: امکان گسترش به ورود امن کارکنان، احراز هویت شعب، و پرداخت‌های بدون دخالت دست در حمل‌ونقل/سلامت.
  
  

جمع‌بندی فازبندی پیشنهادی پروژه

فاز	عنوان فاز	خروجی کلیدی	نوع فعالیت
۱	مرور ادبیات و نیازسنجی سنسور	نقشه راه سنسور (NIR/Depth)، الزامات UX و اهداف کمی (FAR/FRR/Latency)	Research
۲	ساخت دیتاست بومی چندسنسوری	پروتکل ثبت، کیت جمع‌آوری، مجموعه داده آموزشی/اعتباری با سناریوهای واقعی	Research
۳	توسعه الگوریتم‌های هسته	Pipeline ثبت تا تطبیق؛ مدل‌های ویژگی عمیق، Registration و Fusion چندوجهی	R&D
۴	PAD/Liveness و Template Protection	ماژول PAD سبک، روش‌های Cancelable/On-Device Storage و ارزیابی امنیت	R&D
۵	بهینه‌سازی لبه‌ای و یکپارچه‌سازی POS	Quantization/Pruning، SDK روی POS/کیوسک، API توکنیزاسیون پرداخت	Development
۶	آزمون میدانی و کالیبراسیون	تست در فروشگاه‌ها، سنجش FAR/FRR/EER و تاخیر، بهبود UX و گزارش نهایی	Validation

 

ملاحظات چارچوب پروپوزال ارسالی:

نگاه ماژولار و فازبندی:

به توجه به نوع تامین مالی پروژه که مبتنی بر اعتبار مالیاتی بانک مرکزی که عطف به تفاهم نامه بانک مرکزی و معاونت علمی ریاست جمهوری است، پروپوزال تهیه شده باید ساختار فازبندی شده و ماژولار داشته باشد و برای بازه زمانی یک ساله طراحی شده باشد و از سوی دیگر خروجی های هر فاز یا ماژول قابل اندازه گیری و بررسی باشد. از این رو ساختار فازبندی پیشنهادی در RFP موجود ارائه شده است با توجه به دانش و تجربه شرکت ارسال کننده پروپوزال، قابلیت بهبود و اصلاح دارد.

نگاه مالی مبتنی بر تحقیق و توسعه:

باتوجه به ماهیت R&D این پروژه و اهمیت سهم تحقیق برای نوآوری نسبت به راهکارهای موجود در بازار یا نمونه های بین المللی، باید بیش از 40 درصد ارزش پروژه باید برای مصارف مربوط به تحقیقات مورد نیاز برای توسعه محصول باشد. میزان سطح نوآوری و بخشی از محصول / پروژه که نسبت به راهکارهای حال حاضر نوآورانه است، تصریح و شفاف شود.

سرفصل هزینه کرد موردپذیرش:

باتوجه به نوع تامین مالی پروژه، باید محل مصرف منابع تامین شده عطف به آیین نامه های معاونت علمی و فناوری ریاست جمهوری برای پروژه های R&D در موضوعات ذیل باشد:

• تهیه و اجاره فضای کار اختصاصی تحقیق و توسعه: هزینه اجاره فضای تحقیق و توسعه با اولویت استقرار در زیست بوم نوآوری متناسب با پروژه تحقیق و توسعه

• ماشین آلات و تجهیزات: معادل استهلاک سالیانه ماشین آلات و تجهیزات در صورتی که نصب و راه اندازی شده باشد.

• نیروی انسانی : معادل حقوق و مزایای مندرج در لیست بیمه تامین اجتماعی برای نیروی انسانی مستقیم در پروژه های تحقیق و توسعه تا سقف حداکثر دستمزد مشمول کسر حق بیمه 

• مواد اولیه و قطعات مصرفی : مواد اجزاء و قطعات به میزان متناسب برای تولید آزمایشی به تعداد محدود برای ساخت نمونه اولیه و به میزان به کار رفته برای ساخت واحد آزمایشی

• تاییدیه ها و استانداردها: 

• هزینه آزمون ها و تست ها برای تحقیق و توسعه 

• استانداردهای ویژه و اختصاصی بر روی محصولات و خدمات مرتبط با پروژه مورد نظر 

• هزینه ثبت پتنت بین المللی  

• همکاری فناورانه: هزینه کرد قرارداد با شرکت های دانش بنیان و فناور دانشگاه ها و مراکز پژوهشی با تایید دبیرخانه و در چارچوب سرفصل های مورد تایید هزینه کرد در پروژه های تحقیق و توسعه

در پروپوزال ارسالی، پیشنهاد کلی نسبت به ساختار هزینه اعلام گردد.

 

تدقیق فازهای عملیاتی و ساختار هزینه کرد پس از ارزیابی شرکت های درخواست دهنده، با مشارکت ذینفعان بانک مرکزی و ناظران پروژه در همکاری با شرکت انجام خواهد شد.

 

شرح مسئله و اهداف شرکت برای تعریف پروژه

در سازمان‌های بزرگ به‌ویژه در صنعت پرداخت، بانکداری و خدمات مالی، دسترسی مدیران سیستم و کارشناسان فنی به زیرساخت‌های حیاتی مانند سرورها، پایگاه‌های داده و تجهیزات شبکه، یکی از نقاط حساس امنیتی محسوب می‌شود. دسترسی‌های سطح بالا (Privileged Access) اگر بدون کنترل، نظارت و ثبت فعالیت‌ها انجام شود، می‌تواند منجر به نشت داده، تخریب سیستم، تغییر غیرمجاز در تنظیمات امنیتی یا حتی حملات داخلی (Insider Threat) شود.

به‌منظور مدیریت این ریسک‌ها، فناوری PAM (Privileged Access Management) به‌عنوان یکی از ستون‌های کلیدی امنیت سازمانی (Cybersecurity Framework) شناخته می‌شود. راهکارهای PAM امکان کنترل، مانیتورینگ، ضبط و مدیریت چرخه عمر دسترسی‌های خاص را فراهم کرده و از بروز دسترسی غیرمجاز یا سوءاستفاده از حساب‌های ادمین جلوگیری می‌کنند.

در صنعت پرداخت ایران، با افزایش تعداد مراکز داده، سرویس‌های ابری، و زیرساخت‌های حیاتی بانکی، ضرورت پیاده‌سازی محصول PAM بومی یا بین‌المللی سازگار با الزامات بانک مرکزی و مرکز ماهر، بیش از پیش احساس می‌شود. هدف از این پروژه، شناخت جامع، امکان‌سنجی، انتخاب بهینه و استقرار محصول PAM در زیرساخت‌های حساس صنعت پرداخت است.

اهداف کلان پروژه عبارت‌اند از:

• تحلیل وضعیت موجود دسترسی‌های سطح بالا در زیرساخت‌های بانکی و پرداخت.
• شناسایی الزامات امنیتی و فنی برای انتخاب محصول PAM متناسب با نیازهای داخلی.
• مقایسه و ارزیابی محصولات بین‌المللی و بومی از منظر کارایی، امنیت و پشتیبانی.
• طراحی معماری استقرار PAM در سطح سازمانی (Enterprise Deployment).
• اجرای پایلوت و استقرار نهایی در مراکز داده و محیط‌های عملیاتی حساس.

چالش‌های فنی و تخصصی پروژه

1. مدیریت جامع حساب‌های ممتاز (Privileged Accounts): شناسایی و فهرست‌برداری حساب‌های مدیریتی در سیستم‌عامل‌ها، پایگاه‌های داده، اپلیکیشن‌ها و تجهیزات شبکه با حداقل اختلال در سرویس‌ها.
2. کنترل چرخه عمر دسترسی: تعریف فرآیند ایجاد، واگذاری، تمدید و لغو مجوزهای سطح بالا با ثبت کامل رخدادها (Session Recording & Audit).
3. انتخاب محصول مناسب: بررسی تطبیقی بین راهکارهای تجاری (CyberArk, BeyondTrust, Delinea, One Identity) و راهکارهای بومی از منظر امکانات، هزینه، تطبیق با مقررات و پشتیبانی فنی.
4. طراحی معماری فنی استقرار: تعیین توپولوژی مناسب شامل Vault، Proxy، Session Manager و ماژول‌های Audit، با درنظر گرفتن افزونگی و امنیت داده.
5. یکپارچگی با سامانه‌های هویت و دسترسی (IAM/AD): ایجاد تعامل بین PAM و سیستم‌های موجود جهت مدیریت مرکزی کاربران و خودکارسازی فرآیند ورود.
6. انطباق با الزامات امنیتی و حریم داده: اطمینان از تطابق با استانداردهای ISO 27001، NIST 800-53، PCI-DSS و سیاست‌های بانک مرکزی در ذخیره و رمزنگاری داده‌های حساس.
7. آموزش و پذیرش در سازمان: طراحی فرآیند آموزشی برای تیم‌های IT و امنیت جهت کار با PAM و اطمینان از پذیرش فرهنگی در میان کاربران فنی.
8. پایش و ارزیابی عملکرد پس از استقرار: تعریف شاخص‌های عملکرد (KPIs) نظیر کاهش زمان شناسایی دسترسی غیرمجاز، افزایش سطح کنترل و کاهش رخدادهای امنیتی.
   
   

فازهای عملیاتی پیشنهادی:

• فاز ۱: شناخت وضعیت فعلی دسترسی‌های ممتاز و آسیب‌پذیری‌ها.
• فاز ۲: امکان‌سنجی فنی، بررسی محصولات و انتخاب راهکار مناسب.
• فاز ۳: طراحی معماری استقرار، توپولوژی و فرایندهای کنترل دسترسی.
• فاز ۴: اجرای پایلوت در محیط کنترل‌شده و ارزیابی عملکرد.
• فاز ۵: استقرار نهایی در محیط عملیاتی و اتصال به سیستم‌های هویت سازمانی.

نوآوری محصول نسبت به محصولات مشابه در کشور/شرکت

1. اولین چارچوب بومی پیاده‌سازی PAM در صنعت پرداخت ایران: با درنظر گرفتن الزامات امنیتی شبکه شاپرک، PSPها و مراکز داده بانکی.
2. یکپارچگی کامل با سامانه‌های هویت و دسترسی (IAM/AD): خودکارسازی فرآیند ورود و کنترل دسترسی بدون مداخله دستی.
3. مدیریت متمرکز جلسات (Session Management): ضبط کامل فعالیت کاربران ممتاز و تولید هشدار بلادرنگ در صورت رفتار غیرعادی.
4. پشتیبانی از مدل ترکیبی (Hybrid Deployment): امکان استقرار در محیط داخلی سازمان و اتصال به سرویس‌های ابری خصوصی یا ملی.
5. داشبورد هوش امنیتی (Security Analytics): تحلیل الگوهای دسترسی و شناسایی تهدیدهای داخلی با استفاده از الگوریتم‌های یادگیری ماشین.
6. بومی‌سازی استانداردهای بین‌المللی: انطباق کامل با چارچوب‌های امنیتی جهانی (NIST، ISO، PCI-DSS) در قالب معماری قابل تطبیق با ایران.

مقیاس پروژه

مقیاس فنی: پروژه ابتدا در سطح یک مرکز داده بانکی یا PSP به‌صورت پایلوت پیاده‌سازی می‌شود و در صورت موفقیت، به سطح ملی قابل گسترش است.
مقیاس اقتصادی: با کاهش ریسک حملات داخلی و بهبود کنترل دسترسی، هزینه‌های ناشی از رخدادهای امنیتی و اختلالات عملیاتی به‌طور چشمگیری کاهش خواهد یافت.

کاربران نهایی:

• شرکت‌های PSP و بانک‌ها با زیرساخت‌های بزرگ IT
• مراکز داده، تیم‌های SOC و امنیت سایبری
• نهادهای نظارتی حوزه پرداخت و فناوری مالی
  
  

تأثیر کلان:

• افزایش تاب‌آوری امنیتی زیرساخت‌های بانکی و پرداخت کشور
• کاهش خطر نفوذ داخلی و سوءاستفاده از حساب‌های ممتاز
• ارتقای بلوغ امنیتی سازمان‌ها بر اساس استانداردهای جهانی
• فراهم‌سازی الگوی ملی برای پیاده‌سازی PAM در سایر صنایع حیاتی
  
  

جمع‌بندی فازبندی پیشنهادی پروژه

فاز	عنوان فاز	خروجی کلیدی	نوع فعالیت
۱	شناخت وضعیت فعلی دسترسی‌های ممتاز	گزارش آسیب‌پذیری‌ها و نقشه دسترسی‌ها	Assessment
۲	امکان‌سنجی و انتخاب محصول مناسب	گزارش مقایسه‌ای فنی و اقتصادی PAMها	Research
۳	طراحی معماری فنی و فرآیندهای کنترل دسترسی	مستند معماری و دستورالعمل اجرایی	Design
۴	اجرای پایلوت و ارزیابی عملکرد	گزارش تست، شاخص‌های کارایی و امنیت	Implementation
۵	استقرار نهایی و آموزش تیم‌ها	راه‌اندازی عملیاتی و مستندسازی نهایی	Deployment

ملاحظات چارچوب پروپوزال ارسالی:

نگاه ماژولار و فازبندی:

به توجه به نوع تامین مالی پروژه که مبتنی بر اعتبار مالیاتی بانک مرکزی که عطف به تفاهم نامه بانک مرکزی و معاونت علمی ریاست جمهوری است، پروپوزال تهیه شده باید ساختار فازبندی شده و ماژولار داشته باشد و برای بازه زمانی یک ساله طراحی شده باشد و از سوی دیگر خروجی های هر فاز یا ماژول قابل اندازه گیری و بررسی باشد. از این رو ساختار فازبندی پیشنهادی در RFP موجود ارائه شده است با توجه به دانش و تجربه شرکت ارسال کننده پروپوزال، قابلیت بهبود و اصلاح دارد.

نگاه مالی مبتنی بر تحقیق و توسعه:

باتوجه به ماهیت R&D این پروژه و اهمیت سهم تحقیق برای نوآوری نسبت به راهکارهای موجود در بازار یا نمونه های بین المللی، باید بیش از 40 درصد ارزش پروژه باید برای مصارف مربوط به تحقیقات مورد نیاز برای توسعه محصول باشد. میزان سطح نوآوری و بخشی از محصول / پروژه که نسبت به راهکارهای حال حاضر نوآورانه است، تصریح و شفاف شود.

سرفصل هزینه کرد موردپذیرش:

باتوجه به نوع تامین مالی پروژه، باید محل مصرف منابع تامین شده عطف به آیین نامه های معاونت علمی و فناوری ریاست جمهوری برای پروژه های R&D در موضوعات ذیل باشد:

• تهیه و اجاره فضای کار اختصاصی تحقیق و توسعه: هزینه اجاره فضای تحقیق و توسعه با اولویت استقرار در زیست بوم نوآوری متناسب با پروژه تحقیق و توسعه

• ماشین آلات و تجهیزات: معادل استهلاک سالیانه ماشین آلات و تجهیزات در صورتی که نصب و راه اندازی شده باشد.

• نیروی انسانی : معادل حقوق و مزایای مندرج در لیست بیمه تامین اجتماعی برای نیروی انسانی مستقیم در پروژه های تحقیق و توسعه تا سقف حداکثر دستمزد مشمول کسر حق بیمه 

• مواد اولیه و قطعات مصرفی : مواد اجزاء و قطعات به میزان متناسب برای تولید آزمایشی به تعداد محدود برای ساخت نمونه اولیه و به میزان به کار رفته برای ساخت واحد آزمایشی

• تاییدیه ها و استانداردها: 

• هزینه آزمون ها و تست ها برای تحقیق و توسعه 

• استانداردهای ویژه و اختصاصی بر روی محصولات و خدمات مرتبط با پروژه مورد نظر 

• هزینه ثبت پتنت بین المللی  

• همکاری فناورانه: هزینه کرد قرارداد با شرکت های دانش بنیان و فناور دانشگاه ها و مراکز پژوهشی با تایید دبیرخانه و در چارچوب سرفصل های مورد تایید هزینه کرد در پروژه های تحقیق و توسعه

در پروپوزال ارسالی، پیشنهاد کلی نسبت به ساختار هزینه اعلام گردد.

 

تدقیق فازهای عملیاتی و ساختار هزینه کرد پس از ارزیابی شرکت های درخواست دهنده، با مشارکت ذینفعان بانک مرکزی و ناظران پروژه در همکاری با شرکت انجام خواهد شد.

شرح مسئله و اهداف شرکت برای تعریف پروژه

در سال‌های اخیر، صنعت پرداخت کشور به یکی از زیرساخت‌های حیاتی اقتصادی تبدیل شده است که عملکرد مستمر و امن آن برای پایداری نظام مالی کشور ضروری است. حملات سایبری هدفمند علیه بانک‌ها، شرکت‌های پرداخت (PSP) و سامانه‌های حساس، تهدیدی فزاینده برای امنیت و تاب‌آوری این بخش محسوب می‌شوند. با وجود اقدامات دفاعی (Blue Team) و سیستم‌های پایش امنیت (SOC)، بسیاری از سازمان‌ها فاقد مکانیزم ارزیابی پیش‌نگر برای شناسایی ضعف‌ها و نقاط نفوذ احتمالی پیش از وقوع حمله واقعی هستند.

در سطح بین‌المللی، اجرای عملیات تیم قرمز (Red Team Operations) به‌عنوان ابزاری ساختاریافته برای شبیه‌سازی حملات واقعی و ارزیابی مقاومت زیرساخت‌ها در برابر تهدیدات پیچیده به‌کار می‌رود. طراحی چنین چارچوبی در سطح صنعت پرداخت کشور، با تمرکز بر تاب‌آوری (Resilience) و انطباق با مقررات بانک مرکزی و مرکز ماهر، می‌تواند نقشی کلیدی در افزایش آمادگی و پیشگیری از اختلالات سیستمیک داشته باشد.

اهداف کلان پروژه عبارت‌اند از:

• طراحی و مستندسازی چارچوب عملیات تیم قرمز در صنعت پرداخت کشور.
• شناسایی آسیب‌پذیری‌ها، خطاهای طراحی، ضعف‌های انسانی و فرآیندی در PSPها و سوئیچ‌های پرداخت.
• طراحی روش‌های شبیه‌سازی حملات هدفمند (Targeted Attack Simulation) در محیط‌های کنترل‌شده.
• ایجاد مدل ارزیابی تاب‌آوری و شاخص‌های عملکرد امنیتی (Resilience KPIs).
• توسعه ابزارها، دستورالعمل‌ها و رویه‌های استاندارد برای اجرای تست‌های Red Team در سازمان‌های مالی.

چالش‌های فنی و تخصصی پروژه

1. تعریف چارچوب و محدوده عملیات تیم قرمز: تدوین مدل بومی منطبق با الزامات امنیتی بانک مرکزی، شامل اهداف، دامنه حملات، مجوزها، فرایند گزارش‌دهی و تعامل با تیم آبی (Blue Team).
2. شبیه‌سازی حملات پیچیده چندمرحله‌ای: طراحی سناریوهای حملات چندبُعدی شامل نفوذ شبکه، مهندسی اجتماعی، تزریق بدافزار، دسترسی به داده‌های حساس و حملات زنجیره تأمین (Supply Chain Attacks).
3. ایجاد محیط تست ایمن و ایزوله (Test Range): طراحی زیرساخت شبیه‌سازی شبکه پرداخت، شامل سوئیچ، درگاه، POS و ماژول‌های رمزنگاری برای اجرای تمرین‌های واقعی بدون تأثیر بر محیط عملیاتی.
4. تدوین شاخص‌های ارزیابی تاب‌آوری: تعریف متریک‌های کمی و کیفی برای سنجش سطح تاب‌آوری شامل MTTD (Mean Time To Detect)، MTTR (Mean Time To Respond)، Attack Surface Score و Resilience Index.
5. توسعه ابزارها و سناریوهای بومی تست نفوذ: ساخت اسکریپت‌ها و ابزارهای اختصاصی برای شبیه‌سازی رفتار مهاجمان پیشرفته (APT) متناسب با ساختار فناوری‌های بانکی و پرداخت داخلی.
6. مدیریت ریسک حقوقی و الزامات محرمانگی: طراحی فرآیند صدور مجوز برای انجام عملیات قرمز، حفظ محرمانگی داده‌ها و مدیریت تضاد منافع بین تیم‌های عملیاتی و نظارتی.
7. هم‌افزایی با SOC و CERT سازمانی: طراحی ارتباط دوسویه بین عملیات تیم قرمز و مراکز پایش امنیت جهت افزایش بلوغ و هماهنگی عملیاتی.
8. تحلیل نتایج و طراحی برنامه بهبود: تدوین گزارش‌های مدیریتی و فنی با رویکرد یادگیری سازمانی برای اصلاح رویه‌ها و معماری‌های امنیتی.
   
   

فازهای عملیاتی پیشنهادی:

• فاز ۱: تحلیل مدل‌های جهانی تیم قرمز (NIST 800-115، MITRE ATT&CK، CBEST، TIBER-EU).
• فاز ۲: طراحی چارچوب بومی عملیات تیم قرمز برای صنعت پرداخت ایران.
• فاز ۳: طراحی و توسعه زیرساخت تمرینی (Red Team Test Range) و ابزارهای تست.
• فاز ۴: اجرای سناریوهای آزمایشی و ارزیابی عملکرد تاب‌آوری سازمان‌ها.
• فاز ۵: مستندسازی، تدوین شاخص‌ها و گزارش مدیریتی نهایی.

نوآوری محصول نسبت به محصولات مشابه در کشور/شرکت

1. اولین چارچوب بومی Red Team در صنعت پرداخت ایران: با انطباق بر الزامات بانک مرکزی و ساختار شبکه شاپرک و شرکت‌های PSP.
2. تمرکز بر تاب‌آوری (Resilience) به‌جای صرفاً آسیب‌پذیری: تمرکز بر زمان واکنش، پایداری خدمات و قابلیت بازیابی سیستم‌ها در شرایط حمله.
3. ایجاد محیط تمرینی ایزوله ملی: توسعه آزمایشگاه Red Team به‌صورت Sandbox عملیاتی برای تمرین و آموزش تیم‌های امنیتی صنعت.
4. به‌کارگیری مدل‌های حمله بومی و داده‌های تهدید واقعی: بر اساس الگوهای حملات رایج در شبکه‌های بانکی و پرداخت داخلی.
5. تعریف شاخص‌های کمی امنیت سازمانی: ایجاد «شاخص تاب‌آوری پرداخت» به‌عنوان معیار قابل اندازه‌گیری برای سطح بلوغ امنیتی PSPها.
6. ایجاد تعامل ساختارمند بین تیم‌های قرمز و آبی: با هدف یادگیری سازمانی و بهبود فرآیندهای پاسخ به حادثه (Incident Response).

مقیاس پروژه

مقیاس فنی: پروژه ابتدا در سطح یک یا دو PSP منتخب پیاده‌سازی می‌شود و سپس با همکاری مرکز ماهر و بانک مرکزی به سطح ملی توسعه می‌یابد.
مقیاس اقتصادی: ایجاد چارچوب ارزیابی تاب‌آوری و اجرای دوره‌ای تمرین‌های قرمز، از بروز خسارات مالی سنگین ناشی از حملات سایبری جلوگیری می‌کند و موجب صرفه‌جویی قابل‌توجهی در هزینه‌های امنیتی در سطح صنعت می‌شود.

کاربران نهایی:

• بانک مرکزی و نهادهای تنظیم‌گر امنیت سایبری
• شرکت‌های پرداخت (PSP) و سوئیچ‌های بانکی
• مراکز SOC و CERT سازمانی
• تیم‌های امنیتی و مدیریت ریسک در صنعت مالی
  
  

تأثیر کلان:

• ارتقای سطح تاب‌آوری زیرساخت‌های پرداخت کشور در برابر تهدیدات سایبری
• استانداردسازی فرآیند ارزیابی امنیتی در سطح صنعت
• تقویت همکاری بین نهادهای نظارتی و عملیاتی در امنیت سایبری
• افزایش اعتماد عمومی به پایداری و امنیت خدمات پرداخت
  
  

جمع‌بندی فازبندی پیشنهادی پروژه

فاز	عنوان فاز	خروجی کلیدی	نوع فعالیت
۱	تحلیل مدل‌های جهانی Red Team و ارزیابی تطبیقی	گزارش تحقیق و طراحی مدل بومی عملیات قرمز	Research
۲	طراحی چارچوب عملیات تیم قرمز صنعت پرداخت	مستند معماری، فرآیند و نقش‌ها	Design
۳	توسعه زیرساخت تست و ابزارهای شبیه‌سازی	محیط تمرینی (Test Range) و ابزارهای اختصاصی	Development
۴	اجرای تمرین و ارزیابی تاب‌آوری سازمان‌ها	گزارش آسیب‌پذیری‌ها و شاخص‌های Resilience	Implementation
۵	مستندسازی و بهبود فرآیندها	گزارش نهایی مدیریتی و نقشه راه ارتقای تاب‌آوری	Validation

ملاحظات چارچوب پروپوزال ارسالی:

نگاه ماژولار و فازبندی:

به توجه به نوع تامین مالی پروژه که مبتنی بر اعتبار مالیاتی بانک مرکزی که عطف به تفاهم نامه بانک مرکزی و معاونت علمی ریاست جمهوری است، پروپوزال تهیه شده باید ساختار فازبندی شده و ماژولار داشته باشد و برای بازه زمانی یک ساله طراحی شده باشد و از سوی دیگر خروجی های هر فاز یا ماژول قابل اندازه گیری و بررسی باشد. از این رو ساختار فازبندی پیشنهادی در RFP موجود ارائه شده است با توجه به دانش و تجربه شرکت ارسال کننده پروپوزال، قابلیت بهبود و اصلاح دارد.

نگاه مالی مبتنی بر تحقیق و توسعه:

باتوجه به ماهیت R&D این پروژه و اهمیت سهم تحقیق برای نوآوری نسبت به راهکارهای موجود در بازار یا نمونه های بین المللی، باید بیش از 40 درصد ارزش پروژه باید برای مصارف مربوط به تحقیقات مورد نیاز برای توسعه محصول باشد. میزان سطح نوآوری و بخشی از محصول / پروژه که نسبت به راهکارهای حال حاضر نوآورانه است، تصریح و شفاف شود.

سرفصل هزینه کرد موردپذیرش:

باتوجه به نوع تامین مالی پروژه، باید محل مصرف منابع تامین شده عطف به آیین نامه های معاونت علمی و فناوری ریاست جمهوری برای پروژه های R&D در موضوعات ذیل باشد:

• تهیه و اجاره فضای کار اختصاصی تحقیق و توسعه: هزینه اجاره فضای تحقیق و توسعه با اولویت استقرار در زیست بوم نوآوری متناسب با پروژه تحقیق و توسعه

• ماشین آلات و تجهیزات: معادل استهلاک سالیانه ماشین آلات و تجهیزات در صورتی که نصب و راه اندازی شده باشد.

• نیروی انسانی : معادل حقوق و مزایای مندرج در لیست بیمه تامین اجتماعی برای نیروی انسانی مستقیم در پروژه های تحقیق و توسعه تا سقف حداکثر دستمزد مشمول کسر حق بیمه 

• مواد اولیه و قطعات مصرفی : مواد اجزاء و قطعات به میزان متناسب برای تولید آزمایشی به تعداد محدود برای ساخت نمونه اولیه و به میزان به کار رفته برای ساخت واحد آزمایشی

• تاییدیه ها و استانداردها: 

• هزینه آزمون ها و تست ها برای تحقیق و توسعه 

• استانداردهای ویژه و اختصاصی بر روی محصولات و خدمات مرتبط با پروژه مورد نظر 

• هزینه ثبت پتنت بین المللی  

• همکاری فناورانه: هزینه کرد قرارداد با شرکت های دانش بنیان و فناور دانشگاه ها و مراکز پژوهشی با تایید دبیرخانه و در چارچوب سرفصل های مورد تایید هزینه کرد در پروژه های تحقیق و توسعه

در پروپوزال ارسالی، پیشنهاد کلی نسبت به ساختار هزینه اعلام گردد.

 

تدقیق فازهای عملیاتی و ساختار هزینه کرد پس از ارزیابی شرکت های درخواست دهنده، با مشارکت ذینفعان بانک مرکزی و ناظران پروژه در همکاری با شرکت انجام خواهد شد.

شرح مسئله و اهداف شرکت برای تعریف پروژه

با گسترش خدمات دیجیتال، پرداخت الکترونیکی، احراز هویت غیرحضوری و تعاملات کاربری از طریق دستگاه‌های خودکار (Self-service Kiosk)، نیاز به ایجاد زیرساختی جهت تحلیل و پایش امنیتی فایل‌های ورودی در کیوسک‌ها به‌شدت افزایش یافته است. این فایل‌ها می‌توانند شامل مدارک هویتی، تصاویر کاربر، اسناد PDF، داده‌های تراکنش، یا فایل‌های چندرسانه‌ای باشند که از طریق حافظه USB، بارگذاری شبکه یا API دریافت می‌شوند.

در حال حاضر، بخش قابل‌توجهی از کیوسک‌های خدماتی (مانند کیوسک‌های بانکی، دولت الکترونیک یا سرویس‌های عمومی) فاقد سیستم هوشمند برای تشخیص تهدیدات امنیتی فایل‌ها هستند. نبود چنین زیرساختی باعث شده خطر ورود بدافزار، جاسوس‌افزار و داده‌های مخرب به شبکه‌های سازمانی و سامانه‌های حساس افزایش یابد.

هدف از تعریف این پروژه، طراحی و راه‌اندازی سامانه تحلیل فایل (File Analysis System) برای کیوسک‌های هوشمند است که بتواند به‌صورت خودکار فایل‌های ورودی را بررسی، شناسایی، طبقه‌بندی و از نظر تهدیدات امنیتی تحلیل کند و پیش از انتقال به سیستم مرکزی، گزارش و اقدام مناسب ارائه دهد.

اهداف کلان پروژه عبارت‌اند از:

• ایجاد سامانه‌ای بومی برای تحلیل، ارزیابی و طبقه‌بندی فایل‌های ورودی در کیوسک‌ها.
• افزایش امنیت شبکه‌های سازمانی از طریق پیشگیری از انتقال بدافزارها و داده‌های غیرمجاز.
• بهبود قابلیت اطمینان خدمات کیوسک در حوزه‌های بانکی، پرداخت، احراز هویت و خدمات عمومی.
• فراهم‌سازی زیرساخت مقیاس‌پذیر برای استقرار در صدها کیوسک در سطح کشور.
• ایجاد ماژول گزارش‌دهی، هشداردهی و یکپارچگی با سامانه‌های SOC (Security Operations Center).

چالش‌های فنی و تخصصی پروژه

1. تحلیل چندلایه فایل‌ها: طراحی موتور تحلیل چندمرحله‌ای شامل بررسی Signature، ساختار متاداده، Sandbox اجرا و تحلیل رفتاری (Behavioral Analysis) برای فایل‌های مختلف (PDF، تصویر، اسکریپت، آرشیو و…).
2. پردازش سبک و سریع برای محیط کیوسک: با توجه به محدودیت توان پردازشی، نیاز به طراحی موتور سبک (Lightweight Engine) با قابلیت اجرای آفلاین و سرعت تحلیل بالا وجود دارد.
3. تشخیص بدافزار بدون اتصال اینترنت: استفاده از مدل‌های Machine Learning و Signature محلی برای شناسایی تهدیدات بدون نیاز به ارسال داده به فضای ابری.
4. یکپارچگی با سیستم‌عامل و اپلیکیشن کیوسک: طراحی API محلی برای ارتباط با نرم‌افزارهای کیوسک و ارسال نتیجه تحلیل به‌صورت بلادرنگ (Real-time).
5. مدیریت و به‌روزرسانی مرکزی: سامانه باید قابلیت به‌روزرسانی خودکار Signatureها و مدل‌های ML از سرور مرکزی را داشته باشد بدون نیاز به حضور فیزیکی در هر دستگاه.
6. طراحی لایه ارتباط امن: رمزنگاری تبادلات بین کیوسک و سرور تحلیل مرکزی با استفاده از پروتکل‌های TLS و گواهی دیجیتال اختصاصی.
7. طبقه‌بندی سطح ریسک: فایل‌ها باید با برچسب‌های سطح تهدید (Safe, Suspicious, Malicious) مشخص شوند و در صورت خطر، از ارسال به سیستم مرکزی جلوگیری شود.
8. هماهنگی با SOC و SIEM سازمانی: تولید گزارش‌های استاندارد JSON/Syslog برای تحلیل در مرکز عملیات امنیت (SOC) و پایش رویدادها.

فازهای عملیاتی پیشنهادی:

• فاز ۱: مطالعه تطبیقی سامانه‌های File Analysis جهانی (FireEye, Cuckoo, OPSWAT) و طراحی مدل بومی.
• فاز ۲: طراحی معماری نرم‌افزار، ماژول تحلیل و سیستم به‌روزرسانی مرکزی.
• فاز ۳: توسعه موتور تحلیل فایل با قابلیت Offline و Sandbox سبک.
• فاز ۴: طراحی API ارتباطی و داشبورد مدیریتی برای پایش وضعیت کیوسک‌ها.
• فاز ۵: اجرای پایلوت در چند کیوسک منتخب، تست امنیت و ارزیابی عملکرد.

نوآوری محصول نسبت به محصولات مشابه در کشور/شرکت

1. اولین سامانه بومی تحلیل فایل در سطح کیوسک: برخلاف آنتی‌ویروس‌های عمومی، این سیستم برای محیط‌های خودکار و بدون کاربر انسانی طراحی می‌شود.
2. تحلیل چندسطحی آفلاین: موتور تحلیل رفتار فایل‌ها بدون نیاز به اتصال اینترنت، متناسب با الزامات امنیتی سازمان‌های حساس.
3. Sandbox داخلی سبک: اجرای فایل‌های ناشناخته در محیط مجازی ایزوله برای تشخیص رفتار مشکوک.
4. به‌روزرسانی هوشمند مرکزی: سیستم متمرکز برای ارسال Signature و مدل‌های جدید به صدها کیوسک به‌صورت زمان‌بندی‌شده.
5. یکپارچگی با SOC سازمانی: امکان تولید گزارش و هشدار به‌صورت بلادرنگ برای مرکز امنیت شبکه.
6. طراحی بومی و امن: انطباق کامل با سیاست‌های امنیتی ملی و جلوگیری از وابستگی به محصولات خارجی.

مقیاس پروژه

مقیاس فنی: پروژه در فاز نخست به‌صورت پایلوت روی ۵۰ تا ۱۰۰ کیوسک بانکی و خدماتی اجرا می‌شود. سپس در فاز دوم با استقرار سرور مرکزی و به‌روزرسانی خودکار، قابلیت پوشش چند هزار کیوسک در سراسر کشور را خواهد داشت.

مقیاس اقتصادی: جلوگیری از آلودگی سیستم‌های بانکی و دولتی می‌تواند هزینه‌های امنیتی را به‌شدت کاهش دهد. همچنین، با افزایش اعتماد کاربران به امنیت کیوسک‌ها، میزان استفاده از خدمات دیجیتال نیز رشد می‌کند.

کاربران نهایی:

• بانک‌ها، شرکت‌های پرداخت و اپراتورهای کیوسک خدماتی
• نهادهای دولتی ارائه‌دهنده خدمات الکترونیک
• مراکز داده و SOCهای سازمانی
• کاربران عمومی استفاده‌کننده از خدمات خودکار حضوری

تأثیر کلان:

• افزایش امنیت خدمات خودکار و حضوری در کشور
• جلوگیری از نفوذ بدافزارها به زیرساخت‌های حیاتی
• تقویت اعتماد عمومی به خدمات دیجیتال دولت و بانک‌ها
• ایجاد توان فنی بومی در حوزه امنیت فایل و Endpoint

 

جمع‌بندی فازبندی پیشنهادی پروژه

فاز	عنوان فاز	خروجی کلیدی	نوع فعالیت
۱	مطالعه تطبیقی و طراحی مفهومی سامانه تحلیل فایل	گزارش تحقیق و مدل بومی سامانه File Analysis	Research
۲	طراحی معماری نرم‌افزار و سیستم به‌روزرسانی مرکزی	مستند فنی و معماری ارتباط کیوسک–سرور	Design
۳	توسعه موتور تحلیل فایل و Sandbox سبک	ماژول تحلیل آفلاین با الگوریتم‌های تشخیص تهدید	Development
۴	طراحی API و داشبورد مدیریتی	زیرساخت ارتباطی و مانیتورینگ کیوسک‌ها	Implementation
۵	اجرای پایلوت و ارزیابی عملکرد	گزارش امنیتی و طرح استقرار در مقیاس ملی	Validation

ملاحظات چارچوب پروپوزال ارسالی:

نگاه ماژولار و فازبندی:

به توجه به نوع تامین مالی پروژه که مبتنی بر اعتبار مالیاتی بانک مرکزی که عطف به تفاهم نامه بانک مرکزی و معاونت علمی ریاست جمهوری است، پروپوزال تهیه شده باید ساختار فازبندی شده و ماژولار داشته باشد و برای بازه زمانی یک ساله طراحی شده باشد و از سوی دیگر خروجی های هر فاز یا ماژول قابل اندازه گیری و بررسی باشد. از این رو ساختار فازبندی پیشنهادی در RFP موجود ارائه شده است با توجه به دانش و تجربه شرکت ارسال کننده پروپوزال، قابلیت بهبود و اصلاح دارد.

نگاه مالی مبتنی بر تحقیق و توسعه:

باتوجه به ماهیت R&D این پروژه و اهمیت سهم تحقیق برای نوآوری نسبت به راهکارهای موجود در بازار یا نمونه های بین المللی، باید بیش از 40 درصد ارزش پروژه باید برای مصارف مربوط به تحقیقات مورد نیاز برای توسعه محصول باشد. میزان سطح نوآوری و بخشی از محصول / پروژه که نسبت به راهکارهای حال حاضر نوآورانه است، تصریح و شفاف شود.

سرفصل هزینه کرد موردپذیرش:

باتوجه به نوع تامین مالی پروژه، باید محل مصرف منابع تامین شده عطف به آیین نامه های معاونت علمی و فناوری ریاست جمهوری برای پروژه های R&D در موضوعات ذیل باشد:

• تهیه و اجاره فضای کار اختصاصی تحقیق و توسعه: هزینه اجاره فضای تحقیق و توسعه با اولویت استقرار در زیست بوم نوآوری متناسب با پروژه تحقیق و توسعه

• ماشین آلات و تجهیزات: معادل استهلاک سالیانه ماشین آلات و تجهیزات در صورتی که نصب و راه اندازی شده باشد.

• نیروی انسانی : معادل حقوق و مزایای مندرج در لیست بیمه تامین اجتماعی برای نیروی انسانی مستقیم در پروژه های تحقیق و توسعه تا سقف حداکثر دستمزد مشمول کسر حق بیمه 

• مواد اولیه و قطعات مصرفی : مواد اجزاء و قطعات به میزان متناسب برای تولید آزمایشی به تعداد محدود برای ساخت نمونه اولیه و به میزان به کار رفته برای ساخت واحد آزمایشی

• تاییدیه ها و استانداردها: 

• هزینه آزمون ها و تست ها برای تحقیق و توسعه 

• استانداردهای ویژه و اختصاصی بر روی محصولات و خدمات مرتبط با پروژه مورد نظر 

• هزینه ثبت پتنت بین المللی  

• همکاری فناورانه: هزینه کرد قرارداد با شرکت های دانش بنیان و فناور دانشگاه ها و مراکز پژوهشی با تایید دبیرخانه و در چارچوب سرفصل های مورد تایید هزینه کرد در پروژه های تحقیق و توسعه

در پروپوزال ارسالی، پیشنهاد کلی نسبت به ساختار هزینه اعلام گردد.

 

تدقیق فازهای عملیاتی و ساختار هزینه کرد پس از ارزیابی شرکت های درخواست دهنده، با مشارکت ذینفعان بانک مرکزی و ناظران پروژه در همکاری با شرکت انجام خواهد شد.