В рубрику "Сети" | К списку рубрик | К списку авторов | К списку публикаций
С.Д. Рябко, генеральный директор
ЗАО «С-Терра СиЭсПи», к. ф.-м. н.
Проблемы защиты платежных сетей
Банковские сети — и это очевидно — относятся к классу информационных систем, представляющих особый интерес для злоумышленников. Тогда как информационные системы банков адекватно ограждены от вторжений, для платежных систем соответствующих решений на рынке нет. Причин несколько. Банкомат защищен на прикладном уровне, но эта защита не может быть локализована и сертифицирована в соответствии с требованиями российского законодательства: утратится совместимость с платежной системой. Состав специализированного программного обеспечения банкомата строго регламентирован. Установка внутрь банкомата дополнительных программ для защиты информации не практикуется. Применить же внешний шлюз безопасности можно лишь в том случае, если он удовлетворяет ряду специальных условий. Требуется, чтобы шлюз был компактным, не содержал механических частей (в банкомате полно пыли с улицы, от денег, от печатающего устройства), потреблял минимум энергии и выделял мало тепла, поддерживал требуемый уровень надежности системы, соответствовал стандартам сетевой безопасности и совместимости. Наконец, такой шлюз должен быть очень недорогим (стоимость российских средств сетевой защиты нередко сопоставима со стоимостью банкомата).
По всем этим параметрам заслуживает внимания сертифицированный ФСТЭК России шлюз безопасности SCP VPN Gate 100B. При помощи названного продукта решается целый ряд проблем сохранности платежной системы: обеспечиваются конфиденциальность и целостность трафика (на уровне пакетов и на уровне потока данных) и надежная защита от несанкционированного доступа.
Сетевое окружение банкомата
Уединенный банкомат подключается к процессинговому центру при помощи выделенной и/или коммутируемой линии, средств мобильной телефонии. Банкомат, находящийся в отделении банка или в сети предприятия, связывается с центром через локальную сеть. Применение средств сетевой защиты позволяет безопасно подключать банкоматы и POS-терминалы через Интернет. Это значительно выгоднее, чем выделенная линия IP или X.25, а также дешевле, надежнее и удобнее, чем коммутируемая линия. Подключения через Интернет легко диверсифицируются, что обеспечивает требуемый уровень надежности коммуникаций. Более того, в регионах нередко вообще отсутствуют выделенные коммуникационные ресурсы, так что подключению через Интернет порой просто нет альтернативы.
Требования надежности
К платежной системе, как системе массового обслуживания, предъявляются повышенные требования в плане надежности. Выполнение этой задачи предполагает:
Специальные требования
Поскольку платежная система может быть мишенью сложной, технически обеспеченной атаки как из сети, так и со стороны недобросовестного обслуживающего персонала, для нее часто вводятся особые требования. Это в первую очередь:
Удовлетворяя этим требованиям, решение на основе продуктов CSP VPN дополнительно гарантирует централизацию управления с использованием платформы Cisco-Works, совместимость с системами сетевого событийного протоколирования и мониторинга, обеспечивает работу как с симметричными ключами, так и с большинством инфраструктур открытых ключей.
Рекомендуемый сценарий применения
Нашими партнерами проведены тестирования сценариев с автоматическим переключением в случае отказа на резервный канал (испытаны выделенные, коммутируемые линии и GPRS) и на резервный шлюз безопасности. CSP VPN Gate компании «С-Терра СиЭсПи» стал лауреатом премии «Зубр-2005» как «Лучший инновационный продукт в области информационной безопасности». Решение уже нашло применение в российских банках.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2005