Слайд 2Область применения
Сетевая безопасность платежных систем
Область применения
Требования
CSP VPN Gate 100B
Дизайн VPN
Критерии выбора продуктов
![Область применения Сетевая безопасность платежных систем Область применения Требования CSP VPN Gate](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/394632/slide-1.jpg)
Слайд 3Необходимость защиты
Платежные сети передают и обрабатывают критичную информацию
потенциальный объект атаки
идеальный вариант –
![Необходимость защиты Платежные сети передают и обрабатывают критичную информацию потенциальный объект атаки](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/394632/slide-2.jpg)
изолированная сеть
проблема: сегодня на рынке отсутствуют специальные средства защиты для банкоматов
Банкомат защищен на прикладном уровне, но желательны дополнительные средства защиты:
защита от несанкционированного доступа из сети
защита от denial-of-service attack
конфиденциальность в открытой сети, защита от недобросовестного провайдера выделенной линии
Слайд 4Подключение через Интернет
Значительно дешевле, чем выделенная линия IP или X.25
Дешевле, надежнее и
![Подключение через Интернет Значительно дешевле, чем выделенная линия IP или X.25 Дешевле,](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/394632/slide-3.jpg)
удобнее, чем коммутируемая линия
Легко диверсифицируется (надежность коммуникаций)
В регионах часто отсутствуют выделенные коммуникационные ресурсы и подключению через Интернет нет альтернативы
НО:
При работе платежной сети через Интернет требуется решение проблемы сетевой информационной безопасности
Слайд 5Решение существует
Технологии VPN (IKE/IPsec) позволяют практически полностью изолировать платежную сеть
сеть настраивается в
![Решение существует Технологии VPN (IKE/IPsec) позволяют практически полностью изолировать платежную сеть сеть](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/394632/slide-4.jpg)
режим работы только с шифрованным трафиком
доступ в сеть получает только владелец криптоключа (сертификата)
Стандартные прикладные средства обеспечения информационной безопасности банкомата не используют российских криптостандартов и, таким образом, де-юре не являются средствами защиты
дополнить программное обеспечение банкомата сертифицированными средствами защиты невозможно (состав ПО ограничен)
применение сертифицированных средств защиты сетевого уровня легализует систему безопасности платежной системы
Слайд 6Требования
Сетевая безопасность платежных систем
Область применения
Требования
CSP VPN Gate 100B
Дизайн VPN
Критерии выбора продуктов
![Требования Сетевая безопасность платежных систем Область применения Требования CSP VPN Gate 100B](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/394632/slide-5.jpg)
Слайд 7Сетевое окружение банкомата
Уединенный банкомат подключается к процессинговому центру при помощи
выделенной линии
IP
X.25
коммутируемой
![Сетевое окружение банкомата Уединенный банкомат подключается к процессинговому центру при помощи выделенной](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/394632/slide-6.jpg)
линии
GPRS
Банкомат в подразделении, отделении, сети предприятия – LAN-соединение (Х.25 или IP)
Слайд 8Требования надежности
К платежной системе, как с системе массового обслуживания, предъявляются повышенные
![Требования надежности К платежной системе, как с системе массового обслуживания, предъявляются повышенные](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/394632/slide-7.jpg)
требования надежности
Можно выделить подзадачи:
надежности банкомата
надежные платформы не применяют, дешевле установить два банкомата
надежности канала связи
применяют резервированные каналы
надежности процессингового центра
применяют резервированные и отказоустойчивые решения
Слайд 9CSP VPN Gate 100B
Сетевая безопасность платежных систем
Область применения
Требования
CSP VPN Gate 100B
Дизайн VPN
Критерии
![CSP VPN Gate 100B Сетевая безопасность платежных систем Область применения Требования CSP](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/394632/slide-8.jpg)
выбора продуктов
Слайд 10Системно-технические требования
Компактность
Пылезащищенность (отсутствие механических компонент)
Поддержка коммуникационных сред платежных сетей
Ethernet
модем (внешний) на выделенной
![Системно-технические требования Компактность Пылезащищенность (отсутствие механических компонент) Поддержка коммуникационных сред платежных сетей](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/394632/slide-9.jpg)
линии, коммутируемой линии, GPRS
Поддержка требований надежности коммуникационной инфраструктуры
поддержка резервирования каналов со стороны банкомата (диверсификация доступа)
поддержка резервированной сетевой инфраструктуры процессингового центра (работа в сети с резервированными шлюзами доступа, автоматическая отработка отказа шлюза доступа)
Слайд 11Специальные требования
Стойкость защиты
конфиденциальность
строгий контроль доступа (изоляция платежной сети)
Защищенность от НСД со стороны
![Специальные требования Стойкость защиты конфиденциальность строгий контроль доступа (изоляция платежной сети) Защищенность](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/394632/slide-10.jpg)
обслуживающего персонала
Стандартизация, управляемость, совместимость с системами сетевого событийного протоколирования и мониторинга, работа с различными криптографическими и ключевыми системами
Использование российских стандартов и сертификация
Слайд 12VPN-шлюз для защиты банкомата
CSP VPN Gate 100B:
IKE/IPsec VPN-шлюз с использованием российских
![VPN-шлюз для защиты банкомата CSP VPN Gate 100B: IKE/IPsec VPN-шлюз с использованием](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/394632/slide-11.jpg)
криптостандартов
полный набор технических характеристик продуктов CSP VPN Gate (http://www.s-terra.com/CSP/RU/products/products.htm)
Удовлетворяет приведенным выше системно-техническим и специальным требованиям
Обеспечивает производительность шифрования трафика до 10 Мбит/с, поддерживает до 5 конкурентных VPN-туннелей
ОС Linux (пользователь работает в стандартной консоли Cisco)
Дистанционное управление по защищенному каналу, централизованное управление с платформы CiscoWorks
Слайд 13Дизайн VPN
Сетевая безопасность платежных систем
Область применения
Требования
CSP VPN Gate 100B
Дизайн VPN
Критерии выбора продуктов
![Дизайн VPN Сетевая безопасность платежных систем Область применения Требования CSP VPN Gate](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/394632/slide-12.jpg)
Слайд 15Выполнение требований безопасности
Весь трафик платежной сети шифрован
Платежная сеть изолирована не только от
![Выполнение требований безопасности Весь трафик платежной сети шифрован Платежная сеть изолирована не](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/394632/slide-14.jpg)
публичных коммуникационных сетей, но и от информационной сети Банка
Слайд 16Обеспечение коммуникативности
Число провайдеров не ограничено (возможна диверсификация)
Доверие к провайдерам не требуется
Используются различные
![Обеспечение коммуникативности Число провайдеров не ограничено (возможна диверсификация) Доверие к провайдерам не](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/394632/slide-15.jpg)
среды передачи данных
Слайд 17Выполнение требований надежности
Уединенный банкомат использует резервированные каналы и автоматически переключается на резервный
![Выполнение требований надежности Уединенный банкомат использует резервированные каналы и автоматически переключается на](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/394632/slide-16.jpg)
канал (шлюз безопасности поддерживает эти операции)
Слайд 18Выполнение требований надежности
В отделении резервирование каналов и диверсификация доступа обеспечиваются для всей
![Выполнение требований надежности В отделении резервирование каналов и диверсификация доступа обеспечиваются для](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/394632/slide-17.jpg)
сети отделения (возможен вывод резервной линии со шлюза защиты платежного сегмента)
Слайд 19Выполнение требований надежности
В процессинговом центре шлюзы безопасности резервированы и автоматически отрабатывают отказ
![Выполнение требований надежности В процессинговом центре шлюзы безопасности резервированы и автоматически отрабатывают отказ](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/394632/slide-18.jpg)
Слайд 20Критерии выбора продуктов
Сетевая безопасность платежных систем
Область применения
Требования
CSP VPN Gate 100B
Дизайн VPN
Критерии выбора
![Критерии выбора продуктов Сетевая безопасность платежных систем Область применения Требования CSP VPN](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/394632/slide-19.jpg)
продуктов
Слайд 21Защита уединенного банкомата
Для защиты отдельно установленного банкомата применяются продукты CSP VPN Gate
![Защита уединенного банкомата Для защиты отдельно установленного банкомата применяются продукты CSP VPN](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/394632/slide-20.jpg)
100B или CSP VPN Server B
По практике наших заказчиков продукт Server B часто устанавливается на банкоматы, находящиеся в контролируемой зоне
В тех случаях, когда
регламент эксплуатации платежной системы запрещает установку дополнительного ПО в банкомат
персоналу эксплуатации банкоматов нельзя давать доступ к системам защиты информации (часто это требование связывают с тем, что находится вне контролируемой зоны)
применяется выделенное изолированное средство защиты – CSP VPN Gate 100B
Прочие критерии выбора продуктов (например, скорость линии передачи данных) не имеют значения
Слайд 22Защита в отделении банка
Для защиты сети банкоматов и POS-терминалов в ЛВС отделения
![Защита в отделении банка Для защиты сети банкоматов и POS-терминалов в ЛВС](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/394632/slide-21.jpg)
банка применяют:
средства индивидуальной защиты устройств
CSP VPN Client для POS-терминалов
CSP VPN Server B или Gate 100B для банкоматов
ИЛИ
маршрутизатор Cisco ISR c модулем NME RVPN
ИЛИ
шлюз безопасности CSP VPN Gate 100B, 1000 или 3000
Слайд 23Защита в отделении банка
Средства индивидуальной защиты устройств применяют, когда политика безопасности платежной
![Защита в отделении банка Средства индивидуальной защиты устройств применяют, когда политика безопасности](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/394632/slide-22.jpg)
системы не допускает распространения открытого трафика в отделении банка
продукт CSP VPN Client B отличается от продукта Server B тем, что, как клиентская программа, не работает до входа оператора в систему
Прочие критерии выбора продуктов не устанавливаются
Слайд 24Защита в отделении банка
Модуль NME-RVPN в маршриутизаторах Cisco ISR 2800/3800 применяют в
![Защита в отделении банка Модуль NME-RVPN в маршриутизаторах Cisco ISR 2800/3800 применяют](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/394632/slide-23.jpg)
случаях, если:
требуется обеспечить унифицированный процесс эксплуатации, построенный на оборудовании компании Cisco Systems
платежную сеть необходимо подключить непосредственно к WAN-каналу
Слайд 25Защита в отделении банка
Шлюзы безопасности CSP VPN Gate 100В или 1000, реже
![Защита в отделении банка Шлюзы безопасности CSP VPN Gate 100В или 1000,](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/394632/slide-24.jpg)
- 3000 применяют в зависимости от объема трафика сегмента платежной сети в отделении банка
Иногда применяют схемы с резервированием шлюзов безопасности
Слайд 26Защита процессингового центра
Для защиты процессингового центра применятся всегда резервированный блок
маршрутизаторов Cisco ISR
![Защита процессингового центра Для защиты процессингового центра применятся всегда резервированный блок маршрутизаторов](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/394632/slide-25.jpg)
с модулями NME RVPN(V)
И/ИЛИ
шлюзов безопасности CSP VPN Gate
Слайд 27Защита процессингового центра
Число резервированных
маршрутизаторов в блоке –
не менее 2х
между маршрутизаторами
![Защита процессингового центра Число резервированных маршрутизаторов в блоке – не менее 2х](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/394632/slide-26.jpg)
блока
обеспечивается выравнивание
нагрузки
система с тремя шлюзами
безопасности обеспечивает
дублирование систем защиты
даже при отказе (профилактике)
отдельного маршрутизатора
Один модуль NME RVPN(V) может обслуживать сеть из 10 000 банкоматов и POS-терминалов
Масштабируемость системы:
с применением 2х маршрутизаторов Cisco ISR 3845 с 4мя модулями NME RVPN каждый обеспечивается защита платежной сети с 50 000 абонентов
установка дополнительных маршрутизаторов может поднять и этот предел
Слайд 28Защита процессингового центра
Блок шлюзов CSP VPN Gate 3000 наследует все свойства решения
![Защита процессингового центра Блок шлюзов CSP VPN Gate 3000 наследует все свойства](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/394632/slide-27.jpg)
на основе
Cisco ISR + NME RVPN(V)