Cisco Solution Technology Integrator Сетевая безопасность для вертикальных рынков Сетевая безопасность платежных систем СТАНДАРТ СЕТЕВОЙ БЕЗОПАС

Содержание

Слайд 2

Область применения

Сетевая безопасность платежных систем
Область применения
Требования
CSP VPN Gate 100B
Дизайн VPN
Критерии выбора продуктов

Область применения Сетевая безопасность платежных систем Область применения Требования CSP VPN Gate

Слайд 3

Необходимость защиты

Платежные сети передают и обрабатывают критичную информацию
потенциальный объект атаки
идеальный вариант –

Необходимость защиты Платежные сети передают и обрабатывают критичную информацию потенциальный объект атаки
изолированная сеть
проблема: сегодня на рынке отсутствуют специальные средства защиты для банкоматов
Банкомат защищен на прикладном уровне, но желательны дополнительные средства защиты:
защита от несанкционированного доступа из сети
защита от denial-of-service attack
конфиденциальность в открытой сети, защита от недобросовестного провайдера выделенной линии

Слайд 4

Подключение через Интернет

Значительно дешевле, чем выделенная линия IP или X.25
Дешевле, надежнее и

Подключение через Интернет Значительно дешевле, чем выделенная линия IP или X.25 Дешевле,
удобнее, чем коммутируемая линия
Легко диверсифицируется (надежность коммуникаций)
В регионах часто отсутствуют выделенные коммуникационные ресурсы и подключению через Интернет нет альтернативы
НО:
При работе платежной сети через Интернет требуется решение проблемы сетевой информационной безопасности

Слайд 5

Решение существует

Технологии VPN (IKE/IPsec) позволяют практически полностью изолировать платежную сеть
сеть настраивается в

Решение существует Технологии VPN (IKE/IPsec) позволяют практически полностью изолировать платежную сеть сеть
режим работы только с шифрованным трафиком
доступ в сеть получает только владелец криптоключа (сертификата)
Стандартные прикладные средства обеспечения информационной безопасности банкомата не используют российских криптостандартов и, таким образом, де-юре не являются средствами защиты
дополнить программное обеспечение банкомата сертифицированными средствами защиты невозможно (состав ПО ограничен)
применение сертифицированных средств защиты сетевого уровня легализует систему безопасности платежной системы

Слайд 6

Требования

Сетевая безопасность платежных систем
Область применения
Требования
CSP VPN Gate 100B
Дизайн VPN
Критерии выбора продуктов

Требования Сетевая безопасность платежных систем Область применения Требования CSP VPN Gate 100B

Слайд 7

Сетевое окружение банкомата

Уединенный банкомат подключается к процессинговому центру при помощи
выделенной линии
IP
X.25
коммутируемой

Сетевое окружение банкомата Уединенный банкомат подключается к процессинговому центру при помощи выделенной
линии
GPRS
Банкомат в подразделении, отделении, сети предприятия – LAN-соединение (Х.25 или IP)

Слайд 8

Требования надежности

К платежной системе, как с системе массового обслуживания, предъявляются повышенные

Требования надежности К платежной системе, как с системе массового обслуживания, предъявляются повышенные
требования надежности
Можно выделить подзадачи:
надежности банкомата
надежные платформы не применяют, дешевле установить два банкомата
надежности канала связи
применяют резервированные каналы
надежности процессингового центра
применяют резервированные и отказоустойчивые решения

Слайд 9

CSP VPN Gate 100B

Сетевая безопасность платежных систем
Область применения
Требования
CSP VPN Gate 100B
Дизайн VPN
Критерии

CSP VPN Gate 100B Сетевая безопасность платежных систем Область применения Требования CSP
выбора продуктов

Слайд 10

Системно-технические требования

Компактность
Пылезащищенность (отсутствие механических компонент)
Поддержка коммуникационных сред платежных сетей
Ethernet
модем (внешний) на выделенной

Системно-технические требования Компактность Пылезащищенность (отсутствие механических компонент) Поддержка коммуникационных сред платежных сетей
линии, коммутируемой линии, GPRS
Поддержка требований надежности коммуникационной инфраструктуры
поддержка резервирования каналов со стороны банкомата (диверсификация доступа)
поддержка резервированной сетевой инфраструктуры процессингового центра (работа в сети с резервированными шлюзами доступа, автоматическая отработка отказа шлюза доступа)

Слайд 11

Специальные требования

Стойкость защиты
конфиденциальность
строгий контроль доступа (изоляция платежной сети)
Защищенность от НСД со стороны

Специальные требования Стойкость защиты конфиденциальность строгий контроль доступа (изоляция платежной сети) Защищенность
обслуживающего персонала
Стандартизация, управляемость, совместимость с системами сетевого событийного протоколирования и мониторинга, работа с различными криптографическими и ключевыми системами
Использование российских стандартов и сертификация

Слайд 12

VPN-шлюз для защиты банкомата

CSP VPN Gate 100B:
IKE/IPsec VPN-шлюз с использованием российских

VPN-шлюз для защиты банкомата CSP VPN Gate 100B: IKE/IPsec VPN-шлюз с использованием
криптостандартов
полный набор технических характеристик продуктов CSP VPN Gate (http://www.s-terra.com/CSP/RU/products/products.htm)
Удовлетворяет приведенным выше системно-техническим и специальным требованиям
Обеспечивает производительность шифрования трафика до 10 Мбит/с, поддерживает до 5 конкурентных VPN-туннелей
ОС Linux (пользователь работает в стандартной консоли Cisco)
Дистанционное управление по защищенному каналу, централизованное управление с платформы CiscoWorks

Слайд 13

Дизайн VPN

Сетевая безопасность платежных систем
Область применения
Требования
CSP VPN Gate 100B
Дизайн VPN
Критерии выбора продуктов

Дизайн VPN Сетевая безопасность платежных систем Область применения Требования CSP VPN Gate

Слайд 14

Базовый сценарий применения

Базовый сценарий применения

Слайд 15

Выполнение требований безопасности

Весь трафик платежной сети шифрован
Платежная сеть изолирована не только от

Выполнение требований безопасности Весь трафик платежной сети шифрован Платежная сеть изолирована не
публичных коммуникационных сетей, но и от информационной сети Банка

Слайд 16

Обеспечение коммуникативности

Число провайдеров не ограничено (возможна диверсификация)
Доверие к провайдерам не требуется
Используются различные

Обеспечение коммуникативности Число провайдеров не ограничено (возможна диверсификация) Доверие к провайдерам не
среды передачи данных

Слайд 17

Выполнение требований надежности

Уединенный банкомат использует резервированные каналы и автоматически переключается на резервный

Выполнение требований надежности Уединенный банкомат использует резервированные каналы и автоматически переключается на
канал (шлюз безопасности поддерживает эти операции)

Слайд 18

Выполнение требований надежности

В отделении резервирование каналов и диверсификация доступа обеспечиваются для всей

Выполнение требований надежности В отделении резервирование каналов и диверсификация доступа обеспечиваются для
сети отделения (возможен вывод резервной линии со шлюза защиты платежного сегмента)

Слайд 19

Выполнение требований надежности

В процессинговом центре шлюзы безопасности резервированы и автоматически отрабатывают отказ

Выполнение требований надежности В процессинговом центре шлюзы безопасности резервированы и автоматически отрабатывают отказ

Слайд 20

Критерии выбора продуктов

Сетевая безопасность платежных систем
Область применения
Требования
CSP VPN Gate 100B
Дизайн VPN
Критерии выбора

Критерии выбора продуктов Сетевая безопасность платежных систем Область применения Требования CSP VPN
продуктов

Слайд 21

Защита уединенного банкомата

Для защиты отдельно установленного банкомата применяются продукты CSP VPN Gate

Защита уединенного банкомата Для защиты отдельно установленного банкомата применяются продукты CSP VPN
100B или CSP VPN Server B
По практике наших заказчиков продукт Server B часто устанавливается на банкоматы, находящиеся в контролируемой зоне
В тех случаях, когда
регламент эксплуатации платежной системы запрещает установку дополнительного ПО в банкомат
персоналу эксплуатации банкоматов нельзя давать доступ к системам защиты информации (часто это требование связывают с тем, что находится вне контролируемой зоны)
применяется выделенное изолированное средство защиты – CSP VPN Gate 100B
Прочие критерии выбора продуктов (например, скорость линии передачи данных) не имеют значения

Слайд 22

Защита в отделении банка

Для защиты сети банкоматов и POS-терминалов в ЛВС отделения

Защита в отделении банка Для защиты сети банкоматов и POS-терминалов в ЛВС
банка применяют:
средства индивидуальной защиты устройств
CSP VPN Client для POS-терминалов
CSP VPN Server B или Gate 100B для банкоматов
ИЛИ
маршрутизатор Cisco ISR c модулем NME RVPN
ИЛИ
шлюз безопасности CSP VPN Gate 100B, 1000 или 3000

Слайд 23

Защита в отделении банка

Средства индивидуальной защиты устройств применяют, когда политика безопасности платежной

Защита в отделении банка Средства индивидуальной защиты устройств применяют, когда политика безопасности
системы не допускает распространения открытого трафика в отделении банка
продукт CSP VPN Client B отличается от продукта Server B тем, что, как клиентская программа, не работает до входа оператора в систему
Прочие критерии выбора продуктов не устанавливаются

Слайд 24

Защита в отделении банка

Модуль NME-RVPN в маршриутизаторах Cisco ISR 2800/3800 применяют в

Защита в отделении банка Модуль NME-RVPN в маршриутизаторах Cisco ISR 2800/3800 применяют
случаях, если:
требуется обеспечить унифицированный процесс эксплуатации, построенный на оборудовании компании Cisco Systems
платежную сеть необходимо подключить непосредственно к WAN-каналу

Слайд 25

Защита в отделении банка

Шлюзы безопасности CSP VPN Gate 100В или 1000, реже

Защита в отделении банка Шлюзы безопасности CSP VPN Gate 100В или 1000,
- 3000 применяют в зависимости от объема трафика сегмента платежной сети в отделении банка
Иногда применяют схемы с резервированием шлюзов безопасности

Слайд 26

Защита процессингового центра

Для защиты процессингового центра применятся всегда резервированный блок
маршрутизаторов Cisco ISR

Защита процессингового центра Для защиты процессингового центра применятся всегда резервированный блок маршрутизаторов
с модулями NME RVPN(V)
И/ИЛИ
шлюзов безопасности CSP VPN Gate

Слайд 27

Защита процессингового центра

Число резервированных маршрутизаторов в блоке – не менее 2х
между маршрутизаторами

Защита процессингового центра Число резервированных маршрутизаторов в блоке – не менее 2х
блока обеспечивается выравнивание нагрузки
система с тремя шлюзами безопасности обеспечивает дублирование систем защиты даже при отказе (профилактике) отдельного маршрутизатора
Один модуль NME RVPN(V) может обслуживать сеть из 10 000 банкоматов и POS-терминалов
Масштабируемость системы:
с применением 2х маршрутизаторов Cisco ISR 3845 с 4мя модулями NME RVPN каждый обеспечивается защита платежной сети с 50 000 абонентов
установка дополнительных маршрутизаторов может поднять и этот предел

Слайд 28

Защита процессингового центра

Блок шлюзов CSP VPN Gate 3000 наследует все свойства решения

Защита процессингового центра Блок шлюзов CSP VPN Gate 3000 наследует все свойства
на основе Cisco ISR + NME RVPN(V)
Имя файла: Cisco-Solution-Technology-Integrator-Сетевая-безопасность-для-вертикальных-рынков-Сетевая-безопасность-платежных-систем-СТАНДАРТ-СЕТЕВОЙ-БЕЗОПАС.pptx
Количество просмотров: 195
Количество скачиваний: 0