Современные информационные
технологии/4.Информационная безопасность
Онищенко
Н.Л., Червинский В.В.
Донецкий
национальный технический университет
Особенности реализации
VPN для телекоммуникационной сети Донецкого филиала «УкрСиббанк»
Любое предприятие с филиальной структурой нуждается в организации надежного и безопасного канала обмена информацией между всеми филиалами и центральным офисом. Особенно остро эта проблема стоит для предприятий банковской сферы, страховых компаний, управляющих компаний холдингов и корпораций, государственных органов, розничных торговых сетей.
Структура компании
«УкрСиббанк», как и любой другой банковской сети, имеет четкое разграничение
функций офиса фронта и бекофиса,
что повышает качество обслуживания клиентов и способствует уменьшению рисков.
Таким образом, банковская сеть включает центральный офис в городе Киеве,
региональные дирекции банка во всех областях Украины и закрепленные за ними
отделения. Состоянием на 1 января 2009 года региональная сеть «УкрСиббанка»
представлена 930 отделениями и более чем 3600 банкоматами по всем регионам
Украины. Сегодня в Донецкой области работает 86 отделений банка [1].
На рис. 1
представлена структурная схема банковской сети компании «УкрСиббанк».
На рис. 1 приняты такие обозначения:
1 – отдел кадров;
2 – юридический отдел;
3 – отдел платежей;
4 – отделение бизнеса физических лиц;
5 – отделение бизнеса юридических лиц;
6 – отдел расчетов по банковским операциям;
7 – территориально обособленные безбалансовые отделения;
8 – сеть банкоматов.
Рисунок 1 – Структурная схема банковской сети
Наилучшим инструментом для обеспечения информационного обмена для такой структуры являются VPN сети, которые обеспечивают:
- надежную защиту передаваемой информации;
- предоставление сотрудникам, клиентам, компаниям-партнерам удаленного и защищенного доступа;
- межсетевое экранирование и маскировку топологии сети;
- аутентификацию пользователей и узлов сети;
- "прозрачность" работы для сетевых приложений;
- отсутствие необходимости собственных выделенных каналов связи для обеспечения безопасности передаваемой информации.
Технология виртуальных частных сетей VPN (Virtual Private Networks) позволяет объединять территориально распределенные сети в единую логическую сеть. Ключевая особенность технологии VPN заключается в том, что исключается необходимость задействовать выделенные каналы и появляется возможность использовать существующие подключения к сети Интернет. Такую сеть можно представить как наложенную по отношению к существующей физической сети [2].
Сети VPN строятся с использованием протоколов туннелирования данных через сеть общего пользования, которые обеспечивают шифрование данных и осуществляют их сквозную передачу между пользователями. На сегодняшний день для построения сетей VPN применяются протоколы трех уровней модели OSI [3]:
1) канальный уровень: протоколы туннелирования данных L2TP и PPTP, которые используют авторизацию и аутентификацию. Для организации туннелей может применяться технология MPLS.
2) сетевой уровень (уровень IP): протокол IPSec, реализующий шифрование, конфиденциальность данных и аутентификацию абонентов.
3) транспортный уровень: протокол SSL/TLS (Secure Socket Layer / Transport Layer Security), реализующий шифрование и аутентификацию между транспортными уровнями приемника и передатчика.
В зависимости от требований к уровню безопасности передаваемой информации на разных уровнях корпоративной сети банка предлагается использовать различные протоколы технологии VPN. Так, например, связь сети банкоматов с процессинговым центром, в котором происходит обработка денежных операций по пластиковым карточкам, может осуществляться по протоколу IPSec. Данный протокол предполагается использовать потому, что он обеспечивает шифрование, конфиденциальность передаваемых данных, что немаловажно при передаче транзакций по пластиковым карточкам.
Подключение к ядру корпоративной сети банка, расположенного в г. Киеве, предполагается осуществлять по технологии VPN на базе протокола MPLS через сеть провайдера «Укртелеком». Протокол MPLS позволяет упростить процесс маршрутизации пакетов данных при прохождении через магистральную сеть провайдера.
Применение технологии VPN на базе протокола транспортного уровня модели OSI SSL/TLS для банковской корпоративной сети является нежелательным, хотя с экономической точки зрения этот вариант более выгоден. Но, учитывая характер передаваемых данных и необходимый уровень безопасности информации, экономить на защите не стоит.
На рисунке 2
представлена схема корпоративной телекоммуникационной сети Донецкого филиала
«УкрСиббанка».
Рисунок 2 – Схема корпоративной сети Донецкого филиала
«УкрСиббанка»
Т.о., можно заметить, что
на разных уровнях корпоративной сети банка могут использоваться разные
протоколы технологии VPN. Это
связано в первую очередь с требованиями к защищенности трафика и, конечно же, с
экономической целесообразностью оплаты той или иной услуги.
Литература:
1. Официальный сайт компании «УкрСиббанк».
Доступен с ресурса: www.ukrsibbank.com
2. Иванова Т.И. Корпоративные сети связи, М:
Эко Трендз, 2001.
3. Березин А., Петренко С. Построение
Корпоративных защищенных виртуальных частных сетей // Конфидент, 2006, №1.