ПРОЕКТЫ

Компании "Открытые технологии" (www.ot.ru) и Cisco Systems (www.cisco.ru) объявили о построении защищенной сети передачи данных (СПД) для коммерческого банка (КБ) региона "Кольцо Урала".

Поскольку информация об обслуживании клиентов должна быть сосредоточена в едином центре, перед банком остро встала задача объединения всех подразделений корпоративной сетью. Кроме того, за этим стояла рекомендация ЦБ РФ, которому общая сеть позволяет контролировать все действия банка.

Внедрение новых централизованных банковских приложений, собственного процессингового центра, обеспечение online-работы филиалов с автоматизированной банковской системой и стремительное развитие сети банкоматов также требуют организации современной защищенной и масштабируемой корпоративной сетевой инфраструктуры.

Цели и бизнес-задачи проекта

Основные цели проекта, сформулированные руководством КБ, - создание защищенной инфраструктуры для повышения надежности банковских операций; построение современной локальной сети, которая обеспечит высокопроизводительную передачу любых типов трафика с гарантированным качеством обслуживания в здании банка.

Данная сеть должна быть подготовлена к внедрению новых приложений, требующих большой полосы пропускания (таких, как видеоконференцсвязь), к созданию территориально распределенной СПД, которая будет объединять филиалы и отделения банка.

Бизнес-задачи проекта включали возможности дальнейшего активного продвижения услуг банка, последующего расширения филиальной сети и привлечения новых клиентов.

"Исходя из поставленных задач были сформулированы критерии отбора системного интегратора, проведен анализ рынка системной интеграции, проанализирован потенциал нескольких компаний на основе финансовых отчетов и опыта реализации сложных проектов, - отметил Михаил Цепаев, заместитель начальника управления ИТ КБ "Кольцо Урала". - В итоге была выбрана компания "Открытые технологии".

Особенности сетевого решения

В рамках проекта "Открытые технологии" построили банковскую инфраструктуру, в состав которой входят локальная СПД и внешний сегмент сети, объединяющий десять региональных офисов.

Логическая схема СПД банка “Кольцо Урала”

Локальная СПД разбита на три логические зоны: ядра, пользовательского доступа и серверов. Зона ядра формирует логическое объединение зон абонентского доступа, серверов и Интернета, осуществляет маршрутизацию трафика между виртуальными сетями (VLAN) и регулирует его движение с помощью списков доступа (access lists). Сеть организована на базе коммутатора Cisco Ca-talyst серии 4900. Зона ядра соединяется с остальными зонами посредством дублированных каналов.

Зона пользовательского доступа реализует подключение ПК пользователей к сети. В зависимости от уровня доступа пользователь помещается в определенную VLAN. Маршрутизация между отдельными VLAN осуществляется на уровне ядра и ограничивается с помощью списков доступа. Кроме того, ряд рабочих станций защищается с помощью ПО Cisco Security Agent. Организована зона на базе коммутаторов Cisco Catalyst серии 3560. Каждый коммутатор подключается каналом Gigabit EtherChannel к зоне ядра для повышения надежности и увеличения пропускной способности.

В зоне серверов собрано все серверное оборудование организации, включая сегмент управляющих серверов. В нем использована система управления сетевой безопасностью CiscoWorks VPN Security Management Solution.

Размещенное в зоне серверов оборудование и управляющий сегмент разделены с помощью виртуальных локальных сетей. Маршрутизация между VLAN осуществляется в зоне ядра. Трафик, идущий в зону серверов, фильтруется с помощью системы обеспечения адаптивной безопасности Cisco ASA серии 5500. Дополнительно серверы защищены ПО Cisco Secure Agent. Взаимодействие элементов организуется на базе коммутаторов Cisco Catalyst серии 3750.

Внешний сегмент сети организован на базе коммутаторов Cisco Catalyst серии 3560 и включает модуль виртуальных частных сетей (VPN), модуль доступа в Интернет, модуль электронной коммерции (процессинговый центр) и демилитаризованную зону (DMZ), в которой расположены публичные сервисы банка. Модуль виртуальных частных сетей предназначен для подключения локальных сетей филиалов к инфраструктуре банка. Весь трафик филиалов шифруется с помощью VPN-шлюзов S-Terra CSP VPN Gate. Фильтрация нежелательного трафика осуществляется функционалом межсетевого экрана S-Terra CSP VPN Gate. Для защиты процессингового центра используется система обеспечения адаптивной безопасности Cisco ASA серии 5500.

Доступ в Интернет для пользователей филиалов осуществляется через центральный офис: дешифрованный трафик через шлюз VPN попадает на интерфейс системы обеспечения адаптивной безопасности Cisco ASA серии 5500, где трафик из филиалов проходит дополнительную проверку. Кроме того, сами серверы VPN-шлюзов защищены ПО Cisco Secure Agent.

Демилитаризованная зона организуется на базе коммутаторов Cisco Catalyst серии 3560 и содержит публичные сервисы банка. Доступ в нее контролируется системой обеспечения адаптивной безопасности Cisco ASA серии 5500. Дополнительно серверы защищены ПО Cisco Secure Agent.

Зона доступа в Интернет построена на базе двух маршрутизаторов Cisco серии 2800. Каждый маршрутизатор имеет соединение с двумя интернет-провайдерами (ISP1 и ISP2) для обеспечения высокой доступности сервисов банка. Связь с двумя провайдерами каждого маршрутизатора осуществляется через группу коммутаторов внешней сети.

Внешний сегмент сети базируется на двух коммутаторах Cisco Catalyst серии 2950, соединенных каналом EtherChannel. Данный сегмент является центральной точкой распределения трафика внешнего сегмента сети и предоставляет доступ через систему адаптивной безопасности в сегмент локальной сети.

Система обеспечения адаптивной безопасности организована на базе Cisco ASA серии 5500 в режиме резервирования. Это многофункциональное устройство, которое включает систему предотвращения вторжений, высокопроизводительный межсетевой экран и VPN-шлюз и является основным элементом защиты сети передачи данных, осуществляет применение всех политик безопасности между сегментом локальной сети и внешним сегментом. Кроме того, оно проводит непрерывный контроль проходящего трафика и блокирует распространение компьютерных атак, червей, вирусов и различного паразитного трафика (шпионское/рекламное ПО, системы обмена мгновенными сообщениями, peer-to-peer сети и т. п.).

Коммерческий банк  "Кольцо Урала"

КБ "Кольцо Урала", созданный в 1989 г., - один из крупнейших банков Уральского региона. Его центральное правление находится в Екатеринбурге, а филиалы размещены в других городах. В 2006 г. банк планирует открыть дополнительные филиалы и офисы, в том числе в самом Екатеринбурге.

Основные клиенты банка - крупные промышленные предприятия. Одним из важных направлений работы с ними стали "зарплатные проекты" с использованием банковских карт. Объемы карточной эмиссии банка продолжают динамично увеличиваться. Сегодня банк выпускает и обслуживает карты более чем для 30 предприятий.

"Оборудование компании Cisco было выбрано не случайно, - отметил Михаил Цепаев. - Решение на базе данного оборудования удовлетворяет всем нашим требованиям по функциональности и надежности".

Результаты проекта

Построена управляемая инфраструктура, не только обеспечивающая передачу любых типов трафиков, но и обладающая высокой степенью защиты информации. В будущем возможно наращивание сетевой инфраструктуры, увеличение количества пользователей и внедрение новых бизнес-приложений. Стоит отметить, что для резервирования каналов передачи данных и шифрования трафика было использовано оборудование, сертифицированное в соответствии с ГОСТом, что отвечает корпоративным стандартам банка и требованиям ЦБ РФ.

"Инвестиции в создание защищенной сети передачи данных - это залог надежности нашего бизнеса и гарантии качества обслуживания наших клиентов, - продолжает Михаил Цепаев. - Теперь мы можем предлагать им новые сервисы и в то же время обеспечивать безопасность и конфиденциальность информации".

"Технология IP VPN специально создана для компании с развитой территориально распределенной структурой, такой, как банк "Кольцо Урала", - отметил Андрей Антипинский, директор представительства компании "Открытые технологии" в Екатеринбурге. - Поэтому построение защищенной корпоративной сети связи в соответствии с указаниями ГОСТа обеспечит выполнение современных требований к управлению информацией банка и ее контролю".