Сетевая безопасность платежных систем

Сетевая безопасность платежных систем

С.Д. Рябко, генеральный директор
ЗАО «С-Терра СиЭсПи», к. ф.-м. н.

Проблемы защиты платежных сетей

Банковские сети — и это очевидно — относятся к классу информационных систем, представляющих особый интерес для злоумышленников. Тогда как информационные системы банков адекватно ограждены от вторжений, для платежных систем соответствующих решений на рынке нет. Причин несколько. Банкомат защищен на прикладном уровне, но эта защита не может быть локализована и сертифицирована в соответствии с требованиями российского законодательства: утратится совместимость с платежной системой. Состав специализированного программного обеспечения банкомата строго регламентирован. Установка внутрь банкомата дополнительных программ для защиты информации не практикуется. Применить же внешний шлюз безопасности можно лишь в том случае, если он удовлетворяет ряду специальных условий. Требуется, чтобы шлюз был компактным, не содержал механических частей (в банкомате полно пыли с улицы, от денег, от печатающего устройства), потреблял минимум энергии и выделял мало тепла, поддерживал требуемый уровень надежности системы, соответствовал стандартам сетевой безопасности и совместимости. Наконец, такой шлюз должен быть очень недорогим (стоимость российских средств сетевой защиты нередко сопоставима со стоимостью банкомата).

По всем этим параметрам заслуживает внимания сертифицированный ФСТЭК России шлюз безопасности SCP VPN Gate 100B. При помощи названного продукта решается целый ряд проблем сохранности платежной системы: обеспечиваются конфиденциальность и целостность трафика (на уровне пакетов и на уровне потока данных) и надежная защита от несанкционированного доступа.

Сетевое окружение банкомата

Уединенный банкомат подключается к процессинговому центру при помощи выделенной и/или коммутируемой линии, средств мобильной телефонии. Банкомат, находящийся в отделении банка или в сети предприятия, связывается с центром через локальную сеть. Применение средств сетевой защиты позволяет безопасно подключать банкоматы и POS-терминалы через Интернет. Это значительно выгоднее, чем выделенная линия IP или X.25, а также дешевле, надежнее и удобнее, чем коммутируемая линия. Подключения через Интернет легко диверсифицируются, что обеспечивает требуемый уровень надежности коммуникаций. Более того, в регионах нередко вообще отсутствуют выделенные коммуникационные ресурсы, так что подключению через Интернет порой просто нет альтернативы.

Требования надежности

К платежной системе, как системе массового обслуживания, предъявляются повышенные требования в плане надежности. Выполнение этой задачи предполагает:

1. обеспечение надежности банкомата (здесь фундаментальные платформы обычно не используют — дешевле установить два банкомата);
2. обеспечение надежного канала связи (здесь применяются резервированные каналы, следовательно, платформа защиты должна поддерживать работу по резервному каналу с автоматическим детектированием отказа и переходом на резервный канал);
3. обеспечение надежного решения для процессингового центра (здесь, в центре системы массового обслуживания, применяют резервированные и отказоустойчивые решения).

Специальные требования

Поскольку платежная система может быть мишенью сложной, технически обеспеченной атаки как из сети, так и со стороны недобросовестного обслуживающего персонала, для нее часто вводятся особые требования. Это в первую очередь:

• Высокая стойкость системы защиты, которая в нашем случае обеспечивается стандартными протоколами IKE / IPsec и использованием сертифицированных криптографических библиотек от лучших российских производителей. В силу специального дизайна протоколов IKE / IPsec решение обладает абсолютно уникальными свойствами, такими как устойчивость к атакам типа отказа в обслуживании (denial-of-service attack), устойчивость к атаке повторной передачи пакетов, к клиппированию. Причем целостность (имитостойкость) гарантирована не только для данных, но и для заголовков пакетов (контроль целостности пакета и его заголовка не приводит к конфликту даже с системами трансляции IP-адресов — NAT).
• Исполнение политики безопасности, обеспечивающей полную изоляцию сети платежной системы. В такую сеть не должны проникать пакеты ни от кого, кроме прямых участников платежных взаимодействий; даже расположенный в одной локальной сети с банкоматом информационный сегмент сети банка не будет взаимодействовать с платежной системой.
• Защищенность от несанкционированного доступа со стороны обслуживающего персонала (консольный доступ — как при помощи монитора и клавиатуры, так и через COM-порт — закрыт надежным паролем).

Удовлетворяя этим требованиям, решение на основе продуктов CSP VPN дополнительно гарантирует централизацию управления с использованием платформы Cisco-Works, совместимость с системами сетевого событийного протоколирования и мониторинга, обеспечивает работу как с симметричными ключами, так и с большинством инфраструктур открытых ключей.

Рекомендуемый сценарий применения

Нашими партнерами проведены тестирования сценариев с автоматическим переключением в случае отказа на резервный канал (испытаны выделенные, коммутируемые линии и GPRS) и на резервный шлюз безопасности. CSP VPN Gate компании «С-Терра СиЭсПи» стал лауреатом премии «Зубр-2005» как «Лучший инновационный продукт в области информационной безопасности». Решение уже нашло применение в российских банках.