Содержание к диссертации
Введение
1. Банковские территориально-распределенные сети 7
1.1. Особенности функционирования банковских систем 8
1.1.1. Задачи банковских систем 8
1.1.2. Организация работы банковской системы 9
1.1.3. Обслуживание пользователей 10
1.1.4. Характеристики и функции банковской сети 11
1.2. Архитектура банковской сети 12
1.2.1. Структура банковской сети 13
1.2.2. Программное обеспечение банковских систем 17
1.3. Обеспечение безопасности в банковских системах 18
1.3.1. Задачи обеспечения безопасности 18
1.3.2. Методы и решения для построения банковских сетей 23
1.4. Задачи анализа банковской сети 27
Выводы 32
2. Методы и средства построения корпоративных виртуальных частных сетей 33
2.1. Назначение виртуальных сетей 33
2.2. Услуги VPN 37
2.3. Варианты технической реализации 42
2.3.1. Варианты расположения VPN-устройств в сети 44
2.4. Базовые технологии обеспечения качества услуг 48
2.4.1. Обеспечение качества обслуживания на базе протокола RSVP 49
2.4.2. Обеспечение качества на базе дифференцированного обслуживания 51
2.4.3. Обеспечение качества на базе технологии MPLS 52
2.4.4. Соглашение об уровне качества обслуживания в VPN 54
2.4.5. Формирование тарифов в VPN 57
Выводы 62
3. Математические модели анализа корпоративных виртуальных частных сетей 63
3.1. Задачи анализа и расчета характеристик VPN 63
3.1.1. Общие задачи анализа сетевой структуры 63
3.1.2. Модели расчета характеристик сети 66
3.1.3. Хранение, размещение и передача данных в банковских сетях 70
3.2. Описание и расчет характеристик структуры корпоративной сети, построенной по технологии VPN 71
3.2.1. Расчет параметров потоков данных 76
3.2.2. Расчет параметров потоков данных для сетей на основе технологии VPN 85
3.3. Модели обеспечения отказоустойчивости банковской сети 88
3.3.1. Модели сети с резервированием серверов 88
3.3.2. Модель сети с управлением потоками запросов 94
3.3.3. Совмещение резервирования и управления потоками 97
3.4. Модель решения задачи определения затрат на обслуживание каналов связи VPN-провайдеров 98
Выводы 101
4. Реализация разработанных моделей и методов на примере сети кб «система» 102
4.1. Состав банковской информационной вычислительной сети 104
4.2. Описание сети 105
4.3. Общее описание сети 106
4.3.1 Сеть центрального офиса 106
4.3.2. Сеть удаленного офиса 108
4.3.3. Территориально-распределенная компьютерная сеть 108
4.4. Оценка загрузки каналов связи корпоративной сети и интенсивностеи потоков запросов на запуск приложений 109
Выводы 115
Заключение. Общие выводы 116
Литература 118
- Программное обеспечение банковских систем
- Обеспечение качества обслуживания на базе протокола RSVP
- Описание и расчет характеристик структуры корпоративной сети, построенной по технологии VPN
- Состав банковской информационной вычислительной сети
Введение к работе
Современные территориально-распределенные корпоративные вычислительные сети являются важной составной частью систем управления различными предприятиями и учреждениями, от эффективности их работы существенно зависит эффективность деятельности предприятия.
Быстрое развитие IP-сетей (прежде всего Интернет) породило новую тенденцию — использование для построения глобальных корпоративных связей более дешевого и более доступного (по сравнению с выделенными каналами) транспорта пакетных сетей общего пользования (публичные сети).
Однако такое заманчивое и дешевое решение — передача корпоративных данных через публичную сеть, например Интернет, часто представляет угрозу для безопасности сети предприятия, что особенно важно для банковских систем. Кроме того, для корпоративных сетей важное значение имеет качество обслуживания пользователей, предоставление заданного набора услуг и гарантий, что не всегда просто обеспечить в публичных сетях.
Для решения этих проблем может быть использована технология виртуальных частных сетей VPN (Virtual Private Network). Эта технология позволяет превратить соединения в пакетных сетях общего пользования в защищенные каналы с гарантированной полосой пропускания, обеспечивая безопасность и широкий спектр сервисов при приемлемой стоимости устанавливаемых соединений. Поэтому данная технология востребована многими предприятиями и организациями, не имеющими собственных сетевых ресурсов, прежде всего банковскими организациями ввиду ее экономичности, доступности и безопасности.
Отличительными особенностями крупных территориально-распределенных корпоративных сетей являются: применение глобальных связей и объединение отдельных локальных сетей филиалов предприятия и компьютеров его удаленных сотрудников с центральной локальной сетью; обслуживание большого количества разнородных пользователей. Все эти особенности также обусловливают целесообразность разработки сетей с использованием технологии VPN, позволяющей сочетать требования безопасности к предоставляемым сервисам системы. Однако, для ее эффективного применения требуется решение ряда специальных задач, связанных с выбором структуры сети, организацией работы пользователей и сетей, обеспечением требуемого уровня защиты данных и требуемых характеристик передачи и обработки информации.
К настоящему времени имеется достаточно богатый практический опыт создания крупных корпоративных сетей на базе технологии VPN, однако требуются теоретические обоснования предлагаемых решений. Как правило, в каждом конкретном случае необходимы свои оригинальные решения, обусловленные спецификой сети и корпорации, особенно банка, которые нужно оценить с применением достаточно универсальных методов и моделей.
В связи с изложенным, тематика диссертационной работы, связанная с разработкой методов и средств анализа корпоративных банковских сетей, построенных с применением технологии VPN, является актуальной, а полученные в работе теоретические результаты и практические решения имеют важное прикладное значение для создания и администрирования территориально-распределенных корпоративных сетей.
Цель работы.
Целью работы является создание математических моделей и алгоритмов для анализа эффективности распределенной корпоративной банковской сети, построенной с применением технологии виртуальных частных сетей (VPN).
Задачи исследований.
Для достижения поставленной цели в работе сформулированы и решены следующие задачи: 1) проведен анализ специфических особенностей построения и функционирования банковских сетей, обслуживающих территориально-распределенные банковские системы;
2) проведен анализ возможностей и методов применения VPN-технологии при создании банковских сетей;
3) определены задачи анализа банковской сети, связанные с использованием технологии VPN;
4) разработан комплекс математических моделей для расчета характеристик банковской сети и оценки эффективности ее функционирования;
5) проведены экспериментальные исследования для оценки качества математических моделей и возможности их применения при решении практических задач.
На защиту выносятся:
- результаты анализа специфики применения VPN-технологии при построении и администрировании корпоративных банковских сетей;
- математические модели для расчетов параметров управления потоками данных при выходе из строя серверного оборудования банковской сети;
- математические модели для описания VPN-структуры и расчета параметров потоков данных, передаваемых по каналам VPN-провайдеров.
Методы исследований.
Для решения поставленных задач в работе использовались методы системного анализа, дискретной математики, теории массового обслуживания, аппарат теории множеств, теории графов.
Научная новизна полученных результатов заключается в выборе объекта исследования - территориально-распределенной корпоративной банковской сети, построенной по технологии VPN, разработке оригинальных математических моделей для оценки характеристик сети, учитывающих особенности известных методов создания и применения виртуальных частных сетей и протоколов, обеспечивающих их работу, специфику доступа к данным с использованием локальных, корпоративных и удаленных серверов баз данных.
Практическая ценность результатов диссертации состоит в разработке комплекса математических моделей, алгоритмического и программного обеспечения для анализа и администрирования территориально-распределенной корпоративной сети, построенной с применением технологии VPN.
Достоверность и обоснованность результатов, полученных в диссертации, обеспечиваются соответствием разработанных моделей и алгоритмов известным теоретическим результатам и реальным процессам передачи данных в корпоративных банковских сетях и подтверждаются данными об успешном применении разработанных моделей и алгоритмов для расчета и оптимизации конкретной корпоративной банковской сети.
Апробация результатов работы.
Основные положения и результаты диссертационной работы докладывались и обсуждались на: научно-технической конференции студентов, аспирантов и молодых специалистов МИЭМ (2005-2006г.); 15-й Международной НТК «Проблемы передачи и обработки информации в сетях и системах телекоммуникаций» г. Рязань (2008г.); XLIV Всероссийской конференции по проблемам математики, информатики, физики и химии, РУДН; (2008г.), Международной НТК «Современные информационные компьютерные технологии IT2008», Гродно, Беларусь (2008г.); научно-технических семинарах в МИЭМ.
Публикации.
По теме диссертации опубликовано восемь работ. Одна работа в издании, рекомендованном ВАК.
Программное обеспечение банковских систем
Исторически большинство вопросов защиты информации в банках решалось контролем физического доступа сотрудников к определенным информационным ресурсам (компьютерам, принтерам, документам). Но сегодня вопросы по информационной безопасности уже не могут быть решены таким подходом, поскольку [8, 45, 74, 83, 119]:
- невозможно обеспечить физический контроль над линиями связи, лежащими вне стен банка;
- атака может осуществляться из любой точки планеты;
- спектр возможных атак на информацию чрезвычайно широк:
нарушение конфиденциальности передаваемой информации;
нарушение целостности — изменение информации, ее повторение или уничтожение;
нарушение аутентичности — подделка авторства информации;
- отказ отправителя от факта отправки/авторства информации;
- атакующий может получить контроль над внутренними ресурсами банка, блокировать каналы, осуществлять комплексные атаки;
- факт осуществления атаки может остаться неизвестным владельцам информации, а последствия атаки могут проявиться существенно позже.
Надежная защита передаваемой по любым сетям информации возможна только криптографическими методами (шифрованием). Однако, широко используемые системы защиты информации на уровне шифрования файлов, электронной почты и отдельных приложений уже перестают удовлетворять информационные службы банков. Растущие потребности банковского бизнеса требуют систем защиты, способных "на лету" защитить каналы между любыми клиент-серверными и интранет-приложениями, изолировать онлайновые платежные системы, обеспечить защищенную связь с внешними клиентами банка [28, 166].
Эти и многие другие задачи могут быть успешно решены с помощью технологии виртуальных защищенных сетей (VPN — Virtual Private Networks) [93]. На рынке существует множество VPN систем, отличающихся подходами к организации защиты, используемыми стандартами. При выборе такой системы необходимо обратить внимание на изложенные ниже аспекты, описывающие основные характеристики VPN систем и решаемые задачи.
Прозрачность для приложений и пользователей. Используемый в большинстве VPN стандарт IPSec предполагает прозрачную шифрацию потока информации "на выходе" из компьютера. При правильной реализации стандарта IPSec приложения и пользователи банка продолжат обычную работу в сети, не замечая, что передаваемая/получаемая информация проходит этап шифрации/дешифрации. В этом случае создание VPN в вашем банке не останавливает производственный процесс, не вносит изменений в используемые прикладные системы и не требует обучения пользователей.
Решаемые задачи. Можно рассматривать VPN как защищенную броней информационную трубу между двумя или более компьютерами, участвующими в информационном обмене. Эти "трубы" затем могут прокладываться через потенциально опасные сети. VPN способна эффективно решать две задачи: защита внешних каналов и защита внутренних сетей.
Внешняя задача. На практике задача организации защищенного канала связи между несколькими офисами банка зачастую решается путем создания собственных выделенных каналов. Но даже столь дорогое решение не выдерживает ни какой критики — ведь эти каналы проходят по неконтролируемой банком территории, через оборудование разных провайдеров. Используя зачастую основной протокол Internet — TCP/IP — и общее с Internet пространство адресов, в большинстве случаев такие каналы являются просто частью Internet, со всеми вытекающими отсюда опасностями. VPN решает проблему контроля на всей протяженности канала. Более того, отпадает необходимость в собственных каналах. Например, можно подключить в каждом городе локальные сети филиалов банка к местному провайдеру Internet. Затем установить на пограничном с Internet компьютере каждого филиала программное обеспечение, выполняющее шифрование проходящей информации. Задача решена. Важно, чтобы VPN позволяла установить соответствующее программное обеспечение на отдельные компьютеры сотрудников, имеющих право доступа к вашим локальным сетям из дома или из гостиничного номера в командировке. На рисунке 1.3.1 схематично представлена сеть VPN, позволяющая создать защищенные каналы через общественные (публичные) компьютерные сети.
Таким образом, можно получить свою собственную защищенную сеть (VPN), образующую жесткий непроницаемый периметр и наложенную на доступный всем Internet или любые другие сети. В локальную сеть каждого филиала смогут войти только защищенные и аутентифицированные пакеты от других участников VPN. Эти пакеты, будут дешифроваться на выходе из "труб" и подаваться вышестоящим приложениям в первозданном виде. (клиент VPN]
Рисунок 13.1. VPN позволяет проложить защищенные каналы через открытые сети и Internet Необходимо отметить, что технология VPN является не только способом защиты информации на внешних сетях. С потребительской точки зрения — это средство для создания дешевых, но наделено защищенных каналов через открытые сети и Internet.
Внутренняя задача. Присущий VPN эффект "защищенных труб" многие организации с успехом применяют и на внутренних сетях. Используемые сейчас локальные сети Ethernet работают по принципу "широковещания", посылая информацию по всем компьютерам сети, даже если она предназначена только для компьютеров кредитного отдела. VPN позволяет разделить информационные потоки различных подразделений банка. При этом новая сегментация будет отражать только структуру бизнес-процессов и не будет зависеть от конкретной топологии внутренних локальных сетей.
Обеспечение качества обслуживания на базе протокола RSVP
Поддержка заданного качества обслуживания (QoS — Quality of Service) является одной из главных задач при внедрении виртуальных частных сетей. Однако решение данной задачи представляется весьма сложным, особенно если необходимо обеспечивать заданное качество обслуживания в Интернете. В глобальной сети работает множество провайдеров, которым трудно договориться между собой о координации совместных усилий для обеспечения сквозного качества обслуживания. Поэтому гарантированное качество обслуживания в сетях VPN может быть реализовано в пределах одного или нескольких провайдеров, между которыми существует определенная договоренность в данном направлении.
Одним из средств обеспечения качества в IP-сетях является использование протокола резервирования ресурсов (Resource Reservation Protocol, RSVP), рекомендованного комитетом IETF. С помощью протокола RSVP можно обеспечить в сети гарантированное качество обслуживания при передаче видео- и аудиосигналов. Протокол RSVP обеспечивает QoS за счет эмуляции выделенных каналов (резервирования требуемой полосы пропускания) в IP-сетях для каждого вызова [27, 93].
RSVP является протоколом сигнализации, который обеспечивает резервирование сетевых ресурсов и управление ими с целью предоставления интегрированных сервисов. Используя RSVP, отправитель периодически информирует получателя о требуемом объеме сетевых ресурсов (рис. 2.4.1).
Одна из интересных особенностей RSVP заключается в том, что запросы на резервирование ресурсов направляются только от получателей данных в сторону отправителей, а не наоборот. Такой подход обусловлен тем, что лишь устройство-получатель знает, с какой скоростью оно должно получать данные, чтобы надежно декодировать аудио- или видеосигналы. Другая уникальная особенность RSVP состоит в том, что резервирование проводится лишь для одного направления.
Недостатком протокола RSVP является то, что полоса пропускания, выделяемая источнику информации, при снижении активности источника не может быть использована для передачи другой информации. Поскольку для реализации QoS протокол RSVP требует резервирования ресурсов или каналов связи, небрежные или безответственные пользователи могут захватить ресурсы сети, инициируя несколько сеансов QoS подряд.
RSVP имеет весьма хорошие перспективы на корпоративном уровне, где администратор имеет возможность определить, какие параметры маршрутизатор будет использовать для обслуживания запросов о предоставлении QoS. В глобальных сетях маршрутизаторы вовсе не обязательно находятся под той же юрисдикцией, что и хосты, и приложения, производящие запросы, что осложняет гарантирование QoS.
Другая технология обеспечения QoS разрабатана рабочей группой IETF по дифференцированному обслуживанию (Differentiated Services, DiffServ). Эта группа выделилась из рабочей группы по интегрированному обслуживанию (Integrated Services, IntServ), задача которой состоит в разработке стандартов для поддержки трафика Интернет в реальном времени [27, 92, 93].
Проводимая в рамках IntServ работа отражает некоторые из особенностей концепции RSVP. Интегрированное обслуживание предполагает сигнализацию из конца в конец и в действительности использует протокол RSVP между отправителями и получателями.
Технология IntServ определяет три класса обслуживания в ЕР-сети:
1) по мере возможности — то, что сейчас предлагает Интернет;
2) с контролируемой загруженностью — приложение получает тот уровень обслуживания, какой оно имело бы в слабо загруженной сети;
3) с гарантированным обслуживанием — необходимая пропускная способность в течение всего сеанса предоставляется с гарантией на параметры качества обслуживания.
Как и протокол RSVP, интегрированное обслуживание имеет проблемы с масштабированием, так что данная технология применима в основном в корпоративных сетях. И как было отмечено выше, протокол RSVP предполагает весьма значительный обмен сигнальной информацией, так как каждый узел на пути следования пакетов должен подтвердить возможность предоставления запрошенного качества услуг.
Дифференцированное обслуживание предлагает более простой и масштабируемый метод QoS для приложений реального времени. Одним из ключевых моментов технологии DiffServ является переопределение 8-битного поля «Тип сервиса» в заголовке пакета протокола IPv4. Названное «дифференцированным обслуживанием» (DS), это поле может содержать информацию, на основании которой узлы вдоль маршрута определяют, как им следует обрабатывать пакеты и передавать их следующему маршрутизатору.
Для реализации технологии DiffServ необходимо, чтобы маршрутизаторы понимали «меченые потоки» и умели соответствующим образом реагировать на них. Это требует модернизации микропрограммного обеспечения маршрутизаторов. Следует отметить, что в настоящее время все большее число производителей поддерживают архитектуру DiffServ в новых версиях своих продуктов.
Виртуальные частные сети на основе технологии коммутации по меткам MPLS (Multi Protocol Label Switching) получают все большее распространение. Количество отечественных провайдеров услуг, предлагающих своим клиентам воспользоваться данным видом сервиса для экономичного построения сетей интранет и экстранет, постоянно увеличивается. От других способов построения виртуальных частных сетей MPLS VPN выгодно отличает высокая масштабируемость, возможность автоматического конфигурирования и естественная интеграция с другими сервисами IP, которые сегодня поддерживаются любым провайдером: доступ к Интернету, Web и почтовые службы, хостинг [88, 160, 161].
Описание и расчет характеристик структуры корпоративной сети, построенной по технологии VPN
Приведенные перед этим результаты математического моделирования описывают структуру сети формально, без учета требований приложений и клиентов. Полученные результаты имеют достаточно узкую направленность, обеспечивая расчет характеристик отдельных элементов сети (двухточечные каналы связи, соединения, одиночные серверы) отсутствует возможность получения комплексных результатов для всей сети в целом. В связи с этим необходимы новые подходы к анализу сети. Одним из таких подходов является подход, основанный на том, что приложения, реализуемые в сети, определяют всю ее работу и поэтому анализ сети необходимо начинать с анализа взаимодействия приложений. Это во многом справедливо, поскольку именно приложения являются источниками и потребителями передаваемой в сети информации, формируя потоки данных в каналах связи. От размещения приложений по узлам сети и взаимодействия приложений зависят параметры потоков данных, загрузка каналов связи и сетевого оборудования. Из этого следует, что необходимо анализ работы приложений совмещать с анализом структуры сети.
Кроме того, особенность банковской системы состоит в том, что нужно обеспечить качество обслуживания клиентов банка, поэтому важно ориентировать сеть на решение конкретных прикладных задач.
Анализ структуры сети должен показывать, как структура влияет на решение задач и распределение задач по сети. Здесь используются результаты работ Леохина Ю.Л опубликованные в [74, 75]. Эти результаты (математические модели) ориентированы на совместный анализ работы приложений и структуры сети, позволяя вычислять требуемые характеристики сети и проводить их оптимизацию. Ниже приводятся основные данные по этим работам, которые необходимы для решения задач из раздела 1.4, и результаты адаптации моделей для решения поставленных в диссертации задач.
Пусть число задач в системе обозначим L. Каждая задача состоит из нескольких приложений. Под приложением будем понимать программу, которая запускается пользователем при решении задачи, программа может быть как специальной, так и общесистемной, предназначенной для выполнения стандартных процедур, которые также требуются при решении задачи.
В каждой сети имеются хранилища данных (базы данных); их число в сети — R. Число узлов сети — М, количество пользователей сети — N. В системе функционирует D различных приложений. Каждая задача к характеризуется следующим набором параметров: SA = {р А » }, (к - l 2,-, L.) (Здесь, в отличие от работы [74] не используется матрица, задающая последовательность запуска приложений при решении задач, поскольку эти данные не требуются в нашем случае.)
Вектор Vk=(Pk\- Pk2 —- PkD) определяет приложения, которые исполняются при выполнении задачи к, при этом рк. = 1, если приложение номер / выполняется при решении задачи к, и ркі=0, если приложение номер / не выполняется при решении задачи к (/ = 1, 2,..., D; к = 1, 2,... , L). Векторы Т к=(рк1,рк2,- Рю) составляют матрицу Р=/?А/, задающую связи между всеми задачами системы и всеми приложениями.
Вектор dk=(dkl,dk2,...,dkR) определяет базы данных, которые используются при выполнении задачи к, при этом dki = 1, если база данных номер / используется при решении задачи к, и dki—0, если база данных номер і не используется при решении задачи к (і = 1, 2,..., R; к = 1, 2,... , L). Для всех элементов вектора d должно выполняться условие: 2 ,. 0, означающее, что при решении задачи номер к может не использоваться ни одной базы данных. Из векторов dA. =(dkl,dk2,...,dkR) составляется матрица D = Й ; , задающая связи между задачами системы и базами данных. Вектор ик = (ик1,ик2,...,иш) определяет множество пользователей системы, которым требуется запускать задачу к, при этом ukj = 1, если пользователь j запускает задачу /с, и ukj =0, если пользователь j не запускает задачу к (/= 1,2,..., N; к= 1,2,... ,Ц. ukj Векторы ик=(ик\ ик2 — иж) составляют матрицу U = определяющую потребности пользователей системы в запуске задач. Каждый і пользователь характеризуется интенсивностью потока запросов на запуск задач в системе — Яи О (i = 1,2,..., N;j = 1, 2,..., L). Здесь Л/-- интенсивность потока запросов от пользователя номер / на запуск задачи номеру. Множество интенсивностей потоков запросов от пользователей на запуск задач будем задавать матрицей Л = Xtj . Очевидно, что Л,у = 0, если и-; = 0, т.е. интенсивность потока запросов на запуск задачи номер j от пользователя номер / равна нулю, если этот пользователь не запускает данную задачу. Приложение номер т, используемое при решении задачи номер к характеризуется набором: Акт ={Укт,Ькт}, (k = l,2,...,L; m = \,2,...,D.) ЗдеСЬ ВеКТОр кт=(Укт\ кт2 - ктід ПрЄДЄЛЯЄТ объемы ДДННЫХ, которыми обменивается приложение т с базами данных за один сеанс решения задачи к, так vkmr 0 — объем данных, которыми обменивается приложение т с базой данных г. Векторы \кт =(vfowl,vbj2»—»vh»id составляют матрицы V =vte,., (т = 1,2,...,D; г = 1,2,...,і?), задающие объемы передаваемых данных между приложениями и базами данных. Вектор bkm=(bkml,bkm2,...,bkmD) определяет объемы данных, которыми обменивается приложение номер т с другими приложениями при своей работе при решении задачи номер к, так bkmJ 0 объем данных, которыми обменивается приложение т с приложением j. Векторы Ькт=Ц кт\ ьмі " Ькто) составляют матрицы Ък=\\Ьктс1\, ( m = \,2,...,D; d \,2,...,D), задающие объемы передаваемых данных между приложениями при решении задач.
Описание и расчет характеристик структуры корпоративной сети, построенной по технологии VPN
В первую очередь банковская ИВС предназначена для поддержки бизнеса банка. Выделим основные направления деятельности банка, поддерживающиеся ИВС:
управление деятельностью банка, реализация бизнес-логики, контроль, учет, в том числе налоговый, и отчетность;
ритейл (розничные услуги), депозиты и кредитование;
кассовые операции;
дилинговые операции;
операции на фондовом рынке, работа банка с ценными бумагами, инвестиционно-фондовые услуги;
внутрихозяйственная деятельность;
дистанционное банковское обслуживание, электронные банковские услуги;
консультационные услуги;
расчетное обслуживание и платежная система (карточные продукты), клиринговые услуги;
интеграция бэк-офиса банка с его внешними операциями;
управление рисками и стратегическое планирование;
комиссионные операции;
страховые услуги;
инкассация, факторинг, лизинг, трастовые операции, гарантии;
программы лояльности клиентов, маркетинговая, рекламная и PR-службы.
Таким образом, банковская ИВС является сложносоставным комплексом, действующим в гетерогенной вычислительной сети. Необходимость функционирования в общедоступных сетях одновременно с требованием открытости информации для внешних пользователей банковской ИВС (клиентов, контрагентов, партнеров) обуславливает возникновение множества проблем при решении задачи обеспечения информационной безопасности [44, 103]. Необходимо обеспечивать разделение доступа к информации, защиту хранящихся и передаваемых данных от перехвата, раскрытия, модификации/уничтожения. Важной задачей поддержки бизнеса является постоянное обеспечение работоспособности системы, для чего необходимо применять методы защиты от наиболее распространенных и простых в исполнении атак типа «отказ в доступе» [35, 89].
Как отмечалось в главе 1, корпоративные сети часто строятся с учетом организационной структуры предприятия. Поэтому рассмотрим организационную структуру коммерческого банка.
Структура банка включает следующие подразделения:
1. Служба генерального директора:
a. Отдел кадров;
b. Служба внутреннего аудита;
c. Юридический отдел.
2. Управление финансовых рынков:
а. Отдел управления рисками.
3. Управление банковских продуктов и услуг:
a. Отдел по работе с корпоративными клиентами;
b. Отдел пластиковых карт.
4. Операционное управление:
a. Отдел поддержки пластиковых карт;
b. Отдел кредитования;
c. Отдел платежей;
d. Депозитарий;
e. Отдел информационной безопасности;
f. Отдел по работе с клиентами;
g. Отдел по работе с физическими лицами;
h. Отдел коммуникаций;
і. Отдел инфраструктуры;
j. Отдел поддержки IT;
к. Отдел разработки;
1. Отдел валютного контроля. Управление корпоративного обслуживания. Инвестиционное управление. Финансовое управление:
a. Отдел финансового контроля;
b. Бухгалтерия;
c. Отдел выверки счетов.
4.3. Общее описание сети
Основным назначением территориально-распределенной сети практически любого банка является обеспечение доступа удаленных пользователей системы, подключенных к сети, к разделяемым ресурсам системы (базы данных, файлы, печатающие устройства и т.д.), обеспечение работы приложений в режиме клиент-сервер, обеспечение передачи данных между компьютерами сети, контроль работы пользователей системы и контроль использования системных ресурсов [67, 70, ИЗ, 149, 150].
Ниже приводятся данные о технических решениях, обеспечивающих решение перечисленных задач в КБ «СИСТЕМА».
Сеть центрального офиса КБ «СИСТЕМА» расположена в многоэтажном здании и построена на коммутаторах фирмы «Cisco» со структурой сети типа «звезда», в центре которой находится модель Cisco-3750G, а на каждом из этажей модель Cisco-2960G. Все коммутаторы Cisco 2960G объединены оптоволоконными каналами с Cisco-3750G. Рабочие станции каждого этажа подключены к Cisco-2960G. Основное серверное оборудование выделено в отдельную подсеть и находится в подвальных помещениях. Внешние каналы подключаются к сети через коммутаторы и маршрутизаторы фирмы «Cisco».
В состав сети входят серверы баз данных, серверы приложений, серверы печати, клиентские рабочие места и активное сетевое оборудование. Обмен данными происходит между клиентскими рабочими местами и серверами. В качестве каналов связи используются:
- оптоволокно с пропускной способностью 1000Мбит/с;
- неэкранированная витая пара с пропускной способностью 100Мбит/с;
- неэкранированная витая пара с пропускной способностью ЮМбит/с.
В сети выделяются два контура: сеть первого уровня и сеть второго уровня.
В состав сети первого уровня входят виртуальные сети подразделений, содержащие клиентские рабочие станции расположенные на различных этажах здания коммерческого банка и объединенные с активным сетевым оборудованием каналами связи с пропускной способностью от 10 до ЮОМбит/с.
В состав сети второго уровня, которая представляет виртуальную сеть, входят корпоративные серверы приложений и сервер баз данных, объединенные каналами связи с пропускной способностью 100Мбит/с. Подсети сети первого уровня соединены с сетью второго уровня каналами связи с пропускной способностью 1000Мбит/с.
