Когда речь идет о финансовых организациях, каждый понимает, что эта сфера требует высочайшей степени защищенности. Несомненно, банки являются одними из наиболее лакомых кусков для различных любителей легкой наживы. Именно поэтому к построению корпоративной сети банка предъявляются самые высокие требования к безопасности.

Паспорт компании

Акционерное общество «Украинский инновационный банк» было создано 24 января 1989 года и первым коммерческим банком на территории Украинской ССР.

«Укринбанк» – это универсальный коммерческий банк, имеющий полный набор банковских лицензий и оказывающий полный спектр банковских услуг: как для корпоративных клиентов, так и для физических лиц. Банк имеет разветвленную региональную структуру, представленную 27 филиалами и 100 безбалансовыми отделениями в 24 регионах Украины (по состоянию на 26.01.2009 г), а также разветвленной банкоматной сетью по территории Украины в количестве 87 штук. На сегодня «Укринбанк» обслуживает свыше 60 тысяч частных и корпоративных клиентов.

Проблематика работы банка

Андрей Хабаров, начальник управления ИТ-технологий «Укринбанка», отмечает, что банк является территориально распределенной организацией и представлен фактически во всех регионах Украины. Необходимость создания новой сети, поясняет он, была обусловлена рядом особенностей, отчасти связанных и с довольно солидным возрастом банка. Ведь технологии, которые применялись изначально, базировались на устаревших ныне принципах работы финансовых и информационных технологий. В большинстве случаев это были оффлайновые решения обмена данных, основанные на почтовых системах, например, в «Укринбанке» применялся Lotus Notes.

Задание по направлениям модернизации руководство компании поставило еще в 2002 году. Банк постоянно искал те или иные решения как в области финансовых приложений, так и в развитии технологий более низкого информационного уровня. В 2003 году была разработана концепция информационного развития банка, рассмотренная и одобренная всеми бизнес-подразделениями. Во главу угла было поставлено онлайновое развитие сервисов, когда обработка данных осуществляется в ЦОДе банка, а на рабочих местах используются фронт-офисные приложения. Банк должен был ориентироваться под онлайновую схему работы, которая бы обеспечила наибольшую эффективность.

После разработки и утверждения концепции в 2004 году был объявлен тендер для первого этапа модернизации – построение организации базового уровня, на основе которой можно было строить информационные и финансовые сервисы. В этом же году был проведен тендер среди производителей оборудования, в котором приняло участие пяти вендоров, среди них такие компании как Nortell, Cisco, Junniper и т. д. Акцент делался на оборудование, которое бы оптимизировало концепцию развития сети – оно должно быть легким во внедрении и управлении, и оптимальным по стоимости.

Постановка задачи

В результате разработки технического задания были сформулированы такие требования к сети банка:
- предоставление оперативного доступа к информационным ресурсам всех подразделений банка,
- обеспечение в перспективе возможности внедрения и функционирования автоматизированной бизнес-системы для предоставления розничных банковских услуг (АБС ПРБУ);
- сокращение затрат на административно-управленческий аппарат;
- повышение качества обслуживания клиентов банка.

Сеть банка должна строиться по иерархической структуре в соответствии с организационной структурой подразделений банка и логической структурой потоков данных (см. схему №1).

Структура сети банка предусматривала такую конфигурацию:
• центральный узел – головной банк;
• региональные узлы – филиалы банка;
• удаленные рабочие места – мобильные клиенты банка, ATM, POS-терминалы.

Узлы сети банка должны подключаться друг к другу с использованием технологии IPsec VPN.
С целью обеспечения защищенности информационного обмена на всех уровнях иерархии корпоративной сети, необходимо чтобы оборудование поддерживало следующие методы шифрования трафика: Data Encryption Standard (DES), Triple DES (DES), Advanced Encryption Standard (AES). В качестве каналов связи должны использоваться сетей интернет-провайдеров.

Сеть банка должна быть построена на базе каналов связи, которые в перспективе могут быть реорганизованы с целью улучшения качества и пропускной способности. В связи с этим программно-технический состав сети банка должен обеспечивать переход на новые или дополнительные каналы связи, обеспечивать поддержку различных типов сервисов, в том числе голосовых, с минимальными затратами на доукомплектование оборудования узлов.

Поиск решения

К системам, работающим в банке, выдвигаются высокие требования к защите. Это заставляло вендоров предлагать высокое по стоимости оборудование.

По словам Андрея Хабарова, в пользу решения, представленного компанией «Ланит», свидетельствовали несколько факторов, которые на тот момент оказались решающими. Во-первых, со стороны ИТ-службы было показано, что управление выполняется из одного пункта оператором, система прозрачна в управляемости. Во-вторых, со стороны управления банком принималось во внимание защита и организация системы распределения ресурсов.

Решение от других вендоров, таких как Cisco, аналогичное тому, что предлагал «Ланит», оказалось на порядок дороже. Как отмечает заместитель начальника управления ИТ-технологий «Укринбанка» Владимир Тарташник, при выборе вендора, помимо всего прочего, учитывалось его присутствие на мировом рынке в целом, а также в банковском секторе. После работы по изучению рынка оказалось, что оборудование Junniper представлено в крупнейших американских компаниях уровня «Кока-Колы», в банковской сфере. Эти факты подтвердили правильность выбора продукта при построении сети.

Около двух-трех месяцев ушло на разработку и детализацию проекта (ТЗ), завершением которого стал утвержденный технический проект.

На втором этапе была выполнена инсталляция основного оборудования. Именно на этом этапе руководство банка убедилось в том, что выбранное оборудование выполняет свои задачи, а характеристики, которые были заложены в проекте, подтверждаются.

Сложности проекта

Технически оборудование Juniper не уступает, а во многом и опережает своих конкурентов, комментирует Дмитрий Конов, руководитель ИТ-департамента компании LANIT-Iv Com. Поэтому реализация сложных схем маршрутизации и преобразований адресов решалась более чем тривиально. Во многом помогала система управления — она позволяла быстро, с применением настроенных шаблонов, решать задачи филиалов (в большинстве случаев они были типичны). Также она показывала ошибки, допущенные в конфигурациях устройств.

Основная проблема в процессе второго этапа была связана с тем, что каждый филиал имел свою локальную сеть, которая не вписывалась в общие требования, заложенные в проекте. Ведь в нем шла речь не о LAN, а о WAN-сети. Эти технические моменты требовали реорганизации в филиале. «Самой большой трудностью были, наверное, первые 5-10 филиалов. Тут, кстати, появился такой фактор, как провайдеры, с которыми работало который каждое подразделение. Нужно было либо заключать дополнительные договора с провайдерами о выделении статического IP-адреса, или брать другого провайдера – такие требования к оборудованию могли предоставить не все провайдеры», — отмечает В. Тарташник.

Наибольшей проблемой было смена IP-адресации филиалов и выполнение стандартов, разработанных для банка, комментирует Д. Конов. В большинстве филиалов использовались стандартные диапазоны адресов для локальных сетей из диапазона 192.168.0.0 и 10.0.0.0. Смена адресации, естественно, вызывала некоторые неудобства.

Правда, подобные трудности удавалось решить в течение одного дня. «Сам порой удивлялся тому, как быстро провайдер может построить канал, если его немного прижать. А у наших инженеров не было другого выбора: поезд приходил утром, обратный билет был на вечер этого же дня», — замечает Д. Коннов.

Еще одна проблема была связана с тем, что на момент развертывания защищенной корпоративной сети в банке еще не было бизнес-приложений, которые могли бы использовать внедренную инфраструктуру. А. Хабаров замечает, что «…как руководитель, я считал первой задачей максимальный перевод финансовых приложений на низовой уровень, в точки работы банка. Но тех приложений, которые мы могли бы применить, в банке на тот момент еще не существовало. То есть, сначала была построена сеть, и лишь только через какое-то время, ее начали использовать».

Первые результаты

Вначале в онлайнвый режим были переведены существующие сервисы, которые ранее работали в оффлайне. Это, в первую очередь, система обслуживания карт, банкоматы и т. д.

Сегодня сотрудник филиала или отделения имеет доступ к центральной карточной базе и сам работает с клиентом, ведет его картотеку, видит все его операции и транзакции, которые были сделаны за любой последний период времени. При этом совершенно неважно, где находится этот сотрудник: у него есть доступ к сервису, что позволяет ему решить все вопросы клиента. «Раньше нужно было делать запрос в головной банк, причем на получение информации уходил день или полдня. Теперь это все происходит моментально, — говорит А. Хабаров. — Таких результатов удалось добиться за счет организации финансового карточного сервиса. Любая операция в отделении или филиале банка контролируется и выполняется с санкции головного банка. За счет той же сети головной банк может адекватно реагировать на риски работы филиалов».

Изначально ставилось цель подключить к началу 2008 года к корпоративной сети абсолютно все подразделения банка. Однако на сегодня этот план не выполнен, до сих пор есть отделения, которые еще работают в режиме оффлайн. «При внедрении основной упор делался на филиалы, и какая-то часть ответственности ложилась и на ИТ-службы филиалов. К сожалению, там работа проходила не всегда на том уровне, какого бы мне хотелось. Это негативный момент в реализации проекта, — говорит А. Хабаров. — Оптимальный подход, когда все подключения выполняет одна компания. Однако сегодня дальнейшее развертывание корпоративной сети выполняется силами банка, которых явно недостаточно».

Перспективы

«Пока что рано говорить о проекте как о готовом продукте. Какие итоги уже можно подвести, но проект продолжает развиваться, как продолжает развиваться и сама ИТ-отрасль, и вся инфраструктура», — акцентирует В. Тарташник.

Д. Конов полагает, что в перспективе развитие сети будет осуществляться «вширь» и «вглубь». В планах: дальнейшее подключение оставшихся отделений к сети банка по мере появления стабильных интернет-каналов на местах присутствия. Так же банк планирует построение резервного ЦОДа и переход к IP-телефонии.

А. Хабаров комментирует, что, помимо развертывания корпоративной сети, было решено направить средства еще и на усиление внешнего периметра. «После завершения второго этапа, мы пошли дальше и начали развивать другие сервисы. Было приобретено оборудование Service Selection Gateway производства Cisco, что позволило нам расширить порты по внешним подключениям, были куплены дополнительные лицензии по защите. Сейчас ведутся работы по дополнительным настройкам и развитию этой концепции».

В процессе развития упор будет делаться не на количественное развитие, а на качественное с точки зрения развития тех сервисов, которые будут нужны банку. В первую очередь это будут сервисы связи (телефония) и защиты сети.

«Потенциал ИТ-индустрии огромен, более того, уже сегодня ИТ на десять шагов впереди того, что нужно бизнесу. Фактически компании нужно просто правильно сформулировать свои потребности, все остальное сделает служба ИТ», — подводит итог А. Хабаров.

Этапы реализации проекта

Дата

Этап

14 марта 2006 г

Подписание технического задания

19 Апреля 2006 г

Подписание технического проекта в 3х томах

22 мая 2006 г

Старт первого этапа. Начало установки центрального устройства Juniper NS-208 и 15 региональных устройств NS-5GT в регионах

6 июля 2006

Начало второго этапа

7 сентября 2006 г

Инсталляция первого устройства NS-208 (для создания кластера по плану второго этапа, установка SSG 550 — первого опорного файрвола и маршрутизатора центрального узла и еще 17 устройств NS-5GT.

17 июля 2007 г

Начало третьего этапа. Инсталляция 20 устройств NS-5HSC. Устройства инсталлировались специалистами «Укринбанком» на местах при телефонной поддержке «Ланит-Iv»

26 декабря 2007 г.

Подписан акт выполненных работ

Май 2008 года

Приобретены расширения для SSG 550 (лицензии на Антивирус и Антиспам)

Август 2008 года

Дополнительно приобретены еще 30 устройств NS-5HSC