Александр Кузьминов «IT Solutions», Минск Huawei Enterprise Partner Gold Комплексные решения по информационной безопасности от компании Huawei и практический опыт их применения в банковском секторе..

Практический опыт внедрения СКИБ 2 2 СКИБ – подход Huawei Содержание Введение: Эра CONNECTIVITY. 4 4 Заключение Заключение

2 ЭРА CONNECTIVITY – НОВЫЕ ВОЗМОЖНОСТИ II = ICT Value(Инновации+Эффективность+Вовлеченность) * ICT Investment (страт. интенсивность ) ICT (information&communication technology) - информационно- коммуникационные технологии II (industry index) – индекс индустриального развития GCI (global connectivity index) – глобальный индекс CCI (country connectivity index) – страховой индекс 100 млрд. «Интернет вещей» 2025 CONNECTIVITY - ключевой фактор ускорения национального развития GCI +1 Рост на 1.4 – 1.9 % ВВП на душу населения

3 ЭРА CONNECTIVITY – НОВЫЕ УГРОЗЫ ОБЩИЙ ОБЪЕМ МИРОВОГО РЫНКА КИБЕРПРЕСТУПНОСТИ в 2013 году 113 млрд. долларов Ущерб экономике 27 млрд. + 50% (2012) Заработок хакеров СНГ 2.5 млрд. +30% (2012) Среднегодовой ущерб +91 % (2010) СНГ - 5 млн. кибератак/день

4 Результаты исследования Group-IB (РФ)

5 Основные вызовы для банковских ICT Тренды развития банковских ICT Глобальная экономика остается слабой Высокий уровень клиентов Разнообразие продуктов и услуг, оптимизация опыта пользователя Повышение уровня пользования ресурсом и самостоятельность в сервисе Поиск устойчивой банковской модели… -- Мобильные технологии, фиксированные\мобильные сети Умные терминалы, смартфоны, планшеты и BYODs Аудио, видео, изображения -- IDC Новый уровень взаимодействия Изменение социума в повседневной жизни Социальные сети и online- транзакции Интеграция виртуального и традиционного общества Огромный рост пользовательской информации и сложность анализа данных Social commerce study --Shop.org Госуровень требований к ИБ Рост использования DDoS атак, вирусов и новых угроз. Ежегодные потери от инцидентов по ИБ исчисляется млрд-ми долларов -- Новая архитектура ИБ

6 Эффективное взаимодействие Инновации каналов IT архитектура быстрого развертывания Высокопроизводительные/ эластичные компьютеры и СХД Дата центры Точный анализ Инновации ICT – акселератор на пути к банкингу будущего Повсеместный коннект Массовые терминалы доступа BranchInternetWireless 2G/3G/4GPSTN Единое управление безопасностью Единое управление терминалами Общее управление каналами Управление безопасностью Удобство коммуникаций и платформы для сотрудничества Видео, текст, голос и мультимедиа Интерконнект и единые опорные сети ICT-база банковских сервисов

7 IndividualEnterpriseFamily Core Data 3G/4G WiFi LAN/ INTERNET PSTN Безопасность канала Безопасность терминала Безопасность данных Wire / Wireless Network Конечный пользователь Каналы доступа Дата центр Cloud-Pipe-Terminal" – архитектура новый стандарт ИБ

8 ВАЖНО Информационная безопасность - неотъемлемая и важнейшая часть развития банкинга будущего. НО! Руководители и Эксперты по ИБ банков должны идти в ногу с потребностями бизнеса и отслеживать новые достижения и тренды в развитии ICT. Решения по ИБ не должен подавлять другие тренды – так как основная задача: Обеспечение эффективного бизнеса!

9 Содержание Практический опыт внедрения СКИБ 2 2 СКИБ – подход Huawei Введение: Эра CONNECTIVITY. 4 4 Заключение Заключение

10 Huawei: Решение по ICT для современного банка High-performance архитектура Облачный ЦОД (L1/L2) Магистральная сеть Кампусная сеть Единое управление сетью NMS Эффективная совместная офисная платформа Коммуникации и совместная платформа wired/wireless доступ к кампусной сети Мобильный офис Инновационные каналы Телефонный маркетинговый центр Инновационные филиалы Мобильные маркетинговые решения Удаленный банк Управление безопасностью D&R для ЦОД Сетевая конвергенция и безопасность Контроль и управление безопасностью терминалов

11 Активный data center Удаленный DR center MSTP/SDH DWDM Data center interconnection DR center в каждом городе Преимущества Преимущества OSN Networks, servers, and storage devices Backup and DR center networks 1. Core switch: 2 times higher switching comparing with mainstream switches and 2-μs level forwarding latency 2. Up to 14 types of storage interfaces and 7 major vendors' connection certification 3. 10G/40G/100G WDM technology and 80- wave fibers Huawei Data-center DR Transmission Solution 10G/40G/100G разделенные по длине волны технологии мультиплексирования и 80-волновые волокна, обеспечивают широкополосную передачу Service switch между активной и резервной сетью за 50 ms, обеспечивает функционирование 5-μs латентность устройств и 0.05-μs задержка линка - синхронизация данных в реал тайм До 14 типов интерфейсов СХД и сертификация коннекта с 7 ведущими вендорами, повышают ROI Заказчика. FE/GE/10GE интерфейсы, обеспечивают уровень передачи данных без ущерба для прикладных аппликаций.

12 Dual-ring and dual-plane bearing network design Branch Region Branch HQ Bank's WAN Branch WAN convergence and security Campus network convergence and security 1. Flexible device usage 2. Support for various terminals 3. Interruption-free services Support the development of multi- service centers\ HQ campus network Data center network Data center network convergence and security 1. Domain-based service access and centralized security management 2. Efficient cross-network service access Security isolation Efficient access Resource pool Data center Интеграция multiple service networks, снижает расходы на создание сетей на 40%, увеличивает скорость расширения канала и эффективность доступа. Большой пул ресурсов сети в ЦОД (layer 2), обеспечивают 360 Tbit/s block- free network, что удовлетворяет требованиям сервиса в последующие лет. Несколько методов защиты – терминальный контроль доступа, шифрованная передача данных и региональная мультиуровневая защита, повышают комплексную безопасность. Преимущества Преимущества Huawei Convergent Network and Security Protection Solution 1. Unified authentication for wired and wireless connection 2. Ubiquitous connection 3. Seamless network coverage within the campus

13 Преимущества Преимущества Prevents unauthorized access TSM Separates data from terminals Safe sandbox Avoids R&D information leakage Desktop cloud Protects secret documents DSM and OIC Huawei Desktop Security Solution Терминальный контроль доступа, обеспечивает гибкое управление правами доступа и предотвращает несанкционированный доступ Три метода аутентификации Аудит осуществляемой политики безопасности Разделение данных офиса и терминалов, шифрование передачи предотвращают утечку информации «Песочница» и desktop-cloud сервер где хранятся данные Шифрование документов и управление правами Управление и контроль мобильной среды, предотвращает несанкционированные внешние соединения и утечки ключевой информации Единое управление терминалами, ключевой информацией и политикой безопасности, повышают оперативность и эффективность обслуживания в 4 раза и позволяют оперативный аудит Аварийность Desktop снижается на 55% Отслеживание и аудит терминальных сценариев, операций с документами, системой и обслуживанием

14 3G/4G Enterprise Wi-Fi SSL AnyOffice Public Wi-Fi Unified Policy Deep-security device hardening Security Upgrades Unified mobile working platform : AnyOffice DevicesWLAN/LAN Work-Your-Way Mobility Business Innovation eSDK+ industry-specific apps Industry-dedicated devices End-to-end Security VDI BYOD–поддержка совместной работы в бизнесе :Huawei AnyOffice Unified policy OA and other servers Intranet Extranet VDI clusters 3 rd -party apps Mobility security access gateway

15 Содержание Практический опыт внедрения СКИБ 2 2 СКИБ – подход Huawei Введение: Эра CONNECTIVITY. 4 4 Заключение Заключение

16 Huawei DSM Solution: Защита документооборота ICBC Ключевая проблема Клиенты ICBC могут просматривать все свои документы без ограничений. Информация, особенно ключевая, подвергается высоким рискам в области безопасности. ICBC потратил много сил в обеспечении сохранности основных информационных активов. Решение Huawei Преимущества для Заказчика Распределенная и мультиуровневая DSM управляет 300- ми тысячами терминалов ICBC унифицированным способом, предотвращая утечки информации. Управление безопасностью документооборота (DSM), в соответствии со стандартами менеджмента безопасности информации BS7799, дает ICBC рычаги передовых технологий для эффективного управления ключевыми документами в больших масштабах.

17 ICBC Shanghai: Двух-сайтовая трех-центровая система АВД Проблема Заказчика Преимущества для Заказчика Масштабное развертывание решения Huawei значительно снизило эксплуатационных расходы ICBC. Существенно снижена совокупная стоимость владения. ICBC может эффективно управлять, контролировать и работать в этой сети. Решение отличается высокой надежностью и большой полосой пропускания, закладывая прочный фундамент для дальнейшего развития услуг ICBC. ICBC начал оптимизацию сети по выполнению требований к обслуживанию: глобальность, комплексность, интеллектуальность и виртуальность. ICBC ставил задачу построить двухсайтовую трехцентровую систему аварийного восстановления для обеспечения безопасности данных Замена Nortel и Cisco Центр аварийного восстановления использует самые лучшие в отрасли OTN-технологии, которые в полной мере поддерживают аутентификацию SAN и обеспечивают минимальную задержку передачи ICBC использует два набора OSN680 устройств в независимой локальной сети аварийного восстановления, включая трехслойную защиту сервисов на уровне устройств, архитектуры и сетей. Решение Huawei

18 Магистральная сеть передачи данных от Huawei для HSBC Ключевые проблемы HSBC, крупнейшему из мировых банков и финансовых корпораций(более 8000 отделений в 87 странах и регионах мира) требуется надежная высокоскоростная магистральная сеть с высоким уровнем информационной безопасности. Решений Huawei Преимущества для Заказчика Богатый уровень защиты на уровне сети и устройств повышает надежность сети. Удобная функция OAM уменьшает совокупную стоимость владения. HSBC наслаждается быстрой доставкой услуг. Ядро: Использует OSN7500 для поддержки мульти-сервисной конвергенции и обеспечивает функцию MADM. Агрегация: Адаптирует OSN1500 для включения доступа всех системных служб и предлагать богатые функции защиты безопасности на уровне устройства. Уровень доступа: использует Metro100 для упрощения монтажа и техобслуживания системы.

19 Проблемы Заказчика Решения Huawei Преимущества для Заказчика Предоставлено решение AnyOffice + MDM, «песочница» безопасности, система управления терминалами и SVN шлюз безопасности, для того, чтобы защита, которая охватывает доступ к устройствам, self-check безопасности рабочего места, доступ в Интернет, файловую коммутацию и система O&M. Это позволяет авторизованному персоналу запрашивать доступ к сети Интернет на 400 тысячах рабочих мест. Сотрудникам CCB необходимо посещать Интернет для предоставления услуг. В течение последних 6 месяцев, «троянами» заражены более 30 терминалов. Отдел надзора издал официальный документ, с требованием к CCB повысить информационную безопасность и отрезать сеть офисов от Интернет. Включает проверку безопасности терминала, отделяет интранет и Интернет, предотвращает потерю информации, защищает терминалы от троянских программ и сокращает количество инцидентов инфицирования терминалов к 0. Регламентирует поведение сетевого доступа сотрудников, предлагает единое управление и сопровождение GUI и повышает эффективность работы офиса на 20%. Снижает затраты CCB по информационной безопасности во внутренней сети. Решение для BOC по повышению безопасности «desktop-to-Internet»

20 Huawei:Безопасность мобильной платформы финансовых услуг CMSB Проблемы Заказчика Решения Huawei Преимущества для Заказчика Для удовлетворения требований по обслуживанию в эру мобильных финансов, CMSB начал разрабатывать платформы финансовых сервисы для предоставления услуг, таких как мобильный маркетинг, небольшой кредит и выпуск мобильных карт. Чтобы сделать это, CMSB необходимо обеспечение информационной безопасности, упрощение управления мобильного терминала и повышение опыта работы с мобильными приложениями. End2End: использует «песочницу» безопасности, чтобы отделить служебные данные, выделяет канал для обеспечения безопасности передачи данных, и позволяет пользователям блокировать потерянные терминалы и удаленно стирать данные в этих терминалы. Автоматический MDM: позволяет системе автоматически настроить зарегистрированные устройства, принудительно осуществляет политику контроля для устройств и приложений, автоматически запрашивает и отменяет сертификаты CSCA и контролирует работу мобильного терминала. Easy-to-use платформа для приложений мобильной безопасности: предоставляет интранет-портал предприятия, единый интранет логин, для повышения скорости доступа службы, позволяет быстрое развертывание магазинов приложений и мобильный офис Мобильная платформа финансовых услуг и инноваций позволяют упростить выпуск карт, paper-free приложений, регулярный процесс обслуживания, повышение удобства работы пользователя, максимизирует операционную прибыль и усиливает эффект бренда. Платформа существенно улучшает эффективность выпуска карт, позволяя банку выдать карточку в течение 5 минут и 8000 карт в день. Эффективность утверждения кредита также повышается в среднем до 2-х дней. Лояльность клиентов повышается до 98%. Платформа может снизить затраты на работу, материалы и логистику, требуемые по каждой сделке, на $ 0,7442. Если банк обрабатывает 10 миллионов транзакций в год, платформа может помочь банку снизить операционные расходы на $

21 Huawei Anti-DDoS защищает онлайн-транзакции на 6 млрд.$/день для Alibaba 19Gbps 2 секунды Очистка трафика аттаки 19Gbps+ пик атрафика ттаки 200Gbps Всплеск Всплеск Расширение Расширение

22 Содержание Практический опыт внедрения СКИБ 2 2 СКИБ – подход Huawei Введение: Эра CONNECTIVITY. 4 4 Заключение Заключение

23 12 лет опыта в ИБ

24 Семейство продуктов Huawei в ИБ

25 Huawei USG Firewall 2 x Ведущий показатель обнаружения вирусов Уровень срабатывания на угрозу по сигнализации Количество идентифици руемых URL 3 x 2 x < 50% 40% 20 million Отраслевой уровень USG 99% 100% 65 million Интелект: Идентификация для приложений, фильтрации почты и 65 миллионов URL-адресов, поддержка политики кастомизации. Безопасность: 99% уровень обнаружения вирусов и «zero IPS rate» Низкая ССВ: маршрутизация и Wi- Fi/3G/ADSL, снижает ССВ на 40% $

26 Решение Huawei Anti-DDoS – обеспечение безопасного сервиса Traffic attack Application-layer attack Malformed packet attack Self-service system Protection system Worm, Trojan Horse and Zombie attacks Высокая эффективность 200 Gbit/s эффективность защиты Реакция защиты второго уровня Точная и Всесторонняя защита Защита от 100+ типов DDoS атак Защита против IPv6 аттак 2 х секундная очистка трафика с нулевой недооценкой Дополнительный уровень управления Тонкая политика защиты 100,000 пользователей под защитой Диверсификация самообслуживания

27 Huawei Value Почему Huawei Полная линейка продуктов Профессиональный сервис Actively participate in ICT standard drafting Consultant DeploymentManagement Design Optimization Ведущий мировой поставщик ICT решений 15 лет опыта решений в финансовом секторе UC Security Enterprise networking IT 100+ глобальных партнеров 200+ заказчиков в БФС, включая 5 из Top20 банков

28 СПАСИБО ЗА ВНИМАНИЕ!