Читаем Кибербезопасность в условиях электронного банкинга. Практическое пособие полностью

Остановимся в двух словах на том, почему это важно, ведь, казалось бы, это касается только нюансов производства. Важно это потому, что изменения интерфейсной части не влияют на вычислительную часть компьютера, а это снимает основные сложности, вызываемые адаптацией серийного продукта: возможное внесение новых ошибок или дефектов, необходимость повторных проверок или сертификации и т. п.

В зависимости от архитектуры сети в качестве ответной части решения может использоваться такое же устройство в стоечном исполнении (если требуется небольшое количество подключений и ресурсы сервера VPN избыточны) или обыкновенный сервер VPN, стоимость которого ощутимо выше.

Криптошлюз функционирует прозрачно для пользователя, не расширяя его привычный набор действий.

Каждый микрокомпьютер m-TrusT является точкой сбора информационных и (или) управляющих сигналов от ПКО, их шифрования для передачи по каналам связи, а также приема зашифрованных сигналов из каналов связи и их расшифровки.

Типовые характеристики микрокомпьютеров:

– габаритные размеры: 65 х 80 мм;

– процессор: Quad-core ARM Cortex-A17, up to 1.8 GHz;

– ОЗУ: 2 ГБ DDR3;

– ПЗУ: 16 ГБ NAND-flash;

– microUSB;

– microHDMI.

Общий вид микрокомпьютера m-TrusT представлен на рис. 60.

Микрокомпьютер не подключается напрямую ни к чему, кроме собственной интерфейсной платы, поэтому его состав несложен и постоянен. Интерфейсная плата же нужна как раз для того, чтобы корректно подключиться к тому или иному конкретному ПКО и каналообразующей аппаратуре различных типов.

Рис. 60. Микрокомпьютер m-TrusT

Наличие собственной ОС и вычислительных ресурсов позволяет обеспечить достаточную для защиты сетевого взаимодействия производительность (возможна защищенная передача видеосигнала с камер без ощутимого снижения качества изображения) и высокий уровень защищенности. Особенностями m-TrusT являются наличие датчика случайных чисел и размещение ПО в памяти с физически устанавливаемым доступом Read Only (только чтение), что исключает вредоносное воздействие на ПО и обеспечивает неизменность среды функционирования средств криптографической защиты информации. Ресурсы m-TrusT позволяют обеспечить СФК, позволяющую сертифицировать вариант исполнения СКЗИ на m-TrusT на класс КС3. Помимо Новой гарвардской архитектуры защищенность платформы обеспечивается РКБ и средством доверенной загрузки (СДЗ), сертифицированным ФСТЭК России.

Встроенное по умолчанию в fin-TrusT СКЗИ – DCrypt от компании ТСС – сертифицировано ФСБ России.

Итак, коммутировать микрокомпьютер m-TrusT в «разрыв» между ПКО различного назначения и каналом связи позволяет интерфейсная плата. Как уже упоминалось, разнообразие оборудования, взаимодействующего по сети (ПК, банкомат, информационный киоск, терминал оплаты и т. д.), является ключевой характеристикой инфраструктуры, поэтому интерфейсные платы должны быть разными, чтобы коммутировать одно и то же СЗИ (т. е. не совместимые, не похожие, а именно одинаковые СЗИ) с разными ПКО. Например, она может быть такой, как на рис. 61:

– габаритные размеры: 90 х 105 мм;

– соединитель типа розетка 87758-2016 MOLEX;

– разъем USB Type A;

– разъем Ethernet;

– разъем питания от источника постоянного напряжения 5 вольт.

Рис. 61. Интерфейсная плата с подключенным m-TrusT

Интерфейсная плата № 2:

– габаритные размеры 90 х 110 мм;

– соединитель типа розетка 87758-2016 MOLEX;

– USB-хаб;

– разъем USB Type A;

– два разъема Ethernet;

– разъем RS-232, подключенный через преобразователь USB-RS-232;

– разъем RS-485, подключенный через преобразователь USB-RS-485;

– разъем для microSD-карты;

– разъем питания от источника постоянного напряжения 5 вольт.

На рис. 62 изображен m-TrusT, подключенный к интерфейсной плате.

Рис. 62. Интерфейсная плата другого типа с подключенным m-TrusT

На рис. 63 показан другой вариант интерфейсной платы с меньшим количеством интерфейсных разъемов:

– габаритные размеры: 90 х 105 мм;

– соединитель типа розетка 87758-2016 MOLEX;

– разъем USB Type A;

– разъем Ethernet;

– разъем питания от источника постоянного напряжения 5 вольт.

Рис. 63. Интерфейсные платы (примеры)

Возможна разработка интерфейсных плат для других типов разъемов, с учетом уже имеющегося опыта внедрения на транспорте мы уверенно говорим о том, что эта задача решается с положительным результатом в разумные сроки. Для банкоматов, как показала практика, удобным может быть исполнение в едином корпусе, так как частого переоборудования в этом случае не требуется, а корпус в то же время снижает возможное воздействие внешних условий, которые могут быть довольно разнообразными у банкоматов, установленных вне помещений.