 |
Экспресс в Интернет
Подключение билетно-кассовых терминалов через VPN
В целях более полного удовлетворения платежеспособного спроса населения на услуги, связанные с перевозками пассажиров ж.д. транспортом, специалисты компании "Трансинфосеть" совместно с Московской Железной Дорогой разработали и внедрили Систему доступа подписчиков сети Интернет в АСУ "Экспресс". Данная АСУ помимо таких технологических функций как билетно-кассовые операции, оформление документов на перевозку багажа и т.п. включает Справочно-информационное обслуживание.
Разработанная система доступа качественно улучшает обслуживание пассажиров за счет повышения их информированности, повышения оперативности и достоверности информации вследствие исключения промежуточных звеньев в лице операторов информационно-справочных служб, предоставления пассажирам возможности планировать дату, направление и маршрут поездки, адекватно оценивая текущую ситуацию со спросом и предложением, а также предоставления многих других возможностей, которые появляются в процессе информационного взаимодействия абонентов Сети непосредственно с АСУ "Экспресс".
Кроме того, Абоненты Услуги "Экспресс" в Интернет" имеют возможность самостоятельно забронировать имеющиеся в наличии места непосредственно в АСУ "Экспресс", а затем выкупить билеты в специально выделенных кассах.
Абонентам сети Интернет в АСУ "Экспресс" может быть доступна следующая справочная информация:
|
 |
расписание движения поездов |
|
|
маршруты и регулярность движения поездов |
|
|
назначение и отмена поездов |
|
|
наличие свободных мест |
|
|
стоимость проезда по категориям поездов и классности вагонов |
|
|
стоимость провоза багажа |
|
|
правила перевозок |
|
Одной из центральных задач, которая была решена в процессе разработки технологии, является обеспечение информационной безопасности. Эта задача решается исходя из концепции шлюзовой машины, когда абоненты сети Интернет могут сформулировать задание только специализированному устройству. Данное устройство (шлюз) обеспечивает передачу в систему "Экспресс" строго определенного набора запросов и работает по терминальному интерфейсу системы "Экспресс", который принципиально не предусматривает какого-либо сетевого взаимодействия, в частности, с протоколами группы ТСР/IP.
Кроме того, дополнительно, на входе из сети Интернет в сеть ЗАО "Трансинфосеть" установлен пограничный маршрутизатор, осуществляющий предварительную фильтрацию входящего и исходящего IP трафика. Далее комплекс защиты информации от несанкционированного доступа (межсетевой экран) делит сеть на демилитаризованную зону и защищенную зону. В демилитаризованной зоне установлен Web-сервер, на котором функционирует Web-сайт "Экспресс в Интернет". В защищенной зоне установлен шлюз в АСУ "Экспресс", передача информации от которого до ИВЦ Московской ж.д. осуществляется по специальному протоколу. Шлюз выступает в качестве удаленного терминала, который может выполнять только разрешенные ему ИВЦ виды работ.
На базе специальных программных средств организована виртуальная частная сеть, которая обеспечивает шифрование и изоляцию проходящего в ней трафика от всего остального трафика, циркулирующего в сети.
С помощью виртуальной частной сети осуществляется тунелирование информационных запросов от Web-сайта к шлюзу ответов на них.
В целях обеспечения надежности и качества обслуживания пользователей сети Интернет к системе АСУ "Экспресс" подключены два шлюза (основной и резервный) с автоматическим переключением на резервный в случае отказа основного.
Вопросы защиты информации в данной технологии решаются путем
использования сервиса VPN линейки продуктов VIPNet группы компаний
“ИнфоТеКС”, являющейся признанным лидером
рынка средств информационной безопасности.
Сервис VPN позволяет организовать полностью защищенную,
гибко реконфигурируемую виртуальную частную
сеть, объединяющую отдельные локальные сетевые
сегменты, с разграничением прав доступа к
информации посегментно и по сети в целом. Данным
сервисом предусмотрена также организация
шифрованного обмена данными с контролем
доставки.
В качестве билетно-кассовых терминалов используются:
терминальное оборудование "ЭКСПРЕСС-2А-К", разработанное научно-производственным центром
"Спектр" (г. Самара)
В состав ПО терминала включена специальная версия VIPNet Клиента производства “ИнфоТеКС”.
В технологии
предусмотрено два уровня защиты информации:
Уровень Оператора узла доступа и Уровень
корпоративной Сети железной дороги.
Соответственно задействовано два
VIPNet Координатора и два
VIPNet Центра
Управления Сетью. Наличие двух
VIPNet Координаторов
обусловлено тем, что первый из них размещен в
открытом сегменте сети, и именно с ним
устанавливает защищенное соединение
VIPNet Клиент терминального
оборудования. VIPNet
Координатор железной дороги размещен в закрытой
сети и недоступен из сетей общего пользования.
Между двумя VIPNet
Координаторами по выделенной линии
устанавливается защищенное межсетевое
взаимодействие (криптотуннель). Ключи
межсетевого взаимодействия вырабатываются на
основе ключевой информации, сгенерированной
двумя Центрами Управления. Кроме того, оба центра
задействованы в создании ключевой информации
для VIPNet Клиента.
Для доступа к системе
“Экспресс” используется инструментарий
виртуальных адресов, что позволяет осуществлять
доступ к ресурсам закрытой сети с
немаршрутизируемыми адресами.
Таким образом,
сохранность конфиденциальности информации
обеспечивается путем создания защищенного
удаленного соединения - Интернет-туннеля. Пакеты
информации, передаваемой по Интернет-туннелю,
имеют формат, отличный от стандартного для
Интернет формата транспортных пакетов. Перед
формированием пакетов, передаваемая информация
шифруется ключом симметричного шифрования.
Конфигурация и
управление виртуальной защищенной сетью
осуществляется с помощью программ Центра
управления сетью и Ключевого центра (КЦ) с
Автоматизированного рабочего места
администратора безопасности (АРМ Администратора
безопасности).
С тарифами на
подключение и обслуживание билетно-кассовых
терминалов через VPN
можно ознакомиться здесь.
|
|
Статпро