Национальная система платежных карт. Построение отказоустойчивой ИТ-инфраструктуры

Заказчик: Национальная система платежных карт

Акционерное общество «Национальная система платежных карт» (НСПК) создано 23 июля 2014 года. Ключевые задачи НСПК – обработка внутрироссийских операций по картам международных платежных систем, выпуск и продвижение национальной платежной карты «Мир». В настоящее время операционный процессинговый и клиринговый центр НСПК обрабатывает в сутки от 15 до 20 млн транзакций по картам Visa, MasterCard, «Мир», American Express, JCB, UnionPay.

ИТ-инфраструктура в масштабах всей страны построена всего за 7 месяцев. При этом выполнено одно из ключевых требований – катастрофоустойчивая инфраструктура системы обработки транзакций не имеет единой точки отказа.

«Совместно со специалистами компании “Инфосистемы Джет” мы реализовали уникальный проект, аналога которому в России нет. Было совершено практически невозможное – за несколько месяцев осуществлены выбор поставщика, тестирование решений, проектирование, поставка, инсталляция и пусконаладка ИТ-инфраструктуры двух ЦОД, а также проделан значительный объем работ по подключению участников НСПК. И все это – с использованием практически не известных на тот момент на российском рынке продуктов. Сегодня можно с уверенностью утверждать: построенная платформа имеет достаточный запас прочности и производительности и практически не требует внесения каких-либо серьезных корректировок», – отмечает Владимир Трояновский, директор департамента ИТ НСПК.

Кроме того, компания «Инфосистемы Джет» разработала  шлюз безопасного доступа к данным процессинга НСПК. Шлюз обеспечивает соответствие жестким требованиям регуляторов в части ИБ. Решение исключает возможность прямого интернет-доступа к процессингу со стороны внешних систем, но при этом позволяет НСПК поддерживать интернет-взаимодействие с прикладными системами международных платежных систем и банков-участников.

Строительство инфраструктуры

«Нам была нужна профессиональная команда, способная разработать индивидуальный проект с учетом всех особенностей и потребностей Национальной системы платежных карт. Одним из факторов выбора компании “Инфосистемы Джет” в качестве партнера-исполнителя стал реализованный ею проект для одного из российских банков, отличавшийся территориальным размахом и динамичным темпом работ. ИТ-инфраструктура для банка, включая техническое обеспечение работы офисов по всей стране, была создана с нуля. Наличие подобного проекта подразумевало, что компания сможет использовать наработанный опыт у другого заказчика», – вспоминает Владимир Трояновский.

На проект было отведено очень мало времени, и команды стартовали сразу в высоком темпе. В сентябре-октябре был проведен анализ существующих на рынке технологических решений, выбран вендор и линейки необходимых продуктов.

«Я хорошо помню первый официальный рабочий день нашей компании – 8 сентября 2014 года. На тот момент нас было меньше 10 человек, включая генерального директора. До 31 марта 2015-го, то есть за 7 месяцев нам нужно было создать ИТ-инфраструктуру в масштабах всей страны для обработки внутрироссийских операций по картам международных платежных систем – технологическую платформу под операционный процессинговый и клиринговый центр (ОПКЦ) НСПК, сам ОПКЦ, подключить банки. Первая, установочная встреча с партнером прошла уже в сентябре. И на протяжении последующих месяцев мы в тесном тандеме реализовывали проект», – рассказывает Владимир Трояновский.

Было принято решение использовать при построении инфраструктуры только стандартные компоненты и решения, чтобы исключить привязку владельца инфраструктуры к конкретным поставщикам. Требование независимости от возможных санкций и необходимость обеспечить гарантированные сжатые сроки поставок ограничивали выбор вендоров. Совместно с заказчиком специалисты компании «Инфосистемы Джет» изучили технологические возможности и опыт нескольких вендоров.  В итоге было выбрано оборудование компании Huawei: производитель предоставлял все категории необходимого оборудования плюс возможности его тестирования.

«До сих пор ИТ-оборудование Huawei не использовалось в проектах такого масштаба и уровня критичности. Поэтому мы проводили тщательное тестирование, подключив к работе международную команду экспертов и R&D-центр Huawei в Китае. К чести производителя надо сказать, что он проявил готовность к сотрудничеству и быстрому исправлению выявленных недостатков. Весь проект выполнялся под трехсторонним контролем – со стороны руководства НСПК, “Инфосистемы Джет” и Huawei», – отмечает Илья Воронин, директор Центра проектирования вычислительных комплексов.

Полным ходом шла разработка архитектуры, моделировались возможные конфигурации ИТ-инфраструктуры. Параллельно строились дата-центры НСПК. ИТ-инфраструктура системы обработки транзакций создавалась на площадках двух ЦОД ЦБ РФ, объединенных оптическим кольцом DWDM. Сотрудники компании «Инфосистемы Джет» осуществляли надзор за строительной подготовкой дата-центров, монтировали и настраивали ИТ-оборудование.

«В обычных условиях строительство ЦОД занимает не менее 9 месяцев, мы создали дата-центры за 2 месяца. Первый ЦОД был запущен в середине декабря, второй – в январе. Была проделана огромная работа: строительство ЦОД шло в 3 смены 24 часа в сутки. 17 января к платежной системе были подключены первые банки-участники», – рассказывает Владимир Трояновский.

Для обеспечения телекоммуникационного взаимодействия банков-участников с НСПК специалисты компании «Инфосистемы Джет» организовали стыки сети НСПК с операторскими сетями на узлах связи ММТС-9 и ММТС-10. Также были доставлены и подключены абонентские комплекты примерно 120 банкам в 16 городах, протестированы каналы связи.

Архитектура системы

Эксперты компании «Инфосистемы Джет» спроектировали систему обработки платежных транзакций на основе принципов грид-архитектуры.

«Классическая трехзвенная архитектура построения Mission Critical систем (слой данных, слой логики, слой клиента) не позволяет выполнить жесткое условие по непрерывности работы. В ней уровень баз данных потенциально создает “узкое горло” и точку отказа. Система грид-архитектуры представляет собой сеть из равноправных узлов, каждый из которых связан с каждым. Хранилище данных распределено по всем узлам, одновременно каждый узел грид-системы является узлом обработки трафика, поддерживающим динамическую маршрутизацию. Построенная система обработки транзакций практически “неубиваема” – в случае выхода из строя любого узла нагрузка автоматически переносится на другие», – отмечает Илья Воронин.

nspk-shema.png

Архитектура системы позволяет наращивать вычислительный ресурс без приостановки бизнес-процессов, давая возможность НСПК расширять географию и наращивать количество участников платежной системы.

«С точки зрения технических решений проект позволил заглянуть в завтрашний день ИТ в корпоративном секторе. За год после запуска он наглядно продемонстрировал преимущество перехода при построении критичных бизнес-систем от использования монолитных приложений и специализированного оборудования к распределенным горизонтально-масштабируемым модульным системам на основе стандартных серверных платформ и открытого ПО. Такой подход позволил НСПК достигнуть необходимых показателей отказо- и катастрофоустойчивости без значительных затрат, характерных для систем с аналогичными требованиями к непрерывности, но построенных по классической схеме», – подчеркивает Илья Воронин

Защищенный доступ к данным процессинга

Специалисты компании «Инфосистемы Джет» разработали шлюз безопасного доступа к данным процессинга. Решение удовлетворяет требованиям российского законодательства и национальных регуляторов (ЦБ РФ, ФСБ, ФСТЭК) по защите информации и при этом позволяет НСПК взаимодействовать с внешними системами через сеть Интернет. Шлюз задает логику организации интернет-сервисов НСПК, реализует защиту периметра сети и защиту доступа к данным процессинга со стороны интернет-сервисов.

«На рынке не существовало готовых решений, которые можно было бы использовать для подключения национально значимой платежной системы к публичной сети Интернет. Мы разработали и согласовали с регуляторами концепцию шлюза безопасного доступа к данным процессинга – комплексного решения, которое исключает прямой доступ внешних прикладных систем к базе данных процессинга НСПК и в то же время обеспечивает интерактивную обработку интернет-запросов. Шлюз был внедрен в инфраструктуру НСПК и сейчас успешно эксплуатируется», – рассказывает Алексей Гришин, директор Центра информационной безопасности.

Наряду со стандартными средствами сетевой защиты внутри шлюза реализованы специально разработанные механизмы защиты доступа к данным процессинга. Шлюз доступа не позволяет внешней системе отправить запрос к процессингу НСПК напрямую: специальный компонент  преобразует поступивший интернет-запрос в нейтральный формат и отправляет его процессингу от своего имени. Реализованы механизмы предотвращения отправки нерегламентированных запросов к базе данных процессинга, защиты от вредоносных включений в содержимое запроса, проверки прав пользователей на выполнение запрошенных операций.

Шлюз доступа позволил обеспечить безопасное функционирование прикладных систем НСПК, требующих как доступа к Интернету, так и взаимодействия с процессингом. Обеспечивается также безопасное выполнение онлайн-запросов внешних пользователей, что дает возможность НСПК расширять спектр услуг.

ИТ-инфраструктура системы обработки транзакций в масштабах всей страны построена всего за 7 месяцев. Она развернута на площадках двух ЦОД ЦБ РФ, объединенных оптическим кольцом DWDM. Инфраструктура спроектирована по принципу грид-архитектуры и не имеет единой точки отказа. В проекте используются только стандартные компоненты и решения, что позволяет исключить привязку владельца инфраструктуры к конкретным поставщикам.

Для обеспечения телекоммуникационного взаимодействия банков-участников с НСПК специалисты компании «Инфосистемы Джет» организовали стыки сети НСПК с операторскими сетями на узлах связи ММТС-9 и ММТС-10. Также были доставлены и подключены абонентские комплекты примерно 120 банкам в 16 городах, протестированы каналы связи.

 «Совместно со специалистами компании “Инфосистемы Джет” мы реализовали уникальный проект, аналога которому в России нет. Было совершено практически невозможное – за несколько месяцев осуществлены выбор поставщика, тестирование решений, проектирование, поставка, инсталляция и пусконаладка ИТ-инфраструктуры двух ЦОД, а также проделан значительный объем работ по подключению участников НСПК. И все это – с использованием практически не известных на тот момент на российском рынке продуктов», – отмечает Владимир Трояновский, директор департамента ИТ НСПК.

Разработан  шлюз безопасного доступа к данным процессинга НСПК. Это решение удовлетворяет требованиям российского законодательства и национальных регуляторов (ЦБ РФ, ФСБ, ФСТЭК) по защите информации и при этом позволяет НСПК поддерживать интернет-взаимодействие с прикладными системами международных платежных систем и банков-участников. 

Скачать (pdf, 606.1 Кб)

Национальная система платежных карт. Построение отказоустойчивой ИТ-инфраструктуры