Текущее время: 28 мар 2024, 13:50

Калининград & ХОББИ

Занятие любимым хобби - это путь к счастливой жизни!

Инструкция ФПСУ клиент

Информационные технологии, системное администрирование, компьютеров, серверов, вычислительных сетей, описания различного программного обеспечения, скриншоты программ, примеры настроек
Аватар пользователя
 
Сообщений: 799
Зарегистрирован: 27 мар 2013, 22:12

Инструкция ФПСУ клиент

Сообщение -=dp=- » 07 апр 2014, 10:22

Инструкция ФПСУ клиент

Взаимодействие клиентов с автоматизированными системами через сеть Интернет связано с многочисленными угрозами информационной безопасности персональных компьютеров клиентов и серверов автоматизированных систем. С целью минимизации рисков реализации угроз взаимодействие с автоматизированными системами Сбербанка России организуется по защищенной VPN-сети (Virtual Private Network – виртуальная частная сеть), наложенной на каналы связи сети Интернет. Для подключения к защищенной VPN-сети Сбербанка России используется аппаратно-программный комплекс ФПСУ-IP/Клиент.
Настоящее руководство определяет порядок установки и настройки комплексов ФПСУ-IP/Клиент. Установка и настройка комплексов ФПСУ-IP/Клиент может быть проведена как силами сотрудников служб автоматизации Сбербанка России, так и уполномоченными сотрудниками клиентов Сбербанка России. Сотрудники служб автоматизации Сбербанка России выполняют работы по установке и настройке комплексов ФПСУ-IP/Клиент только в присутствии уполномоченных сотрудников клиентов Сбербанка России.

1. Назначение, состав и условия эксплуатации комплекса ФПСУ-IP/Клиент
1.1. Назначение комплекса
Комплекс ФПСУ-IP/Клиент обеспечивает защиту информационного обмена, а также защиту персонального компьютера клиента при взаимодействии с автоматизированными системами Сбербанка России через сеть Интернет.

Защита от несанкционированного доступа к автоматизированным системам, а также самого информационного обмена между клиентом и Сбербанком России обеспечивается:
аутентификацией клиентов банка по уникальному ключу, записанному в устройство VPN-key;
созданием криптографически защищенного VPN-туннеля между персональным компьютером клиента и комплексом ФПСУ-IP («Фильтр пакетов сетевого уровня – IP»).
Подключение к автоматизированным системам Сбербанка России через сеть Интернет возможно только с использованием устройства VPN-key, подключаемого к USB-порту компьютера.

1.2 Состав комплекса
Комплекс состоит из двух подсистем:
подсистема персонального межсетевого экрана;
подсистема создания VPN-туннеля в соответствии с алгоритмом шифрования ГОСТ 28147-89 на базе аппаратно-программного средства криптографической защиты информации «Туннель/Клиент», сертифицированного ФАПСИ по классу стойкости КНВ-2.99 (Сертификат соответствия №СФ/124-643 от 20 июня 2002 года).

В комплект поставки комплекса ФПСУ-IP/Клиент входят:
устройство хранения ключевой информации VPN-key, содержащее уникальный ключ;
инсталляционная дискета с программным модулем комплекса ФПСУ-IP/Клиент;
конверты с персональными PIN (Personal Identity Number code) и PUK (Personal Unblocked Key code) кодами пользователя и администратора для работы с VPN-key.

1.3. Условия эксплуатации комплекса

Персональный компьютер, предназначенный для установки прикладного программного обеспечения и аппаратно-программного комплекса ФПСУ-IP/Клиент, должен отвечать следующим требованиям:
использовать операционную систему WINDOWS 98 SE, WINDOWS NT 4, WINDOWS 2000/XP+SP2;
иметь контроллер универсальной последовательной шины (USB).

Количество установок программных модулей комплекса ФПСУ-IP/Клиент не ограничено. Программные модули могут быть скопированы с инсталляционного носителя и установлены на персональные компьютеры, с которых предполагается осуществлять работу с автоматизированными системами Сбербанка России.

Организация взаимодействия между компьютером, оборудованным комплексом «ФПСУ-IP/Клиент» и автоматизированной системой Сбербанка России, возможна через межсетевой экран или PROXY-сервер организации. При этом: политика безопасности межсетевого экрана должна обеспечивать взаимодействие компьютера с комплексом ФПСУ-IP, установленным в СБ РФ, по протоколу UDP порт 87; политика безопасности PROXY-сервера должна обеспечивать взаимодействие компьютера с комплексом ФПСУ-IP по протоколу UDP порт 87 без использования proxy протокола.

1.4 Обеспечение безопасности при эксплуатации

Подключение клиента к автоматизированной системе банка для управления счетом, обработки и передачи в банк финансовых документов целесообразно производить с выделенного для этих целей персонального компьютера. Работу с публичными ресурсами сети Интернет с данного компьютера рекомендуется не проводить.
Перед установкой банковского прикладного программного обеспечения и комплекса ФПСУ-IP/Клиент на персональном компьютере должны быть проведены следующие работы:
установлены все критичные обновления для операционной системы персонального компьютера и ее компонентов;
установлено и настроено антивирусное программное обеспечение с актуальными антивирусными базами;
проведена проверка жесткого диска на отсутствие вирусов.
После установки комплекса ФПСУ-IP/Клиент необходимо настройками встроенного в комплекс персонального межсетевого экрана максимально ограничить список доверенных сетевых объектов организации и правила информационного взаимодействия с ними данного ПК (пример на стр.18).
Проведение данных работ позволит минимизировать угрозы вирусных заражений и несанкционированного доступа к ПО, данным и криптографическим ключам АРМ как со стороны сети Интернет, так и со стороны ЛВС организации.
Защита от несанкционированного использования устройства хранения ключевой информации VPN-key, а также изменения его настроек обеспечивается путем применения PIN-кода пользователя и PIN-кода администратора. Вместе с тем, при эксплуатации и хранении электронного устройства VPN-key необходимо принять меры по исключению несанкционированного доступа к устройству посторонних лиц.
После трех попыток неправильного ввода PIN-кода (пользователя/администратора) PIN-код блокируется. В этом случае для его разблокировки необходимо ввести PUK-код (пользователя/администратора). При одновременной блокировке PIN и PUK -кодов пользователя и администратора для восстановления работоспособности комплекса ФПСУ-IP/Клиент необходима перегенерация электронного устройства VPN-key, PIN-кода и PUK-кода в центре генерации Банка.
В случае утери электронного устройства VPN-key, либо утери, блокировки PIN-кода и PUK-кода доступа к устройству VPN-key необходимо сообщить в диспетчерскую службу филиала Сбербанка России.
В процессе эксплуатации комплекса ФПСУ-IP/Клиент значения PIN- и PUK- кодов пользователя и администратора должны быть известны только уполномоченным лицам клиента. Конверты с персональными PIN- и PUK- кодом пользователя и администратора должны храниться у ответственных лиц организации. Способ хранения конвертов должен исключать возможность компрометации PIN-кода и PUK-кода. Подробнее про работу с PIN- и PUK- кодами см. п.4.1.5.


2. Инсталляция комплекса

Установите в дисковод (привод CD-ROM) инсталляционную дискету или диск. Допускается до начала установки копирование файлов дистрибутива на жесткий диск компьютера или сетевой ресурс. Запустите на выполнение программу инсталляции AmiVPN setup for Windows2000(NT/XP/98), внимательно ознакомьтесь с лицензионным соглашением.

В случае согласия с лицензионным соглашением необходимо нажать «Я согласен». Далее установите вариант установки ФПСУ-IP/Клиента как показано на рисунке 2.2 и нажмите «Вперед».

Укажите по запросу каталог, в который следует установить ПО ФПСУ-IP/Клиент и нажмите «Установить».

После завершения процесса инсталляции необходимо нажать «Закрыть» и перезагрузить компьютер

В случае успешной установки ПО и последующей перезагрузки компьютера в правой части статусной строки экрана появится его значок (ярлык).

Внимание: Возможны ситуации, когда при первом подключении устройства VPN-key к USB-порту компьютера операционная система обнаружит новое устройство и запросит путь к его драйверу. Для установки драйвера необходимо позволить ОС самостоятельно найти драйвер или указать путь к нему. Например: «<Диск>:\windows\system32\drivers\accusb.sys. В случае успешной установки драйвера в списке устройств появится новое устройство ACCORDMO USB. Для проведения проверки необходимо, на значке рабочего стола «Мой компьютер» нажать правую кнопку мыши, выбрать «Свойства/оборудование/диспетчер устройств» и разрешить отображение скрытых устройств «Вид/Показать скрытые устройства».


3. Запуск комплекса.
3.1. Начало работы

Устройство VPN-key поставляется с предустановленными основными параметрами (IP-адреса ПАК ФПСУ-IP и серверов банка), необходимыми для работы с ресурсами банка.

Внимание: Изменение данных параметров без согласования с банком приведет к невозможности подключения к АБС банка.

ПО ФПСУ-IP/Клиента загружается автоматически после старта ОС Windows. Признаком того, что ПО загружено, является значок (ярлык) в правой части статусной строки.
При нажатии правой кнопки мыши на ярлыке на экран выдается основное меню ПО ФПСУ-IP/Клиент, содержащее следующие команды.

Соединиться – установить соединение с комплексом ФПСУ-IP для работы с защищенными серверами Банка;
Разъединиться – разорвать установленное соединение;
Настройки – просмотр и изменение настроек комплекса ФПСУ-IP/Клиент;
Настройки локальные – просмотр и изменение настроек персонального межсетевого экрана при работе.
Статистика – просмотр статистики работы комплекса;
Обновление ПО – обновление программного обеспечения ФПСУ-IP/Клиент с ПАК ФПСУ-IP, установленного в банке.

Внимание: первые три команды доступны только при подключенном к USB-порту VPN-key. Обновление ПО производится только при установленном соединении с ПАК ФПСУ-IP.
3.2. Установка соединения

При подключении к USB-порту компьютера устройства VPN-key, если комплекс настроен на режим «автосоединение» (см. раздел 4.1.1 Конфигурирование комплекса), ФПСУ-IP/Клиент автоматически попытается начать сеанс связи с ПАК ФПСУ-IP. В противном случае воспользуйтесь командой меню «Соединиться» При этом комплекс ФПСУ-IP/Клиент выдаёт на экран сообщение о начале регистрации пользователя, отображающее системные идентификаторы предъявленногоVPN-key .

Введите в соответствующее диалоговое поле окна регистрации четырёхзначный PIN-код устройства VPN-key. Если введённый код окажется неверным, он будет запрошен снова. Количество допустимых попыток ввода персональных идентификационных кодов отображается в информационном окне Рис.3.3 при нажатии кнопки «Подробнее...» окна регистрации.

Внимание: Если три раза подряд был введен неверный PIN-код пользователя, система начнёт запрашивать десятизначный PUK-код. Подробнее о блокировке PIN и PUK –кодов см. п.4.1.5.

Если PIN-код введен верно, начинается процесс установки соединения с ПАК ФПСУ-IP банка. При этом на экран выдается соответствующее информационное сообщение .

Будет выполнено 10 попыток установить соединение. Если по истечении всех попыток соединение не установлено и параметр «Пауза между попытками соединения, сек» (см. п.п. 4.1.1) не задан, необходимо снова воспользоваться командой «Соединиться». Если попытки соединиться с ПАК ФПСУ-IP окажутся неудачными, пользователю необходимо сообщить об этом сотрудникам, осуществляющим в организации техническое сопровождение коммуникационного оборудования и вычислительной техники.
Если туннель с “ФПСУ-IP” установлен и доступ пользователю разрешается, окно «Соединение» закроется, а значок ФПСУ-IP/Клиент внизу экрана изменит свой вид (появиться зелёный «огонёк»). Можно запускать программное обеспечение, предназначенное для работы с автоматизированными системами Банка.
3.3. Окончание сеанса связи

По окончании работы с АБС Сбербанка России необходимо воспользоваться командой «Разъединиться» (Рис.3.5) меню комплекса ФПСУ-IP/Клиент и отключить устройство VPN-key от USB-порта компьютера.

Внимание: Для исключения возможности утраты и несанкционированного использования необходимо обеспечить хранение устройства VPN-key в сейфе или надежно запираемом металлическом шкафу ответственного лица наравне с криптографческими ключами.

4. Конфигурирование комплекса

Конфигурирование комплекса выполняется при подключенном устройстве VPN-key к USB-порту компьютера.
Основные настройки (IP-адреса ПАК ФПСУ-IP и серверов) ПО ФПСУ-IP/Клиент, необходимые для работы с АБС банка, уже введены в устройство VPN-key и комплекс готов к использованию.
4.1. Просмотр и редактирование настроек комплекса

Для входа в режим конфигурирования необходимо нажать правую кнопку мыши на ярлыке в правой части статусной строки, выбрать команду «Настройки» (Рис.4.1) и ввести PIN-код Администратора, установив при этом признак входа с правами администратора.

В случае успешного ввода PIN-кода Администратора откроется диалоговое окно настроек

4.1.1. Настройка адресов ПАК ФПСУ-IP и параметров соединения

В диалоговом окне установлены рекомендуемые банком настройки:

в поле «ФПСУ основной» указывается IP-адрес ПАК ФПСУ-IP банка, через который осуществляется доступ к защищенным серверам банка.

в поле «ФПСУ Дополнительный» указывается IP-адрес дополнительного ПАК ФПСУ-IP банка, через который осуществляется доступ к защищенным серверам банка при недоступности основного.

Изменение IP-адресов ФПСУ-IP без согласования с банком приведет к невозможности подключения к АБС Банка.

переключатель «сжатие данных» - при установке обеспечивает сжатие данных по встроенному алгоритму перед их передачей в VPN-туннель.

Данная опция эффективна, если сеть обеспечивает скорость соединения не выше 2Мбит/с.

переключатель «автоматически проверять обновление» - при установленном соединении с ПАК ФПСУ-IP будет проверяться наличие обновления ПО ФПСУ-IP/Клиент.

Рекомендуется установить данный переключатель для упрощения процедуры проведения обновлений ПО ФПСУ-IP/Клиент. При этом, установка полученных обновлений возможна только при работе на компьютере с правами администратора операционной системы.


Переключатель «Автосоединение при подключении VPN-key» - если переключатель выставлен, то при подключении устройства VPN-key комплекс будет автоматически пытаться идентифицировать пользователя и соединиться с ПАК ФПСУ-IP.

Будет выполнено 10 попыток установить соединение. В случае, если по истечении всех попыток соединение не установлено и параметр «Пауза между попытками соединения, сек» не задан, то необходимо воспользоваться командой «Соединиться».

переключатель «Помнить введенный PIN-код пока VPN-key не отсоединен» - в случае отключения электропитания компьютера комплекс будет помнить введенный PIN-код до момента отсоединения VPN-key от USB-порта.

параметр «Пауза между попытками соединения, сек» - устанавливается временной интервал (задается в секундах), по истечении которого комплекс повторяет 10 попыток соединения с ПАК ФПСУ-IP.
4.1.2. Настройка адресов серверов АБС Банка.

Редактирование IP- адресов доступных серверов осуществляется по указанию Банка.

Внимание: изменение IP-адресов серверов без согласования с банком приведет к невозможности подключения к АБС Банка.

Для редактирования списка серверов, доступных через ПАК ФПСУ-IP необходимо войти в экран «Хосты» и в поле «Хосты, доступные через ФПСУ» с помощью кнопок «Добавить», «Изменить», «Удалить» можно отредактировать или добавить (удалить) IP-адреса серверов.

4.1.3. Настройка блокировок.

Блокировки используются для обеспечения защиты рабочего места от НСД при взаимодействии с АБС Банка.
Ограничения на прием и передачу пакетов для сетевого адаптера, связанного с ПАК ФПСУ-IP, и для других сетевых интерфейсов компьютера устанавливаются раздельно.
Предустановленная Банком настройка VPN-key предусматривает включение всех блокировок и позволяет полностью исключить несанкционированный доступ к персональному компьютеру компании из сети Интернет и из ЛВС организации во время работы АРМ с АБС Банка по криптографически защищенному туннелю.

При необходимости одновременной работы АРМ с АБС Банка и с информационными ресурсами организации минимально необходимая для этого блокировка может быть снята при условии настройки локальных правил фильтрации (см. п. 4.2) на взаимодействие АРМ исключительно с доверенными хостами организации.

Внимание: Правила блокировок при работе с установленным туннелем с ФПСУ банка имеют приоритет перед списком разрешенных хостов в локальных настройка. Например, при установленном переключателе «все TCP соединения» взаимодействие со всеми хостами, кроме АБС Банка по протоколу TCP будет запрещено даже при наличии списка разрешенных хостов с протоколом TCP в локальных настройках АРМ.


4.1.4. Просмотр информации о VPN-key.

Для просмотра справочной информации об устройстве VPN-key необходимо выбрать «Информация о VPN-key», после чего в открывшемся диалоговом окне будет выведена информация о центре генерации ключевой информации и оставшееся количество попыток ввода неверного PIN и PUK-кода пользователя и администратора.


4.1.5. Изменениe PIN-кодов.

В том случае, если PIN-код Администратора (или пользователя) был скомпрометирован, забыт или заблокирован после трех неудачных попыток, необходимо провести его изменение в приведенном ниже диалоговом окне. Для проведения смены необходимо ввести новое значение PIN-кода, PUK-код Администратора (или, соответственно, пользователя) и нажать «Изменить».
При выполнении данной процедуры нужно быть предельно внимательным, так как если PUK-код будет указан неверно, есть вероятность окончательно заблокировать VPN-key и дальнейшая работа с ним будет невозможна. PUK-код блокируется в случае пяти неудачных попыток.

Внимание:
1. Изменению подлежат только PIN-коды.
2. PIN-код пользователя может быть восстановлен c использованием PUK-кода пользователя.
3. PIN-код пользователя может быть восстановлен c использованием PIN- или PUK- кода Администратора.
4. PIN-код Администратора может быть восстановлен только c использованием PUK-кода Администратора.
5. Предел неудачных попыток ввода:
для PIN-кода – 3 раза
для PUK-кода – 5 раз
6. В случае исчерпания пяти попыток ввода PUK-кода пользователя предъявленный VPN-key будет заблокирован и дальнейшая работа с ним (на любом компьютере):
возможна только с правами Администратора
с правами пользователя – невозможна до проведения процедуры реинициализации ключа в центре генерации банка.
7. В случае блокировки PUK-кода пользователя и PUK-кода Администратора использование VPN-key невозможно и данный VPN-key должен быть реинициализирован в центре генерации банка.

4.1.6. Выход из режима настроек.

После проведения настроек параметров работы комплекса ФПСУ-IP/Клиент сохраните произведенные установки при помощи соответствующей кнопки «Сохранить». Для выхода без сохранения воспользуйтесь кнопкой «Отказ».

4.2. Настройки локальные

Настройки локальные обеспечивают задание политики безопасности персонального межсетевого экрана, входящего в состав комплекса ФПСУ-IP/Клиент и предназначенного для защиты персонального компьютера от несанкционированного подключения со стороны сети Интернет и ЛВС организации как во время сеанса работы с АБС Банка, так и в остальное время, в том числе при отключенном устройстве VPN-key.

4.2.1. Установки и изменение локальных настроек.

Для того чтобы провести конфигурирование локальных настроек, необходимо войти в основное меню комплекса и выбрать команду «Настройки локальные».

Для установки и изменения настроек необходимо разрешить их редактирование. При этом необходимо ввести пароль доступа (после инсталляции пароль пустой)

В открывшемся диалоговом окне рис. возможно проведение необходимых настроек персонального межсетевого экрана:

Для исключения доступа к компьютеру из сети Интернет как во время сеанса связи с банком, так и вне сеанса связи, а также без подключенного VPN-key к USB-порту компьютера переключатель «не использовать правила в состоянии связи с ФПСУ» должен быть выключен.
переключатель «блокировать все пакеты, кроме IP стека протоколов» - при установке переключателя блокируется прохождение всех пакетов, кроме TCP/IP стека протоколов.
переключатель «работа только через ФПСУ, все остальные IP пакеты блокируются» - при установленном признаке блокируются все пакеты, направленные не в IP-адрес комплекса ПАК ФПСУ-IP, в том числе при наличии не пустого списка разрешенных хостов. Обеспечивает наиболее безопасный режим эксплуатации рабочего места, с которого осуществляется доступ к АБС Банка

Создавать или редактировать правила фильтрации входящих и исходящих пакетов можно с помощью кнопок «Добавить», «Изменить», «Удалить» . При нажатии кнопки «Добавить» или «Редактировать» откроется диалоговое окно настроек с помощью которого можно задать необходимую политику безопасности при работе ресурсами сети.


Принятый IP-пакет проверяется на соответствие каждому из имеющихся правил фильтрации по очереди. Решение по его дальнейшей обработке (передача или блокировка) принимается как только пакет будет соответствовать какому-либо правилу. Поэтому, для исключения доступа к компьютеру из ЛВС организации или Интернет с IP-адресов, не входящих в список разрешенных, необходимо последним добавить правило, блокирующее любое взаимодействие с неразрешенными адресами.

После проведения необходимых настроек активизируйте правила с помощью переключателя «Активировать правила» и сохраните произведенные установки при помощи соответствующей кнопки «Сохранить». Для выхода без сохранения воспользуйтесь кнопкой «Отказ».

4.2.2. Изменение пароля доступа к локальным настройкам.

После инсталляции комплекса пароль доступа к локальным настройкам пустой. Для изменения пароля необходимо при вводе пароля для доступа к локальным настройкам выбрать «Изменить» и ввести новый пароль.

Внимание: В случае утери пароля доступа к данным настройкам потребуется
переустановка комплекса.


4.3. Просмотр статистики

Комплекс ФПСУ-IP/Клиент производит автоматический сбор статистической информации о принимаемых и передаваемых во время его работы данных. Подсчёт данных производится для всех сетевых адаптеров компьютера во время существования туннелей с ПАК ФПСУ-IP.
Для вывода и просмотра статистики необходимо войти основное меню комплекса, выбрать «Статистика»



После чего на экране появится одноимённое окно. Для удобства работы размеры окна и его полей можно изменять при помощи мыши. В окне просмотра статистики можно просматривать количество данных, передаваемых или принимаемых, данным комплексом ФПСУ-IP/Клиент. Также в открывшемся окне возможен сброс собранной комплексом статистики.


4.4. Обновление ПО

Данная команда предназначена для проведения обновления ПО комплекса ФПСУ-IP/Клиент. При этом необходимо, чтобы между комплексом и ПАК ФПСУ-IP было установлено соединение.

Внимание: установка полученных обновлений возможна только при работе на компьютере с правами администратора операционной системы.
5. Рекомендуемые настройки ПАК ФПСУ-IP/Клиент.


Оригинал инструкции ФПСУ клиент с картинками прикреплен к теме.



Вернуться в Информационные технологии

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2