City of Hobby - vizionarea subiectului - instruire a clientului FPS

Instruirea clientului FPSU

Interacțiunea clienților cu sistemele automate prin Internet este asociată cu numeroase amenințări la adresa securității informatice a computerelor personale ale clienților și a serverelor sistemelor automate. Pentru a minimiza riscurile de realizare a amenințărilor, interacțiunea cu sistemele automate ale Sberbank din Rusia este organizată pe o rețea securizată VPN (Virtual Private Network) suprapusă pe canalele de comunicare pe Internet. Pentru a vă conecta la o rețea VPN securizată a Băncii de Economii a Rusiei, se utilizează complexul hardware-software FPSU-IP / Client.
Acest manual definește ordinea de instalare și configurare a complexelor FPSU-IP / Client. Instalarea și configurarea complexelor FPSU-IP / Clientul poate fi realizat atât de către angajații serviciilor de automatizare ale Sberbank din Rusia, cât și de către angajații autorizați ai clienților Sberbank. Angajații serviciilor de automatizare ale Sberbank din Rusia efectuează lucrări de instalare și configurare a complexelor FPSU-IP / Client numai în prezența angajaților autorizați ai clienților Sberbank.

1. Scopul, compoziția și condițiile de funcționare a complexului FPSU-IP / Client
1.1. Scopul complexului
Complexul FPSU-IP / Client asigură protecția schimbului de informații, precum și protecția calculatorului personal al clientului atunci când interacționează cu sistemele automate ale Sberbank din Rusia prin Internet.

Protecția împotriva accesului neautorizat la sistemele automatizate, precum și schimbul de informații între client și Sberbank din Rusia este asigurat de:
autentificarea clienților băncii pe o cheie unică înregistrată în dispozitivul cu cheie VPN;
Crearea unui tunel VPN protejat criptografic între computerul personal al clientului și complexul FPGA-IP ("layer packet filter-IP").
Conectarea la sistemele automate ale Sberbank din Rusia prin Internet este posibilă numai cu ajutorul unui dispozitiv cu cheie VPN, care este conectat la portul USB al calculatorului.

Setul de livrare al complexului FPSU-IP / Client include:
o cheie cheie VPN pentru stocarea informațiilor, cuprinzând o cheie unică;
instalarea dischetei cu modulul de program al complexului FPSU-IP / Client;
plicuri cu numere de identificare personale (PIN) și coduri de utilizator PUK (Personal Unblocked Key) și coduri de administrator pentru lucrul cu cheie VPN.

1.3. Condiții de funcționare a complexului

Numărul de instalații ale modulelor de program ale complexului FPSU-IP este nelimitat. Modulele software pot fi copiate de pe suportul de instalare și instalate pe computerele personale, de la care se presupune că funcționează cu sistemele automate ale Sberbank din Rusia.

Organizarea interacțiunii dintre un computer echipat cu un complex "FPSU-IP / Client" și un sistem automat al Sberbank din Rusia este posibil prin intermediul firewall-ului sau serverului PROXY al organizației. În același timp: politica de securitate a firewall-ului trebuie să asigure interacțiunea calculatorului cu complexul FPSU-IP instalat în Consiliul de Securitate al Federației Ruse, folosind portul de protocol UDP 87; politica de securitate a serverului PROXY trebuie să permită computerului să interacționeze cu complexul FCPU-IP prin intermediul protocolului UDP port 87 fără a utiliza protocolul proxy.

1.4 Siguranța în exploatare

Conectarea clientului la sistemul automatizat al băncii pentru gestionarea contului, procesarea și transferul către bancă a documentelor financiare este oportun să se facă de pe calculatorul personal alocat în aceste scopuri. Se recomandă să nu lucrați cu resurse publice de Internet de pe acest computer.
Înainte de a instala software-ul aplicației bancare și complexul FPSU-IP / Client pe computerul personal, trebuie efectuate următoarele lucrări:
toate actualizările critice sunt instalate pentru sistemul de operare al calculatorului personal și al componentelor acestuia;
instalat și configurat software antivirus cu baze de date antivirus actualizate;
a fost verificat un hard disk pentru viruși.
După instalarea complexului FPSU-IP / Client necesare pentru a adapta organizarea și regulile de schimb de informații cu acestea a PC-ului (de exemplu, la pagina 18) built-in firewall personal complex pentru a limita lista de obiecte de rețea de încredere.
Realizarea acestor lucrări se va reduce la minimum riscul de infecții virale și a accesului neautorizat la software, date și chei criptografice ARM atât pe Internet și din rețeaua LAN a companiei.
Protecția împotriva utilizării neautorizate a dispozitivului cheie de stocare a informațiilor pentru dispozitivul VPN, precum și modificarea setărilor acestuia este asigurată de codul PIN al utilizatorului și de codul PIN administrator. În același timp, atunci când operează și stochează cheia VPN a dispozitivului electronic, este necesar să se ia măsuri pentru a împiedica accesul neautorizat la dispozitiv de către persoane neautorizate.
După trei încercări de a introduce greșit codul PIN (utilizator / administrator) PIN-cod este blocat. În acest caz, trebuie să introduceți codul PUK (utilizator / administrator) pentru al debloca. In timp ce blocarea simultan PIN și PUK -codurile utilizator și administrator pentru a restabili FPSU-IP / Client necesită regenerarea VPN-cheie de performanță dispozitiv electronic complex, PIN-cod și generarea codul PUK în centrul Băncii.
În cazul pierderii dispozitivului e-VPN-cheie, sau pierdere, codul PIN de blocare și accesul PUK-cod pentru a VPN-cheie trebuie să fie raportate la ramura de servicii de expediere a dispozitivului Banca de Economii a Rusiei.
În timpul funcționării complexului FPSU-IP / Client, codurile PIN și PUK ale utilizatorului și ale administratorului trebuie cunoscute numai persoanelor autorizate ale clientului. Plicurile cu PIN personal și codul PUK ale utilizatorului și ale administratorului trebuie păstrate de persoanele responsabile ale organizației. Modul de stocare a plicurilor ar trebui să excludă posibilitatea de a compromite codul PIN și codul PUK. Pentru detalii privind utilizarea codurilor PIN și PUK, vedeți 4.1.5.


2. Instalarea complexului

Dacă sunteți de acord cu acordul de licență, faceți clic pe "Sunt de acord". Apoi setați opțiunea de a seta FCPU-IP / Client așa cum se arată în Figura 2.2 și faceți clic pe "Redirecționare".

La cerere, specificați directorul unde doriți să instalați software-ul FPSU-IP / Client și faceți clic pe "Install".

După ce procesul de instalare este finalizat, faceți clic pe "Închidere" și reporniți computerul

Dacă software-ul este instalat cu succes și computerul este repornit, pictograma acestuia (comanda rapidă) va apărea în partea dreaptă a liniei de stare a ecranului.

Atenție: Este posibil ca atunci când dispozitivul cu cheie VPN este conectat pentru prima dată la portul USB al computerului, sistemul de operare detectează un dispozitiv nou și întreabă calea către driverul său. Pentru a instala driverul, trebuie să activați sistemul de operare pentru a găsi driverul sau pentru a specifica calea către acesta. De exemplu: "<Диск>: \ windows \ system32 \ drivers \ accusb.sys. Dacă driverul este instalat cu succes, în lista de dispozitive apare un nou dispozitiv ACCORDMO USB. Pentru verificare este necesară pe pictograma de pe desktop „My Computer“ clic dreapta, selectați „Properties / Hardware / Device Manager“ și permite afișarea dispozitivelor ascunse „View / afișa dispozitive ascunse“.


3. Rularea complexului.
3.1. Noțiuni de bază

Atenție: Schimbarea acestor parametri fără acordul cu banca va duce la imposibilitatea de conectare la ABS-ul băncii.

Prin FPSU-IP / Client se încarcă automat după pornirea Windows. Un semn că software-ul este încărcat este pictograma (comanda rapidă) din partea dreaptă a liniei de stare.
Când faceți clic dreapta pe scurtătură, este afișat meniul principal al software-ului FPSU-IP / Client, care conține următoarele comenzi.

Notă: primele trei comenzi sunt disponibile numai când cheia VPN este conectată la portul USB. Actualizarea software-ului se efectuează numai atunci când este stabilită conexiunea la FPSU-IP PAK.
3.2. Stabilirea unei conexiuni

Când este conectat la calculator port USB dispozitive VPN-cheie, în cazul în care complexul este configurat pentru "Auto Connect" (a se vedea. Secțiunea 4.1.1 Configurarea Complex), FPSU-IP / clientul va încerca automat să inițieze o sesiune de comunicare cu PAA FPSU-IP. În caz contrar, utilizați comanda de meniu „Connect“ În acest complex FPSU-IP / Client oferă ecran un mesaj de înregistrare a utilizatorului, afișarea sistemului de ID-uri predyavlennogoVPN-cheie.

Introduceți codul PIN din patru cifre al dispozitivului cheie VPN în caseta de dialog corespunzătoare din fereastra de înregistrare. Dacă codul introdus este incorect, acesta va fi solicitat din nou. Numărul de încercări acceptabile de a introduce coduri personale de identificare este afișat în fereastra de informații din Fig.3.3 făcând clic pe butonul "Detalii". "Fereastra de înregistrare.

Dacă codul PIN este introdus corect, începe procesul de stabilire a conexiunii cu banca BCP FSP-IP. Un mesaj de informare corespunzător este afișat pe ecran.

Se vor incerca 10 tentative de stabilire a unei conexiuni. Dacă după orice încercare conexiunea nu este stabilită și parametrul „Pauză între încercările de conectare s“ (a se vedea punctul. 4.1.1) nu sunt specificate, trebuie să utilizați din nou comanda „Connect“. Dacă încercați să vă conectați la PAC FPSU-IP eșuează, utilizatorul trebuie să informeze angajații implicați în organizarea întreținerii tehnice a echipamentelor de comunicații și calculatoare.
În cazul în care tunelul este un „FPSU-IP“ este setat și utilizatorul este permis accesul, fereastra „Connection“ va fi închisă, iar pictograma FPSU-IP / Client în partea de jos a ecranului se va schimba (apare verde „flacără“). Puteți rula software conceput pentru a lucra cu sistemele automate ale băncii.
3.3. Sfârșitul sesiunii de comunicare

La terminarea lucrului cu ABS al Băncii de Economii a Rusiei este necesar să folosiți comanda "Disconnect" (Fig.3.5) din meniul complexului FPSU-IP / Client și să deconectați dispozitivul cheie VPN de la portul USB al computerului.

Atenție: Pentru a exclude posibilitatea pierderii și a utilizării neautorizate, este necesar să stocați dispozitivul cheie VPN într-un dulap sigur sau bine fixat de metal al persoanei responsabile, împreună cu cheile criptografice.

4. Configurarea complexului

Pentru a intra în modul de configurare, apăsați pe butonul din dreapta al mouse-ului pe eticheta de pe partea dreaptă a barei de stare, selectați „Settings“ (Figura 4.1) și introduceți administratorul PIN-cod care a instalat cu semnul de intrare al unui administrator.

Dacă ați introdus cu succes codul PIN Administrator, se va deschide caseta de dialog Setări.

compresia de date a comutatorului - în timpul instalării furnizează comprimarea datelor privind algoritmul încorporat înainte de a le transfera în tunelul VPN.

Această opțiune este eficientă dacă rețeaua oferă o viteză de conectare de cel mult 2 Mbps.

comutatorul "verifică automat actualizarea" - dacă este stabilită conexiunea cu pachetele FPGA-IP, se va verifica actualizarea software-ului FPSU-IP / Client.

Se recomandă setarea acestui comutator pentru a simplifica procedura de actualizare a programului FSPU-IP / Client. În acest caz, instalarea actualizărilor primite este posibilă numai atunci când lucrați pe computer cu drepturile administratorului sistemului de operare.


Treceți la "Autoconnecție atunci când conectați cheia VPN" - dacă comutatorul este setat, atunci când dispozitivul cu cheie VPN este conectat, complexul va încerca în mod automat să identifice utilizatorul și să se conecteze la FPGA-IP PAK.

Se vor incerca 10 tentative de stabilire a unei conexiuni. Dacă, după toate încercările, conexiunea nu este stabilită și parametrul "Întrerupeți între încercările de conectare, sec" nu este setat, atunci trebuie să utilizați comanda "Conectare".

"Amintiți-vă codul PIN introdus în timp ce tasta VPN nu este deconectată" - în cazul unei întreruperi a alimentării calculatorului, complexul își va aminti codul PIN introdus până când tasta VPN nu este deconectată de la portul USB.

4.1.3. Configurarea încuietorilor.

Încuietoarele sunt folosite pentru a asigura protecția locului de muncă de la NSD atunci când interacționează cu ABS-ul băncii.
Limitările privind recepția și transmiterea pachetelor pentru adaptorul de rețea asociat cu FCPU-IP PAK și pentru alte interfețe de rețea ale computerului sunt stabilite separat.
Presetare Bank VPN-cheie este configurat pentru a include toate încuietori și vă permite să împiedice complet accesul neautorizat la o companie de calculator personal de pe Internet și din rețeaua LAN a companiei, în timp ce ARM ABS Bank tunel criptografic securizat.

În cazul în care funcționarea simultană necesară a APM ABS Bank și informații despre organizație resurse minime necesare pentru această blocare poate fi îndepărtată în condițiile în stabilirea regulilor de filtrare locale (a se vedea. Sec. 4.2), pentru a interacționa în mod exclusiv cu organizația APM de încredere gazde.

Notă: Regulile de blocare la lucrul cu tunelul instalat din banca FPU au prioritate față de lista de gazde permise în configurația locală. De exemplu, cu comutatorul "toate conexiunile TCP" setat, interacțiunea cu toate host-urile, altele decât Bank ABS prin protocolul TCP, va fi interzisă chiar dacă există o listă de gazde permise cu protocolul TCP în setările locale ale stației de lucru.


4.1.5. Modificarea codurilor PIN.

În cazul în care PIN-ul Administratorului (sau al utilizatorului) a fost compromis, uitat sau blocat după trei încercări eșuate, este necesar să îl modificați în caseta de dialog de mai jos. Pentru a efectua schimbarea, trebuie să introduceți o nouă valoare a codului PIN, codul PUK al administratorului (sau, respectiv, utilizatorul) și să faceți clic pe "Modificare".
Când efectuați această procedură, trebuie să fiți extrem de atent, deoarece dacă codul PUK este specificat incorect, există posibilitatea blocării în cele din urmă a cheii VPN și lucrul suplimentar cu acesta va fi imposibil. Codul PUK este blocat în cazul a cinci încercări eșuate.

Atenție:
1. Numai codurile PIN pot fi modificate.
2. PIN-ul utilizatorului poate fi restabilit utilizând codul PUK al utilizatorului.
3. PIN-ul utilizatorului poate fi restabilit utilizând codul PIN sau PUK al Administratorului.
4. PIN-ul administratorului poate fi restabilit numai utilizând codul PUK al administratorului.
5. Limita încercărilor de intrare eșuate:
pentru codul PIN - de 3 ori
pentru codul PUK - de 5 ori
6. În cazul epuizării a cinci încercări de introducere a codului PUK al utilizatorului, tasta VPN prezentată va fi blocată și va continua să lucreze cu aceasta (pe orice computer):
Este posibil numai cu drepturile Administratorului
cu drepturi de utilizator - este imposibilă înainte de procedura de reinitializare cheie în centrul de generare a băncilor.
7. Dacă codul PUK al utilizatorului și codul PUK al Administratorului sunt blocate, tasta VPN nu poate fi utilizată și această cheie VPN trebuie reinitializată în centrul de generare a băncii.

4.1.6. Ieșiți din modul de setări.

După setarea parametrilor de funcționare a complexului FPSU-IP / Client, salvați setările efectuate folosind butonul "Salvare" corespunzător. Pentru a ieși fără salvare, utilizați butonul "Fail".

4.2. Setări locale

Setările locale oferă politica de securitate de locuri de muncă a unui firewall personal, care face parte din FPSU-IP complexe / client și proiectat pentru a proteja calculatoarele personale împotriva conexiunii neautorizate de pe Internet și LAN a organizației, în timpul unei sesiuni de lucru cu ABS Bank, iar restul timpului, inclusiv atunci când dispozitivul cu cheie VPN este dezactivat.

4.2.1. Setarea și modificarea setărilor locale.

Pentru a configura setările locale, trebuie să introduceți meniul principal al complexului și să selectați comanda "Local Settings".

Pentru a seta și modifica setările, trebuie să le permiteți să fie editate. În acest caz, trebuie să introduceți parola de acces (după instalare, parola este goală)

În caseta de dialog care se deschide, Fig. este posibil să faceți setările necesare pentru un firewall personal:

Puteți crea sau edita reguli de filtrare pentru pachetele de intrare și ieșire utilizând butoanele "Adăugați", "Editați", "Ștergeți". Când faceți clic pe butonul "Adăugați" sau "Editați", se deschide un dialog de configurare cu care puteți seta politica de securitate necesară atunci când lucrați cu resurse de rețea.

După efectuarea setărilor necesare, activați regulile cu comutatorul "Activare reguli" și salvați setările cu butonul "Salvare" corespunzător. Pentru a ieși fără salvare, utilizați butonul "Fail".

4.2.2. Schimbați parola pentru a accesa setările locale.

După instalarea complexului, parola pentru accesarea setărilor locale este goală. Pentru a schimba parola, când introduceți parola pentru a accesa setările locale, selectați "Modificare" și introduceți o nouă parolă.

Atenție: dacă pierdeți parola pentru accesarea acestor setări, veți avea nevoie
Reinstalarea complexului.


4.4. Actualizare software

Această comandă este destinată actualizării software-ului complexului FPSU-IP / Client. În acest caz, este necesar să se stabilească o conexiune între complex și FCPU-IP PAK.


Instrucțiuni originale client FPSU cu imagini atașate la subiect.