Система FraudWall. Руководство администратора

Дата последней редакции документа: 21.08.2019

Открыть документацию в виде одной HTML-страницы

Открыть документацию в виде многостраничного документа


Содержание

1. Введение
2. Общие принципы работы системы FraudWall
3. Архитектура системы
3.1. Модули системы
3.1.1. FraudWall. Интерфейс системы
3.1.2. hGuard. Модуль фильтрации HTTP-трафика
3.1.3. Модуль FraudWall. Анализатор трафика
3.1.4. Удостоверяющий центр системы FraudWall
3.1.5. Управляющий WWW-сервер системы FraudWall
3.1.6. Исполнительный WWW-сервер системы FraudWall
3.1.7. Модуль управления системы FraudWall
3.2. Прочее программное обеспечение
3.2.1. Система мониторинга работоспособности
3.2.2. Сервер Memcached
3.2.3. Сервер баз данных PostgreSQL
3.3. Схема взаимодействия компонент системы FraudWall
4. Установка системы FraudWall
4.1. Общее описание
4.2. Определение архитектуры установки компонент системы FraudWall
4.2.1. Подход к тестированию системы FraudWall
4.2.2. Балансировка нагрузки между серверами FraudWall
4.3. Требования к аппаратному обеспечению
4.4. Получение дистрибутивов программного обеспечения
4.4.1. Получение дистрибутива RedHat Enterprise Linux
4.4.2. Получение дистрибутива CentOS
4.4.3. Получение дистрибутива Sun Java JRE
4.5. Установка операционной системы
4.6. Установка сервера базы данных системы FraudWall
4.7. Установка сервера управления системы FraudWall
4.8. Установка сервера анализа трафика
4.8.1. Установка модуля BSI на сервер FraudWall (предварительный этап)
4.8.2. Установка модуля BSI на сервер FraudWall (завершающий этап)
4.8.3. Действия при обновлении файлов сайта ДБО BS-Client
4.9. Установка WWW-сервера обновлений
4.9.1. Важная информация по эксплуатации WWW-сервера обновлений
4.10. Инфраструктура FraudNET
4.10.1. Общее описание
4.10.2. Синхронизация серверов
4.10.3. Настройка серверов для работы в режиме FraudNET
4.10.4. Работа с интерфейсом главного сервера управления
4.11. Сервис FraudTrack
4.11.1. Общее описание
4.11.2. Схема работы сервиса FraudTrack
4.11.3. Конфигурирование сервиса FraudTrack
4.11.4. Конфигурирование межсетевого экрана для работы сервиса FraudTrack
4.11.5. Особенности интеграции с IBM Trusteer Pinpoint Malware Detection
4.11.6. Особенности интеграции с Group-IB Bot-Trek Secure Bank
4.11.7. Особенности интеграции с Kaspersky Fraud Prevention Cloud
4.12. Система FraudInform
4.12.1. Общее описание
4.12.2. Установка системы FraudInform
4.12.3. Установка системы VoiceNavigator
4.12.4. Настройка соединения с VoiceNavigator
4.12.5. Настройка соединения с ATC Банка
4.12.6. Настройка правил набора номера телефона
4.12.7. Настройка специфичных для банка параметров
4.12.8. Настройка диалога общения с клиентом
4.12.9. Конфигурирование системы FraudInform
4.12.10. Диагностика работоспособности компонент
4.12.11. Запись разговоров системы
5. Администрирование системы FraudWall
5.1. Администрирование операционной системы
5.1.1. Общие положения
5.1.2. Администрирование через SSH-консоль
5.1.3. Интерфейс передачи файлов посредством протоколов SCP и SFTP
5.1.4. Интерфейс передачи файлов посредством сетевых дисков сети Microsoft
5.1.5. Пользователи операционной системы
5.1.6. Администрирование сетевых настроек
5.1.7. Конфигурирование межсетевых экранов
5.1.8. Подсистема журналирования
5.1.9. Регламентные процедуры
5.2. Администрирование системы FraudWall
5.2.1. Общие положения
5.2.2. Конфигурационный файл fwcontrol.xml
5.2.3. Конфигурационный файл fraudwall.xml
5.2.4. Администрирование пользователей системы FraudWall
5.2.5. Интеграция с ActiveDirectory
5.2.6. Сброс пароля встроенного администратора системы FraudWall
5.2.7. Аудит пользователей системы FraudWall
5.2.8. Конфигурирование профилей обнаружения мошеннических платежей
5.2.9. Конфигурирование системы FraudWall. Банки и филиалы
5.2.10. Конфигурирование системы FraudWall. Сайты
5.2.11. Кеширование трафика на стороне FraudWall
5.2.12. Балансировка нагрузки между WWW-серверами ДБО
5.2.13. Высвобождение лицензии в случае закрытия клиентом расчетного счета в банке
5.2.14. Решение проблем с базой данных
5.2.15. Очищение базы данных FraudWall
5.3. Архивирование и восстановление из архива
5.3.1. Общие положения
5.3.2. Создание архивной копии с помощью утилиты fw_backup в интерактивном режиме
5.3.3. Создание архивной копии с помощью утилиты fw_backup как cron-задание
5.3.4. Восстановление из архивной копии с помощью утилиты fw_restore
5.3.5. Восстановление из snapshot-образов и посекторной копии жесткого диска
5.3.6. Миграция сервера FraudWall на другой физический сервер.
5.4. Создание отказоустойчивой конфигурации
5.4.1. Общие положения
5.4.2. Создание резервного сервера
5.4.3. Порядок действий в случае сбоя основного сервера
5.4.4. Порядок действий при восстановлении отказавшего сервера
5.4.5. Переконфигурирование резервного сервера
6. Обнаружение мошеннических платежей
6.1. Общие принципы обнаружения мошеннических платежей
6.2. Конфигурирование правил и критериев обнаружения мошеннических платежей
6.2.1. Использование встроенных правил обнаружения мошеннических платежей
6.2.2. Создание собственных правил обнаружения мошеннических платежей
6.2.3. Особенности конфигурирования правил при неизвестных значениях флагов
6.3. Тестирование обнаружения мошеннических платежей
6.4. Тонкая настройка обнаружения мошеннических платежей
6.4.1. Снижение уровня ложного срабатывания системы
6.4.2. Повышение вероятности обнаружения мошеннических платежей
6.4.3. Использование утилиты fw_forecast
6.5. Анализ дампов трафика клиентов в ручном режиме
6.5.1. Подготовка файлов для обработки
6.5.2. Фильтрация сессий для извлечения из архива
6.5.3. Запуск утилиты формирования файлов дампов сессий клиентов
7. Обучение системы
7.1. Самообучение системы
7.2. Обучение через ODBC-подключение к базе данных ДБО
7.3. Обучение на основании файла экспорта
7.3.1. Формат файла для обучения из внешних источников
7.3.2. Использование утилиты обучения статистических профилей клиентов
7.4. Ведение черных и белых списков получателей
7.4.1. Ведение черных и белых списков получателей в ручном режиме
7.5. Ручной ввод данных о мошенническом платеже
7.6. Поддержка межбанковского почтового обмена ("антидроп-клуб")
7.6.1. Автоматическая обработка входящих почтовых сообщений
7.6.2. Ручная загрузка Excel-файла через WWW-интерфейс FraudWall
7.6.3. Формирование Excel-файла, используемого при обмене в рамках "антидроп-клуба"
7.7. Интеграция с системой FraudMonitor
7.8. Импорт списков по 550-П (639-П)
7.8.1. Использование списков 550-П (639-П)
7.9. Импорт файлов фидов ФинЦЕРТ
7.9.1. Импорт файла фида ФинЦЕРТ через Web-интерфейс FraudWall
7.9.2. Импорт файла фида ФинЦЕРТ через почтовое сообщение
7.9.3. Автоматическая загрузка фидов через API ФинЦЕРТ
8. Информирование о событиях в системе
8.1. Информирование по SMTP-почте
8.1.1. Формирование конфигурации postfix
8.1.2. Журнал событий доставки SMTP-сообщений
8.1.3. Повторная отправка почты
8.1.4. Особенности доставки административных SMTP-сообщений
8.1.5. Особенности доставки SMTP-сообщений при обнаружении подозрительного платежного поручения
9. Мониторинг и самовосстановление системы
9.1. Общие принципы
9.2. Журнал событий системы мониторинга
9.3. WWW-интерфейс системы мониторинга
9.4. Мониторинг серверов ДБО
9.4.1. Автоматическая диагностика проблем в ДБО
9.4.2. Диагностика проблем с ДБО в ручном режиме
10. Обновление программного обеспечения
10.1. Общие принципы
10.2. Информирование о необходимости установки обновлений
10.3. Обновление программного обеспечения операционной системы
10.3.1. Техническая поддержка на RedHat Enterprise Linux
10.3.2. Установка обновлений на операционную систему в ручном режиме
10.3.3. Установка обновлений на операционную систему в автоматическом режиме
10.4. Обновление программного обеспечения системы FraudWall
10.4.1. Техническая поддержка на систему FraudWall
10.4.2. Установка обновлений на систему FraudWall в ручном режиме
10.4.3. Установка обновлений на систему FraudWall в автоматическом режиме
10.5. Механизм получения обновлений
10.5.1. Использование централизованного WWW-сервера обновлений
10.5.2. Конфигурирование получения обновлений в проксированном режиме
11. Интеграция FraudWall с информационными системами банка
11.1. Общее описание интеграции
11.1.1. С какими системами банка и для каких целей требуется интеграция
11.1.2. Остановка подозрительных платежей
11.1.3. Типовой подход к интеграции на этапе тестирования системы
11.1.4. Снижение нагрузки на сервер анализируемой базы данных
11.2. Варианты интеграции FraudWall с системами банка
11.2.1. Анализ платежей из VIEW fraudwall_doc
11.2.2. Анализ платежей из таблицы fraudwall_alert (по принципу "вопрос - ответ")
11.2.3. Анализ платежей по HTTP/HTTPS-запросу (по принципу "вопрос - ответ")
11.2.4. Анализ WWW-трафика
11.3. fraudwall_learn. Получение платежей, исполненных в АБС
11.3.1. Описание полей структуры fraudwall_learn
11.3.2. Проверка, поддерживает ли поле UPDATED часы, минуты и секунды
11.3.3. Получение реквизитов платежей, исполненных в АБС за текущий день
11.3.4. Получение реквизитов платежей, исполненных в АБС, за предыдущие дни
11.4. fraudwall_client. Получение информации о клиентах банка
11.4.1. Описание полей структуры fraudwall_client
11.4.2. Первоначальное получение перечня ID клиентов для загрузки
11.4.3. Получение перечня последующих ID клиентов
11.4.4. Получение информации о заданном клиенте
11.5. fraudwall_balance. Получение счетов клиента и суммы остатка на них
11.5.1. Описание полей структуры fraudwall_balance
11.5.2. Получение остатка на заданном счете
11.5.3. Получение информации о всех счетах заданного клиента
11.6. fraudwall_contact. Получение контактной информации о клиенте
11.6.1. Описание полей структуры fraudwall_contact
11.6.2. Получение контактов клиента на основе его ID
11.6.3. Получение контактов клиента на основе его ИНН
11.7. fraudwall_contact_doc. Получение контактной информации о создателе платежа
11.7.1. Описание полей структуры fraudwall_contact_doc
11.7.2. Получение контактов клиента на основе ID документа
11.8. fraudwall_clientref. Получение информации о связях клиента банка
11.8.1. Описание полей структуры fraudwall_clientref
11.8.2. Получение связей заданного клиента
11.9. fraudwall_alert. Получение и выгрузка результатов проверки платежей
11.9.1. Статусы платежа
11.9.2. Рекомендации по созданию таблицы fraudwall_alert
11.9.3. Описание полей таблицы fraudwall_alert
11.9.4. Получение платежей для анализа
11.9.5. Выгрузка платежа со статусом проверки
11.9.6. Обновление статуса платежа в таблице fraudwall_alert на основе ID документа в АБС или ДБО
11.9.7. Обновление статуса платежа в таблице fraudwall_alert на основе ID документа в FraudWall
11.9.8. Обновление значения docid платежа в таблице fraudwall_alert
11.9.9. Обновление значения showtext платежа в таблице fraudwall_alert
11.9.10. Получение списка документов для импорта из fraudwall_alert статуса, выставленного АБС
11.9.11. Импорт статуса и комментария из fraudwall_alert, выставленного АБС
11.10. fraudwall_dbolog. Получение журнала событий системы ДБО
11.10.1. Описание полей структуры fraudwall_dbolog
11.10.2. Получение новых событий работы клиента
11.11. fraudwall_doc. Получение платежей для анализа
11.11.1. Описание полей структуры fraudwall_doc
11.11.2. Получение платежей для проверки из VIEW fraudwall_doc
11.12. fraudwall_alert_client. Получение и выгрузка подозрительных клиентов банка
11.12.1. Описание полей структуры fraudwall_alert_client
11.12.2. Импорт списка клиентов, которым запрещена работа в ДБО
11.12.3. Получение актуального статуса клиента
11.12.4. Блокирование клиенту работы в ДБО
11.12.5. Разблокирование клиенту работы в ДБО
12. Приложения
12.1. Процедура регистрации операционной системы RedHat Enterprise Linux
12.2. Процедура экспорта SSL-сертификата из IIS
12.3. Формирование bsi.xml в формате Linux
12.4. Установка ODBC-драйверов
12.4.1. Установка ODBC-драйверов для Oracle
12.4.2. Установка ODBC-драйверов для Microsoft SQL Server и Sybase
12.4.3. Установка ODBC-драйверов для PostgreSQL
12.4.4. Установка ODBC-драйверов для Firebird
12.4.5. Установка ODBC-драйверов для Progress OpenEdge
12.4.6. Установка ODBC-драйверов для Pervasive SQL
12.4.7. Установка ODBC-драйверов для H2
12.4.8. Установка ODBC-драйверов для MySQL
12.4.9. Редактирование конфигурационного файла /etc/odbc.ini
12.4.10. Диагностика и решение проблем с ODBC-драйверами
Термины и определения

1. Введение

FraudWall представляет собой комплексное решение по обнаружению мошеннических платежей в следующих системах:

  • система ДБО (предотвращение кражи средств клиента банка, являющейся следствием атак на компьютер клиента банка)

  • система АБС (предотвращение кражи средств клиента, являющейся следствием злонамеренного действия среди сотрудников банка)

  • АРМ КБР (предотвращение кражи средств банка, являющейся следствием атак на АРМ КБР)

Высокая эффективность обнаружения мошеннических платежей системой FraudWall достигнута благодаря анализу ключевых признаков действий злоумышленников одновременно по трем направлениям:

  • анализ подозрительных действий пользователя в текущей сессии ДБО

  • проверка статистического профиля плательщика, указанного в реквизитах платежа

  • проверка статистического профиля получателя, указанного в реквизитах платежа.

Статистический профиль формируется системой FraudWall автоматически на основании наблюдаемой истории создания документов в системе ДБО.

Настоящий документ является частью документации к системе FraudWall и содержит в себе сведения, необходимые для ее установки, администрирования и решения возникающих проблем.