Система FraudWall. Руководство администратора

Дата последней редакции документа: 30.10.2017

Открыть документацию в виде одной HTML-страницы


Содержание

1. Введение
2. Общие принципы работы системы FraudWall
3. Архитектура системы
3.1. Модули системы
3.1.1. FraudWall. Интерфейс системы
3.1.2. hGuard. Модуль фильтрации HTTP-трафика
3.1.3. Модуль FraudWall. Анализатор трафика
3.1.4. Удостоверяющий центр системы FraudWall
3.1.5. Управляющий WWW-сервер системы FraudWall
3.1.6. Исполнительный WWW-сервер системы FraudWall
3.1.7. Модуль управления системы FraudWall
3.2. Прочее программное обеспечение
3.2.1. Система мониторинга работоспособности
3.2.2. Сервер Memcached
3.2.3. Сервер баз данных PostgreSQL
3.3. Схема взаимодействия компонент системы FraudWall
4. Установка системы FraudWall
4.1. Общее описание
4.2. Определение архитектуры установки компонент системы FraudWall
4.2.1. Подход к тестированию системы FraudWall
4.2.2. Балансировка нагрузки между серверами FraudWall
4.3. Требования к аппаратному обеспечению
4.4. Получение дистрибутивов программного обеспечения
4.4.1. Получение дистрибутива RedHat Enterprise Linux
4.4.2. Получение дистрибутива CentOS
4.4.3. Получение дистрибутива Sun Java JRE
4.5. Установка операционной системы
4.6. Установка сервера базы данных системы FraudWall
4.7. Установка сервера управления системы FraudWall
4.8. Установка сервера анализа трафика
4.8.1. Установка модуля BSI на сервер FraudWall (предварительный этап)
4.8.2. Установка модуля BSI на сервер FraudWall (завершающий этап)
4.8.3. Действия при обновлении файлов сайта ДБО BS-Client
4.9. Установка WWW-сервера обновлений
4.9.1. Важная информация по эксплуатации WWW-сервера обновлений
4.10. Инфраструктура FraudNET
4.10.1. Общее описание
4.10.2. Синхронизация серверов
4.10.3. Настройка серверов для работы в режиме FraudNET
4.10.4. Работа с интерфейсом главного сервера управления
4.11. Сервис FraudTrack
4.11.1. Общее описание
4.11.2. Схема работы сервиса FraudTrack
4.11.3. Конфигурирование сервиса FraudTrack
4.11.4. Конфигурирование межсетевого экрана для работы сервиса FraudTrack
4.11.5. Особенности интеграции с IBM Trusteer Pinpoint Malware Detection
4.11.6. Особенности интеграции с Group-IB Bot-Trek Secure Bank
4.11.7. Особенности интеграции с Kaspersky Fraud Prevention Cloud
4.12. Система FraudInform
4.12.1. Общее описание
4.12.2. Установка системы FraudInform
4.12.3. Установка системы VoiceNavigator
4.12.4. Настройка соединения с VoiceNavigator
4.12.5. Настройка соединения с ATC Банка
4.12.6. Настройка правил набора номера телефона
4.12.7. Настройка специфичных для банка параметров
4.12.8. Настройка диалога общения с клиентом
4.12.9. Конфигурирование системы FraudInform
4.12.10. Диагностика работоспособности компонент
4.12.11. Запись разговоров системы
5. Администрирование системы FraudWall
5.1. Администрирование операционной системы
5.1.1. Общие положения
5.1.2. Администрирование через SSH-консоль
5.1.3. Интерфейс передачи файлов посредством протоколов SCP и SFTP
5.1.4. Интерфейс передачи файлов посредством сетевых дисков сети Microsoft
5.1.5. Пользователи операционной системы
5.1.6. Администрирование сетевых настроек
5.1.7. Конфигурирование межсетевых экранов
5.1.8. Подсистема журналирования
5.1.9. Регламентные процедуры
5.2. Администрирование системы FraudWall
5.2.1. Общие положения
5.2.2. Конфигурационный файл fwcontrol.xml
5.2.3. Конфигурационный файл fraudwall.xml
5.2.4. Администрирование пользователей системы FraudWall
5.2.5. Сброс пароля встроенного администратора системы FraudWall
5.2.6. Аудит пользователей системы FraudWall
5.2.7. Конфигурирование профилей обнаружения мошеннических платежей
5.2.8. Конфигурирование системы FraudWall. Банки и филиалы
5.2.9. Конфигурирование системы FraudWall. Сайты
5.2.10. Кеширование трафика на стороне FraudWall
5.2.11. Балансировка нагрузки между WWW-серверами ДБО
5.2.12. Высвобождение лицензии в случае закрытия клиентом расчетного счета в банке
5.3. Архивирование и восстановление из архива
5.3.1. Общие положения
5.3.2. Создание архивной копии с помощью утилиты fw_backup в интерактивном режиме
5.3.3. Создание архивной копии с помощью утилиты fw_backup как cron-задание
5.3.4. Восстановление из архивной копии с помощью утилиты fw_restore
5.3.5. Восстановление из snapshot-образов и посекторной копии жесткого диска
6. Обнаружение мошеннических платежей
6.1. Общие принципы обнаружения мошеннических платежей
6.2. Конфигурирование правил и критериев обнаружения мошеннических платежей
6.2.1. Использование встроенных правил обнаружения мошеннических платежей
6.2.2. Создание собственных правил обнаружения мошеннических платежей
6.2.3. Особенности конфигурирования правил при неизвестных значениях флагов
6.3. Тестирование обнаружения мошеннических платежей
6.4. Тонкая настройка обнаружения мошеннических платежей
6.4.1. Снижение уровня ложного срабатывания системы
6.4.2. Повышение вероятности обнаружения мошеннических платежей
6.4.3. Использование утилиты fw_forecast
6.5. Анализ дампов трафика клиентов в ручном режиме
6.5.1. Подготовка файлов для обработки
6.5.2. Фильтрация сессий для извлечения из архива
6.5.3. Запуск утилиты формирования файлов дампов сессий клиентов
7. Обучение системы
7.1. Самообучение системы
7.2. Обучение через ODBC-подключение к базе данных ДБО
7.3. Обучение на основании файла экспорта
7.3.1. Формат файла для обучения из внешних источников
7.3.2. Использование утилиты обучения статистических профилей клиентов
7.4. Ведение черных и белых списков получателей
7.4.1. Ведение черных и белых списков получателей в ручном режиме
7.5. Ручной ввод данных о мошенническом платеже
7.6. Поддержка межбанковского почтового обмена ("антидроп-клуб")
7.6.1. Автоматическая обработка входящих почтовых сообщений
7.6.2. Формирование Excel-файла, используемого при обмене в рамках "антидроп-клуба"
7.7. Интеграция с системой FraudMonitor
7.7.1. Конфигурационный файл для интеграции с системой FraudMonitor
7.7.2. Получение черных списков получателей из системы FraudMonitor
7.7.3. Информирование системы FraudMonitor об обнаруженных мошеннических платежах
7.8. Импорт списков по 550-П
7.8.1. Использование списков 550-П
8. Информирование о событиях в системе
8.1. Информирование по SMTP-почте
8.1.1. Формирование конфигурации postfix
8.1.2. Журнал событий доставки SMTP-сообщений
8.1.3. Повторная отправка почты
8.1.4. Особенности доставки административных SMTP-сообщений
8.1.5. Особенности доставки SMTP-сообщений при обнаружении подозрительного платежного поручения
9. Мониторинг и самовосстановление системы
9.1. Общие принципы
9.2. Журнал событий системы мониторинга
9.3. WWW-интерфейс системы мониторинга
9.4. Мониторинг серверов ДБО
9.4.1. Автоматическая диагностика проблем в ДБО
9.4.2. Диагностика проблем с ДБО в ручном режиме
10. Обновление программного обеспечения
10.1. Общие принципы
10.2. Информирование о необходимости установки обновлений
10.3. Обновление программного обеспечения операционной системы
10.3.1. Техническая поддержка на RedHat Enterprise Linux
10.3.2. Установка обновлений на операционную систему в ручном режиме
10.3.3. Установка обновлений на операционную систему в автоматическом режиме
10.4. Обновление программного обеспечения системы FraudWall
10.4.1. Техническая поддержка на систему FraudWall
10.4.2. Установка обновлений на систему FraudWall в ручном режиме
10.4.3. Установка обновлений на систему FraudWall в автоматическом режиме
10.5. Механизм получения обновлений
10.5.1. Использование централизованного WWW-сервера обновлений
10.5.2. Конфигурирование получения обновлений в проксированном режиме
11. Интеграция FraudWall с информационными системами банка
11.1. С какими системами банка и для каких целей требуется интеграция
11.2. Варианты интеграции FraudWall с системами банка
11.2.1. Анализ платежей из базы данных
11.2.2. Анализ WWW-трафика
11.2.3. Анализ платежей по принципу "вопрос - ответ" (POST-запрос через HTTPS)
11.2.4. Анализ платежей по принципу "вопрос - ответ" (через таблицу fraudwall_alert)
11.2.5. Типовой вариант интеграции с ДБО на этапе тестирования системы
11.3. Получение анализируемого платежа из базы данных
11.3.1. VIEW fraudwall_doc
11.3.2. Анализ платежей из таблицы fraudwall_alert
11.4. Обучение истории исполненных платежей клиентов
11.4.1. VIEW fraudwall_learn
11.5. Получение информации об остатках на счетах клиента
11.5.1. VIEW fraudwall_balance
11.6. Получение журнала событий системы ДБО
11.6.1. VIEW fraudwall_dbolog
11.7. Получение контактной информации о клиентах банка
11.7.1. VIEW fraudwall_contact
11.7.2. VIEW fraudwall_contact_doc
11.8. Остановка подозрительного платежа через таблицу fraudwall_alert
11.8.1. Таблица fraudwall_alert
11.8.2. Статусы документа в таблице fraudwall_alert
11.8.3. Доработка АБС
11.8.4. Конфигурирование FraudWall
11.8.5. Автоматическое очищение старых записей в fraudwall_alert
11.8.6. Обеспечение надежности механизма интеграции с АБС
12. Приложения
12.1. Процедура регистрации операционной системы RedHat Enterprise Linux
12.2. Процедура экспорта SSL-сертификата из IIS
12.3. Формирование bsi.xml в формате Linux
12.4. Установка ODBC-драйверов
12.4.1. Установка ODBC-драйверов для Oracle
12.4.2. Установка ODBC-драйверов для Microsoft SQL Server и Sybase
12.4.3. Установка ODBC-драйверов для PostgreSQL
12.4.4. Установка ODBC-драйверов для Firebird
12.4.5. Установка ODBC-драйверов для Progress OpenEdge
12.4.6. Установка ODBC-драйверов для Pervasive SQL
12.4.7. Установка ODBC-драйверов для H2
12.4.8. Установка ODBC-драйверов для MySQL
12.4.9. Редактирование конфигурационного файла /etc/odbc.ini
12.4.10. Диагностика и решение проблем с ODBC-драйверами
Термины и определения

1. Введение

FraudWall представляет собой комплексное решение по обнаружению мошеннических платежей в следующих системах:

  • система ДБО (предотвращение кражи средств клиента банка, являющейся следствием атак на компьютер клиента банка)

  • система АБС (предотвращение кражи средств клиента, являющейся следствием злонамеренного действия среди сотрудников банка)

  • АРМ КБР (предотвращение кражи средств банка, являющейся следствием атак на АРМ КБР)

Высокая эффективность обнаружения мошеннических платежей системой FraudWall достигнута благодаря анализу ключевых признаков действий злоумышленников одновременно по трем направлениям:

  • анализ подозрительных действий пользователя в текущей сессии ДБО

  • проверка статистического профиля плательщика, указанного в реквизитах платежа

  • проверка статистического профиля получателя, указанного в реквизитах платежа.

Статистический профиль формируется системой FraudWall автоматически на основании наблюдаемой истории создания документов в системе ДБО.

Настоящий документ является частью документации к системе FraudWall и содержит в себе сведения, необходимые для ее установки, администрирования и решения возникающих проблем.