Система FraudWall. Руководство администратора

Дата последней редакции документа: 14.07.2017

Открыть документацию в виде одной HTML-страницы


Содержание

1. Введение
2. Общие принципы работы системы FraudWall
3. Архитектура системы
3.1. Модули системы
3.1.1. FraudWall. Интерфейс системы
3.1.2. hGuard. Модуль фильтрации HTTP-трафика
3.1.3. Модуль FraudWall. Анализатор трафика
3.1.4. Удостоверяющий центр системы FraudWall
3.1.5. Управляющий WWW-сервер системы FraudWall
3.1.6. Исполнительный WWW-сервер системы FraudWall
3.1.7. Модуль управления системы FraudWall
3.2. Прочее программное обеспечение
3.2.1. Система мониторинга работоспособности
3.2.2. Сервер Memcached
3.2.3. Сервер баз данных PostgreSQL
3.3. Схема взаимодействия компонент системы FraudWall
4. Установка системы FraudWall
4.1. Общее описание
4.2. Определение архитектуры установки компонент системы FraudWall
4.2.1. Подход к тестированию системы FraudWall
4.2.2. Балансировка нагрузки между серверами FraudWall
4.3. Требования к аппаратному обеспечению
4.4. Получение дистрибутивов программного обеспечения
4.4.1. Получение дистрибутива RedHat Enterprise Linux
4.4.2. Получение дистрибутива CentOS
4.4.3. Получение дистрибутива Sun Java JRE
4.5. Установка операционной системы
4.6. Установка сервера базы данных системы FraudWall
4.7. Установка сервера управления системы FraudWall
4.8. Установка сервера анализа трафика
4.8.1. Установка модуля BSI на сервер FraudWall (предварительный этап)
4.8.2. Установка модуля BSI на сервер FraudWall (завершающий этап)
4.8.3. Действия при обновлении файлов сайта ДБО BS-Client
4.9. Установка WWW-сервера обновлений
4.9.1. Важная информация по эксплуатации WWW-сервера обновлений
4.10. Инфраструктура FraudNET
4.10.1. Общее описание
4.10.2. Синхронизация серверов
4.10.3. Настройка серверов для работы в режиме FraudNET
4.10.4. Работа с интерфейсом главного сервера управления
4.11. Сервис FraudTrack
4.11.1. Общее описание
4.11.2. Схема работы сервиса FraudTrack
4.11.3. Конфигурирование сервиса FraudTrack
4.11.4. Конфигурирование межсетевого экрана для работы сервиса FraudTrack
4.11.5. Особенности интеграции с IBM Trusteer Pinpoint Malware Detection
4.11.6. Особенности интеграции с Group-IB Bot-Trek Secure Bank
4.11.7. Особенности интеграции с Kaspersky Fraud Prevention Cloud
4.12. Система FraudInform
4.12.1. Общее описание
4.12.2. Установка системы FraudInform
4.12.3. Установка системы VoiceNavigator
4.12.4. Настройка соединения с VoiceNavigator
4.12.5. Настройка соединения с ATC Банка
4.12.6. Настройка правил набора номера телефона
4.12.7. Настройка специфичных для банка параметров
4.12.8. Настройка диалога общения с клиентом
4.12.9. Конфигурирование системы FraudInform
4.12.10. Диагностика работоспособности компонент
4.12.11. Запись разговоров системы
5. Администрирование системы FraudWall
5.1. Администрирование операционной системы
5.1.1. Общие положения
5.1.2. Администрирование через SSH-консоль
5.1.3. Интерфейс передачи файлов посредством протоколов SCP и SFTP
5.1.4. Интерфейс передачи файлов посредством сетевых дисков сети Microsoft
5.1.5. Пользователи операционной системы
5.1.6. Администрирование сетевых настроек
5.1.7. Конфигурирование межсетевых экранов
5.1.8. Подсистема журналирования
5.1.9. Регламентные процедуры
5.2. Администрирование системы FraudWall
5.2.1. Общие положения
5.2.2. Конфигурационный файл fwcontrol.xml
5.2.3. Конфигурационный файл fraudwall.xml
5.2.4. Администрирование пользователей системы FraudWall
5.2.5. Сброс пароля встроенного администратора системы FraudWall
5.2.6. Аудит пользователей системы FraudWall
5.2.7. Конфигурирование профилей обнаружения мошеннических платежей
5.2.8. Конфигурирование системы FraudWall. Банки и филиалы
5.2.9. Конфигурирование системы FraudWall. Сайты
5.2.10. Кеширование трафика на стороне FraudWall
5.2.11. Балансировка нагрузки между WWW-серверами ДБО
5.2.12. Высвобождение лицензии в случае закрытия клиентом расчетного счета в банке
5.3. Архивирование и восстановление из архива
5.3.1. Общие положения
5.3.2. Создание архивной копии с помощью утилиты fw_backup в интерактивном режиме
5.3.3. Создание архивной копии с помощью утилиты fw_backup как cron-задание
5.3.4. Восстановление из архивной копии с помощью утилиты fw_restore
5.3.5. Восстановление из snapshot-образов и посекторной копии жесткого диска
6. Обнаружение мошеннических платежей
6.1. Общие принципы обнаружения мошеннических платежей
6.2. Конфигурирование правил и критериев обнаружения мошеннических платежей
6.2.1. Использование встроенных правил обнаружения мошеннических платежей
6.2.2. Создание собственных правил обнаружения мошеннических платежей
6.2.3. Особенности конфигурирования правил при неизвестных значениях флагов
6.3. Тестирование обнаружения мошеннических платежей
6.4. Тонкая настройка обнаружения мошеннических платежей
6.4.1. Снижение уровня ложного срабатывания системы
6.4.2. Повышение вероятности обнаружения мошеннических платежей
6.4.3. Использование утилиты fw_forecast
6.5. Анализ дампов трафика клиентов в ручном режиме
6.5.1. Подготовка файлов для обработки
6.5.2. Фильтрация сессий для извлечения из архива
6.5.3. Запуск утилиты формирования файлов дампов сессий клиентов
7. Обучение системы
7.1. Самообучение системы
7.2. Обучение через ODBC-подключение к базе данных ДБО
7.3. Обучение на основании файла экспорта
7.3.1. Формат файла для обучения из внешних источников
7.3.2. Использование утилиты обучения статистических профилей клиентов
7.4. Ведение черных и белых списков получателей
7.4.1. Ведение черных и белых списков получателей в ручном режиме
7.5. Ручной ввод данных о мошенническом платеже
7.6. Поддержка межбанковского почтового обмена ("антидроп-клуб")
7.6.1. Автоматическая обработка входящих почтовых сообщений
7.6.2. Формирование Excel-файла, используемого при обмене в рамках "антидроп-клуба"
7.7. Интеграция с системой FraudMonitor
7.7.1. Конфигурационный файл для интеграции с системой FraudMonitor
7.7.2. Получение черных списков получателей из системы FraudMonitor
7.7.3. Информирование системы FraudMonitor об обнаруженных мошеннических платежах
8. Информирование о событиях в системе
8.1. Информирование по SMTP-почте
8.1.1. Формирование конфигурации postfix
8.1.2. Журнал событий доставки SMTP-сообщений
8.1.3. Повторная отправка почты
8.1.4. Особенности доставки административных SMTP-сообщений
8.1.5. Особенности доставки SMTP-сообщений при обнаружении подозрительного платежного поручения
9. Мониторинг и самовосстановление системы
9.1. Общие принципы
9.2. Журнал событий системы мониторинга
9.3. WWW-интерфейс системы мониторинга
9.4. Мониторинг серверов ДБО
9.4.1. Автоматическая диагностика проблем в ДБО
9.4.2. Диагностика проблем с ДБО в ручном режиме
10. Обновление программного обеспечения
10.1. Общие принципы
10.2. Информирование о необходимости установки обновлений
10.3. Обновление программного обеспечения операционной системы
10.3.1. Техническая поддержка на RedHat Enterprise Linux
10.3.2. Установка обновлений на операционную систему в ручном режиме
10.3.3. Установка обновлений на операционную систему в автоматическом режиме
10.4. Обновление программного обеспечения системы FraudWall
10.4.1. Техническая поддержка на систему FraudWall
10.4.2. Установка обновлений на систему FraudWall в ручном режиме
10.4.3. Установка обновлений на систему FraudWall в автоматическом режиме
10.5. Механизм получения обновлений
10.5.1. Использование централизованного WWW-сервера обновлений
10.5.2. Конфигурирование получения обновлений в проксированном режиме
11. Интеграция FraudWall с системой ДБО
11.1. Подходы к интеграции FraudWall с системой ДБО
11.2. Интеграция на уровне анализа дампа трафика
11.2.1. Интеграция в случае установки модуля BSI системы BS-Client на сервере FraudWall
11.2.2. Интеграция в проксированном режиме
11.3. Интеграция на уровне анализа платежей в базе данных
11.3.1. Настройка на стороне базы данных ДБО
11.3.2. VIEW fraudwall_doc
11.3.3. VIEW fraudwall_learn
11.3.4. VIEW fraudwall_balance
11.3.5. VIEW fraudwall_session
11.3.6. VIEW fraudwall_viewbalance
11.3.7. VIEW fraudwall_dbolog
11.3.8. VIEW fraudwall_contact
11.3.9. VIEW fraudwall_contact_doc
11.3.10. Настройка на стороне FraudWall
12. Интеграция FraudWall с системой АБС
12.1. Общие принципы
12.1.1. 2. Описание механизма интеграции
12.1.2. Статусы документа в таблице интеграции с АБС
12.2. Конфигурирование базы данных АБС
12.3. Доработка АБС
12.4. Обеспечение надежности механизма интеграции с АБС
12.4.1. Мониторинг механизма интеграции с АБС
12.4.2. Документы, выгружаемые в таблицу fraudwall_alert
12.5. Конфигурирование FraudWall для интеграции с АБС
13. Приложения
13.1. Процедура регистрации операционной системы RedHat Enterprise Linux
13.2. Процедура экспорта SSL-сертификата из IIS
13.3. Формирование bsi.xml в формате Linux
13.4. Установка ODBC-драйверов
13.4.1. Установка ODBC-драйверов для Oracle
13.4.2. Установка ODBC-драйверов для Microsoft SQL Server и Sybase
13.4.3. Установка ODBC-драйверов для PostgreSQL
13.4.4. Установка ODBC-драйверов для Firebird
13.4.5. Установка ODBC-драйверов для Progress OpenEdge
13.4.6. Установка ODBC-драйверов для Pervasive SQL
13.4.7. Установка ODBC-драйверов для H2
13.4.8. Установка ODBC-драйверов для MySQL
13.4.9. Редактирование конфигурационного файла /etc/odbc.ini
13.4.10. Диагностика и решение проблем с ODBC-драйверами
Термины и определения

1. Введение

FraudWall представляет собой комплексное решение по обнаружению мошеннических платежей в следующих системах:

  • система ДБО (предотвращение кражи средств клиента банка, являющейся следствием атак на компьютер клиента банка)

  • система АБС (предотвращение кражи средств клиента, являющейся следствием злонамеренного действия среди сотрудников банка)

  • АРМ КБР (предотвращение кражи средств банка, являющейся следствием атак на АРМ КБР)

Высокая эффективность обнаружения мошеннических платежей системой FraudWall достигнута благодаря анализу ключевых признаков действий злоумышленников одновременно по трем направлениям:

  • анализ подозрительных действий пользователя в текущей сессии ДБО

  • проверка статистического профиля плательщика, указанного в реквизитах платежа

  • проверка статистического профиля получателя, указанного в реквизитах платежа.

Статистический профиль формируется системой FraudWall автоматически на основании наблюдаемой истории создания документов в системе ДБО.

Настоящий документ является частью документации к системе FraudWall и содержит в себе сведения, необходимые для ее установки, администрирования и решения возникающих проблем.