Система "ДБО BS-Client"
Версия 017.8.0 , Распределенная схема
Документация подразделения банка. Комплект администратора
Защита информации в системе
"ДБО BS-Client"
© 2011 ООО "БСС"
Система "ДБО BS-Client"
Версия 017.8.0 , Распределенная схема
Документация подразделения банка. Комплект администратора
Дополнительные материалы
Защита информации в системе "ДБО BS-Client"
Опубликовано 2011
Листов 64
© 2011 ООО "БСС"
Настоящий документ содержит информацию, актуальную на момент его составления. ООО "БСС" не гарантирует отсутствия ошибок в данном документе. ООО "БСС" оставляет за собой право вносить изменения в документ без предварительного уведомления.
Никакая часть данного документа не может быть воспроизведена или передана в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения ООО "БСС".
ООО"БСС" не гарантирует, что специфицированное в настоящем документе программное обеспечение не содержит дефектов, будет работать в произвольно выбранных условиях и при этом удовлетворять всем требованиям, которые могут быть к нему предъявлены.
ООО"БСС" не гарантирует работоспособность нелегально полученного программного обеспечения. Нелегальное использование программного обеспечения и документации на него преследуется законом.
Наименование ООО "БСС", товарный знак 
, продукты и их наименования "Система Дистанционного Банковского Обслуживания BS-Client" ("ДБО BS-Client") являются интеллектуальной собственностью ООО "БСС" и охраняются действующим законодательством.
Все иные упомянутые в настоящем документе марки, названия продуктов и фирм могут являться интеллектуальной собственностью соответствующих владельцев.
© 2011 ООО "БСС"
Содержание |
|
Введение ............................................................................................................................. |
6 |
Глоссарий ........................................................................................................................... |
9 |
1. Общая структурная схема каналов передачи данных в системе "ДБО BS-Client" .......... |
10 |
2. Защита передаваемых данных внутри банковской сети между компонентами системы |
|
"ДБО BS-Client" ................................................................................................................. |
12 |
3. Защита передаваемых данных в подсистеме «толстый» клиент ДБО (шифрация, под- |
|
пись, транспорт) ................................................................................................................ |
13 |
3.1. Решаемые задачи ................................................................................................. |
13 |
3.2. Реализация ЭЦП в «Банк-Клиенте» .................................................................... |
13 |
3.3. Организация транспортной подсистемы .............................................................. |
13 |
4. Защита передаваемых данных в подсистеме Интернет-Клиент ...................................... |
15 |
4.1. Защита данных при использовании BS-Defender ................................................. |
15 |
4.2. Защита данных при использовании SSL / TLS .................................................... |
16 |
4.3. Сравнение различных способов защиты канала .................................................. |
17 |
5. Защита передаваемых данных в подсистеме Телефон-Клиент ....................................... |
19 |
6. Защита от внешних атак ................................................................................................. |
20 |
6.1. Фильтрация неподписанных пакетов в ядре транспорта классического клиен- |
|
та ............................................................................................................................... |
20 |
6.2. Аутентификация пользователей в подсистеме Интернет-Клиент ........................ |
20 |
6.2.1. Подпись трафика BS-Defender’a ............................................................... |
20 |
6.2.2. Аутентификация при работе с двусторонним SSL / TLS .......................... |
21 |
6.2.3. Аутентификация при работе с односторонним SSL (парольная и крип- |
|
тографическая) .................................................................................................. |
21 |
6.2.4. Использование сеансовых ключей при работе с подсистемой Интернет- |
|
Клиент ............................................................................................................... |
23 |
6.2.5. Использование сеансовых ключей при работе с подсистемой Телефон- |
|
Клиент ............................................................................................................... |
23 |
6.3. Фильтрация запросов пользователей в подсистеме Интернет-Клиент по IP и |
|
MAC-адресам ............................................................................................................ |
24 |
7. Защита от внутренних атак ............................................................................................ |
25 |
7.1. Аутентификация и авторизация внутренних пользователей ................................ |
25 |
7.2. Права пользователей в системе ........................................................................... |
26 |
7.2.1. Общее описание системы прав ................................................................. |
26 |
7.2.2. Система прав доступа к СУБД и серверу ДБО .......................................... |
27 |
7.2.3. Система прав разграничения доступа по документам ............................... |
27 |
7.3. Ограничение доступа к БД через внешние средства ............................................ |
28 |
7.4. Аудит действий пользователей ........................................................................... |
30 |
7.5. Журналирование процессов, происходящих внутри системы ............................. |
30 |
7.5.1. Фиксация смены статусов документов ..................................................... |
30 |
7.5.2. Системные журналы ................................................................................. |
31 |
7.5.3. Журналы макроязыка ............................................................................... |
32 |
8. Обеспечение целостности и аутентичности информации передаваемой от клиентов в |
|
банк и обратно ................................................................................................................... |
33 |
8.1. Использование подписи под документами .......................................................... |
33 |
8.1.1. Общие сведения ....................................................................................... |
33 |
8.1.2. Подпись документов и квитанций ............................................................ |
33 |
8.1.3. Возможность разбора конфликтных ситуаций .......................................... |
34 |
8.2. Использование подписи при передаче транспортного трафика .......................... |
34 |
3
Защита информации в системе "ДБО BS-Client" |
|
8.3. Использование подписи при передаче трафика BS-Defender ............................... |
35 |
8.4. Использование механизмов аутентичности двустороннего SSL (TLS) ................ |
35 |
8.4.1. Общие сведения ....................................................................................... |
35 |
8.4.2. Исходные требования ............................................................................... |
35 |
8.4.3. Технология связи клиента и банка по каналу «Двусторонний SSL / |
|
TLS» .................................................................................................................. |
36 |
8.5. Сеансовые ключи при заведении клиентом документов в подсистеме Телефон- |
|
Клиент ....................................................................................................................... |
38 |
8.6. Аутентичность выписок, остатков и другой информации выдаваемой банком в |
|
подсистеме Телефон-Клиент ..................................................................................... |
38 |
9. Работа с криптографическими ключами и сертификатами ............................................. |
40 |
9.1. Описание особенностей СКЗИ ............................................................................ |
40 |
9.2. Основные понятия ............................................................................................... |
41 |
9.2.1. Записи о ключах ....................................................................................... |
41 |
9.2.2. Криптографический профиль (абонент) ................................................... |
42 |
9.2.3. Право подписи для документов системы "ДБО BS-Client" ....................... |
42 |
9.2.4. Право шифрации (связь по транспорту «Банк-Клиент») ........................... |
43 |
9.2.5. Право защиты канала («Интернет-Клиент») ............................................. |
43 |
9.3. Менеджмент ключей. Права на криптографические операции. Привязка к по- |
|
льзователю ................................................................................................................. |
43 |
9.4. Начальное заведение ключей, Технологический ключ ........................................ |
44 |
9.5. Перегенерация клиентского ключа (в толстом и тонком клиенте) ....................... |
45 |
9.5.1. Удаленная перегенерация ключей толстого и тонкого клиента ................ |
46 |
9.6. Перегенерация банковского ключа ..................................................................... |
47 |
9.7. Использование списков отозванных сертификатов. Компрометация ключа ........ |
48 |
9.8. Использование списков отозванных сертификатов (СОС) .................................. |
49 |
9.9. Использование USB-токенов ............................................................................... |
49 |
10. Конфликтные ситуации и способы их решения ............................................................ |
50 |
10.1. Общие положения, типы конфликтных ситуаций .............................................. |
50 |
10.2. Разбор конфликтов в случае «толстого клиента» ............................................... |
51 |
10.3. Разбор конфликтов в «BS-Defender» ................................................................. |
51 |
10.4. Разбор конфликтов в одностороннем и двустороннем SSL (сохраняемые под- |
|
писи под документами) .............................................................................................. |
52 |
10.5. Разбор конфликтов в Телефон-клиенте ............................................................ |
53 |
11. Соответствие системы "ДБО BS-Client" стандартам ЦБР ............................................. |
54 |
12. Список рекомендуемой литературы ............................................................................. |
56 |
A. Криптографические справочники, используемые в системе "ДБО BS-Client" ............... |
57 |
A.1. Справочник количества подписей в документах (CryptoNumOfSigns) ................ |
57 |
A.2. Справочник сертификатов (CryptoUID) .............................................................. |
57 |
A.3. Справочник криптографических профилей (CryptoProfile) ................................. |
57 |
A.4. Справочник рабочих мест абонентов СКЗИ (CryptoWorkPlace) ......................... |
57 |
A.5. Справочник пользователей абонентов СКЗИ (CryptoLogin) ............................... |
57 |
A.6. Справочник абонентов СКЗИ для пользователей подсистемы Интернет-Кли- |
|
ент (RemoteCryptoProfile) .......................................................................................... |
58 |
A.7. Общие справочники ........................................................................................... |
58 |
A.7.1. Справочник клиентов (PostClnt) .............................................................. |
58 |
A.7.2. Справочник организаций (Customer) ....................................................... |
58 |
A.7.3. Справочник пользователей подсистемы Интернет-Клиент ...................... |
58 |
A.7.4. Справочник организаций пользователей Интернет-Клиент |
|
(RemoteIDS) ....................................................................................................... |
58 |
4
Защита информации в системе "ДБО BS-Client"
B. Пример регламента разбора конфликтных ситуаций в системе "ДБО BS-Client" .......... |
59 |
||
B.1. |
1. |
Общий порядок разбора конфликтной ситуации ............................................. |
59 |
B.2. |
2. |
Действия по общему анализу конфликтного документа ................................. |
60 |
B.3. 3. Разбор конфликта вида «Отказ любой из сторон от ЭЦП под созданным этой |
|
||
стороной документом» .............................................................................................. |
60 |
||
B.4. Разбор конфликта вида «Отказ любой из сторон от сформированной ею кви- |
|
||
танции на документ» ................................................................................................. |
61 |
||
C. Схема компонентов системы "ДБО BS-Client" .............................................................. |
64 |
||
5
Введение
Настоящий документ является частью документации по системе "ДБО BS-Client" версии 017.8.0, функционирующей в режиме Распределенной схемы.
На кого ориентирован документ
Документ предназначен для администратора подразделения банка.
Назначение документа
Назначение документа состоит в предоставлении информации о методах и средствах, используемых для защиты данных в системе "ДБО BS-Client".
Организация документа
Вгл. 1 «Общая структурная схема каналов передачи данных в системе "ДБО BSClient"» [стр. 10] приведена общая структурная схема каналов передачи данных в системе
"ДБО BS-Client".
Вгл. 2 «Защита передаваемых данных внутри банковской сети между компонентами системы "ДБО BS-Client"» [стр. 12] приведены наиболее распространенные конфигурации компонентов системы "ДБО BS-Client".
Вгл. 3 «Защита передаваемых данных в подсистеме «толстый» клиент ДБО (шифрация, подпись, транспорт)» [стр. 13] описаны средства защиты передаваемых данных, реализованные в подсистеме «толстый» клиент ДБО.
Вгл. 4 «Защита передаваемых данных в подсистеме Интернет-Клиент» [стр. 15] описаны средства защиты передаваемых данных в подсистеме Интернет-Клиент
Вгл. 5 «Защита передаваемых данных в подсистеме Телефон-Клиент» [стр. 19] описаны средства защиты передаваемых данных в подсистеме Телефон-Клиент.
Вгл. 6 «Защита от внешних атак» [стр. 20] описаны средства защиты от внешних атак, реализованных в системе "ДБО BS-Client".
Вгл. 7 «Защита от внутренних атак» [стр. 25] описаны средства защиты от внутренних атак, реализованных в системе "ДБО BS-Client".
Вгл. 8 «Обеспечение целостности и аутентичности информации передаваемой от клиентов в банк и обратно» [стр. 33] описаны механизмы обеспечения целостности и аутентичности данных, передаваемых в системе "ДБО BS-Client".
Вгл. 9 «Работа с криптографическими ключами и сертификатами» [стр. 40] описаны методы работы с криптографическими ключами и сертификатами в системе "ДБО BS-Client".
Вгл. 10 «Конфликтные ситуации и способы их решения» [стр. 50] описаны возможные конфликтные ситуации и способы их решения.
6
Введение
Вгл. 11 «Соответствие системы "ДБО BS-Client" стандартам ЦБР» [стр. 54] описано соответствие системы "ДБО BS-Client" стандартам ЦБР.
Вгл. 9 «Работа с криптографическими ключами и сертификатами» [стр. 40] приведен список рекомендумой литературы для дополнительного ознакомления со средствами защиты информации.
Дополнительная информация приведена в приложениях:
•прил. A «Криптографические справочники, используемые в системе "ДБО BSClient"» [стр. 57].
•прил. B «Пример регламента разбора конфликтных ситуаций в системе "ДБО BSClient"» [стр. 59].
•прил. C «Схема компонентов системы "ДБО BS-Client"» [стр. 64].
Рекомендации по использованию документа
Документ рекомендуется использовать и в качестве ознакомительного материала, и в качестве справочника при работе с системой "ДБО BS-Client". Документ рекомендован как для последовательного, так и для выборочного изучения.
Внимание!
Материал может содержать большое количество перекрестных ссылок на другие части документации. Для интенсивного изучения материала, быстрого поиска необходимой информации и удобного перехода по ссылкам рекомендуется воспользоваться контекстной справкой системы "ДБО BS-Client": в справке содержится наиболее полная информация о системе и порядке работы с ней. Контекстная справка вызывается из системы по нажатии клавиши F1.
Соглашения по оформлению
Кавычками выделяются значения полей экранных форм и различных параметров.
Наименования разделов и пунктов меню отделяются друг от друга символом →.
Для выделения блоков текста используются специальные средства оформления, представленные ниже.
Примечание
Служит для выделения дополнительной или разъясняющей информации, в том числе ссылок на фрагменты документации, содержащие более подробные сведения. В основном следует непосредственно за элементом, к которому оно относится, но может предшествовать целой главе или разделу.
Внимание!
Служит для выделения важной информации, на которую следует обратить внимание.
Служит для выделения дополнительной информации, рекомендованной для углубленного изучения системы. В основном информация, помеченная подобным образом, представляет собой
7
Введение
описание редко используемых возможностей системы. Данную информацию можно пропустить при ознакомительном чтении.
8