Открытое акционерное общество «Российские железные дороги» (ОАО «РЖД») АВТОМАТИЗИРОВАННАЯ СИСТЕМА КОНТРОЛЯ ДОСТУПА ПОЛЬЗОВАТЕЛЕЙ С ПРИВИЛЕГИРОВАННЫМИ УЧЕТНЫМИ ЗАПИСЯМИ АС КДПУЗ Технорабочий проект Руководство пользователя RU.40308570.425190.020.И3 Листов 18 Начальник отдела УдЦ ГВЦ ОАО «РЖД» _____________ В. А.Горностаев ____. ____.2014 Генеральный директор ЗАО НИП «ИНФОРМЗАЩИТА» _____________ С.П. Шерстобитов ____. ____.2014 2014 2 RU.40308570.425190.020.И3 СОГЛАСОВАНО Наименование организации, предприятия Должность исполнителя Фамилия, имя, отчество Подпись Дата 3 RU.40308570.425190.020.И3 СОСТАВИЛИ Наименование организации, предприятия Должность исполнителя Фамилия, имя, отчество Подпись Дата Руководитель ЗАО НИП «ИНФОРМЗАЩИТА» проектов Ковалев М.А. Главный ЗАО НИП «ИНФОРМЗАЩИТА» инженер проектов Маклаков А.В. Системный ЗАО НИП «ИНФОРМЗАЩИТА» архитектор Сенчуков А.И. Архитектор по ЗАО НИП «ИНФОРМЗАЩИТА» информационной безопасности Овечкин О.И. 4 RU.40308570.425190.020.И3 Содержание 1 Введение ............................................................................................................... 5 1.1 Область применения ................................................................................... 5 1.2 Уровень подготовки пользователя............................................................ 5 1.3 Перечень эксплуатационной документации ............................................ 5 2 Подготовка к работе .......................................................................................... 6 2.1 Состав и содержание дистрибутивного носителя данных ..................... 6 2.2 Порядок загрузки данных и программ ..................................................... 6 2.3 Порядок подключения при использовании сетей общего пользования ....................................................................................................... 6 2.4 Подключение к АС КДПУЗ ....................................................................... 6 3 Описание операций .......................................................................................... 10 3.1 Подключение к целевой системе ............................................................ 10 3.2 Удаление запроса на предоставление доступа ...................................... 13 4 Аварийные ситуации ....................................................................................... 15 4.1 Неверный пароль ...................................................................................... 15 4.1.1 Описание аварийной ситуации ...................................................... 15 4.1.2 Решение ............................................................................................ 15 4.2 Пользователь заблокирован ..................................................................... 15 4.2.1 Описание аварийной ситуации ...................................................... 15 4.2.2 Решение ............................................................................................ 16 Перечень сокращений ........................................................................................ 17 5 RU.40308570.425190.020.И3 1 Введение 1.1 Область применения Данный документ содержит описание действий пользователя АС КДПУЗ при получении удаленного доступа к ресурсам ОАО «РЖД» посредством АС КДПУЗ с обеспечением безопасности передаваемых данных при подключении с использованием сетей общего пользования подсистемы удаленного доступа ОАО «РЖД». 1.2 Уровень подготовки пользователя Для выполнения операций по подключению пользователю необходимы следующие навыки: -- Знание ПО ViPNet Client; -- Опыт работы с браузером Internet Explorer версий 10 и выше. 1.3 Перечень эксплуатационной документации Для выполнения операций пользователю необходимо ознакомиться со следующими документами из состава эксплуатационной документации: -- Защищенный узел доступа ОАО «РЖД». Инструкция пользователя. 40408570.39975.052.ИЗ.02 в части использования VipNet Client; -- Privileged Account Security End-user Guide. 6 RU.40308570.425190.020.И3 2 Подготовка к работе 2.1 Состав и содержание дистрибутивного носителя данных Для работы при подключении с применением сетей общего пользования: -- наличие на АРМ пользователя установленного ПО VipNet Client; -- наличие на АРМ пользователя установленного ПО Internet Explorer 10. 2.2 Порядок загрузки данных и программ В случае необходимости установки ПО VipNet Клиент на АРМ пользователя необходимо обратиться в отдел УдЦ ГВЦ ОАО «РЖД» для оформления заявки на установку данного ПО. Ключи пользователя на ключевом носителе можно получить в случае необходимости в отделе УдЦ ГВЦ ОАО «РЖД». 2.3 Порядок подключения при использовании сетей общего пользования Для подключения к АС КДПУЗ с использованием сетей общего пользования, в том числе Интернет, следует использовать сертифицированное средство организации виртуальных частных сетей VipNet Client. 2.4 Подключение к АС КДПУЗ При подключении с применением сетей общего пользования предварительно установить защищенное соединение к СПД ОАО «РЖД». Для подключения к web-интерфейсу АС КДПУЗ необходимо запустить программу Internet Explorer и ввести в адресной строке путь https://cyberark.gvc.oao.rzd/PasswordVault/. В случае появления страницы предупреждения (см. Рисунок 1) нажать на ссылку «Continue to this website (not recommended)» для продолжения работы. 7 RU.40308570.425190.020.И3 Рисунок 1 – Страница предупреждения Страница входа в систему представлена на рисунке «Рисунок 2». Рисунок 2 – Страница входа в систему В случае, если эта операция выполняется впервые, установить сертификат подтверждения подлинности сервера АС КДПУЗ в хранилище доверенных сертификатов. Для этого кликнуть мышкой на надписи «Certificate Error» («Ошибка сертификата») и в появившемся окне кликнуть мышкой на пункт «View certificate»/«Просмотр сертификата» (см. Рисунок 3). 8 RU.40308570.425190.020.И3 Рисунок 3 – Окно сведений о сертификате В открывшемся окне нажать кнопку «Install certificate» (Рисунок 4). Следуя указаниям мастера дойти до окна выбора хранилища сертификатов (Рисунок 5) и выбрать хранилище «Trusted Root Certification Authorities». Завершить работу мастера нажатием кнопки «Finish». Рисунок 4 – Окно свойств сертификата 9 RU.40308570.425190.020.И3 Рисунок 5 – Выбор хранилища сертификатов Ввести следующие параметры для входа в систему: № п/п 1 2 Поле Значение User name Имя вашей учетной записи в АС КДПУЗ Password Пароль вашей учетной записи в АС КДПУЗ В случае первого входа в АС КДПУЗ ввести новый пароль учетной записи пользователя АС КДПУЗ. Пароль должен включать заглавные и строчные латинский буквы и цифры. 10 RU.40308570.425190.020.И3 3 Описание операций 3.1 Подключение к целевой системе Для подключения к целевой системе при использовании сетей общего пользования необходимо предварительно установить защищенное соединение с СПД ОАО «РЖД». Запустить ПО Internet Explorer, подключиться к web-интерфейсу АС КДПУЗ по адресу https://cyberark.gvc.oao.rzd/PasswordVault/ и пройти аутентификацию с использованием учетной записи пользователя АС КДПУЗ. Рисунок 6 – Список доступных целевых систем Найти целевую систему в списке или выполнить поиск целевой системы по ее имени или части имени, введя его в поле в верхнем правом углу страницы и нажав «Enter». Для подключения к целевой системе нажать кнопку . В случае, если подключение к целевой системе требует подтверждения доступа уполномоченного работника ОАО «РЖД» заполнить атрибуты доступа в открывшемся окне запроса доступа. В противном случае откроется окно подключения к целевой системе. 11 RU.40308570.425190.020.И3 Рисунок 7 – Окно запроса доступа К числу обязательных атрибутов запроса на предоставление доступа относятся: № п\п 1 2 3 Параметр Вы должны указать причину для этой операции. (You are required to specify a reason for this operation) Требуется доступ (Access is required) От (From) Значение Примечание Выбрать или ввести текст запроса на предоставление доступа Период, на который запрашивается доступ Да Дата и время начала периода доступа Дата и окончания доступа 4 Кому (To) 5 В течении этого периода требуется многократный доступ Да (Multiple access required during this period) 6 Reference No Номер ЕСПП время периода Да – устанавливается в случае, если требуется возможность повторного подключения к целевой системе в течение периода доступа. Нет – устанавливается в случае, если повторное подключение не требуется инцидента в 12 RU.40308570.425190.020.И3 Нажать «ОК» для отправки запроса на рассмотрение. Запрос на предоставление доступа сохраняется в разделе «ACCOUNTS»-«My Requests» и доступны для проверки статуса предоставления доступа. Рисунок 8 – Список запросов на предоставление доступа Для просмотра статуса предоставления доступа необходимо открыть запрос, кликнув по нему мышкой. Рисунок 9 – Сведения о запросе на предоставление доступа Статус предоставления доступа отображается в графе «Состояние» («Status»). В случае, если запрос подтвержден, его статус будет изменен на «Подтвержден» («Confirmed»). В случае, если при регистрации пользователя АС КДПУЗ был указан его контактный почтовый адрес, уведомление о 13 RU.40308570.425190.020.И3 подтверждении или отклонении запроса на предоставление доступа будет доставлено на указанный адрес электронной почты. Для подключения к целевой системе необходимо перейти на страницу доступных целевых систем, выбрать в списке целевую систему, доступ к которой подтвержден, и нажать кнопку . Откроется окно подключения к целевой системе. 3.2 Удаление запроса на предоставление доступа Для подключения к целевой системе при использовании сетей общего пользования необходимо предварительно установить защищенное соединение с СПД ОАО «РЖД». Запустить ПО Internet Explorer, подключиться к web-интерфейсу АС КДПУЗ по адресу https://cyberark.gvc.oao.rzd/PasswordVault/ и пройти аутентификацию с использованием учетной записи пользователя АС КДПУЗ. Перейти на страницу «ACCOUNTS»-«My Requests» и выбрать запрос на предоставление доступа, который необходимо удалить: Рисунок 10 – Список запросов на предоставление доступа Нажать кнопку «Delete» в окне сведений о запросе на предоставление доступа. 14 RU.40308570.425190.020.И3 Рисунок 11 – Сведения о запросе на предоставление доступа 15 RU.40308570.425190.020.И3 4 Аварийные ситуации 4.1 Неверный пароль 4.1.1 Описание аварийной ситуации При вводе имени пользователя АС КДПУЗ и пароля выводится сообщение «Ошибка проверки подлинности для пользователя» (Рисунок 12). Рисунок 12 – Ошибка проверки подлинности пользователя 4.1.2 Решение Обратиться к администратору АС КДПУЗ для смены пароля. 4.2 Пользователь заблокирован 4.2.1 Описание аварийной ситуации При вводе имени пользователя АС КДПУЗ и пароля выводится сообщение «Станция приостановлена для пользователя» (Рисунок 13). 16 RU.40308570.425190.020.И3 Рисунок 13 – Ошибка «Пользователь заблокирован» 4.2.2 Решение Обратиться к администратору пользователя и смены пароля. АС КДПУЗ для разблокировки 17 RU.40308570.425190.020.И3 Перечень сокращений АРМ ГВЦ ЗУД ОАО ПО РЖД СПД УдЦ Автоматизированное рабочее место Главный вычислительный центр Защищенный узел доступа Открытое акционерное общество Программное обеспечение Российские железные дороги Система передачи данных ОАО «РЖД» Удостоверяющий центр 18 RU.40308570.425190.020.И3 ЛИСТ РЕГИСТРАЦИИ ИЗМЕНЕНИЙ Входящий № Всего листов сопроводи№ Изм. ан- (страниц) докум. тельного изме- заме- нону- в докум. докум. и нен. нен. вых лир. дата Номера листов (страниц) Дата Подп.