Как исключить конфликт клиент-банков разных банков на компьютере пользователя?
У нас в организации платежный отдел использует порядка десяти клиент-банков (далее КБ), включая два иностранных (Беларусь, Казахстан)
В платежном отделе работает около десяти работников, каждый из которых должен иметь возможность работы со всеми клиент-банками со своего рабочего места.
КБ разных банков отказываются работать на одном компьютере из-за конфликта программного обеспечения, в основном крипто-защиты. У каждого банка свой плагин для крипто про, основные проблемы с конфликтами плагинов.
Долгим опытным путем были выявлены совместимые друг с другом клиент-банки, в результате имеем по три физических компьютера на каждого работника платежного отдела.
Это количество может в любой момент внезапно увеличиться после появления новых банков, а так же после обновлений одного из КБ.
Хелпдески банков отвечают на инциденты в таком ключе: возьмите чистый компьютер, поставьте наш клиент-банк. Работает? До-свидания.
Главная проблема в том, что после установки обновления одного из банков, может быть на некоторое время парализована работа других, работающих на этом же компьютере. Требуется срочная переустановка, это отнимает время у техподдержки, а так же у работников платежного отдела. Могут быть задержаны срочные платежи, в результате будут потери для бизнеса.
Нужно найти решение для исключения влияния КБ-в друг на друга. У каждого работника платежного отдела должен быть только один персональный компьютер. Поддержка решения не должна отнимать много времени.
Возможные варианты:
*
виртуализация - в общих чертах понятно как сделать, хотя возникнут вопросы в процессе. Но наша IT безопасность запретила этот вариант т к возможен перехват ключа через сеть. Сервер виртуальных машин может быть в серверной в одном здании с платежным отделом или в удаленном дата центре.
*
Использование шифрования в сети так, чтобы нельзя было перехватить ключ через сетевой шнур. Это для варианта виртуализации. Я не силен в шифровании и в его надежности.
*
виртуализация с установкой сервера виртуальных машин в платежном отделе. Создание отдельной сети, все провода которой расположены в платежном отделе и к ним не возможно подключиться за пределами комнаты.
*
Установка нескольких веб браузеров IE на один компьютер пользователя. Каждый КБ работает через отдельный браузер. Большинство КБ работают через IE. В интернете есть какие то подозрительные решения, не нашел ни одного заслуживающего доверия и не уверен что это заработает.
*
1С:ДиректБанк - через один интерфейс идет общение с разными банками, но поддерживаются не все банки и не известно будут ли работать десять наших на одном компьютере через 1С. Обратился во франч 1С, сказали, что это не поможет.
*
Изменение организации работы платежного отдела - уход от персональных рабочих мест. Под каждый КБ создается отдельный компьютер и сотрудники пересаживаются между ними в течении дня. Вряд ли платежный отдел пойдет на такое изменение.
........
Интересны прежде всего проверенные и работающие решения.
Это не то чтобы сильно конструктивный совет, но кроме вас никто их попинать не сможет.
Хелпдески банков отвечают на инциденты в таком ключе: возьмите чистый компьютер, поставьте наш клиент-банк. Работает? До-свидания.
До свидания нужно сказать банку, который такое говорит! Или позвонить в техподдержку и попросить "следующий уровень поддержки" или потребовать разговора с руководством того, кто сказал - "дааазвиданья".
Не смотря на кривость "всяких криптотпру", разработчики софта прекрасно понимают, что софт будет работать не на "компьютер сферический в вакууме", а в разном "клиентском окружении" и отлавливать баги, обеспечивать работу и совместимость - их работа, как ни странно оплачиваемая именно вашей организацией.
В моей практике решилось через VMware VDI. Было не менее 5-ти разных. На каждый банк-клиент - своя виртуалка. Использовали Windows XP в качестве виртуалки. На тот момент они ещё были в поддержке и ресурсов много не кушали, что было приятно на фоне Windows 7. По сравнению с ситуацией "до..." - просто сказка.
Можно обойтись без сервера виртуализации - ставите на каждый комп в платежном отделе 8-16 гиг оперативной памяти, и ставите на каждый комп по 10 виртуальных машин, каждую под свой банк или 5 под каждые пару банков.
Научить девочек выключать (в гибернацию) каждую виртуалку, когда она не нужна. Тогда обратно запускаться она будет очень быстро.
На каждой виртуалке можно даже заменить shell:explorer сразу на ie, тогда при запуске не будет кнопки "пуск" и рабочего стола, а будет открываться сразу интернет-эксплорер с нужным банком.
Периодически делаете "снимки" виртуалок (через скрипты), тогда даже если что то слетит после обновления -- можно быстро восстановить работу (или восстановить через эталонную виртуалку).
Деплой не сложный -- сделать эталонную виртуалку, потом накопировать её в 10 виртуалок под каждый банк, и залить всё на компы бухгалтеров. Справится любой админ за условный день.
То есть на каждый компьютер пользователя установить платформу виртуализации с десятью виртуалками и в один момент будет работать только одна? Меня это наверное устроит, хотя обслуживать сложновато.
Для каждой флешки-ключа нужно будет установать драйвера на локальный компьютер. Меня это не устраивает т к для каждого банка они свои и они тоже конфликтуют.
Вижу решение, приобрести отдельную железку для подключения ключей, которая через сеть коннектится с виртулаьными машинами. Понадобятся железка для каждого компьютера.
Сложновато в обслуживании, но можно рассмотреть этот вариант.
AlexGrid, Сделайте образ системы с нужным софтом и нужным банкклиентом, растиражируйте его по рабочим местам.
с SSD виртуальная windows7 запускается за пару секунд.
Александр, Касательно распространения образов по сети могут возникнуть проблемы:
1. Компоненты банк-клиентов периодически обновляются. Придется каждый раз заниматься обновлением образа, а это трудоемкий и времязатратный процесс.
2. Клонирование крипто-компонентов может вызвать сбой при подключении к серверам банков, так как при их установке могут генерироваться уникальные значения, которые нельзя использовать одновременно на нескольких клиентских компьютерах.
3. Нельзя записывать в образ сертификаты, так как в большинстве случаев для каждого пользователя генерируется свой персональный сертификат. Так же сертификаты необходимо регулярно пересоздавать.
alexxis, Спасибо за ссылку. Это устройство подключается через сеть. Меня беспокоит, что ключ появится в сети и может быть перехвачен. Этот вопрос у вас не возникал? как его решили?
AlexGrid, внутри локальной сети при помощи софта digi была привязка ключа к определённому ip и шифрование, насколько я помню. В документации есть про это.
Ключи меняем. Проблема как правило в том, что клиент банк не видит ключа. В чем именно не понятно, техподдержка не помогает. На отдельном компе работает, а вместе с другими клиентами нет. Методом тыка находим клиент который блокирует работу другого и разносим на разные компы.
Разворачиваете PKI, если ещё нет, поднимаете ВМ под каждый клиент-банк, разрешаете платежникам ходить на эти ВМ под доменными логинами, вешаете на них драконовские политики безопасности, но так, чтобы работал и RDP (шифрованный, кстати, будет, так что СБ будет довольна - по локалу никто не перехватит ключи) и клиент-банк(и), вывешиваете RDP-файлы от подключений к ним в папку, куда у платежников есть доступ только на чтение, и показываете всем заинтересованным сторонам. Платежникам - работать с клиент-банками вот так, синхронизировать доступ вот так (если только вы ещё и RDSH-лицензирование не настроите для этой структуры, тогда пользователи смогут работать параллельно на одной ВМ, но это дороже и нужно будет настраивать таймауты, чтобы юзера не забывали о сессиях, и т.п.), СБ - защищено это всё полноценным TLSv1.2 на каналах связи между ВМ и РМ пользователей.
Вставлю и я 5 копеек.
КБ есть 3-х типов
1. java клиенты
2. win32 клиенты
3. web-кленты
Наихудший вариант, это вариант 1. Именно со стороны явы могут быть нестывовки КБ о которых вы написали. Поэтому выход для Вас - уход от 1 на 2 или 3.
Лет несколько назад гугла отказалась от поддержки явы. Теперь ее не поддерживает и Opera/FF (FF esr -ветка поддерживает яву но тоже видимо скоро это прекратится). Как следствие банки отреагировали на это внедрением web-клиента, где ява не нужна
Вы узнайте (позвоните), возможно у вашего банка есть win32/web клиент
Простой
Средний
