Главный Каталог Статей РФ
65951 авторов, размещено 45409 статей, сейчас на сайте пользователей: 25 Статистика
Аватар dimetra2008

Безопасность в 1С Предприятие 8

Категория:  ПО и игры  | Автор:  dimetra2008 | Опубликовано: 16.03.2011

Базовый принцип защиты данных в клиент-серверном варианте заключается в том, что пользователи не имеют прямого доступа к файлам информационной базы. «Посредником» между клиентами 1С:Предприятия 8.1 и сервером СУБД является рабочий процесс rphost, который обращается с запросом к СУБД от имени своей учетной записи. Затем полученный результат возвращает клиенту.

Однако, использование клиент-серверного варианта не означает автоматически стопроцентную защиту информации. Важно правильно настроить систему в соответствии с конкретными требованиями безопасности.

Пример пренебрежения безопасностью MS SQL Server и 1С:Предприятие 8.1

В нашем примере, в некой компании Х в качестве сервера баз данных установлен MS SQL Server 2000 с настройками по умолчанию. В качестве учетной записи контекста исполнения службы «MSSQLServer» была выбрана учетная запись операционной системы. После развертывания клиент-серверного варианта 1С:Предприятие 8.1 для пользователей конфигурации были созданы учетные записи и назначены пароли. Дополнительных настроек связанных с безопасностью не производилось.

На первый взгляд все в порядке, пользователи не имеют доступа к файлам серверов приложений и СУБД. «Взлом» будет засчитан после получения злоумышленником доступа к учетной записи администратора сервера с MS SQL Server.

По нашему сценарию один из сотрудников компании Х становится злоумышленником. У него есть собственный ноутбук. И он работает с информационной базой от имени своей "законнной" учетной записи, как и большинство пользователей компании.

Администраторы, пренебрегли настройками прав доступа пользователей и оставили возможность выгрузки информационной базы при помощи конфигуратора.

Другой возможной опасностью является отсутствие учетной записи администратора кластера на сервере 1С:Предприятия. Это позволит злоумышленнику создать на своем компьютере новую информационную базу на том же сервере 1С:Предприятия, который обслуживает рабочую базу.

Комплексное понятие безопасности

Комплексное понятие безопасности системы складывается на соновании ее защищенности на различных участках. Можно выделить три основных участка защиты данных:

  • Клиент - кластер 1С:Предприятия
  • Кластер 1С:Предприятия - СУБД
  • Пользователь системы
Участок защиты данных «клиент – кластер 1С:Предприятие 8.1»

При подключении к информационной базе пользователь указывает свой логин и пароль. Если в системе существует учетная запись с соответствующими параметрами, то доступ разрешается. Учетная запись создается для каждой информационной базы, используемой пользователем. При этом выполняется запрос к рабочему процессу кластера, расположенному на сервере 1С:Предприятия.

Участок защиты данных «кластер – СУБД»

Защита данных, передаваемых между кластером серверов 1С:Предприятия и сервером СУБД, осуществляется средствами СУБД. MS SQL Server позволяет организовать шифрование передаваемых данных с помощью сертификатов.

Участок защиты данных «Человек»

В настоящей статье рассматриваются только технические меры обеспечения безопасности. Следует иметь в виду, что существует и такой фактов безопасности, как пользователь. Даже самая совершенная защита не может гарантировать безопасность системы, если к ней имеет доступ недобросовестный или неаккуратный пользователь. Системный администратор владеет информацией о паролях, главный бухгалтер - финансовой информацией о компании и т.д. Это значит, что всегда есть еще одно звено системы, которое может оказаться самым уязвивым в защите информации. Политика регулярной смены паролей, проводимая системным администратором, может быть сведена «на нет», если пользователи решат, что хранение «сложных» паролей надо доверить памяткам на мониторе своих рабочих мест.

1. Доступ пользователей к административным действиям конфигуратора 1.1 Выявление угрозы

Составьте список всех ролей, имеющих права на выполнение административных функций. Затем составьте список пользователей, которые приписаны к этим ролям. Каждый из пользователей, перечисленных в списке сможет выполнять следующие действия:

  • Выгружать информационную базу в файл на диске своего компьютера
  • Назначать права доступа для других пользователей информационной базы

Убедитесь в том, что для каждого пользователя из списка верно следующее:

  • Сотруднику действительно необходимы административные права для выполнения его служебных обязанностей
  • Сотрудник имеет достаточную квалификацию для того, чтобы не причинить непреднамеренный вред системе
  • Сотрудник пользуется вашим доверием

1.2 Возможные последствия

В качестве последствий следует особенно отметить копирование информационной базы.

1.3 Меры защиты 1.3.1 Ограничение прав

Назначайте административные права только тем пользователям 1С:Предприятия, которым это действительно необходимо.

Выделите права, которыми должен обладать только администратор базы и лишите этих прав всех остальных пользователей. Обычно, к таким правам относятся:

  • Административные функции
  • Обновление конфигурации базы данных
  • Внешнее соединение
  • Интерактивное открытие внешних обработок
  • Интерактивное открытие внешних отчетов
1.3.2 Ограничение доступа к переносным носителям

Для того, чтобы ограничить возможности злоумышленников по копированию базы данных на внешние носители (дисководы, USB-носители и т.п.) можно использовать групповые политики Active Directory.

2. Отсутствие разграничений доступа в режиме 1С:Предприятие 2.1 Выявление угрозы

Доступ к информации в режиме 1С:Предприятие определяется ролями (списком прав), также механизмами, реализованными кодом конфигурации. Для типовых конфигураций 1С это механизм ограничения доступа к данным на уровне записей и полей. Неправильно назначенные права могут привести к несанкционированному доступу к данным.

2.2 Возможные последствия

Вероятность данной угрозы оценивается как средняя. Последствием может быть несанкционированный доступ пользователей к данным информационной базы.

2.3 Меры защиты

Необходимо привести права доступа в соответствие с должностными обязанностями каждого сотрудника. Эта задача, в общем случае, является достаточно трудоемкой. Имеет смысл начинать проверку прав доступа и приведение их в соответствие с наиболее критичных областей данных.

3. Несанкционированный доступ к данным сервера СУБД 3.1 Выявление угрозы

Проверьте следующие признаки угрозы:

  • Наличие включенного (enabled) логина sa для используемого MS SQL Server
  • Учетная запись службы MS SQL Server входит в доменные группы
  • Имеется доступ к файлам, хранящимся на компьютере, на котором запущен MS SQL Server
  • Сервер 1С:Предприятия и SQL Server запущены на одном компьютере
  • Открыт доступ к серверу учетных записей пользователей
  • Слабые пароли логинов MS SQL Server
  • Включена возможность работы с командной строкой службой MS SQL Server
3.2 Возможные последствия

Полный доступ к информационным базам, хранящимся на MS SQL Server.

4. Использование «старых» логинов 4.1 Выявление угрозы

Среди учетных записей, используемых системой могут оставаться те, которые принадлежали уволенным сотрудникам. Необходимо организовать регулярную процедуру проверки учетных записей.

Можно попробовать разработать автоматизированную процедуру проверки длительной неактивности учетных записей и их автоматического удаления

4.2 Возможные последствия

Уволенный сотрудник может воспользоваться своей старой учетной записью.

4.3 Меры защиты Регулярное администрирование записей

В данном случае обеспечение безопасности не является операцией, которая раз и на всегда решит проблему. Для поддержания необходимого уровня безопасности на данном участке необходимо организовать и проводить регулярную проверку всех учетных записей системы.

Следует понимать, что существует несколько видов учетных записей, которые используются при работе системы на различных уровнях ее функционирования.

5. Несанкционированный доступ к файлам кластера серверов 5.1 Выявление угрозы

Признаки возможной угрозы:

  • Отсутствие учетных записей администраторов кластера
  • Использование одной учетной записи для служб ragent, rmngr, rphost
  • Файловый доступ к серверу
  • Физический доступ к серверу
5.2 Возможные последствия

Злоумышленник может получить пароли и общую информацию для подключения к серверу СУБД. Это может привести к тому, что ему станут полностью доступны данные информационных баз.

6. Уязвимости операционной системы, СУБД 6.1 Выявление угрозы

Следите за появлением информации о уязвимостях операционной системы и СУБД. При появлении официальных сообщений от производителя, воспользуйтесь предлагаемыми обновлениями. Если есть такая возможность, желательно пользоваться автоматической загрузкой и установкой обновлений.

6.2 Возможные последствия

Вероятность угрозы оценивается, как незначительная. Последствия зависят от обнаруженной уязвимости. Риск взлома значительно уменьшается при отсутствии удаленного доступа к серверам из Интернета.

6.3 Меры защиты
  • Выполняйте обновление операционной системы

  • Выполняйте обновление СУБД

  • Пользуйтесь услугами компаний, специализирующихся на безопасности

7. Вирусы, трояны, логгеры 7.1 Выявление угрозы

Присутствие вредоносных программ обнаруживается либо при помощи антивирусов, либо по факту вредоносной деятельности вируса.

7.2 Возможные последствия

Обычно вирусы не нацелены на взлом приложений 1С:Предприятия. Вероятность угрозы оценивается как невысокая. Однако, нарушение работы 1С:Предприятие может стать побочным эффектом деятельности вируса, поэтому пренебрегать этой опасностью не следует.

7.3.1 Используйте брандмауэры.

Брандмауэр – средство защиты , которое отслеживает и ограничивает обмен данными между компьютером и сетью или Интернетом, т.е. защищает компьютер от несанкционированного доступа извне.

8. Пароли на мониторах, слабые пароли 8.1 Выявление угрозы

Наличие действующих учетных записей уволенных сотрудников или не использующихся действующими сотрудниками больше месяца. Даже если сотрудник находится в отпуске, на время его отсутствия лучшим средством снизить риск является временно отключение пользователя или смена пароля.

8.2 Возможные последствия

Серьезность угрозы прямо зависит от прав записи данного сотрудника.

8.3 Меры защиты

8.3.1 Используйте политку сложных паролей, выполняйте проверку на сложность паролей

Пароли являются «первой линией защиты» от несанкционированного доступа к Вашей информации. Не смотря на все современные технологии, часто они становятся основной целью злоумышленника. Пользователи часто придумывают очень простые пароли. Они могут означать день рожденья пользователя, имя любимой кошки или номер сотового. Такие пароли легко подобрать, применяя общеизвестные закономерности. Другим способом является перебор всех возможных комбинаций символов.

9. Перехват информации 9.1 Выявление угрозы

Существует класс программ-шпионов, которые способны перехватывать информацию, передаваемую по сети. Например, к ним относятся безобидные на первый взгляд сетевые мониторы (сниферы).

9.2 Возможные последствия

Возможным последствием является полный перехват всего сетевого траффика, расшифровав который, можно (теоретически) получить какую-то информацию о работе вашей системы. Вероятность возникновения такой угрозы минимальна. Трудозатраты на организацию защиты очень высоки. Необходимо адекватно оценить риски. Как правило, организация защиты такого класса характерна для крупных компаний.

9.3 Меры защиты 9.3.1 Организуйте защиту траффика штатными средствами 1С:Предприятия (защита передачи данных кластеру серверов)

При создании новой базы вы указываете параметр «безопасное соединение» (защищенное соединение). Существует возможность выбрать одно из трех значений:

  • Выключено
  • Установка соединения
  • Постоянно

Подробно по обеспечению безопасности в 1С Предприятие можно узнать на странице Вопросы безопасности информационных систем 1С Предприятие
Комментарии
К этой статье пока нет комментариев. Станьте первым! У нас гости не могут комментировать статьи. Пожалуйста авторизуйтесь или зарегистрируйтесь, чтобы прокомментировать.
Интересные статьи по теме
Аватар fly_e135
Настройка телефона Fly Мобильные телефоны есть почти у каждого в нашей стране,да и в мире тоже! Телефон - это сложный механизм, к которому нужно относиться бережно и тогда он будет служить долго. Прежде чем начать использов...
Категория: ПО и игры | Автор: fly_e135 | Добавлено: 25.11.2010
Аватар Excelskype
Excel – то, что нужно знать и уметь всем! Восемь самых востребованных возможностей программы Excel.Это необходимый минимум, которым должен владеть каждый, кто ежедневно использует Excel.Используй эти приемы, чтобы повысить эффективность своей...
Категория: ПО и игры | Автор: Excelskype | Добавлено: 05.04.2015
Аватар deusmaster
Расчет кубатуры круглого леса Облегчить и ускорить расчет кубатуры леса поможет программа кубатурник...
Категория: ПО и игры | Автор: deusmaster | Добавлено: 20.05.2010
Аватар Anastasya
DVD-Audio авторинг с помощью DigiOnAudio2 Pro. Часть I Методология DVD-Audio авторинга в программе DigiOnAudio2 Pro. Детально рассмотрена технология создания навигации для DVD-Audio, от инсталляции DigiOnAudio2 Pro до записи проекта на лазерный диск....
Категория: ПО и игры | Автор: Anastasya | Добавлено: 17.02.2010
Аватар Palarm
Ускоренное создание справочников в Access В данной статье показан пример ускоренного создание многоуровневых справочников в приложениях Access...
Категория: ПО и игры | Автор: Palarm | Добавлено: 12.04.2007
Лучшие авторы
Аватар leva1981
Не люблю хвалить себя, пусть свое мнение обо мне в...

Читать

Аватар Компания Антарес
Менеджер компании "Антарес"

Читать

Аватар olegan2012
Бесплатная барахолка - vsebarahlo.ru

Читать

Аватар Kolesnikov Pavel
Руководитель студии МТО 'Лидер студио'.

Читать

Аватар dodger778
+7 918 612-13-84

Читать

Свежие комментарии
Ну я бы не сказал что там дождей мало...

Читать

Если Будут какие-то вопросы, то задавайте не стесняйтесь.

Читать

Отличный вариант если нужно дорожка домой. Если вы как и антисоциальны...

Читать

Я уже три года покупаю пластиковые фасады. делаю из них кухни на заказ...

Читать

Напишите нам