Как известно, безопасность является неотъемлемой частью, когда речь идет о данных, которые не должны быть доступны широкому кругу людей. Тем более, когда речь идет о бухгалтерии предприятия. Также известно, что безопасность — это понятие комплексное. Нет никакого смысла в суперзащищенном сервере данных, если пароль для доступа к этим данным висит у пользователя на мониторе.
Каким же образом решать эту комплексную задачу? Ответ прост и стар как мир: разделяй и властвуй! Во-первых, нужно четко понимать, от чего нужно защититься. В нашем случае нужно не допустить доступ к информации неуполномоченных лиц прямо из ПО или косвенно путем копирования и дальнейшего анализа файлов, с этой конфиденциальной информацией. Во-вторых, нужно понимать структуру системы, данные которой нужно защищать. Это необходимо для дальнейшего выявления и анализа возможных путей атаки. В-третьих, получив список возможных путей атаки, обозначьте для каждой из них вероятность, меры по устранению, и трудозатраты на реализацию этих мер. Возможно, будет проще (выгоднее), если часть из этих мер будут организационными, а не техническими.
Также необходимо не забывать об общих принципах безопасности серверных систем, таких как:
- Ограничение физического доступа к серверному оборудованию
- Своевременная установка всех обновлений операционных систем и используемого ПО
- Использование антивирусных систем
- Использование и корректная настройка брандмауэров для прохождения только разрешенного траффика
- Использование защищенных каналов связи
- Ограничение обычных пользователей в административных правах на рабочих станциях
- Использование стойких паролей и блокировок ПО в отсутствие пользователя на рабочем месте.
- Политики соблюдения конфиденциальности данных уволенными сотрудниками и блокировок доступа их к информационным ресурсам.
Продукт 1С:Предприятие имеет 2 версии: файловую и сетевую. Разницу в версиях можно наглядно увидеть на рисунках, позаимствованных на ресурсе efsol.ru.
Файловая версия 1С:Предприятие
Сетевая версия 1С:Предприятие
Сначала давайте рассмотрим, слабые места в безопасности самой платформы 1С общие для обеих версий.
- Локальная база пользователей. Решение: использовать аутентификацию ОС (или доменных служб).
- Разграничение прав доступа внутри базы. Решение: проработать данный вопрос и установить разграничения согласно полномочий сотрудника.
- Административные права на конфигуратор. Решение: выдать административные права только уполномоченным сотрудникам.
Отдельно хотелось бы заметить решение такой общей административной проблемы, как работа с недоверенной (по разным причинам) рабочей станции. Это работа через терминал. Решение популяризируется в том числе в контексте обеспечения безопасности при работе с 1С, однако в целом непосредственно к 1С не относится и может помочь в реализации более широкой стратегии защиты и вообще организации работы с информационными ресурсами.
Основным слабым местом файловой версии 1С:Предприятие является возможность доступа пользователей к базам данных на уровне файловой системы. В поздних верисях 1С эту проблему можно устранить путем публикации баз через веб-сервер и последующую работу с ними через тонкого клиента. При такой конфигурации проблемы как файловой так и сетевой версии заключаются в отсутствии разграничений между различными группами администраторов серверов 1С. Решением является ограничение прав администраторов (не имеющих административных полномочий в бухгалтерской системе) на базы данных и конфигурационные файлы 1С. Также, используя сетевую структуру, стоит принять общие меры по обеспечению безопасности SQL сервера. К рекомендациям по настройке самой платформы 1С сетевой версии можно отнести:
- Создание администратора центрального сервера и кластера 1С.
- Использование разных учетных записей для разных служб кластера 1С (ragent, rmngr, rphost).
Таким образом приняв ряд комплексных мер, как технических, так и организационных (возможно в тесном сотрудничестве с отделом безопасности и руководством предприятия) ИТ специалист сможет обеспечить безопасность приватных данных бухгалтерских систем 1С. Но не думайте, что это «потолок», по моему мнению это некий минимум. Системы развиваются и совершенствуются. Как и злоумышленники. Для повышения уровня безопасности можно использовать, например, шифрование. Однако это уже тема отдельной статьи.
Для настройке безопасности сервера 1С, можете обращаться в нашу компанию [email protected]