1С — шифрование и безопасность баз

Говоря о безопасности чего бы  то ни было вообще нужно четко понимать, чего мы боимся, и от чего нужно защититься. Существует пространство вариантов задач, и, конечно же, пространство вариантов решений для этих задач. Для того, чтобы более широко охватить тему постараемся не давать конкретных решений, а поговорить о принципах и механизмах, которые позволят Вам найти наиболее полезное решение непосредственно для Вашей задачи.

Перед тем, как говорить о технической стороне вопроса, следует прояснить такой организационный аспект, как законодательная база, предписывающая использование определенного ПО или типов ПО. В некоторых странах, согласно закона Вы должны использовать только ПО, отвечающее определенным стандартам. В других случаях ограничения использования ПО могут быть зафиксированы в политиках безопасности Вашего предприятия или в нормативных документах управляющих компаний.  Таким образом перед началом разработки решения, следует ограничить круг возможностей согласно организационных ограничений. Также необходимо проработать должностные обязанности всех сотрудников, так или иначе контактирующих с защищаемой информацией (не забываем про уборщицу в серверной),  и четко ограничить круг людей с разрешенным доступом. 

Поскольку безопасность — понятие комплексное, давайте рассмотрим концепцию, позволяющую эффективно использовать шифрование, как меру защиты. Основной целью шифрования является предотвращение доступа злоумышленника к информации в случае, если злоумышленник уже получил доступ к  ее носителю. Здесь и далее мы предполагаем такую модель администрирования, когда пользователю, имеющему доступ к основной информации, может быть предоставлен доступ к ее копиям, в то время как, администратору (прав у которого по умолчанию больше чем у пользователя), не имеющему доступа к основной информации, запрещен доступ к ее копиям. На примере это выглядит так: бухгалтер при необходимости может просмотреть содержимое резервных копий баз 1С, в то время как администратору резервного копирования доступ к содержимому баз 1С запрещен. Так вот, основная концепция заключается в том, чтобы ВСЕ копии были защищены. На примере: если вы ограничили доступ к базе и её резервной копии (оградив от информации администратора резервного копирования), то   позаботьтесь о том, чтобы администратор системы виртуализации не получил доступ к защищаемой информации, создав копию виртуального сервера, на котором она хранится.

Теперь немного теории. Шифрование может применятся на разных уровнях:

Особняком стоит шифрование на уровне каналов связи, как «места краткосрочного хранения» информации. Его, в рамках данной статьи мы рассматривать не будем.

В основном для шифрования данных, в том числе баз 1С, используется системное ПО, встроенные средства операционной системы или сервера баз данных, однако для скрытия определенной информации уже внутри базы существуют специально разработанные обработки и конфигурации. Их применение целесообразно при необходимости разграничения прав доступа к определенным частям таблицы, или же в случае передачи базы для решения проблем сторонней организации.

Пример реализации защиты:

Задача: Защитить файловую базу 1С от несанкционированного получения информации, в случае, если злоумышленнику все же удалось скопировать файлы.

Решение: Использование шифрования на файловом уровне. Например, с помощью программы Cyber Safe Top Secret (простите, не удержусь от конкретики). В такой реализации файлы на сервере хранятся в зашифрованном виде. В таком же виде они попадают в резервную копию. Для прозрачного доступа к файлам на рабочих станциях уполномоченных сотрудников устанавливается ПО для дешифрования данных. Предоставление информации происходит на основании сертификата пользователя.

Защита именно бухгалтерских данных тесно связана с, мягко скажем, неприятными ситуациями в народе называемыми «маски-шоу«. Если, вы действительно хотите что-то спрятать, от нежелательных глаз, не лишним будет организация системы горячего реагирования. 

Пример: 

Задача: Скрыть данные от несанкционированного доступа в очень сжатые сроки (при неожиданной внеплановой проверке).

Решение: Шифрование диска ключом, хранящимся на USB устройстве.  При возникновении внештатной ситуации — удаленное отключение устройства, которое содержит ключ шифрования. 

Специалисты в области защиты данных от подобных проблем рекомендуют использовать большое количество  ловушек. Для  вышеописанного примера, можно иметь шифрованный раздел с фейковой информацией и скрытый шифрованный раздел с реальной информацией. Оба раздела отключаются в случае тревоги, но фейковый раздел остается виден в системе. Соответственно — желающие найти  возможно будут удовлетворены. И Ваши реальные данные останутся незамеченными. На одном из предприятий, где мне  довелось работать, в качестве ловушки рассматривался вариант сейфа в стене, который визуально скоммутирован с сетью и источниками питания. Внутри для пущей достоверности располагался ИБП. Предполагалось, что времени вскрытия или демонтажа подобной находки будет достаточно, чтобы уполномоченные сотрудники отреагировали на ситуацию и закрыли доступ к реальным данным (которые конечно же расположены в абсолютно другом месте).

Итак, подводя итог, повторюсь: безопасность — понятие комплексное.  Использование шифрования — это одна из мер на ряду с разграничением доступа, использованием паролей, аппаратных ключей, обеспечением физической и сетевой безопасности. Использование шифрования в большинстве случаев приводит к снижению производительности, поэтому использовать его нужно с умом, исключительно в тех ситуациях, где это имеет оправданный смысл.

Предоставляем услуги по организации безопасности и шифрования для 1С, подробности в Контакты.