Menu

1С - шифрование и безопасность баз

 Приветствую. В прошлых статьях мы говорили о безопасности баз в 1С. Сегодня мы остановимся на отдельной теме шифрования баз, как одной из мер безопасности.  

Безопасность 1С

Говоря о безопасности чего бы  то ни было вообще нужно четко понимать, чего мы боимся, и от чего нужно защититься. Существует пространство вариантов задач, и, конечно же, пространство вариантов решений для этих задач. Для того, чтобы более широко охватить тему постараемся не давать конкретных решений, а поговорить о принципах и механизмах, которые позволят Вам найти наиболее полезное решение непосредственно для Вашей задачи. 

Перед тем, как говорить о технической стороне вопроса, следует прояснить такой организационный аспект, как законодательная база, предписывающая использование определенного ПО или типов ПО. В некоторых странах, согласно закона Вы должны использовать только ПО, отвечающее определенным стандартам. В других случаях ограничения использования ПО могут быть зафиксированы в политиках безопасности Вашего предприятия или в нормативных документах управляющих компаний.  Таким образом перед началом разработки решения, следует ограничить круг возможностей согласно организационных ограничений. Также необходимо проработать должностные обязанности всех сотрудников, так или иначе контактирующих с защищаемой информацией (не забываем про уборщицу в серверной),  и четко ограничить круг людей с разрешенным доступом.  

Поскольку безопасность - понятие комплексное, давайте рассмотрим концепцию, позволяющую эффективно использовать шифрование, как меру защиты. Основной целью шифрования является предотвращение доступа злоумышленника к информации в случае, если злоумышленник уже получил доступ к  ее носителю. Здесь и далее мы предполагаем такую модель администрирования, когда пользователю, имеющему доступ к основной информации, может быть предоставлен доступ к ее копиям, в то время как, администратору (прав у которого по умолчанию больше чем у пользователя), не имеющему доступа к основной информации, запрещен доступ к ее копиям. На примере это выглядит так: бухгалтер при необходимости может просмотреть содержимое резервных копий баз 1С, в то время как администратору резервного копирования доступ к содержимому баз 1С запрещен. Так вот, основная концепция заключается в том, чтобы ВСЕ копии были защищены. На примере: если вы ограничили доступ к базе и её резервной копии (оградив от информации администратора резервного копирования), то   позаботьтесь о том, чтобы администратор системы виртуализации не получил доступ к защищаемой информации, создав копию виртуального сервера, на котором она хранится. 

Теперь немного теории. Шифрование может применятся на разных уровнях: 

  • На уровне носителя. Например: шифрование жесткого диска, или флеш карты. Защищает информацию в случае получения несанкционированного доступа к диску. 

  • На файловом уровне. Например: зашифрованная папка или файлы. Защищает информацию в случае получения несанкционированного доступа к файлу или папке с файлами. 

  • На уровне информации. Например: зашифрованные базы данных с журналами, поля или таблицы в базе данных. Защищает информацию в случае получения несанкционированного доступа к информации внутри защищаемого файла (например баз данных). 

Особняком стоит шифрование на уровне каналов связи, как "места краткосрочного хранения" информации. Его, в рамках данной статьи мы рассматривать не будем. 

В основном для шифрования данных, в том числе баз 1С, используется системное ПО, встроенные средства операционной системы или сервера баз данных, однако для скрытия определенной информации уже внутри базы существуют специально разработанные обработки и конфигурации. Их применение целесообразно при необходимости разграничения прав доступа к определенным частям таблицы, или же в случае передачи базы для решения проблем сторонней организации. 

Пример реализации защиты: 

Задача: Защитить файловую базу 1С от несанкционированного получения информации, в случае, если злоумышленнику все же удалось скопировать файлы. 

Решение: Использование шифрования на файловом уровне. Например, с помощью программы Cyber Safe Top Secret (простите, не удержусь от конкретики). В такой реализации файлы на сервере хранятся в зашифрованном виде. В таком же виде они попадают в резервную копию. Для прозрачного доступа к файлам на рабочих станциях уполномоченных сотрудников устанавливается ПО для дешифрования данных. Предоставление информации происходит на основании сертификата пользователя. 

Защита именно бухгалтерских данных тесно связана с, мягко скажем, неприятными ситуациями в народе называемыми "маски-шоу". Если, вы действительно хотите что-то спрятать, от нежелательных глаз, не лишним будет организация системы горячего реагирования.  

Пример:  

Задача: Скрыть данные от несанкционированного доступа в очень сжатые сроки (при неожиданной внеплановой проверке). 

Решение: Шифрование диска ключом, хранящимся на USB устройстве.  При возникновении внештатной ситуации - удаленное отключение устройства, которое содержит ключ шифрования.  

Специалисты в области защиты данных от подобных проблем рекомендуют использовать большое количество  ловушек. Для  вышеописанного примера, можно иметь шифрованный раздел с фейковой информацией и скрытый шифрованный раздел с реальной информацией. Оба раздела отключаются в случае тревоги, но фейковый раздел остается виден в системе. Соответственно - желающие найти  возможно будут удовлетворены. И Ваши реальные данные останутся незамеченными. На одном из предприятий, где мне  довелось работать, в качестве ловушки рассматривался вариант сейфа в стене, который визуально скоммутирован с сетью и источниками питания. Внутри для пущей достоверности располагался ИБП. Предполагалось, что времени вскрытия или демонтажа подобной находки будет достаточно, чтобы уполномоченные сотрудники отреагировали на ситуацию и закрыли доступ к реальным данным (которые конечно же расположены в абсолютно другом месте). 

Итак, подводя итог, повторюсь: безопасность - понятие комплексное.  Использование шифрования - это одна из мер на ряду с разграничением доступа, использованием паролей, аппаратных ключей, обеспечением физической и сетевой безопасности. Использование шифрования в большинстве случаев приводит к снижению производительности, поэтому использовать его нужно с умом, исключительно в тех ситуациях, где это имеет оправданный смысл.

Предоставляем услуги по организации безопасности и шифрования для 1С, подробности в Контакты.

 

Оставить комментарий

Убедитесь, что вы вводите (*) необходимую информацию, где нужно
HTML-коды запрещены

Наверх