Green-sell.info

Новые технологии
4 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Профиль безопасности 1с

Заметки из Зазеркалья

Реализовано в версии 8.3.3.641.

Мы уделяем значительное внимание вопросам безопасности и стабильности работы 1С:Предприятия в режиме сервиса. Работа в этом режиме порождает задачи, которых не возникало раньше, когда решения 1С:Предприятия эксплуатировались собственно организацией-заказчиком. Если в результате неграмотного или сознательно вредоносного конфигурирования работа приложения приводила к проблемам, то это были проблемы только того субъекта, который эксплуатирует данное прикладное решение.

При работе в режиме сервиса эта ситуация выглядит уже по-другому. Поставщик сервиса, предоставляющий услуги пользования прикладными решениями через Интернет, может иметь дело не только с собственными разработками или с конфигурациями, разработанными фирмой «1С». Кроме этого он может предоставлять услуги пользования прикладными решениями, которые разработаны другими, сторонними поставщиками. И в этом случае владелец сервиса должен быть гарантирован от того, что прикладное решение стороннего поставщика, случайно или намеренно, может нарушить работу всего сервиса, работу других прикладных решений, опубликованных в сервисе.

Для решения этой задачи мы добавили в кластер серверов новую сущность – профили безопасности. Профиль безопасности служит для того, чтобы запретить прикладному решению выполнять действия, которые могут быть потенциально опасны для функционирования кластера серверов.

Администратор кластера может назначить любой информационной базе один из существующих в кластере профилей безопасности. И тогда потенциально опасная функциональность прикладного решения будет ограничена в тех пределах, которые описаны в этом профиле.

Стандартно, после создания, профиль безопасности запрещает выполнение всех потенциально опасных действий:

Это такие действия, как:

  • обращение к файловой системе сервера;
  • запуск COM-объектов;
  • использование внешних компонентов 1С:Предприятия;
  • запуск внешних обработок и отчётов;
  • запуск приложений, установленных на сервере;
  • обращение к ресурсам Интернета.

Таким образом защититься от нежелательных действий незнакомого прикладного решения очень просто: нужно создать пустой профиль безопасности и назначить его информационной базе.

Далее, если есть необходимость, можно расширять этот профиль, описывая в нём действия, которые разрешается выполнять прикладному решению.

Например, можно разрешить прикладному решению обращаться к некоторой области файловой системы сервера. Для этого нужно описать это разрешение в разделе Виртуальные каталоги:

При этом код прикладного решения будет оперировать логическим URL, но физически, на сервере, будет выполняться обращение к каталогу, указанному в свойстве Физический URL. При попытке прикладного решения обратиться по пути, отличному от логического URL, будет вызвано исключение.

Можно разрешить запуск и использование каких-либо COM-объектов, установленных на сервере. Например, приложения Microsoft Excel:

Для этого в разрешении нужно указать идентификатор COM-класса Excel.Application, установленного на сервере. Эту информацию можно получить из системного реестра Windows. Если прикладное решение попытается использовать другой COM-класс, будет вызвано исключение.

Кроме этого можно разрешить использование некоторых внешних компонентов 1С:Предприятия. Например, внешнего компонента Склонение ФИО:

В этом случае в разрешении нужно указать контрольную сумму файла этого внешнего компонента. Узнать её можно с помощью одной из утилит, доступных в Интернете, или написав небольшой фрагмент кода на встроенном языке 1С:Предприятия.

Чтобы разрешить работу с внешним отчётом или обработкой, в разрешении также нужно указать контрольную сумму файла этого отчёта/обработки:

Чтобы разрешить прикладному решению запуск приложения, установленного на сервере, нужно указать шаблон строки запуска этого приложения:

Так приведённый пример позволяет прикладному решению запускать на сервере Microsoft Office Word 2007, при этом в шаблоне строки запуска символ «%» означает произвольную последовательность символов.

И в заключение можно разрешить доступ прикладного решения к некоторым ресурсам Интернета:

Для этого нужно указать протокол, по которому будет осуществляться доступ, и адрес сайта.

Таким образом можно постепенно разрешать прикладному решению работу с необходимыми ресурсами, которые не нарушают требуемый уровень безопасности.

Может быть заранее известно, что, например, все внешние компоненты, с которыми работает прикладное решение, безопасны и не содержат вредоносного кода. В этом случае не нужно для каждого из них создавать отдельное разрешение. В свойствах профиля безопасности можно разрешить запуск любых внешних компонентов:

При этом не будет иметь значения, какие именно разрешения установлены в разделе Внешние компоненты.

Благодаря профилям безопасности теперь можно надёжно изолировать друг от друга информационные базы, работающие в режиме сервиса, а также изолировать друг от друга области одной и той же базы, работающей в режиме разделения данных. Кроме этого использование профилей в целом увеличивает надёжность кластера за счёт запрета потенциально опасных действий.

Ещё одним важным моментом, связанным с появлением профилей безопасности, является возможность расширить использование безопасного режима исполнения программного кода. Теперь для него можно разрешить некоторые действия, которые ранее были запрещены. Например, работу с временными файлами.

Настройки сервера 1С:Предприятие 8 “по умолчанию” для работы с лицензиями уровня ПРОФ

10 сентября 2019 года вступило в силу анонсированное ранее программное разделение пользовательских лицензий 1С:Предприятие 8 по уровням ПРОФ и КОРП. Нельзя сказать что это произошло неожиданно, данная информация появилась в конце февраля и доводилась до сведения пользователей в том числе и средствами платформы, которая выводила предупреждения при запуске информационной базы, но многие оказались не готовы к изменениям. Данная статья призвана помочь в этой ситуации и расскажет, как правильно выставить настройки, чтобы снова все заработало.

Прежде всего давайте разберемся, что такое лицензии уровня КОРП. Это новый тип лицензий на платформу, введенный еще в 2014 году и предусматривающий предоставление пользователю дополнительных возможностей, а именно:

  • фоновое обновление конфигурации базы данных;
  • дополнительное управление распределением по рабочим серверам кластера в разрезе информационных баз, видов клиентских приложений и фоновых заданий:
    • сервисов кластера;
    • соединений с информационными базами;
  • гибкое управление нагрузкой в кластере:
    • безопасный расход памяти за один вызов;
    • количество ИБ на процесс;
    • объем памяти рабочих процессов, до которого сервер считается производительным;
    • максимальный объем памяти рабочих процессов;
    • стратегия балансировки (по памяти, по производительности);
  • внешнее управление сеансами;
  • механизм управления потреблением ресурсов;
  • профили безопасности;
  • возможность обновления тонкого клиента с сервера;
  • возможность публикации списка баз и обновлений тонкого клиента через http;
  • возможность использования “1С:Сервера взаимодействия”.

Но долгое время данное разделение только декларировалось в лицензионном соглашении (которое никто не читает) и по факту все эти возможности были доступны любому пользователю 1С, как говорится, из коробки. Многие из этих возможностей активно использовались пользователями, подразумевающими их как нечто само собой разумеющееся и с сегодняшнего дня это способно вызвать массу проблем. А именно невозможность запустить базу с ошибкой:

Операция не может быть выполнена с текущим составом лицензий.
Свойства кластера ‘Допустимое отклонение количества ошибок сервера’, ‘Режим распределения нагрузки’ или свойства рабочего сервера ‘Максимальный объем памяти рабочих процессов’, ‘Безопасный расход памяти за один вызов’, ‘Объем памяти рабочих процессов, до которого сервер считается производительным’, ‘Количество ИБ на процесс’ содержат значения, отличные от значений по умолчанию. Использование этих функций возможно только для лицензий на платформу уровня КОРП. Обратитесь к администратору для решения вопросов приобретения и установки лицензий уровня КОРП.

Мы, в рамках этой статьи, не будем обсуждать обоснованность такого разделения, хотя, на наш взгляд, лицензии ПРОФ получились очень сильно ограниченными. Но выразим свое недоумение тем, что фирма 1С не предусмотрела легкой возможности перехода. Достаточно одной кнопки или пакетного файла в составе поставки конфигурации, которые бы возвращали настройки сервера 1С в состояние, соответствующее ограничениям лицензии ПРОФ, сколько неприятных моментов и простоев удалось бы избежать, не говоря о негативе в адрес фирмы. На худой конец можно было бы автоматически сбросить настройки на нужное состояние.

Читать еще:  Загрузка системы в безопасном режиме

Но это еще не все. В ряде случаев данный переход способен оказаться бомбой замедленного действия. Это обусловлено двумя особенностями:

  • защита реализована начиная с версий 8.3.12.1852, 8.3.13.1791 и 8.3.14.1592 платформы;
  • до 10 сеансов включительно доступен полный функционал уровня КОРП;

Таким образом вопрос не исчерпывается только датой 10.09.2019, наоборот, все только начинается. Вышел из отпуска сотрудник – программа перестала работать, обновили платформу – все сломалось. В ближайшее время мы станем свидетелями массы таких историй. Поэтому давайте рассмотрим, какие настройки следует вернуть в состояние “по умолчанию” и что под ним подразумевается, чтобы вы быстро могли восстановить работоспособность вашего сервера.

Далее везде представлены настройки для платформы 8.3.13.1926, внешний вид и состав настроек других версий платформы, в частности 8.3.15 может отличаться, но настройки разделения функционала КОРП – ПРОФ это не затрагивает.

Настройки кластера

Скажем честно, данные настройки не блещут обилием возможностей и большинство из них под ограничения не попали.

Ограничениями лицензии ПРОФ являются:

  • Допустимое отклонение количества ошибок сервера, значение по умолчанию 0;
  • Режим распределения нагрузки, значение по умолчанию Приоритет по производительности.

Настройки сервера

А вот здесь все гораздо хуже, практически все возможности настройки сервера у пользователей ПРОФ забрали.

Под ограничения попали:

  • Максимальный объем памяти рабочих процессов, значение по умолчанию ;
  • Безопасный расход памяти за один вызов, значение по умолчанию ;
  • Объем памяти рабочих процессов, до которого сервер считается производительным, значение по умолчанию ;
  • Количество ИБ на процесс, значение по умолчанию 8.

Любые значения, отличные от значений по умолчанию, являются недопустимыми.

Столь жесткое ограничение вызывает самое большое количество нареканий, по сути пользователей ПРОФ лишили какой-либо возможности регулировать потребление ресурсов сервером, что больнее всего скажется на пользователях 32-битной версии сервера, в большинстве случаев им придется переходить на 64-битную версию с существенной доплатой.

Настройки информационной базы

Мы не думаем, что кто-то реально столкнется с этим ограничением, но приведем его на всякий случай.

Во всех информационных базах должны быть установлены следующие значения:

  • Внешнее управление сеансами – пустая строка;
  • Обязательное использование внешнего управления – флаг снят.

Еще раз обращаем ваше внимание, что если данные значения отличаются даже в одной информационной базе, то запуск всех остальных информационных баз также будет невозможен.

Настройки публикации на веб-сервере

Возможность работы базой, опубликованной на веб-сервере, также широко используется пользователями. Но и здесь появились ограничения и при попытке запуска такой базы вы можете столкнуться с ошибкой:

Поэтому, если вы использовали обновления тонкого клиента с сервера или публикацию на веб-сервере списка баз, то от этих возможностей придется отказаться.

В частности, это относится к настройкам Публиковать дистрибутив, которые не следует путать с опцией Публиковать тонкий клиент и веб-клиент, если вы снимите этот флажок, то подключение к базе тонким и веб-клиентом будет невозможно.

Профиль безопасности 1с

Попробовать демо

Дополнительный отчет/обработка подключается информационной базе с другим именем (уникальным идентификатором). Поэтому для формирования обращения к дополнительному отчету/обработке следует в обработчике ПриСозданииНаСервере определить полное имя подключенного отчета/обработки следующим образом:

И далее обращаться к дополнительному отчету/обработке следующим образом:

2.4. Отладка дополнительного отчета/обработки

При отладке дополнительного отчета или обработки открывайте его не через главное меню: ФайлОткрыть, а через интерфейс подсистемы дополнительных отчетов и обработок БСП.

Открывайте и проверяйте обработку не c правами администратора, а с набором прав тех пользователей, которые будут использовать обработку.

3. Как использовать методы, запрещенные в безопасном режиме

3.1. Безопасный режим

Все расширения конфигурации, дополнительные отчеты/обработки выполняются в сервисе в безопасном режиме с использованием профилей безопасности.

В безопасном режиме запрещены следующие операции:

  • Выполнение методов Выполнить() и Вычислить()
  • Привилегированный режим
  • Работа с внешними компонентами
  • Работа с файловой системой, кроме временных файлов
  • Работа с приложениями операционной системы
  • COM-объекты (серверный код может выполняться на Linux, мы не можем гарантировать наличие COM-объектов на сервере)
  • Доступ к Интернету и др.

3.2. Профили безопасности

Некоторые действия, запрещенные в безопасном режиме, могут быть разрешены с помощью профилей безопасности.

Профиль безопасности — это набор явно заданных разрешений на выполнение определенных действий, который можно назначать информационным базам, расширениям конфигурации, дополнительным отчетам и обработкам. Профили безопасности хранятся в кластере серверов «1С:Предприятия».

Профили безопасности автоматически формируются (при необходимости) для расширений конфигурации, дополнительных отчетов и обработок, загружаемых в сервис:

  • для расширений конфигурации — на основании запросов разрешений на выполнение небезопасных действий, указанных при загрузке расширения в сервис, а также результатов автоматической проверки расширения конфигурации;
  • для дополнительных отчетов и обработок конфигурации — на основании запросов разрешений на выполнение небезопасных действий, указанных в функции СведенияОВнешнейОбработке дополнительного отчета или обработки.

Подробнее о профилях безопасности можно прочесть в документации по «1С:Предприятию» по ссылке и в разделах Профили безопасности глав «Настройка и использование подсистем при разработке конфигурации» и «Программный интерфейс» документации Библиотеки стандартных подсистем (БСП), см. здесь и здесь.

3.3. Какие небезопасные методы можно, и какие нельзя использовать

В расширениях конфигурации, дополнительных отчетах и обработках, предназначенных для использования в сервисе 1cfresh.com, можно использовать следующие небезопасные операции:

  • доступ к каталогу временных файлов (на чтение и/или на запись);
  • доступ к интернет-ресурсам;
  • привилегированный режим;
  • доступ к внешним компонентам, входящим в состав конфигурации, для которой разработаны расширение конфигурации, дополнительный отчет или обработка.
  • доступ к файловой системе (кроме доступа к каталогу временных файлов);
  • доступ к COM-объектам (поскольку серверный код может выполняться на Linux, мы не можем гарантировать наличие COM-объектов на сервере);
  • доступ к внешним компонентам, не входящим в состав конфигурации, для которой разработаны расширение конфигурации, дополнительный отчет или обработка;
  • приложения операционной системы;
  • средства криптографии на стороне сервера.

Учтите, что небезопасные операции запрещены только на сервере!

3.4. Запрос разрешений для расширений конфигурации

Если в расширении конфигурации используются операции, не разрешенные в безопасном режиме, то при загрузке версии расширения в сервис необходимо указать необходимые разрешения на выполнение небезопасных операций (подробнее см. в статье по ссылке):

Разрешения на доступ к внешним компонентам, входящим в состав конфигурации, запрашивать не надо, они будут предоставлены автоматически.

3.5. Запрос разрешений для дополнительных отчетов и обработок

При необходимости использования в дополнительном отчете или обработке операций, не разрешенных в безопасном режиме:

Запрашивайте в функции СведенияОВнешнейОбработке дополнительного отчета или обработки нужные разрешения с помощью вызовов функций:

Описания указанных выше функций см. по ссылке. Пример использования вызовов этих функций показан в обработке _ДемоЗагрузкаНоменклатурыИзПрайсЛистаПрофилиБезопасности из Демонстрационной конфигурации «Библиотека стандартных подсистем».

  • В функции СведенияОВнешнейОбработке дополнительного отчета или обработки указывайте режим работы дополнительного отчета или обработки Безопасный.
  • 4. Вопросы производительности

    Расширения конфигурации, дополнительные отчеты и обработки не должны вызывать деградацию производительности сервиса. Поэтому используемые запросы на встроенном языке должны быть оптимально построены и соответствовать стандартам (подробнее см. здесь и здесь). Типичные причины неоптимальной работы запросов и методы оптимизации запросов рассмотрены в статье 1С:ИТС по ссылке.

    Особое внимание следует уделить оптимизации:

    • соединений с виртуальными таблицами, подзапросами (они могут привести к значительному замедлению запроса);
    • отборов с «ИЛИ»;
    • запросов с получением данных через точку от полей составного ссылочного типа (при выполнении такого запроса будет выполняться соединение со всеми таблицами объектов, входящими в составной тип).
    Читать еще:  Как открыть безопасный режим

    Частые формулировки отказа:

    • Запрос построен неоптимально.
    • Необходимо руководствоваться рекомендациями https://its.1c.ru/bmk/fresh/dev_suboptimal

    При написании расширения конфигурации, дополнительного отчета и обработки необходимо избегать кода, выполнение которого может привести к неоправданно повышенному потреблению процессорного времени. В первую очередь это касается «пустых» циклов:

    5. Универсальные обработки и расширения

    Следует избегать универсальных расширений конфигурации, дополнительных обработок, особенно если они могут изменять данные пользователей. Следует создавать расширения и обработки, направленные на решение конкретных задач. Универсальные расширения и обработки опасны по следующим причинам:

    • для их использования может быть необходим высокий уровень квалификации пользователей, а его гарантировать невозможно;
    • пользователь может изменить реквизиты служебных объектов или объектов, которые он не собирался менять;
    • возможно нарушение бизнес-логики прикладного решения.

    Частые формулировки отказа:

    • Мы не можем разрешить использование универсальных обработок, так как их применение предполагает высокий уровень квалификации пользователей, а гарантировать эту квалификацию невозможно.

    6. Использование временных файлов

    При доступе к временным файлам необходимо следовать требованиям стандартов, описанным по ссылке. В частности, неправильно писать:

    • гарантируется уникальность имени временного файла;
    • выполняется автоматическая очистка при рестарте рабочего процесса.

    Также необходимо обеспечить удаление временных файлов после использования.

    Частые формулировки отказа:

    • Для получения имени временного файла необходимо использовать метод ПолучитьИмяВременногоФайла();
    • Необходимо удалять временные файлы после использования.

    7. Прочие вопросы

    При разработке расширений конфигурации, дополнительных отчетов и обработок необходимо учитывать следующие требования.

    1. Длительные операции необходимо выполнять в фоновом режиме (подробнее см. по ссылке).
    2. Если пользовательские данные покидают сервис, то пользователь должен дать на это согласие.

    Не должна нарушаться штатная логика работы прикладных решений (конфигураций). Не следует отключать штатные механизмы и проверки, например с помощью конструкций вида:

    Защита 1С

    Нужна помощь консультанта?

    Рассмотрим потенциальные угрозы безопасности при использовании программы 1с.

    Информационная безопасность, как и защита информации – задача комплексная, направленная на обеспечение безопасности, реализуемая внедрением системы безопасности. Проблема защиты информации является многоплановой и комплексной и охватывает ряд важных задач.

    Проблемы информационной безопасности постоянно усугубляются процессами проникновения во все сферы общества технических средств обработки и передачи данных, особо остро данная проблема стоит в области финансовых учетных систем. Наиболее популярной системой бухгалтерского учета, ведения продаж, CRM процессов в России является система 1С Предприятие.

    Рассмотрим потенциальные угрозы безопасности при использовании программы 1С.

    Использование 1С с базами в файловом формате. Файловые базы 1С являются наиболее уязвимые к физическому воздействию. Связано это с особенностями архитектуры такого типа баз – необходимостью держать открытыми (с полным доступом) все файлы конфигурации и самих файловых баз для всех пользователей операционной системы. В результате, любой пользователь, имеющий право работать в файловой базе 1С, теоретически может скопировать или даже удалить информационную базу 1С двумя кликами мышки.

    Использование 1С с базами в СУБД формате. Данный тип проблем возникает, если в качестве хранилища баз 1С используется СУБД (PosgreSQL, MS SQL), а в качестве промежуточной службы связи 1С и СУБД используется сервер 1С предприятия. Такой пример – во многих компаниях практикуется доработка конфигураций 1С под свои нужды. В процессе доработки, в условиях проектной «суеты», постоянных испытаний нового доработанного функционала – ответственные специалисты зачастую пренебрегают правилами сетевой безопасности.
    В результате, некоторые личности, которые имеют прямой доступ к базе данных СУБД или имеют права администратора на сервере 1С Предприятие, пусть даже на временный тестовый период – могут либо сделать резервную копию на внешние ресурсы, либо вовсе удалить базу данных в СУБД.

    Открытость и доступность серверного оборудования. При наличии несанкционированного доступа к серверному оборудованию сотрудники компании или третьи лица могут использовать этот доступ для кражи или порчи информации. Проще говоря – если злоумышленник получает доступ непосредственно к корпусу и консоли сервера 1с – круг его возможностей расширяется в десятки раз.

    Риски кражи, утечки персональных данных. Под актуальными угрозами безопасности персональных данных здесь понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, например, ответственными сотрудниками, операторами ПК, бухгалтерией и т.д.
    Результатом этого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия ответственных лиц.

    Сетевая безопасность. Информационная система предприятия, построенная с нарушением ГОСТ, требований к безопасности, рекомендаций, либо не имеющая надлежащей ИТ-поддержки – изобилует дырами, вирусным и шпионским программным обеспечением, множеством бэкдоров (несанкционированных доступов во внутреннюю сеть), что напрямую влияет на сохранность корпоративных данных в 1С. Это приводит к легкому доступу злоумышленника к коммерчески значимой информации. К примеру, свободный доступ к резервным копиям, отсутствие пароля на архивы с резервными копиями злоумышленник может использовать в корыстных целях. Не говоря уже об элементарном повреждении базы 1С вирусной активностью.

    Взаимосвязь 1С с внешними объектами. Еще одной потенциальной угрозой является необходимость (а иногда и специальная маркетинговая особенность) учетной базы 1С связываться с «внешним миром». Выгрузки/загрузки клиент-банков, обмен информацией с филиалами, регулярная синхронизация с корпоративными сайтами, порталами, другими программами сдачи отчетности, управления клиентами и продажами и многое другое. Поскольку в данной области 1С не приветствуются соблюдения стандартов безопасности и унифицированности сетевого обмена информации – утечка вполне реальна на любом отрезке пути ее следования.
    В результате потребностей в нестандартных доработках автоматизации процессов или сокращения бюджета на необходимые меры по защите трафика – в учетной системе мгновенно растет количество уязвимостей, дыр, небезопасных соединений, открытых портов, легкодоступных файлов обмена в незашифрованном виде и т.д. Можно смело представить себе, к чему это может привести – начиная от элементарного вывода из строя базы 1С на определенное время, заканчивая подделкой платежного поручения на несколько миллионов.

    Что можно предложить для решения подобных проблем?

    1. При работе с файловыми базами 1С обязательно внедрить ряд мер по обеспечению безопасности баз:

    • Используя разграничения доступа NTFS, дать необходимые права только тем пользователям, которые работают с этой базой, тем самым обезопасив базу от кражи или порчи недобросовестными сотрудниками или злоумышленником;
    • Всегда использовать авторизацию Windows для входа на рабочие станции пользователей и доступ к сетевым ресурсам;
    • Использовать шифрованные диски или шифрованные папки, которые позволят сохранить конфиденциальную информацию даже при выносе базы 1С;
    • Установить политику автоматической блокировки экрана, а также провести обучение пользователей для разъяснения необходимости блокировки профиля;
    • Разграничение прав доступа на уровне 1С позволит пользователям получать доступ только к той информации, на которую они имеют соответствующие права;
    • Необходимо разрешить запуск конфигуратора 1С только тем сотрудникам, которым он необходим.

    2. При работе с СУБД базами 1С требуется обратить внимание на следующие рекомендации:

    • Учетные данные для подключения к СУБД не должны иметь административных прав;
    • Необходимо разграничивать права доступа к базам СУБД, например, создавать для каждой информационной базы свою учетную запись, что позволит минимизировать потерю данных при взломе одной из учетных записей;
    • Рекомендуется ограничить физический и удаленный доступ к серверам баз данных и 1С предприятия;
    • Рекомендуется использовать шифрование для баз данных, это позволит сохранить конфиденциальные данные, даже если злоумышленник получит физический доступ к файлам СУБД;
    • Также одним из важных решений является шифрование либо установка пароля на резервные копии данных;
    • Обязательным является создание администраторов кластера 1С, а также сервера 1С, так как по умолчанию если не созданы пользователи, полный доступ к информационным базам абсолютно все пользователи системы.

    3. Требования к обеспечению физической безопасности серверного оборудования:
    (согласно ГОСТ Р ИСО/МЭК ТО – 13335)

    • Доступ к зонам, где обрабатывается или хранится важная информация, должен управляться и быть ограничен только полномочными лицами;
    • Cредства управления аутентификацией, например, карточка управления доступом плюс персональный идентификационный номер [PIN], должны использоваться, чтобы разрешать и подтверждать любой доступ;
    • Контрольный журнал всего доступа должен содержаться в надежном месте;
    • Персоналу вспомогательных служб третьей стороны должен быть предоставлен ограниченный доступ в зоны безопасности или к средствам обработки важной информации только тогда, когда требуется;
    • этот доступ должен быть разрешен и должен постоянно контролироваться;
    • Права доступа в зоны безопасности должны регулярно анализироваться и обновляться, и отменяться, если необходимо;
    • Должны быть учтены соответствующие нормы и стандарты по технике безопасности и охране труда;
    • Ключевые средства должны быть расположены так, чтобы избежать доступа к ним широкой публики;
    • Там, где это применимо, здания и комнаты должны быть скромными и должны давать минимальное указание на их цель, без ярких надписей, снаружи здания или внутри него, указывающих на наличие видов деятельности по обработке информации;
    • Указатели и внутренние телефонные книги, указывающие на местоположения средств обработки важной информации, не должны быть легко доступны широкой публике.

    4. Конфиденциальность персональных данных. Основной целью при организации защиты персональных данных является нейтрализация актуальных угроз в информационной системе, определенных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», перечнем государственных стандартов и требований международных сертификаций по ИТ-безопасности (ГОСТ Р ИСО/МЭК 13335 2-5, ISO 27001). Достигается это путем ограничения доступа к информации по ее типам, разграничение доступа к информации по ролям пользователей, структурирование процесса обработки и хранения информации.
    Вот ряд ключевых положений:

    • Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей;
    • Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным;
    • Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
    • Обработке подлежат только персональные данные, которые отвечают целям их обработки;
    • Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
    • Фотографическое, видео, аудио или другое записывающее оборудование, такое как камеры на мобильных устройствах, не должны допускаться, если только не разрешено;
    • Накопители со сменным носителем должны быть разрешены только в том случае, если для этого есть производственная необходимость;
    • Чтобы исключить злонамеренные действия в отношении конфиденциальной информации, требуется бумажные и электронные носители информации, когда они не используются, хранить в надлежащих запирающихся шкафах и/или в других защищенных предметах мебели, особенно в нерабочее время;
    • Носители с важной или критичной служебной информацией, когда они не требуются, следует убирать и запирать (например, в несгораемом сейфе или шкафу), особенно когда помещение пустует.

    5. Сетевая безопасность — это набор требований, предъявляемых к инфраструктуре компьютерной сети предприятии и политикам работы в ней, при выполнении которых обеспечивается защита сетевых ресурсов от несанкционированного доступа. В рамках рекомендуемых действий по организации и обеспечению сетевой безопасности, помимо базовых, можно рассмотреть следующие особенности:

    • В первую очередь, в компании должен быть внедрен единый регламент информационной безопасности с соответствующими инструкциями;
    • Пользователям должен быть максимально закрыт доступ к нежелательным сайтам, в том числе файлообменникам;
    • Из внешней сети должны быть открыты только те порты, которые необходимы для корректной работы пользователей;
    • Должна присутствовать система комплексного мониторинга действий пользователей и оперативного оповещения нарушения нормального состояния всех общедоступных ресурсов, работа которых важна для Компании;
    • Наличие централизованной антивирусной системы и политик очистки и удаления вредоносных программ;
    • Наличие централизованной системы управления и обновления антивирусным ПО, а также политик регулярных обновлений ОС;
    • Возможность запуска съемных флэш носителей должна быть максимально ограничена;
    • Пароль должен быть не менее 8 символов, содержать цифры, а также буквы верхнего и нижнего регистров;
    • Должна быть защита и шифрование ключевых папок обмена информацией, в частности файлов обмена 1с и системы клиент-банк;
    • Силовые линии и линии дальней связи, входящие в средства обработки информации, должны быть подземными там, где это возможно, или должны подлежать адекватной альтернативной защите;
    • Сетевые кабели должны быть защищены от неразрешенного перехвата или повреждения, например, путем использования кабельного канала или избегания маршрутов, пролегающих через общедоступные зоны.

    Подведя итог всего вышеизложенного хотелось бы отметить, что основными правилом при защите информации является ограничение прав и возможностей пользователей, а также контроль над ними при использовании информационных систем. Чем меньше пользователь имеет прав при работе с информационной системой, тем меньше шанс утечки или порчи информации по злому умыслу или по неосторожности.

    Академия Документооборота (Лушников и партнеры) рекомендует полезные обработки и готовые решения с сайта INFOSTART.RU для конфигурации 1С:Документооборот.

    Дело в том что при использовании клиент-серверного варианта работы 1С внешние обработки/отчеты открываются в безопасном режиме, в котором запрещено использование привилегированного режима. А привилегированный режим используется очень часто в типовых конфигурациях: формирование печатных форм, различные служебные проверки (регистрация обменов) и т.д. В результате, даже используя обычный отчет на СКД без формы (по умолчанию используется общая форма «ФормаОтчета») и сохраняя пользовательские настройки отчета (в соответствующий справочник), вы получите ошибку о недостаточности прав доступа на различные константы и параметры сеанса, используемые в служебных целях после строки УстановитьПривилегированныйРежим (Истина) ;

    «Правильным» решением будет подключение внешних обработок и отчетов через механизмы БСП «Дополнительные отчеты и обработки» с отключением безопасного режима либо добавлением разрешений (по-моему, с версии БСП 2.2.2.1). Но если по каким-то причинам необходимо использование именно внешних файлов отчетов/обработок, то можно настроить профиль безопасности кластера, используемого в качестве профиля безопасности безопасного режима для конкретной информационной базы.

    Хотел бы сразу заметить, что такой вариант не является предпочтительным, но в силу разных обстоятельств можно его использовать в таком упрощенном виде. Например, у меня несколько баз в разных городах, общая локальная сесть с жёстко ограниченными правами, закрытыми USB и т.п., где-то используется Бухгалтерия 2.0, а где-то 3.0, почти все отчеты делаю средствами СКД без форм, что бы они открывались в обоих версиях. Обслуживать все эти отчеты для разных версий и разных баз дело трудоёмкое и бесперспективное, т.к. в планах есть переход на единую конфигурацию и базу.

    Создаем профиль.
    В консоли кластера создаём профиль безопасности, в котором устанавливаем флаги «Может использоваться как профиль безопасности безопасного режима» и » в разделе «Разрешен полный доступ:» «к привилегированному режиму».

    Далее заходим в свойства базы и в поле «Профиль безопасности безопасного режима» указывает имя созданного профиля.

    Во многих случаях использования отчетов и простых обработок данный метод будет применим. Для более сложных ситуаций описывать процесс нет смысла, т.к. он изложен в документации (возможность в настраивать профили безопасности для конкретных внешних файлов через указание его хеш-суммы и т.п.).

    Ссылка на основную публикацию
    Adblock
    detector