главная

ВОПРОСЫ БЕЗОПАСНОСТИ СИСТЕМЫ 1С: ПРЕДПРИЯТИЕ

1С: Предприятие является самой распространённой учётной системой в России системой, но, несмотря на это, до версии 8.0 её разработчики уделяли крайне мало внимания вопросам безопасности. В основном, конечно, это диктовалось ценовой нишей продукта и ориентацией на малые предприятия, где отсутствуют квалифицированные ИТ-специалисты, и возможная стоимость развёртывания и поддержки защищённой системы была бы непозволительно дорога для предприятия. С выпуском версии 8.0 акценты должны были поменяться: стоимость решений значительно возросла, система стала значительно более масштабируемой и гибкой, требования значительно изменились. Стала ли система достаточно надёжной и защищённой – это вопрос очень индивидуальный. Основная информационная система современного предприятия должна удовлетворять как минимум, следующим требованиям безопасности:

достаточно низкая вероятность сбоя системы по внутренним причинам;

надёжная авторизация пользователей и защита данных от некорректных действий;

эффективная система назначения прав пользователей;

оперативная система резервного копирования и восстановления в случае сбоя.

Удовлетворяют ли решения на базе 1С: Предприятие 8.0 таким требованиям? Однозначного ответа не существует. Несмотря на значительные изменения в системе управления доступом, осталось достаточно много нерешённых вопросов. В зависимости от того, как разработана и настроена система, все эти требования могут не выполняться или выполняться в достаточной для данного внедрения мере, однако стоит обратить внимание (и это существенное следствие "юности" платформы), что для полного выполнения перечисленных условий приходится прикладывать поистине титанические усилия.

Классификация и терминология

Ключевым предметом рассмотрения являются информационные угрозы.

Информационная угроза – возможность ситуации, когда данные несанкционированно будут прочитаны, скопированы, изменены или заблокированы.

И, исходя из данного определения, информационные угрозы классифицируются следующим образом:

несанкционированное уничтожение данных;

несанкционированное изменение данных;

несанкционированное копирование данных;

несанкционированное чтение данных;

недоступность данных.

Все угрозы делятся на умышленные и неумышленные. Реализованную информационную угрозу будем называть инцидентом. Особенностями системы являются:

уязвимости – особенности, приводящие к инцидентам;

меры защиты – особенности, блокирующие возможность инцидента.

Рассматриваются только те случаи, вероятность которых обусловлена применением именно технологической платформы 1С: Предприятие 8.0 в клиент-серверном варианте (далее, в тех случаях, когда это не противоречит смыслу просто 1С или 1С: 8.0). Определим следующие основные роли по отношению к использованию системы:

операторы – пользователи, имеющие ограниченные прикладной ролью права на просмотр и изменение данных, но не обладающие административными функциями;

администраторы системы – пользователи, обладающие административными правами в системе, в том числе административными правами в операционных системах сервера приложений и сервера MS SQL, административными правами на MS SQL и т.п.

администраторы ИБ – пользователи, которым делегированы отдельные административные функции в информационной базе 1С (такие как добавление пользователей, тестирование и исправление, резервное копирование, настройка прикладного решения и т.п.);

разработчики системы – пользователи, разрабатывающие прикладное решение. В общем случае доступа к рабочей системе могут не иметь;

лица, не имеющие непосредственного доступа к системе – пользователи, которым не делегированы права на доступ к 1С, но которые в той или иной мере могут влиять на работу системы (обычно это все пользователи того же домена Active Directory, в котором установлена система). Данная категория рассматривается в первую очередь для выявления потенциально опасных субъектов в системе;

автоматизированные административные сценарии – программы, которым делегированы некоторые функции, предназначенные для автоматического выполнения некоторых действий (например, импорта-экспорта данных).

Необходимо отметить два момента: во-первых, данная классификация очень грубая и не учитывает деления внутри каждой группы, такое деление будет создано для некоторых конкретных случаев, а во-вторых, предполагается, что остальные лица не могут оказывать влияние на работу системы, что должно быть обеспечено средствами внешними по отношению к 1С.

Любая система безопасности должна создаваться с учетом целесообразности и стоимости владения. В целом при разработке и внедрении информационной системы необходимо, чтобы цена защиты системы соответствовала:

ценности защищаемой информации;

затратам на создание инцидента (в случае умышленной угрозы);

финансовым рискам в случае инцидента.

Бессмысленно и вредно организовывать защиту значительно более дорогую, чем оценка её финансовой эффективности. Есть несколько методик оценки рисков потери информации, но в рамках данной статьи они не рассматриваются. Другим немаловажным аспектом является соблюдение баланса зачастую противоречащих друг другу требований к информационной безопасности, производительности системы, удобству и простоте работы с системой, скорости разработки и внедрения и прочих требований к информационным системам предприятий.

Основные особенности механизма информационной безопасности системы

1С: Предприятие 8.0 поставляется в двух вариантах: файловый и клиент-серверный. Файловый вариант нельзя считать обеспечивающим информационную безопасность системы по следующим причинам:

данные и конфигурация хранятся в файле, доступном на чтение и запись всеми пользователям системы;

как ниже будет показано, авторизация системы очень легко обходится;

целостность системы обеспечивается только ядром клиентской части.

В клиент-серверном варианте для хранения информации используется MS SQL Server, что обеспечивает:

более надёжное хранение данных;

изоляцию файлов от прямого доступа;

более совершенные механизмы транзакций и блокировок.

Несмотря на значительные отличия файлового и клиент-серверного варианта системы, они обладают единой схемой контроля доступа на уровне прикладного решения, которые предоставляют следующие возможности:

авторизация пользователя по паролю заданному в 1С;

авторизация пользователя по текущему пользователю Windows;

назначение ролей пользователям системы;

ограничение выполнения административных функций по ролям;

назначение доступных интерфейсов по ролям;

ограничение доступа к объектам метаданных по ролям;

ограничение доступа к реквизитам объектов по ролям;

ограничение доступа к объектам данных по ролям и параметрам сеанса;

ограничение интерактивного доступа к данным и исполняемым модулям;

некоторые ограничения выполнения кода.

В целом, используемая схема доступа к данным достаточно типична для информационных систем такого уровня. Однако применительно к данной реализации трёхзвенной клиент-серверной архитектуры есть несколько принципиальных аспектов, которые приводят к относительно большому количеству уязвимостей:

большое количество этапов обработки данных, причем на каждом этапе могут действовать отличающиеся правила доступа к объектам.

Общим правилом для 1С является уменьшение ограничений по мере перехода вниз по данной схеме, поэтому, использование уязвимости на одном из верхних уровней может нарушить работу системы на всех уровнях;

недостаточно отлаженные процедуры контроля передаваемых данных при переходе с уровня на уровень.

К сожалению, далеко не все внутренние механизмы системы идеально отлажены, особенно это касается неинтерактивных механизмов, отладка которых всегда с одной стороны более трудоёмка, но с другой более ответственна. Эта "болезнь" не является проблемой исключительно фирмы 1С, она встречается во многих серверных продуктах большинства вендоров. Лишь в последние годы внимание к этим проблемам значительно возросло;

недостаточно высокая средняя квалификация разработчиков и администраторов систем, доставшаяся в наследство от предыдущей версии.

Продукты линейки 1С: Предприятие изначально были ориентированы на простоту разработки и поддержки и на работу в небольших организациях, поэтому неудивительно, что исторически сложилось так, что значительная часть "разработчиков" прикладных решений и "администраторов" систем не обладают достаточными познаниями и навыками для работы со значительно более сложным продуктом, которым является версия 8.0. Проблему усугубляет и принятая в компаниях-франчайзи практика обучать "в бою" за счет клиентов, не подходя системно к данному вопросу. Необходимо отдать должное фирме 1С в том, что за последние несколько лет эта ситуация постепенно исправляется: серьёзные компании-франчайзи стали более ответственно подходить к проблеме подбора и обучения персонала, уровень информационно-технологической поддержки со стороны фирмы 1С значительно возрос, появились программы сертификаций, ориентированные на высокий уровень сервиса; но моментально ситуацию исправить нельзя, поэтому данный фактор следует учитывать при анализе безопасности системы;

сравнительно небольшой возраст платформы.

Среди продуктов сходной направленности и целей использования это одно из самых молодых решений. Функциональность платформы более-менее устоялась менее года назад. При этом каждый релиз платформы, начиная в 8.0.10 (именно в этом релизе были реализованы почти все нынешние возможности системы) становился значительно стабильнее предыдущих. Функциональность типовых прикладных решений до сих пор растёт не по дням, а по часам, хотя из возможностей платформы используется от силы половина. Конечно, в таких условиях говорить о стабильности, можно достаточно условно, но в целом необходимо признать, что уже во многих отношениях решения на платформе 1С: 8.0 значительно обгоняют по функциональности и производительности (а нередко и по стабильности) аналогичные решения на платформе 1С: 7.7.

Рекомендации по начальной настройке системы

Итак, система (и, возможно, типовое прикладное решение) развёртывается на предприятии и устанавливается на компьютеры. В первую очередь необходимо создать такую среду, в которой будет иметь смысл настройка безопасности 1С, а для этого её необходимо настроить таким образом, чтобы предположение, что на безопасность системы существенно влияют настройки системы, выполнялось.

Ни о какой информационной безопасности системы не может быть и речи, если не соблюдаются основные принципы создания безопасных систем. Обязательно убедитесь, что хотя бы следующие условия обеспечены:

Доступ к серверам физически ограничен и обеспечена их бесперебойная работа:

серверное оборудование отвечает требованиям надёжности, замена неисправного серверного оборудования отлажена, для особо критичных участков используются схемы с дублированием аппаратного обеспечения (RAID, питание от нескольких источников, несколько каналов связи и т.п.);

серверы находятся в запираемом помещении, причем это помещение открывается только на время работ, которые не могут быть выполнены удалённо;

право открывать помещение серверов есть только у одного-двух человек, на случай экстренной необходимости разработана система оповещения ответственных лиц;

обеспечено бесперебойное электропитание серверов;

обеспечен нормальный климатический режим работы оборудования;

в помещении серверов есть пожарная сигнализация, нет вероятности затопления (особенно касается первых и последних этажей).

Настройки сети и информационной инфраструктуры предприятия выполнены корректно:

на всех серверах установлены и настроены брандмауэры;

все пользователи и компьютеры авторизованы в сети, пароли достаточно сложны, чтобы их нельзя было подобрать;

у операторов системы достаточно прав для нормальной работы с ней, но нет прав на административные действия;

на всех компьютерах сети установлены и включены антивирусные средства;

желательно, чтобы пользователи (кроме администраторов сети) не обладали административными правами на клиентских рабочих местах;

доступ в Интернет и к съёмным носителям информации должен быть регламентирован и ограничен;

системный аудит событий безопасности должен быть настроен;

Решены основные организационные вопросы:

пользователи обладают достаточной квалификацией для работы с 1С и аппаратными средствами;

пользователи извещены об ответственности за нарушение правил эксплуатации;

назначены материально ответственные на каждый материальный элемент информационной системы;

все системные блоки опломбированы и закрыты;

особое внимание уделите инструктажу и контролю над уборщиками помещений, строителями и электриками. Эти лица могут по неосторожности нанести ущерб, который не сопоставимо больше умышленного вреда, причинённого недобросовестным пользователем системы.

Предполагается, что при установке системы выполнены следующие условия:

MS SQL Server, сервер приложений и клиентская часть работают на разных компьютерах, серверные приложения работают под правами специально созданных пользователей Windows.

Для MS SQL Server:

- установлен режим смешанной авторизации;

- пользователи MS SQL, входящие в роль serveradmin, не участвуют в работе 1С;

- для каждой ИБ 1С создан отдельный пользователь MS SQL, не имеющий привилегированного доступа к серверу;

- пользователь MS SQL одной ИБ не имеет доступа к другим ИБ.

Пользователи не имеют непосредственного доступа к файлам сервера приложений и сервера MS SQL.

Рабочие места операторов оснащены ОС Windows 2000/XP (не Windows 95/98/Me).

Не пренебрегайте рекомендациями разработчиков системы и чтением документации. На дисках ИТС в разделе "Методические рекомендации" публикуются важные материалы по настройке системы. Особое внимание обратите на следующие статьи:

особенности работы приложений с сервером 1С: 8.0;

размещение данных 1С: 8.0;

обновление 1С: 8.0 пользователями Microsoft Windows без прав администратора;

редактирование списка пользователей от лица пользователя, не имеющего административных прав;

настройка параметров брандмауэра Windows XP SP2 для работы SQL Server 2000 и SQL Server Desktop Engine (MSDE);

настройка параметров COM+ Windows XP SP2 для работы сервера 1С: 8.0;

настройка параметров брандмауэра Windows XP SP2 для работы сервера 1С: 8.0;

настройка параметров брандмауэра Windows XP SP2 для работы HASP License Manager;

создание резервной копии информационной базы средствами SQL Server 2000;

вопросы установки и настройки 1С: 8.0 в варианте "клиент-сервер" (одна из важнейших статей);

особенности настройки Windows Server 2003 при установке сервера 1С: 8.0;

регулирование доступа пользователей к информационной базе в клиент-серверном варианте (одна из важнейших статей);

сервер 1С: 8.0 и SQL-сервер;

детализированная процедура установки 1С: 8.0 в варианте "клиент-сервер" (одна из важнейших статей);

использование встроенного языка на сервере 1С: 8.0.

Прочие рекомендации

Используйте для пользователей возможности авторизации совмещённой с авторизацией Windows.

Из двух возможных режимов авторизации пользователей: встроенная 1С и совмещённая с авторизацией ОС Windows по возможности следует выбрать совмещённую авторизацию. Это позволит пользователям не путаться с несколькими паролями при работе, но при этом не понизит уровень безопасности системы. Однако, даже для пользователей, использующих только авторизацию Windows, крайне желательно при создании задать пароль, и только после этого отключить авторизацию 1С для данного пользователя. Для обеспечения восстановления системы в случае разрушения структуры Active Directory необходимо оставить хотя бы одного пользователя, который может войти в систему, используя авторизацию 1С.

Каждая роль прикладного решения должна отражать минимально необходимый набор прав для выполнения действий, определённых данной ролью. При этом некоторые роли могут не использоваться самостоятельно. Например, для интерактивного запуска внешних обработок можно создать отдельную роль и добавить её всем пользователям, которые должны использовать внешние обработки.

По возможности регламентируйте и автоматизируйте просмотр журналов регистрации и протоколов работы системы. При правильной настройке и регулярном просмотре журналов (с фильтрацией только по важным событиям) можно своевременно обнаружить несанкционированные действия или даже предотвратить их на этапе подготовки.

 

Copyright ООО "Промышленная линия" – автоматизация управления производством и торговлей, © 2006-2012