gifts2017

Безопасность информационных систем: Атака клонов

Опубликовал Доржи Цыденов (support) в раздел Управление - Бизнес-процессы

Не каждый владелец фирмы знает, как легко можно скопировать его бизнес, потому и не задумывается о безопасности своей информационной системы. А ведь достаточно в окне выбора информационной базы скопировать путь, открыть его в проводнике, и скопировать файл конфигурации, в котором находятся все автоматизированные бизнес-процессы компании.

Кто владеет информацией – тот правит миром.
Уинстон Черчиль.

Многоликий бизнес.

Применение подхода открытых систем в настоящее время является основной тенденцией в области информационных технологий. Идеологию открытых систем реализуют в своих последних разработках все ведущие фирмы - поставщики средств вычислительной техники, программного обеспечения и прикладных информационных систем.

Стратегию открытых систем с успехом применила фирма «1С»(www.1c.ru), в свое время, выпустив гибкий инструмент для бухгалтерского и управленческого учета - 1C: Предприятие 7.7, приложением к которому являлись типовые решения для учета: «Торговля и Склад», «Бухгалтерия» и «Зарплата и Кадры».

В большинстве случаев, бизнес-процессы предприятий выходили за рамки типовых решений, но эта проблема решалась дополнительной настройкой информационной системы. Решение можно было адаптировать под различные сферы бизнеса, начиная от оптовой и розничной торговли, оказания услуг и заканчивая производственными предприятиями.

Руководители бизнеса могли автоматизировать все рутинные бизнес-процессы своего предприятия, а также воплотить в жизнь новые тенденции управления бизнесом силами своего ИТ-отдела. В процессе работы, создавались уникальные конфигурации для ведения учета и управления собственным бизнесом.

"На рынке систем автоматизации предприятий в сегменте малого и среднего бизнеса 1C занимает лидирующее положение с большим отрывом, а их продажи сравнимы с продажами грандов" - отмечает Тимур Фарукшин, аналитик исследовательской компании IDC ( www.idc.com/russia/) по рынку программного обеспечения.

Фирма "1C" считается абсолютным лидером по количеству внедренных решений. Ее системы на базе платформы "1C:Предприятие 7.7" и " 1C:Предприятие 8.0" являются своеобразными стандартами де-факто на рынке России. По разным оценкам, эта компания занимает от 70% до 80% рынка бухгалтерских и торговых систем.

Со временем развилась целая область разработчиков отраслевых решений на базе платформы «1C: Предприятия 7.7». Разработка конфигурации – это сложный и трудоемкий процесс, в который вкладывают значительные денежные средства. Перед создателями отраслевых решений остро встал вопрос защиты своей интеллектуальной собственности. Плюс системы – ее открытость – стал главным ее минусом.

Эпизод I – Скрытая угроза.

Не каждый владелец бизнеса знает, как легко можно скопировать конфигурацию «1C: Предприятия 7.7», потому и не задумывается о безопасности своей информационной системы. А ведь достаточно в окне выбора информационной базы скопировать путь, открыть его в проводнике, и скопировать файл конфигурации, в котором находятся:

  • автоматизированные бизнес-процессы компании;
  • структура финансового учета;
  • управленческие аспекты учета;
  • аналитические отчеты;
  • модули обработки данных;
  • печатные формы;

На отладку каждого пункта затрачены значительные денежные средства и огромное количество человеко-часов работы сотрудников компании, штатных программистов 1C, даже не учитывая затраты на консультирование по построению бизнес-процессов и повышение квалификации персонала.

Если конфигурация настроена на базе типовых решений, которые поставляет фирма «1C», то, скорее всего, она никак не защищена от копирования и использования на другом предприятии. Конечно, существует стандартный способ защиты - установка пароля на конфигурацию, но эта защита сравнима «с веревкой, которой перевязали папку секретных документов». Благо, если конфигурация специализированная, которую приобрели у партнеров фирмы «1C», под маркой «1C: Совместимо». В основном такие конфигурации защищены от копирования самими разработчиками отраслевого решения, но дополнительная настройка, которая была произведена предприятием, так же остается незащищенной.

Открыв конфигурацию «в другом месте» мы получаем готовое решение для построения «фирмы – клона».

Эпизод II – Атака клонов.

В принципе, «забрать с собой» конфигурацию при увольнении может любой сотрудник, имеющий доступ к 1C. А если он занимает ключевую должность в компании, то, перейдя в другую фирму, он воплотит в жизнь не только лучшие автоматизированные бизнес-процессы, но и принесет готовое решение.

Случай из практики:

В компании «Х», дистрибьютора продуктов питания, была произведена комплексная автоматизация склада и логистики, в результате которой было создано автоматизированная система адресного хранения товара. Во внедрении принимал непосредственное участие начальник склада, который вник во все тонкости построения системы. На отладку и внедрение системы был затрачен не один месяц работы всех сотрудников компании. В последствии, перейдя работать в компанию конкурента, он принес с собой конфигурацию учета, которая силами нового ИТ-отдела, была внедрена в существующую систему в кратчайшие сроки.

В связи с ростом рынка в России, самыми востребованными становятся руководители подразделений, представители топ-менеджмента. Построение карьеры части таких профессионалов основано на постоянном повышением квалификации и периодическом переходе на новое место работы с повышением статуса и благосостояния. В этом им во многом помогают хедхантеры (“охотников за головами”), услугами которых стали пользоваться компании, в которых бизнес развивается не столь успешно, как планировали учредители, соответственно, финансовые показатели таких компаний оставляют желать лучшего. Не плохим подспорьем для таких компаний будет получить готовое решение автоматизации бизнес-процессов более успешных конкурентов.

Декан бизнес-школы при одном из старейших университетов России рассказывает, что во время работы над дипломными проектами группы студентов MBA часто воруют друг у друга информацию. «Мы, конечно, не поощряем воровство, но студенты должны учиться защищать свои данные» (СФ. №35 стр. 4 1 ) - говорит он. В условиях беспощадной рыночной конкуренции и промышленного шпионажа, «клонировать» достижения соперников является одним из менеджерских умений.

Безопасность информационной системы.

В новой версии платформы «1С:Предприятие 8.0/8.1» описанная уязвимость системы устранена, за счет встроенного механизма сборки конфигурации без исходных кодов. В этом случае, происходит компилирование модулей информационной системы и полное исключение алгоритмов бизнес-процессов, то есть увидеть, как это работает можно, но посмотреть, как это сделано - нет.

Для платформы «1С:Предприятие 7.7» созданы ряд решений позволяющих защитить информационную систему от несанкционированного копирования.

Алексей Федоров, разработчик «Комплекса защиты конфигураций»(www.kzk2.ru): «Первоначально, продукт «Комплекс защиты конфигураций 2.0» предназначался для создания тиражных продуктов на базе платформы 1C: Предприятие 7.7. Но простота установки защиты привлекла к нему и владельцев бизнеса, не связанного с программным обеспечением. Они были не на шутку обеспокоены безопасностью своей информационной системы. В любом случае, переход на новую систему 1С: Предприятие 8.0 процесс трудоемкий, а пока можно воспользоваться защитой, в которой реализован такой же механизм сборки конфигурации без исходных кодов».

Какие существуют способы обезопасить себя от «клонирования» информационной системы?

  • Установить пароль на конфигурацию, но о надежности такой защиты упоминалось ранее.
  • Использовать в работе терминальный сервер. Правда, данный способ всего лишь усложняет только сам процесс копирование конфигурации, ограничивая доступ к файлу.
  • Применить дополнительные способы защиты конфигурации от несанкционированного использования - от шифрования исходного кода конфигурации, до компилирования кода, что намного надежнее.

См. также

Подписаться Добавить вознаграждение
Комментарии
1. Mihenius (mihenius) 16.10.07 11:22
Не стоит забывать еще и решения на основе SQL
http://ivn73.tripod.com/new_1s.htm
Так же есть "радикальное" решение на основе тонких клиентов и отдельной подсети (там украсть что-то просто неоткуда, только если распечатать или сфот-ть с монитора, правда узким местом будет админ и прог, но они всегда явл. узким местом)

Еще можно пригласить грамотного админа, настроить групповые политики и логирование + длл от ромикса на запрет открытия внешних ерт (хотя дырки все равно остануться)

2. Доржи Цыденов (support) 16.10.07 11:27
1) Спасибо за ссылку. Очень интересный материал.
3. Сhe Burashka (CheBurator) 16.10.07 12:40
> на запрет открытия внешних ерт
ставим формекс и перехват открытия внешних отчетов.
4. Доржи Цыденов (support) 16.10.07 13:07
5. Евгений Мартыненков (JohnyDeath) 16.10.07 14:07
support, ты это про что? Думаешь так можно перехитрить ФормЭкс?
Чебурашка правильно сказал: "Ставим и радуемся". Тем более, что в данном случае нужна всего лишь одна глобальная предопределённая процедура:
СИНТАКСИС:
Процедура ПриЗагрузкеВнешнегоОтчета(<ИмяФайлаОтчета>)КонецПроцедуры
ЗАМЕЧАНИЕ:
Если в процедуре установить статус возврата в ноль, то внешний отчет не будет загружен.
6. АЛьФ (АЛьФ) 16.10.07 14:21
Мне почему-то кажется, что народ путает собственно информационной системы (конфигурации) и ее наполнение (базы данных).
Это ж два практически не связанных случая. И комплексная защиты в форме должна покрывать их оба. Но средства для защиты от каждого случая будут свои.
И надо помнить, что не существует инструмента или метода, использование которого решит все проблемы с защитой одним махом. Нужно использовать многоуровневую защиту и не пренебрегать административными методами.
7. Mihenius (mihenius) 16.10.07 15:01
Никто ничего не путает ;)
Просто в контексте статьи идет разговор о воровстве мд-ка возможно с данными
Я и расписал какие есть способы предотвратить подобное.
КЗК же защищает конфигурацию от воровства при распространении ее клиентам.

Т.е. сама статья описывает немного не то, что защищает КЗК ;)
8. Mihenius (mihenius) 16.10.07 15:08
1 уровень это хорошо настроенное логирование с оповещением
Если начинают воровать к ним уже идет отдел безопасности
Например простейшее решение. В словаре меняем пути на другой каталог. В текущий каталог кидаем дбф-ки из демобазы. Настраиваем логирование действий с подставными файлами. Правда инсайдер может просмотреть словарь, но админ может много чего сделать чтоб инсайдер этого не смог.
9. АЛьФ (АЛьФ) 16.10.07 16:06
2(7) Вот именно что путаешь. Где в статье речь про данные? Речь там про "информационную систему", и данные тут не упоминаются вообще. Зато постоянно говорится о конфигурации. Или мы разные статьи читаем? :)
КЗК же защищает конфигурацию не только от клиентов. У меня больше половины клиентов - это фирмы, которые вложились в разработку конфигурации и не желают отдавать эти наработки конкурентам. Кстати, это меня самого удивило. Но, мои слова по этому поводу в статье уже процитированы :)
2(8) Еще раз: в данном контексте "информационная система" - это не столько данные, сколько бизнес-процессы, которые в конфигурации реализованы (пусть Доржи поправит меня, если я неверно трактую вкладываемый им смысл статьи). И полностью полагаться на один метод защиты, как я уже говорил, в корне неправильно. Должен быть комплексный подход.
10. Андрей Скляров (coder1cv8) 17.10.07 10:09
Надоели уже со своим КЗК, чесслово... Семерка потихоньку отмирает и с этим ничего не поделаешь... А в восьмерке, в БОЛЬШИНСТВЕ случаев, встроенной защиты хватает...
11. АЛьФ (АЛьФ) 17.10.07 12:50
2(10) Ну, "отмирать" семерка будет еще ооочень долго. Или ты считаешь, что все, кто вложил несколько сотен тысяч баксов в автоматизацию на семерке с радостью кинутся вкладывать новые сотни в переход на восьмерку? Если так, то значит ты очень недолго еще работаешь в этой сфере :)
12. Аркадий Кучер (Abadonna) 17.10.07 13:04
(10) В гробу я видал эту восьмерку, которая умудрилась лечь от их же стандартной ОСВ по счету.
Причем ложилась и 8.0, и 8.1. Пусть дозреет сперва
13. Андрей Скляров (coder1cv8) 17.10.07 19:47
(11,12) Обычный подход семерочников :)
14. АЛьФ (АЛьФ) 17.10.07 21:21
2(13) Ну, у тебя-то не менее обычный подход "восмерочников". Я тебе могу процитировать одно интересное высказывание:
"Полезная вещь думаю. Но как библиотека для 7.7. для нас уже устарела. Альф, если серьезно работаете с ней, продумайте вариант на 8-ку"
Это 2003-й год. Реакция на выход первой версии КЗК. И знаешь, с тех пор ни чего не изменилось. Семерку все так же хоронят, но она продолжает успешно продаваться и внедряться. Под нее все так же пишут новые проекты. И КЗК с тех пор так же пользуется неплохим спросом.
Так что может не стоит все же уверять всех в том, что "семерка потихоньку отмирает", а имеет смысл взглянуть реальности в глаза? :)
Конечно, прогресс не остановить и семерка в тоге уйдет с рынка. Но будет это совсем не так скоро, как хотелось бы некоторым. И только из-за того, что 1С увериться в полной готовности восьмерки и захочет убрать внутреннюю конкуренцию продуктов. Т.е. уберет семерку директивно, а не по воле рынка.
ИМХО, конечно.
15. Poppy (poppy) 17.10.07 21:38
(14)
> И только из-за того, что 1С увериться в полной готовности восьмерки и захочет убрать
> внутреннюю конкуренцию продуктов. Т.е. уберет семерку директивно, а не по воле рынка.

В одинесе уж серьезно считают, что семерка тормозит рост темпов продаж восьмерки. ИМХО полным ходом разрабатываются меры по формированию "правильной" воли рынка... ;-)
16. АЛьФ (АЛьФ) 17.10.07 21:52
2(15) Если уж им это с шестеркой не удалось, то с семеркой не получится тем более.
17. Poppy (poppy) 17.10.07 22:21
(16)
Что с шестеркой не удалось? Мне казалось, что все удалось...
18. АЛьФ (АЛьФ) 17.10.07 22:36
2(17) В курсе сколько шестерку вытесняли с рынка? А то, что до сих пор ее некоторые используют и отчетность для нее делается? Семерку еще сложней будет вытеснить. Практически нереально.
19. it.net (avhrst) 17.10.07 23:15
В статье было правильно сказано "для малого и среднего бизнеса", к сожалению для больших компаний 1С не подходит не по скорости, не по защите.
20. АЛьФ (АЛьФ) 17.10.07 23:28
2(19) Всего лишь вопрос маркетинга. Были бы усилия направлены в этом направлении от самой 1С, сразу стало бы подходить и по скорости, и по защите :)
21. Poppy (poppy) 17.10.07 23:41
(18)
То, что под шестерку делают отчетность - это понятно. Шестерка - культовая программа. Говорим "1С", подразумеваем "1С:Бухгалтерия 6.0".
Это имиджевая версия и отказ от ее поддержки не влучшую сторону сказался бы на репутации фирмы.

Вытесняли ли шестерку с рынка? Непомню каких либо активных действий... Единственное, что было - это выпуск специальной конфигурации, такой же простой как и шестерка.

Версию 7.5 - точно вытесняли. Объявили цену перехода на 7.7 в $40 в течении ограниченного времени. Кто не успел тот опоздал.

Будут ли семерку поддерживать как шестерку или заманят пользователей на 8.0 большой скидкой? Незнаю... Поживем, увидим.

Переход пользователей на очередную версию - процесс небыстрый. Кстати, сегодня видела компанию, которая работает еще на первой редакции ТиС.
22. АЛьФ (АЛьФ) 17.10.07 23:47
2(21) Шестерка - имиджевая и культовая?! Это даже не смешно. А с рынка ее очень даже усиленно вытесняли.
23. Аркадий Кучер (Abadonna) 18.10.07 06:27
(13) Ты стрелы попутал, я не семерочник, а ПРОГРАММИСТ
24. Алексей (a.v.petuhov) 22.10.07 11:08
В новой версии платформы «1С:Предприятие 8.0/8.1» описанная уязвимость системы устранена, за счет встроенного механизма сборки конфигурации без исходных кодов.

Ну-ну, есть такое, вот только уже месяцев 6-7 в свободном доступе есть декомпилятор исходных кодов. Так что спрятать штаными средствами 8.0/8.1 исходные коды все равно не получится.
25. Drock (d.snissarenko) 17.01.08 15:14
Поучительно для не просвященных.
81 серверный вариант - утянуть сможет только чел с полными правами 1с или админ сервера (пасворт на скуль БД не вопрос), а вот простой сотрудник уже вряд-ли.
Для написания сообщения необходимо авторизоваться
Прикрепить файл
Дополнительные параметры ответа