Безопасность информационных систем: Атака клонов

20.12.07

Архитектура

Не каждый владелец фирмы знает, как легко можно скопировать его бизнес, потому и не задумывается о безопасности своей информационной системы. А ведь достаточно в окне выбора информационной базы скопировать путь, открыть его в проводнике, и скопировать файл конфигурации, в котором находятся все автоматизированные бизнес-процессы компании.

Кто владеет информацией – тот правит миром.
Уинстон Черчиль.

Многоликий бизнес.

Применение подхода открытых систем в настоящее время является основной тенденцией в области информационных технологий. Идеологию открытых систем реализуют в своих последних разработках все ведущие фирмы - поставщики средств вычислительной техники, программного обеспечения и прикладных информационных систем.

Стратегию открытых систем с успехом применила фирма «1С»(www.1c.ru), в свое время, выпустив гибкий инструмент для бухгалтерского и управленческого учета - 1C: Предприятие 7.7, приложением к которому являлись типовые решения для учета: «Торговля и Склад», «Бухгалтерия» и «Зарплата и Кадры».

В большинстве случаев, бизнес-процессы предприятий выходили за рамки типовых решений, но эта проблема решалась дополнительной настройкой информационной системы. Решение можно было адаптировать под различные сферы бизнеса, начиная от оптовой и розничной торговли, оказания услуг и заканчивая производственными предприятиями.

Руководители бизнеса могли автоматизировать все рутинные бизнес-процессы своего предприятия, а также воплотить в жизнь новые тенденции управления бизнесом силами своего ИТ-отдела. В процессе работы, создавались уникальные конфигурации для ведения учета и управления собственным бизнесом.

"На рынке систем автоматизации предприятий в сегменте малого и среднего бизнеса 1C занимает лидирующее положение с большим отрывом, а их продажи сравнимы с продажами грандов" - отмечает Тимур Фарукшин, аналитик исследовательской компании IDC ( www.idc.com/russia/) по рынку программного обеспечения.

Фирма "1C" считается абсолютным лидером по количеству внедренных решений. Ее системы на базе платформы "1C:Предприятие 7.7" и " 1C:Предприятие 8.0" являются своеобразными стандартами де-факто на рынке России. По разным оценкам, эта компания занимает от 70% до 80% рынка бухгалтерских и торговых систем.

Со временем развилась целая область разработчиков отраслевых решений на базе платформы «1C: Предприятия 7.7». Разработка конфигурации – это сложный и трудоемкий процесс, в который вкладывают значительные денежные средства. Перед создателями отраслевых решений остро встал вопрос защиты своей интеллектуальной собственности. Плюс системы – ее открытость – стал главным ее минусом.

Эпизод I – Скрытая угроза.

Не каждый владелец бизнеса знает, как легко можно скопировать конфигурацию «1C: Предприятия 7.7», потому и не задумывается о безопасности своей информационной системы. А ведь достаточно в окне выбора информационной базы скопировать путь, открыть его в проводнике, и скопировать файл конфигурации, в котором находятся:

  • автоматизированные бизнес-процессы компании;
  • структура финансового учета;
  • управленческие аспекты учета;
  • аналитические отчеты;
  • модули обработки данных;
  • печатные формы;

На отладку каждого пункта затрачены значительные денежные средства и огромное количество человеко-часов работы сотрудников компании, штатных программистов 1C, даже не учитывая затраты на консультирование по построению бизнес-процессов и повышение квалификации персонала.

Если конфигурация настроена на базе типовых решений, которые поставляет фирма «1C», то, скорее всего, она никак не защищена от копирования и использования на другом предприятии. Конечно, существует стандартный способ защиты - установка пароля на конфигурацию, но эта защита сравнима «с веревкой, которой перевязали папку секретных документов». Благо, если конфигурация специализированная, которую приобрели у партнеров фирмы «1C», под маркой «1C: Совместимо». В основном такие конфигурации защищены от копирования самими разработчиками отраслевого решения, но дополнительная настройка, которая была произведена предприятием, так же остается незащищенной.

Открыв конфигурацию «в другом месте» мы получаем готовое решение для построения «фирмы – клона».

Эпизод II – Атака клонов.

В принципе, «забрать с собой» конфигурацию при увольнении может любой сотрудник, имеющий доступ к 1C. А если он занимает ключевую должность в компании, то, перейдя в другую фирму, он воплотит в жизнь не только лучшие автоматизированные бизнес-процессы, но и принесет готовое решение.

Случай из практики:

В компании «Х», дистрибьютора продуктов питания, была произведена комплексная автоматизация склада и логистики, в результате которой было создано автоматизированная система адресного хранения товара. Во внедрении принимал непосредственное участие начальник склада, который вник во все тонкости построения системы. На отладку и внедрение системы был затрачен не один месяц работы всех сотрудников компании. В последствии, перейдя работать в компанию конкурента, он принес с собой конфигурацию учета, которая силами нового ИТ-отдела, была внедрена в существующую систему в кратчайшие сроки.

В связи с ростом рынка в России, самыми востребованными становятся руководители подразделений, представители топ-менеджмента. Построение карьеры части таких профессионалов основано на постоянном повышением квалификации и периодическом переходе на новое место работы с повышением статуса и благосостояния. В этом им во многом помогают хедхантеры (“охотников за головами”), услугами которых стали пользоваться компании, в которых бизнес развивается не столь успешно, как планировали учредители, соответственно, финансовые показатели таких компаний оставляют желать лучшего. Не плохим подспорьем для таких компаний будет получить готовое решение автоматизации бизнес-процессов более успешных конкурентов.

Декан бизнес-школы при одном из старейших университетов России рассказывает, что во время работы над дипломными проектами группы студентов MBA часто воруют друг у друга информацию. «Мы, конечно, не поощряем воровство, но студенты должны учиться защищать свои данные» (СФ. №35 стр. 4 1 ) - говорит он. В условиях беспощадной рыночной конкуренции и промышленного шпионажа, «клонировать» достижения соперников является одним из менеджерских умений.

Безопасность информационной системы.

В новой версии платформы «1С:Предприятие 8.0/8.1» описанная уязвимость системы устранена, за счет встроенного механизма сборки конфигурации без исходных кодов. В этом случае, происходит компилирование модулей информационной системы и полное исключение алгоритмов бизнес-процессов, то есть увидеть, как это работает можно, но посмотреть, как это сделано - нет.

Для платформы «1С:Предприятие 7.7» созданы ряд решений позволяющих защитить информационную систему от несанкционированного копирования.

Алексей Федоров, разработчик «Комплекса защиты конфигураций»(www.kzk2.ru): «Первоначально, продукт «Комплекс защиты конфигураций 2.0» предназначался для создания тиражных продуктов на базе платформы 1C: Предприятие 7.7. Но простота установки защиты привлекла к нему и владельцев бизнеса, не связанного с программным обеспечением. Они были не на шутку обеспокоены безопасностью своей информационной системы. В любом случае, переход на новую систему 1С: Предприятие 8.0 процесс трудоемкий, а пока можно воспользоваться защитой, в которой реализован такой же механизм сборки конфигурации без исходных кодов».

Какие существуют способы обезопасить себя от «клонирования» информационной системы?

  • Установить пароль на конфигурацию, но о надежности такой защиты упоминалось ранее.
  • Использовать в работе терминальный сервер. Правда, данный способ всего лишь усложняет только сам процесс копирование конфигурации, ограничивая доступ к файлу.
  • Применить дополнительные способы защиты конфигурации от несанкционированного использования - от шифрования исходного кода конфигурации, до компилирования кода, что намного надежнее.

См. также

Архитектура решений Программист Платформа 1С v8.3 Бесплатно (free)

В статье расскажу про относительно уникальное явление на рынке. EmplDos - полноценный сервис, который в качестве Backend использует платформу 1С. Речь пойдёт не только о технической и архитектурной стороне вопроса, а ещё и о всех трудностях и граблях, которые пришлось и до сих пор приходится преодолевать на пути к успеху.

14.10.2024    4067    0    comol    28    

28

Кейсы автоматизации Платформа 1С v8.3 1С:Документооборот Бесплатно (free)

Компания «Уралхим» использует 1С:Документооборот не только для хранения и согласования документов, но и для централизованного управления НСИ между 47 системами (не только на 1С); для бэкенда к мобильным приложениям охранников; и в качестве сервиса заказа справок для сотрудников. О деталях реализации нестандартных решений, разработанных в компании «Уралхим» на базе 1С:Документооборот, пойдет речь в статье.

02.08.2024    3511    0    Novattor    1    

16

Кейсы автоматизации Платформа 1С v8.3 Энергетика и ЖКХ Россия Бесплатно (free)

Делимся опытом автоматизации учета башни раздачи воды.

27.12.2023    2212    0    slavik27    7    

15

Отчеты и дашборды Бизнес-аналитик Бухгалтер Пользователь Платформа 1С v8.3 Бухгалтерский учет 1С:Бухгалтерия 3.0 Бухгалтерский учет Бесплатно (free)

Если вы привыкли выгружать бухгалтерские операции в Excel и дополнять их там управленческой информацией, вы сможете значительно сэкономить время, получая нужные управленческие отчеты в бухгалтерской программе сразу, без лишних движений. Представляем решение для самостоятельного внедрения управленческого учета в 1С:Бухгалтерии.

11.12.2023    2937    0    Serg_Tangatarov    2    

16

Архитектура решений Программист Бесплатно (free)

Рассмотрим применение архитектурной проверки задач в процессе разработки.

30.10.2023    5658    0    ivanov660    10    

35

Кейсы автоматизации Работа с требованиями Анализ бизнес-процессов Бесплатно (free)

Автоматизировать производственные процессы в 1С:ERP без доработки типовых механизмов очень сложно. А дорабатывать типовые механизмы 1С:ERP не всегда оправданно. Решением может стать технология разработки Рабочих мест, которая позволяет автоматизировать самые сложные участки последовательно – шаг за шагом, процесс за процессом. Расскажем о том, как помочь пользователям вводить большое количество данных, не нарушая порядок ввода и полноту заполнения всех необходимых реквизитов, и как вовлечь сотрудников Заказчика в разработку и тестирование функционала Рабочих мест.

26.10.2023    2982    0    user1754524    15    

17

Кейсы автоматизации Платформа 1С v8.3 1С:ERP Управление предприятием 2 Бесплатно (free)

Когда проект внедрения ERP в крупном холдинге захлебывается в проблемах производительности и в отчаянии пользователей, нужен комплексный подход. Расскажем о битве за производительность и об организационных мероприятиях по наведению порядка в системе и коллективе.

29.08.2023    3542    0    ke_almaty    0    

15
Комментарии
Подписаться на ответы Инфостарт бот Сортировка: Древо развёрнутое
Свернуть все
1. mihenius 83 16.10.07 11:22 Сейчас в теме
Не стоит забывать еще и решения на основе SQL
http://ivn73.tripod.com/new_1s.htm
Так же есть "радикальное" решение на основе тонких клиентов и отдельной подсети (там украсть что-то просто неоткуда, только если распечатать или сфот-ть с монитора, правда узким местом будет админ и прог, но они всегда явл. узким местом)

Еще можно пригласить грамотного админа, настроить групповые политики и логирование + длл от ромикса на запрет открытия внешних ерт (хотя дырки все равно остануться)

2. support 4453 16.10.07 11:27 Сейчас в теме
1) Спасибо за ссылку. Очень интересный материал.
3. CheBurator 2712 16.10.07 12:40 Сейчас в теме
> на запрет открытия внешних ерт
ставим формекс и перехват открытия внешних отчетов.
4. support 4453 16.10.07 13:07 Сейчас в теме
5. JohnyDeath 302 16.10.07 14:07 Сейчас в теме
support, ты это про что? Думаешь так можно перехитрить ФормЭкс?
Чебурашка правильно сказал: "Ставим и радуемся". Тем более, что в данном случае нужна всего лишь одна глобальная предопределённая процедура:
СИНТАКСИС:
Процедура ПриЗагрузкеВнешнегоОтчета(<ИмяФайлаОтчета>)КонецПроцедуры
ЗАМЕЧАНИЕ:
Если в процедуре установить статус возврата в ноль, то внешний отчет не будет загружен.
6. АЛьФ 16.10.07 14:21 Сейчас в теме
Мне почему-то кажется, что народ путает собственно информационной системы (конфигурации) и ее наполнение (базы данных).
Это ж два практически не связанных случая. И комплексная защиты в форме должна покрывать их оба. Но средства для защиты от каждого случая будут свои.
И надо помнить, что не существует инструмента или метода, использование которого решит все проблемы с защитой одним махом. Нужно использовать многоуровневую защиту и не пренебрегать административными методами.
7. mihenius 83 16.10.07 15:01 Сейчас в теме
Никто ничего не путает ;)
Просто в контексте статьи идет разговор о воровстве мд-ка возможно с данными
Я и расписал какие есть способы предотвратить подобное.
КЗК же защищает конфигурацию от воровства при распространении ее клиентам.

Т.е. сама статья описывает немного не то, что защищает КЗК ;)
9. АЛьФ 16.10.07 16:06 Сейчас в теме
2(7) Вот именно что путаешь. Где в статье речь про данные? Речь там про "информационную систему", и данные тут не упоминаются вообще. Зато постоянно говорится о конфигурации. Или мы разные статьи читаем? :)
КЗК же защищает конфигурацию не только от клиентов. У меня больше половины клиентов - это фирмы, которые вложились в разработку конфигурации и не желают отдавать эти наработки конкурентам. Кстати, это меня самого удивило. Но, мои слова по этому поводу в статье уже процитированы :)
2(8) Еще раз: в данном контексте "информационная система" - это не столько данные, сколько бизнес-процессы, которые в конфигурации реализованы (пусть Доржи поправит меня, если я неверно трактую вкладываемый им смысл статьи). И полностью полагаться на один метод защиты, как я уже говорил, в корне неправильно. Должен быть комплексный подход.
8. mihenius 83 16.10.07 15:08 Сейчас в теме
1 уровень это хорошо настроенное логирование с оповещением
Если начинают воровать к ним уже идет отдел безопасности
Например простейшее решение. В словаре меняем пути на другой каталог. В текущий каталог кидаем дбф-ки из демобазы. Настраиваем логирование действий с подставными файлами. Правда инсайдер может просмотреть словарь, но админ может много чего сделать чтоб инсайдер этого не смог.
10. coder1cv8 3477 17.10.07 10:09 Сейчас в теме
Надоели уже со своим КЗК, чесслово... Семерка потихоньку отмирает и с этим ничего не поделаешь... А в восьмерке, в БОЛЬШИНСТВЕ случаев, встроенной защиты хватает...
11. АЛьФ 17.10.07 12:50 Сейчас в теме
2(10) Ну, "отмирать" семерка будет еще ооочень долго. Или ты считаешь, что все, кто вложил несколько сотен тысяч баксов в автоматизацию на семерке с радостью кинутся вкладывать новые сотни в переход на восьмерку? Если так, то значит ты очень недолго еще работаешь в этой сфере :)
12. Abadonna 3968 17.10.07 13:04 Сейчас в теме
(10) В гробу я видал эту восьмерку, которая умудрилась лечь от их же стандартной ОСВ по счету.
Причем ложилась и 8.0, и 8.1. Пусть дозреет сперва
13. coder1cv8 3477 17.10.07 19:47 Сейчас в теме
(11,12) Обычный подход семерочников :)
14. АЛьФ 17.10.07 21:21 Сейчас в теме
2(13) Ну, у тебя-то не менее обычный подход "восмерочников". Я тебе могу процитировать одно интересное высказывание:
"Полезная вещь думаю. Но как библиотека для 7.7. для нас уже устарела. Альф, если серьезно работаете с ней, продумайте вариант на 8-ку"
Это 2003-й год. Реакция на выход первой версии КЗК. И знаешь, с тех пор ни чего не изменилось. Семерку все так же хоронят, но она продолжает успешно продаваться и внедряться. Под нее все так же пишут новые проекты. И КЗК с тех пор так же пользуется неплохим спросом.
Так что может не стоит все же уверять всех в том, что "семерка потихоньку отмирает", а имеет смысл взглянуть реальности в глаза? :)
Конечно, прогресс не остановить и семерка в тоге уйдет с рынка. Но будет это совсем не так скоро, как хотелось бы некоторым. И только из-за того, что 1С увериться в полной готовности восьмерки и захочет убрать внутреннюю конкуренцию продуктов. Т.е. уберет семерку директивно, а не по воле рынка.
ИМХО, конечно.
15. poppy 17.10.07 21:38 Сейчас в теме
(14)
> И только из-за того, что 1С увериться в полной готовности восьмерки и захочет убрать
> внутреннюю конкуренцию продуктов. Т.е. уберет семерку директивно, а не по воле рынка.

В одинесе уж серьезно считают, что семерка тормозит рост темпов продаж восьмерки. ИМХО полным ходом разрабатываются меры по формированию "правильной" воли рынка... ;-)
16. АЛьФ 17.10.07 21:52 Сейчас в теме
2(15) Если уж им это с шестеркой не удалось, то с семеркой не получится тем более.
17. poppy 17.10.07 22:21 Сейчас в теме
(16)
Что с шестеркой не удалось? Мне казалось, что все удалось...
18. АЛьФ 17.10.07 22:36 Сейчас в теме
2(17) В курсе сколько шестерку вытесняли с рынка? А то, что до сих пор ее некоторые используют и отчетность для нее делается? Семерку еще сложней будет вытеснить. Практически нереально.
21. poppy 17.10.07 23:41 Сейчас в теме
(18)
То, что под шестерку делают отчетность - это понятно. Шестерка - культовая программа. Говорим "1С", подразумеваем "1С:Бухгалтерия 6.0".
Это имиджевая версия и отказ от ее поддержки не влучшую сторону сказался бы на репутации фирмы.

Вытесняли ли шестерку с рынка? Непомню каких либо активных действий... Единственное, что было - это выпуск специальной конфигурации, такой же простой как и шестерка.

Версию 7.5 - точно вытесняли. Объявили цену перехода на 7.7 в $40 в течении ограниченного времени. Кто не успел тот опоздал.

Будут ли семерку поддерживать как шестерку или заманят пользователей на 8.0 большой скидкой? Незнаю... Поживем, увидим.

Переход пользователей на очередную версию - процесс небыстрый. Кстати, сегодня видела компанию, которая работает еще на первой редакции ТиС.
22. АЛьФ 17.10.07 23:47 Сейчас в теме
2(21) Шестерка - имиджевая и культовая?! Это даже не смешно. А с рынка ее очень даже усиленно вытесняли.
23. Abadonna 3968 18.10.07 06:27 Сейчас в теме
(13) Ты стрелы попутал, я не семерочник, а ПРОГРАММИСТ
19. avhrst 519 17.10.07 23:15 Сейчас в теме
В статье было правильно сказано "для малого и среднего бизнеса", к сожалению для больших компаний 1С не подходит не по скорости, не по защите.
20. АЛьФ 17.10.07 23:28 Сейчас в теме
2(19) Всего лишь вопрос маркетинга. Были бы усилия направлены в этом направлении от самой 1С, сразу стало бы подходить и по скорости, и по защите :)
24. a.v.petuhov 22.10.07 11:08 Сейчас в теме
В новой версии платформы «1С:Предприятие 8.0/8.1» описанная уязвимость системы устранена, за счет встроенного механизма сборки конфигурации без исходных кодов.

Ну-ну, есть такое, вот только уже месяцев 6-7 в свободном доступе есть декомпилятор исходных кодов. Так что спрятать штаными средствами 8.0/8.1 исходные коды все равно не получится.
25. d.snissarenko 152 17.01.08 15:14 Сейчас в теме
Поучительно для не просвященных.
81 серверный вариант - утянуть сможет только чел с полными правами 1с или админ сервера (пасворт на скуль БД не вопрос), а вот простой сотрудник уже вряд-ли.
Оставьте свое сообщение