Защита данных платформы 1С: Предприятие

15.02.18

Разработка - Защита ПО и шифрование

Платформа 1С: Предприятие предоставляет возможности защиты данных и контроля доступа. Является ли это самоуспокоением?

Скачать файлы

Наименование Файл Версия Размер
Тест на защищенность данных информационной системы на базе 1С Предприятие
.epf 10,35Kb
4
.epf 1.0.1.1 10,35Kb 4 Скачать
Виртуальный шпион. Концепции социального инжиниринга при атаках информационных систем.
.pdf 2,00Mb
4
.pdf 3.1.4.1 2,00Mb 4 Скачать

В первый день, на очередной работе, в должности программиста 1С, мне устроили проверку. Дали доступ в домен и предложили самому создать себе пользователя в информационной системе на основе 1С: Предприятия 7.7. Входного экзамена не было, и продуманный руководитель IT отдела решил проверить меня в "деле". Через пару минут я уже запустил конфигуратор и создавал себя как пользователя с правами администратора. Мой новый руководитель поставил мне плюс в карму, но я не стал гордиться и объяснил ему, что специальных знаний и навыков для этого не требуется, потому что в данной системе защита от честных людей.

Показательная демонстрация заставила задуматься о усилении защиты данных, но я ответил, что на текущей версии платформы, что-либо предпринимать бесполезно и "нужно менять всю систему" © мудрый сантехник. Начали строить планы и проекты по переходу на восьмерку, увлекательный процесс.

Любой замок когда-либо взломают, задача защиты, чтобы это произошло за такой период времени, что данные потеряют свою актуальность и достоверность. Платформа 1С Предприятие 8.х, тоже не абсолютно надежна, но для проникновения в ее базу, по крайней мере, требуются специальные знания и программное обеспечение.

Чем качественнее заполняются данные пользователями информационной системы, тем интереснее ее заполучить конкурентам. В большинстве случаев я вижу простую, но очень действенную защиту: недостоверные и недостаточные данные о контрагентах, небрежное заполнение документов, неактуальные цены номенклатуры :) . Шутки шутками, но и так бывает.

Второй вариант защиты базы от скачивания - это ее огромный размер. Да, ворочается медленно, но и на ее кражу потребуется столько времени, что охрана успеет разоблачить злоумышленников. Но такой способ неэффективен при частичном хищении информации, например, при фотографировании отчета с экрана. На режимном предприятии не дают проносить фото-видео аппаратуру и компьютеры не будут подключены к интернету, остается только переписать на листочек, но за этим занятием быстро поймают.

В торговых организациях государственных секретов нет, но все же есть информация, не подлежащая разглашению. Например, закупочные цены на товары, из этого вытекает процент наценки клиентам. Как ни странно, но данные о адресах, телефонах контрагентов и их сотрудников не представляют большого секрета, потому что все они находятся в социуме и сами в состоянии дать свои координаты конкурентам. Объемы продаж, точная цифра активов (денег на счетах), дебиторская, кредиторская задолженности - это то, что может помочь конкурентам при планировании краха организации.

"Война начинается тогда, когда одна из сторон неверно оценивает свои шансы на победу". Конкуренты, получив или регулярно получая информацию о состоянии активов компании, могут построить эффективное нападение на бизнес и разорить его, нанося удары точно в цель, зная, какая продукция приносит наибольшую прибыль от своей продажи.

Частичную утечку информации сложнее всего предотвратить, режим сохранения коммерческой тайны может принести свой психологический результат, но я пока не видел вменяемой документальной базы о неразглашении информации, увольняющиеся сотрудники могут унести с собой много ценных данных о работе предприятия. Отсюда вывод:

Нужно бороться с текучестью кадров.

Служба безопасности, как правило, предоставляет физическую защиту и делает вид, что ведет работу в области информационной безопасности. На них надежды мало, что делать в этой области, я не знаю, потому как технический специалист и могу предотвратить только возможность скачать базу с сервера. Для этого использую 1С Предприятие 8.3, клиент серверный режим с сервером 1С Предприятие и при повышенной опасности доступ к информационной системе средствами WEB клиента.

Такой доступ держит файлы с данными далеко от пользователей системы и позволяет быть немного спокойнее, но не расслабляться.

Отдельная тема - файлы резервного копирования. Для злоумышленников это лакомый кусочек, поэтому их нужно держать далеко от всех, но надежно и неоднократно сохранять, и не раскидывать где попало. При этом потеря информационной базы - это колоссальный ущерб предприятию. Вариант, что не доставайся никому, совсем не интересен. Лучше регулярно проверять резервные копии на работоспособность, иначе в случае аварии будет неприятный казус, что бэкап не восстановился.

Но как бы ни старался администратор информационной системы на ниве защиты данных, и специалистом он может быть отличным, но безалаберность пользователей может свести все старания на нет. 70% взломов произведено с помощью социального инжиниринга. Хакеры не проявляют свои технические знания по взлому паролей, а с помощью наблюдательности, хитрости и обмана узнают их у пользователей.

Для примера приведу случай. Решил усилить защиту информационной системы и выдал пользователям длинные пароли, сложные для подбора и как следствие для запоминания. Народ повозмущался, выстроился в очередь, получая лично на маленьком листочке пароль доступа к базе. Когда закончился этот кошмар, пошел проверить, как там пользователи живут. Сел за рабочее место одного из многострадальных сотрудников и вижу бумажку под стеклом стола с подозрительно знакомым набором символов. Набираю, и о чудо мне открывается рабочее место нежелающего тренировать память пользователя. Проверил несколько мест. И выяснил, что на весьма видных местах, у кого на мониторе, у кого в органайзере лежат бумажки с паролями. Вот и усилил безопасность информационной системы.

Токен ключи для защиты использовать еще проблематичнее, пользователи, чтобы не забывать их дома, бросают секретное устройство где попало, хорошо если в ящике стола, а то и просто на столе у монитора или просто ключ торчит в компьютере, не вынимаясь.

В прикрепленных к статье файлах можно найти источник вдохновения для улучшения мер защиты. Нельзя дать однозначный рецепт на все случаи жизни. Защита данных - это комплекс мероприятий, непрерывно реализуемых в организации. Нужно выработать в себе навык замечать лазейки для хакеров. Смотреть на систему глазами хакера. Постоянно прикидывать, что не так в программном королевстве.

Первый файл - обработка с десятью вопросами о состоянии информационной безопасности, отвечая на которые Вы сможете иначе взглянуть на положение дел. Обработка под управляемое приложение и не зависит от конфигурации.

 

Во втором файле, книге малоизвестного автора, описаны разные приемы социального инжиниринга для втирания в доверие и похищения данных. После прочтения станет понятнее поведение злоумышленников и появятся навыки смотреть на мир глазами хакера, получить некоторые представления о социальном портрете людей, занимающихся темными делами. 

Пожалуйста, используйте полученные знания только во благо!

Искренне всем желаю успехов!

См. также

Запрет глобального поиска в конфигурации

Защита ПО и шифрование Платформа 1С v8.3 1С:Бухгалтерия 3.0 Абонемент ($m)

Представляю вам микрорасширение, которое запрещает глобальный поиск по вашей конфигурации.

1 стартмани

09.02.2023    2223    9    aximo    4    

2

Как защитить pdf файл

Защита ПО и шифрование Абонемент ($m)

Для установки защиты pdf документа, полученного в 1С, написано консольное приложение на c#., использующее одну зависимость pdfSharp.dll. В результате работы приложения ограничены операции над документом и записаны метаданные. С помощью аргументов командной строки можно управлять работой приложения.

2 стартмани

30.01.2023    1657    1    olevlasam    3    

3

Универсальный синтаксический анализатор ASN.1 для декодирования .key, .cer, .der, .p7m, .p7s, .crt, .pem

Защита ПО и шифрование Платформа 1С v8.3 Конфигурации 1cv8 Абонемент ($m)

Универсальный синтаксический анализатор ASN.1, который может декодировать любую допустимую структуру ASN.1 DER или BER, независимо от того, закодирована ли она в кодировке Base64 (распознаются необработанные base64, защита PEM и begin-base64) или в шестнадцатеричном кодировании.

1 стартмани

04.12.2022    2983    12    keyn5565`    0    

13

Шифрование строки на основе мастер-пароля в 1С Предприятие 8.3.19

Защита ПО и шифрование Платформа 1С v8.3 Абонемент ($m)

Демонстрация возможностей шифрования строки на основе мастер-пароля в 1С Предприятие 8.3.19. AES без zip файла, RSA, PKDF2. (c использованием библиотеки С# через com).

2 стартмани

31.08.2022    3831    7    vit59    2    

6

Обфускатор байт-кода

Защита ПО и шифрование Платформа 1С v8.3 Конфигурации 1cv8 Россия Абонемент ($m)

Обработка, позволяющая запутывать и шифровать байт-код, поставлять модули без исходных текстов и т.д. Протестировано на платформе 8.3.23.1739.

10 стартмани

16.06.2022    10294    79    ZhokhovM    12    

40

Как уберечь конструкторскую документацию от воровства конкурентами?

Защита ПО и шифрование Платформа 1С v7.7 Платформа 1С v8.3 Абонемент ($m)

Как уберечь конструкторскую документацию от воровства конкурентами? Недавно столкнулся с этой проблемой. Заказчик серьёзно обеспокоен утечкой информации о конструкторских разработках в адрес конкурентов, за счет подкупа исполнителей, занимающихся производством по конструкторской документации, операторов технологического оборудования и обрабатывающих центров по изготовлению деталей и сборочных единиц.

2 стартмани

09.03.2022    5654    3    ge_ni    9    

2

Защита конфигураций, обработок, расширений 1С онлайн, управление версиями

Защита ПО и шифрование Платформа 1С v8.3 Конфигурации 1cv8 Абонемент ($m)

Система построена на веб платформе, все управление происходит на сайте в личном кабинете пользователя.

1 стартмани

27.12.2021    4556    2    idm80    11    

9
Комментарии
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
1. DarkUser 15.02.18 12:20 Сейчас в теме
Защита семерки может быть очень хороша, если подходить к этому вопросу с умом. Из самого банального - установка доменных прав доступа чтения/записи на каталог userdef, домашние каталоги пользователя и файл конфигурации. Вообщем, если использовать не только средства 1С, но и вспомогательные инструменты.
2. Ликреонский 238 15.02.18 12:26 Сейчас в теме
(1)Я реализовывал еще дополнительную идентификацию при входе в базу. Файловый вариант скачать без проблем, потом легко войти в базу с любыми правами. В восьмерке файловый вариант легко скачать, но хоть немного придется повозится и без подготовки не взломать в отличии от семерки.
11. uri1978 137 15.02.18 17:16 Сейчас в теме
(2) А зачем дополнительная идентификация при входе? Если файловую базу украли, вошли под полными правами, то весьма легко удалить в конфигураторе эту дополнительную идентификацию.
12. Ликреонский 238 16.02.18 08:18 Сейчас в теме
(11)Можно сильно озадачится и в dll включить функции, без которых не будет работать конфигурация, например, при формировании форм или еще чего похитрее, данные зашифровать и тд. Тогда удалив библиотеку идентификации, злоумышленник получит массу проблем с неработающей конфигурацией и это хоть немного растянет время анализа информации.
3. dj_serega 390 15.02.18 13:12 Сейчас в теме
(0) Вопрос 4. Длина паролей - 0. Юзается AD.
Какой пункт выбрать? :)
6. Ликреонский 238 15.02.18 13:16 Сейчас в теме
(3)Можно выбрать политику для AD
4. dj_serega 390 15.02.18 13:13 Сейчас в теме
(0) Очепятка в 7м вопросе :)
Ликреонский; +1 Ответить
5. Ликреонский 238 15.02.18 13:15 Сейчас в теме
7. FesenkoA 57 15.02.18 14:00 Сейчас в теме
Отличная защита - мобильное приложение с кучей ХТТП запросов к серверу. Защита сервера решается на уровне сервера, а мобильную платформу ломать себе дороже, тем более когда пользователь получает на устройство только нужные ему данные - взлома не будет.

Так мы когда то закрыли пользователям достп ко всему: они ходят по торг.залу с планшетами, оформляют продажи по номеру телефона/карты не зная закупочных цен, данных контрагентов, не видя никаких остатков кроме "этой номенклатуры столько то", более того очень просто отследить кто что запрашивает, а в 20:00 заблокировать отправку данных и после конца рабочего дня пользователь не знает вообще ничего.

По финалу, конечно, стажеру выдали дежурный планшет, и он с ним ушел в закат, но это уже совсем другая история....
8. Degrement 126 15.02.18 15:19 Сейчас в теме
Для не особо ленивых стоит почитать: https://its.1c.ru/db/metod8dev#content:5816:hdoc
dour-dead; +1 Ответить
9. Ликреонский 238 15.02.18 15:26 Сейчас в теме
(8)Довольно старая статья, но актуальность не потеряла
10. Degrement 126 15.02.18 16:36 Сейчас в теме
(9)Если коротко, то данные до которых пользователь имеет доступ уже скомпрометированы, это даже бумаги касается. Но как правило чем меньше конторка, тем больше коммерческая тайна. P.S. лично пережил проверку СБ газпрома после компрометации кусочка данных.
13. 18101986 42 27.02.18 21:50 Сейчас в теме
Штатными средствами 1с слабо защищена, при желании легко поломать... В файловом режиме элементарно ломается хекс редактором...
Оставьте свое сообщение