Основные особенности механизма информационной безопасности системы
1С:Предприятие 8.0 поставляется в двух вариантах: файловый и клиент-серверный. Файловый вариант нельзя считать обеспечивающим информационную безопасность системы по следующим причинам:
Данные и конфигурация хранятся в файле, доступном на чтение и запись всем пользователям системы.
Целостность системы обеспечивается только ядром клиентской части.
В клиент-серверном варианте для хранения информации используется MS SQL Server, что обеспечивает:
· Более надёжное хранение данных.
· Изоляцию файлов от прямого доступа.
· Более совершенные механизмы транзакций и блокировок.
Несмотря на значительные отличия файлового и клиент-серверного варианта системы, они обладают единой схемой контроля доступа на уровне прикладного решения, которые предоставляют следующие возможности:
· Авторизация пользователя по паролю заданному в 1С.
· Авторизация пользователя по текущему пользователю Windows.
· Назначение ролей пользователям системы.
· Ограничение выполнения административных функций по ролям.
· Назначение доступных интерфейсов по ролям.
· Ограничение доступа к объектам метаданных по ролям.
· Ограничение доступа к реквизитам объектов по ролям.
· Ограничение доступа к объектам данных по ролям и параметрам сеанса.
· Ограничение интерактивного доступа к данным и исполняемым модулям.
· Некоторые ограничения выполнения кода.
В целом, используемая схема доступа к данным достаточно типична для информационных систем такого уровня. Однако применительно к данной реализации трёхзвенной клиент-серверной архитектуры есть несколько принципиальных аспектов, которые приводят к относительно большому количеству уязвимостей:
Большое количество этапов обработки данных, причем на каждом этапе могут действовать отличающиеся правила доступа к объектам.
Несколько упрощённая схема этапов обработки данных, существенных с точки зрения безопасности, приведена на рис.1.
Рисунок 1 – схема этапов обработки данных, существенных с точки зрения безопасности.
Общим правилом для 1С является уменьшение ограничений по мере перехода вниз по данной схеме, поэтому, использование уязвимости на одном из верхних уровней может нарушить работу системы на всех уровнях.
Недостаточно отлаженные процедуры контроля передаваемых данных при переходе с уровня на уровень.
К сожалению, далеко не все внутренние механизмы системы идеально отлажены, особенно это касается неинтерактивных механизмов, отладка которых всегда с одной стороны более трудоёмка, но с другой более ответственна. Эта "болезнь" не является проблемой исключительно фирмы 1С, она встречается во многих серверных продуктах большинства вендоров. Лишь в последние годы внимание к этим проблемам значительно возросло.
Недостаточно высокая средняя квалификация разработчиков и администраторов систем, доставшаяся в наследство от предыдущей версии.
Продукты линейки 1С:Предприятие изначально были ориентированы на простоту разработки и поддержки и на работу в небольших организациях, поэтому неудивительно, что исторически сложилось так, что значительная часть "разработчиков" прикладных решений и "администраторов" систем не обладают достаточными познаниями и навыками для работы со значительно более сложным продуктом, которым является версия 8.0. Проблему усугубляет и принятая в компаниях-франчайзи практика обучать "в бою" за счет клиентов, не подходя системно к данному вопросу. Необходимо отдать должное фирме 1С в том, что за последние несколько лет эта ситуация постепенно исправляется: серьёзные компании-франчайзи стали более ответственно подходить к проблеме подбора и обучения персонала, уровень информационно-технологической поддержки со стороны фирмы 1С значительно возрос, появились программы сертификаций ориентированные на высокий уровень сервиса; но моментально ситуацию исправить нельзя, поэтому данный фактор следует учитывать при анализе безопасности системы.
Дата добавления: 2020-01-07; просмотров: 111; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!