Tomsk Sysadmins Forum

Windows => Администрирование => Topic started by: Stanislaw on November 19, 2007, 10:27:04

Title: Защита базы 1С от копирования.
Post by: Stanislaw on November 19, 2007, 10:27:04
Работа ведётся в файловом варианте, что предполагает полный доступ на базу. Какими средствами можно запретить копирование базы(кроме MS SQL)?
Title: Защита базы 1С от копирования.
Post by: never hood on November 19, 2007, 11:03:57
Quote from: Stanislaw
Работа ведётся в файловом варианте, что предполагает полный доступ на базу. Какими средствами можно запретить копирование базы(кроме MS SQL)?
В первую очередь организационными (80% вопроса).
Регламентировать работу с информацией, убедиться и обеспечить лояльность работающих с этой информацией людей (особенно админов и программеров, а если есть, то и обслуживающих 1С "настройщиков" со стороны). (Как правило, лояльность прямо пропорциональна удовлетворенности работой, т.е. зарплатой, обеспеченностью жильем, социальными гарантиями и пр. благами).

Во вторую, техническими (20% вопроса).
Заблокировать или отключить порты на клиентских машинах, убрать FDD, CD/DVD (пишушие), не допускать к интернету.

Это влечет некоторые неудобства, но... если ситуация требует!

Вариант с SQL (каким бы MS он ни был!  ) почти ничем не отличается от файловой в вопросе защиты от копирования.
Title: Защита базы 1С от копирования.
Post by: Stanislaw on November 19, 2007, 11:14:08
Quote from: never hood
В первую очередь организационными (80% вопроса).
Регламентировать работу с информацией, убедиться и обеспечить лояльность работающих с этой информацией людей (особенно админов и программеров, а если есть, то и обслуживающих 1С "настройщиков" со стороны). (Как правило, лояльность прямо пропорциональна удовлетворенности работой, т.е. зарплатой, обеспеченностью жильем, социальными гарантиями и пр. благами).

Во вторую, техническими (20% вопроса).
Заблокировать или отключить порты на клиентских машинах, убрать FDD, CD/DVD (пишушие), не допускать к интернету.

Это влечет некоторые неудобства, но... если ситуация требует!

Вариант с SQL (каким бы MS он ни был!  ) почти ничем не отличается от файловой в вопросе защиты от копирования.

Обеспечить лояльность довольно таки сложно по-моему, вообще вопрос получается довольно таки непростой. Как я понял, 100% защиты нет.
Title: Защита базы 1С от копирования.
Post by: never hood on November 19, 2007, 11:35:43
Quote from: Stanislaw
Обеспечить лояльность довольно таки сложно по-моему, вообще вопрос получается довольно таки непростой. Как я понял, 100% защиты нет.
Скажем так - непросто!
Как наиболее действенный метод я вижу участие ключевых работников в бизнесе (т.е. акционирование предприятия и введение сотрудников в состав акционеров). Но для России это, пока, редкость. К сожалению.

100% защиты не существует! Это написано во всех учебниках (и не только).
Title: Защита базы 1С от копирования.
Post by: ChCh on November 19, 2007, 14:31:45
Quote from: Stanislaw
Работа ведётся в файловом варианте, что предполагает полный доступ на базу. Какими средствами можно запретить копирование базы(кроме MS SQL)?
терминальный доступ поможет, проверено.
Title: Защита базы 1С от копирования.
Post by: never hood on November 19, 2007, 15:11:18
Quote from: ChCh
терминальный доступ поможет, проверено.
в таком случае, желательно чтобы были отключены возможности:
- copy/paste с сервера на локальную машину;
- монтирования локальных дисков к серверу.
Title: Защита базы 1С от копирования.
Post by: ChCh on November 19, 2007, 15:31:58
Quote from: never hood
в таком случае, желательно чтобы были отключены возможности:
- copy/paste с сервера на локальную машину;
- монтирования локальных дисков к серверу.
безусловно ... я бы добавил и прочее, прочее, прочее :о)
Title: Защита базы 1С от копирования.
Post by: never hood on November 19, 2007, 15:58:06

или заменить локальную машину на Windows-terminal.
Не шумит, места не занимает, не греется ("кушает" ватт 60)! Работает вечно!
400-500 баксов ради надежности и безопасности - небольшие деньги...
(но порты все равно блокируем!  )
Title: Защита базы 1С от копирования.
Post by: ChCh on November 19, 2007, 16:55:43
Quote from: never hood

или заменить локальную машину на Windows-terminal.
Не шумит, места не занимает, не греется ("кушает" ватт 60)! Работает вечно!
400-500 баксов ради надежности и безопасности - небольшие деньги...
(но порты все равно блокируем!  )
столько самые крутые стоят ... мы тут запускали офис на таких приборах - это просто щастье - за несколько часов 9 рабочих мест.
Title: Защита базы 1С от копирования.
Post by: .05 on June 17, 2008, 16:44:10
Реквестирую сабж. Может у кого есть практический опыт, очень хотелось бы послушать.

Хотелось бы защищать данные именно от большинства пользователей.

Вот допустим есть такая довольно типичная ситуация:Есть соображения?
Title: Защита базы 1С от копирования.
Post by: rPman on June 17, 2008, 17:04:47
Единственный нормальный технический (не организационный) способ ограничить доступ к БД программы - это терминал (ограниченный список допущенных программ, никаких ремапов дисков, портов и т.д.). В случае с 1С это еще более ярко выражено, у системы нет нормальных ограничений прав доступа. Кстати интернет так же можно поместить в отдельный терминал-сервер и работать только удаленно. Так как очень мало средств (дыр?) получения доступа к серверу и клиенту через терминальное подключение.
P.S. Обязательно отказаться от паролей - биометрические системы уже давно не новинка, да и не такие уж и дорогие. Но тут потребуется доработка напильником используемое ПО. Пароль на бумажке у монитора - это негласная норма, с печальными последствиями.

В случае с нетерминальными решениями - скурпулезно выставлять заслоны на запуск 'неправильных' программ (есть средства с помощью политик). Они так же обходятся, но очень сложно (например диалоговые окна открытия файлов могут дать возможность открыть на запуск ЛЮБОЙ запускаемый файл, как я понимаю это решено не на 100%). Отключить все автозапуск, никаких административных прав по умолчанию. На сколько я знаю есть средства (сторонние?) запуска приложений из определенного аккаунта из командной строки с указанием логина и пароля - значит выставить дополнительный заслон и этим, запуская нужные программы под другим доступом. Но повторяю, если опытный пользователь/хакер сможет запустить СВОЮ программу на компьютере, защитить данные будет практически невозможно, так как пароли можно скейлогить, доступ между программами можно через хуки получить (или те же идеологические дырки в SendMessage, были примеры дырок незакрытых, когда код из не привелигированного пользователя запускался с помощью сервиса антивируса с полными правами).

В общем в windows организовать техническую защиту терминалов проблематично (возможно есть недешевые средства сторонние...) имхо терминалы нужно уже давно делать linux/unix, там больше готовых средств обеспечения безопасности (в т.ч. идеологических), но в случае с 1С наверняка опять приведет к терминальному решению.. имхо не готова еще 1С нормально работать на Linux.
Title: Защита базы 1С от копирования.
Post by: .05 on June 17, 2008, 17:42:26
rPman согласен с Вами, изоляционная политика при подходе к организации терминального сервера это практически 100% его защищенности, просто хотелось бы узнать нет ли возможности создания такого информационного окружения, в котором некоторые данные на ТС, представляли бы шифрованную структуру, расшифровка которой происходила бы непосредственно на нем (т.е. база+своп на HDD зашифрованы, данные в ОЗУ нет), при предъявлении допустим ключа, конечно есть риск дампа оперативки, но опять же можно ограничить исполняемые программы на сервере. А штатными средствами БД уже применять ограничения на работу в самой базе.
Title: Защита базы 1С от копирования.
Post by: Liva on August 01, 2008, 12:52:34
Quote from: .05
r просто хотелось бы узнать нет ли возможности создания такого информационного окружения, в котором некоторые данные на ТС, представляли бы шифрованную структуру, расшифровка которой происходила бы непосредственно на нем (т.е. база+своп на HDD зашифрованы, данные в ОЗУ нет),

PGP в помощь
Title: Защита базы 1С от копирования.
Post by: .05 on August 01, 2008, 13:58:18
Quote from: Liva
PGP в помощь

не решает, при защите изнутри
Title: Защита базы 1С от копирования.
Post by: Liva on August 01, 2008, 14:25:54
Quote from: .05
не решает, при защите изнутри

почему не решает?
(т.е. база+своп на HDD зашифрованы, данные в ОЗУ нет)
имхо это программа и делает файлы шифрует и дешифрирует налету
Title: Защита базы 1С от копирования.
Post by: HotIce on August 03, 2008, 01:07:37
Quote from: Liva
почему не решает?
(т.е. база+своп на HDD зашифрованы, данные в ОЗУ нет)
имхо это программа и делает файлы шифрует и дешифрирует налету

А если еще RamDisk прикрутить, если оперативка позволяет.. То вообще приятно будет
Title: Защита базы 1С от копирования.
Post by: rPman on August 03, 2008, 02:28:47
Шифрование защитит данные на носителе! и что? Шифрование актуально для данных, либо передаваемых либо по сети либо ещё как (флешкой той же).
Есть разные уровни .. атак, начиная с физического (подойти и украсть сервер), или воткнуть устройство-жучок ворующее пароли/ключи/др. данные, или программу-жучок, или средствами самой программы (если в ней нет средств защиты от несанкционированного доступа).
Так вот шифрование защитит (если ключи доступа само собой не на сервере а на внешних носителях/или что-нибудь основанное на биометрических системах) только от кражи железяки.
От устройства-жучка может защитить только перекрытие физического доступа (отдельный разговор и высокая стоимость), он же защитит и от воровства железа.
От жучка-программы - как раз выше обсуждаемые терминальные решения и запрет запуска все и вся, ну и конечно организационные меры тоже нужны.
От идеологических дыр в самой программе защитить сможет только его разработчик.. или смена ПО
P.S. Ну и широко известный терморектальный криптоанализ позволяет взломать абсолютно любую защиту  
Title: Защита базы 1С от копирования.
Post by: .05 on August 06, 2008, 20:52:09
Quote from: HotIce
А если еще RamDisk прикрутить, если оперативка позволяет.. То вообще приятно будет

угу, особенно если сервак подвиснет или оператива подохнет, тогда даже ежечасные бэкапы не спасут жопу админа