Author Topic: Защита базы 1С от копирования.  (Read 13534 times)

0 Members and 1 Guest are viewing this topic.

Offline Stanislaw

  • Newbie
  • *
  • Posts: 15
  • Karma: +0/-0
Защита базы 1С от копирования.
« on: November 19, 2007, 10:27:04 »
Работа ведётся в файловом варианте, что предполагает полный доступ на базу. Какими средствами можно запретить копирование базы(кроме MS SQL)?

Offline never hood

  • Hero Member
  • *****
  • Posts: 845
  • Karma: +16/-10
  • www.4job.co
    • Работа, которую ты искал
Защита базы 1С от копирования.
« Reply #1 on: November 19, 2007, 11:03:57 »
Quote from: Stanislaw
Работа ведётся в файловом варианте, что предполагает полный доступ на базу. Какими средствами можно запретить копирование базы(кроме MS SQL)?
В первую очередь организационными (80% вопроса).
Регламентировать работу с информацией, убедиться и обеспечить лояльность работающих с этой информацией людей (особенно админов и программеров, а если есть, то и обслуживающих 1С "настройщиков" со стороны). (Как правило, лояльность прямо пропорциональна удовлетворенности работой, т.е. зарплатой, обеспеченностью жильем, социальными гарантиями и пр. благами).

Во вторую, техническими (20% вопроса).
Заблокировать или отключить порты на клиентских машинах, убрать FDD, CD/DVD (пишушие), не допускать к интернету.

Это влечет некоторые неудобства, но... если ситуация требует!

Вариант с SQL (каким бы MS он ни был!  ) почти ничем не отличается от файловой в вопросе защиты от копирования.

Offline Stanislaw

  • Newbie
  • *
  • Posts: 15
  • Karma: +0/-0
Защита базы 1С от копирования.
« Reply #2 on: November 19, 2007, 11:14:08 »
Quote from: never hood
В первую очередь организационными (80% вопроса).
Регламентировать работу с информацией, убедиться и обеспечить лояльность работающих с этой информацией людей (особенно админов и программеров, а если есть, то и обслуживающих 1С "настройщиков" со стороны). (Как правило, лояльность прямо пропорциональна удовлетворенности работой, т.е. зарплатой, обеспеченностью жильем, социальными гарантиями и пр. благами).

Во вторую, техническими (20% вопроса).
Заблокировать или отключить порты на клиентских машинах, убрать FDD, CD/DVD (пишушие), не допускать к интернету.

Это влечет некоторые неудобства, но... если ситуация требует!

Вариант с SQL (каким бы MS он ни был!  ) почти ничем не отличается от файловой в вопросе защиты от копирования.

Обеспечить лояльность довольно таки сложно по-моему, вообще вопрос получается довольно таки непростой. Как я понял, 100% защиты нет.

Offline never hood

  • Hero Member
  • *****
  • Posts: 845
  • Karma: +16/-10
  • www.4job.co
    • Работа, которую ты искал
Защита базы 1С от копирования.
« Reply #3 on: November 19, 2007, 11:35:43 »
Quote from: Stanislaw
Обеспечить лояльность довольно таки сложно по-моему, вообще вопрос получается довольно таки непростой. Как я понял, 100% защиты нет.
Скажем так - непросто!
Как наиболее действенный метод я вижу участие ключевых работников в бизнесе (т.е. акционирование предприятия и введение сотрудников в состав акционеров). Но для России это, пока, редкость. К сожалению.

100% защиты не существует! Это написано во всех учебниках (и не только).

Offline ChCh

  • Newbie
  • *
  • Posts: 23
  • Karma: +0/-0
Защита базы 1С от копирования.
« Reply #4 on: November 19, 2007, 14:31:45 »
Quote from: Stanislaw
Работа ведётся в файловом варианте, что предполагает полный доступ на базу. Какими средствами можно запретить копирование базы(кроме MS SQL)?
терминальный доступ поможет, проверено.

Offline never hood

  • Hero Member
  • *****
  • Posts: 845
  • Karma: +16/-10
  • www.4job.co
    • Работа, которую ты искал
Защита базы 1С от копирования.
« Reply #5 on: November 19, 2007, 15:11:18 »
Quote from: ChCh
терминальный доступ поможет, проверено.
в таком случае, желательно чтобы были отключены возможности:
- copy/paste с сервера на локальную машину;
- монтирования локальных дисков к серверу.

Offline ChCh

  • Newbie
  • *
  • Posts: 23
  • Karma: +0/-0
Защита базы 1С от копирования.
« Reply #6 on: November 19, 2007, 15:31:58 »
Quote from: never hood
в таком случае, желательно чтобы были отключены возможности:
- copy/paste с сервера на локальную машину;
- монтирования локальных дисков к серверу.
безусловно ... я бы добавил и прочее, прочее, прочее :о)

Offline never hood

  • Hero Member
  • *****
  • Posts: 845
  • Karma: +16/-10
  • www.4job.co
    • Работа, которую ты искал
Защита базы 1С от копирования.
« Reply #7 on: November 19, 2007, 15:58:06 »

или заменить локальную машину на Windows-terminal.
Не шумит, места не занимает, не греется ("кушает" ватт 60)! Работает вечно!
400-500 баксов ради надежности и безопасности - небольшие деньги...
(но порты все равно блокируем!  )

Offline ChCh

  • Newbie
  • *
  • Posts: 23
  • Karma: +0/-0
Защита базы 1С от копирования.
« Reply #8 on: November 19, 2007, 16:55:43 »
Quote from: never hood

или заменить локальную машину на Windows-terminal.
Не шумит, места не занимает, не греется ("кушает" ватт 60)! Работает вечно!
400-500 баксов ради надежности и безопасности - небольшие деньги...
(но порты все равно блокируем!  )
столько самые крутые стоят ... мы тут запускали офис на таких приборах - это просто щастье - за несколько часов 9 рабочих мест.

Offline .05

  • Full Member
  • ***
  • Posts: 225
  • Karma: +2/-1
Защита базы 1С от копирования.
« Reply #9 on: June 17, 2008, 16:44:10 »
Реквестирую сабж. Может у кого есть практический опыт, очень хотелось бы послушать.

Хотелось бы защищать данные именно от большинства пользователей.

Вот допустим есть такая довольно типичная ситуация:
  • есть Windows TS (2000 или 2003)
  • есть 1с 7.7/8.х/другая дебильная файловая БД
  • есть 90% защищенные аутентификационные данные в 1с (силами ntfs) (ну а - 10% это если админский пароль от 1с подрежут)
  • есть вменяемые правила по работе с обработками и отчетами в 1с (допустим 90% гарантия)
  • есть доступ сервера к интернету
  • есть воркгруп/или домен (вот тут много вариантов, да?)
  • локальные диски пользователей подключаются к терминалу
  • у пользователей есть флэхи, CD/DVD-RW, дискеты, ноутбуки, могут даже спи$#ить HDD если припрет
  • физического доступа к серверу таки нет
Есть соображения?
« Last Edit: June 17, 2008, 16:50:48 by .05 »
Ведь я только всего и хочу, чтобы всё всегда было по-моему

Offline rPman

  • Full Member
  • ***
  • Posts: 109
  • Karma: +0/-0
Защита базы 1С от копирования.
« Reply #10 on: June 17, 2008, 17:04:47 »
Единственный нормальный технический (не организационный) способ ограничить доступ к БД программы - это терминал (ограниченный список допущенных программ, никаких ремапов дисков, портов и т.д.). В случае с 1С это еще более ярко выражено, у системы нет нормальных ограничений прав доступа. Кстати интернет так же можно поместить в отдельный терминал-сервер и работать только удаленно. Так как очень мало средств (дыр?) получения доступа к серверу и клиенту через терминальное подключение.
P.S. Обязательно отказаться от паролей - биометрические системы уже давно не новинка, да и не такие уж и дорогие. Но тут потребуется доработка напильником используемое ПО. Пароль на бумажке у монитора - это негласная норма, с печальными последствиями.

В случае с нетерминальными решениями - скурпулезно выставлять заслоны на запуск 'неправильных' программ (есть средства с помощью политик). Они так же обходятся, но очень сложно (например диалоговые окна открытия файлов могут дать возможность открыть на запуск ЛЮБОЙ запускаемый файл, как я понимаю это решено не на 100%). Отключить все автозапуск, никаких административных прав по умолчанию. На сколько я знаю есть средства (сторонние?) запуска приложений из определенного аккаунта из командной строки с указанием логина и пароля - значит выставить дополнительный заслон и этим, запуская нужные программы под другим доступом. Но повторяю, если опытный пользователь/хакер сможет запустить СВОЮ программу на компьютере, защитить данные будет практически невозможно, так как пароли можно скейлогить, доступ между программами можно через хуки получить (или те же идеологические дырки в SendMessage, были примеры дырок незакрытых, когда код из не привелигированного пользователя запускался с помощью сервиса антивируса с полными правами).

В общем в windows организовать техническую защиту терминалов проблематично (возможно есть недешевые средства сторонние...) имхо терминалы нужно уже давно делать linux/unix, там больше готовых средств обеспечения безопасности (в т.ч. идеологических), но в случае с 1С наверняка опять приведет к терминальному решению.. имхо не готова еще 1С нормально работать на Linux.
« Last Edit: June 17, 2008, 17:09:01 by rPman »

Offline .05

  • Full Member
  • ***
  • Posts: 225
  • Karma: +2/-1
Защита базы 1С от копирования.
« Reply #11 on: June 17, 2008, 17:42:26 »
rPman согласен с Вами, изоляционная политика при подходе к организации терминального сервера это практически 100% его защищенности, просто хотелось бы узнать нет ли возможности создания такого информационного окружения, в котором некоторые данные на ТС, представляли бы шифрованную структуру, расшифровка которой происходила бы непосредственно на нем (т.е. база+своп на HDD зашифрованы, данные в ОЗУ нет), при предъявлении допустим ключа, конечно есть риск дампа оперативки, но опять же можно ограничить исполняемые программы на сервере. А штатными средствами БД уже применять ограничения на работу в самой базе.
Ведь я только всего и хочу, чтобы всё всегда было по-моему

Offline Liva

  • Newbie
  • *
  • Posts: 19
  • Karma: +0/-0
Защита базы 1С от копирования.
« Reply #12 on: August 01, 2008, 12:52:34 »
Quote from: .05
r просто хотелось бы узнать нет ли возможности создания такого информационного окружения, в котором некоторые данные на ТС, представляли бы шифрованную структуру, расшифровка которой происходила бы непосредственно на нем (т.е. база+своп на HDD зашифрованы, данные в ОЗУ нет),

PGP в помощь

Offline .05

  • Full Member
  • ***
  • Posts: 225
  • Karma: +2/-1
Защита базы 1С от копирования.
« Reply #13 on: August 01, 2008, 13:58:18 »
Quote from: Liva
PGP в помощь

не решает, при защите изнутри
« Last Edit: August 01, 2008, 14:00:08 by .05 »
Ведь я только всего и хочу, чтобы всё всегда было по-моему

Offline Liva

  • Newbie
  • *
  • Posts: 19
  • Karma: +0/-0
Защита базы 1С от копирования.
« Reply #14 on: August 01, 2008, 14:25:54 »
Quote from: .05
не решает, при защите изнутри

почему не решает?
(т.е. база+своп на HDD зашифрованы, данные в ОЗУ нет)
имхо это программа и делает файлы шифрует и дешифрирует налету

Offline HotIce

  • Sr. Member
  • ****
  • Posts: 339
  • Karma: +0/-0
    • http://
Защита базы 1С от копирования.
« Reply #15 on: August 03, 2008, 01:07:37 »
Quote from: Liva
почему не решает?
(т.е. база+своп на HDD зашифрованы, данные в ОЗУ нет)
имхо это программа и делает файлы шифрует и дешифрирует налету

А если еще RamDisk прикрутить, если оперативка позволяет.. То вообще приятно будет
Полного ответа могу не дать... но на мысль натолкну...

Offline rPman

  • Full Member
  • ***
  • Posts: 109
  • Karma: +0/-0
Защита базы 1С от копирования.
« Reply #16 on: August 03, 2008, 02:28:47 »
Шифрование защитит данные на носителе! и что? Шифрование актуально для данных, либо передаваемых либо по сети либо ещё как (флешкой той же).
Есть разные уровни .. атак, начиная с физического (подойти и украсть сервер), или воткнуть устройство-жучок ворующее пароли/ключи/др. данные, или программу-жучок, или средствами самой программы (если в ней нет средств защиты от несанкционированного доступа).
Так вот шифрование защитит (если ключи доступа само собой не на сервере а на внешних носителях/или что-нибудь основанное на биометрических системах) только от кражи железяки.
От устройства-жучка может защитить только перекрытие физического доступа (отдельный разговор и высокая стоимость), он же защитит и от воровства железа.
От жучка-программы - как раз выше обсуждаемые терминальные решения и запрет запуска все и вся, ну и конечно организационные меры тоже нужны.
От идеологических дыр в самой программе защитить сможет только его разработчик.. или смена ПО
P.S. Ну и широко известный терморектальный криптоанализ позволяет взломать абсолютно любую защиту  
« Last Edit: August 03, 2008, 02:32:44 by rPman »

Offline .05

  • Full Member
  • ***
  • Posts: 225
  • Karma: +2/-1
Защита базы 1С от копирования.
« Reply #17 on: August 06, 2008, 20:52:09 »
Quote from: HotIce
А если еще RamDisk прикрутить, если оперативка позволяет.. То вообще приятно будет

угу, особенно если сервак подвиснет или оператива подохнет, тогда даже ежечасные бэкапы не спасут жопу админа
Ведь я только всего и хочу, чтобы всё всегда было по-моему