Доров всем!
Интересует такой вопросик: назрела необходимость обезопасить родную контору от воровства бух. базы. Ну, типа что бы ее копирнуть на локальную машину с серванта не могли.
Но работать при этом с этой локи с ней что бы можно было. Голова уже нагрелась прилично, а толку пока мало . Может кто знает как правильно права разрулить?
Но как всегда - земная неустроенность
Диктует свой безжалостный закон.
Когда одним - прибавочная стоимость,
Тогда другим - с крутых яиц бульон(С)
Win2000 Server(SP3). Клиенты - Win98,Win2000.
На сервере папка с базой 1С открыта для доступа ( расшарена), чтобы можно было с пк клиентов подключать базы для работы с 1С. На папку стоит разрешение на чтение и запись, чтобы в 1С можно было работать, но при разрешении на чтение можно базу скопировать с компьютера клиента - в этом проблема.
Но как всегда - земная неустроенность
Диктует свой безжалостный закон.
Когда одним - прибавочная стоимость,
Тогда другим - с крутых яиц бульон(С)
А что , появилась новая операция - копирование? Я всегда считал, что это чтение :(...
Защита информации - комплекс технических, организационных и т.д. мероприятий. По твоему подходу решения нет.
Чтобы не могли скопировать на рабочую машину, надо закрывать по записи на эту машину базы . Но что мешает копировать базу с сервера на съемный носитель ???
Так что здесь нужно организационно и технически закрывать клиентские машины :(...
А можно поподробнее: о организационно - технических мерах.
Надыть, что ли, всем USB + флопы отрубать?
Чего то сложно больно.
Скажите, плиз, кто как эту проблему решает?
Но как всегда - земная неустроенность
Диктует свой безжалостный закон.
Когда одним - прибавочная стоимость,
Тогда другим - с крутых яиц бульон(С)
А если на всех клиентских машинах осуществлять доступ к 1С через клиентов терминалов. На сервере установить сервер терминалов а на клиентских машинах разрешать в клиенте терминалах запускать только программу 1С. Тогда не понадобится давать общий доступ ( расшаривать) папку с базой 1С.
Это поможет или нет?
Но как всегда - земная неустроенность
Диктует свой безжалостный закон.
Когда одним - прибавочная стоимость,
Тогда другим - с крутых яиц бульон(С)
Единственно-правильное решение: 1С в терминале. Плюс желательно для пущей безопасности отключить флопповод на всех машинках. А в идеале пользовать на клиентских местах так называемых "тонких клиентов".
Ну про организационно-технические меры тебе уже рассказали...
Встречный вопрос - а что у вас такого секретного в 1с базе, что ее надо так люто хранить?
Ну Владимир, ну что ты как маленький!
Ведь бухгалтерия разная бывает. Белая. Черная.... :)Да даже переход к конкуренту списка клиентов фирмы, може ой как ей аукнуться в будущем... Так сто нужно блюсти тайну 1С.
Ага. Совершенно верно. Одна маленькая утечка и "усе пропало!!!". Сдается мне, только хорошо отруленная терминалка спасет отца русской демократии.... Хотя, действительно, еще ведь можно и монитор фотографировать.....:)
Но как всегда - земная неустроенность
Диктует свой безжалостный закон.
Когда одним - прибавочная стоимость,
Тогда другим - с крутых яиц бульон(С)
Не забудь главное запретить запуск внешних отчетов, запретить доступ к нетребуемой информации(для каждого пользователя), запретить использование в качестве OLE сервера и прочую лабуду. Иначе все остальные хитрости ничего не стоят (точнее действую только на глупого глупого юзера)
Скромность украшает мужчину. Но настоящий мужчина в украшениях не нуждается.
= Ведь бухгалтерия разная бывает. Белая. Черная....
Ну и упер я черную бухгалтерию, дальше то что? Доказательством она нигде быть не сможет. Налоговиков натравить? Это и без ворованной базы можно.
=Да даже переход к конкуренту списка клиентов фирмы, може ой как ей аукнуться в будущем...
Это еще почему? Ты упер список клиентов и что ты с ним будешь делать?
Секретится должна информация, которая действительно является секретной (ну или коммерческой тайной). Вначале надо определится, что есть секретная информация, а потом придумывать методы ее защиты и никак не наоборот...
1) Допустим я веду некую коммерческую деятельность. Без разницы какую.
Весьма интересным моментом для меня будет список клиентов к которым я могу обратится для предложения своих услуг (те клиентов которые реально пользуются этими услугами), причем я буду знать с какими ценами к ним можно подходить. Это самое простое..
2) Теперь интереснее. Берем упираем базу из предприятия конкурента. Так как у них явно не все чисто с бухгалтерией (черную никто не отменял) то просто передаем эту базу налоговой. Доказательством она конечно не является, но является указанием в каком направлении рыть. А то что нароют сомневатся не приходится(тебе кстати и премию еще дадут).
3) Берем и меняем информацию в бух.базе по собственному усмотрению. Например увеличиваем себе премию (незаметно так..). Или меняем сумму проводок по рэндому (пипец отчетности).
4) Наконец просто удаляем базу.
p.s. Ты все еще считаешь что нечего прятать?
Скромность украшает мужчину. Но настоящий мужчина в украшениях не нуждается.
Есть зато операция "поиск". Если ее запретить - 99% процентов пользователей уже и так ничего не смогут скопировать. Чего тянуть-то, если файлов не видно? :-)
Не стопроцентно надежная, конечно, мера, но, в качестве первого шага - почему бы нет? И делаться, вроде, должна в два клика...
= 1.Весьма интересным моментом для меня будет список клиентов к которым я могу обратится для предложения своих услуг
Постоянные клиенты на рынке поделены всякими правдами и неправдами. Если ты подъедешь к клиенту другой конторы, он тебя просто пошлет. если с конкурентом работает давно. А для поиска клиентов есть базы ;)...
=Так как у них явно не все чисто с бухгалтерией (черную никто не отменял) то просто передаем эту базу налоговой. Доказательством она конечно не является, но является указанием в каком направлении рыть
Анонимки не принимаются. Так что скорее уроют тебя, когда узнают, кто настучал. А ,в принципе, что тебе мешает подать заяву в налоговую, что фирма имярек чернушничает, не прикладывая никаких баз?
А эту базу они и рассматривать не будут - где гарантия, что это не фальсификат?
= 3) Берем и меняем информацию в бух.базе по собственному усмотрению.
А это совсем другое . Рассматривается кража информации , а не подмена. Здесь все регламентируется доступом к конкретной информации
= 4) Наконец просто удаляем базу.
Ну и что, админ восстанавливает ее с копии , а виновного в удалении увольняют...
И еще - невозможно защитить информацию, не доверяя сотрудникам. Есть шпиены - сопрут, лазейка найдется...
= Эх... Твое незнание от честности и лояльности к конторе.
Это общая черта сисадминов. При нынешнем бардаке в определении степени конфеденциальности информации сисадмины - самые страшные для конторы люди. Они почему-то имеют доступ ко всей информации :(...
= Если кто-то получает информации о фирме больше, чем ему положено - это уже есть нехорошо.
Вот для начала и надо определить меры конфеденциальности информации и механизм допуска к этой информации+ механизм регистрации этого доступа...
Средства, вкладываемые в защиту данных должны быть пропорциональны важности этих данных. Идеально защищен комп отключенный от всех проводов, запертый в сейф и плотненько окруженный тупыми (чтоб ничего не смогли сделать с компом) дуболомами-охранниками.
If VEGETarians eat VEGETables, what do HUMANitarians eat?
Is PROgress controversial to CONgress?
В ответ на: Постоянные клиенты на рынке поделены всякими правдами и неправдами. Если ты подъедешь к клиенту другой конторы, он тебя просто пошлет. если с конкурентом работает давно. А для поиска клиентов есть базы
Если я знаю чужое предложение, я могу сделать свое более выгодное, и поверь они согласятся на мое 8ъ. Цены в подавляющем большинстве случаев являются коммерческой тайной.
В ответ на: А это совсем другое . Рассматривается кража информации , а не подмена. Здесь все регламентируется доступом к конкретной информации
А админу которого уволят от этого легче?
В ответ на: Ну и что, админ восстанавливает ее с копии , а виновного в удалении увольняют...
И день(полдня) работы (по моему опыту) потерян. Для крупной конторы это потери порядка сотен тысяч. Следовательно админа снова уволят.
Скромность украшает мужчину. Но настоящий мужчина в украшениях не нуждается.
= Цены в подавляющем большинстве случаев являются коммерческой тайной.
Насмешил. Ты и прайс-листа не разу не видел?
= Если я знаю чужое предложение, я могу сделать свое более выгодное, и поверь они согласятся на мое 8ъ
Я работаю с конкретной комп.конторой. Как минимум три раза в неделю мне звонят и предлагают более низкие цены. Я их вежливо посылаю. Не только цены являются определяющими.
Был как-то случай. Довольный знакомый притащил клиентскую базу конкурирующей конторы. Я ему ее поднял. Каково же было его разочарование, когда он увидел в ней практически своих клиентов.
Он то надеялся найти новых...
В следующих пунктах, на которых ты остановился, и рассматривать нечего. Здесь дело бухгалтерии- правильно вести и контролировать информацию и админа-защитить информацию от удаления.
В моей W2k это называется "List Folder Contents".
Запрет этой возможности означает, что пользователь не сможет посмотреть содержимое папки. Хотя файлы будут доступны на чтение, при условии, что известен полный путь и имя.
Задумка состоит как раз в том, чтобы юзеры этого пути вообще не знали.
Я, к сожалению, не знаю, как работает 1С. Однако, всякая грамотно построенная система не должна спрашивать у пользователя, где искать нужные для работы файлы. Все необходимые пути должны быть заранее прописаны где-нибудь в настройках. Если это тот самый случай - тогда все просто.
Например, базы данных упрятываются куда-нибудь вглубь "секретного" дерева, на корню которого запрещен листинг. Даже если программа в процессе работы сама "злоупотребляет" поиском файлов по шаблону - можно разрешить этот поиск для тех папок, в которых он ей необходим. Вход в дерево для браузера все равно будет "блокирован" сверху.
Еще раз оговорюсь - это, разумеется, не защита против "хакера", а лишь средство, позволяющее отбить охоту у абсолютного большинства.
= Запрет этой возможности означает, что пользователь не сможет посмотреть содержимое папки. Хотя файлы будут доступны на чтение, при условии, что известен полный путь и имя.
Ты это проверил на 1С или БЭСТе? Рекомендуешь таким образом защищать бух.пакеты?
ИМХО, проверять тут особо нечего - это работает.
Подобной фишкой мне приходилось пользоваться для сокрытия содержимого каталогов еще под МС-ДОС.
Речь, как я уже многократно оговаривался, не идет о выборе данного варианта, как окончательного средства защиты. Одако, первое, что я лично бы сделал - именно оно. Поскольку это позволяет натурально парой кликов создать массу проблем подавляющему большинству потенциальных "шпионов".
не согласен.
эффективные решения - просты. такого сорта методы наблюдаю (и использую) в работе с тех же времен dos.
вообще, в этом деле нет мелочей, - и что угодно лучше чем ничего.
Мое ИМХО в том, что нет нужды проверять это на примере каждой конкретной программы. Это функциональность операционки, и она проверена годами...
Сомнение только в том, могут ли все пути быть прописаны в конфигурации - никогда не держал в руках 1С.
= эффективные решения - просты.
Здесь уж я не согласен. Могут быть простыми, могут и нет. Выше хорошее замечание Злыдя было об адекватности мер защиты информации ценности защищаемой информациии.
После установки твоей схемы (защиты говорить не будем ;)) натиск врагов ослабевает, но один грамотный враг утаскивает информацию.
Крайних где искать будем;)?
= Примерно там же, где мы будем их искать, когда информацию утащит сотня безграмотных .
Это не ответ. Твоя задача защитить информацию от всех, грамотных ли , безграмотных. По твоему методу, увы, защиты нет...
Ндя... ну и спорчик получился...
Мой подход - всегда лучше что-то, чем совсем ничего.
Другой пример - до того момента, пока ты сможешь доползти до окопа... уж лучше быть, все-таки, в каске, чем без :-)
Впрочем, ты и сам все прекрасно понимаешь. А не хочешь согласиться - твое право, я пас
В ответ на: В моей W2k это называется "List Folder Contents".
Запрет этой возможности означает, что пользователь не сможет посмотреть содержимое папки. Хотя файлы будут доступны на чтение, при условии, что известен полный путь и имя.
А ты уверен что 1с знает полные имена всех файлов ?
Любовь бурундука с пакетом, Красива как стихи поэта, Прекрасна и зимой, и летом, Любовь бурундука с пакетом.