Информационная безопасность 1С

---

Исторически сложилось так, что продукт 1С:Предприятие стал самым распространенным на территории стран бывшего СССР. Каждая вторая организация использует продукты 1С для ведения учета и управления предприятием. А как обстоят дела с безопасностью 1С? Откровенно говоря, в версии 7.7 внимание безопасности не уделялось вообще. С выходом 8.2 версии платформы отношение разработчиков к защите информации улучшилось незначительно. Существует две основных реализации работы программы: файловый вариант и клиент-серверный. Каждый из них имеет массу уязвимостей, как общих, так и особенных.

---

Файловая версия

Работа и хранение базы данных организованы на одном рабочем месте. При такой реализации говорить о безопасности 1С вообще не приходится. Конфигурация и база данных хранятся на локальном диске, который доступен для записи и чтения информации любому пользователю операционной системы. Это дает неограниченные возможности по обходу системы защиты самой 1С. База программы может находиться и на сетевом диске, что только усложняет вопрос обеспечения ее безопасности. При всем этом сохранность и целостность данных организации обеспечивается только средствами программы 1С.

---

Сетевая версия

Из схемы работы сетевого варианта отчетливо видно большое количество звеньев системы. На каждом таком этапе обработки и пересылки информации существуют свои угрозы хищения коммерческих данных, повреждения их, или вероятность выхода из строя звена:

• простые пароли пользователей (хранение паролей на листочках, приклеенных на рабочем месте);
• доступ пользователей к административным действиям конфигуратора;
• уязвимости операционной системы и СУБД;
• отсутствие разграничений прав доступа в 1С;
• возможность доступа к данным сервера СУБД;
• вирусы, шпионские программы;
• перехват информации;
• и многое другое.

---

Общие проблемы безопасности платформы

В платформе 1С:Предприятие есть встроенный язык программирования, посредством которого выполняется разработка конфигурации, ее доработка или модернизация под нужды предприятия. В этом языке есть готовые объекты и классы для работы с протоколами HTTP, FTP, SMTP и POP3, файловой системой, реестром Windows, медиафайлами и он-лайн медиапотоками, системными процессами, базами данных и XML, ресурсами локальной сети и другим. Данный факт дает широкие возможности потенциальным злоумышленникам: от написания безобидных модулей для просмотра фильмов в самой 1С или интернет-серфинга, до отправки коммерческой информации через электронную почту или протокол FTP прямо из программы 1С. Также, платформа активно использует компоненты интернет-обозревателя Internet Explorer, о уязвимостях которого не говорил лишь ленивый. Так, например, были случаи, когда «нечестный» рекламный баннер внедрял в Internet Explorer свой модуль. Все бы ничего, но при запуске 1С загружался этот модуль и передавал информацию своему владельцу. Другой пример. Множество компаний сейчас предлагают удаленное использование 1С через интернет из любой точки мира. Подключение происходит в терминальном режиме, где запрещено все, кроме 1С. Защита, казалось бы, идеальная. Только достаточно воспользоваться типами встроенного языка 1С для работы с файлами и реестром — ограничения сняты. Мы получаем доступ к файловой системе, сетевому обмену, базам данных… Даже к чужим базам, которые через протокол SMTP можем отправить себе на почту.

---

Защищаем 1С

Все вышеописанное красноречиво свидетельствует о необходимости комплексного подхода к защите продуктов на базе «1С:Предприятие». Как определить конкретные угрозы и выработать меры защиты? Ответ прост: провести аудит информационной безопасности. Специалисты EFSOL, партнера фирмы «1С» со статусом «Центр компетенции по производству», имеют огромный опыт автоматизации, системной интеграции и защиты предприятий.