Исторически сложилось так, что продукт 1С:Предприятие стал самым распространенным на территории стран
бывшего СССР. Каждая вторая организация использует продукты 1С для ведения учета и управления
предприятием. А как обстоят дела с безопасностью 1С? Откровенно говоря, в версии 7.7 внимание
безопасности не уделялось вообще. С выходом 8.2 версии платформы отношение разработчиков к защите
информации улучшилось незначительно. Существует две основных реализации работы программы: файловый вариант
и клиент-серверный. Каждый из них имеет массу уязвимостей, как общих, так и особенных.
Работа и хранение базы данных организованы на одном рабочем месте. При такой реализации говорить
о безопасности 1С вообще не приходится. Конфигурация и база данных хранятся
на локальном диске, который доступен для записи и чтения информации любому пользователю операционной
системы. Это дает неограниченные возможности по обходу системы защиты самой 1С. База программы может
находиться и на сетевом диске, что только усложняет вопрос обеспечения ее безопасности. При всем
этом сохранность и целостность данных организации обеспечивается только средствами программы 1С.
Сетевая версия
Из схемы работы сетевого варианта отчетливо видно большое количество звеньев системы. На каждом таком
этапе обработки и пересылки информации существуют свои угрозы хищения коммерческих данных,
повреждения их, или вероятность выхода из строя звена:
- простые пароли пользователей (хранение паролей на листочках, приклеенных на рабочем
месте);
- доступ пользователей к административным действиям конфигуратора;
- уязвимости операционной системы и СУБД;
- отсутствие разграничений прав доступа в 1С;
- возможность доступа к данным сервера СУБД;
- вирусы, шпионские программы;
- перехват информации;
- и многое другое.
Общие проблемы безопасности платформы
| В платформе 1С:Предприятие есть встроенный язык программирования, посредством которого
выполняется разработка конфигурации, ее доработка или модернизация под нужды предприятия.
В этом языке есть готовые объекты и классы для работы с протоколами HTTP, FTP,
SMTP и POP3, файловой системой, реестром Windows, медиафайлами и он-лайн
медиапотоками, системными процессами, базами данных и XML, ресурсами локальной сети
и другим.
Данный факт дает широкие возможности потенциальным злоумышленникам: от написания безобидных
модулей для просмотра фильмов в самой 1С или интернет-серфинга, до отправки
коммерческой информации через электронную почту или протокол FTP прямо из программы 1С.
Также, платформа активно использует компоненты интернет-обозревателя Internet Explorer,
о уязвимостях которого не говорил лишь ленивый.
Так, например, были случаи, когда «нечестный» рекламный баннер внедрял
в Internet Explorer свой модуль. Все бы ничего, но при запуске 1С загружался
этот модуль и передавал информацию своему владельцу.
Другой пример. Множество компаний сейчас предлагают удаленное использование 1С через
интернет из любой точки мира. Подключение происходит в терминальном режиме, где
запрещено все, кроме 1С. Защита, казалось бы, идеальная. Только достаточно воспользоваться
типами встроенного языка 1С для работы с файлами и реестром —
ограничения сняты. Мы получаем доступ к файловой системе, сетевому обмену, базам
данных… Даже к чужим базам, которые через протокол SMTP можем отправить себе
на почту. |
 |
Защищаем 1С
Все вышеописанное красноречиво свидетельствует о необходимости комплексного подхода к защите продуктов на базе
«1С:Предприятие». Как определить конкретные угрозы и выработать меры защиты? Ответ прост: провести
аудит информационной безопасности. Специалисты EFSOL, партнера фирмы
«1С» со статусом «Центр компетенции по производству», имеют огромный опыт автоматизации, системной интеграции и
защиты предприятий.
