Контакты
Подписка
МЕНЮ
Контакты
Подписка

secret net + контроль потоков + 1C бухгалтерия - Форум по вопросам информационной безопасности

secret net + контроль потоков + 1C бухгалтерия - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: qwerty | 70057 27.03.2017 10:50
Добрый день!

Вопрос по настройке СЗИ Secret Net 7.
Планируется закупить и использовать 1С бухгалтерию. Данное ПО должно работать в конфиденциальной сессии. Какие реализовать контроль потоков для данного ПО, какие каталоги надо указать в перенаправлении, и вообще какие трудности могут возникнуть при использовании данного ПО совместно СЗИ.

Прошу поделится опытом, кто сталкивался. Заранее, Спасибо.

Автор: oko | 70096 27.03.2017 23:00
Приветствую!
Если мне память не изменяет, то никаких настроек дополнительно не требуется. Год-два назад с подобным сталкивался (1С 7.7 и 1С 8.2). Стандартное (в SN7 уже автоматическое) перенаправление потоков для temp-каталогов пользователей и C:\Windows\Temp - на этом, пожалуй, все. Но это для модели 1С в качестве "толстого клиента", когда ПО 1С устанавливается на каждый защищаемый АРМ отдельно, а на сервере хранится только база. В случае, если 1С будет использоваться в терминальном режиме, главное - разрешить использование HASP-ключа (в контроле устройств) на сервере и активировать нужное количество лицензий SN7 на терминальный режим.

Автор: Dfg | 70252 29.03.2017 09:01
Немного в сторону. А вы планируете доступ к бух данным -внутри- 1c на уровне SN ограничивать?

Автор: oko | 70266 29.03.2017 13:30
to Dfg
В таких системах применяется периметральная модель безопасности. Прошел ИАФ на уровне ОС? Отлично - получи доступ ко всем программам, разрешенным на запуск. А если эти программы обрабатывают структуры БД без разграничения внутри, то и к ним. Согласен, выходит не очень красиво. Но в ГТ редко квалифицированного внутреннего нарушителя рассматривают (по бумагам, разумеется). А внешний отсекается средствами СЗИ НСД на уровне ОС, не СУБД.
+ нет той же 1С с сертификатом по СВТ4+, чтобы ее можно было в ГТ-АС использовать как отдельное СЗИ. Так что по сути работа с БД ничем не отличается от работы с обычными электронными документами. К которым уже доступ разграничен (хотя бы дискреционно, потому как реализация мандатки в режиме сессии - это хрень несусветная, которую почему-то у нас везде принимают за образец для подражания)...
Прошла пара лет

Автор: Vosiley | 104757 23.11.2018 18:59
А если усложнить задачу? Требуется настроить мандатный доступ к базе 1с версии 8, которая находится на sql сервере в сети.
Было настроено перенаправление локальных папок рабочей станции, на которые ругался secret net studio, системному пользователю на сервере, которому не давал доступ к базе secret net, была выдана мандатная метка. После всего этого ругань на запрет доступа к ресурсам прекратилась, но база все равно недоступна в клиенте 1с.

Автор: oko | 104758 23.11.2018 19:23
to Vosiley
Не знаю, есть ли в 1С версия "база в sql" в чистом виде. Если есть и у вас такой случай - бросьте это гиблое дело, навесными СЗИ НСД уровня ОС такую задачу не решить...
В свое время для классической модели "клиент подключается к базе, которая представляет собой совокупность файлов, размещенную на шаре в сети" поступал крайне просто. Как раз под SNS. Нужный гриф на шару, нужный мандат допуска для юзера, наличие сервера безопасности и взаимной видимости "сервера" (на котором шара) и "клиента" между собой. Тогда база будет доступна на клиенте в 1 выбранном мандатном режиме. Нужно несколько режимов? Придется делать несколько баз...

Автор: Vosiley | 104762 24.11.2018 00:28
Ну да, с собственными базами 1с проще, но вот есть такая самописная база под 1с-предприятие.
в ТП сказали, шо случай совсем нетипичный (ну мол нет ни у кого баз в 1с-sql), составлю запрос по почте, по результатам отпишусь.

Автор: oko | 104784 24.11.2018 22:36
to Vosiley
При всем уважении к желанию разобраться, мой совет - забейте. Эту задачу нельзя решить (без дичайших костылей) средствами навесных СЗИ НСД уровня ОС, еще раз повторяю. Принцип работы другой. Не получится влезть с мандатными метками на уровень СУБД. Для всего остального есть урезанные СУБД в составе соответствующих ОС, которые сертифицированы и с грехом пополам поддерживают такую схему мандатного доступа, ага...

Просмотров темы: 4686

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*