Вопрос о раздаче прав на папки
6280
47
Доров всем!
Интересует такой вопросик: назрела необходимость обезопасить родную контору от воровства бух. базы. Ну, типа что бы ее копирнуть на локальную машину с серванта не могли.
Но работать при этом с этой локи с ней что бы можно было. Голова уже нагрелась прилично, а толку пока мало . Может кто знает как правильно права разрулить?
Tarz
Но работать при этом с этой локи с ней что бы можно было.
Ничче не понял. Если можно, еще раз то же самое и без жаргона, плиз. Также неясно, какая операционка на "серванте". :ха-ха!:
zed
Win2000 Server(SP3). Клиенты - Win98,Win2000.
На сервере папка с базой 1С открыта для доступа ( расшарена), чтобы можно было с пк клиентов подключать базы для работы с 1С. На папку стоит разрешение на чтение и запись, чтобы в 1С можно было работать, но при разрешении на чтение можно базу скопировать с компьютера клиента - в этом проблема.
А что , появилась новая операция - копирование? Я всегда считал, что это чтение :(...
Защита информации - комплекс технических, организационных и т.д. мероприятий. По твоему подходу решения нет.
Чтобы не могли скопировать на рабочую машину, надо закрывать по записи на эту машину базы . Но что мешает копировать базу с сервера на съемный носитель ???
Так что здесь нужно организационно и технически закрывать клиентские машины :(...
Tarz
Присоединяюсь к предыдущему оратору. Нет чисто софтового решения такой проблемы...
А можно поподробнее: о организационно - технических мерах.:улыб:
Надыть, что ли, всем USB + флопы отрубать?
Чего то сложно больно.
Скажите, плиз, кто как эту проблему решает?
zed
А если на всех клиентских машинах осуществлять доступ к 1С через клиентов терминалов. На сервере установить сервер терминалов а на клиентских машинах разрешать в клиенте терминалах запускать только программу 1С. Тогда не понадобится давать общий доступ ( расшаривать) папку с базой 1С.
Это поможет или нет?
Tarz
В том режиме работы с 1С в каком ты работаешь это не удастся(уж поверь). Доступ к базе 1С можно ограничить ТОЛЬКО если работать в терминальном режиме.
Tarz
Поможет. но потом необходимо настроить права доступа для апользователей внутри самой 1С
Tarz
Единственно-правильное решение: 1С в терминале. Плюс желательно для пущей безопасности отключить флопповод на всех машинках. А в идеале пользовать на клиентских местах так называемых "тонких клиентов".
Barlog
А нафиг флопари то блокировать? Кроме флопарей
есть еще флэшки и внешние драйвы. Гораздо лучше настроить грамотно права пользователей.
Неместный
еще есть принтеры.
а на крайняк и фотоаппараты никто не отменял. :спок:
но это не значит, что делать ничего не надо (imho). :спок:
Tarz
Есть куда более действенный способ - заметил копирование - лишил оклада, второй раз - уволил. Действует железно :спок:
Barlog
Поддерживаю!
Нафига конторским крысам сидюки и флопари?
Хочет всавить диск - иди вставляй в сервак, под присмотром :спок:
Ну про организационно-технические меры тебе уже рассказали...
Встречный вопрос - а что у вас такого секретного в 1с базе, что ее надо так люто хранить?
Ну Владимир, ну что ты как маленький!:миг:
Ведь бухгалтерия разная бывает. Белая. Черная.... :)Да даже переход к конкуренту списка клиентов фирмы, може ой как ей аукнуться в будущем... Так сто нужно блюсти тайну 1С.:улыб:
Barlog
Ага. Совершенно верно. Одна маленькая утечка и "усе пропало!!!". Сдается мне, только хорошо отруленная терминалка спасет отца русской демократии.... Хотя, действительно, еще ведь можно и монитор фотографировать.....:)
Tarz
Не забудь главное запретить запуск внешних отчетов, запретить доступ к нетребуемой информации(для каждого пользователя), запретить использование в качестве OLE сервера и прочую лабуду. Иначе все остальные хитрости ничего не стоят (точнее действую только на глупого глупого юзера)
= Ведь бухгалтерия разная бывает. Белая. Черная....
Ну и упер я черную бухгалтерию, дальше то что? Доказательством она нигде быть не сможет. Налоговиков натравить? Это и без ворованной базы можно.

=Да даже переход к конкуренту списка клиентов фирмы, може ой как ей аукнуться в будущем...
Это еще почему? Ты упер список клиентов и что ты с ним будешь делать?

Секретится должна информация, которая действительно является секретной (ну или коммерческой тайной). Вначале надо определится, что есть секретная информация, а потом придумывать методы ее защиты и никак не наоборот...
1) Допустим я веду некую коммерческую деятельность. Без разницы какую.
Весьма интересным моментом для меня будет список клиентов к которым я могу обратится для предложения своих услуг (те клиентов которые реально пользуются этими услугами), причем я буду знать с какими ценами к ним можно подходить. Это самое простое..
2) Теперь интереснее. Берем упираем базу из предприятия конкурента. Так как у них явно не все чисто с бухгалтерией (черную никто не отменял) то просто передаем эту базу налоговой. Доказательством она конечно не является, но является указанием в каком направлении рыть. А то что нароют сомневатся не приходится(тебе кстати и премию еще дадут).
3) Берем и меняем информацию в бух.базе по собственному усмотрению. Например увеличиваем себе премию (незаметно так..). Или меняем сумму проводок по рэндому (пипец отчетности).
4) Наконец просто удаляем базу.

p.s. Ты все еще считаешь что нечего прятать?
> А что , появилась новая операция - копирование?

Есть зато операция "поиск". Если ее запретить - 99% процентов пользователей уже и так ничего не смогут скопировать. Чего тянуть-то, если файлов не видно? :-)
Не стопроцентно надежная, конечно, мера, но, в качестве первого шага - почему бы нет? И делаться, вроде, должна в два клика...
Эх... Твое незнание от честности и лояльности к конторе.:миг: :ха-ха!: :ха-ха!:
Если кто-то получает информации о фирме больше, чем ему положено - это уже есть нехорошо.
Отвечу:

= 1.Весьма интересным моментом для меня будет список клиентов к которым я могу обратится для предложения своих услуг
Постоянные клиенты на рынке поделены всякими правдами и неправдами. Если ты подъедешь к клиенту другой конторы, он тебя просто пошлет. если с конкурентом работает давно. А для поиска клиентов есть базы ;)...
=Так как у них явно не все чисто с бухгалтерией (черную никто не отменял) то просто передаем эту базу налоговой. Доказательством она конечно не является, но является указанием в каком направлении рыть
Анонимки не принимаются:миг:. Так что скорее уроют тебя, когда узнают, кто настучал. А ,в принципе, что тебе мешает подать заяву в налоговую, что фирма имярек чернушничает, не прикладывая никаких баз?
А эту базу они и рассматривать не будут - где гарантия, что это не фальсификат?
= 3) Берем и меняем информацию в бух.базе по собственному усмотрению.
А это совсем другое . Рассматривается кража информации , а не подмена. Здесь все регламентируется доступом к конкретной информации
= 4) Наконец просто удаляем базу.
Ну и что, админ восстанавливает ее с копии , а виновного в удалении увольняют...

И еще - невозможно защитить информацию, не доверяя сотрудникам. Есть шпиены - сопрут, лазейка найдется...
= Эх... Твое незнание от честности и лояльности к конторе.
Это общая черта сисадминов. При нынешнем бардаке в определении степени конфеденциальности информации сисадмины - самые страшные для конторы люди. Они почему-то имеют доступ ко всей информации :(...

= Если кто-то получает информации о фирме больше, чем ему положено - это уже есть нехорошо.
Вот для начала и надо определить меры конфеденциальности информации и механизм допуска к этой информации+ механизм регистрации этого доступа...
Средства, вкладываемые в защиту данных должны быть пропорциональны важности этих данных. Идеально защищен комп отключенный от всех проводов, запертый в сейф и плотненько окруженный тупыми (чтоб ничего не смогли сделать с компом) дуболомами-охранниками.
Постоянные клиенты на рынке поделены всякими правдами и неправдами. Если ты подъедешь к клиенту другой конторы, он тебя просто пошлет. если с конкурентом работает давно. А для поиска клиентов есть базы
Если я знаю чужое предложение, я могу сделать свое более выгодное, и поверь они согласятся на мое 8ъ. Цены в подавляющем большинстве случаев являются коммерческой тайной.
А это совсем другое . Рассматривается кража информации , а не подмена. Здесь все регламентируется доступом к конкретной информации
А админу которого уволят от этого легче?
Ну и что, админ восстанавливает ее с копии , а виновного в удалении увольняют...
И день(полдня) работы (по моему опыту) потерян. Для крупной конторы это потери порядка сотен тысяч. Следовательно админа снова уволят.
= Цены в подавляющем большинстве случаев являются коммерческой тайной.
Насмешил. Ты и прайс-листа не разу не видел?

= Если я знаю чужое предложение, я могу сделать свое более выгодное, и поверь они согласятся на мое 8ъ
Я работаю с конкретной комп.конторой. Как минимум три раза в неделю мне звонят и предлагают более низкие цены. Я их вежливо посылаю. Не только цены являются определяющими.
Был как-то случай. Довольный знакомый притащил клиентскую базу конкурирующей конторы. Я ему ее поднял. Каково же было его разочарование, когда он увидел в ней практически своих клиентов.
Он то надеялся найти новых...

В следующих пунктах, на которых ты остановился, и рассматривать нечего. Здесь дело бухгалтерии- правильно вести и контролировать информацию и админа-защитить информацию от удаления.
onanymous
А можно в этой части поподробнее? Чего то я не понял - что есть "операция поиск". Можно немножко поконкретней, плиз?
Tarz
> Чего то я не понял - что есть "операция поиск".

В моей W2k это называется "List Folder Contents".
Запрет этой возможности означает, что пользователь не сможет посмотреть содержимое папки. Хотя файлы будут доступны на чтение, при условии, что известен полный путь и имя.
onanymous
а они не за е....тся прописывать полный путь? Юзеры, особенно бухгалтерия, весьма боятся компов...
Злыдь
худшая из возможных ошибок - недооценить потенциал противника.

что-то я сегодня особенно мрачен.. если кого задел - прошу прощения..
Злыдь
Задумка состоит как раз в том, чтобы юзеры этого пути вообще не знали.

Я, к сожалению, не знаю, как работает 1С. Однако, всякая грамотно построенная система не должна спрашивать у пользователя, где искать нужные для работы файлы. Все необходимые пути должны быть заранее прописаны где-нибудь в настройках. Если это тот самый случай - тогда все просто.

Например, базы данных упрятываются куда-нибудь вглубь "секретного" дерева, на корню которого запрещен листинг. Даже если программа в процессе работы сама "злоупотребляет" поиском файлов по шаблону - можно разрешить этот поиск для тех папок, в которых он ей необходим. Вход в дерево для браузера все равно будет "блокирован" сверху.

Еще раз оговорюсь - это, разумеется, не защита против "хакера", а лишь средство, позволяющее отбить охоту у абсолютного большинства.
= Запрет этой возможности означает, что пользователь не сможет посмотреть содержимое папки. Хотя файлы будут доступны на чтение, при условии, что известен полный путь и имя.
Ты это проверил на 1С или БЭСТе? Рекомендуешь таким образом защищать бух.пакеты?
ИМХО, проверять тут особо нечего - это работает.
Подобной фишкой мне приходилось пользоваться для сокрытия содержимого каталогов еще под МС-ДОС.

Речь, как я уже многократно оговаривался, не идет о выборе данного варианта, как окончательного средства защиты. Одако, первое, что я лично бы сделал - именно оно. Поскольку это позволяет натурально парой кликов создать массу проблем подавляющему большинству потенциальных "шпионов".
ИМХО лучше вообще ничего не защищать, чем защищать по твоему методу. Это не защита - фикция...
не согласен.
эффективные решения - просты. такого сорта методы наблюдаю (и использую) в работе с тех же времен dos.
вообще, в этом деле нет мелочей, - и что угодно лучше чем ничего. :спок:
onanymous
ИМХО, проверять тут особо нечего - это работает.
Так ты поверял или все это только твое ИМХО????
Barlog
Мое ИМХО в том, что нет нужды проверять это на примере каждой конкретной программы. Это функциональность операционки, и она проверена годами...
Сомнение только в том, могут ли все пути быть прописаны в конфигурации - никогда не держал в руках 1С.
= эффективные решения - просты.
Здесь уж я не согласен. Могут быть простыми, могут и нет. Выше хорошее замечание Злыдя было об адекватности мер защиты информации ценности защищаемой информациии.
Данная мера не позиционируется, как средство защиты. А только как способ ослабить "натиск врага", пока адекватное средство защиты не будет найдено:улыб:
После установки твоей схемы (защиты говорить не будем ;)) натиск врагов ослабевает, но один грамотный враг утаскивает информацию.
Крайних где искать будем;)?
Примерно там же, где мы будем их искать, когда информацию утащит сотня безграмотных:улыб:
= Примерно там же, где мы будем их искать, когда информацию утащит сотня безграмотных .
Это не ответ. Твоя задача защитить информацию от всех, грамотных ли , безграмотных. По твоему методу, увы, защиты нет...
Ндя... ну и спорчик получился...
Мой подход - всегда лучше что-то, чем совсем ничего.
Другой пример - до того момента, пока ты сможешь доползти до окопа... уж лучше быть, все-таки, в каске, чем без :-)
Впрочем, ты и сам все прекрасно понимаешь. А не хочешь согласиться - твое право, я пас :улыб:
Неместный
Ставь SQL вариант 1c базы
ЕЕ утащить намного сложнее
onanymous
В моей W2k это называется "List Folder Contents".
Запрет этой возможности означает, что пользователь не сможет посмотреть содержимое папки. Хотя файлы будут доступны на чтение, при условии, что известен полный путь и имя.
А ты уверен что 1с знает полные имена всех файлов ?