Вопрос о раздаче прав на папки
6292
47
Tarz
v.i.p.
Доров всем!
Интересует такой вопросик: назрела необходимость обезопасить родную контору от воровства бух. базы. Ну, типа что бы ее копирнуть на локальную машину с серванта не могли.
Но работать при этом с этой локи с ней что бы можно было. Голова уже нагрелась прилично, а толку пока мало . Может кто знает как правильно права разрулить?
Интересует такой вопросик: назрела необходимость обезопасить родную контору от воровства бух. базы. Ну, типа что бы ее копирнуть на локальную машину с серванта не могли.
Но работать при этом с этой локи с ней что бы можно было. Голова уже нагрелась прилично, а толку пока мало . Может кто знает как правильно права разрулить?
Но работать при этом с этой локи с ней что бы можно было.Ничче не понял. Если можно, еще раз то же самое и без жаргона, плиз. Также неясно, какая операционка на "серванте".
Win2000 Server(SP3). Клиенты - Win98,Win2000.
На сервере папка с базой 1С открыта для доступа ( расшарена), чтобы можно было с пк клиентов подключать базы для работы с 1С. На папку стоит разрешение на чтение и запись, чтобы в 1С можно было работать, но при разрешении на чтение можно базу скопировать с компьютера клиента - в этом проблема.
На сервере папка с базой 1С открыта для доступа ( расшарена), чтобы можно было с пк клиентов подключать базы для работы с 1С. На папку стоит разрешение на чтение и запись, чтобы в 1С можно было работать, но при разрешении на чтение можно базу скопировать с компьютера клиента - в этом проблема.
Владимир Щербак
veteran
А что , появилась новая операция - копирование? Я всегда считал, что это чтение :(...
Защита информации - комплекс технических, организационных и т.д. мероприятий. По твоему подходу решения нет.
Чтобы не могли скопировать на рабочую машину, надо закрывать по записи на эту машину базы . Но что мешает копировать базу с сервера на съемный носитель ???
Так что здесь нужно организационно и технически закрывать клиентские машины :(...
Защита информации - комплекс технических, организационных и т.д. мероприятий. По твоему подходу решения нет.
Чтобы не могли скопировать на рабочую машину, надо закрывать по записи на эту машину базы . Но что мешает копировать базу с сервера на съемный носитель ???
Так что здесь нужно организационно и технически закрывать клиентские машины :(...
Присоединяюсь к предыдущему оратору. Нет чисто софтового решения такой проблемы...
Tarz
v.i.p.
А можно поподробнее: о организационно - технических мерах.
Надыть, что ли, всем USB + флопы отрубать?
Чего то сложно больно.
Скажите, плиз, кто как эту проблему решает?
Надыть, что ли, всем USB + флопы отрубать?
Чего то сложно больно.
Скажите, плиз, кто как эту проблему решает?
А если на всех клиентских машинах осуществлять доступ к 1С через клиентов терминалов. На сервере установить сервер терминалов а на клиентских машинах разрешать в клиенте терминалах запускать только программу 1С. Тогда не понадобится давать общий доступ ( расшаривать) папку с базой 1С.
Это поможет или нет?
Это поможет или нет?
Сейчас читают
улыбнемся необоснованным утверждениям? :)
20216
141
Марафон стройности -11
208794
1000
Выбор между УАЗ патриот, great wall hover h3 new или б/у TLK Prado
30030
131
В том режиме работы с 1С в каком ты работаешь это не удастся(уж поверь). Доступ к базе 1С можно ограничить ТОЛЬКО если работать в терминальном режиме.
Поможет. но потом необходимо настроить права доступа для апользователей внутри самой 1С
Единственно-правильное решение: 1С в терминале. Плюс желательно для пущей безопасности отключить флопповод на всех машинках. А в идеале пользовать на клиентских местах так называемых "тонких клиентов".
А нафиг флопари то блокировать? Кроме флопарей
есть еще флэшки и внешние драйвы. Гораздо лучше настроить грамотно права пользователей.
есть еще флэшки и внешние драйвы. Гораздо лучше настроить грамотно права пользователей.
еще есть принтеры.
а на крайняк и фотоаппараты никто не отменял.
но это не значит, что делать ничего не надо (imho).
а на крайняк и фотоаппараты никто не отменял.
но это не значит, что делать ничего не надо (imho).
Есть куда более действенный способ - заметил копирование - лишил оклада, второй раз - уволил. Действует железно
Поддерживаю!
Нафига конторским крысам сидюки и флопари?
Хочет всавить диск - иди вставляй в сервак, под присмотром
Нафига конторским крысам сидюки и флопари?
Хочет всавить диск - иди вставляй в сервак, под присмотром
Владимир Щербак
veteran
Ну про организационно-технические меры тебе уже рассказали...
Встречный вопрос - а что у вас такого секретного в 1с базе, что ее надо так люто хранить?
Встречный вопрос - а что у вас такого секретного в 1с базе, что ее надо так люто хранить?
Barlog
guru
Ну Владимир, ну что ты как маленький!
Ведь бухгалтерия разная бывает. Белая. Черная.... :)Да даже переход к конкуренту списка клиентов фирмы, може ой как ей аукнуться в будущем... Так сто нужно блюсти тайну 1С.
Ведь бухгалтерия разная бывает. Белая. Черная.... :)Да даже переход к конкуренту списка клиентов фирмы, може ой как ей аукнуться в будущем... Так сто нужно блюсти тайну 1С.
Ага. Совершенно верно. Одна маленькая утечка и "усе пропало!!!". Сдается мне, только хорошо отруленная терминалка спасет отца русской демократии.... Хотя, действительно, еще ведь можно и монитор фотографировать.....:)
Не забудь главное запретить запуск внешних отчетов, запретить доступ к нетребуемой информации(для каждого пользователя), запретить использование в качестве OLE сервера и прочую лабуду. Иначе все остальные хитрости ничего не стоят (точнее действую только на глупого глупого юзера)
Владимир Щербак
veteran
= Ведь бухгалтерия разная бывает. Белая. Черная....
Ну и упер я черную бухгалтерию, дальше то что? Доказательством она нигде быть не сможет. Налоговиков натравить? Это и без ворованной базы можно.
=Да даже переход к конкуренту списка клиентов фирмы, може ой как ей аукнуться в будущем...
Это еще почему? Ты упер список клиентов и что ты с ним будешь делать?
Секретится должна информация, которая действительно является секретной (ну или коммерческой тайной). Вначале надо определится, что есть секретная информация, а потом придумывать методы ее защиты и никак не наоборот...
Ну и упер я черную бухгалтерию, дальше то что? Доказательством она нигде быть не сможет. Налоговиков натравить? Это и без ворованной базы можно.
=Да даже переход к конкуренту списка клиентов фирмы, може ой как ей аукнуться в будущем...
Это еще почему? Ты упер список клиентов и что ты с ним будешь делать?
Секретится должна информация, которая действительно является секретной (ну или коммерческой тайной). Вначале надо определится, что есть секретная информация, а потом придумывать методы ее защиты и никак не наоборот...
Неместный
experienced
1) Допустим я веду некую коммерческую деятельность. Без разницы какую.
Весьма интересным моментом для меня будет список клиентов к которым я могу обратится для предложения своих услуг (те клиентов которые реально пользуются этими услугами), причем я буду знать с какими ценами к ним можно подходить. Это самое простое..
2) Теперь интереснее. Берем упираем базу из предприятия конкурента. Так как у них явно не все чисто с бухгалтерией (черную никто не отменял) то просто передаем эту базу налоговой. Доказательством она конечно не является, но является указанием в каком направлении рыть. А то что нароют сомневатся не приходится(тебе кстати и премию еще дадут).
3) Берем и меняем информацию в бух.базе по собственному усмотрению. Например увеличиваем себе премию (незаметно так..). Или меняем сумму проводок по рэндому (пипец отчетности).
4) Наконец просто удаляем базу.
p.s. Ты все еще считаешь что нечего прятать?
Весьма интересным моментом для меня будет список клиентов к которым я могу обратится для предложения своих услуг (те клиентов которые реально пользуются этими услугами), причем я буду знать с какими ценами к ним можно подходить. Это самое простое..
2) Теперь интереснее. Берем упираем базу из предприятия конкурента. Так как у них явно не все чисто с бухгалтерией (черную никто не отменял) то просто передаем эту базу налоговой. Доказательством она конечно не является, но является указанием в каком направлении рыть. А то что нароют сомневатся не приходится(тебе кстати и премию еще дадут).
3) Берем и меняем информацию в бух.базе по собственному усмотрению. Например увеличиваем себе премию (незаметно так..). Или меняем сумму проводок по рэндому (пипец отчетности).
4) Наконец просто удаляем базу.
p.s. Ты все еще считаешь что нечего прятать?
onanymous
guru
> А что , появилась новая операция - копирование?
Есть зато операция "поиск". Если ее запретить - 99% процентов пользователей уже и так ничего не смогут скопировать. Чего тянуть-то, если файлов не видно? :-)
Не стопроцентно надежная, конечно, мера, но, в качестве первого шага - почему бы нет? И делаться, вроде, должна в два клика...
Есть зато операция "поиск". Если ее запретить - 99% процентов пользователей уже и так ничего не смогут скопировать. Чего тянуть-то, если файлов не видно? :-)
Не стопроцентно надежная, конечно, мера, но, в качестве первого шага - почему бы нет? И делаться, вроде, должна в два клика...
Barlog
guru
Эх... Твое незнание от честности и лояльности к конторе.
Если кто-то получает информации о фирме больше, чем ему положено - это уже есть нехорошо.
Если кто-то получает информации о фирме больше, чем ему положено - это уже есть нехорошо.
Владимир Щербак
veteran
Отвечу:
= 1.Весьма интересным моментом для меня будет список клиентов к которым я могу обратится для предложения своих услуг
Постоянные клиенты на рынке поделены всякими правдами и неправдами. Если ты подъедешь к клиенту другой конторы, он тебя просто пошлет. если с конкурентом работает давно. А для поиска клиентов есть базы ;)...
=Так как у них явно не все чисто с бухгалтерией (черную никто не отменял) то просто передаем эту базу налоговой. Доказательством она конечно не является, но является указанием в каком направлении рыть
Анонимки не принимаются. Так что скорее уроют тебя, когда узнают, кто настучал. А ,в принципе, что тебе мешает подать заяву в налоговую, что фирма имярек чернушничает, не прикладывая никаких баз?
А эту базу они и рассматривать не будут - где гарантия, что это не фальсификат?
= 3) Берем и меняем информацию в бух.базе по собственному усмотрению.
А это совсем другое . Рассматривается кража информации , а не подмена. Здесь все регламентируется доступом к конкретной информации
= 4) Наконец просто удаляем базу.
Ну и что, админ восстанавливает ее с копии , а виновного в удалении увольняют...
И еще - невозможно защитить информацию, не доверяя сотрудникам. Есть шпиены - сопрут, лазейка найдется...
= 1.Весьма интересным моментом для меня будет список клиентов к которым я могу обратится для предложения своих услуг
Постоянные клиенты на рынке поделены всякими правдами и неправдами. Если ты подъедешь к клиенту другой конторы, он тебя просто пошлет. если с конкурентом работает давно. А для поиска клиентов есть базы ;)...
=Так как у них явно не все чисто с бухгалтерией (черную никто не отменял) то просто передаем эту базу налоговой. Доказательством она конечно не является, но является указанием в каком направлении рыть
Анонимки не принимаются. Так что скорее уроют тебя, когда узнают, кто настучал. А ,в принципе, что тебе мешает подать заяву в налоговую, что фирма имярек чернушничает, не прикладывая никаких баз?
А эту базу они и рассматривать не будут - где гарантия, что это не фальсификат?
= 3) Берем и меняем информацию в бух.базе по собственному усмотрению.
А это совсем другое . Рассматривается кража информации , а не подмена. Здесь все регламентируется доступом к конкретной информации
= 4) Наконец просто удаляем базу.
Ну и что, админ восстанавливает ее с копии , а виновного в удалении увольняют...
И еще - невозможно защитить информацию, не доверяя сотрудникам. Есть шпиены - сопрут, лазейка найдется...
Владимир Щербак
veteran
= Эх... Твое незнание от честности и лояльности к конторе.
Это общая черта сисадминов. При нынешнем бардаке в определении степени конфеденциальности информации сисадмины - самые страшные для конторы люди. Они почему-то имеют доступ ко всей информации :(...
= Если кто-то получает информации о фирме больше, чем ему положено - это уже есть нехорошо.
Вот для начала и надо определить меры конфеденциальности информации и механизм допуска к этой информации+ механизм регистрации этого доступа...
Это общая черта сисадминов. При нынешнем бардаке в определении степени конфеденциальности информации сисадмины - самые страшные для конторы люди. Они почему-то имеют доступ ко всей информации :(...
= Если кто-то получает информации о фирме больше, чем ему положено - это уже есть нехорошо.
Вот для начала и надо определить меры конфеденциальности информации и механизм допуска к этой информации+ механизм регистрации этого доступа...
Злыдь
волнистый бугагайчик
Средства, вкладываемые в защиту данных должны быть пропорциональны важности этих данных. Идеально защищен комп отключенный от всех проводов, запертый в сейф и плотненько окруженный тупыми (чтоб ничего не смогли сделать с компом) дуболомами-охранниками.
Неместный
experienced
Постоянные клиенты на рынке поделены всякими правдами и неправдами. Если ты подъедешь к клиенту другой конторы, он тебя просто пошлет. если с конкурентом работает давно. А для поиска клиентов есть базыЕсли я знаю чужое предложение, я могу сделать свое более выгодное, и поверь они согласятся на мое 8ъ. Цены в подавляющем большинстве случаев являются коммерческой тайной.
А это совсем другое . Рассматривается кража информации , а не подмена. Здесь все регламентируется доступом к конкретной информацииА админу которого уволят от этого легче?
Ну и что, админ восстанавливает ее с копии , а виновного в удалении увольняют...И день(полдня) работы (по моему опыту) потерян. Для крупной конторы это потери порядка сотен тысяч. Следовательно админа снова уволят.
Владимир Щербак
veteran
= Цены в подавляющем большинстве случаев являются коммерческой тайной.
Насмешил. Ты и прайс-листа не разу не видел?
= Если я знаю чужое предложение, я могу сделать свое более выгодное, и поверь они согласятся на мое 8ъ
Я работаю с конкретной комп.конторой. Как минимум три раза в неделю мне звонят и предлагают более низкие цены. Я их вежливо посылаю. Не только цены являются определяющими.
Был как-то случай. Довольный знакомый притащил клиентскую базу конкурирующей конторы. Я ему ее поднял. Каково же было его разочарование, когда он увидел в ней практически своих клиентов.
Он то надеялся найти новых...
В следующих пунктах, на которых ты остановился, и рассматривать нечего. Здесь дело бухгалтерии- правильно вести и контролировать информацию и админа-защитить информацию от удаления.
Насмешил. Ты и прайс-листа не разу не видел?
= Если я знаю чужое предложение, я могу сделать свое более выгодное, и поверь они согласятся на мое 8ъ
Я работаю с конкретной комп.конторой. Как минимум три раза в неделю мне звонят и предлагают более низкие цены. Я их вежливо посылаю. Не только цены являются определяющими.
Был как-то случай. Довольный знакомый притащил клиентскую базу конкурирующей конторы. Я ему ее поднял. Каково же было его разочарование, когда он увидел в ней практически своих клиентов.
Он то надеялся найти новых...
В следующих пунктах, на которых ты остановился, и рассматривать нечего. Здесь дело бухгалтерии- правильно вести и контролировать информацию и админа-защитить информацию от удаления.
А можно в этой части поподробнее? Чего то я не понял - что есть "операция поиск". Можно немножко поконкретней, плиз?
> Чего то я не понял - что есть "операция поиск".
В моей W2k это называется "List Folder Contents".
Запрет этой возможности означает, что пользователь не сможет посмотреть содержимое папки. Хотя файлы будут доступны на чтение, при условии, что известен полный путь и имя.
В моей W2k это называется "List Folder Contents".
Запрет этой возможности означает, что пользователь не сможет посмотреть содержимое папки. Хотя файлы будут доступны на чтение, при условии, что известен полный путь и имя.
а они не за е....тся прописывать полный путь? Юзеры, особенно бухгалтерия, весьма боятся компов...
худшая из возможных ошибок - недооценить потенциал противника.
что-то я сегодня особенно мрачен.. если кого задел - прошу прощения..
что-то я сегодня особенно мрачен.. если кого задел - прошу прощения..
Задумка состоит как раз в том, чтобы юзеры этого пути вообще не знали.
Я, к сожалению, не знаю, как работает 1С. Однако, всякая грамотно построенная система не должна спрашивать у пользователя, где искать нужные для работы файлы. Все необходимые пути должны быть заранее прописаны где-нибудь в настройках. Если это тот самый случай - тогда все просто.
Например, базы данных упрятываются куда-нибудь вглубь "секретного" дерева, на корню которого запрещен листинг. Даже если программа в процессе работы сама "злоупотребляет" поиском файлов по шаблону - можно разрешить этот поиск для тех папок, в которых он ей необходим. Вход в дерево для браузера все равно будет "блокирован" сверху.
Еще раз оговорюсь - это, разумеется, не защита против "хакера", а лишь средство, позволяющее отбить охоту у абсолютного большинства.
Я, к сожалению, не знаю, как работает 1С. Однако, всякая грамотно построенная система не должна спрашивать у пользователя, где искать нужные для работы файлы. Все необходимые пути должны быть заранее прописаны где-нибудь в настройках. Если это тот самый случай - тогда все просто.
Например, базы данных упрятываются куда-нибудь вглубь "секретного" дерева, на корню которого запрещен листинг. Даже если программа в процессе работы сама "злоупотребляет" поиском файлов по шаблону - можно разрешить этот поиск для тех папок, в которых он ей необходим. Вход в дерево для браузера все равно будет "блокирован" сверху.
Еще раз оговорюсь - это, разумеется, не защита против "хакера", а лишь средство, позволяющее отбить охоту у абсолютного большинства.
Владимир Щербак
veteran
= Запрет этой возможности означает, что пользователь не сможет посмотреть содержимое папки. Хотя файлы будут доступны на чтение, при условии, что известен полный путь и имя.
Ты это проверил на 1С или БЭСТе? Рекомендуешь таким образом защищать бух.пакеты?
Ты это проверил на 1С или БЭСТе? Рекомендуешь таким образом защищать бух.пакеты?
onanymous
guru
ИМХО, проверять тут особо нечего - это работает.
Подобной фишкой мне приходилось пользоваться для сокрытия содержимого каталогов еще под МС-ДОС.
Речь, как я уже многократно оговаривался, не идет о выборе данного варианта, как окончательного средства защиты. Одако, первое, что я лично бы сделал - именно оно. Поскольку это позволяет натурально парой кликов создать массу проблем подавляющему большинству потенциальных "шпионов".
Подобной фишкой мне приходилось пользоваться для сокрытия содержимого каталогов еще под МС-ДОС.
Речь, как я уже многократно оговаривался, не идет о выборе данного варианта, как окончательного средства защиты. Одако, первое, что я лично бы сделал - именно оно. Поскольку это позволяет натурально парой кликов создать массу проблем подавляющему большинству потенциальных "шпионов".
Владимир Щербак
veteran
ИМХО лучше вообще ничего не защищать, чем защищать по твоему методу. Это не защита - фикция...
hidden
experienced
не согласен.
эффективные решения - просты. такого сорта методы наблюдаю (и использую) в работе с тех же времен dos.
вообще, в этом деле нет мелочей, - и что угодно лучше чем ничего.
эффективные решения - просты. такого сорта методы наблюдаю (и использую) в работе с тех же времен dos.
вообще, в этом деле нет мелочей, - и что угодно лучше чем ничего.
ИМХО, проверять тут особо нечего - это работает.Так ты поверял или все это только твое ИМХО????
Мое ИМХО в том, что нет нужды проверять это на примере каждой конкретной программы. Это функциональность операционки, и она проверена годами...
Сомнение только в том, могут ли все пути быть прописаны в конфигурации - никогда не держал в руках 1С.
Сомнение только в том, могут ли все пути быть прописаны в конфигурации - никогда не держал в руках 1С.
Владимир Щербак
veteran
= эффективные решения - просты.
Здесь уж я не согласен. Могут быть простыми, могут и нет. Выше хорошее замечание Злыдя было об адекватности мер защиты информации ценности защищаемой информациии.
Здесь уж я не согласен. Могут быть простыми, могут и нет. Выше хорошее замечание Злыдя было об адекватности мер защиты информации ценности защищаемой информациии.
onanymous
guru
Данная мера не позиционируется, как средство защиты. А только как способ ослабить "натиск врага", пока адекватное средство защиты не будет найдено
Владимир Щербак
veteran
После установки твоей схемы (защиты говорить не будем ;)) натиск врагов ослабевает, но один грамотный враг утаскивает информацию.
Крайних где искать будем;)?
Крайних где искать будем;)?
onanymous
guru
Примерно там же, где мы будем их искать, когда информацию утащит сотня безграмотных
Владимир Щербак
veteran
= Примерно там же, где мы будем их искать, когда информацию утащит сотня безграмотных .
Это не ответ. Твоя задача защитить информацию от всех, грамотных ли , безграмотных. По твоему методу, увы, защиты нет...
Это не ответ. Твоя задача защитить информацию от всех, грамотных ли , безграмотных. По твоему методу, увы, защиты нет...
onanymous
guru
Ндя... ну и спорчик получился...
Мой подход - всегда лучше что-то, чем совсем ничего.
Другой пример - до того момента, пока ты сможешь доползти до окопа... уж лучше быть, все-таки, в каске, чем без :-)
Впрочем, ты и сам все прекрасно понимаешь. А не хочешь согласиться - твое право, я пас
Мой подход - всегда лучше что-то, чем совсем ничего.
Другой пример - до того момента, пока ты сможешь доползти до окопа... уж лучше быть, все-таки, в каске, чем без :-)
Впрочем, ты и сам все прекрасно понимаешь. А не хочешь согласиться - твое право, я пас
Ставь SQL вариант 1c базы
ЕЕ утащить намного сложнее
ЕЕ утащить намного сложнее
В моей W2k это называется "List Folder Contents".А ты уверен что 1с знает полные имена всех файлов ?
Запрет этой возможности означает, что пользователь не сможет посмотреть содержимое папки. Хотя файлы будут доступны на чтение, при условии, что известен полный путь и имя.