О защите информации в вычислительной сети.

22.07.10

Разработка - Защита ПО и шифрование

Защитит ли БД одноэсник с админом на пару?

Скачать файлы

Наименование Файл Версия Размер
infosecurity.zip
.zip 276,49Kb
108
.zip 276,49Kb 108 Скачать

 

 

 

Введение

Защита информации предполагает принятие организационных и технических мер охраны аппаратных и программных средств, а также данных с целью предотвратить случайный или преднамеренный несанкционированный доступ (включая раскрытие, модификацию, разрушение) к информации, а также обеспечить восстановление информации после аварий технического или гуманитарного характера. Следует отметить, что проблема защиты весьма многогранна, и при ее решении возникает множество частных задач – от разграничения сфер ответственности до технико-экономической оценки эффективности принимаемых мер.

 

На рис. 1. представлена графически взаимосвязь защитных мер и уровней окружения защищаемых данных. Каждый следующий уровень базируется на предыдущем (предыдущих). Например, если доступ к сети не контролируется, любые попытки защиты программ и данных будут тщетными.

Организационные меры защиты

Эти меры охватывают решения и процедуры, принимаемые руководством для обеспечения защиты. Хотя некоторые из этих решений могут определяться внешними факторами, например нормативными актами, большинство проблем решается внутри организации. С переходом от неавтоматизированных информационных систем к автоматизированным требуются решения и действия, которые ранее не являлись необходимыми, например, классификация информации по уровню важности. При этом в работу по подготовке таких решений с необходимостью должны включаться все подразделения организации, охватываемые информационной системой.

Ключевым понятием в определении сути защиты информационной системы является понятие санкционирования доступа, или установления полномочий. Поэтому важной проблемой управления является правильное решение следующих вопросов: кому должны быть предоставлены полномочия? Как их установить? Как проконтролировать установленные полномочия?

На рис. 2. приведены проблемы, связанные с организационными мерами защиты, и соответствующие процедуры.

 

Другие меры защиты

Кратко охарактеризуем  последующие уровни окружения и соответствующие меры защиты.

Меры непосредственной защиты

К этим мерам относится меры по защите от стихийных бедствий, защите от злоумышленников (грабителей), а также обеспечение нормальных условий эксплуатации техники.

            Защита сети в целом

Сводится в основном к обеспечению контролируемого доступа к сети (рабочим станциям и серверам). При этом контролю подлежит не только момент входа в сеть, но и все время сеанса доступа. Новая задача в этой сфере – защита от компьютерных вирусов.

            Защита программного обеспечения

Огромное разнообразие существующего программного обеспечения не позволяет воспользоваться какими-то общими правилами. Однако в любом случае необходима инвентаризация и верификация имеющихся программ.

Программы фирм-производителей зачастую оснащены встроенными средствами защиты. Однако эти средства зачастую не применяются из-за существенного повышения трудоемкости работы с программой с включенными защитными механизмами. При этом для квалифицированного злоумышленника не составит труда взломать стандартную защиту.

            Защита баз данных.

Защита данных из баз от раскрытия возможна только в рамках системы управления базой данных (СУБД). Реально применяется обычно только защита от разрушения в виде резервирования. Периодичность резервного копирования данных определяется при классификации данных по их степени важности.

Выводы

Что происходит обычно на этапе этап внедрения (а потом по инерции переходит на этап эксплуатации)? Никак не регламентированы права, обязанности и ответственность пользователей вычислительной сети в сфере защиты. Данные не персонифицированы (т.е. никто не несет ответственности за содержимое баз данных). Данные не разграничены по конфиденциальности. Не определены функции должностных лиц по разработке и реализации политики защиты. В итоге защищенность информационной системы предприятия оказывается весьма неудовлетворительной.

Все перечисленное относится к сфере организационных мер защиты. Повышение уровня защищенности системы не представляется возможным без решения перечисленных на рис. 2. проблем.

Меры по защите информации  не могут быть предприняты одномоментно. Необходимо их тщательное планирование и постоянный контроль выполнения, а в дальнейшем постоянное совершенствование системы защиты.

И главное, эти меры не могут быть осуществлены в рамках подразделения ИТ!. Этим должны заниматься специально обученные и наделенные полномочиями специалисты.

 

См. также

IPv6 в домашней сети

Сети Бесплатно (free)

Руководство по переходу на IPv6 в домашней сети или небольшом офисе.

30.05.2023    4564    cdiamond    5    

4

Запрет глобального поиска в конфигурации

Защита ПО и шифрование Платформа 1С v8.3 1С:Бухгалтерия 3.0 Абонемент ($m)

Представляю вам микрорасширение, которое запрещает глобальный поиск по вашей конфигурации.

1 стартмани

09.02.2023    2224    9    aximo    4    

2

Как защитить pdf файл

Защита ПО и шифрование Абонемент ($m)

Для установки защиты pdf документа, полученного в 1С, написано консольное приложение на c#., использующее одну зависимость pdfSharp.dll. В результате работы приложения ограничены операции над документом и записаны метаданные. С помощью аргументов командной строки можно управлять работой приложения.

2 стартмани

30.01.2023    1657    1    olevlasam    3    

3

Универсальный синтаксический анализатор ASN.1 для декодирования .key, .cer, .der, .p7m, .p7s, .crt, .pem

Защита ПО и шифрование Платформа 1С v8.3 Конфигурации 1cv8 Абонемент ($m)

Универсальный синтаксический анализатор ASN.1, который может декодировать любую допустимую структуру ASN.1 DER или BER, независимо от того, закодирована ли она в кодировке Base64 (распознаются необработанные base64, защита PEM и begin-base64) или в шестнадцатеричном кодировании.

1 стартмани

04.12.2022    2984    12    keyn5565`    0    

13

Замена имени сервера в файле ibases.v8i у пользователей в домене через GPO

Сети Сервера Платформа 1С v8.3 Абонемент ($m)

При переезде на новый сервер 1С возникла необходимость подготовить всех пользователей (а их 300+) к этому переезду и желательно не мешая их работе. А если быть точнее, то заменить в их списках информационных баз имя сервера. Итак, что имеем в условии.  Есть сервер 1С с именем  WIN2016.  Необходимо перенастроить всех пользователей на новый сервер с именем SRV1C. Для этого придется либо руками у каждого пользователя исправить записи по каждой базе через открытие 1С, либо поправить файл ibases.v8i, который находится в папке профиля пользователя. Второй вариант более интересен, но лезть на 300+ компьютеров не наш метод.

1 стартмани

30.11.2022    3189    1    dungeonkeeper    13    

5

Шифрование строки на основе мастер-пароля в 1С Предприятие 8.3.19

Защита ПО и шифрование Платформа 1С v8.3 Абонемент ($m)

Демонстрация возможностей шифрования строки на основе мастер-пароля в 1С Предприятие 8.3.19. AES без zip файла, RSA, PKDF2. (c использованием библиотеки С# через com).

2 стартмани

31.08.2022    3832    7    vit59    2    

6
Комментарии
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
1. Арчибальд 2706 22.07.10 12:56 Сейчас в теме
Однажды Директор спросил Инь Фу Во про защиту от внутренних угроз. Тот сказал:
- Во внешнем мире есть сто человек, которые хотели бы заполучить конфиденциальную информацию из вашей сети. И есть пять человек, которые способны это сделать. Но эти сто вряд ли встретятся с этими пятью.
Еще Учитель сказал:
- А в вашей внутренней сети есть пять пользователей, которые хотели бы заполучить конфиденциальную информацию. И есть сто, которые могут это сделать. И они уже встретились.

http://infostart.ru/public/57404/
2. fishca 1254 22.07.10 13:22 Сейчас в теме
И главное, эти меры не могут быть осуществлены в рамках подразделения ИТ!

Но без ИТ не обойтись никак ;)
3. Арчибальд 2706 22.07.10 13:31 Сейчас в теме
(2) Не обойтись, конечно. Однако предпринимать оргмеры они не полномочны. Нужно понимание руководством проблем защиты и немалый административный ресурс. А главная проблема, кадры, вообще им не подвластна.
4. Ish_2 1104 22.07.10 14:51 Сейчас в теме
(3) Ударил по-больному.
Раз так то напиши уж какие оргмеры должны быть приняты.
Каким ты видишь взаимодействие специалистов по организации эффективной защиты данных ?
6. Арчибальд 2706 22.07.10 15:06 Сейчас в теме
7. Ish_2 1104 22.07.10 15:09 Сейчас в теме
8. Арчибальд 2706 22.07.10 15:13 Сейчас в теме
5. Ish_2 1104 22.07.10 14:53 Сейчас в теме
Ну и для приличия , ссылки какие-нибудь...
9. Шёпот теней 1779 22.07.10 15:41 Сейчас в теме
... а чего защищать-то ... ?

... берЁте свою базу и попробуёте её продать ... сразу станет понятно ... ВСЁ ...

... остальное это ЗА всяких там департаментов охраны ...

... смЕЕЕшно-ссс ... вот ...
Alraune; Арчибальд; +2 Ответить
10. Арчибальд 2706 22.07.10 15:48 Сейчас в теме
(9) Собственно говоря, я о том же. Никаких внешних угроз в природе не существует. Реально требуется только защита от неправильных действий пользователей (включая одноэсников). И воспитание этих пользователей, чтобы не лезли, куда не просят.
11. Ish_2 1104 22.07.10 18:01 Сейчас в теме
(9) ,(10) Вы оба молодые еще.
Послушайте меня, я пожил.
Внешние угрозы на хозпредприятии существуют !
Формальные требования IT-безопасности нужно знать назубок .
При "сведении счетов" на предприятии - пригодится.
17. Арчибальд 2706 23.07.10 07:38 Сейчас в теме
(11) Фиговый листок из бронзового литья, прикрепляемый сзади? Их есть у меня :D
Честно говоря, эта статейка - фрагмент моей служебной записки восьмилетней давности. Писана по итогам разворачивания и начала эксплуатации сеть. Должен сказать, она возымела свое действие: процесс пошел.
MaxDavid; Шёпот теней; +2 Ответить
12. Gilev.Vyacheslav 1910 22.07.10 19:14 Сейчас в теме
выделю главное:
автор еще не достиг "просветления" у Инь Фу Во

но попытки конечно это сделать должны быть

подсказка

а сколько платят на Вашем конкретно предприятии "за безопасность" каждый месяц и кому?



15. Арчибальд 2706 23.07.10 07:09 Сейчас в теме
(12) Заместитель ген.дира. Много.
19. Gilev.Vyacheslav 1910 23.07.10 11:14 Сейчас в теме
(15) только если заместитель ген.дира делает всю целиком работу по обеспечению безопасности, а у остальных прямо сказано, что они за это деньги не получают и это не их дело, можно сказать что есть шанс организовать безопасность

но поскольку у вас скорее всего тот же админ пароли меняет и т.п., то изначально это "тупик"

врочем, то что пароли меняются, не совсем все безнадежно, сами технические меры лучше конечно делать
но еще правильней за это получать часть ЗП фиксировано

20. Арчибальд 2706 23.07.10 11:40 Сейчас в теме
(19) Не может безопасность быть возложена на одного человека принципиально. Вон в прилоченной методичке пример: пользователь звонит админу и вешает ему на уши лапшу о забытом пароле. А теперь оргмероприятие: утвержденный регламент на случай дискредетированного (в т.ч., забытого пароля): пользователь ПИШЕТ заявку на новый пароль, согласовывает со своим начальником (скажем, главбухом), утверждает у зама по безопасности и только потом может обратиться к админу. За пароль без такой заявки получает дыню админ - соответственно, в гипотетическом телефонном разговоре пользователь будет послан. А чтобы не получить дыню в процессе согласования заявки пользователь уж как-нибудь позаботится о своих мнемонических способностях.
Наличие регламента всегда лучше, чем отсутствие такового, даже если регламент несовершенен.
22. Gilev.Vyacheslav 1910 23.07.10 12:39 Сейчас в теме
(20) жалко что не уловили суть
не один человек должен обеспечивать безопасность
а те кто обеспечивают ее, должны именно за это получать отдельно и постянно
45. dddxddd 26.07.10 18:34 Сейчас в теме
возможность украсть информацию только у юзера и админа (у них она всегда есть)

Особенно интересно про админов. Например в моей конторе есть огромное количество папок в которые даже доменные админы не имеют доступа. Включение в группы и логи изменения прав и владельцев контролируют разные люди. Я сознательно упрощенно пишу, чтобы за деталями на скрывалась суть...
Паролей админы не знают хотя и могут поменять, но смена пароля однозначно выдает админа... Вопрос какое значение имеет именно описанный в (20) регламент?

P.S. Сейчас конечно же, найдется много желающих развести флейм как можно обмануть винду. Да можно и это проблема ИТ и идиотов из мелкософта которые практически ставят знак равенства между домашним юзером на своей машине и доменным администратором у которого их сотни... Но таким каментарам я посоветую перечитать топик статью и понять что тема не об этом.
46. Арчибальд 2706 26.07.10 18:49 Сейчас в теме
(45) Здесь фигурирует метод распределения прав администрирования - и, разумеется, это один из методов повышения защищенности информации. В моем же 20 посте речь шла о системе с единственным админом - наиболее распространенный случай.
Да собственно, мой пример регламента иллюстрирует не топик-статью, а прикрепленную методичку. Суть же статьи - что защита дело серьезное, и сисадмину на пару с одноэсником ее не решить.
21. Арчибальд 2706 23.07.10 11:47 Сейчас в теме
+(19) Кстати, регламент выдачи паролей и задействованные должностные лица прекрасно расписан в УГКС (Устав гарнизонной и караульной службы). :)
MaxDavid; Шёпот теней; +2 Ответить
23. MaxDavid 127 23.07.10 14:28 Сейчас в теме
(21)
Ах, как хорошо сказано!
Я, по основной работе связанный с военнизированной охраной, постоянно вижу пробелы, бреши в системах безопасности предприятий. И информационной безопасности тоже. Но, блин, насколько мало людей в руководстве, которые хотя бы держали в руках УГКС! Высшее образование, увы, культивирует снобистскую уверенность в том, что все армейское - это для быдла.
Шёпот теней; Арчибальд; +2 Ответить
13. Alraune 1502 22.07.10 22:10 Сейчас в теме
Не привыкли еще, мне кажется, у нас к тому, что информация чего-то стоит, причем иногда много. Когда год назад меня позвали на теперешнюю работу (холдинг в Городе Трех Революций, а не сельская лавочка – должны бы, кажется, задуматься о элементарной защите), я сказала, что неплохо бы посмотреть на их учет, в результате мне через третьи руки передали на флешке все основные базы, УПП и бухгалтерии.
С другой стороны, иногда ИБ посмотришь – а там будто все специально делается для того, чтобы врагов запутать, если они ее украдут.
dddxddd; Шёпот теней; +2 Ответить
14. marsohod 123 23.07.10 02:13 Сейчас в теме
Чтобы избежать ... розыгрышей Microsoft рекомендует уделять особое внимание информационной безопасности. При работе в офисе или дома достаточно установить пароль на компьютер: это позволит гарантировать, что во время отсутствия пользователя никто не сможет войти в его персональное информационное пространство или изменить настройки операционной системы.
Источник: soft.mail.ru

А много ли пользователей в вашем офисе установили пароль на свой аккаунт?..
(Типа: ты записался в добровольцы?)
16. Арчибальд 2706 23.07.10 07:36 Сейчас в теме
(14) У нас с этим строго. Пароли генерирует сисадмин и (нерегулярно) их меняет. При увольнении сотрудника его аккаунт "живет" не более недели...
25. dddxddd 26.07.10 11:24 Сейчас в теме
(16) :?: :!: :?: Это как это??? Может это шутка?!? Какое право имеет сисадмин, "генерить" единственное, что дает юзеру возможность думать что он застрахован от действий (любых) от его имени - это пароль.
А тут вы говорите админ генерит, а после этого что хочет то и делает от имени юзера причем у последнего нет ни единого шанса на доказательства того что он этого не делал!!!
Только я вас умоляю, не надо расказывать про процедуру и "невидимость" админом пароля...
Второе, аккаунт зачем живет неделю после, он должен быть заблокирован немедленно, теоретически как только юзер написал заявление...
(20) :!: Юзер 350 раз запишет свой пароль где угодно, чтобы не попадать под такие процедуры деятелей от безопасности... Вы то сами хоть понимаете, что описанная Вами процедура, не решает ни единого вопроса настоящей информационной безопасности...
26. Шёпот теней 1779 26.07.10 11:37 Сейчас в теме
(25) ... ВАШИ предложения товарищЪ "маузер" ... вотКритикуешьВОТпредлагайВОТ ...
28. Арчибальд 2706 26.07.10 11:48 Сейчас в теме
(25) А откуда еще может взяться пароль у нового юзера, кроме как от сисадмина? Мне другого способа допуска к системе встречать не доводилось. Можно указать альтернативу?
Неделю после, аккаунт жить, конечно, не должен. В идеале. К сожалению, заявление на увольнение подается не в ИТ отдел, а совсем в другое место.
Никакая процедура, тем более, в одиночку, не решает ни единого вопроса безопасности. Однако наличие регламентированных процедур снижает уровень хаоса, что несомненно ведет к повышению уровня безопасности.

Шёпот теней; +1 Ответить
29. dddxddd 26.07.10 12:34 Сейчас в теме
(28) Если речь о винде, то простая галка о смене пароля при первом входе, решает проблему "генерации" - первоначального стандартного, удовлетворяющего политике безопасности паролей, в домене windows. Собтвенно, другого способа я тоже не знаю. Дальнейшая "генерация" решается именно этой доменной политикой - пароль действителен ХХ дней, помнить ХХ последних паролей... И никакого другого участия сисадмина! Кстати ХХ могут и должны быть заменены конкретными значениями людьми из той самой другой службы ИТ безопасности.
(26) Про ИБ много уже сломали и еще сломают копий...
Если к теме сайта ближе... Скажите, сколько кто-то из ВаАс видел (сделал) боевых конфигураций, в которых бы велся посчет напечатанных копий документа. Наверно таких много, но я видел только ону, сделанную по моему настоянию. Или вот пример, прикрутили в конфу емыл клиента, типа теперь можно документики и отчтитки слать, круто! А кто скажите об ACL списках подумал, причем детально, применительно задача решаемым платформой 1С. Где, скажите, механизм в конфигурации (разработанной большой и уважаемой фирмой), обеспечивающий разделение прав и возможностей рассылки конкретного документа у конкретного юзера... А без этого, емыл клиента в конфе запускать, это всеравно что разрешить видеть все и всем... Вот конкретные пару вопросов по ИБ применительно к 1С.
В (1) написано очень правильно, особенно во последней части. Вот их то и бояться надо...
А статья, как обычно, попытка научить тому, о чем автор имеет поверхностное понимание и ничего конкретного сказать не может, набор стандартных прописных общих фраз. Иначе, зачем на сайте, где люди выкладывают свои практические работы, писать общие слова и не ставить конкретные темы по безопасности, которые зачастую, реально упускаются из вида программистами?
P.S. :( Сорри за 25 и 27 посты, как то с кукисасми ие проглючило...
31. Арчибальд 2706 26.07.10 13:04 Сейчас в теме
(29) А после ХХ дней сисадмин дает другой стартовый пароль. И юзер меняет его на старый, привычный. Т.е. по факту пароль становится вечным...
Касательно остального... Суть моей статьи в том, что программные средства защиты создают иллюзию безопасности, но на самом деле бесполезны в отсутствие комплексности применяемых мер. Ну что даст информация о том, что дакумент печатался из 1С однократно? Уж точно она не оповестит о реальном количестве копий оного документа. А уж рассылки из 1С отслеживать - вообще изготовление гемора собственными руками. Их не должно существовать как класса. Естественно, "большая и уважаемая фирма" делать такого не будет.
УГКС упомянут как пример регламента работы с паролями. С паролями компьютерными, конечно, регламент должен быть другим. Главное, он должен быть.
35. dddxddd 26.07.10 13:43 Сейчас в теме
(31) Оказывается Вы еще и не являетесь админом или человеком в этом что-то понимающим, но беретесь учить про ИБ. Я поясню свои слова. Любой админ винды вам скажет что есть несколько пунктов политики безопасности паролей в виндовс.
1. длина пароля
2. сложность пароля
3. частота его смены
4. сколько последних версий пароля юзера системе помнить (чтобы Вы поняли, не дать повторно воспользоваться)
А кто вам сказал, что надо просто считать копии, надо еще спрашивать для чего или кого ее печатают, если единственная разрешенная была напечатана! Вы не задумывались, почему на справках (скажем о составе семьи) пишут для чего она выдана?
А вообще меня умиляет, АСЛ быть не должно это гемор на голову, но про безопасность я тут порассуждаю... гы-ы-ы-ы... Извините за фамильярность.

(32) Я понял... проникся... ... ... ... Если... в рАсходную накладнУ-ую-ю... завернуть немного... дУ-ури...
... и покурить,.... то может получиться оченЪ-Ъ-Ъ.... дажИ.... неплАхой ПРИХОДНЫЙ приходный дАкумент....
Ну если другими словами, тоесть поставил просто так, по корефански...

... вот ... (копирайт шепота теней)
37. dddxddd 26.07.10 14:06 Сейчас в теме
в (35) по поводу паролей, я пропустил главное, представляете, винда делает это сама без участия админа.

... вот так однакО...
38. Арчибальд 2706 26.07.10 14:32 Сейчас в теме
Встреть я коммент (35) в чужой ветке, я бы мгновенно его удалил. Здесь же попробуем разобраться.
С какой это стати подписанты заявки на пароль будут ознакомлены с паролем? Я такого не писал, да и представить себе не мог, что чья-то буйная фантазия такое родит.
Воспрепятствовать пользователю завести повторно старый пароль, конечно, можно. Об этом я, честно говоря, просто забыл - в NT 4 этого не было, а на 2000 и далее админят уже другие люди.
Насчет копий - я продолжаю утверждать, что количество копий, распечатанных из 1С не имеет никакого отношения к количеству копий вообще, за исключением " <= ".
Доступ 1С к служебной переписке - это грандиозный косяк безопасников. Или свидетельство их (безопасников) отсутствия.
В общем рисуется Ваш образ в виде безбашенного компьютерщика из Экслеровских "Записок невесты программиста". Нет мыши/клавы - и нет человека...
41. dddxddd 26.07.10 17:15 Сейчас в теме
Перед тем как писать в ветке, я смотрел в профиля Авторов, с которыми решил "зацепиться" - поэтому:
1. Я понимаю, что на инфостарте я никто, и зовут меня никак (я на полном серьезе), поэтому смысл, который я пытаюсь вложить в пост - не оскорблять авторов и комментаторов, а зацепиться за суть топик стартера и его каментов.
2. Если вдруг мои фразы и обороты могут трактоваться двояко или оскорбительно, то я утверждаю, что не вкладываю в них оскорбительного смысла, но прошу прощения за неудачную формулировку мысли.

Начну с вопросов и предположений по (38)
А что собственно побуждает Вас удалить этот пост, будь это другая ветка?
Утверждение про то, что вы далеки от администрирования? Это не оскорбление. Если обидел извините! А в NT4 была политика использования паролей, про нетаврь не помню...
Может мой абзац про накладную...?
Дык, тут у Вас, у старожилов и людей уважаемых, принято так особенно развернуто как (32) или аргументировано как (34) отвечать на вопросы и каменты, может я просто не понял?
Наверно я оказался не просветленный, поэтому попытался изложить уважаемому(без иронии) Шепоту теней, свои ассоциации навеянные мне его содержательными ответами... Встречаются иногда нигилисты, которые не привыкли ловить каждое божественное мановение мастера...
И теперь конкретно по цитатам (38)
С какой это стати подписанты заявки на пароль будут ознакомлены с паролем? Я такого не писал, да и представить себе не мог, что чья-то буйная фантазия такое родит

Согласен не писали, наверно я не правильно понял. НО объясните, какой такой ФАКТ, регистрируют(отмечают, согласовывают и т.п.) те самые подписанты. В чем смысл регистрации этого факта, с точки зрения решения задачи обеспечения безопасности корпоративных данных? Ссылка на то, что регламент не совершенен, мне не интересна. Я интересуюсь целью написания именно этого регламента описанного в (20) .
Насчет копий - я продолжаю утверждать, что количество копий, распечатанных из 1С не имеет никакого отношения к количеству копий вообще, за исключением " <= ".

Простите, честно, я не понял, что Вы хотели этим сказать, и какое исключение означает знак меньше или равно...
Но, я утверждаю (подтверждение можно легко найти в инете), что увеличением количества автоматизированных рабочих мест в мире, бумажный документооборот не уменьшается, а растет!!! А происходит это только по тому, что поставить цифирьку ХХ-копий и нажать на пимпочку "печать документа" в МИЛЛИОНЫ РАЗ ПРОЩЕ, чем сделать тоже самое ХХ копий под копирку.
Вы дальше готовы утверждать, что контроль за количеством напечатанных копий не нужен? А тем более не нужен персонализированный адресат какждой копии?
Доступ 1С к служебной переписке - это грандиозный косяк безопасников. Или свидетельство их (безопасников) отсутствия.
Простите опять не понял, о чем Вы...
Я имел ввиду почтовый клиент встроенный типовые настройки 8-ки, собственно о нем я писал. Зачем фирма 1С его наваяла, не доработав соответствующими механизмами, предназначенными для решения задач безопасности конфиденциальных, коммерческих и бухгартерских данных, перимущественно обрабатываемых в этом продукте? Заточка самого механизма, это уже дело франчей и заказчиков, но его отсутствие это потенциальная дыра в периметре информационной безопасности любого предприятия.
Дальше уже как в классике :D
В общем рисуется Ваш образ в виде безбашенного компьютерщика из Экслеровских "Записок невесты программиста". Нет мыши/клавы - и нет человека...
Что это было? Это типа, красиво (по жванецкому ;) про прописочку ) переходим на личности или я на такого похож? Вы мне льстите упоминая мой образ и Экслера рядом, а какие хоть слова навеяли образ безбашенного компьютерщика? :)
Наверно это мой вопрос в (33) на (16) (20) и оставленный Вами без ответа, правильно зачем отвечать если положение, авторитет или админская возможность (удалить сообщение) позволяет просто сказать собеседнику, что он просто безбашенный компьютерщик...
И всеже повторюсь с вопросом:
Вот пример, скажем утекли коммерческие данные, владельцем которых (с точки зрения решаемых задач) был юзер, фирме нанесен вполне конкретный материальный ущерб, скажем ввиде недополученной прибыли от сорванной сделки. Устраивается внутренняя разборка.
Вопрос: на кого фирма должна подать в суд за нанесение ущерба? (отмазки на нереальность задачи не принимаются)
Ну, как по вашему методическому примеру, решить эту практическую ситуацию???
Есть шанс у безбашенного немного поправить башню, получить ответ?

... уф-ф-ф-ф ... (копирайт мой)
30. dddxddd 26.07.10 12:40 Сейчас в теме
Собственно вопрос к Шепоту теней, с уважением, но позвольте спросить, Ваш плюс в (28) сообщении Арчибальда, к каким его словам относится?
(21) УГКС слабо натягивается на пароли в компьютерных сетях, правда а знакомился с ним в 82-84 годах, может с тех пор воды много утекло...
Шёпот теней; +1 Ответить
32. Шёпот теней 1779 26.07.10 13:08 Сейчас в теме
(30) ...

... к сожалению не ВСЕ из нас являются "взрослыми" людьми ...

... пока МЫ ВСЕ говорим о "идеальном" - будет всЁ "круто" и "реально" ... НО! ... чем ближе к практике тем "крутизна" становится "куртизной" и "реально" - банальной "реальностью" ...

... извечная проблема объятьНЕобъятное ...

... комментарию (28) я поставил плюс за реальность без кавычек ... ! ...

... с Уважением "Шёпот теней" в миру Шишкин Александр ...

п.с. целостность системы оценивается наименее ЗАщищЁнной частью ... защищать "НЕсистему" и "НЕсистемно" смысла не имеет ... вот ...
33. dddxddd 26.07.10 13:23 Сейчас в теме
(28) Собсно а что решает и какой порядок наводит описанная в (16) процедура
пользователь ПИШЕТ заявку на новый пароль, согласовывает со своим начальником (скажем, главбухом), утверждает у зама по безопасности и только потом может обратиться к админу.

Я вижу только одну, засветить пароль юзера как минимум ещетрем (главбуху, своему начальнику, заму по безовасности) четырем человекам акромя админа. О каком порядке Вы говорите?
Вот пример, скажем утекли коммерческие данные, владельцем которых (с точки зрения решаемых задач) был юзер, фирме нанесен вполне конкретный материальный ущерб, скажем ввиде недополученной прибыли от сорванной сделки. Устраивается внутренняя разборка.
Вопрос: на кого фирма должна подать в суд за нанесение ущерба? (отмазки на нереальность задачи не принимаются)
Ну, как по вашему методическому примеру, решить эту практическую ситуацию???

Проблема заключается в том, что писать регламенты пытаются многие. Но очень не многие ПОНИМАЮТ, какие задачи написанный регламент реально моежет решить.;)

Кстати Вы Арчибальд ошибаетесь даже в том, что если регламент утвержден по регламенту (по закону), то он реально РЕШАЕТ (в реальной крутой ситуации) кого могут посадить в ТЮРЬМУ!!! И вот в это я Вам скажу, есть очень большая проблема, что автор этой так называемой методички не осознает, что в результате его спозволения сказать "работы по просветлению темных", у конкретного юзера может быть поломана судьба!!!!!!!!!!!!!!!
Так, что иногда есть время говорить, а иногда...

...Вот... (копирайт не мой)
34. Шёпот теней 1779 26.07.10 13:26 Сейчас в теме
(33) ... ещё ОДНА теоритически-"гламурная" вывеска ... вот ...

... практика - АРЧИ - рулит ... !

... вот ...
42. Арчибальд 2706 26.07.10 17:47 Сейчас в теме
Оставив в стороне выяснение отношений (достаточно об этом поговорили), займемся вопросом из (33).
Раз речь идет о передаче дела в суд, значит собраны (самостоятельно или следственными органами) доказательства по делу. Политика безопасности (виндовская) поможет понять, была ли возможность украсть информацию только у юзера и админа (у них она всегда есть) или еще у кого-нибудь. Вот и все. А дальше среди этих лиц ведется обычная следственная работа - выявление мотивов, исследование связей с конкурентами, психологических качеств и т.п.
И это при любом построении системы защиты.
PS Термин "безбашенный" снимаю :oops:
43. dddxddd 26.07.10 18:07 Сейчас в теме
Оставив в стороне выяснение отношений (достаточно об этом поговорили), займемся вопросом из (33).
Поддерживаю...

Раз речь идет о передаче дела в суд, значит собраны (самостоятельно или следственными органами) доказательства по делу.
Вот тут и кроется сермяжная правда. Чтобы собрать доказательства, надо определиться, кто виноват но как? Поднимаются все приказы регламенты и прочие установочные документы касающиеся темы. Т.К. мы о регламенте (считаем что он утвержден согласовам подписан и введен в работу по законам) Именно регламент и должен помочь определить кто виноват в утечке данных через компрометацию пароля. Так вот как поможет именно тот регламент решить данный вопрос, тем более что если вчитаться в само его описание в (20) то можно подумать, что согласователи знают пароли. Но пусть не знают, но по Вашему утверждению админ то его точно знает?
Собственно все остальные юридические социальные и прочие составляюще примера не важны, в разрезе топик статьи.
44. Арчибальд 2706 26.07.10 18:21 Сейчас в теме
(43) Да неважно, знает админ пароль, или не знает. Информация-то кроме зашифрованной ему точно доступна.
27. dddxddd 26.07.10 11:42 Сейчас в теме
(16) :?: :!: :?: Это как это??? Может это шутка?!? Какое право имеет сисадмин, "генерить" единственное, что дает юзеру возможность думать, что он застрахован от (любых) действий от его имени - это пароль.
А Вы говорите админ генерит. Другими словами, после этого, сисадмин, что хочет то и делает от имени юзера. Причем у последнего, нет ни единого шанса на доказательства того, что он этого не делал!!!... Только я вас умоляю, не надо расказывать про процедуру и "невидимость" админом пароля...
Второе, зачем аккаунт живет неделю после? Теоретически, как только юзер написал заявление аккаунт должен быть заблокирован немедленно... Т.е. для пароликов туману напустили, а процедура передачи данных юзера у Вас не расписана. Могу предположить, что после увольнения юзера, паролик на аккаунт является собственностью неизвестного количества ваших юзеров.
(20) :!: Юзер 350 раз запишет свой пароль где угодно(причем на самом видном месте), чтобы не попадать под такие процедуры деятелей от безопасности... (Пройдитесь, например, по переворачивайте клавы юзеров, много интересного можете найти ;) ...)
Интересно, Вы то сами хоть понимаете, что описанная в посте процедура, не решает ни единого вопроса настоящей информационной безопасности. Единственная ее видимая задача, это создание у нового юзера или недалекого шефа, ложного образа что ИТ безопасностью занимаются проФФесионалы и в вашей конторе "все круто" :o ...
18. Ish_2 1104 23.07.10 08:25 Сейчас в теме
(18) Хм... Подошел к зеркалу ,повернулся , посмотрел на себя сзади.
А листок -то НЕБРОНЗОВЫЙ - бумажка жалкая..
Арчибальд , дашь поносить ?
Сойдет волна новомодной компании повышения IT-безопасности (читай - "сведения счетов" ) - отдам.
24. Шёпот теней 1779 23.07.10 16:23 Сейчас в теме
... всЁ армейское это 100% надёжность ... как народные поговорки и пословицы ... как библия ... !

... просто ! поэтому работает где угодно + полная защита от дурака ! ...

... вот ...
Борода; +1 Ответить
36. dddxddd 26.07.10 13:52 Сейчас в теме
Кстати Арчибальд я обоими руками подпишусь под Вам выводом в посте Монтень и 1С по поводу обнаучивания и использования запутанной терминологии...
Какое отношение имеют эти принципы к автоматизации, в том числе, одноэсной? А то отношение, что продвижение (продажа, внедрение и т.д.) чего-то сложного, туманно описанного, содержащего непонятные функциональные возможности оказывается существенно выгоднее, чем «обыкновенная» автоматизация учета. Сказать «бизнес-процесс» вместо «хозяйственная операция»,... - и вот ты уже кажешься потенциальному покупателю передовым, жутко квалифицированным специалистом, а продаваемый продукт, ... – вершиной учетной технологии.

и далее
Итак, изобретайте непонятные термины. Закладывайте в систему экзотические функции. Отзывайтесь с пренебрежением об известных обкатанных, успешно работающих системах – они, мол, вчерашний день. И будет вам счастье со многими нулями.

Не в бровь а в глаз, просто прямое и непосредственное отношение к этому топику...
39. tango 506 26.07.10 14:37 Сейчас в теме
40. Арчибальд 2706 26.07.10 14:48 Сейчас в теме
47. dddxddd 26.07.10 18:49 Сейчас в теме
А вообще мы ушли в детали, а статья об общих и правильных принципах. Но с утверждениями в конце тоже можно не согласиться. Например тут на инфостарте есть много наработок по контролю изменения данных, анализу прав пользователей в системе и т.п. Вопрос в том, что разработчики как могут так и пекутся (в рамках отведенных им бюджетов) о целостности данных (элемент безопасности данных), но сама платформа мало им предоставляет системных механизмов расчитанных именно на обеспечение безопасности.
И поэтому я понимаю, что особенно молодые разработчики, должны на конкретных примерах видеть и учится системности подхода к данной проблеме. Простым нахрапом и "примитивным" разделением прав или только программированием проблема информационной безопасности данных затронутая Вами - не решается.
Регламенты важны, но правильные, которые четко развешивают заны ответственности на всех участников процесса и не понимание того, что регламент это документ ведет к дополнительному хаосу. Представьте что бы было если бы правила дорожного движения были бы как приведенный регламент ИБ с поправкой на не совершенство. Хотя конечно и про правила можно сказать, что они не совершенны, но виновность они развешивают практически однозначно.
48. Арчибальд 2706 26.07.10 18:58 Сейчас в теме
(47) Я же не отрицаю нужность программных средств защиты данных. Я упираю на опасность того, что система защиты программными средствами и ограничится...
49. dddxddd 26.07.10 19:02 Сейчас в теме
Да собственно, мой пример регламента иллюстрирует не топик-статью, а прикрепленную методичку. Суть же статьи - что защита дело серьезное, и сисадмину на пару с одноэсником ее не решить.
Про статью я полностью согласен, вопрос важный и решать только одинэснику с админом его не правильно, даже если они могут его решить (в некотором объеме).
А вот собственно, что меня зацепило, так это качество примера иллюстрирующего значение регламента. Ну скажем так, ну неудачный пример, этот регламент ничего реального не решает, только усложняет простейший вопрос. Более того, если у юзера вознило желание изменить свой пароль (ну заподозрил он что пароль подсмотрели) этот регламент мешает есу осуществить свое законное право, быстро его поменять.
Вот поэтому я тут и развел флейм... :) Вдумчивые поймут, а другим этого не надо...
P.S. А вот проблема с печатью, не такая уж простая. Когда служба экономической безопасности находит ксеру документа у низового работника с текстом в футере документа "копия главного бухгатлера" у нее появляется много интересных вопросов. Причем такие же вопросы появляются у хозяина мелкой фирмочки, которому показывают сводные отчеты в соответствующих органах :( даже не утруждаясь скрыть, кто его сдал... но это совсем другая история :D ...
51. Арчибальд 2706 26.07.10 19:19 Сейчас в теме
(49)Еще раз пост 20:
Не может безопасность быть возложена на одного человека принципиально. Вон в приложенной методичке пример: пользователь звонит админу и вешает ему на уши лапшу о забытом пароле.
Ключевые слова - один человек безопасность не обеспечит, сферу полномочий в обеспечении безопасности надо распределять. Если же админ самостоятельно принимает решение о восстановлении забытого пароля - то это не безопасность.
Мы достаточно долго спорим, хотя практически не расходимся во мнениях ;)
50. dddxddd 26.07.10 19:08 Сейчас в теме
мля, перечитал свои же посты, стало стыдно за очепятки и отсутствие запятых...
Ну виноват...
52. B0P0H 29.07.10 14:21 Сейчас в теме
Ключевые слова - один человек безопасность не обеспечит, сферу полномочий в обеспечении безопасности надо распределять. Если же админ самостоятельно принимает решение о восстановлении забытого пароля - то это не безопасность.
Мы достаточно долго спорим, хотя практически не расходимся во мнениях smile;)


да один человек не обеспечит безопасноть...
да и обсолютной безопасности не бывает....

по поводу того что мол будет юзверь лапшу на уши вешать по поводу забытого пароля - пункт не помню какой "Восстановление забытых учетных данных, только по письменной заявке руководителя отдела, после согласования ее с моим руководством".

"В случае если данные были утерянны, испорчены, украдены, и об этом не было сообщено, применить меры административного воздействия" так между нами говоря... приравнивается к распитию спиртных напитков на рабочем месте, ну имеется по силе внушения :)

это так кратенько если...

и вылететь можно не по собственному желанию... а по статье :)
53. Шёпот теней 1779 29.07.10 14:35 Сейчас в теме
(52) ... "и вылететь можно не по собственному желанию... а по статье ..." .. а что ? ... и примеры есть ... ? или это гипоТЕТически .. ?

... вот ...
55. Арчибальд 2706 29.07.10 14:51 Сейчас в теме
54. tango 506 29.07.10 14:47 Сейчас в теме
Вышел я из своего кабинета в соседний на 5 мин. и в этот момент ко мне зашел сотрудник службы безопасности предприятия. Увидев, что меня нет на месте, он отключил принтер и унес в свой кабинет и начал писать служебку, что сотрудник айти отдела за халатность, а именно за открытую дверь в кабинете, должен быть оштрафован на 5% оклада.
Меня это не на шутку встревожило. Охраняемый этаж. Вход на этаж по пропускам. На этаже работает 25 человек, которых я прекрасно знаю и больше никого постороннего окромя начальства на этаж не заходит. Вынести ничего не возможно ибо охрана. Везде по коридору камеры наблюдения. Комп через минуту паролится. Двери во время работы никто никогда не закрывал. Поэтому пожаловался начальству. Мне же начали объяснять, что айти отдел самое уязвимое место "ПОЧЕМУТА".
45 мин. назад зашел в пустой кабинет к службе безопасности и отключил 2 монитора и вынес в свой кабинет.
В данный момент меня пытаются лишить еще 5%.
http://www.bestfree.ru/humor/2010/07.php#July
56. Шёпот теней 1779 29.07.10 15:11 Сейчас в теме
(54) ... веселится и ликует весь народ. И быстрее, шибче воли, поезд мчится в чистом поле ... ужжж ... ВОТ ...
57. B0P0H 29.07.10 23:32 Сейчас в теме
"и вылететь можно не по собственному желанию... а по статье ..." .. а что ? ... и примеры есть ... ? или это гипоТЕТически .. ?

У меня "режимный объект" не надо буквально понимать... Да пропускная система, и т.п...
Слава богу до увольнений еще не доходило - народ пока что адекватен к требованиям...
58. Арчибальд 2706 30.07.10 08:10 Сейчас в теме
(57) А у меня и до увольнения доходило. Потом, правда, ограничились лишением премии. А там уж человек сам ушел...
59. vde69 925 02.08.10 08:09 Сейчас в теме
все не осилил, из минусов - картинки, все смешано в кучу и цели и средства в паралельных потоках. А на первой картинки защита это подсистема аудита :)))

Аудит - это дополнение защиты, и вообще вся защита должно строится не только на вложеных уровнях но и на параленых линиях взаимо контроля (например СБ контролирует доступ в серверную и действия админов ведя специальные журналы: посещения, и даже введенных команд).

По этому посмотрев картинки сильно вникать не стал.

хотя отдельные моменты расписаны правильно... и тема эта довольно актуальна

Оставьте свое сообщение