Защита информации программного продукта 1С версии 7.7

Работа была выполнена на выпускные испытания в 2011 году в Новосибирске. Данную работу приняли с оценкой "Отлично". В приложении отсутствуют файлы презентации. ...

Оглавление
ВВЕДЕНИЕ 2
1.2.Организация защиты информационной безопасности 5
1.3.Защита информации от несанкционированного доступа 7
1.4.Организационное управление защитой информации 9
2.Концептуальное обеспечение информационной безопасности автоматизированной системы в продуктах 1С, способы защиты. Анализ имеющихся средств защиты, анализ уязвимостей системы. 11
2.1 Программы фирмы 1С. 11
2.2 Анализ системы 1С: Предприятие. Угрозы и способы защиты. 12
3.Разработка критериев защиты, создание модуля обеспечивающего криптографическую защиту базы данных системы 1С. 14
3.1Разработка критериев защиты системы 1С: Предприятие 14
3.2 Организация и настройка работы системы 1С: Предприятие 16
3.3 Регламент по настройке системы для обеспечения безопасности информационной среды 17
3.4 Разработкамодуля шифрования 19
3.5Результаты работы программы: 23
4.Организационно – экономическая часть диплома 25
4.1 Постановка задача 25
4.2 Краткое описание проекта 25
4.3 План-график дипломной работы 26
4.4 SWOT-анализ 27
4.5 Выводы 30
Заключение и выводы 31
Список использованных источников 32
Приложение 1 34
Описание интерфейса системы 1С: Предприятие 34
Приложение 2 36
Описание настройки 1С: Предприятие 36
Приложение 3 39
Исходный код разработки: 39
Исходный код BAT-файла 4

ВВЕДЕНИЕ
Не секрет, что в современном мире, защита информации выходит на новую ступень своего развития. С каждым годом ценность информации возрастает вместе с важностью ее защиты.
В современном обществе уже не осталось процессов и событий, которые не использовали бы в своей работе информационные технологии, будь то запись на цифровые носители, или постоянный документооборот в электронной среде. Все эти действия требуют надежность систем и возможность сохранить данные от повреждения и краж.
В данной работе я рассматриваю достаточно узкую, но практически важную в прикладном плане сторону работы в электронной среде – продукты фирмы 1С, а именно разработанную программу «1С Предприятие версии 7.7» во всех ее конфигурациях.
Фирма 1С предоставила для современного рынка отличную рабочую среду, ко торая помогает вести денежные и материальные учеты, что в свою очередь практически всегда является коммерческой тайной данного предприятия. Однако созданные системы защиты продукта, сводятся к защите самой фирмы 1С, которая не дает возможность использовать ее нелицензионные продукты, что просто обеспечивает экономическую безопасность самой фирмы 1С. Что же касается предприятий, которые используют продукты 1С, то они практически не имеют защиты своих данные от краж или фальсификации.
В своей дипломной работе я хотел бы раскрыть имеющиеся уязвимости систем «1С Предприятие версии 7.7» во всех ее конфигурациях. Основной целью данной работы является раскрытие возможных каналов утечки информации и ее уязвимости по отношению к сотрудникам и лицам не имеющим доступ к системе. А так же предложить вариант защиты данных, которые хранятся в каталогах программы.
При разработке криптографической защиты данных находящихся в каталогах программы, я буду руководствоваться существующим и действующим стандартом «ГОСТ 28147-89» отвечающий всем требованиям безопасности в Российской Федерации.
Защита информации (ЗИ) - деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.
Информационная безопасность (ИБ) – защищенность информации и поддерживающей инфраструктуры от случайного или преднамеренного воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцу или пользователям. Информационная безопасность имеет три основных аспекта:
1. доступность - возможность получения доступа к информации в разумное (требуемое) время.
2. целостность - защищенность от разрушения и несанкционированного изменения.
3. конфиденциальность - защита от несанкционированного чтения.
Носитель информации - физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин. А информация, зафиксированная на материальном носителе с реквизитами, позволяющими её идентифицировать, называется документированной.
Система защиты информации - совокупность органов и/или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно распорядительными и нормативными документами по защите информации [6].
Таким образом, целью данной дипломной работы является:
1. Анализ имеющихся уязвимостей системы и слабые стороны защиты.
2. Разработка модуля защиты базы данных в программном продукте фирмы 1С, на примере программной системы 1С: Предприятие.
3. Общие предложение по защите программного продукта 1С Предприятие [17].

Фирма 1С с первых шагов обеспечила безопасность системы 1С: Предприятие, использующих электронные ключи типа eTocken, или защиты с помощью паролей скрытых в литературе сопровождения. Однако, как уже было сказано, эта защита направлена не на защиту пользователей системы, а на защиту фирмы 1С, так как взлом данного ключа, достаточно сложная задача, что само по себе требует легальную покупку продукта. Для дополнительной мотивации, фирма 1С предусмотрела регулярные обновления и техническую поддержку, что требует однозначную лицензию. Однако в данное время очень часто встречаются системы со вскрытой системой безопасности, что не мешает предприятиям успешно использовать продукты фирмы 1С.Помимо «типовых» систем, т.е. тех которые созданы самим разработчиком, программа может быть изменена под запросы использующей ее компании, в этом случае она становиться «не типовой». Фирма 1С не предусматривает обслуживание нетипичных систем, однако она лицензирует и выдает сертификаты 1С программистам, которые могут в виду своей базы знаний сопровождать и обеспечивать обслуживание и обновление не типовых систем. Частое изменение типовой конфигурации объясняется гибкостью системы. 1С выпустила свои продукты со встроенным языком программирования «1С Предприятия». С одной стороны это заставляет взломщиков его учить и разбираться в структуре программы, но с другой стороны, данный язык очень прост в освоении, поэтому не является особым препятствием. 1С язык программирования является объектно-ориентированным языком программирования, что упрощает его понимание. Вся структура системы может быть собрана в список базовых классов:Константа,Справочник,Документ,Журнал документов,Перечисление,Отчет,ОбработкаПлан счетов и др.Каждый класс может содержать в себе бесконечное множество переменных, благодаря которым могут открываться новые возможности системы. Одновременно с простотой внутреннего содержания системы, она имеет легкие каталоги хранения данных, что очень сильно ослабляет ее. В системе 1С: Предприятие, есть возможность закрывать базу данных паролем для каждого пользователя, однако реализация данного подхода оставляет желать лучшего.Далее в работе будут рассмотрены слабые и сильные стороны системы 1С: Предприятие, на примере конфигурации «1С: Бухгалтерия 7.7» [11].2.2 Анализ системы 1С: Предприятие. Угрозы и способы защиты.Структура системы 1С: Предприятие на удивление проста, это можно объяснить простой задумкой, которая в дальнейшей разработке не претерпела улучшений и определенного уровня защиты. Тем не менее, всю структура базы 1С можно изучить за 1 день, в ней не ничего сложного.Система 1С: Предприятия в любом ее исполнении зависит от двух важных составляющих: Платформы и Конфигурации. При том, что Конфигураций может быть сколько угодно, при наличии лишь одной Платформы. Платформа же может быть подобрана под различные нужды пользователя, так как она может быть различных версий:Учебная — допускает конфигурирование, содержит три (?) «компоненты», имеет весьма существенные ограничения.Базовая — допускает использование только Базовых конфигураций, не допускает конфигурирования, не допускает смешивания «компонент».Стандартная — только «Бухгалтерский учёт», допускает конфигурирование, имеет ограничения.Профессиональная — обладает максимальными возможностями среди однопользовательских версий, допускает совместное использование «компонент».Сетевая — совместное использование в локальной сети с ограничением числа пользователей или без ограничений.SQL — обладает максимальными возможностями, допускает хранение данных в MS SQL Server v.6, v.7 или 2000. Также существуют неофициальные патчи bkend.dll, позволяющие использовать MS SQL 2005 и 2008(с созданием представления для базы данных через SQL Server Management Studio для последнего).Платформа позволяет работать в нескольких режимах:1С:Предприятие — основной режим работы пользователя, ввод данных, получение отчётов.Конфигуратор — режим администрирования и изменения конфигурации, ввод пользователей, назначение паролей.Отладчик — режим отладки и замера производительности конфигурации.Монитор — режим просмотра активных пользователей и журнала регистрации событий.Как правило, платформа 1С устанавливается По-умолчанию в папку \Program Files\1Cv77, что уже сужает ее поиск. Конфигурации же устанавливаются либо в эту папку (По-умолчанию), или в любой другой каталог, включая и съемные носители, что является плюсом с точки зрения безопасности [11].Для ограничения доступа пользователей в программе используется встроенный блок, отвечающий за пользователей системы, в этом блоке могут быть назначены возможности каждого пользователя, его пароль и рабочий каталог. Однако, данная задумка, как бы она не казалась хорошей, на практике, рассчитана на неграмотных пользователей в сфере информационных технологий. Огромный минус этой продуманной идеи заключается в том, что все данные по пользователям и паролям, находятся в одном файле в каталоге конфигурации (\usrdef\users.usr), без которого, система считает, что пользователей нет, и любой вошедший – администратор системы. Можно конечно полагать, что Каталог конфигурации может быть в скрытом месте и злоумышленник не сможет ее найти достаточно быстро, однако тут «на помощь» приходит окно входа в систему (Приложение 1, рис 1), где ясно указан путь к каталогу базы. Можно, конечно, создать ярлык для входа в базу минуя окно входа в систему, но и тут не ничего сложного, достаточно посмотреть свойства ярлыка, чтобы увидеть путь в базе. Сложности безопасности не ограничиваются одним лишь доступом к базе, база достаточно часто архивируется для сохранения данных на определенный период. Конечно, в данной функции есть система защиты паролем, которую не легко взломать, так как она получает размерность «.zip», однако по многочисленному опыту можно сказать, что пароли ставят далеко не все, что просто угнетающе влияет на информационную безопасность. Если в руки злоумышленника попадет данный архив, да еще и со слабым паролем, то он получит абсолютно все данные предприятия, от документов, до справочников, или другими словами, всю коммерческую информацию организации. Данный промах, может быть решен только при грамотном подходе администратора, который будет, создавая архивы, ставить надежные пароли на каждый из них. Либо просто создавать архивы на съемные носители, которые находятся под контролем. Второй метод не регламентирован руководством или инструкциями литературы сопровождения продуктов 1С: Предприятие, однако, он наиболее часто встречается в небольших или частных компаниях.Структура самой базы данных в 1С: Предприятии – вопиющее нарушение безопасности, которое ко всему прочему, никак не защищена. Все данные, которые находятся в базе 1С, располагаются в главном каталоге конфигурации, причем в файлах одних и тех же типов: «CDX», « DBF», «1Cv7.DD». Копирование и перенос данных файлов в пустую базу, позволяет полностью завладеть данными базы. Далее в данной работе будет предложен способ защиты этих данных от копирования и использования.Наибольшую опасность это представляет, когда работа с базой данных происходит через сервер, так как полагается, что ограничение пользователей от копирования и просмотра файлов сервера может уберечь базу от нежелательного воздействия, что в свою очередь – пустые надежды. Рабочий интерфейс программы позволяет работать с внешними файлами, как для просмотра, так и для подключения. Даже если пользователь не имеет доступа ни к одному из каталогов сервера, он минимум будет иметь доступ к каталогу базы, причем с возможностью его копирования, удаления и записи, так как иначе не возможна работа в базе 1С: Предприятие.Для обмена данными между центральной базы данных и ее филиалов (периферийных баз), в 1С создана возможность стандартного переноса данных, для злоумышленника в этой операции будет проблема только в 1 шаге, в ходе которого он должен будет скопировать имеющуюся базу с параметром указывающим на ее дочернее происхождение, однако если ему это удастся, он сможет вести регулярное обновление своей скрытой базы, простым перехватом файлов обмена, которые занимают очень мало места (менее 1 мб.). Поэтому логически верно будет не давать возможности проведения 1 шага. Создание периферийной базы, должно проходить в дали от чужих глаз и не должно занимать большого количества времени.Итог предварительного анализа дает нам понять, что система защиты 1С: Предприятие не имеет четкой направленности на сохранение данных пользователей и компании в целом. Все вышеуказанные уязвимости системы требуют определенного внимания, некоторые из которых требуют организационных мер, но, как известно, они не дают 100% гарантии. Технические мероприятия не должны быть материально затратными, однако они требуют постоянного контроля и качественной работы, самым простым способом защиты базы данных, уже придуман самими пользователями, которые хранят все важные сведения на съемном носителе. Однако для оптимальных мер обеспечивающих безопасность системы 1С: Предприятие, требуется вмешательство специализированных мер защиты информации.Разработка критериев защиты, создание модуля обеспечивающего криптографическую защиту базы данных системы 1С.Разработка критериев защиты системы 1С: ПредприятиеОрганизационные методы защиты информации должны нести в себе слаженную работу всей компании, разграничение возможностей пользователей, ограничение доступа к информации и криптографические способы защиты.К организационным методам можно отнести:Инструктирование пользователей о работе системы 1С: Предприятие;Обучение пользователей;Построение графика работы с системой.Перед началом работы, каждый пользователь должен пройти курс обучения работы с системой 1С: Предприятие. Для обучения можно нанимать консультанта из любой фирмы по обслуживанию 1С, которых в любом городе достаточно, либо обучение опытными пользователями внутри самой организации. Цель обучения работы с системой – донесение до пользователей тонкостей работы, благодаря которым может проходить слаженная и правильная работа. Пользователь не прошедший обучение может несознательно навредить данным организации, поэтому данный пункт должен стоять на первом месте.Помимо работы с системой 1С, каждый пользователь должен знать все меры предосторожности при работе на компьютере в целом. Минимум при работе с компьютером можно свети к списку:Не запускать неизвестные приложения;Не загружать из внешней сети неизвестные программы;Не открывать письма от неизвестных авторов;При возникновении подозрения на атаку или вредоносное программное обеспечение – не предпринимать самостоятельных действий, а позвать квалифицированный персонал.Как известно многие пользователи пренебрегают системой паролей, а те, кто ее использует принудительно, выбирают слабые или одинаковые пароли на все случаи жизни. Этого быть не должно. В Системе 1С, пароли может назначить только администратор системы, поэтому здесь можно не вести бесед, а просто дать каждому его пароль. Однако до входа в систему, каждый компьютер должен иметь хорошую защиту паролями и антивирусными программами. Лучше всего если компьютер будет настроен системным администратором, который сможет существенно ограничить свободу пользователя, вместе с этим он сможет настроить компьютер достаточно хорошо, чтобы сведения не оставались открытыми при отсутствии пользователя, например обычная блокировка компьютера при простое. Обучение должно проходить для каждого отдела отдельно, ибо каждый отдел должен уметь работать только со своими данными и уметь анализировать неполадки. Помимо тонкостей самой программы, пользователи должны иметь полную картину, того, что они могут, а чего не могут выполнить в программе, пример реализации устройства доступа отображен на рисунке 3.1.1. Рис. 3.1.1 Пример распределения доступа к информации в системе 1С: ПредприятиеВсе работники отдела бухгалтерии обязаны иметь образование в экономической сфере, несмотря на то, что программа полностью автоматизирована, пользователи должны знать о такой проблеме, как «человеческий фактор», из-за которого программа может ввести ложные или неверные данные, которые могут отразиться на дальнейшей работе.Обучение отдела по работе с номенклатурой, нужно для ознакомления пользователей работе со справочниками и документами. Умение правильно заполнять информацию и не делать серьезных ошибок, поможет вести работу без сбоев и нежелательных «дублей», которые достаточно часто встречаются в работающих компаниях. Наиболее качественное обучение, позволить разграничить пользователей по служебным обязанностям, для того, чтобы каждый занимался своим делом и следил за вверенными ему данными. Нельзя так же упускать инструктирование отдела охраны предприятия, которая должна знать, кто и куда имеет право проходить, а кто нет. Многие бухгалтеры уносят диски с базами домой, чтобы там продолжать работу. Задача охраны следить за тем, чтобы такого не происходило. Кража некоторых элементов оборудования, тоже может сильно повредить компании, поэтому ответственность за сохранность имущества падет дополнительными инструкциями на плечи охраны. Так же охрана должна следить за ключами от кабинетов, все ключи должны быть сданы вовремя и не должны выдаваться никому после окончания рабочего дня, для лучшего контроля лучше всего ставить печати на ключи или дверные скобы. Если же в здании предусмотрена система видеонаблюдения, то этот момент так же нельзя упускать из виду, даже во время обеда сотрудники должны закрывать кабинет покидая его.Для контроля информационной среды, должны проводиться инструктажи с информационным отделом, в задачи которого будут входить мониторинг системы и контроль за целостностью оборудования. Информационный отдел должен контролировать вверенное им имущество, следить за целостностью сети и контролировать ее на предмет стороннего подключения. Помимо этого, информационный отдел или системный администратор, должен следить за безопасностью от вредоносных программ, минимум один раз в месяц, должно проводиться архивирование базы 1С для сохранения имеющейся информации.Инструктирование системного администратора не должно иметь сведения о работе в среде 1С: Предприятия, однако администратор должен уметь выполнять необходимые действия по устранению некоторых неполадок или восстановления данных. В редкой компании штат имеет Администратора 1С, поэтому данную обязанность частично должен будет принять системный администратор или руководитель.К отдельным обязанностям Информационного отдела или системного администратора, можно добавить мониторинг файлов в каталоге базы 1С: Предприятие. Если было зафиксировано удаление файла отвечающего за список пользователей – значит, в организации есть человек знающий тонкости работы с базой и который применяет способы обхода систем защиты. В этом случае нужно в кротчайшие сроки найти нарушителя и установить контроль за его действиями. Ведь если производилось освобождение базы от пользователей, это говорит о временной вседозволенности нарушителя, который мог просто снять архив с базы данных. Помимо данного примера, можно привести еще множество уязвимостей системы, которыми могут воспользоваться злоумышленники, но за всеми все равно не уследить без постоянного мониторинга системы.3.2 Организация и настройка работы системы 1С: ПредприятиеНастройка системы 1С: Предприятие заслуживает отдельного рассмотрения, так как от этого зависит очень многое. Однако не все решения возможны лишь средствами предоставленными производителями 1С, некоторые настройки должны быть на рабочих машинах.Каждый компьютер должен иметь пароль только на то количество пользователей, сколько за ним работают;Компьютер должен иметь систему блокировки при простое, и настройку прав доступа, чтобы пользователь не мог самостоятельно ее снять;Вход и работа на сервере так же должны иметь разграничение пользователей;Доступные ресурсы на сервере и права доступа к ним, должны соответствовать специфике работы каждого пользователя;На сервере и каждой локальной машине должен вестись лог-файл с мониторингом всех действий пользователя;Для входа пользователей в 1С: Предприятие, каждый пользователь должен получить свой личный пароль и инструкции по работе с системой. Сама же система должна быть настроена под каждый род деятельности по отдельности.Настройка Системы 1С: Предприятие – дело не самое сложное, но достаточно кропотливое в плане выполнения. Стандартные средства и встроенный конфигуратор позволят администратору настроить среду системы под каждого конкретного пользователя или группы пользователей. Интерфейс и права доступа ко всем разделам программы должны быть настроены очень точно, так как область деятельности одного отдела должна иметь полную свободу в своей области и ограниченные права в иных областях. К примеру менеджеры работающие в системе не должны иметь доступ к финансовой работе компании (чтение и запись), но они имеют право знать (только чтение) информацию по проведению оплаты, что и диктует их права и свободы в рабочей среде. Для некоторых отделов можно просто скрыть основную информацию, и оставить только ту, с которой непосредственно работает отдел.Помимо настроек прав пользователей, 1С: Предприятие позволяет изменить и интерфейс пользователя, добавляя или убирая какие либо кнопки, это конечно, никак не отражается на безопасности, однако это позволяет быстрее работать в системе.Одной из основных настроек – редактирование пользователей , изображения интерфейсов показан в приложении1, рисунки 2-4.Каждый пользователь должен иметь Уникальное имя, рабочий каталог для сохранения выгружаемых данных и права с интерфейсом. 1С: Предприятие характерно тем, что права пользователей ограничены лишь фантазией администратора, поэтому «Права» можно называть по именам пользователей, что упростит их контроль и дальнейшее редактирование.Помимо ограничения прав пользователей (Приложение 1, рисунок 6 и 7), в меню конфигуратора (Приложение 1, рисунок 5), существует возможность изменять параметры каждого Блока и под-Блока (Приложение 1, рисунки 8, 9, 10), где можно реализовать проверку на некоторые параметры пользователей, тем самым выставляя запреты или привилегии для некоторых пользователей.3.3 Регламент по настройке системы для обеспечения безопасности информационной средыДля обеспечения максимальной безопасности информационной среды в системе 1С: Предприятие 7.7 для локальной машины, необходимо выполнить следующие действия:При установке Платформы 1С 7.7, выбираем папку отличную от «Program Files».При установки конфигурации программы, так же необходимо выбрать оригинальную папку, отличную как от «Program Files», так и от папки установки Платформы.Запустить программу с параметром «конфигуратор» (Приложение 2, рисунок 1).Сделать архивную копию ненастроенной базы (Приложение 2, рисунок 2 и 3). Установив при этом достаточно сложный пароль на архив (минимум 6 символов содержащих в себе цифры, буквы с различным регистром и спец.символы).Открыть панель создания пользователей и создать столько пользователей (Приложение 2, рисунок 4 и 5), сколько будут работать за данным компьютером, и еще одного пользователя – «Администратор».Настроить права пользователей согласно их рабочему профилю (Приложение 2, рисунок 6 и 7). Установить каждому рабочий каталог.Назначить пароли для каждого пользователя (Приложение 2, рисунок 8).Сделать архивную копию базы с настроенными пользователями (см. п.4).Открыть конфигурацию базы 1С (Приложение 2, рисунок 9).Открыть панель «Права» (Приложение 2, рисунок 10) и настроить параметры работы для каждого конкретного пользователя из предложенных вариантов. Создать новый набор прав если в этом есть необходимость (Приложение 2, рисунок 11).Сохранить внесенные изменения нажав «Ctrl+S» или на кнопку в верхней панели (Приложение 2, рисунок 12).Открыть в конфигурации вкладку «Интерфейсы» (Приложение 2, рисунок 13).Создать новый блок интерфейса если есть необходимость (Приложение 2, рисунок 14). Настроить интерфейс «Меню» (Приложение 2, рисунки 15 и 16) под специфику работы пользователя.