Автор: qwerty | 70057 | 27.03.2017 10:50 |
Добрый день!
Вопрос по настройке СЗИ Secret Net 7. Планируется закупить и использовать 1С бухгалтерию. Данное ПО должно работать в конфиденциальной сессии. Какие реализовать контроль потоков для данного ПО, какие каталоги надо указать в перенаправлении, и вообще какие трудности могут возникнуть при использовании данного ПО совместно СЗИ. Прошу поделится опытом, кто сталкивался. Заранее, Спасибо. |
Автор: oko | 70096 | 27.03.2017 23:00 |
Приветствую!
Если мне память не изменяет, то никаких настроек дополнительно не требуется. Год-два назад с подобным сталкивался (1С 7.7 и 1С 8.2). Стандартное (в SN7 уже автоматическое) перенаправление потоков для temp-каталогов пользователей и C:\Windows\Temp - на этом, пожалуй, все. Но это для модели 1С в качестве "толстого клиента", когда ПО 1С устанавливается на каждый защищаемый АРМ отдельно, а на сервере хранится только база. В случае, если 1С будет использоваться в терминальном режиме, главное - разрешить использование HASP-ключа (в контроле устройств) на сервере и активировать нужное количество лицензий SN7 на терминальный режим. |
Автор: Dfg | 70252 | 29.03.2017 09:01 |
Немного в сторону. А вы планируете доступ к бух данным -внутри- 1c на уровне SN ограничивать?
|
Автор: oko | 70266 | 29.03.2017 13:30 |
to Dfg
В таких системах применяется периметральная модель безопасности. Прошел ИАФ на уровне ОС? Отлично - получи доступ ко всем программам, разрешенным на запуск. А если эти программы обрабатывают структуры БД без разграничения внутри, то и к ним. Согласен, выходит не очень красиво. Но в ГТ редко квалифицированного внутреннего нарушителя рассматривают (по бумагам, разумеется). А внешний отсекается средствами СЗИ НСД на уровне ОС, не СУБД. + нет той же 1С с сертификатом по СВТ4+, чтобы ее можно было в ГТ-АС использовать как отдельное СЗИ. Так что по сути работа с БД ничем не отличается от работы с обычными электронными документами. К которым уже доступ разграничен (хотя бы дискреционно, потому как реализация мандатки в режиме сессии - это хрень несусветная, которую почему-то у нас везде принимают за образец для подражания)... |
Автор: Vosiley | 104757 | 23.11.2018 18:59 |
А если усложнить задачу? Требуется настроить мандатный доступ к базе 1с версии 8, которая находится на sql сервере в сети.
Было настроено перенаправление локальных папок рабочей станции, на которые ругался secret net studio, системному пользователю на сервере, которому не давал доступ к базе secret net, была выдана мандатная метка. После всего этого ругань на запрет доступа к ресурсам прекратилась, но база все равно недоступна в клиенте 1с. |
Автор: oko | 104758 | 23.11.2018 19:23 |
to Vosiley
Не знаю, есть ли в 1С версия "база в sql" в чистом виде. Если есть и у вас такой случай - бросьте это гиблое дело, навесными СЗИ НСД уровня ОС такую задачу не решить... В свое время для классической модели "клиент подключается к базе, которая представляет собой совокупность файлов, размещенную на шаре в сети" поступал крайне просто. Как раз под SNS. Нужный гриф на шару, нужный мандат допуска для юзера, наличие сервера безопасности и взаимной видимости "сервера" (на котором шара) и "клиента" между собой. Тогда база будет доступна на клиенте в 1 выбранном мандатном режиме. Нужно несколько режимов? Придется делать несколько баз... |
Автор: Vosiley | 104762 | 24.11.2018 00:28 |
Ну да, с собственными базами 1с проще, но вот есть такая самописная база под 1с-предприятие.
в ТП сказали, шо случай совсем нетипичный (ну мол нет ни у кого баз в 1с-sql), составлю запрос по почте, по результатам отпишусь. |
Автор: oko | 104784 | 24.11.2018 22:36 |
to Vosiley
При всем уважении к желанию разобраться, мой совет - забейте. Эту задачу нельзя решить (без дичайших костылей) средствами навесных СЗИ НСД уровня ОС, еще раз повторяю. Принцип работы другой. Не получится влезть с мандатными метками на уровень СУБД. Для всего остального есть урезанные СУБД в составе соответствующих ОС, которые сертифицированы и с грехом пополам поддерживают такую схему мандатного доступа, ага... |
Просмотров темы: 5979