Методы защиты данных в 1С-Предприятие. Уровни доступа. Пароли

Министерство образования  и науки Республики Казахстан

Алматинская академия экономики и статистики

Кафедра «__Учет и аудит__»

 

№________

«___»__________2012г.

 

Контрольная работа

По дисциплине: «Компьютерные технологии в бухгалтерском учете»

На тему: Методы защиты данных в 1С-Предприятие. Уровни доступа. Пароли

 

Студентки 2  курса,  группы №11UA2SR0701

 

               Ф.И.О. студента Чечурина А.Ю

Ф.И.О. преподавателя Роговская

 

_______________________                                               _____________________

(допуск к защите)                                                                  (оценка)

 «___»_____________2012г.                                     «___»_____________2012г.

_____________________                                               _____________________

(подпись руководителя)                                                (подпись руководителя)

 

 

Усть-Каменогорск 2012г.

Введение……………………………………………………………………..3

1. Описание системы и среды ее функционирования……………………..5

2. Пользователи Системы, класс защищенности разрабатываемой подсистемы……………………………………………………………...........6

3. Горизонтальная модель сети……………………………………………...7

4. Вертикальная модель  сети………………………………………………..11

Заключение…………………………………………………………………...16

Список литературы…………………………………………………………..18

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Введение

Разработка информационных систем автоматизации некоторых  бизнес-процессов является достаточно затратным мероприятием. И не все  Заказчики при принятии решения  о необходимости проведения такого вида работ, полностью понимают требуемое количество затрат.

Классификация затрат создания ПО достаточно большая. Достаточно “проанализировать” все этапы жизненного цикла ПО. Однако, при анализе затрат на создание и сопровождение систем, следует знать о существовании среди них таких затрат, которые направлены на организацию устранения угроз нелегального использования информации системы, а так же на поддержание заданного уровня безопасности на протяжении всего срока использования системы.

Предусловием данной работы является уже готовая к вводу  в опытную эксплуатацию – система  управления бухгалтерским учетом “1С: Предприятие 8.0 Управление бухгалтерией”.

Целью проекта ставится анализ программно-аппаратного комплекса  предприятия на возможность использования  данной системы на предприятии и  недопущения факта “утечки” (кражи) коммерческой информации.

Для решения данной цели необходимо решить следующие задачи:

-проанализировать коммерческую  информацию и определить класс безопасности такой системы;

-на основе класса безопасности  определить перечень требований, которые должны быть соблюдены;

-проанализировать все  угрозы и предложить меры по их устранению;

-представить перечень  требуемых организационных мер,  определить список должностных  лиц, которым будут делегированы новые полномочия.

Данная работа ориентированна на решение задачи информационной безопасности системы. При этом, под данной категорией понимается комплекс мероприятий, обеспечивающий для охватываемой им информацией следующие факторы:

-конфиденциальность –  возможность ознакомления с информацией  (именно с данными или сведениями, несущими смысловую нагрузку, а  не последовательностью бит их представляющих) имеют с своем распоряжении только те лица, кто владеет соответствующими полномочиями;

-целостность – возможность  внести изменение в информацию  должны только те лица, кто на это уполномочен;

-доступность – возможность  получения авторизированного доступа  к информации со стороны уполномоченных  лиц в соответствующий санкционированный  для работы период времени.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1. Описание системы и среды ее функционирования

Система “1С:Предприятие 8.0 Управление бухгалтерией” (далее, везде система) предназначена для автоматизации ведения: бухгалтерского, налогового, управленческого учета и учета заработной платы сотрудников. Отметим, что данная система осуществляет ведение учета от имени нескольких Организаций. То есть, операции по любому из перечисленных видов учетов осуществляются в разрезе собственных юридических лиц (или Организаций).

Технология системы

Данная система является клиент-серверным приложением, с  трехзвенной архитектурой. В качестве сервера БД используется СУБД MS SQL Server 2000 Standard Edition SP3a. В качестве сервера-приложения используется “Сервер приложения 1С:Предприятие”. Клиентской частью является Платформа “1С:Предприятие 8.0” и функционирующая в ней конфигурацию “Управление бухгалтерией” (версия 8.5.2.1).

Среда функционирования

Использование данной системы  ограничивается в рамках одной ЛВС, располагаемой в одном здании. В работе с системой задействованы следующие отделы:

-бухгалтерия;

-отдел кадров.

Однако, ввиду того, что  система поддерживает ведение управленческого  учета, то, предполагается, что система  может быть использована удаленно. Это может осуществить директор организации посредством своего мобильного компьютера и средств  каналов связи Internet, находясь в командировке или в отпуске.

Кроме того, данные налогового и бухгалтерского учета могут  предоставляться по каналам связи  Internet в Межрайонную налоговую инспекцию региона. Данные кадрового учета предоставляются в пенсионный фонд.

 

2. Пользователи Системы, класс защищенности разрабатываемой подсистемы

Генеральный директор организации - осуществление общего контроля деятельности предприятия, в частности финансового контроля организации;

Системный администратор  – внедрение ИС в информационную структуру организации, настройка  возможностей взаимодействия с другими  программными продуктами, в частности, контроль правильности функционирования системы;

Главный бухгалтер – использование  ИС, контроль правильности и своевременность  наполнения ИС, формирование форм отчетностей;

Бухгалтер – использование  ИС, внесение данных в ИС, расчет основных показателей налогового и управленческого учета;

Специалист отдела кадров – непосредственное наполнение БД данными кадрового учета. Так же формирование форм отчетностей.

Класс защищенности разрабатываемой системы

Для определения класса безопасности разработанной системы воспользуемся  классификацией, представленной Государственной  технической комиссии РФ. Следуя ее стандарту, существует всего 3 группы классов:

3 группа: относятся АС, в  которой работает один пользователь, допущенный ко всему объёму  информации АС, относящейся к  одному уровню конфиденциальности.

2 группа: классифицирует  АС, в которой все пользователи  имеют одинаковые права ко  всей информации и вся она  размещена на одном уровне конфиденциальности.

1 группа: классифицирует  многопользовательские АС, в которых  одновременно обрабатывается и  хранится информация разных уровней  конфиденциальности, и пользователи  имеют разные права доступа к ней.

В зависимости от степени  секретности информации, каждая из групп делится на классы.

Классы “А”, “Б” и  “В” предназначены для защиты государственной тайны. Соответственно, коммерческая информация учета предприятия  попадает в первую группу класса “Г”.

3. Горизонтальная модель сети

Описание  угроз соответствует схеме АСОИ компании представленной в приложение №1. Еще раз отметим, что система  использует клиент-серверную технологию трехзвенной архитектуры. Сервер управления БД (СУБД) и сервер – приложения установлен на Сервере ЛВС. Все клиенты посредством  каналов ЛВС, через сетевой концентратор Switch подключены к данному серверу, что обеспечивает функционирование их рабочих мест.

Пользователи  сети, кроме общего ресурса –  СУБД, используют еще два принтера. Причем один из них сетевой, а другой открыт по сети для общего использования. Пользователи ЛВС имеют выход  в Интернет посредством модема, соединенного с маршрутизатором.

Из данного  описания следует, что информация системы  бухгалтерского учета, представляющая для компании самый высокий уровень  конфиденциальности, может быть неправомерно использована: изменена, удалена, или  похищена. Даже, похищение не самой  системы, а ее копии конкурентами или иными третьими лицами, может  принести колоссальный вред компании в виде убытков.

Далее, попытаемся определить перечень потенциальных  угроз для функционирования системы?

Описание  возможных угроз

Все угрозы принято делить на две группы: внешние  и внутренние. Рассмотрим каждую из групп, в отдельности.

Внутренние  угрозы:

Физический  доступ к серверу и активному  оборудованию. Сервер может быть противоправными  действиями выведен из строя: отключен, поврежден, украден, и.т.д. Активное оборудование так же может быть подвержено противоправным действиям.

Физический  доступ к ЭВМ конечных пользователей. Противоправными действиями третьих  лиц, может быть так же нанесен  материальный ущерб оборудованию, или  незаконный доступ к информации с  рабочего места пользователя при  включенном компьютере.

 

Физический  доступ к принтеру. Разные отделы работают с информацией разного уровня конфиденциальности. Например, информация бухгалтерии и кадрового отдела, является наиболее конфиденциальной. Соответственно, используемые ими средства печати должны быть соответствующе защищены. Перехват трафика внутри сети. Несанкционированный доступ к системе.

Внешние угрозы:

Угроза внешней  атаки из Интернета, по средством: сетевой атаки, заражения вирусом, или взломом через программы “трояны”.

Несанкционированный доступ к данным при обмене конфиденциальными  данными между удаленным пользователем и сетью.

Меры по устранению угроз безопасности сети

По требованиям  ГосТехКомиссии для класса “1Г”, руководство компании обязаны обеспечить охрану сервера и активного оборудования. При этом понимается выделение отдельного помещения, в котором должны быть проведены все ремонтные работы и помещение должно быть также оборудовано в соответствии с ГОСТами по электроснабжению, пожаротушению и вентиляции.

По требованиям  ГосТехКомиссии для класса “1Г”, руководство так же должно обеспечить физическую охрану помещений, в которых работают пользователи. Причем такие меры не должны ограничиваться только тем временем суток, когда сотрудников нет на рабочих местах. В рабочее время, ответственность за охрану рабочих мест должна относится на самих сотрудников, и руководителей соответствующих отделов. В рамках данной системы, ответственными за охрану рабочих мест в рабочее время отвечают Главный бухгалтер (бухгалтерия), Старший расчетчик (отдел кадров).

Системный блок каждого компьютера пользователя должен быть отпечатан за подписью начальника отдела и системного администратора. Кроме того, каждый такой компьютер  не должен содержать механизмов обмена данными (например, устройства для работы с CD-дисками, и дискетами, устройства обмена данными через интерфейс USB).

Сгруппировать сотрудников по группам. Первую группу составят бухгалтерия и отдел  кадров. В кабинете одного из отделов  установить их специализированный принтер. Доступ в данные отделы уже ограниченны. Вторую группу составляют сотрудники отделов маркетинга и информационного. В распоряжение данной группы предоставить иной принтер. Далее, необходимо произвести настройки сетевых ресурсов, так, чтобы сотрудники отделов могли  осуществить печать только на “отведенных” для них устройствах печати.

Не использовать устройства типа Hub. Использовать специализированные коммутаторы, где пакеты идут по специализированному маршруту, конкретно заданной машины.

Как известно слабость системы определяется по самому слабому участку этой системы, а  не всей системы в целом. Соответственно, организация идентификации должна осуществляться с уровня ОС. При  этом, на изменение параметров Bios уже должен быть выставлен пароль. Система должна быть защищена на всех уровнях (звеньях) – клиент, сервер-приложение, СУБД.

 При этом должны выполнятся все требования, предъявляемые к паролю: “не принимать в качестве паролей коротких последовательностей символов, меньше 8-10; максимально использовать предоставляемые системой возможности и вводить парольные последовательности в 15-20 символов; обязательно использовать в пароле не только буквы и цифры, но и спецсимволы (!”№;%:?*{[<>& и т.п.) и изменение регистра символов. Не следует понимать, что достаточно набирать в качестве пароля на клавиатуре, включенной в режим латинского шрифта, фразу на русском языке, ориентируясь на русскую раскладку. К сожалению, существуют уже словари для программ-взломщиков паролей, ориентированных и на такие хитрости;”