Как защитить информацию в программе 1С?

Среда, 3 июня 2009

defЗащита информации в 1С – это очень интересная штука. Особенно интересной она становится в тот момент, когда информация в программе 1С уже потеряна и возникает вопрос, как же ее восстановить. Как известно, лучшее средство от любой болезни – профилактика. Сегодня мы поговорим о средствах профилактики в компьютерной науке.

О защите информации написано очень много, существует масса специалистов и средств этой самой защиты. К сожалению, пользователи уделяют очень мало внимания этому вопросу, в большинстве случаев даже не подозревая, что информация – это ценность, которую нужно беречь.

Именно поэтому на крупных предприятиях существуют специальные отделы защиты информации и это не просто «компьютерщики», это люди занятые изучением способов потери информации и защиты ее.

В более мелких предприятиях эту работу выполняет системный администратор, но к сожалению он зачастую не осознает всех возможных проблем и соответственно не защищается от них.

И наконец на самых маленьких предприятиях это работу должны выполнять пользователи, которые зачастую вообще не отличают файла от папки и не знают, что информация требует бережного обращения.

Для того, чтобы понять как защитить, нужно понять, от чего защищать. Собственно для информации существуют две угрозы: это угроза потери и угроза утечки. Дальше будем рассматривать обе угрозы и способы защиты.

Потеря информации. Иными словами пропажа, т.е. была информация и исчезла. В реальном мире потеря информации аналогична уничтожению имущества, например в случае пожара. Потеря может быть как полной, так и частичной, как подлежащей восстановлению, так и не подлежащей.

Из-за чего происходит потеря информации? Можно выделить несколько путей потери информации:
1. Умышленная порча. Уничтожить ваши файлы могут ваши же недоброжелатели, есть любители делать это просто из подлости, тут в общем все понятно, я думаю.
2. По неосторожности пользователя. В данном случае вариантом может быть масса: пустили ребенка (младшего/старшего брат/двоюродного дедушку) за компьютер, «Ой а че это я щас нажал?» и любимый отчет накрылся неким медным предметом, случайно не то стерли, случайно нажали не ту кнопку в программе ну и так далее. Сюда еще следует добавить пункт «Забыли сохранить, отошли от компьютера и тут бац, свет погасили».
3. В связи с логическим или физическим сбоем носителя информации. Все мы знаем, что информация должна где-то хранится, то ли на жестком диске в компьютере, то ли на дискете, то ли на флешке, компакт-диске и т.д. Это все предметы реального мира, следовательно, они могут просто сломаться (в случае с флешкой или винчестером) или испортиться. Но бывает еще и так называемые логические сбои, они как правило следствие физических, но могут быть связаны с ошибкам в программах. И не следует забывать, что физическим носители могут быть также уничтожены по неосторожности, вследствие несчастного случая либо умышленно.

Теперь рассмотрим, как защитится от такой неприятности (хотя в некоторых случаях это можно назвать катастрофой).
Основной способ защиты – это резервное копирование. Резервное копирование – это создание полной копии нужной информации, которая позволит в случае утери оригинальной информации восстановить ее из копии. Своевременное создание резервных копий позволит значительно уменьшить расходы, связанные с потерей информации.
При создании резервных копий нужно помнить несколько моментов:
чем чаще вы создаете резервные копии, тем меньше шансов потерять что-либо в случае умышленной или не умышленной порчи.

Первое правило резервного копирования – это: «копия не должна хранится на том же носителе, что и информация». На практике это означает, что не стоит создавать резервные копии на жестком диске того же компьютера на котором вы работаете. В идеале копия должна хранится на носителе, доступ к которому осуществляется крайне редко либо не осуществляется вообще. В современном мире идеальным средством копирования являются компакт диски: DVD или CD.

В зависимости от того, какой объем данных вы сохраняете, резервная копия может занимать достаточно много места. Но современные носители достаточно дешевы (записываемый диск DVD порядка 1,5 – 2 грн., устройство для записи дисков – порядка 200 грн.), поэтому экономить на них глупо и небезопасно, тем более, что устройство для записи этих самых дисков позволит вам еще и слушать музыку и смотреть кино с DVD и создавать себе коллекции музыки или фото.

Как часто нужно выполнять резервное копирование? Например в случае с 1С:Предприятием нужно оценить количество хозяйственных операций в базе. Если операции проходят в большом количестве ежедневно, то нужно делать копии каждый день в конце рабочего дня, если же предприятие небольшое и документооборот не объемный, то можно создавать копию с меньше периодичностью. Для критической же информации, лучше всего создавать копию после окончания редактирования информации.

Резервное копирование выполняется с помощью специальных программ. Программ существует множество, в Windows встроено такое средство как Windows BackUp. Существуют средства для автоматического создания резервных копий в указанное время, существуют программы-архиваторы, во многие бухгалтерские системы встроены средства резервного копирования базы. Можно было бы долго рассказывать о таких программах, но это скорее тема для отдельной статьи.

Чтобы закончить с резервным копированием, напомню, что существуют способы восстановления потерянной информации. Но стоимость такого восстановления может быть просто заоблачной, а иногда восстановление может быть невозможно.

Вторым способом защиты от потери, связанной с неосторожностью или злым умыслом служит еще более простое правило, которое можно сформулировать так:
«Не пускать». Т.е. лишние люди не должны иметь доступа ни к вашему компьютеру, ни к вашей информации. Для того, чтобы «не пускать» существуют средства парольной защиты. Т.е. для того, чтобы получить доступ к информации нужно ввести пароль, который знает только владелец информации (если он конечно не рассказал о пароле всему офису). Пароли мы встречаем везде, для доступа к почтовым ящикам, на вход в Windows, есть они и во многих популярных программах (например, Microsoft Office) и практически во все системах автоматизированного учета.

И раз уж мы начали говорить о паролях, то перейдем ко второму блоку угроз для информации:
Утечка. Т.е. ваша конфиденциальная информация становится доступна другим людям при этом она может как остаться у вас, так и быть утеряна, однако даже если информация у вас осталась ценность ее уже гораздо ниже. Второй блок проблем с информацией более сложен.

Утечка может происходить по неосторожности пользователей, из любопытства других пользователей, либо вследствие умышленных действий других людей.
Также утечка может быть связана с программными ошибками.
Последствия утечки иногда могут быть гораздо серьезнее последствий потери информации. Причем это могут быть как последствия для предприятия, так и последствия для вас лично. Ведь зачастую мы доверяем компьютеру достаточно много личной информации.

Приведем некоторые примеры утечки информации:
1. Ваш коллега случайно подсмотрел у вас на экране любовное письмо и завтра об это знает весь офис. Этот пример может показаться смешным, но лично для вас такая утечка может иметь очень печальные последствия.
2. Некто установил на вашем компьютере специальные программы, которые «вынюхивают» ваши пароли и передают злоумышленнику.
3. Сотрудник, обиженный на то, что с ним плохо обошлись забирает базу клиентов предприятия и уходит к конкуренту.
4. Отправляя сообщение по электронной почте или ICQ, вы случайно отправили его совсем не тому, кому хотели.
5. Интернет привлекает нас своей анонимностью, в нем мы можем говорить что угодно, кому угодно, но не следует забывать, что каждый компьютер, подключенный к Интернету имеет уникальный адрес и при желании адрес этот можно отследить.
6. На предприятии со сдельной системой оплаты труда один из сотрудников увидел платежную ведомость с зарплатой другого и начал задавать вопросы из серии «А почему мне столько, а ему столько».

Впрочем, на малых предприятиях утечка – это не столь большая угроза, по сравнению с потерей, хотя автору статьи известна масса предприятий, где никто специально не занимается защитой информации, а вместе с тем ее утечка может вызвать серьезные проблемы.

Вместе с тем, мы видим, что утечка некоторой информации может иметь крайне печальные последствия для вас лично.

Для защиты информации от утечки действует правило «Не пускать».
Как мы уже говорили, для того, чтобы не пускать служат пароли.
Итак, основным средством для того, чтобы не допускать лишних людей к информации служит парольная защита.

Посмотрев несколько голливудских фильмов, можно подумать, что хакер взломает любой пароль примерно за 3 секунды. На самом деле это далеко не так. Если соблюдать некоторые простые правила, то пароль «сломать» крайне тяжело:
— пароль должен представлять собой последовательность ничего не значащих символов, желательно длиной не менее 8. Т.е. идеальным паролем будет что-то вроде: «FgHJФЯ12_13rt». Понятно, что запомнить такой пароль достаточно тяжело самому, поэтому на практике пользователи используют пароли вроде своего номера телефона, даты рождения, имени детей, родителей, любимых и т.д. Такие пароли наиболее страшны. Поэтому если уж вы не хотите делать идеальный пароль, то по крайней мере проявите фантазию и используйте в качестве пароля слово, о значении которого для вас никто не может подозревать.

Почему важна длина пароля? Наиболее простым способом взламывания паролей служит так называемый «прямой перебор», т.е. программа-ломалка начинает подкидывать пароли начиная с 1111 и заканчивая zzzz. Если вы знакомы с математикой, то вы знаете, что чем больше будет длина слова, то тем больше вариантов придется перебрать программе для взлома вашего пароля. А поскольку проверка каждой комбинации занимает время, то времени потребуется гораздо больше. Для примера: есть программы для взлома паролей Microsoft Word. 4-х символьный пароль взламывается примерно за 10 секунд, 5 – символьный – за 10-15 минут, 6-символьный за 10-12 часов, для 10-символьных ожидаемое время – несколько лет.
— когда вы набираете пароль, следите, чтобы над вами никто не стоял, особенно если вы работаете с клавиатурой достаточно медленно.
— меняйте пароль чаще. Если вы работаете на крупном предприятии, то скорее всего ваш системный администратор позаботился о том, чтобы вы меняли пароль как минимум раз в месяц. Поверьте, он это делает не из вредности.
— самое важное правило! Не следует писать пароль на листике и приклеивать его на монитор.

В большинстве учетных систем существуют средства разграничения доступа. Например в 1С:Предприятии можно запретить пользователям просматривать определенные документы, журналы документов, справочники или отчеты, пользоваться определенными обработками. Это можно сделать любой достаточно продвинутый пользователь. Кроме того, программист 1С может запретить доступ к определенным реквизитам некоторых документов или некоторым элементам справочников. Основным правилом здесь должно быть: «Пользователь должен иметь доступ только к той информации, которая ему необходима для работы».

Второй путь защиты от утечки, да зачастую и от потери – это элементарная осторожность. Об осторожности можно писать много, но почему-то о ней вспоминают, когда все плохое уже случилось.
Подумайте, многие ли из вас помнят о том, что компьютер – это тоже техника, а жесткий диск – это сложная электронно-механическая система, в которой сам диск вращается постоянно со скоростью более 5000 оборотов в минуту и как любая механическая система он может сломаться в любой момент? Да, вам конечно поменяют его по гарантии. Но кто восстановить потерянную информацию? Вы задумывались о том, что флешку, на которой вы храните важные документы можно запросто потерять в метро?

Или например думали ли вы о том, что зарегистрировавшись в чате под именем «Кися», вы вовсе не застрахованы о того, что кто-нибудь может узнать, что на самом деле вы Иванова Мария Ивановна, 1976 года рождения, проживаются по адресу г. Крыжополь, улица Трактороломателей, д 15, кв. 62?
Или скажем дискету с ключами доступа к клиент-банку можно скопировать?

Поэтому нужно соблюдать элементарные правила:
1. Не следует давать слишком много реальной информации о себе в Интернет форумах и в ICQ.
2. Не следует оставлять без присмотра компьютер, если на нем есть информация, которую не нужно видеть другим людям. Также не следует бросать где попало листки с паролями, дискеты для клиент-банка, смарт-карты и другие средства идентификации.
3. Если за вашим компьютером работает другой человек (например приходящий специалист по 1С) следите, какую информацию он просматривает. Ведь люди бывают не в меру любопытны.

В заключении хочется сказать следующее.
Целью этой достаточно короткой статьи было не объяснить пользователю подробно как защищать информацию, но рассказать об элементарных средствах защиты и мерах предосторожности, а также об угрозах, о которых многие не подозревают, пока с ними не столкнутся.

Если вопрос защиты волнует вас, то можно найти массу статей и книг в Интернете, а можно пригласить специалистов, которые подскажут, что и как нужно защищать на вашем конкретном предприятии.

Статистика говорит о том, что финансовые потери от утечки или утраты информации в мире постоянно растут. Вы ведь не хотите стать частью это статистики? Поэтому соблюдайте простые правила, описанные в данной статье и в вашей жизни возможно будет меньше проблем.

Новости по рубрикам