Всем привет, сейчас я пишу диплом на 1с и там есть такой пункт:

Обеспечение безопасности информационной системы
Выбирается класс защищенности для данного программного продукта. Приводится перечень организационных мероприятий, технических и программных средств по защите от НСД.

Кто-нибудь может подсказать, что здесь я здесь могу написать? Заранее всем спасибо.

Диплоом? ну по крайней мере уже должен знать ,что 1с ничем не отличается от других ИС,материалов куча.По мне лучший способ это метод паяльника для всех пользрвателей и админа

(1) Фу, как грубо! Блокчейн же, какой паяльник! Культурно, цивилизованно и безопасно

(2) блокчейн чего? и как он обеспечит защиту от НСД?

(2) А это куда?Не успеваю за новыми технологиями,как то по старинке привыкли

Для начало я бы описал угрозы, прежде чем придумывать защиту от них. А то глупо тратить на защиту веб сайта если в компании нет веб-сайта

(3) Конечно, требуется уточнение. От чтения блокчейн не защитит. А от записи вполне.

(4) Это в базу.

(6) защита от записи или от изменения?

СУБД в которой запрещена запись как то странно звучит. Даже классификаторы и то нужно периодически изменять

(8) От любого несанкционированного изменения (insert, delete, update).

(9) СУБД в которой запрещено чтение звучит еще более странно. Мы ведь о несанкционированном говорим, не так ли?

(10) повторю вопрос, как блокчейн поможет в захите от НСД?

(12) Изменения нельзя будет спрятать

(11) Ну к примеру "3 конверта" вот тебе пример СУБД в которой запрещено даже чтение :)

(13) Т.е. оно не защетит от НСД и от подмены, т.е. не выполняет поставленные задачи. Максимум оно просто поможет выявить сам факт что эти данные поменялись

(14) Да и фиг с ней! Мы ведь о другом

(15) А это и означает, что данные нельзя изменить. Ты несанкционированно изменил данные, а я это увидел и вернул все взад

(17) как раз и нет, так как данные уже поменялись, а квалифицированный специалист, способный понять что данные изменены увидет эо допустим через год, когда он заглянет в систему.

И опять как это спасет от инсерта? Т.е. я ввел новые данные в текущем периода, для системы это вполне себе легальные данные, и блокчейи ничего не скажет о несанкционированном доступе. А значит задача защиты провалена

Была такая ветка лет 5 назад,спорили до усеру))Половина аргументы защиты,половина как обойти.Проще всего зайти к пользователю и попросить черновики)) (17) Простите,если несанкционированно,как получится изменить,и как это увидеть?

Я к тому что блокчейн никак не может отличить санкционированный ввод/изменения от несанкционированного. Он про другое, он ближе к целостности данных, чем к защиты доступа

(18) В базе с блокчейном неквалифицированный специалист обнаружит несанкционированное изменение при первом же сеансе контроля. Если сеанс раз в день, значит в тот же день. Раз в час, значит в тот же час. Блокчейн спасает от инсерта так же, как от делита и апдейта.

(20) Блокчейн конечно не может отличить санкционированное от несанкционированного. Этим занимается человек.

(19) В базе с блокчейном никак не получится изменить несанкционированно. В чем вопрос?

Коллега поймал(или кто-то из юзеров) шифровальщик,блокчейн говорите?Как мы ржали над его привычкой в конце дня делать бэкап на жесткий диск и носить домой,потом перестали.Дядьке уже под 60 было

(23) Как то однобоко вы рассматриваете вопрос,проблема гораздо ширее

(24) Полезная привычка. Но без блокчейна от несанкционированных изменений не защитит. Единственное, что тут можно сказать, так это то, что блокчейн без бэкапа тоже вполне себе бесполезен

(25) В сущности, решается проблема привязки базы данных к реальному миру. Куда уж шире?

(27) Зайдите в систему под пользователем и хоть мняйте,хоть удаляйте.Доступ санкционирован.Если вход под пользователем домена и меняется раз в неделю и сложный,пароль на стикере под монитором

(28) Доступ-то санкционирован. Изменения при этом могут быть несанкционированными

(29) ... если у вас нет блокчейна

(29) У меня есть ключи от вашей квартиры,я не могу зайти и отполовинить колбаски из холодильника?

(31) В контексте данного обсуждения - не можешь. Я понимаю, что звучит контринтуитивно, но это так.

(32) Поверю на слово,ибо не силен в блокчейнах.Вопрос в стоимости данных,при 5 нолях можете ставить их штук 10

(33) Нет. Стоимость тут ни при чем. Блокчейн дает абсолютную защиту

(32) а бегло - как обнаружить несанкционированное изменение под санкционированным пользователем?

(34) да недает он защиту не от чего. более того есть куча реальных случаев когда народ взламывает игры построенные на блокчейни.

Хакер украл 625 миллионов долларов из блокчейна игры NFT Axie Infinity https://www.securitylab.ru/news/530841.php

или атака 51%
Атака 51% происходит, когда майнер контролирует 51% всей мощности хеширования в сети. Это означает, что злоумышленник сможет проводить атаки с двойными тратами, а это означает, что пользователь может дважды отправить криптовалюту без ведома сети.

Однако такого рода атаки более вероятны в небольших сетях, где стоимость захвата более доступна, чем в более крупных сетях, таких как Биткойн.

Пример атак 51%:

В августе 2016 года блокчейны Krypton и Shift подверглись атаке 51%
В апреле 2018 года криптовалюта Verge подверглась нескольким атакам 51%
Так же атаке подвергались такие криптовалюты, как: Monacoin, Bitcoin Gold, Horizen и другие

https://bytwork.com/articles/vzlom-blokcheyna

(35) Если бегло, то проверить контрольные суммы

(39) контрольные суммы чего? вот под санкционированным пользователем дописали в самый хвост несанкционированную запись. Контрольную сумму чего проверять?

(36) (37) (38) Это все, конечно, интересно, но к обсуждаемому вопросу не имеет отношения

(38) ты не понимаешь, наверняка - "это другое"

(40) Вот ты этот хвост и проверишь. Несанкционированная запись в контексте данного обсуждения - это запись, которая не прошла процедуру проверки. Человеческой проверки. Глазками. Если в базе нет блокчейна, тогда невозможно полностью исключить появление таких записей. А если в базе есть блокчейн, тогда наоборот, такие записи невозможно внести

Другими словами. Представь, что есть база. Есть Вася. И есть Петя. Вася заинтересован в том, чтобы база соответствовала реальности. А Петя, наоборот, заинтересован в том, чтобы внести в базу искажение. Если в базе нет блокчейна, тогда у Васи нет шансов. А если в базе есть блокчейн, тогда у Пети нет шансов. Пусть даже у него будут суперадминские права на базу, он не сможет внести изменения в базу мимо Васи.

(44) блокчейн никак не проверит были ли изменения санкциониованы

(43) "А если в базе есть блокчейн, тогда наоборот, такие записи невозможно внести"
- я уже такую запись внёс. ты сам написал что нужна "человеческая проверка глазками". И всё чем тут поможет блокчейн - это ведения перечня "записей", которые надо проверить глазками... - то есть поставить глазками/то есть ручками некий "статус" что Запись валидна". Что мешает такой "статус" поставить программно без глазок?

(46) ведь никто не мешает кривую несанкционированную запись поместить в блокчейн

и пусть даже как-то умудрится система запретить "програмно" ставить такой "статус" (установку такого статуса опять надо валидировать глазками" - получается масло-масленое)
.
и пока запись не будет валидирована глазками - нельзя делать ничего, что "базируется" на невалидированной записи. что убивает напрочь систему автоматизированных расчетов, фоновых заданий и прочего...
.
пока нихера непонятно как поможет блокчейн

(44) " Если в базе нет блокчейна, тогда у Васи нет шансов. А если в базе есть блокчейн, тогда у Пети нет шансов. Пусть даже у него будут суперадминские права на базу, он не сможет внести изменения в базу мимо Васи."
- пока это совсем неочевидно. пока что получается что все за всеми должны проверять. ЧТО В ПРИНЦИПЕ И ТАК ПРОИСХОДИТ при интерактивной работе. нахера тут блокчейн тогда? кроме как контроль от изменения уже ранее "заблокчееных" данных (это обсуждлаось ранее в ветках). Но никак не выявлдяет несанкционированнеы записи внесенные под санкцуионированным юзером.

(49) Выявляет. Одно прямо следует из другого. Если у тебя есть механизм гарантированного обнаружения изменения, как ты выразился, "ранее заблокчееных" записей, значит у тебя есть способ выявлять и удалять такие записи

(47) Зато блокчейн не дает сделать это незаметно

(46) А это не мало. База с блокчейном может быть гарантированно привязана к реальности. База без блокчейна таких гарантий лишена. Потому что любой может эту связь разорвать

(50) мы обсуждаем в первую очередь последнюю (самую молодую запись) в блокчейне.
так и не получилось понять, как блокчейн обеспечит _автовыявление_ несанкционированной записи под санкционированным пользователем и автоматом чтобы блокчейн "пометил" что такая запись - несанкционированная.

(50) "Если у тебя есть механизм гарантированного обнаружения изменения,"
- из вышеобсужденного - нет такого гарантированного механизма. приходится ПРОРВЕРЯТЬ ГЛАЗКАМИ (сам так написал). то есть макимум что можно - зафиксировать что есть изменение (а надо ли для этого блокчейн?), а дальше юзвер глазками проверяет - хорошо это или плохо...

(46) Тут нужно пояснение. Есть некая контрольная сумма в хвосте журнала. Контролер сохраняет эту сумму где-то в секретном месте, например на бумажке. При очередном сеансе контроля, он первым делом сверяет эту сумму с тем, что стоит в журнале. Уже не в хвосте, а где-то недалеко от хвоста. Это дает ему уверенность, что данные в базе, которые он проверял раньше, не изменены. Все, что ему нужно сделать теперь, это проверить записи от того места, на котором он остановился в прошлый раз, до хвоста. Потом записать новую контрольную сумму на бумажку.

(54) Вот мы и подошли мало-помалу к сути. Для того, чтобы зафиксировать факт изменения нужен блокчейн. Только блокчейн. И ничего, кроме блокчейна тут не поможет

(56) Калимулин, перелогинься

+(56) Можешь предложить любую другую схему выявления изменений, а я тебе покажу, как она обходится (считаем, что у меня полные права на базу).

(55) где гарантия того, что контрольная сумма в хвосте журнала - правильная (санкционированная0..?
возвращаемся к (50)

(59) Бумажка

(60) на бумажку переносит человек руками. где гарантия того что источник с которого переносится на бумажку - санкционированный?
.
еще раз:
.
как блокчейн обеспечит _автовыявление_ несанкционированной самой молодой записи (в череде записей базы) под санкционированным пользователем и автоматом чтобы блокчейн "пометил" что такая запись - несанкционированная без участия пользователя.
?

Все это уже было
https://infostart.ru/1c/articles/1097521/
https://infostart.ru/1c/articles/1097525/

(61) Тебя все куда-то не туда уносит. Несанкционированная - это запись, которая не прошла процедуру проверки со стороны контролера (человека). Все молодые записи по определению несанкционированные. В чем ты увидел тут проблему? Контролер проверил все молодые записи, сохранил контрольную сумму. И после этого они стали санкционированными.

(60) > Бумажка
После реструктуризации информационной базы с добавление реквизитов, бумажку надо не забыть помять перед её использованием.

(63) Блокчейн гарантирует, что всякая запись будет проверена контролером. И никакую запись не удастся от него спрятать, даже под админскими правами

(63) 10 человек вхерачивает данные в базу. надо иметь просто дохрена контролерво - скорее всего их количество больше количества вхераичвающих данные ибо контролер должен иметь "хардкопи" для валидации вхераченной записи. Встает доппроблема - прлучение контроллером валиднйо хардкопи.
.
нахер такой блокчейн, который опирается на принятие контрольных решений пользователем.
имхо.

(65) это понятно, но на корню ломает всю систему учета. ибо не проверив введенные данные нельзя "вводить" данные, которые зависят от введенных и еще непроверенных...

контроль "неизменности" ранее введенных данных - да, польза есть. эnо можно в блокчейне выявлять полностью автоматом. в ЭТОМ есть польза.

(66) А нет другого пути, чтобы обеспечить связь между базой данных и реальностью

(68) Полностью автоматом - нельзя. Полностью автоматом можно достичь консенсуса, но не получить связь между базой данных и реальностью

(63) ТОлько есть проблема. если человек может проверить и подтвердить валидность данных сверив их с неким оригиналом, , то возникает вопрос зачем нужны эти все люди (первые вбивают, а вторые проверяют), если изначально можно напрямую брать из оригинала и машинным способом вводить в систему? Т.е. зачем изначально нужна система подверженная человеческим фактором, если ее можно избежать?

разве блокчейн гарантирует от воровства данных из базы?

че-то бред какой-то несете....

читаем базовые понятия о защите информации
1. определяем объект информации (банально, что именно защищаем)
2. определяем параметров защиты, например периметр защиты (банально разграничиваем всю вселенную на 2 группы, одна в которой защищаемая информация допустима, вторая нет)
3. определение стоимости преодоления параметров защиты (банально сколько готовы заплатить за взлом)

далее формируется стратегия

Далее надо понимать, что есть две совершенно противоположенных функции защиты и их исполняют совершенно разные люди...
1. противодействие атакам
2. расследование инцидентов и поиск злодеев

далеко не всегда вообще нужно защищать базу от изменения лицами внутри периметра защиты (пример - супер секретная база установленная локально на ноутбуке директора, здесь защищать надо доступ к ноутбуку а не возможность изменения данных)

(71) Правильный вопрос. Ответ: затем, что "подверженность человеческому фактору" - это имманентное свойство любой базы данных. У тебя может быть база данных, которая формируется автоматически, из каких-нибудь датчиков. Вот ты держишь ее в руках. А где доказательство, что в эту базу данных какой-нибудь человечек не внес искажения ради каких-то своих целей?

(73) >>>А где доказательство, что в эту базу данных какой-нибудь человечек не внес искажения ради каких-то своих целей?

это не является целью защиты информации

определение валидности данных это совсем другая тема

(73) опа! и тут оказыается что гарантировать это можно только с участием другого человека. Внимание, вопрос: а где доказательство что второй человек не преследует своих интересов при контроле данных, а не стоит на задаче собственно контроля данных? Кто будет проверять проверяющих?

Носитесь со своей бокчейни как с писаной торбой...,абсолютная защита))) тут я сначала всплакнул,потом поржал.Безопасность ИС вы если проходили,то мимо.Теже пиндосы вкладывают ежегодно триллионы и не совсем успешно.Если взять базу немного успешного магазина,например Озон,сколько человек надо держать для просмотра изменений?
И как наложить блокчейн на 1С?Мы же про него.Студенту поставят 2 справедливые

(76) При просмотре данных,даже в простом случае через час будешь косячить ибо устал,а оперативность данных 3-4 часа...

(74) Да уже давно никого не волнует, что кто-то что-то узнает. Посмотрите вокруг, какую проблему, связанную с информацией все обсуждают? Фейки, фейки, фейки... Проблема искажения информации - вот что всех по-настоящему волнует, а вовсе не секреты

(75) А и не надо. Достаточно того, что этот самый второй человек самому себе доказал, что база "чистая"

(76) А чего там накладывать? SHA-256 в платформе есть

(78) ЧЕ???Совсем чтоль крыша поехала со своими фейками?Вы понятие гос и ком.тайны читали?За слив моих данных например от пчелайна можно сесть или заплатить неплохой штраф.Живете в своей вселенной,где важно в ленте новостей дала Волочкова или нет,а за данные о выпуске на Красноярском машиностроительном заводе,вам враги миллион подарят

(81) Все эти "тайны" потихоньку умирают. Рано или поздно люди договорятся между собой о том, что "все знают все" и на этом успокоятся

(82) ага и кто там отравил Скрипалей?

так уже давно все всё знают, вся инфа доступна. разница в достоверности инфы это раз, структуре информации два и главное - сроках, насколько рано инфа получена по сравнению с другими получателями.
остальное вторично.

(82) Фантазер...,ты его называла...,да никогда.Иногда достаточно знать информацию и правильно применить,не изменяя,не удаляя.Заманчиво танковую бригаду отправить вместо Киева во Владик,но даже без блокчейна хоть лопни,но не получится,а знать время прибытия и состав(по полуплатформам) весьма ценно.Я случайно узнал численность подразделения спецназа ВС РФ,рядышком у нас тусят,им полигон танковый отдали.Че они занимаются никто не знает,все огорожено и грибов не наберешь как раньше,зато можно встретить лешего и наложить кучку.Как?Легко..,подключившись к БД совсем мирной конторы,у меня в этой роли выступил сотрудник конторы.Численность штатная,сколько уехало,сколько приехало.Или взять БД банка с телефонами владельцев карт,с деньгами лучше...,из 10 один точно поведется на службу безопасности. Зная мыло и гугл-запросы,можно спамить целевую аудиторию,прогибать конкурентов,кошмарить отдельных лиц(у Пугачевой деменция,а Галкин подхватил мандавошек по БД аптек и больниц).А если это связано,да масштабно??Мне абсолютно насрать на подмену(фейк)данных,по 2-,3-м источникам проверяется,а раскрытие нет.Мне достаточно глянуть на бух данные конторы,чтобы определить ее надежность и серьезность.

(84) Кто у нас Кирова(Большой террор питерский)убил?Золото Колчака?Миллиарды Чубайса,или это наговор?Знаете?И я нет,и не узнаем.Тут бы узнать почему динозавры сдохли млн.лет назад.

(83) Все знают что Путин.Петров держал за руки,Боширов открывал рот.

(6) И от записи не защитит, просто трудно переписать, но не защитит :))))

(10) Бред, зная алгоритм построения, можно все что угодно изменить, следов не найдете :)

(0) Держи.

https://efsol.ru/articles/protection-1c.html

Рассмотрим потенциальные угрозы безопасности при использовании программы 1с.
Информационная безопасность, как и защита информации – задача комплексная, направленная на обеспечение безопасности, реализуемая внедрением системы безопасности. Проблема защиты информации является многоплановой и комплексной и охватывает ряд важных задач.

Проблемы информационной безопасности постоянно усугубляются процессами проникновения во все сферы общества технических средств обработки и передачи данных, особо остро данная проблема стоит в области финансовых учетных систем. Наиболее популярной системой бухгалтерского учета, ведения продаж, CRM процессов в России является система 1С Предприятие.

...
и т.д по ссылке... :)

(89) Придется изменить контрольные суммы. Это и будет заметно

(90) В этой статье слишком много лишних слов. Я могу написать гораздо короче.


Рассмотрим проблемы безопасности в системе 1С:Предприятие. Система 1С:Предприятие хранит пароли. На этом можно закончить рассмотрение проблем безопасности системы 1С:Предприятие

(92) В каком виде хранит?И не всегда хранит

(93) Это уже не имеет значения

(0) да много чего. Про RLS можно, про роли, права, защиту персональных данных и прочую подобную хрень. Все это гуглится, все доступно.

чаще всего подобные разделы в дипломах просто сдирают с дипломов старшаков с минимальными правками под конкретно свой случай, так они и кочуют годами из диплома в диплом :)

попадалась хорошая статья про безопасность 1С восьмерки на ИС. Но я думаю, что из этого лучше не компилировать, потому как там выходит, что процентов 90 систем вообще никак не защищены. Что истинная правда, но в дипломе так писать не надо :)))

так, в ИСе в поиске вбиваете "Безопасность 1С" и каждая третья-четвертая статья дает достаточно пищи для размышлений чтобы чего-то накатать в диплом.

Скажем, вот https://infostart.ru/1c/articles/1544950/

(99) Собсно диплом мне сдавать,но пользуясь случаем с удовольствием прочитал.Главная брешь ИС,вот таких выпускниках.Тебя 5 лет учили,и ты не знаешь что писать.Как же ты собрался безопасность обеспечивать?Там написать можно войну и мир,по открытым источникам,треть будет притянута за уши,треть не работать)).Кстати уже юзают программы проверки плагиата))),говорят работают)).Учитесь пока есть возможность(это не Ветру)

(100) да не учили, скорее всего. Если его специальность не инфобез, то... не знаю как сейчас, а раньше подобные вещи чаще всего оставались на самостоятельную проработку. У нас, во всяком случае, было так.

другой вопрос, что инфы море и скомпилировать из нее раздел в диплом вполне можно. Но студни они ж ленивые обычно...

(88) защита тут строится на математической сложности вычислений для перезаписи всего блокченйа от точки изменения до сейчас. так насколько я ламерно знаю.

(101) Меня многому не учили,1С от слова совсем.Что не мешало сбегать в читальный зал или библиотеку и грызть гранит науки по тому что новое ,интересное.Или сетку ковырять на 486,иногда даже непрофильно)).В 95-97 ом появились пни и оптика,вынь и понеслась).А дипломной работой было расчет поражающих факторов ядерного взрыва))).

(103) Математическая сложность решает вопрос консенсуса. Защита в чистом виде не зависит сложности построения цепочки блоков.

(105) вы что-то ушли от темы. Вопрос был, как выбрать класс защищенности.

https://www.garant.ru/products/ipo/prime/doc/70491518/
ищется достаточно быстро

(107) Готовый диплом.Положил в копилку,очень большой,зачитаю.Слово блокчейн там не нашел вообще))

(108) Кто бы мог подумать!