Советы по работе в 1С
Для обеспечения защиты данных от непосредственного использования механизмами, отличными от программы 1С: Предприятие, пользователь должен применять в работе с программой 1С: Предприятие клиент-серверный вариант системы и осуществлять соответствующую настройку системы безопасности операционной системы Windows. В таком режиме пользователи не работают непосредственно с базой данных, это делается через сервер программы 1С: Предприятие, который берет на себя в том числе и вопросы управления правами доступа пользователей. Однако здесь в плане безопасности многое зависит от администратора, обеспечивающего правильную настройку прав доступа пользователей к информационной базе, чтобы каждому из пользователей были предоставлены только необходимые ему для работы полномочия.
Трехуровневая архитектура программы 1С: Предприятие разработана таким образом, что пользователю не требуется обращение ни к каким файловым ресурсам, связанным с программой 1С: Предприятие. В то же время ему не нужна и непосредственная работа с базой данных SQL-сервера. Таким образом, для обеспечения штатного режима доступа пользователей программы 1С: Предприятие необходимо придерживаться следующих правил:
* Необходимо исключить доступ всех пользователей (кроме администраторов) к компьютерам, на которые установлены SQL-сервер и сервер программы 1С: Предприятие. Исключение доступа достигается как организационными методами воздействия, так и с помощью списка пользователей операционной системы Windows, имеющих право интерактивного входа в серверные компьютеры
* Необходимо запретить доступ к файлам баз данных SQL-сервера всем пользователям операционной системы Windows, кроме пользователя, от имени которого работает SQL-сервер. Желательно, чтобы этот пользователь был предназначен только для SQL-сервера и не мог входить ни интерактивно, ни удаленно. При необходимости доступ к этим файлам может быть разрешен лишь наиболее квалифицированным администраторам
* Необходимо полностью запретить дистанционный доступ к файлам через сеть для компьютера, на котором установлен SQL-сервер и хранятся базы данных
* Необходимо включить в SQL-сервер аутентификацию SQL Server and Windows при помощи SQL Server Enterprise Manager в диалоге свойств SQL-сервера на закладке Security
* Необходимо создайть в SQL-сервере пользователя, имеющего полные права на базу данных, хранящую информационную базу с паролем, и указать имя этого пользователя и его пароль в диалоге создания информационной базы. Необходимо ограничить или запретить доступ к этой базе данных со стороны других пользователей SQL-сервера. Установите пароль пользователю, который должны знать только администраторы
* Необходимо предоставлять административные права только тем пользователям программы 1С: Предприятие, которые являются администраторами
* Необходимо выбрать необходимый уровень защиты протокола связи сервера программы 1С: Предприятие с SQL-сервером. Здесь важно, что для повышения защищенности протокола на том компьютере, на котором установлен SQL-сервер, в диалоге SQL Server Network Utility можно установить флаг Force Protocol Encryption, что обеспечит шифрование данных перед их передачей по сети. При этом аналогичный флаг необходимо установить на компьютере с сервером программы 1С: Предприятие в диалоге SQL Server Client Network Utility. Следует, однако, учитывать, что установка этого флага приведет к некоторому снижению производительности
* Необходимо выберать необходимый уровень защиты протокола связи клиента программы 1С: Предприятие с сервером. Это можно сделать на серверном компьютере при помощи утилиты Component Services. На закладке Security свойств COM+ приложения 1CV8 выберите необходимое значение Authentication level for calls. Наибольшую защиту обеспечивает режим Packet Privacy, подразумевающий кодирование данных перед тем, как передавать их по сети. Однако использование этого режима также может привести к заметному снижению производительности.