Основные особенности механизма информационной безопасности системы

1С:Предприятие 8.0 поставляется в двух вариантах: файловый и клиент-серверный. Файловый вариант нельзя считать обеспечивающим информационную безопасность системы по следующим причинам:

· Данные и конфигурация хранятся в файле, доступном на чтение и запись всем пользователям системы.

· Как ниже будет показано, авторизация системы очень легко обходится.

· Целостность системы обеспечивается только ядром клиентской части.

В клиент-серверном варианте для хранения информации используется MS SQL Server, что обеспечивает:

· Более надёжное хранение данных.

· Изоляцию файлов от прямого доступа.

· Более совершенные механизмы транзакций и блокировок.

Несмотря на значительные отличия файлового и клиент-серверного варианта системы, они обладают единой схемой контроля доступа на уровне прикладного решения, которые предоставляют следующие возможности:

· Авторизация пользователя по паролю заданному в 1С.

· Авторизация пользователя по текущему пользователю Windows.

· Назначение ролей пользователям системы.

· Ограничение выполнения административных функций по ролям.

· Назначение доступных интерфейсов по ролям.

· Ограничение доступа к объектам метаданных по ролям.

· Ограничение доступа к реквизитам объектов по ролям.

· Ограничение доступа к объектам данных по ролям и параметрам сеанса.

· Ограничение интерактивного доступа к данным и исполняемым модулям.

· Некоторые ограничения выполнения кода.

В целом, используемая схема доступа к данным достаточно типична для информационных систем такого уровня. Однако применительно к данной реализации трёхзвенной клиент-серверной архитектуры есть несколько принципиальных аспектов, которые приводят к относительно большому количеству уязвимостей: