Вход | Регистрация


Форумы на Кубань.Ру


1С:Предприятие ::

Метки: 

Шифрование. Поделитесь опытом....

Ø
Я
   Yellow Rain
18.09.00 - 13:50
Люди!!! Кто пользовался шифрованием баз 1С (DBF/SQL)? Какой прогой шифровали? Насколько тормозит? Поделитесь опытом плиз...
 
  Рекламное место пустует
   MishGan
1 - 18.09.00 - 13:53
PGP - disk
   Yellow Rain
2 - 18.09.00 - 14:02
2MishGan:
А та SQL или на DBF. И насколько тормозит?
   Игорь
3 - 18.09.00 - 14:05
PGP - количество пользователей - до 10 , база небольшая (ТиС 805,50-70 м за год).
Замедлений незаметно.
Один раз упали винды .. (W 98 форева !!!) .. после этого диск востановился
(молился по настоящему..)
По поводу защищенности ... уверенности нет
.. но типа ...для информации , которую вообще можно
 записывать и хранить в офисе - подходит.
 
   Alex
4 - 18.09.00 - 14:08
Aladdin Secure NT 1.0 Тесты не проводил, на глаз тормозов не заметно.
   Stiv
5 - 18.09.00 - 15:08
После зависания PGP диск умер. и нет неодной утилиты как его востановить. Перед этип полгода работал нормально раз 200 некоректно выключаль, висла, и т.п. проблем небыло. После этого отказался. проще если, что затирать пару тройку дбф. чем нибуть или шифровать их.
   BigHarry
6 - 18.09.00 - 15:13
Столкнулся с непостоянными и непонятными зависонами Вин-НТ при запуске PGP-Disk, поставил Best-Crypt - уже около года работает без проблем.
   Yury Chernov
7 - 18.09.00 - 16:09
Strong Disk от Физтех-софт и Aladdin Secret Disk.
Нам больше нравится Strong Disk, но клиенты довольны
и тем, и другим.
   BigHarry
8 - 18.09.00 - 16:16
Тут один чел мне рассказывал, как он забыл пароль от Aladdin Secret Disk. Ну, делать нечего - позвонил он в представительство этой конторы в Москве, там ихний админ помялся-помялся и говорит - привозите свой винт - откроем. Вот такая, блин, у Ахладина криптография. Что хасп, что Диск - маздай !
   Alex
9 - 18.09.00 - 16:20
А ты хотел, чтоб по телефону открыли диск? На фига тогда криптография.
   Yellow Rain
10 - 18.09.00 - 16:36
2(почти)Аll:
А шифруете DBF или SQL базы?
 
  Рекламное место пустует
   Alex
11 - 18.09.00 - 16:43
И то, и другое.
   Игорь
12 - 18.09.00 - 17:55
Рассуждения ... на тему средст защиты ...
Граммотность пользователей и современные средства таковы .. что защищатся становится достаточно дорогим удовольствием и достаточно сложным.
Применение вышеперечисленных средств защиты ,при отсутствии разработанного комплекса защиты, не позволяет говорить о защищенности , а лишь создает иллюзию безопастности, которая однажды может обернутся трагедией.
Построение систем безопастности достаточно сложная задача , которую необходимо отдавать на откуп специалистам ..а не заниматся самопридумыванием....
я лично сомневаюсь , что здесь много людей , которые могут или создавать такие системы ..или которые бы могли бы возмещать понесенный ущерб от неправильной организации защиты.
Не жадничайте. типа есть очень грустные факты.
   Аlex
13 - 18.09.00 - 18:02
Лучше не надо о теории. Имею шестилетний опыт обслуживания военных сетей и знаю, что тема достойна книги.
Вскрыть шифрованый диск при достаточной длине ключа и нормальном способе его формирования очень дорого. У абсолютного большинства коллег данные столько не стоят.
   Игорь
14 - 18.09.00 - 18:11
(никто его вскрывать и не будет ..)
Ну да .. если , ключ аппаратный .... типа и его никто не получит
а если программный .... где вероятность , что его никто не получит ?
   Alex
15 - 18.09.00 - 18:24
Вероятность прямо пропорциональна зарплате администратора и обратно пропорциональна его бестолковости и отсутствию опыта.
   Игорь
16 - 18.09.00 - 18:27
К Алех .. вот ,
Ты имеешь шестилетний опыт работы .. а смотри , что Ты говоришь .. ключ , длинный , программа хорошая , спите спокойно.
А эти сраные пользователи .. ключ на бумажку и под модем (доступ на РТС) или клавиатуру (это так в ФКЦБ московском отделении).
   Игорь
17 - 18.09.00 - 18:32
а , если нет админа ? .. типа сами виноваты .. что доверились ..человеку который им поставил PGP ? или , что не стали его брать - потому , что у них все работало .. а человек внедрявший у них 1с заодно внедрил им и систему защиты?
   Игорь
18 - 18.09.00 - 18:36
Я хотел лишь подчеркнуть , что не стоит браться , за то в чем не разбираешься досканально. Здесь находятся люди для которых компьютер это привычная среда .. а пользователи врядли настолько граммотны ..и не стоит им передавать свою уверенность в безопастности , если не разбираетесь в неё действительно хорошо.
   Yellow Rain
19 - 18.09.00 - 18:40
Господа! Причем здесь организационные аспекты данной проблемы? Если дискутировать по поводу них, то, скорее всего, мы придем к тому, что шифрование данных вообще бессмысленно. Я думаю, что технические аспекты более интересны, а организационные, в этом я согласен с Alex, тема большой книги.
   Alex
20 - 18.09.00 - 18:54
То 16. Прав на 100%. Даже в армии пишут на мониторах, кливиатурах и т.п. Выход - аудит действий и личная ответственность пользователей. Но это мы уже в теорию. Суть проблемы делится на три части. Первая - разграничение прав доступа, вторая физический доступ ко всем данным пользователей, третья - посторонних лиц. По первой части - разграничить права доступа под 1С - возможно. Она здесь, вроде не обсуждается. Вторая - в DBF неразрешима из-за необходимости доступа пользователей к файлам. Вариант получше - SQL версия, хотя и там нет разграничения. Здесь же обсуждается третья часть - закрыть данные от посторонних. Вот тут и спасает шифрование. Один человек открывает диск, один он имеет смарт-карту и один несет всю ответственность.
   Yellow Rain
21 - 18.09.00 - 19:07
To Alex: Ситуация такая, что требуется защитить данные на сервере в случае пропажи оного (в случае изъятия, кражи и т.п.). В этом случае, как я думаю, шифрование данных наилучший выход из положения.
   Alex
22 - 18.09.00 - 19:28
Именно это я и хочу сказать. А безопасность данных вообще начинается с охраны помещения и пожарной безопасности. Не обсуждать же здесь ее.
То 17 . Когда несут деньги в банк - проверяют надежность банка, но за последствия отвечают сами. Когда доверяют кому-то защиту данных - отвечать тоже приходится самому.
   Читатель
23 - 18.09.00 - 20:55
To Alex (9). Я так понимаю, что BigHarry хотел бы, чтобы диск никак не открыли, в т.ч. и сами разработчики. Так оно и должно быть, если криптография дает реальную защиту.
   NMI
24 - 18.09.00 - 23:12
А насколько эфективно встроеное в Win2000 шифрование. 128 бит вроде бы.
   Кибальчиш
25 - 18.09.00 - 23:24
По сути, 2Yellow Rain:
Пусть винты закриптованы PGP. Любой сливает базу на локальный винт, меняет пароли и выдирает любые данные.
Посему базу на ЦКЛ, для .USR - NTFS'ые расширения - read (хотя, вроде, точно не помню, сиквельный 1С изменения в .USR и параметрах доступа к ЦКЛ отслеживает согласовано, т.е. ручной рихт бесполезен), запущенный сеанс на серв и усё.
Для залома необходимо раскриптовывать параметры доступа. Это затраты другого порядка. И голова за секьюрность на этом участке не болит.
Проблем не было, тьфу, тьфу, тьфу.
А как это будет выглядеть под TSE?
   Yellow Rain
26 - 19.09.00 - 11:41
2Кибальчиш:
А если SQL-базу (файл MDF) выкрадут? На другом компе ее вроде можно посмореть (с геммороями конечно но можно...). И просто (в FAR по F3) там данные видны. А если критичен сам факт работы с какой-то организацией чье имя можно тем-же FARом увидеть в ентом файле... Возникнут некоторые вопросы...
2NMI:
По моему личному мнению криптография и микрософт вещи несовместимые... Не проверял насколько эффективно но НЕВЕРЮ я в него...
   Yellow Rain
27 - 19.09.00 - 11:45
2Кибальчиш:
Или SQL база тоже на PGP? (сорри если не понял правильно)...
   Игорь
28 - 19.09.00 - 12:01
Предполагается : что системы шифрования защищенные по определенным стандартам имеют необходимую криптоустойчивость .. рассуждать тут о ломкости бесмысленно ..они априори невскрываемы.
Но установка системы шифрования , есть не самый значительный шаг на пути к безопастности.
Есть фирмы , которые умеют защищать информацию ..это их основная деятельность, и лучше оставить это направление им , в целях безопастности своих же клиентов .
   Alex
29 - 19.09.00 - 12:02
То 23. Есть некие правила, установленные законодательно по вопросам шифрования. В частности, там оговорены вопросы лицензирования программ шифрозащиты. Причем лицензируется не только изготовление програмно-апаратных комплексов, но их право их применения. Если говорить грубо, то для любого ПРИМЕНЕНИЯ средств криптозащиты нужна лицензия (как вариант - покупка ее вместе с самим комплексом - тогда это заморочка производителя). И естественно ФАПСИ вместе с ФСБ требуют включать возможность ЧЕРНОГО ХОДА. Поэтому проблема намного шире. По сути любое нелицензированное применение средст криптозащиты незаконно. Более того незаконен их ввоз на территорию Российской Федерации. Ну так глубоко, я думаю копать не стоит. Надежность защиты определяется просто - соотношение ценности данных к затратам на их расшифровку. АБСОЛЮТНОЙ ЗАЩИТЫ не может быть изначально.
Но шифрование диска, лучше програмно-апаратное резко поднимает надежность этой защиты.
   Игорь
30 - 19.09.00 - 12:16
На вскидку ..точно не помню ..
но разделяется коммерческая тайна и гос тайна , так вот ограничений на защиту коммерческой тайны у нас вроде бы не было.
Во всяком случае нет ограничений на защиту личной информации .. хотя если рамки коммерческого права явно определены , то личная информация очень расплывчата .. т.е. .. ни каких шансов по защите от государства тут нет.
   Yellow Rain
31 - 19.09.00 - 12:27
Игорь:
А что у тебя из программных и если не СТРАШНАЯ тайна организационных спообов защиты применяется?
   sss
32 - 19.09.00 - 12:28
Абсолютно любой ключ защиты может определить пара - тройка широкоплечих бритоголовых программиста. Так, что защиты нет.
   BigHarry
33 - 19.09.00 - 12:35
Кстати, Вин-2000, которая будет (или уже) поставляться для Раши, имеет ограничения на длинну ключа при шифровании, иначе ФАПСИ ее не пущал ! Эта тема обсуждалась летом в Компьютерре, но выход есть - вроде как модуль, отвечающий за сильное крипто, можно скачать с сайта майкрософт, или юзать английскую версию.
 
 
   Alex
34 - 19.09.00 - 12:35
Святая наивность. Даже в отношении личной информации. Накто же не запрещает ее защищать. Более того, закон ОБЯЗЫВАЕТ ее защищать. Речь идет о государственном лицензировании прав на применение средств КРИПТОЗАЩИТЫ. Кстати, W2000, имеющая 128 битный ключ, по закону не может быть ввезена в РФ -:).
Для общего развития - законодательная часть проблемы, естественно не касающейся применения средств криптозащиты в гос. организациях, подробно расписывалась в "Открытых системах". К сожалению номер не помню, но в течение последнего года.
   Игорь
35 - 19.09.00 - 12:38
К Yellow Rain .
Я даже не знаю , пойти против принцыпов и нарушить правило , или не нарушать .. .. все же не буду сохраню определенную осторожность ..
я не админ ..
..достоточные для физической защиты от прямого контакта ..
..менее слабые при атаке из сети ..но я думаю , что у нас таких спецов пока мало ..и заказать фирму проще через налогувую , чем у хакера.
   Игорь
36 - 19.09.00 - 12:40
Существует масса средств и контрсредств ..
но все же предохранятся надо ...
   BigHarry
37 - 19.09.00 - 12:58
Не надо пурги !
Слова "государственном лицензировании прав на применение средств КРИПТОЗАЩИТЫ" любой нормальный человек поймет как "государство хочет залезть в твои дела и читать твои письма".
А все эти слова - о лицензировании и праве - полнейшая чухня !!!
ОРГАНЫ ХОТЯТ ЗНАТЬ - что ты там прячешь в 13 секторе на нулевой дорожке !
   Игорь
38 - 19.09.00 - 13:02
Кстати я являюсь сторонником открытости информационных систем для государства , но эта другая история с очень размытой аргументацией.
   Yellow Rain
39 - 19.09.00 - 13:34
Да какая разница разрешает ФАПСИ или нет? Ну низя пользоватся ПГП-диск и что? Стереть мне что-ли его? Законы-то есть но пока они не работают (и неизвестно когда заработают). А вот, к примеру, налоговое законодательство работает во всю (инспекция работет точно). А в большинстве организаций (как мне рассказывали...) данные прячут в основном от них.
   BigHarry
40 - 19.09.00 - 14:02
Кстати - как выше обсуждалось - потроха какого-нить файла не являются доказательством. Но - для наведения органов на следующую жертву - очень даже легко.
Значит - прятать надо ОДНАЗНАЧНА !
Хотя-бы для того, что-бы геморА побольше у врагов было !
   Alex
41 - 19.09.00 - 14:07
Вывод правильный. К тому же оклады сотрудников в этих органах не способствуют особому энтузиазму при взламывании шифров.
   Yellow Rain
42 - 19.09.00 - 14:22
To BigHarry:
У НачПродов ревизия проходит так:
1. Сначала ревизор находит ВСЕ нарушения
2. Потом проводится подбивка бабок и считаем скоко государству а скоко ревизору. (и обязательно начпроду объявляется выговор)
=> чем меньше ревизор найдет тем лучше (хотя тут есть свои нюансы).
Поэтому прятать надо ВСЕ!!!!
   Игорь
43 - 19.09.00 - 14:28
История вымошлена:
в том году взяли неких торговцев на горбушке , в том числе и компик ,
защита балы на 97 excele (там защита гамированием.. не уверен , но быстрее всего), стандартные взомщики не помогли , так как они писались под английский язык , и видимо на русской таблице не работали .
Итог за день :
торговцы во всем сознались (набралось только на административные правонорушения)
компьютер был разбит (слетели винты ) от удара головой об комп
комп был разобран ....
файлы так и остались не расшифрованы.
диски зарержаны и перепроданы.
А , ведь это гаммирование - да ещё в мс оффисе .. снимается почти руками.
 
   Yellow Rain
44 - 19.09.00 - 14:48
Не бейте меня головой об сервер! Он большой :))
   Кибальчиш
45 - 20.09.00 - 00:06
2Yellow Rain:
Само собой, MDF на PGPdisk'е. И естественно, на сеть не расшарен.
2All: человек вроде просил поделиться опытом в технических аспектах.
Необходимость шифрования в принципе ведь никто не отрицает? И не свет клином сошёлся на гос. органах. Были попытки хищения коммерч. информации.
2Игорь, и так и так читал...:
(12) Построение систем безопастности ... необходимо отдавать ... специалистам,
(36) ...все же предохраняться надо ...
(38) ...я являюсь сторонником открытости информационных систем для государства...,
Круто: я так понял, что: "чтобы средства предохранения в информационных системах были открыты для государства, нужно обращаться к специалистам"
Игорь, это не Вы? Народ повалит...
   Неизвестный
46 - 20.09.00 - 10:20
К Кибальчиш.
То, что Вы смогли понять , то Вы и поняли.
повторюсь:
Два равина едут в Одессу , приезжают оттуда и расказывают
Первый : Этот город сплошного порока, барделей и кабаков.
Второй : В этом городе все люди ходят в синагоги и веруют в бога.
(Кстати если бы Вы начали вырезать буквы из строчек и писать , что то типа
{12,2,17},{12,4,4}{12,15,17} ..... Вы бы тут ещё какой замысел обнаружили.)
   Александр
47 - 20.09.00 - 11:11
Все же чаще всего (по крайней мере в плане 1с) организациям нужна защита от всемозможных контрольных органов, читай МНС. Я остановился пока на варианте MobileRack'а - если че, вынул и в сейф, все равно печатные документы куда-то прятать же будут. Какокой смысл все шифровать особо, когда целый день кругом бумажные копии ваших документов валяются. Беру в расчет, естественно, не очень крупные конторы. Шифровать под W2K? Можно и через утилиты под NT, но страшновато - надо шифровать все, в том числе и бекапы, а если слетит система? Я для этого держу один недельный бекап на обычном FAT32 и две операционки на винте, слава богу еще не приходилось пользоваться такими вещами.
Проблема пока немного в другом - для налоговой все же лучше показать что-то, а это что-то надо откуда-то брать. В автомате выбирать из обычных данных пока не получается. Отдельно левой базой бухи заниматься не хотят. У нас, к примеру, легальную версию 1С брали специально для того чтобы она в бюджете была, для той же МНС, правда однопользовательскую типовую 7.5, а пользуемся ATC на всех :)
   BigHarry
48 - 20.09.00 - 12:12
Архивы шифруются тем-же PGP, прямо через батник - сначала архивирование, а потом запуск консольной PGP - в результате архив закриптован спецовым ключем, от которого приват-кей хранится у босса дома.




Список тем форума

Форум Территория 1С

Рекламное место пустует   Рекламное место пустует
ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку "Обновить" в браузере.
Ветка сдана в архив. Добавление сообщений невозможно.
Но вы можете создать новую ветку и вам обязательно ответят!
Каждый час на Волшебном форуме бывает более 2000 человек.
Рекламное место пустует