Защита от взлома
Данные IT-Enterprise представляют наибольшую ценность для компаний, эксплуатирующих систему. Поэтому вопросы безопасного обращения с информацией – одно из самых важных мест в системе IT-Enterprise.
Защита файловых ресурсов
Сетевая файловая часть системы IT-Enterprise размещается в локальной вычислительной сети. При размещении в локальной вычислительной сети права доступа к сетевой части необходимо разделить по группам пользователей:
- Простой пользователь - нет необходимости в доступе;
- Программист (работа, в том числе, в режиме локального сервера приложений) - доступ «только чтение». При необходимости на некоторые папки полный доступ.
- Администратор - режим «полный доступ»
Полный доступ нужен только для административных задач и только в режиме «локальный сервер приложений». Сервера приложений для удаленных пользователей должны быть настроены на режим «только чтение» к серверной файловой части IT-Enterprise.
Если на предприятии не используется служба каталогов Active Directory, на клиентских рабочих станциях необходимо установить локальную политику безопасности «Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записей» в значение «Обычная». По умолчанию, на автономных компьютерах настроена модель «гостевая», а на компьютерах, включенных в домен «обычная». Этот параметр безопасности определяет, каким образом выполняется проверка подлинности при входе в сеть с использованием локальных учетных записей. Если данный параметр имеет значение «Обычная», то при проверке подлинности для входа в сеть с учетными данными локальной учетной записи используются эти учетные данные. Если этот параметр имеет значение «Гостевая», операции входа в сеть с учетными данными локальных учетных записей автоматически сопоставляются с учетной записью гостя. При использовании гостевой модели между пользователями нет различий. Все пользователи проходят проверку подлинности с учетной записью гостя и получают одинаковый уровень доступа к данному ресурсу «Только чтение» или «Изменение».
Защита на уровне СУБД
Для получения определенных данных или внесения изменений в базу данных пользователь должен обладать соответствующими полномочиями. Данные полномочия ему назначаются администратором системы IT-Enterprise. Только после регистрации в системе IT-Enterprise, пользователь получает доступ к базе данных сервера БД.
Служба «сервера приложений» запускается на компьютере-сервере приложений под определенной учетной записью. Каждая учетная запись имеет определенные права на чтение и запись файлов в определенных каталогах.
Администратор должен настроить права учетной записи таким образом, чтобы учетная запись имела права доступа на чтение к каталогу с локальной файловой частью IT-Enterprise, но не имела прав доступа к прочим каталогам с любыми другими данными.
Безопасное подключение клиента
При использовании безопасного режима следует учесть особенности настройки windows-аутентификации для пользователей, работающих с IT-Enterprise удаленно (не из внутренней сети предприятия). Можно предоставить таким пользователям возможность входа в IT-Enterprise без необходимости ввода логина и пароля, выполнив ряд административных действий.
Пользователи IT-Enterprise имеют возможность однократно ввести и сохранить свои учетные данные на рабочей станции, и в дальнейшем входить в систему без ввода логина и пароля. Эта возможность является предельно простой и понятной для пользователей и не требует какого-либо дополнительного конфигурирование системы. Сохранение учетных данных можно использовать независимо от наличия домена, безопасного соединения и т.п.
Безопасность облачного сервиса IT-Enterprise
Один из вариантов использования IT-Enterprise – это размещение серверной составляющей в «облачных ресурсах».
Применение облачных сервисов обеспечивает следующие преимущества:
- высокую доступность системы с заданным SLA;
- значительное снижение капиталовложений, ясность и предсказуемость платежей;
- повышение безопасности – резервное копирование, предоставление только санкционированного доступа, защита от «сторонних глаз и ушей» (в т.ч. конкурентов и регулирующих органов)
- катастрофоустойчивость данных
- снижение затрат на поддержку и обновление, более высокий уровень поддержки
- как следствие – быстрота внедрения решений и отдачи от них
При любом варианте применения облачных сервисов Заказчика волнует вопрос безопасности его данных. В общем случае, система безопасности любого облачного сервиса базируется на нескольких составляющих, а именно:
- Система безопасности программного продукта, на основе которого разворачивается облачный сервис – система безопасности «IT-Enterprise в облаке»
- Организация процесса размещения и обслуживания облачного сервиса провайдером, предоставляющим услуги
- Организация системы безопасности дата-центра, в котором размещается предоставляемый облачный сервис
Рассмотрим каждую составляющую боле детально.
Сервис «IT-Enterprise в облаке» создан на базе полнофункциональной системы IT-Enterprise. Исходя из этого сервис обладает всеми возможностями системы безопасности классической системы IT-Enterprise.
Как и классическая система IT-Enterprise облачный сервис реализован на основе трехуровневой архитектуры. При этом Заказчик имеет полный доступ лишь к уровню клиентского приложения. Сервер базы данных и серверы приложений развернуты в защищенной высокопроизводительной среде выполнения в удаленном дата-центре.