| Предыдущая версия справа и слева Предыдущая версия Следующая версия | Предыдущая версия |
| product:settings:system:secure [13.10.2022 08:41] – [Учетные записи пользователей] anna.makhneva | product:settings:system:secure [25.09.2023 08:20] (текущий) – [Руководство по информационной безопасности] Белугин Александр |
|---|
| ====== Руководство по информационной безопасности ====== | ====== Информационная безопасность. Руководство для администратора ====== |
| ===== Обеспечение безопасности данных ===== | ===== Обеспечение безопасности данных ===== |
| ==== Хранение информации и доступ к ней ==== | ==== Хранение информации и доступ к ней ==== |
| |
| Вся информация, кроме документов, хранится в одной базе данных. Документы хранятся в специальной папке на сервере приложения (C:\SL_Files\Doc_Files). Для обеспечения безопасного доступа, рекомендуем создать пользователя в AD, от имени которого будет запускаться пул IIS, и который будет иметь доступ к папке с документами. | Вся информация, кроме документов, хранится в одной базе данных. Документы хранятся в специальной папке на сервере приложения (C:\SL_Files\Doc_Files). Для обеспечения безопасного доступа рекомендуется создать пользователя в Active Directory, от имени которого будет запускаться пул IIS, и который будет иметь доступ к папке с документами. |
| |
| Сервер приложения обращается к серверу базы данных, используя специально выделенную администратором учетную запись на SQL сервере. Сервер приложения осуществляет проверку прав доступа согласно заданным установкам, прежде чем вернуть данные в ответ на запрос пользователя. | Сервер приложения обращается к серверу базы данных, используя специально выделенную администратором учетную запись на SQL сервере. |
| | |
| | Сервер приложения осуществляет проверку прав доступа согласно заданным установкам, прежде чем вернуть данные в ответ на запрос пользователя. |
| |
| ==== Учетные записи пользователей ==== | ==== Учетные записи пользователей ==== |
| |
| Для входа в систему пользователь должен указать логин и пароль, который он/она указали в процессе регистрации в системе. Логин и пароль для пользователей не назначаются сторонними лицами. | Для входа в систему пользователь должен указать логин и пароль, который был указан в процессе регистрации в системе. Логин и пароль для пользователей не должны назначаться сторонними лицами. |
| |
| Пароль, выбранный пользователем при регистрации, нигде в системе не хранится (ни в базе данных, ни в файловой системе), а хранится только образ пароля, который используется для аутентификации пользователей. | Пароль, выбранный пользователем при регистрации, в Системе нигде не хранится (ни в базе данных, ни в файловой системе), а хранится только образ пароля, который используется для аутентификации пользователей. |
| |
| Алгоритм, создающий образ пароля, не является реверсивным, таким образом, никто не может получить и использовать данные чужой учетной записи. | Алгоритм, создающий образ пароля, не является реверсивным, таким образом, никто не может получить и использовать данные чужой учетной записи. |
| Для пользователей можно настроить срок действия пароля. По истечении этого срока пользователи получат сообщение о необходимости сменить пароль. | Для пользователей можно настроить срок действия пароля. По истечении этого срока пользователи получат сообщение о необходимости сменить пароль. |
| |
| Также настраивается число попыток ввода пароля, при превышении которого пользователь будет заблокирован. Список заблокированных пользователей в разделе Администрирование → Управление безопасностью → Безопасность. | Также настраивается число попыток ввода пароля, при превышении которого пользователь будет заблокирован. Список заблокированных пользователей находится в разделе Администрирование → Управление безопасностью → Безопасность. |
| |
| ==== Учетная запись Администратора ==== | ==== Учетная запись Администратора ==== |
| Хорошая практика — формировать в Системе две учетные записи для Администратора: | Рекомендуется формировать в Системе две учетные записи для Администратора: |
| - С лицензией Администратор. \\ Она привязана на общую почту администраторов (к примеру, support@mail.company). При увольнении Администратора Системы очень просто сменить (восстановить) пароль через почту другому администратору и продолжать пользоваться этой учетной записью для необходимых настроек. | - С лицензией Администратор. \\ Она привязана на общую почту администраторов (к примеру, support@mail.company). При увольнении Администратора Системы очень просто сменить (восстановить) пароль через почту другому администратору и продолжать пользоваться этой учетной записью для необходимых настроек. |
| - С обычной лицензией (исполнитель\руководитель), если таковая необходима. \\ При увольнении Администратора эта учетная запись может быть закрыта в обычном порядке. Таким образом, полномочия Администратора могут быть переданы другому пользователю при необходимости. | - С обычной лицензией (исполнитель\руководитель), если таковая необходима. \\ При увольнении Администратора эта учетная запись может быть закрыта в обычном порядке. Таким образом, полномочия Администратора могут быть переданы другому пользователю при необходимости. |
| |
| Для управления доступом пользователям в системе можно выделить отдельную пользовательскую учетную запись, которая не будет иметь все права администратора (доступно с версии Системы 3.24 и позднее). Это важно для крупных клиентов, так как часто задачи управления доступом пользователей выполняет сотрудник, который не должен иметь полных прав ко всем данным системы и к изменениям настроек. | Для управления доступом пользователям в Системе рекомендуется выделить отдельную пользовательскую учетную запись, которая не будет иметь все права администратора (доступно с версии Системы 3.24 и позднее). Как правило, то важно для крупных компаний, так как часто задачи управления доступом пользователей выполняет сотрудник, который не должен иметь полных прав ко всем данным системы и к изменениям настроек. |
| |
| |
| ==== Передача данных по сети ==== | ==== Передача данных по сети ==== |
| Для предотвращения перехвата информации при ее передаче по сетям общего пользования (например, Интернет) обязательно использовать протокол HTTPS с длиной ключа не менее 128 бит. | Для предотвращения перехвата информации при ее передаче по сетям общего пользования (например, Интернет) необходимо использовать протокол HTTPS с длиной ключа не менее 128 бит. |
| |
| В целях безопасности все остальные порты можно блокировать. | В целях безопасности все остальные порты можно блокировать. |
| |
| ==== Доставка уведомлений по электронной почте ==== | ==== Доставка уведомлений по электронной почте ==== |
| Система ADVANTA рассылает уведомления по электронной почте тем пользователям, которые выбрали для себя данную услугу. Для предотвращения перехвата информации, содержащейся в уведомлениях, рекомендуется использовать e-mail через SSL и предпринимать меры по защите информации локально на компьютерах пользователей. | Система ADVANTA рассылает уведомления по электронной почте тем пользователям, у которых стоит флаг о разрешении отправки уведомлений. Для предотвращения перехвата информации, содержащейся в уведомлениях, рекомендуется использовать email через SSL и предпринимать меры по защите информации локально на компьютерах пользователей. |
| |
| ==== Работа в VPN ==== | ==== Работа в VPN ==== |
| Сервер системы «ADVANTA» может быть установлен внутри частной сети (например, локальной сети офиса в одном из городов). При этом пользователи удаленных сетей (локальные сети в офисах других городов) могут совершенно прозрачно обращаться к серверу через VPN (Virtual Private Network) по адресу (IP или имени), указанному администратором. | Сервер системы ADVANTA может быть установлен внутри сети компании (например, в локальной сети офиса). При этом пользователи удаленных сетей (локальные сети в офисах других городов) могут совершенно прозрачно обращаться к серверу через VPN (Virtual Private Network) по адресу (IP или имени), указанному администратором. |
| |
| ===== Мониторинг пользователей ===== | ===== Мониторинг пользователей ===== |
| * по временному интервалу, | * по временному интервалу, |
| * по пользователю, который инициировал событие. | * по пользователю, который инициировал событие. |
| | * |
| Как найти: Администрирование → Управление безопасностью → Системный протокол. | Системный протокол располагается в системе по следующему пути: Администрирование → Управление безопасностью → Системный протокол. |
| |
| События системного протокола можно выгрузить в *.xls. | События системного протокола можно выгрузить в *.xls. |
| |
| Подробнее - [[product/settings/logs/sys_protocol|по ссылке]]. | Подробнее — [[product/settings/logs/sys_protocol|по ссылке]]. |
| |
| ==== Лог авторизаций ==== | ==== Лог авторизаций ==== |
| Вы можете посмотреть, к каким объектам системы у конкретного пользователя есть доступ. \\ | Вы можете посмотреть, к каким объектам системы у конкретного пользователя есть доступ. \\ |
| Отчет доступен только администратору. \\ | Отчет доступен только администратору. \\ |
| Отчет можно выгрузить в MS Excel. \\ | Отчет можно выгрузить в MS Excel. |
| Как найти: зайдите на карточку пользователя → меню три точки → "Права пользователя". | |
| | Права пользователя располагаются в системе по следующему пути: зайдите на карточку пользователя → меню три точки → "Права пользователя". |
| |
| Подробнее - [[product/reports/admin/user_report|по ссылке]]. | Подробнее - [[product/reports/admin/user_report|по ссылке]]. |
| |
| ==== Отчет по правам пользователей на уровне объектов ==== | ==== Отчет по правам пользователей на уровне объектов ==== |
| Вы можете увидеть, у каких пользователей какие права есть по конкретным объектам системы, воспользуйтесь отчетом по правам объекта. | Вы можете увидеть, у каких пользователей какие права есть по конкретным объектам системы, в отчете по правам объекта. |
| \\ Отчет возможно просмотреть в разрезе операций прав доступа для проектных и системных ролей и отдельно в разрезе каждой роли получить список пользователей в привязке к иерархической структуре проекта. \\ | \\ Отчет возможно просмотреть в разрезе операций прав доступа для проектных и системных ролей и отдельно в разрезе каждой роли получить список пользователей в привязке к иерархической структуре проекта. |
| Как найти: зайдите в объект, доступ к которому вы хотите проверить → меню “три точки” → "Права доступа" → в портлете "Роли безопасности проекта" → "отчёт по правам". | |
| | Отчет по правам конкретного объекта располагается в системе по следующему пути: зайдите в объект, доступ к которому вы хотите проверить → меню “три точки” → "Права доступа" → в портлете "Роли безопасности проекта" → "отчёт по правам". |
| |
| Подробнее - [[product/reports/admin/access_report|по ссылке]]. | Подробнее - [[product/reports/admin/access_report|по ссылке]]. |
| ===== Обслуживание системы ===== | ===== Обслуживание системы ===== |
| ==== Создание резервной копии данных системы ==== | ==== Создание резервной копии данных системы ==== |
| В части управления бэкапами рекомендуем обязательно настроить регулярные автоматические бэкапы системы. Кроме того, рекомендуем с определенной частотой дублировать бэкапы на другом физическом носителе (сервере). | В части управления бэкапами необходимо настроить регулярные автоматические бэкапы системы. Кроме того, необходимо с определенной частотой дублировать бэкапы на другом физическом носителе (сервере). |
| |
| Для того чтобы сделать резервную копию системы на определенный момент времени, нужно создать резервные копии: | Для того чтобы сделать резервную копию системы на определенный момент времени, нужно создать резервные копии: |
| - Базы данных streamline (подробнее см. справка Microsoft, подраздел "Как создать резервную копию базы данных (среда SQL Server Management Studio)", ссылка на статью). | - Базы данных streamline (подробнее см. справка Microsoft, подраздел "Как создать резервную копию базы данных (среда SQL Server Management Studio)", [[https://learn.microsoft.com/ru-ru/sql/relational-databases/backup-restore/create-a-full-database-backup-sql-server?redirectedfrom=MSDN&view=sql-server-ver16|ссылка на статью]]). |
| - Документов системы (путём копирования папки с документами системы, например, на внешний носитель и или сетевой каталог для хранения резервных копий. \\ Путь до папки указывается в разделе <constructor>, имя параметра documentsFolder, в файле client.config, расположенном в папке веб-контента системы). | - Документов системы (путём копирования папки с документами системы, например, на внешний носитель и или сетевой каталог для хранения резервных копий. \\ Путь до папки указывается в разделе <constructor>, имя параметра documentsFolder, в файле client.config, расположенном в папке веб-контента системы). |
| - Веб-контента системы (путём копирования папки C:\Inetpub\wwwroot\streamline, например, на внешний носитель и или сетевой каталог для хранения резервных копий). | - Веб-контента системы (путём копирования папки C:\Inetpub\wwwroot\streamline, например, на внешний носитель и или сетевой каталог для хранения резервных копий). |
| |
| ==== Тестовая среда ==== | ==== Тестовая среда ==== |
| В части управления обновлениями и настройками рекомендуем иметь на предприятии тестовый контур, на котором производить проверку предполагаемых изменений настроек, а также делать внутреннее тестирование получаемых обновлений. \\ | В части управления обновлениями и настройками рекомендуется иметь тестовый контур, на котором будет производиться проверка предполагаемых изменений настроек, а также делать внутреннее тестирование получаемых обновлений. \\ |
| Данная практика рекомендуется нами для систем с большим числом пользователей, сложными настройками, а также там, где остановка системы даже на короткий период имеет критическое значение. | Это актуально для систем с большим числом пользователей, сложными настройками, а также в случаях, если остановка системы даже на короткий период имеет критическое значение. |
| |