Рекомендации по настройке IT-инфраструктуры автовокзала

  • Дата
  • Категория
    Продукты и сервисы

Рекомендации по настройке IT-инфраструктуры автовокзала

Недавние события показали, что даже крупнейшие транспортные компании страны могут оказаться уязвимыми перед киберугрозами. Пренебрежение элементарными требованиями цифровой безопасности может привести к:

  • потере базы данных без возможности восстановления,
  • утечке персональной информации пассажиров и персонала,
  • остановке операционной деятельности предприятия на неопределенный срок.

Чтобы минимизировать риски подобных ситуаций на предприятиях наших партнеров, мы разработали подробное техническое руководство для системных администраторов и других специалистов, ответственных за защиту IT- инфраструктуры автовокзала. Скачать руководство можно по ссылке.

А в этой статье мы опубликовали сокращенную версию этого документа, где описали общий подход без технических особенностей.

Важно помнить: разовые меры не гарантируют безопасность, здесь важен комплексный и системный подход, учитывающий технологический стек предприятия. Поэтому чем больше рекомендаций вы внедрите, тем выше вероятность обезопасить деятельность всего предприятия.

Скачать подробное руководство→

Для пользователей облачного сервиса «Авибус: Виртуальный автовокзал» часть описанных рекомендаций реализована и поддерживается специалистами нашего отдела it-ops. Переход на облачный сервис возможен для всех клиентов, независимо от приобретенных ранее лицензий.

Контуры защиты от киберугроз

Эффективная кибербезопасность состоит из двух ключевых контуров: предотвращения угроз и повышения устойчивости бизнеса. Первый контур – это активная защита: фаерволы, антивирусы и регулярные обновления. Второй контур – это «страховка», которая позволит минимизировать ущерб и быстрее восстановить бизнес, если взлом системы все-таки произошел.

Бюджет и ресурсы организаций часто бывают ограничены, но повышение устойчивости бизнеса – это фундамент кибербезопасности. Без этого базового требования все остальные меры защиты теряют смысл. Это минимум, который обязательно должен быть реализован, независимо от бюджетов и масштабов автовокзала.

 

Повышение устойчивости бизнеса

1. Регулярно выполняйте резервное копирование данных

В контексте современных угроз резервное копирование перестало быть просто инструментом для восстановления после сбоя оборудования. Сегодня это главный и последний рубеж обороны от атак, направленных на уничтожение или шифрование данных. Программы-вымогатели стали одной из самых серьезных угроз для бизнеса, и единственной гарантией восстановления работоспособности после такой атаки является наличие неповрежденной, изолированной резервной копии.

Золотое правило «3-2-1» для обеспечения безопасности критически важных данных гласит:

  • Важно иметь как минимум три копии данных (одна рабочая и две резервных).
  • Хранить эти копии на двух разных типах носителей (например, на внешнем диске или в облаке).
  • Хранить одну из копий за пределами основной площадки, в другом географически удаленном помещении.

Последний пункт критически важен, так как современные программы целенаправленно ищут и шифруют не только рабочие данные, но и доступные по сети резервные копии. Если ваш бэкап-сервер постоянно подключен к основной сети и доступен с сервера 1С, он с высокой вероятностью будет атакован вместе с основной системой.

2. Проверяйте успешность выполнения бэкапа и тестируйте исправность работы копии базы

Очень важно периодически проверять целостность и работоспособность резервных копий, чтобы в случае сбоя или кибератаки восстановление прошло максимально быстро и без потери критически важной информации. Поэтому мы рекомендуем периодически восстанавливать информационную базу из резервной копии и проверять корректность ее работы.

Процедура проверки может быть ручная или автоматизированная. Отличный способ ручной проверки – развернуть резервную копию на тестовом сервере и сформировать несколько ключевых отчётов. Например, можно проверить отчёт старшего кассира или взаиморасчеты с перевозчиками. Если данные в этих отчётах совпадают с данными в рабочей базе, значит бэкап корректный

3. Следите за безопасностью и отказоустойчивостью СУБД

Для системы управления базами данных (СУБД) мы рекомендуем настроить механизм архивирования журналов транзакций на удаленный сетевой pecypc. Это позволит сохранить историю всех изменений в базе и при необходимости восстановить состояние системы до конкретного момента времени.

Кроме того целесообразно настроить репликацию базы данных в режиме реального времени, но для этого необходим дополнительный сервер. В случае выхода из строя основного сервера можно оперативно переключить работу на реплику с минимальными потерями времени и данных.

Также важно внедрить мониторинг состояния СУБД, который позволит отслеживать ошибки, задержки репликации и состояние журналов транзакций.

 

Предотвращение угроз

4. Настройте учетные записи пользователей по принципу наименьших привилегий

Принцип наименьших привилегий – это фундаментальная концепция кибербезопасности, согласно которой любой пользователь, программа или процесс должны обладать только минимальным набором полномочий, необходимым для выполнения своих задач.

Реализация этого принципа должна охватывать все уровни работы пользователя: платформа 1С:Предприятие, операционная система, СУБД.

Особенно этот пункт актуален для системных администраторов. Ведь если вредоносная программа проникнет в систему с учетки админа, она получит все его расширенные права. Учетная запись с ограниченными правами не позволит ей вносить критические изменения в систему, что значительно уменьшает ущерб.

5. Используйте сложные пароли и ограничьте количество попыток входа

Брутфорс (подбор паролей) — это один из самых распространенных методов взлома. Сложные пароли делают его неэффективным, а ограничение попыток входа делает его практически невозможным.

В 1С по умолчанию установлены требования к длине пароля и используемым символам. Мы рекомендуем придерживаться установленных правил, либо усложнить их при необходимости.

Требования к паролям пользователей в системе Авибус

Также средствами 1С можно настроить разрешенное количество неудачных попыток входа. В среднем многие сервисы разрешают 3 неудачные попытки входа, после чего учетная запись блокируется. Восстановить ее может только администратор системы.

6. Регулярно обновляйте платформу, операционную систему и СУБД

Большинство хакеров и вредоносных программ эксплуатируют известные уязвимости, для которых уже давно выпущены исправления. Поэтому своевременное и систематическое обновление технологического стека является одной из самых эффективных и экономически целесообразных мер защиты.

Здесь важен целостный, а не фрагментарный подход:

  • Платформа 1С:Предприятие: Фирма «1С» регулярно выпускает новые релизы платформы и конфигураций, в которых не только добавляется новый функционал, но и исправляются обнаруженные уязвимости.
  • Операционная система: Как серверы, так и рабочие станции должны своевременно получать обновления безопасности для операционной системы. Подробнее как выстроить данный процесс для корпоративных сред на Windows и Linux описано в расширенной инструкции.
  • Система управления базами данных и веб-сервер: Зачастую администраторы концентрируются на обновлениях ОС и самого приложения 1С, забывая про промежуточные слои. СУБД (MS SQL, PostgreSQL) и веб-серверы (IIS, Apache) также являются критически важными компонентами. Уязвимость в PostgreSQL или Apache может позволить злоумышленнику получить контроль над сервером и, как следствие, доступ ко всей системе 1С, даже если сама платформа 1С полностью обновлена.

7. Подключите и настройте файервол для 1С и веб-сервера

Фаервол служит щитом, который предотвращает несанкционированный доступ к информации со стороны хакеров. Фаервол фильтрует трафик, контролирует, какие приложения могут выходить в интернет и какие соединения могут быть установлены с вашим компьютером и блокирует подозрительные запросы. Это предотвращает доступ к системе извне и блокирует попытки вредоносных программ связаться с командными серверами.

Кроме того файервол позволяет настроить правила доступа к ресурсам в сети интернет для сотрудников. Например, можно запретить доступ к сайтам, не связанным с работой, что снижает риск заражения системы вредоносным ПО.

Помимо первичной настройки важно также регулярно обновлять фаервол и анализировать логи фаервола, чтобы выявлять подозрительную активность, попытки атак и принимать своевременные меры.

8. Следите за безопасностью публикации

Любой доступ к данным 1С через веб-интерфейс (веб-клиент, веб-сервисы, HTTP-сервисы) должен быть в обязательном порядке зашифрован с использованием протокола TLS (Transport Layer Security), ранее известного как SSL. Передача учетных данных и конфиденциальной бизнес-информации по открытому протоколу HTTP является грубейшей уязвимостью, позволяющей перехватить трафик и получить несанкционированный доступ к системе.

Использование протокола HTTPS защитит данные (логины, пароли, информацию о транзакциях) от перехвата в процессе передачи. Это особенно критично, когда организован доступ к базе 1С извне.

9. Установите антивирус и контроль USB-устройств

Антивирус выявляет и нейтрализует вредоносные программы, которые каким-то образом обошли перечисленные ранее средства защиты. Даже если пользователь случайно открыл вредоносный файл или перешел по подозрительной ссылке, антивирус, скорее всего, его обнаружит и нейтрализует.

В помощь антивирусу установите запрет на подключение внешних незарегистрированных USB-устройств. Это так же защитит систему от установки вредоносного ПО и позволит предотвратить утечки данных. Логируйте все попытки подключения внешних USB-устройств и проверяйте их антивирусом.Разрешите использование только доверенным устройствам, по серийному номеру или уникальному идентификатору.

Выводы

Эти рекомендации закрывают самые распространенные и опасные векторы атак:

  • Уязвимости в ПО: решается обновлениями операционной системы.
  • Вирусы и вредоносное ПО: решается антивирусом и работой под ограниченной учетной записью.
  • Сетевые атаки: решается фаерволами.
  • Перехват данных: решается HTTPS-сертификатом.
  • Подбор паролей: решается сложными паролями и ограничением входа.
  • Потеря данных: решается резервным копированием.

Важно помнить, что кибербезопасность автовокзала – не разовая мера, а постоянный и системный процесс. Комплексное внедрение перечисленных выше рекомендаций позволит минимизировать риски потери информации и гарантировать бесперебойное обслуживание пассажиров.

Более подробная информация по каждому пункту и особенностям внедрения в зависимости от используемого технологического стека доступна в расширенной документации.

Подробнее о переходе на облачный сервис вы можете узнать у менеджеров отдела продаж по номеру +7 (499) 450-28-09 или по почте sales@avibus.pro.

Звоните/пишите нам, если появились вопросы:

+7 (499) 450-28-09
Общие вопросы: sales@avibus.pro
Техническая поддержка: support@avibus.pro

Читать в телеграм Видео-уроки

Категории

Подпишитесь на рассылку

Раз в месяц мы отправляем дайджест с новостями, полезными советами и инструкциями для пользователей.