|
|
ерез
кластер серверов 1С:Предприятия 8.1, выполнив процедуру аутентификации 1С:Предприятия 8.1,
заключающуюся в том, что перед началом
Клиент-сервер (х86-64). Особенности установки и использования
Глава 1. Принципы построения и работы с информационными базами 31
работы с кластером серверов приложение должно сообщить ему имя пользователя
1С:Предприятия 8.1 и его пароль. Дальнейшая работа с кластером серверов будет возможной только,
если поль зователь с соответствующим паролем был зарегистрирован в ин формационной базе.
Данные, с которыми работает кластер серверов 1С:Предприятия, делятся на информационную базу и
служебные данные. Таким образом, задача кластера серверов заключается в том, чтобы обес печить
безопасность данных в следующих областях:
• при обмене между клиентом и кластером серверов (1);
• при обмене между консолью кластера серверов и класте ром (2);
• при хранении служебных данных в кластере серверов (3);
• при обмене данными внутри кластера (4).
Информационная база размещается в базе данных и ее безопас ность, а также безопасность
при обмене между кластером серве ров и сервером баз данных, обеспечивается
средствами исполь зуемой СУБД (Microsoft SQL Server, PostgreSQL или IBM DB2).
Поэтому далее будут рассмотрены подробно только первые четы ре области обеспечения
безопасности, за которые отвечает непо средственно система 1С:Предприятие 8.1.
Безопасность данных, передаваемых между клиентом и кластером серверов
Безопасность данных, передаваемых между клиентом и кластером серверов, обеспечивается за счет
возможности шифрования этих данных. При этом может быть выбран один из трех уровней безо
пасности:
• Выключено;
• Установка соединения;
• Постоянно.
Уровень Выключено является самым низким, уровень Постоянно
- самым высоким. При этом используется безопасное соединение по протоколу TCP/I P с
шифрованием алгоритмами RSA и Triple DES.
Клиент-сервер (х86-64). Особенности установки и использования
32 1С:Предприятие
8.1. Фирма «1С»
Уровень безопасности Постоянно
Использование уровня безопасности Постоянно позволяет полно стью защитить весь поток данных
(как пароли, так и непосредст венно данные) между клиентом и кластером серверов. Однако
следует учитывать, что при этом возможно значительное сниже ние производительности
системы (до 70%).
В общем виде протокол взаимодействия клиента и кластера сер веров представлен на
следующем рисунке:
Клиент-сервер (х86-64). Особен ности установки и использования
Глава 1. Принципы построения и работы с информационными базами 33
Протокол взаимодействия одинаков как для менеджера кластера (rmngr.exe), так и для рабочего
процесса (rphost.exe): после уста новки соединения первый обмен данными выполняется с исполь
зованием шифрования но алгоритму RSA, дальнейший обмен данными выполняется с
использованием шифрования по алго ритму Triple DES.
Уровень безопасности задается при создании информационной базы. Эта информация
сохраняется как на клиенте (в списке ин формационных баз), так и в кластере серверов (в
реестре серве ра). После создания информационной базы, ее параметры, сохра ненные в кластере
серверов, изменить уже нельзя. Однако можно изменить уровень безопасности, указанный для этой
информаци онной базы па клиенте.
Поэтому после установки соединения клиент генерирует приват ный и публичный ключи для
шифрования RSA, и передает в кла стер серверов публичный ключ и уровень безопасности,
который указан для данной информационной базы на клиенте. Это желае мый уровень
безопасности.
Кластер серверов выбирает максимальный уровень безопасности из переданного клиентом и
указанного для этой информационной базы в реестре кластера. Это фактический уровень
безопасности. Кроме этого кластер серверов генерирует сеансовый ключ для шифрования Triple DES и
вместе с фактическим уровнем безо пасности передает его клиенту, предварительно
зашифровав эти данные с помощью публичного ключа клиента.
Дальнейший обмен данными выполняется в соответствии с фак тическим уровнем безопасности, при
этом как клиент, так и сер вер шифруют передаваемые данные с использованием сеансового
ключа по алгоритму Triple DES.
Уровень безопасности Установка соединения
Использование уровня безопасности Установка соединения по зволяет частично защитить поток данных
(только пароли) между клиентом и кластером серверов. Этот уровень безопасности явля ется
компромиссом между безопасностью и производительностью.
Клиент-сервер (х86-64). Особенности установки и использования
34 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 |
|
|
