Контакты

Задача, которую ставит заказчик перед интегратором, обычно выглядит так:


  • Учётная система (например,1С);
  • Совместная работа: документы, задачи, чат, почта, календарь;
  • Бесшовная удалённая работа.

Она не полна — не хватает нескольких обязательных условий:


  • Создание надёжной, безопасной, отказоустойчивой информационной среды;
  • Архивация баз данных и документов.

Так происходит потому, что значит заказчик ещё не терял данные. Компьютеры его сети не использовали как ботов для распределённых атак. Хакеры не вымогали деньги за украденные личные сведения или зашифрованные файлы. Не совершал банковские переводы на подложные реквизиты.

Дальше —для тех, кто видит эти опасности или уже имеет горький опыт потерь.

Неуязвимая информационная среда

Шаг первый: Сеть



Защититься от внешних угроз просто:

достаточно ограничить подключение к шлюзам списком доверенных адресов, а для удалённой работы использовать безопасные соединения: HTTPS, Wireguard, L2TP/IP-Sec и другие.


Сложнее с внутренними угрозами: злонамеренная или случайная порча данных или их передача третьим лица.

Здесь на одной чаше весов лежит безопасность, а на другой — удобство работы. Полная безопасность ≡ невозможность работы.


Выходит, что полностью исключить угрозу нельзя. Но можно уменьшить строгим разделением прав:


  • предоставлять доступы только к необходимым для работы данным;
  • не позволять запись, если достаточно просмотра.

Управляемые коммутаторы и роутеры позволяют создать единую среду, объединяющую все подразделения компании, что удобно, но не всегда полезно.

Сточки зрения безопасности задача скорее обратная: ограничить доступ рабочего места несколькими сетевыми устройствам, необходимым для работы.

Шаг второй: Среда исполнения




Страшной угрозой, вплоть до потери всех данных, являются вирусные и хакерские атаки.


Они становятся возможными, когда сотрудники погружены в рутину бесконечной настройки рабочих мест и просто не в состоянии уделить внимание безопасности.


Если сеть подчиняется единому своду простых правил — она становится управляемой, а все рутинные действия легко автоматизируются.


Службы сетевой автоматической установки (NetInstall, Autoinstall) и локальное зеркало репозиториев (Alterator-mirror) разительно сокращают трудозатраты на развёртывание и сопровождение парка компьютеров предприятия, а в режиме киоска исключается вероятность запуска любого, явно не разрешённого программного обеспечения.


Сейчас на обычном рабочем месте используется всего несколько приложений:


  • Браузер;
  • 1С;
  • Офисный пакет;

Все они превосходно работают в среде Alt Linux.


При этом существует ряд юридических и технических причин, делающих нежелательным использование MS Windows:

·Компания Microsoft покинула Россию и приобрести её продукцию можно лишь по

серым схемам («параллельный импорт»);

  • Нет доступа к личному кабинету;
  • Не работает активация даже приобретённого ПО;
  • Отсутствие поддержки и обновлений;
  • Тесная связь с облачными сервисами Microsoft;
  • Множество лишних служб, которые потребляют ресурсы ПК;
  • ~10 миллионов новых вирусов для Windows появляется каждый месяц. Антивирус
  • — непременное требование;
  • Как следствие вышеперечисленного — вдвое большие требования к мощности ПК.

Использование отечественного программного обеспечения имеет ряд преимуществ:


  • Служба технической поддержки: подсказки, исправление ошибок и доработки по запросу;
  • Встроенная поддержка необходимых технологий: криптография по ГОСТ, 1С, PostgreSQL с соответствующими патчами и другие особенности.

Шаг третий:Совместная работа


Довольно распространённым является использование табличных online-редакторов в

качестве учётной системы.


В какой-то мере такая техническая возможность есть у лидеров рынка: Google и Microsoft.


Это ошибочный путь по своей сути — так делать не надо.


Если использовать инструменты по назначению: вести учёт в 1С, управление задачами в Task Tracker, а документы — в редакторе документов, то появляется выбор.


Из существующих офисных пакетов хорошо показал себя Р7. Он используется в

облачных средах совместной работы: VK WorkSpace и Яндекс 360.


Подобное собственное цифровое пространство можно создать внутри локальной сети

предприятия развернув «Корпоративный сервер Р7».

На сервере
  • Alt Linux 11 Server
  • PostgreSQL 17
  • 1C:Server
  • Зеркало репозиториев
  • Службы автоматической установки
На рабочей станции:
  • Альт Рабочая станция 11К
  • Яндекс.Браузер
  • CryptoPro
  • 1С :
  • Р7-офис

Шаг четвёртый: Авторизация

Для управления правами доступов пользователей как правило используют домен (Active

Directory в Windows, FreeIPA в Linux) и единый вход во все службы (SSO).


Авторизовавшись, пользователь получает доступы к почте, учётной программе, CRM,

файловому серверу и прочим сетевым службам без необходимости помнить и вводит

множество паролей.


Но что если контроллер домена выйдет из строя или окажется недоступен?


К тому же пользователи могут использовать для работы произвольные, в том числе и

личные компьютеры, не настроенные для входа в домен.


Использование паролей неудобно и небезопасно: рано или поздно их утечка неизбежна.


Можно использовать:


  • Пароль с подтверждением (2FA — двухфакторная аутентификация);
  • Одноразовые пароль, создаваемый приложением вроде Яндекс.Ключ;
  • Вход по QR-коду;
  • Аппаратные ключи с технологией FIDO2 (например, Рутокен MFA)
  • Аппаратные ключи с технологией ГОСТ Р 34.12 2015 «Кузнечик» (Рутокен ЭЦП 3.0)

Шаг пятый: Архивы

Стоимость хранения архивов всегда на порядки меньше стоимости сохраняемых данных.


Задача архивации многократно решена. Однако, люди по прежнему «делятся на тех кто делает архивы и тех, кто ещё нет».


Хорошим тоном считается иметь два сервера архивов:


  • Первый — в локальной сети для быстрого сохранения и восстановления;
  • Второй — удалённый, сам забирающий архивы с первого через безопасное соединение и недоступный всё остальное время.

Отказоустойчивость и надёжность — не одно и то же.

Даже очень надёжное устройство рано или поздно ломается. Вопрос в том, сможет ли продолжать работать целое при отказе одной или нескольких частей и насколько быстро и затратно будет восстановление.


Каждый из перечисленных шагов вносит большой вклад создание безопасной, надёжной и отказоустойчивой информационной среды.


Но проделав их все можно построить настоящую крепость.

Связаться
architect@alt-time.ru

+7 (918) 557-89-91
г. Ростов-на-Дону
© Все права защищены, "Время Альт", 2025г.