Прошу прощения, я имел в виду аппаратный маршрутизатор или управляемый коммутатор. Кстати, сменили ли вы стандартные пароли на коммутаторах и маршрутизаторах?
Я полностью с вами согласен, только вы не совсем правильно поняли меня. Конторы, занимающиеся аттестацией рабочих мест по защите ПДн, используют сертифицированные средства защиты для нейтрализации угроз. Возьмем ваш пример с дебиан, для аттестации контора потребует его заменить (только не АСП-линух, которого давно нет) на другой, так как к дебиану у них нет сертифицированных средств защиты от НСД (а уж тем более от аппаратных закладок).
Т.е. в связи с переходом на «сертифицированное ПО» у нас не повысится, а понизится уровень защиты.
Вы затронули первый парадокс безопасности — «обновлять нельзя использовать», который говорит о том, что единственный способ гарантировать «кошерность» кода это его неизменность, но в «кошерном» коде могут быть уязвимости 0 дня, поэтому его надо обновлять. Мелкомягкие пытались решить этот парадокс сертификатами (на драйверы). Каждая антивирусная программа решает этот парадокс по своему. Но есть другой способ обойти этот парадокс — уменьшить количество ПО до необходимого минимума. Например, в тонком клиенте, загружаемом по сети ПО может годами не обновляться. А как часто вы обновляете ПО в маршрутизаторе?
Было время я выступал одновременно и как ИП и как сотрудник. В госконторе была штатная должность, из-за этого они не могли заключить госконтракт на эту сферу деятельности. Руководитель этой конторы предложил мне поступить на работу. Через некоторое время руководителя уволили и мне пришлось увольняться, так как новый руководитель требовал все рабочее время находится на месте, что для меня как ИП не выгодно. Разница между договором с юрлицом или ИП и трудовым договором — огромная. В первом случае: мы определяем предмет договора и сумму, за которую я этот договор выполню. ИП в пределах договора отвечает за результат (вот тут-то и упоминается всем своим имуществом). Во-втором случае ты делаешь работу, которую укажет работодатель, причем результат тебе по барабану (отношения руководителя и сотрудника определены ТК, трудовым договором, колдоговором и т.д.). Возьмем к примеру работу системного администратора. Если вы как предмет работ опишете: установка и настройка программного обеспечения на компьютерах в соответствие с приложением 1, ежедневное создание резервных копий в соответствии с приложением 2, очистка от пыли устройств в соответствие с графиком приложение 3 и т.д. Тогда это подходит под деятельность ИП, но заказчик не вправе требовать сверх предусмотренного. А если в трудовом договоре будет написано: установка и настройка программного обеспечения на компьютерах, создание резервных копий, очистка от пыли устройств, да плюс сокровенное «соблюдать трудовой распорядок», то вы никак это под договор с ИП не подсунете. Почему руководителям не всегда выгодно иметь дело с ИП? Да потому что руководитель не всегда может определить предмет взаимоотношений, объем выполняемой работы. Вернемся к нашему примеру с сисадмином. Спустили сверху бумажку с требованием обучить всех сотрудников работе на сайте госуслуг (пример реальный), в случае с ИП на эту работу нужно заключать отдельный договор, платить дополнительные деньги, а в случае с работником никаких дополнительных расходов нести не нужно. Учтите, что наше государство любит «раскачивать лодку», то есть постоянно меняет законодательство, поэтому сотрудники не всегда обходятся дороже ИП.
По поводу процентов, я как ИП в прошлом году заплатил 3,7% от дохода (сюда входят налоги и взносы), но работодателям это по-фигу, потому как они платят мне только те суммы, которые указаны в договоре. В случае с госконторой, то ей по-фигу как раз налоги и взносы, так как эта сумма прописана в смете, а вот дополнительные деньги на обучение сотрудников работе на сайте госзакупок в смете как раз и не прописаны. Госконторе придется повозиться, чтобы эти деньги выделить (делается передвижка средств).
Потверждаю: Роскомнадзор заведует «бумажной» защитой ПДн, и, насколько мне известно, ограничивается запросом всей этой макулатуры к себе. Кто должен заниматься написанием всей этой макулатуры? Юрист? Жабер не хватит, если только ваш юрист не «заточен» на вопросах защиты информации. Можно заказать аттестацию рабочих мест по защите ПДн, но такие конторы кроме собственно аттестации требуют приобретения множества сертифицированных средств защиты, поэтому получается дорого. С другой стороны — это отличный повод наконец-то всерьез заняться защитой и не только ПДн. Например, если вы грамотно развернете антивирусную защиту (не антивирусную программу, а комплекс мер по защите), то перекроете 99% работы по защите ПДн. Останется только все это задокументировать. По трудозатратам — лучше ввести должность безопасника, так как кроме подготовки документации, придется проводить плановые мероприятия.
Да, это и еще отсутствие ECC — основное отличие от серверных материнских плат. Тут используются совсем другие решения, например, вместо горячей замены диска — использование резервного сервера.
Сам занимаюсь восстановлением техники, но в отличие от «Администратора сети» больше пользовательскими компьютерами и не в таких объемах. Могу однозначно утверждать, что серверы работают в более комфортных условиях по отношению к пользовательским компьютерам, поэтому подтверждаю 3-5 лет для сервером — это очень мало. Но есть еще один путь сэкономить на стоимости железа — используйте несерверные компоненты. Предвидя поток критики по поводу надежности такого решения, сообщаю: два пользовательских системника в паре работают надежнее одного сервера. Безусловно есть задачи которые нужно решать только силой, но об этом речь не идет.
Спасибо за ответ. Имелось в виду пользовательские принтеры/сканеры/МФУ, которые почему-то отваливались при пробросе через RDP. Еще раз повторю, причиной я не интересовался, скорее всего это были домашние варианты устройств. Еще один вопрос, ради интереса: есть ли у какого-нибудь облачного провайдера услуга замены домашнего ПК на терминал + облако (по аналогии с офисными компьютерами)?
Позволю себе воспользоваться положением и спрошу: как решается проблемы с периферийным оборудованием, подключенным к тонким клиентам? Или разрешено только принтер? Я как-то не вдавался в причину, но суть проблемы в падении периферийного оборудования.
Если в вашем случае устраивает решение с тонкими клиента, тогда я с вами полностью согласен. Более того, я не фанатик безопасности, и не вижу проблем в вопросе: «откуда загружается тонкий клиент», пусть даже с DiskOnModule. Я сейчас не готов спорить об экономической целесообразности такого решения (раньше экономические расчеты показывали отсутствие выгоды при использовании тонких клиентов). Возможно в сочетании с облаками оно действительно выгодно. Но не вступаете ли вы в противоречие с законодательством? Логически вроде бы схема надежная, но законная ли с точки зрения закона ПДн (особенно последних изменений)? Опять же она достаточна мобильна, чтобы её бросить (я опять про законность). Вот только не хотелось бы в спешном порядке искать другие варианты.
1С достаточно нормально отрабатывает работу на линиях с задержками, но многие жалуются (их раздражает задержка ответа UI в доли секунды), поэтому рекомендуется настраивать системы удаленного доступа. Одним словом, в каждой ситуации приходится действовать исходя из сложившихся условий. Меня не раздражает работа толстого клиента 1С (RTT=25-30ms), но по сравнению с локальным сервером разница существенная — очень похожа на работу в локальном файл-серверном варианте. Про законодательство я даже не упоминал, так как следить за выполнением требований этого законодательства некому, поэтому каждый может иметь собственное мнение на этот счет. И мне, честно говоря, не хочется вступать в перепалку по этому вопросу. Я еще раз повторю собственную точку зрения — локальные данные должны размещаться локально. Если речь идет о интернет-магазинах или территориально удаленных офисах, там свои особенности и это тема отдельного разговора.
Там можно отключить автоматическое обновление. Люди далекие от реальных проблем, не всегда понимают, что склад — «он и в африке» склад, и обновлять там нечего, только портить бизнес-процессы. Разработчики конфигураций это понимают, но им это не выгодно, поэтому по умолчанию установлено автоматическое обновление.
Мы с вами говорим о разных вещах. Вот вы не слышали, а я работаю с системами в которых 20 и более пользователей. Вот вы почему-то говорите: «Фу постгри», а я реально обслуживаю файл-серверную систему, которая стоит на очень древнем оборудовании — обычный пользовательский системник 8,5 лет. И это не единственный пример (просто самый-самый). Самое главное, что на этой системе люди реально работают и не просто работают а годами.
Никакого отношения к клиентским рабочим местам, облака не имеют
Любое облако вскрыть куда как сложнее
Вот причина, по которой вы просто меня не хотите услышать. Те, кому надо чего-то вскрыть всегда идут по самому простому пути (ну разве что только настоящие герои всегда идут в обход). Допустим, я хочу ограбить вашу компанию, причем так чтобы не попасться. Зачем я буду долбиться в закрытую дверь (облака), когда ваши форточки (клиентские компьютеры) открыты. Позвольте я не буду писать про то «как украсть миллион». Но продолжать вам объяснять очевидные вещи как-то не удобно. Возможно вы говорите об интернет-магазинах, территориально распределенных офисах и т.д., но почему то считаете, что я телепат, и должен догадаться о чем вы думаете.
Отказаться от облачного сервиса — так же быстро и просто как его внедрить
Тут я не спорю. Какой-то пилотный проект, стартап, да и другие случаи, когда неизвестен результат — это как раз в цвет. Тут облака действительно выгодны, но есть и другой путь сэкономить. Я говорю о передаче своих функций сторонней организации, то есть мы нанимает бухгалтерскую фирму, которая и ведет бухгалтерский учет (в качестве примера).
В облаке о безопасности гораздо, гораздо лучше знают, чем местный администратор. Ну не сравнится опыт Azure с опытом рядового системного администратора.
То есть ваш облачный провайдер будет заниматься антивирусной системой на клиентских компьютерах? Ваш облачный провайдер будет будет защищать внешний периметр локальной сети, например, от того же DDOS? Или же вы о футуристичной идее, когда бухгалтера работают на смартфонах прямо из дома? Ну тогда давайте опять рассмотрим вариант, где всю ответственность за безопасность бухгалтерских данных будет нести нанятая нами бухгалтерская фирма.
Та же 1С в облаке, будет обновляться куда как своевременнее, нежели локальная инсталляция, где админ будет шевелиться только по настойчивой просьбе главного бухгалтера.
То есть эти обновления и есть та безопасность, о которой вы говорите? Если вы этого не знаете, то есть два типа обновлений 1С: платформы и конфигурации. Первое, частично влияет на безопасность, чаще всего там новые «плюшки и рюшечки», второй тип обновлений вносит изменения в бизнес-логику учета (1С используется в основном в учетных системах) в соответствии с изменениями законодательства, то есть к защите не имеет никакого отношения (ради справедливости надо сказать, что если вносятся изменения в логику журналирования доступа к конфиденциальным данным, то это можно отнести к безопасности). Короче за учет отвечает главбух — он и должен принимать решения об обновлении 1С. И никак иначе. И тут опять возникает вариант с аутсорсингом. Не хотите решать эти проблемы, зачем вам облака, нанимайте бухгалтерскую фирму пусть она отслеживает все изменения законодательства.
Теперь давайте к стоимости владения. — Если Вас не затруднит, сможете скалькулировать по реальным сегодняшним ценам, серверную сторону решения 1С бухгалтерия на 20 чел? — Имеется ввиду единоразовый платёж, за: сервер, ОС, 1С, антивирус для сервера.
Цена уже была озвучена и только ленивый не пнул её. Но прежде чем мы займемся подсчетами. Давайте приведем все под один знаменатель. Я просто не понимаю вашу логику, как наверное вы не понимаете мою. Если уж считать, то считать всё: и серверную и клиентскую. Почему затраты на безопасность клиентских компьютеров вас не интересуют? Сначала обеспечьте туже безопасность клиентских компьютеров, как если бы они не были подключены в интернет и посчитайте. Я молчу про гаджеты. Только компьютеры в офисе. Теперь давайте поднимем вопрос про зарплату сисадмина. В случае с локальной версией 1С в его обязанности будет входить еще и:
ежедневная проверка бэкапа базы 1С (сам бэкап формируется по расписанию);
ежемесячное (еженедельное) обновление конфигурации 1С;
обслуживание от 1 до 3 серверов (база, сервер 1С, ну может быть терминальный сервер).
Я так понимаю, вы хотели для этой работы нанять еще одну штатную единицу? Если у вас 1 сисадмин, то он не сможет даже заболеть. Плавали знаем. И расширение до 2 штатных единиц — это не проблема 1С. Если у вас целый отдел ИТ, то ввести нет проблем ввести пару-тройку серверов. Я не против посчитать, но давайте считать честно. Если вам по фигу безопасность клиентских компьютеров, тогда так и скажите. Зачем вы прикрываетесь Azure?
Давайте будем. Для меня «Office365 + облачный AD + облачный exchange» — абсолютно ни о чем. Может быть, кто-то только с помощью этого и работает. Может вы приведете пример, как ваши сотрудники в эксельке посчитают налоги, с помощью IE их оплатят, в Power Point предоставят вам отчет. Как вы в той же эксельке сделаете финансовый анализ ваших затрат, например, на электричество. Может вы Word проектируете трехмерные модели будущих изделий? А в Exchange хранятся медицинские карточки ваших больных? А нет, с помощью мобильного гаджета, врач назначает больному лекарство. А в облачном AD вы ищете судебные прецеденты? Ну тогда да, я не в теме. Давайте посчитаем, но честно. В случае с облаком почему-то считается, что инфраструктура не нужна, не нужен системный администратор, не нужна серверная, не нужно антивирусное ПО, нужен только мобильный гаджет, с помощью которого будет работать бухгалтер. Ну да, тогда я точно не в теме. И на чем вы экономите? На электричестве? К вашему сведению двадцать пользователей 1С не требуют серьезных затрат на серверное оборудование, причем больше половины уйдет на лицензии (серверную и на 20 пользователей). Для вас DDOS страшнее НСД? Тогда я точно не в теме. Не уверен, что пинать труп имеет какой-то смысл, а вот организовать работу, чтобы не было потерь и утечек в этом есть смысл. А вот прятать свои страхи в облаках, в надежде, что кто-то будет решать по-дешевке ваши проблемы, я думаю, что это глупо.
Если честно такой опыт был (пожар в серверной), после чего стали в серверные устанавливать автоматически срабатываемые огнетушители. Но слава богу, проверить эффективность таких огнетушителей не пришлось.
Вы затронули первый парадокс безопасности — «обновлять нельзя использовать», который говорит о том, что единственный способ гарантировать «кошерность» кода это его неизменность, но в «кошерном» коде могут быть уязвимости 0 дня, поэтому его надо обновлять. Мелкомягкие пытались решить этот парадокс сертификатами (на драйверы). Каждая антивирусная программа решает этот парадокс по своему. Но есть другой способ обойти этот парадокс — уменьшить количество ПО до необходимого минимума. Например, в тонком клиенте, загружаемом по сети ПО может годами не обновляться. А как часто вы обновляете ПО в маршрутизаторе?
По поводу процентов, я как ИП в прошлом году заплатил 3,7% от дохода (сюда входят налоги и взносы), но работодателям это по-фигу, потому как они платят мне только те суммы, которые указаны в договоре. В случае с госконторой, то ей по-фигу как раз налоги и взносы, так как эта сумма прописана в смете, а вот дополнительные деньги на обучение сотрудников работе на сайте госзакупок в смете как раз и не прописаны. Госконторе придется повозиться, чтобы эти деньги выделить (делается передвижка средств).
Вот причина, по которой вы просто меня не хотите услышать. Те, кому надо чего-то вскрыть всегда идут по самому простому пути (ну разве что только настоящие герои всегда идут в обход). Допустим, я хочу ограбить вашу компанию, причем так чтобы не попасться. Зачем я буду долбиться в закрытую дверь (облака), когда ваши форточки (клиентские компьютеры) открыты. Позвольте я не буду писать про то «как украсть миллион». Но продолжать вам объяснять очевидные вещи как-то не удобно. Возможно вы говорите об интернет-магазинах, территориально распределенных офисах и т.д., но почему то считаете, что я телепат, и должен догадаться о чем вы думаете.
Тут я не спорю. Какой-то пилотный проект, стартап, да и другие случаи, когда неизвестен результат — это как раз в цвет. Тут облака действительно выгодны, но есть и другой путь сэкономить. Я говорю о передаче своих функций сторонней организации, то есть мы нанимает бухгалтерскую фирму, которая и ведет бухгалтерский учет (в качестве примера).
То есть ваш облачный провайдер будет заниматься антивирусной системой на клиентских компьютерах? Ваш облачный провайдер будет будет защищать внешний периметр локальной сети, например, от того же DDOS? Или же вы о футуристичной идее, когда бухгалтера работают на смартфонах прямо из дома? Ну тогда давайте опять рассмотрим вариант, где всю ответственность за безопасность бухгалтерских данных будет нести нанятая нами бухгалтерская фирма.
То есть эти обновления и есть та безопасность, о которой вы говорите? Если вы этого не знаете, то есть два типа обновлений 1С: платформы и конфигурации. Первое, частично влияет на безопасность, чаще всего там новые «плюшки и рюшечки», второй тип обновлений вносит изменения в бизнес-логику учета (1С используется в основном в учетных системах) в соответствии с изменениями законодательства, то есть к защите не имеет никакого отношения (ради справедливости надо сказать, что если вносятся изменения в логику журналирования доступа к конфиденциальным данным, то это можно отнести к безопасности). Короче за учет отвечает главбух — он и должен принимать решения об обновлении 1С. И никак иначе. И тут опять возникает вариант с аутсорсингом. Не хотите решать эти проблемы, зачем вам облака, нанимайте бухгалтерскую фирму пусть она отслеживает все изменения законодательства.
Цена уже была озвучена и только ленивый не пнул её. Но прежде чем мы займемся подсчетами. Давайте приведем все под один знаменатель. Я просто не понимаю вашу логику, как наверное вы не понимаете мою. Если уж считать, то считать всё: и серверную и клиентскую. Почему затраты на безопасность клиентских компьютеров вас не интересуют? Сначала обеспечьте туже безопасность клиентских компьютеров, как если бы они не были подключены в интернет и посчитайте. Я молчу про гаджеты. Только компьютеры в офисе. Теперь давайте поднимем вопрос про зарплату сисадмина. В случае с локальной версией 1С в его обязанности будет входить еще и:
ежедневная проверка бэкапа базы 1С (сам бэкап формируется по расписанию);
ежемесячное (еженедельное) обновление конфигурации 1С;
обслуживание от 1 до 3 серверов (база, сервер 1С, ну может быть терминальный сервер).
Я так понимаю, вы хотели для этой работы нанять еще одну штатную единицу? Если у вас 1 сисадмин, то он не сможет даже заболеть. Плавали знаем. И расширение до 2 штатных единиц — это не проблема 1С. Если у вас целый отдел ИТ, то ввести нет проблем ввести пару-тройку серверов. Я не против посчитать, но давайте считать честно. Если вам по фигу безопасность клиентских компьютеров, тогда так и скажите. Зачем вы прикрываетесь Azure?