• Рабочие часы: 10:00 - 19.00
  • info@globaltrust.ru

Месяц: Июль 2017

image_pdfimage_print

Повышение защищенности Microsoft Dynamics NAV в крупном медиа холдинге

image_pdfimage_print

В четвертом квартале 2015 года компанией GlobalTrust был реализован проект по анализу защищенности, проектированию и внедрению системы защиты информационной системы Microsoft Dynamics NAV в одном из крупнейших российских медиа холдингов.

ERP-система Microsoft Dynamics NAV – это программное решение для управления финансовыми, кадровыми и прочими активами предприятия, позволяющее повысить эффективность бизнес-процессов. Данное решение используется для формирования и ведения штатного расписания; кадрового и персонифицированного учета; расчета заработной платы и налогов, а также взаимодействия с налоговыми органами и пенсионным фондом РФ.

В ходе выполнения  работ специалистами GlobalTrust были решены следующие задачи:

  • Разработка модели угроз и нарушителей информационной безопасности Microsoft Dynamics NAV;
  • Анализ защищенности Microsoft Dynamics NAV и среды функционирования;
  • Оценка надежности и полноты существующих контрмер, соответствие внутренним и международным стандартам;
  • Подготовка рекомендаций по повышению защищенности Microsoft Dynamics NAV и среды функционирования;
  • Проектирование и внедрение подсистемы защиты Microsoft Dynamics NAV.

С целью решения данных задач специалистами GlobalTrust  была разработана программа и методика тестовых испытаний для Microsoft Dynamics NAV, направленных на выявление уязвимостей и несоответствий требованиям безопасности, выполнено проектирование общей архитектуры посистемы защиты, разработана проектная документация, внедрены дополнительные средства защиты информации.

По словам генерального директора GlobalTrust Александра Астахова«Ключевыми особенностями Microsoft Dynamics NAV как объекта защиты являются ее распределенная клиент-серверная архитектура, многоуровневость, а также концентрация основного объема обрабатываемой информации в базе данных MSSQLServer. Уязвимости данной ERP-системы распределены по уровням, также как и ее функциональные компоненты: сетевой уровень, уровень операционной  системы, уровень СУБД, прикладной уровень, веб-интерфейсы, клиентские компоненты ERP-системы. Для каждого из этих уровней характерен свой набор слабых мест, которые могут повлечь компрометацию всей системы, даже в случае идеально настроенных остальных. Отдельную проблему представляет достаточно сложная система управления доступом к объектам внутри ERP-системы. Поэтому для контроля распределения прав доступа могут потребоваться дополнительные специализированные средства, разрабатываемые для Microsoft Dynamics NAV».

Результаты работы позволили выявить и устранить имеющиеся уязвимости и несоответствия в одной из ключевых бизнес-систем медиа холдинга и повысить защищенность обрабатываемых в Microsoft Dynamics NAV персональных данных и финансовой информации.