Jak obecnie firmy prowadzą dokumentację? Zwykle jest to pakiet 1C instalowany na lokalnym komputerze księgowego, w którym pracuje pełnoetatowy księgowy lub zewnętrzny specjalista. Outsourcer może jednocześnie zarządzać kilkoma takimi firmami klienckimi, czasem nawet konkurencyjnymi.
Dzięki takiemu podejściu dostęp do rachunków bieżących, narzędzi kryptoochrony, elektronicznego zarządzania dokumentami i innych ważnych usług konfiguruje się bezpośrednio na komputerze księgowego.
Co to znaczy? Że wszystko jest w rękach księgowego i jeśli zdecyduje się wrobić właściciela firmy, to zrobi to raz czy dwa.
film „RocknRolla” (2008)
W tym artykule dowiemy się, jak bezpiecznie zablokować wszystkie usługi, w tym 1C, w jednej chmurze, aby móc wyłączyć wszystkie usługi jednym przyciskiem, nawet jeśli księgowy poleciał na bajeczne Bali.
Co może się wydarzyć? Dwa prawdziwe przypadki
Administrator systemu na Wall Street
Żona naszego współzałożyciela jest doświadczoną księgową i w zeszłym miesiącu o pomoc zwróciła się do niej duża sieć restauracji w Moskwie. Wszystkie bazy danych restauracji znajdowały się na jej serwerze, którym zarządzał stały administrator systemu z zespołu restauracji.
W czasie pracy księgowego administrator systemu udał się do kasyna online i złapał wirusa, który zniszczył całą bazę danych. Na kogo oni wszystko zwalili? Zgadza się, księgowy, który właśnie przybył.
Bohaterka ma szczęście, że jej mąż jest partnerem zarządzającym hostingiem i rozumie takie rzeczy. Po wielu telefonicznych kłótniach (nasz kolega był już gotowy, aby wyjść i samodzielnie oczyścić twarz administratorowi), znaleziono dowody i sprawca został ukarany. Ale baza danych została utracona, co oznacza, że dla administratora systemu nie było szczęśliwego zakończenia.
Laptop utknął w cudzym mieszkaniu
To stara historia innych znanych nam osób.
Doświadczona 64-letnia kobieta regularnie prowadziła księgi rachunkowe sklepu internetowego z chińskimi gadżetami za pomocą 1C. Klient i baza danych były przechowywane na laptopie, który dostała w pracy. Było wygodne: łatwo drukuje się z drukarek biurowych, podstawa jest niewielka i mieści netbooka, można go zabrać ze sobą na wieś lub do domu.
Potem wydarzyła się tragedia: w piątkowy wieczór z udarem mózgu zabrano ją karetką. Netbook został w domu, bo księgowa była odpowiedzialna i wzięła pracę w weekend.
Laptop oczywiście udało się uratować, księgowa wyzdrowiała, ale jeśli przeniesiemy tę sytuację na czasy obecne i zastąpimy udar koronawirusem, to akcja ratowania komputera z zamkniętego mieszkania przybierze zupełnie inne proporcje.
Czy dwa koty i labrador mogą otworzyć Ci drzwi? Nawet jeśli sąsiadka podleje kwiaty i nakarmi koty, czy da ci komputer?
Przejdźmy jednak do 1C w chmurze - jakie są opcje wdrożenia i działania w chmurze.
Jakie są ogólne opcje pracy z 1C w chmurze?
Opcja 1. Klient + serwer aplikacji korporacyjnych + baza danych
Nadaje się dla dużych firm, które wymagają usług całego zespołu księgowych. Jest to dość kosztowna opcja (wymaganych jest wiele dodatkowych licencji), nie będziemy jej rozważać, ponieważ artykuł dotyczy konfiguracji pracy księgowego dla małej firmy.
Opcja 2. 1C: Świeży
1C: Fresh to dość wygodny sposób pracy w 1C za pośrednictwem przeglądarki. Nie są wymagane żadne ustawienia: wypożyczając taką licencję, franczyzobiorca sam wszystko skonfiguruje, a Ty otrzymasz login i hasło.
Ale są dwie wady:
✗ Wysoka cena: podstawowa taryfa za jedno zgłoszenie wymaga płatności jednorazowo za 6 miesięcy za co najmniej dwa stanowiska pracy - 6808 RUR
✗ Nie da się samodzielnie postawić serwera VPS, na którym działa wiele firm jednocześnie. Klucz otrzymujesz wyłącznie do swojego pokoju w akademiku, na zasadzie hostingu współdzielonego.
Świeżość ma również konfigurację 1C: BusinessStart, której subskrypcja kosztuje 400 rubli w ramach promocji. na miesiąc. Opcje konfiguracji są znacznie ograniczone, bez promocji subskrypcja będzie kosztować 1000 rubli i trzeba za nią płacić przez co najmniej sześć miesięcy.
Opcja 3: własny VPS, na którym zainstalowany jest klient 1C i baza danych
Ta opcja jest odpowiednia dla małych firm z 1-2 księgowymi - mogą pracować całkiem wygodnie bez instalowania serwera aplikacji 1C: Enterprise i serwera SQL.
Główną zaletą tego podejścia jest to, że wynajęty VPS może pełnić funkcję pełnoprawnego komputera do pracy dla księgowego z połączeniem RDP.
Gdy wszystkie bazy danych, dokumenty i dostępy przechowywane są na VPS pod Twoją kontrolą, nie musisz się martwić, że laptopy zamknięte w Twoim mieszkaniu lub księgowa i administrator systemu uciekną razem na wyspy, zabierając wszystkie dokumenty i pieniądze z bieżącego konto. Możesz wyłączyć dostęp jednym przyciskiem, usuwając użytkownika.
Ta metoda jest również dobra i oto dlaczego:
- Kiedy księgowy pracuje w produktach 1C, 1C generuje wiele dokumentów Word, Excel, Acrobat. Po uruchomieniu klienta 1C na komputerze księgowego wszystkie dokumenty są zapisywane na jego laptopie. Podczas pracy na VPS wszystko jest zapisywane na maszynie wirtualnej.
- Bazy danych i dokumenty 1C w ogóle nie trafiają na komputer osobisty księgowego (w przypadku korzystania z 1C: Fresh konieczne byłoby pobranie dokumentów).
- Możliwość podłączenia VPS do sieci firmowej poprzez VPN i zapewnienia księgowemu bezpiecznego dostępu do zasobów wewnętrznych (w przypadku korzystania z 1C: Fresh, komputer osobisty księgowego musiałby być w tym celu podłączony do bezpiecznej sieci LAN).
- Możesz skonfigurować bezpieczną integrację 1C: Enterprise z systemami zewnętrznymi: elektroniczny obieg dokumentów, konta osobiste banków, usługi rządowe itp. Jeśli korzystasz z 1C: Fresh, dostęp do wielu kluczowych usług musiałby zostać skonfigurowany na komputerze osobistym księgowego.
I oczywiście cena. Wynajęcie maszyny wirtualnej z licencją 1C będzie kosztować około 1500 rubli. miesięcznie, jeśli bierzesz stawki królewskie od drogich dostawców usług hostingowych. To niewiele droższe niż minimalny podstawowy pakiet usług 1C: Świeży i znacznie tańszy niż inne subskrypcje. Możesz płacić co miesiąc.
Licencję można kupić od dowolnego franczyzobiorcy, a cena zależy od konfiguracji pakietu produktów i usług, a po upływie okresu będziesz musiał dodatkowo zapłacić za wsparcie za pośrednictwem portalu 1C: ITS w celu aktualizacji.
Jeśli weźmiesz u nas do takich celów oferujemy maszynę wirtualną z preinstalowanym klientem 1C: Enterprise (wystarczy napisać do nas do pomocy technicznej z opisem swojego zadania). Wynajęcie maszyny wirtualnej kosztuje około 800 rubli. miesięcznie, a koszt wynajmu licencji 1C na jedno miejsce pracy wyniesie kolejne 700 rubli. Zapewniamy wsparcie bez dodatkowych kosztów, a 1C: Enterprise jest aktualizowany przez naszych specjalistów, jeśli napiszesz do wsparcia technicznego.
Dla księgowego wszystko będzie wyglądało dokładnie tak samo – znajomy pulpit, ikony, można nawet powiesić znajomą tapetę. A teraz do rzeczy, jak stworzyć i skonfigurować taką chmurę, do której dostęp można wyłączyć jednym przyciskiem.
Zamawiamy VPS z wbudowanym 1C: Enterprise
Dla księgowego idealnym systemem operacyjnym jest Windows. Jeśli chodzi o moc VPS - z naszego doświadczenia wynika, że dla komfortowej pracy jednego lub dwóch pracowników z serwerem plików w wersji 1C: Przedsiębiorstwo będzie miało wystarczającą konfigurację z dwoma rdzeniami obliczeniowymi, co najmniej 4-5 GB pamięci RAM i szybkim 50 GB SSD.
Nie automatyzujemy usług, dopóki nie będziemy pewni, czego dokładnie potrzebują klienci, więc jego połączenie nie jest jeszcze zautomatyzowane i trzeba zamówić serwer od 1C za pośrednictwem systemu biletów. Skonfigurujemy wszystko za Ciebie ręcznie.
Kiedy połączysz się z utworzoną maszyną wirtualną poprzez RDP, zobaczysz coś takiego.
Przesyłanie bazy danych 1C
Kolejnym krokiem jest pobranie bazy danych z wersji 1C: Enterprise zainstalowanej wcześniej na komputerze księgowym.
Następnie należy przesłać go na serwer wirtualny poprzez FTP, dowolną chmurę lub podłączając dysk lokalny do VPS za pomocą klienta RDP.
Następnie musisz dodać bazę informacji w programie klienckim: jak to zrobić, pokazujemy na zrzutach ekranu.
Po pomyślnym dodaniu bazy danych 1C: Enterprise możesz pracować na własnym VPS. Pozostaje tylko skonfigurować zdalne pulpity dla użytkowników i integrację z różnymi systemami zewnętrznymi, takimi jak osobiste konta bankowe czy usługi elektronicznego zarządzania dokumentami.
Konfigurowanie zdalnych pulpitów
Domyślnie system Windows Server umożliwia maksymalnie dwie jednoczesne sesje RDP w celu administrowania systemem. Wykorzystywanie ich do pracy nie jest technicznie trudne (wystarczy dodać nieuprzywilejowanego użytkownika do odpowiedniej grupy), jednak stanowi to naruszenie warunków umowy licencyjnej.
Aby wdrożyć pełne usługi pulpitu zdalnego (RDS), należy dodać role i funkcje serwera, aktywować serwer licencyjny lub skorzystać z zewnętrznego, a także zainstalować oddzielnie zakupione licencje dostępu klienta (licencje RDS CAL).
Tutaj również możemy pomóc: możesz kupić u nas RDS CAL, po prostu pisząc . Pójdziemy dalej: zainstaluj je na naszym serwerze licencyjnym i skonfiguruj Usługi pulpitu zdalnego.
Ale oczywiście, jeśli chcesz wszystko skonfigurować samodzielnie, nie będziemy Ci psuć zabawy.
Po skonfigurowaniu RDS księgowy może rozpocząć pracę z 1C: Enterprise na serwerze wirtualnym, jak na komputerze lokalnym. Nie zapomnij zainstalować na VPS standardowego oprogramowania księgowego: pakietu biurowego, przeglądarki innej firmy, Acrobat Reader.
Teraz pozostaje tylko zadbać o połączenie klienta 1C z kontami osobistymi w banku.
Konfigurowanie integracji z bankami
1C: Przedsiębiorstwo posiada technologię DirectBank do bezpośredniej wymiany danych z bankami, bez instalowania dodatkowego oprogramowania. Umożliwia pobieranie wyciągów i wysyłanie dokumentów płatności bez przesyłania ich do plików, jeśli bank obsługuje taki standard interakcji (w przeciwnym razie będziesz musiał zadowolić się plikami tekstowymi w formacie 1C w staromodny sposób, ale to jest w porządku - teraz są one zapisywane na maszynie wirtualnej).
Na początek w programie księgowym tworzony jest rachunek bieżący (jeśli nie został jeszcze utworzony), a następnie należy otworzyć jego formularz na karcie organizacji i wybrać polecenie „Połącz 1C: DirectBank”. Ustawienia Exchange można załadować do 1C: Enterprise automatycznie lub ręcznie: szczegółowe instrukcje można znaleźć na stronie internetowej banku. W niektórych przypadkach integrację z produktami 1C należy włączyć osobno na koncie osobistym.
Do założenia może być potrzebny login i hasło do firmowego konta osobistego w banku. Najpopularniejszą metodą jest uwierzytelnianie dwuskładnikowe (2FA) za pośrednictwem wiadomości SMS.
Inna popularna opcja, bezpieczny token sprzętowy, nie jest dla nas odpowiednia ze względu na wykorzystanie serwera wirtualnego. Dodatkowo zabezpieczone nośniki musiałyby zostać wyniesione z siedziby firmy i przekazane księgowemu pracującemu zdalnie, tracąc nad nim kontrolę.
Opcja z loginem/hasłem i 2FA przez SMS też może być niebezpieczna, chociaż technologia DirectBank pozwala jedynie na odbieranie wyciągów i wysyłanie dokumentów płatniczych. Aby dokonać płatności, będą musieli zostać potwierdzeni elektronicznym podpisem cyfrowym, który jest przechowywany na bezpiecznym nośniku fizycznym klienta lub po stronie banku. W pierwszym przypadku nie ma żadnych problemów: jeśli zewnętrzny księgowy nie będzie miał dostępu do tokena, będzie mógł jedynie generować dokumenty.
W przypadku podpisu cyfrowego w chmurze, SMS z jednorazowym kodem potwierdzającym płatność jest zazwyczaj wysyłany na ten sam numer telefonu, który służy do uwierzytelnienia w Twoim koncie osobistym. Niektóre banki same rozwiązały ten problem, umożliwiając klientom wymianę danych za pośrednictwem DirectBank bez 2FA. W takim przypadku księgowy będzie mógł jedynie pobierać wyciągi i przesyłać dokumenty, ale nie otrzyma dostępu do pieniędzy ani nawet do swojego konta osobistego.
Istnieje inna możliwość oddzielenia poziomów dostępu: wiele banków umożliwia korzystanie z konta w usługach państwowych za pośrednictwem ujednoliconego systemu identyfikacji i uwierzytelniania (). Menedżerowi wystarczy wejść w ustawienia swojego konta, wybrać zakładkę „Organizacje” i zaprosić pracownika. Gdy przyjmie zaproszenie, w sekcji „Dostęp do systemów” możesz znaleźć swój bank (po skonfigurowaniu z nim integracji) i udostępnić użytkownikowi swoje konto osobiste. W takim wypadku nie ma konieczności przekazywania mu numeru telefonu czy tokena służącego do podpisywania dokumentów płatniczych.
Łączenie z usługami EDF
Usługi wymiany dokumentów elektronicznych są wygodne, a powszechna praca zdalna sprawiła, że są po prostu niezbędne. Klient 1C: Enterprise integruje się z nimi, ale z prawnego punktu widzenia EDI wymaga użycia kwalifikowanego podpisu elektronicznego.
Można go jedynie zapisać na pendrive’ie lub przechowywać w usłudze chmurowej, która posiada odpowiednie certyfikaty krajowych organów regulacyjnych.
Nie ma możliwości przesłania podpisu elektronicznego na żaden nośnik ani przechowywania go na VPS-ie, dlatego zazwyczaj księgowy pracuje nad elektronicznym zarządzaniem dokumentami z lokalnego komputera, podłączając pendrive'a. Zainstalowane jest na nim certyfikowane narzędzie do ochrony informacji kryptograficznej (tzw. kryptodostawca) oraz publiczny certyfikat podpisu elektronicznego. Jego zamknięta część przechowywana jest na pendrive'ie, który należy fizycznie podłączyć do komputera, aby móc podpisywać dokumenty w programach obsługujących tę funkcję. Do pracy z EDI poprzez interfejs WWW potrzebne będą wtyczki do przeglądarek.
Aby system o znaczeniu krytycznym dla biznesu nie musiał być wdrażany na komputerze osobistym specjalisty pracującego zdalnie, przydatny jest również VPS, jednak tutaj opcja z tokenem fizycznym się nie sprawdzi.
Trudno powiedzieć, jak dostawca kryptowalut zachowa się w środowisku wirtualnym, szczególnie przy próbie przekierowania portu USB do VPS za pośrednictwem klienta RDP. Pozostaje podpis cyfrowy w chmurze bez nośnika fizycznego, jednak nie wszystkie usługi elektronicznego obiegu dokumentów oferują taką usługę. Nawiasem mówiąc, kosztuje to około tysiąca rubli rocznie, nie licząc opłaty abonamentowej za samą usługę wymiany dokumentów, która zależy od wielkości.
Dobra wiadomość jest taka, że prawie wszystkie popularne rosyjskie serwisy od dawna wprowadziły wzajemny roaming dokumentów, dzięki czemu możesz połączyć się z każdym. Jest też zła wiadomość: nie uda się całkowicie pozbyć papieru, gdyż wśród kontrahentów na pewno znajdą się tacy, którzy nie korzystają z EDI.
Konfigurowanie dostępu do usług za pomocą certyfikatów
Wiele usług umożliwia uwierzytelnianie i autoryzację bez loginu i hasła przy użyciu certyfikatów klienta SSL, które można zainstalować również na VPS, a nie na komputerze księgowego.
W ten sam sposób możesz skonfigurować uwierzytelnianie w korporacyjnych zasobach internetowych. Jak to zrobić:
- Kup zaufany urząd certyfikacji, aby używać go do podpisywania i weryfikacji certyfikatów SSL klientów;
- Twórz certyfikaty SSL klienta podpisane zaufanym certyfikatem;
- Skonfiguruj serwery internetowe, aby żądały i weryfikowały certyfikaty SSL klienta;
- Zainstaluj certyfikaty klienta dla użytkowników pulpitu zdalnego na serwerze VPS.
Temat wdrożenia 1C: Przedsiębiorstwa dla małych firm na serwerach wirtualnych jest szeroki, opisaliśmy tylko jedną metodę odpowiednią do zapewnienia bezpieczeństwa księgowego.
VPS może czasami dobrze służyć i uniknąć instalowania krytycznych rozwiązań IT i zdalnego przesyłania prywatnych danych firmowych na komputer osobisty specjalisty.
Mamy nadzieję, że artykuł był dla Ciebie przydatny.
Źródło: www.habr.com