Làm thế nào để các công ty lưu giữ hồ sơ bây giờ? Thông thường đây là gói 1C được cài đặt trên máy tính cục bộ của kế toán, trong đó kế toán viên toàn thời gian hoặc chuyên gia thuê ngoài làm việc. Một người đăng việc có thể đồng thời quản lý một số công ty khách hàng như vậy, đôi khi thậm chí cả những công ty cạnh tranh.
Với phương pháp này, quyền truy cập vào tài khoản hiện tại, công cụ bảo vệ bằng mật mã, quản lý tài liệu điện tử và các dịch vụ quan trọng khác được định cấu hình trực tiếp trên máy tính của kế toán viên.
Nó có nghĩa là gì? Rằng mọi việc đều nằm trong tay kế toán và nếu anh ta quyết định gài bẫy chủ doanh nghiệp thì anh ta sẽ làm điều đó một hoặc hai lần.
phim “RocknRolla” (2008)
Trong bài viết này, chúng tôi sẽ cho bạn biết cách khóa an toàn tất cả các dịch vụ, bao gồm cả 1C, trên một đám mây, để bạn có thể vô hiệu hóa tất cả các dịch vụ chỉ bằng một nút bấm, ngay cả khi kế toán đã bay đến Bali tuyệt vời.
Điều gì có thể xảy ra? Hai trường hợp thực tế
Quản trị viên hệ thống phố Wall
Vợ của người đồng sáng lập của chúng tôi là một kế toán giàu kinh nghiệm và tháng trước, một chuỗi nhà hàng lớn ở Moscow đã nhờ đến sự giúp đỡ của cô ấy. Nhà hàng lưu giữ tất cả cơ sở dữ liệu trên máy chủ của mình, được quản lý bởi quản trị viên hệ thống thường trực của nhóm nhà hàng.
Ngay khi nhân viên kế toán đang làm việc, người quản trị hệ thống đã đến một sòng bạc trực tuyến và nhiễm phải một loại virus phá hủy toàn bộ cơ sở dữ liệu. Họ đã đổ lỗi mọi chuyện cho ai? Đúng rồi, anh kế toán vừa tới.
Nữ chính rất may mắn khi chồng mình là đối tác quản lý chủ nhà và hiểu được những điều như vậy. Sau nhiều lần tranh cãi qua điện thoại (đồng nghiệp của chúng tôi đã sẵn sàng ra ngoài và tự mình làm sạch mặt admin), bằng chứng đã được tìm ra và thủ phạm đã bị trừng phạt. Nhưng cơ sở dữ liệu đã bị mất, tức là không có một cái kết có hậu cho người quản trị hệ thống.
Laptop bị kẹt trong căn hộ của người khác
Đây là một câu chuyện cũ từ những người khác mà chúng tôi biết.
Một phụ nữ 64 tuổi giàu kinh nghiệm thường xuyên ghi chép sổ sách kế toán cho một cửa hàng trực tuyến bán đồ dùng Trung Quốc sử dụng mã 1C. Máy khách và cơ sở dữ liệu được lưu trữ trên một chiếc máy tính xách tay được đưa cho cô ấy tại nơi làm việc. Thật tiện lợi: dễ dàng in từ máy in văn phòng, đế nhỏ và vừa với netbook, bạn có thể mang nó theo khi về nước hoặc về nhà.
Rồi bi kịch ập đến: vào tối thứ Sáu, cô được đưa đi cấp cứu vì bị đột quỵ. Netbook để ở nhà vì kế toán phụ trách và nhận việc vào cuối tuần.
Tất nhiên, chiếc máy tính xách tay đã được giải cứu, nhân viên kế toán đã phục hồi, nhưng nếu chúng ta chuyển tình huống này sang thời điểm hiện tại và thay thế cơn đột quỵ bằng virus coronavirus, thì hoạt động cứu máy tính khỏi một căn hộ kín sẽ diễn ra hoàn toàn khác.
Hai con mèo và một chú chó Labrador có thể mở cửa cho bạn không? Ngay cả khi hàng xóm của bạn tưới hoa và cho mèo ăn, liệu cô ấy có đưa máy tính cho bạn không?
Nhưng hãy chuyển sang 1C trên đám mây - các tùy chọn để triển khai và vận hành trên đám mây là gì.
Các tùy chọn chung để làm việc với 1C trên đám mây là gì?
Tùy chọn 1. Máy khách + máy chủ ứng dụng doanh nghiệp + cơ sở dữ liệu
Phù hợp với các công ty lớn cần sự phục vụ của cả đội ngũ kế toán. Đây là một lựa chọn khá tốn kém (cần có nhiều giấy phép bổ sung), chúng tôi sẽ không xem xét nó, vì bài viết nói về việc bố trí công việc của một nhân viên kế toán cho một công ty nhỏ.
Lựa chọn 2. 1C: Tươi
1C: Fresh là một cách khá thuận tiện để làm việc trong 1C thông qua trình duyệt. Không cần cài đặt: khi thuê giấy phép như vậy, công ty nhận quyền sẽ tự thiết lập mọi thứ và bạn sẽ được cấp thông tin đăng nhập và mật khẩu.
Nhưng có hai nhược điểm:
✗ Giá cao: mức giá cơ bản cho một ứng dụng yêu cầu thanh toán một lần trong 6 tháng cho ít nhất hai công việc - 6808 RUR
✗ Bạn không thể tự thiết lập một máy chủ VPS, nơi có nhiều công ty hoạt động cùng một lúc. Bạn chỉ được cấp chìa khóa phòng ký túc xá của mình, dựa trên nguyên tắc lưu trữ chung.
Phiên bản mới cũng có cấu hình 1C: BusinessStart, một gói đăng ký có giá khuyến mãi là 400 rúp. mỗi tháng. Các tùy chọn cấu hình bị hạn chế đáng kể, nếu không có khuyến mãi, một thuê bao sẽ có giá 1000 rúp và bạn cũng cần phải trả phí trong ít nhất sáu tháng.
Tùy chọn 3: VPS của riêng bạn, trên đó máy khách và cơ sở dữ liệu 1C được cài đặt
Tùy chọn này phù hợp với các công ty nhỏ có 1-2 nhân viên kế toán - họ có thể làm việc khá thoải mái mà không cần cài đặt máy chủ ứng dụng 1C: Enterprise và máy chủ SQL.
Ưu điểm chính của phương pháp này là một VPS được thuê có thể hoạt động như một máy tính làm việc chính thức cho một kế toán viên có kết nối RDP.
Khi tất cả cơ sở dữ liệu, tài liệu và quyền truy cập được lưu trữ trên VPS dưới sự kiểm soát của bạn, bạn không phải lo lắng về việc máy tính xách tay bị khóa trong căn hộ của mình hay kế toán và quản trị hệ thống cùng nhau trốn ra đảo, lấy hết tài liệu và tiền bạc từ hiện tại. tài khoản. Bạn có thể vô hiệu hóa quyền truy cập bằng một nút bằng cách xóa người dùng.
Phương pháp này cũng tốt và đây là lý do:
- Khi một kế toán viên làm việc với sản phẩm 1C, 1C tạo ra rất nhiều tài liệu Word, Excel, Acrobat. Khi ứng dụng khách 1C được khởi chạy trên máy tính của kế toán, tất cả tài liệu sẽ được lưu trên máy tính xách tay của anh ta. Khi làm việc trên VPS, mọi thứ đều được lưu trên máy ảo.
- Cơ sở dữ liệu và tài liệu 1C hoàn toàn không đến được máy tính cá nhân của kế toán (nếu sử dụng 1C: Fresh, tài liệu sẽ phải được tải xuống).
- Khả năng kết nối VPS với mạng công ty thông qua VPN và cung cấp cho kế toán viên quyền truy cập an toàn vào tài nguyên nội bộ (nếu sử dụng 1C: Fresh, máy tính cá nhân của kế toán viên sẽ phải được kết nối với mạng LAN an toàn cho việc này).
- Bạn có thể thiết lập tích hợp an toàn 1C: Enterprise với các hệ thống bên ngoài: luồng tài liệu điện tử, tài khoản cá nhân của ngân hàng, dịch vụ chính phủ, v.v. Nếu bạn sử dụng 1C: Fresh, quyền truy cập vào nhiều dịch vụ quan trọng sẽ phải được cấu hình trên máy tính cá nhân của kế toán viên.
Và giá cả, tất nhiên. Thuê một máy ảo có giấy phép 1C sẽ có giá khoảng 1500 rúp. mỗi tháng, nếu bạn nhận mức phí hoàng gia từ các nhà cung cấp dịch vụ lưu trữ đắt tiền. Giá này không đắt hơn nhiều so với gói dịch vụ cơ bản tối thiểu 1C: Mới và rẻ hơn đáng kể so với các gói đăng ký khác. Bạn có thể trả tiền hàng tháng.
Giấy phép có thể được mua từ bất kỳ bên nhận quyền nào và giá cả tùy thuộc vào cấu hình của gói sản phẩm và dịch vụ và sau khi hết thời hạn, bạn sẽ phải trả thêm tiền để được hỗ trợ thông qua cổng 1C: ITS để cập nhật.
Nếu bạn lấy với chúng tôi, vì những mục đích như vậy, chúng tôi cung cấp một máy ảo có ứng dụng khách 1C: Enterprise được cài đặt sẵn (chỉ cần viết thư cho chúng tôi để hỗ trợ kèm theo mô tả về nhiệm vụ của bạn). Thuê một máy ảo có giá khoảng 800 rúp. mỗi tháng và chi phí thuê giấy phép 1C cho một nơi làm việc sẽ là 700 rúp khác. Chúng tôi cung cấp hỗ trợ mà không mất thêm phí, trong khi 1C: Enterprise được các chuyên gia của chúng tôi cập nhật nếu bạn viết để hỗ trợ kỹ thuật.
Đối với một nhân viên kế toán, mọi thứ sẽ trông giống hệt nhau - một màn hình nền quen thuộc, các biểu tượng, thậm chí bạn có thể treo hình nền quen thuộc. Và bây giờ đến phần cách tạo và định cấu hình một đám mây như vậy, quyền truy cập vào đám mây đó có thể bị vô hiệu hóa bằng một nút bấm.
Chúng tôi đặt mua VPS tích hợp 1C: Enterprise
Đối với một kế toán viên, hệ điều hành lý tưởng là Windows. Về sức mạnh của VPS - theo kinh nghiệm của chúng tôi, để một hoặc hai nhân viên làm việc thoải mái với phiên bản máy chủ tệp 1C: Một doanh nghiệp sẽ có đủ cấu hình với hai lõi tính toán, RAM ít nhất 4-5 GB và tốc độ 50 nhanh. SSD GB.
Chúng tôi không tự động hóa các dịch vụ cho đến khi chúng tôi chắc chắn chính xác những gì khách hàng cần, vì vậy kết nối của nó chưa được tự động hóa và bạn cần đặt mua máy chủ từ 1C thông qua hệ thống vé. Chúng tôi sẽ cấu hình mọi thứ cho bạn theo cách thủ công.
Khi bạn kết nối với máy ảo đã tạo thông qua RDP, bạn sẽ thấy giao diện như thế này.
Chuyển cơ sở dữ liệu 1C
Bước tiếp theo là tải cơ sở dữ liệu từ phiên bản 1C: Enterprise đã cài đặt trước đó trên máy tính kế toán.
Sau đó, bạn cần tải nó lên máy chủ ảo qua FTP, thông qua bất kỳ bộ lưu trữ đám mây nào hoặc bằng cách kết nối ổ đĩa cục bộ với VPS bằng ứng dụng khách RDP.
Tiếp theo, bạn cần thêm cơ sở thông tin vào chương trình máy khách: chúng tôi hướng dẫn cách thực hiện việc này trong ảnh chụp màn hình.
Sau khi thêm thành công cơ sở dữ liệu 1C: Enterprise, bạn đã sẵn sàng làm việc trên VPS của riêng mình. Tất cả những gì còn lại là thiết lập máy tính để bàn từ xa cho người dùng và tích hợp với nhiều hệ thống bên ngoài khác nhau như tài khoản ngân hàng cá nhân hoặc dịch vụ quản lý tài liệu điện tử.
Thiết lập máy tính để bàn từ xa
Theo mặc định, Windows Server cho phép tối đa hai phiên RDP đồng thời để quản trị hệ thống. Việc sử dụng chúng cho công việc không khó về mặt kỹ thuật (chỉ cần thêm người dùng không có đặc quyền vào nhóm thích hợp là đủ), nhưng điều này vi phạm các điều khoản của thỏa thuận cấp phép.
Để triển khai đầy đủ Dịch vụ máy tính từ xa (RDS), bạn cần thêm các vai trò và tính năng của máy chủ, kích hoạt máy chủ cấp phép hoặc sử dụng máy chủ bên ngoài và cài đặt giấy phép truy cập máy khách được mua riêng (RDS CAL).
Chúng tôi cũng có thể trợ giúp ở đây: bạn có thể mua RDS CAL từ chúng tôi chỉ bằng cách viết thư . Chúng tôi sẽ tiến hành thêm: cài đặt chúng trên máy chủ cấp phép của chúng tôi và định cấu hình Dịch vụ máy tính từ xa.
Nhưng tất nhiên, nếu bạn muốn tự mình sắp xếp mọi thứ, chúng tôi sẽ không phá hỏng niềm vui của bạn.
Sau khi thiết lập RDS, kế toán viên có thể bắt đầu làm việc với 1C: Enterprise trên máy chủ ảo như trên máy cục bộ. Đừng quên cài đặt phần mềm kế toán tiêu chuẩn trên VPS: bộ ứng dụng văn phòng, trình duyệt của bên thứ ba, Acrobat Reader.
Bây giờ tất cả những gì còn lại là đảm nhiệm việc kết nối khách hàng 1C với tài khoản cá nhân của ngân hàng.
Thiết lập tích hợp với ngân hàng
1C: Doanh nghiệp có công nghệ DirectBank trao đổi dữ liệu trực tiếp với ngân hàng, không cần cài đặt thêm phần mềm. Nó cho phép bạn tải xuống bảng sao kê và gửi chứng từ thanh toán mà không cần tải chúng lên tệp, nếu ngân hàng hỗ trợ tiêu chuẩn tương tác như vậy (nếu không, bạn sẽ phải thực hiện với tệp văn bản ở định dạng 1C theo cách cũ, nhưng không sao - bây giờ chúng được lưu trên máy ảo).
Để bắt đầu, một tài khoản hiện tại được tạo trong chương trình kế toán (nếu nó chưa được tạo), sau đó bạn cần mở biểu mẫu của tài khoản đó trong thẻ của tổ chức và chọn lệnh “Kết nối 1C: DirectBank”. Cài đặt trao đổi có thể được tải vào 1C: Enterprise tự động hoặc thủ công: để biết hướng dẫn chi tiết, bạn nên tham khảo trang web của ngân hàng. Trong một số trường hợp, việc tích hợp với các sản phẩm 1C phải được kích hoạt riêng trong tài khoản cá nhân của bạn.
Để thiết lập, bạn có thể cần thông tin đăng nhập và mật khẩu tài khoản cá nhân của công ty tại ngân hàng. Phương pháp phổ biến nhất được sử dụng là xác thực hai yếu tố (2FA) qua SMS.
Một tùy chọn phổ biến khác, mã thông báo phần cứng an toàn, không phù hợp với chúng tôi do sử dụng máy chủ ảo. Ngoài ra, các phương tiện được bảo vệ sẽ phải được đưa ra khỏi cơ sở của công ty và giao cho một kế toán làm việc từ xa, mất quyền kiểm soát nó.
Tùy chọn đăng nhập/mật khẩu và 2FA qua SMS cũng có thể không an toàn, mặc dù công nghệ DirectBank chỉ cho phép bạn nhận sao kê và gửi chứng từ thanh toán. Để thực hiện thanh toán, họ sẽ phải được chứng nhận bằng chữ ký số điện tử, được lưu trữ trên phương tiện vật lý an toàn của khách hàng hoặc phía ngân hàng. Trong trường hợp đầu tiên, không có vấn đề gì: nếu kế toán bên ngoài không có quyền truy cập vào mã thông báo, anh ta sẽ chỉ có thể tạo tài liệu.
Trong trường hợp chữ ký số trên đám mây, một SMS có mã một lần để xác nhận thanh toán thường được gửi đến cùng số điện thoại được sử dụng để xác thực trong tài khoản cá nhân của bạn. Bản thân một số ngân hàng đã giải quyết vấn đề này bằng cách cho phép khách hàng trao đổi dữ liệu thông qua DirectBank mà không cần 2FA. Trong trường hợp này, kế toán sẽ chỉ có thể tải xuống báo cáo và gửi tài liệu, nhưng anh ta sẽ không nhận được quyền truy cập vào tiền hoặc thậm chí vào tài khoản cá nhân của mình.
Có một tùy chọn khác để phân tách các cấp độ truy cập: nhiều ngân hàng cho phép bạn sử dụng tài khoản trên Dịch vụ Nhà nước thông qua hệ thống nhận dạng và xác thực thống nhất (). Người quản lý chỉ cần đi tới cài đặt tài khoản của mình, chọn tab “Tổ chức” và mời nhân viên. Khi anh ấy chấp nhận lời mời, trong phần “Truy cập vào hệ thống”, bạn có thể tìm thấy ngân hàng của mình (sau khi thiết lập tích hợp với ngân hàng đó) và cấp cho người dùng quyền truy cập vào tài khoản cá nhân của bạn. Trong trường hợp này, không cần phải chuyển cho anh ta số điện thoại hoặc mã thông báo dùng để ký chứng từ thanh toán.
Kết nối với các dịch vụ EDF
Các dịch vụ trao đổi tài liệu điện tử rất thuận tiện và công việc từ xa phổ biến đã khiến chúng trở nên cần thiết. Khách hàng 1C: Doanh nghiệp tích hợp với họ, nhưng EDI có ý nghĩa pháp lý yêu cầu sử dụng chữ ký điện tử đủ tiêu chuẩn.
Nó chỉ có thể được ghi trên ổ đĩa flash hoặc được lưu trữ trong dịch vụ đám mây có chứng chỉ phù hợp từ các cơ quan quản lý trong nước.
Không thể tải chữ ký điện tử lên bất kỳ phương tiện nào hoặc lưu trữ nó trên VPS, vì vậy, kế toán thường làm việc với việc quản lý tài liệu điện tử từ máy tính cục bộ bằng cách lắp ổ đĩa flash. Một công cụ bảo vệ thông tin mật mã được chứng nhận (còn gọi là nhà cung cấp mật mã) và chứng chỉ chữ ký điện tử công cộng được cài đặt trên đó. Phần đóng của nó được lưu trữ trên một ổ đĩa flash, ổ đĩa này phải được kết nối vật lý với máy tính để ký các tài liệu trong các chương trình hỗ trợ chức năng này. Để làm việc với EDI qua giao diện web, bạn sẽ cần các plugin của trình duyệt.
Để hệ thống quan trọng trong kinh doanh không cần phải triển khai trên máy tính cá nhân của chuyên gia làm việc từ xa, VPS cũng rất hữu ích, tuy nhiên, tùy chọn có mã thông báo vật lý sẽ không hoạt động ở đây.
Thật khó để nói nhà cung cấp tiền điện tử sẽ hoạt động như thế nào trong môi trường ảo, đặc biệt là khi cố gắng chuyển tiếp cổng USB sang VPS thông qua máy khách RDP. Những gì còn lại là chữ ký số trên đám mây không có phương tiện vật lý, nhưng không phải tất cả các dịch vụ lưu chuyển tài liệu điện tử đều cung cấp dịch vụ như vậy. Nhân tiện, nó có giá khoảng một nghìn rúp một năm, chưa tính phí đăng ký cho chính dịch vụ trao đổi tài liệu, điều này phụ thuộc vào khối lượng.
Tin vui là hầu hết tất cả các dịch vụ phổ biến của Nga từ lâu đã thiết lập tính năng chuyển vùng tài liệu lẫn nhau, vì vậy bạn có thể kết nối với bất kỳ ai. Ngoài ra còn có một tin xấu: sẽ không thể loại bỏ hoàn toàn giấy tờ, vì trong số các đối tác chắc chắn sẽ có những đối tác không sử dụng EDI.
Thiết lập quyền truy cập vào dịch vụ bằng chứng chỉ
Nhiều dịch vụ cho phép xác thực và ủy quyền mà không cần đăng nhập và mật khẩu bằng chứng chỉ ứng dụng khách SSL, chứng chỉ này cũng có thể được cài đặt trên VPS chứ không phải trên máy tính của kế toán.
Bạn có thể thiết lập xác thực trên tài nguyên web của công ty theo cách tương tự. Làm thế nào để làm nó:
- Mua Cơ quan cấp chứng chỉ đáng tin cậy để sử dụng nó để ký và xác minh chứng chỉ SSL của khách hàng;
- Tạo chứng chỉ SSL ứng dụng khách được ký bằng chứng chỉ đáng tin cậy;
- Định cấu hình máy chủ web để yêu cầu và xác minh chứng chỉ SSL của máy khách;
- Cài đặt chứng chỉ ứng dụng khách cho người dùng máy tính từ xa trên VPS.
Chủ đề triển khai 1C: Doanh nghiệp dành cho doanh nghiệp nhỏ trên máy chủ ảo rất rộng, chúng tôi chỉ mô tả một phương pháp phù hợp để đảm bảo an ninh kế toán.
VPS đôi khi có thể hoạt động tốt và tránh cài đặt các giải pháp CNTT quan trọng cũng như truyền dữ liệu riêng tư của công ty sang máy tính cá nhân của chuyên gia từ xa.
Chúng tôi hy vọng rằng bài viết này hữu ích cho bạn.
Nguồn: www.habr.com