现在公司如何保存记录? 通常这是安装在会计师本地计算机上的 1C 软件包,由全职会计师或外包专家在其中工作。 外包商可以同时管理多个此类客户公司,有时甚至是竞争的公司。
通过这种方法,对往来账户、加密保护工具、电子文档管理和其他重要服务的访问都可以直接在会计师的计算机上配置。
这是什么意思? 一切都掌握在会计师手中,如果他决定陷害企业主,那么他会这样做一两次。
电影《摇滚乐》(2008)
在这篇文章中,我们将告诉您如何将包括1C在内的所有服务安全地锁定在一个云中,这样您就可以一键禁用所有服务,即使会计师飞到了神话般的巴厘岛。
可能发生什么? 两个真实案例
华尔街系统管理员
我们联合创始人的妻子是一位经验丰富的会计师,上个月莫斯科的一家大型连锁餐厅向她寻求帮助。 该餐厅将所有数据库保存在其服务器上,由餐厅团队的常任系统管理员管理。
就在会计师工作的时候,系统管理员去了一家在线赌场,感染了一种病毒,摧毁了整个数据库。 他们把一切归咎于谁? 没错,就是刚刚来的会计。
女主角很幸运,她的丈夫是主持的管理合伙人,了解这些事情。 经过电话里的一番争论(我们的同事已经准备好自己出去清理管理员的脸了),证据找到了,罪魁祸首受到了惩罚。 但数据库丢失了,也就是说,系统管理员没有美好的结局。
笔记本电脑卡在别人的公寓里
这是我们认识的其他人的一个古老故事。
一位经验丰富的 64 岁女性定期使用 1C 保存一家中国电子产品在线商店的会计记录。 客户端和数据库存储在她工作时收到的一台笔记本电脑上。 它很方便:可以轻松地从办公室打印机进行打印,底座很小,适合上网本,您可以带着它去乡下或家里。
然后悲剧发生了:周五晚上,她因中风被救护车带走。 上网本留在家里,因为会计负责,周末还要上班。
当然,笔记本电脑被救了,会计师也被救了,但如果我们把这种情况转移到今天,用冠状病毒代替中风,那么从封闭的公寓中救出电脑的行动就呈现出完全不同的比例。
两只猫和一只拉布拉多可以帮你开门吗? 即使你的邻居给你浇花、喂猫,她会给你电脑吗?
但让我们继续讨论云中的 1C - 在云中部署和操作有哪些选项。
在云中使用 1C 的一般选项有哪些?
方案一、客户端+企业应用服务器+数据库
适合需要整个会计师团队服务的大型公司。 这是一个相当昂贵的选择(需要许多额外的许可证),我们不会考虑它,因为本文是关于为一家小公司设置会计师的工作。
选项 2. 1C:新鲜
1C:Fresh 是通过浏览器在 1C 中工作的一种相当方便的方式。 无需设置:租用此类许可证时,特许经营公司将自行设置一切,并且您将获得登录名和密码。
但有两个缺点:
✗ 价格高:一项申请的基本资费需要为至少两项工作一次性支付 6 个月的费用 - 6808 RUR
✗ 您无法自行设置 VPS 服务器,因为许多公司同时在其上运行。 根据共享托管的原则,您只会获得宿舍房间的钥匙。
新鲜的还有 1C:BusinessStart 配置,订阅费用为 400 卢布作为促销。 每月。 配置选项非常有限;如果没有促销,订阅费用为 1000 卢布,而且您还需要支付至少六个月的费用。
选项3:您自己的VPS,上面安装了1C客户端和数据库
此选项适合拥有 1-2 名会计师的小型公司 - 他们无需安装 1C:企业应用程序服务器和 SQL 服务器即可相当舒适地工作。
这种方法的主要优点在于,租用的 VPS 可以充当具有 RDP 连接的会计师的成熟工作计算机。
当所有数据库、文档和访问权限都存储在您控制下的 VPS 上时,您不必担心笔记本电脑被锁在公寓里,也不必担心会计师和系统管理员一起逃到岛上,拿走当前的所有文档和资金。帐户。 您可以通过删除用户一键禁用访问。
这个方法也不错,原因如下:
- 当会计师在1C产品中工作时,1C会生成大量的Word、Excel、Acrobat文档。 当会计师的计算机上启动 1C 客户端时,所有文档都保存在他的笔记本电脑上。 在 VPS 上工作时,所有内容都保存在虚拟机上。
- 1C 数据库和文档根本不会到达会计师的个人计算机(如果使用 1C:Fresh,则必须下载文档)。
- 能够通过 VPN 将 VPS 连接到公司网络,并为会计师提供对内部资源的安全访问(如果使用 1C:Fresh,则会计师的个人计算机必须连接到安全 LAN)。
- 您可以设置1C:企业与外部系统的安全集成:电子文档流、银行个人账户、政府服务等。 如果您使用 1C: Fresh,则必须在会计师的个人计算机上配置对许多关键服务的访问。
当然还有价格。 租用具有 1C 许可证的虚拟机大约需要 1500 卢布。 每月,如果您从昂贵的托管提供商那里获得皇家费率。 这并不比最低基本服务套餐 1C 贵多少:新鲜,并且比其他订阅便宜得多。 您可以按月付款。
许可证可以从任何加盟商处购买,价格取决于产品和服务包的配置,期限到期后,您将需要通过 1C:ITS 门户支付额外的支持费用以获取更新。
如果你采取 为此,我们提供预装 1C 的虚拟机:企业客户端(只需写信给我们以支持您的任务描述)。 租用虚拟机的费用约为 800 卢布。 每月,租用一个工作场所的1C许可证的费用将另外700卢布。 我们免费提供支持,而 1C:企业将由我们的专家更新,如果您写下 到技术支持。
对于会计师来说,一切看起来都一模一样——熟悉的桌面、图标,甚至可以挂熟悉的壁纸。 现在重点是如何创建和配置这样的云,并且可以通过一个按钮禁用对其的访问。
我们订购了内置1C的VPS:Enterprise
对于会计师来说,理想的操作系统是 Windows。 关于 VPS 的功能 - 根据我们的经验,为了让一到两名员工在文件服务器版本 1C 下舒适地工作:企业将拥有足够的配置,包括两个计算核心、至少 4-5 GB 的 RAM 和快速的 50 GB 固态硬盘。
在我们确切地确定客户需要什么之前,我们不会自动化服务,因此它的连接尚未自动化,您需要通过票务系统从 1C 订购服务器。 我们将手动为您配置一切。
当您通过 RDP 连接到创建的虚拟机时,您将看到类似这样的内容。
传输1C数据库
下一步是从之前安装在会计计算机上的 1C: Enterprise 版本下载数据库。
然后,您需要通过 FTP、任何云存储或使用 RDP 客户端将本地驱动器连接到 VPS 将其上传到虚拟服务器。
接下来,您需要在客户端程序中添加信息库:我们在屏幕截图中展示了如何执行此操作。
成功添加 1C:企业数据库后,您就可以在自己的 VPS 上工作了。 剩下的就是为用户设置远程桌面以及与各种外部系统(例如个人银行帐户或电子文档管理服务)集成。
设置远程桌面
默认情况下,Windows Server 允许最多两个同时 RDP 会话进行系统管理。 使用它们进行工作在技术上并不困难(将非特权用户添加到适当的组就足够了),但这违反了许可协议的条款。
要部署完整的远程桌面服务 (RDS),您需要添加服务器角色和功能、激活许可服务器或使用外部服务器,并安装单独购买的客户端访问许可证 (RDS CAL)。
我们也可以在这里提供帮助:您只需写信即可从我们这里购买 RDS CAL 。 我们将进一步进行:将它们安装在我们的许可服务器上并配置远程桌面服务。
当然,如果您想自己设置,我们也不会破坏您的乐趣。
设置 RDS 后,会计师可以像在本地计算机上一样开始在虚拟服务器上使用 1C: Enterprise。 不要忘记在 VPS 上安装标准会计软件:办公套件、第三方浏览器、Acrobat Reader。
现在剩下的就是将 1C 客户端连接到银行个人账户。
与银行建立整合
1C:企业拥有DirectBank技术,可以与银行直接交换数据,无需安装额外的软件。 如果银行支持这样的交互标准,它允许您下载报表并发送付款文档,而无需将其上传到文件(否则您将不得不以老式方式处理 1C 格式的文本文件,但没关系 - 现在它们保存在虚拟机上)。
首先,在会计程序中创建一个当前帐户(如果尚未创建),然后您需要在组织的卡中打开其表单并选择“Connect 1C:DirectBank”命令。 兑换设置可以自动或手动加载到1C:Enterprise:有关详细说明,您应该参阅银行的网站。 在某些情况下,必须在您的个人帐户中单独启用与 1C 产品的集成。
要进行设置,您可能需要公司在银行的个人帐户的登录名和密码。 最常用的方法是通过短信进行双因素身份验证 (2FA)。
另一种流行的选择是安全硬件令牌,由于使用虚拟服务器,因此不适合我们。 此外,受保护的媒体必须被带出公司场所并移交给远程工作的会计师,从而失去对其的控制。
尽管 DirectBank 技术仅允许您接收对账单和发送付款文件,但通过短信提供登录名/密码和 2FA 的选项也可能不安全。 为了进行付款,他们必须通过电子数字签名进行认证,该签名存储在客户或银行一侧的安全物理介质上。 在第一种情况下,没有问题:如果外部会计师无权访问令牌,他将只能生成文档。
对于云数字签名,带有一次性代码的短信确认付款通常会发送到您个人帐户中用于身份验证的同一电话号码。 一些银行本身已经解决了这个问题,允许客户通过 DirectBank 交换数据而无需 2FA。 在这种情况下,会计师只能下载报表和发送文件,但他将无法获得资金,甚至无法访问他的个人账户。
还有另一种分离访问级别的选项:许多银行允许您通过统一的身份识别和身份验证系统使用国家服务帐户()。 经理只需转到他的帐户设置,选择“组织”选项卡并邀请员工即可。 当他接受邀请时,在“访问系统”部分中,您可以找到您的银行(在与其建立集成后)并授予用户访问您的个人帐户的权限。 在这种情况下,无需将用于签署付款文件的电话号码或令牌转移给他。
连接到 EDF 服务
电子文档交换服务非常方便,普遍的远程工作使其成为必需。 客户端 1C:企业与其集成,但具有法律意义的 EDI 需要使用合格的电子签名。
它只能记录在闪存驱动器上或存储在具有国内监管机构相应证书的云服务中。
无法将电子签名上传到任何介质或将其存储在 VPS 上,因此会计师通常通过插入闪存驱动器从本地计算机进行电子文档管理。 其上安装有经过认证的密码信息保护工具(所谓的cryptoprovider)和公共电子签名证书。 其封闭部分存储在闪存驱动器上,该驱动器必须物理连接到计算机才能在支持此功能的程序中签署文档。 要通过 Web 界面使用 EDI,您将需要浏览器插件。
因此,关键业务系统不必部署在远程工作的专家的个人计算机上,VPS 也很有用,但是,带有物理令牌的选项在这里不起作用。
很难说加密货币提供商在虚拟环境中的行为如何,尤其是在尝试通过 RDP 客户端将 USB 端口转发到 VPS 时。 剩下的是没有物理介质的云数字签名,但并非所有电子文档流服务都提供此类服务。 顺便说一下,每年的费用约为一千卢布,这还不包括文件交换服务本身的订阅费,这取决于数量。
好消息是,几乎所有流行的俄罗斯服务早已建立了文档相互漫游,因此您可以连接到任何人。 还有一个坏消息:完全摆脱纸张是不可能的,因为交易对手中肯定会有不使用 EDI 的人。
使用证书设置对服务的访问
许多服务允许使用 SSL 客户端证书进行身份验证和授权,无需登录名和密码,这些证书也可以安装在 VPS 上,而不是安装在会计师的计算机上。
您可以以相同的方式在企业 Web 资源上设置身份验证。 怎么做:
- 购买受信任的证书颁发机构,用它来签署和验证客户端 SSL 证书;
- 创建使用可信证书签名的客户端 SSL 证书;
- 配置 Web 服务器以请求和验证客户端 SSL 证书;
- 在 VPS 上为远程桌面用户安装客户端证书。
在虚拟服务器上部署1C:小型企业的主题很广泛,我们只描述了一种适合确保会计安全的方法。
VPS 有时可以提供良好的服务,避免安装关键的 IT 解决方案以及将私人公司数据远程传输到专家的个人计算机。
我们希望这篇文章对您有用。
来源: habr.com