В биллинге произведены все меры, требуемые от Carbon Soft как производителя ПО, по обеспечению безопасности ИС.
Платформа Carbon PL5, а так же поставляемые на её основе продукты Billing, XGE
1. Доступ к веб-интерфейсу возможен только после авторизациии через микрочрут, и создания правила DNAT, поэтому неавторизованный человек не может даже пытаться пробить защиту так как у него нет доступа к веб-интерфейсу на уровне файрвола
2. Кабинет пользователя так же находится в chroot-окружении, и привязан к биллингу через API, доступ к которому так же ограничен. Абонент может получить только информацию о себе и не имеет доступа к БД
Повышение безопасности
Платформа PL5, а так же поставляемые на основе её продукты представляют собой продуманную защищенную информационную систему, изначально поставляемую с упором на безопасность доступа к данным. Тем не менее, для удобства пользователя системы существуют определенные возможность настройки, при редактировании которых рекомендуется следовать следующим правилам:
- не давать доступ к серверу биллинга из внешней сети, а только доверенным ip-адресам администраторов и техподдержки.
- выделить в отдельную сеть и отдельный VLAN сегмент сеть операторов биллинга, чтобы сеть не имела прямой связи с сетью абонентов.
- сменить порт ssh на сервере биллинга и установить хороший пароль всем администраторам биллинга, при необходимости ограничить доступ к справочникам в биллинге.
2016-02-25 Hotfix <hotfix@carbonsoft.ru> * Change python-tools c366d75: SSH порт вынесли в конфиг * Change python-tools 8d5af6f: Конфиг добавлен в исключение В доке нет. В конфигах тоже не нахжу ни чего похожего. [root@devel185 ~]# grep ssh /app/*/cfg/config /app/asr_cabinet/cfg/config:declare -A ssh /app/asr_cabinet/cfg/config:ssh['widget']='menu "Настройки SSH сервера"' /app/asr_cabinet/cfg/config:ssh['clients.ip']='' /app/asr_cabinet/cfg/config:ssh['clients.name']='Настройка доступа' /app/asr_cabinet/cfg/config:ssh['clients.ip.widget']='inputbox "IP-адреса разрешенных компьютеров" "Укажите IP-адреса компьютеров которым разрешен доступ к SSH через пробел"' [root@devel185 ~]# grep 22 /app/*/cfg/config /app/xge/cfg/config:dhcrelay['dhcp_server_ip']='192.168.122.1'
- настроить firewall на сервере биллинга и на маршрутизаторах, по схеме все, что явно не разрешено, то запрещено.
- ограничить физический доступ к серверу.
- прописать регламент безопасности и уровни доступа к информации, к серверу по сети, и к физическому серверу.
- прописать доп.соглашения к трудовым договорам о коммерческой тайне и тайне ИСПДН.
1. Разделение прав доступа в биллинге по ролям
http://docs.carbonsoft.ru/pages/viewpage.action?pageId=48693373
2. Доступ в биллинг с адресов/изменение портов
http://docs.carbonsoft.ru/pages/viewpage.action?pageId=48693373