• Торговый каталог. Настройка отображения товаров с SKU для каждого раздела каталога Управление свойствами товаров

    12.03.2018
    07.08.2018

    Уже достаточно давно, еще с 14-й версии модуля "Информационные блоки" в 1С-Битрикс появилась возможность задавать шаблоны автоматической генерации мета-данных. Но не все до сих пор умеют пользоваться данным инструментом. В данном посте собраны основные моменты по созданию шаблонов мета-данных.

    Механизм автоматических шаблонов мета-данных позволяет задать description, title,keywords для элементов и разделов, а также для элементов доступны шаблоны для установки alt, title и шаблона имени файла детального и анонсового изображений.

    В шаблоне может быть несколько вариантов данных.

    Во-первых, это, конечно-же, может быть любой произвольный текст. Этот текст будет выведен автоматически у заданного объекта (и всех потомков, если это раздел, так что не забывайте у потомков написать свой уникальный текст).

    В системе создан набор специальных конструкций, прописанных в фигурных скобках и работающих по принципу отложенных функций. Указывается такая конструкция достаточно просто, например, чтобы вывести название текущего объекта, нужно задать конструкцию вида:

    {=this.Name}

    Вот список зарезервированных слов:

    • this - означает текущий объект;
    • parent - родительский объект. Пример: {=parent.PreviewText} - анонсовый текст родительского раздела;
    • sections - родительские секции начиная с верхнего уровня. пример: {=this.sections.name} - названия родительских разделов;
    • iblock - инфоблок текущего объекта. Пример: {=iblock.PreviewText} - описание инфоблока;
    • property - свойство текущего объекта. Пример: {=this.property.CML_ARTICLE} - выведет значение свойства с артикулом. Для того чтобы у элемента показать пользовательское свойство, заданное для раздела, можно воспользоваться шаблоном: {=this.parent.property.name} - выдаст значение свойства UF_NAME;
    • Для редакций, имеющих модуль Торговый каталог, можно также получить свойство торгового предложения: {=this.catalog.sku.property.COLOR} - выдаст значение свойства "Цвет" торгового предложения. Чтобы получить значения данного свойства у торговых предложений, но без повторяющихся значений, можно воспользоваться функцией: {=distinct this.catalog.sku.property.COLOR};
    • Чтобы получить цены торговых предложений, необходимо указать тип цены, которая должна быть выведена:{=this.catalog.sku.price.BASE;} - выдаст все цены, либо так: {=min this.catalog.sku.price.BASE} можно получить минимальную цену;
    • Для получения габаритов товара, необходимо обратиться к соответствующим данным: {=this.catalog.weight} - вес товара, {=this.catalog.measure} - единица измерения, {=concat catalog.store ", "} - склады, перечисленные через запятую

    Набор готовых конструкций достаточно большой и решает большую часть задач описания мета-данных. Дополнением к данным конструкциям служат предопределенные функции:

    • lower - приведет значение к нижнему регистру. Пример: {=lower this.Name};
    • upper - приведет значение к верхнему регистру. Пример: {=upper this.Name};
    • limit - ограничить элементы по разделителю. Пример: {=limit {=this.PreviewText} "." 2} - оставит текст до 2 точки, начиная с начала;
    • concat - задаётся разделитель и несколько строк объединяются через разделитель. Пример: {=concat this.sections.name " / "} - все названия родительских разделов будут соединены с помощью слэша;
    • min - находит минимальный элемент. Пример: {=min this.catalog.sku.price.BASE};
    • max - находит максимальный элемент. Пример: {=max this.catalog.sku.price.BASE};
    • distinct - оставит только значения без повторения(уникальные).;
    • translit - транслитерация значения. Пример: {=translit this.Name};

    Конечно же список функций можно расширять до бесконечности. Для этого, нужно воспользоваться обработчиком события OnTemplateGetFunctionClass модуля "Информационные блоки".

    В качестве примера рассмотрим создание функции, выводящей значение свойства только тогда, когда свойство заполнено. В init.php создаем обработчик события:

    If (\Bitrix\Main\Loader::includeModule("iblock")) { \Bitrix\Main\EventManager::getInstance()->addEventHandler("iblock", "OnTemplateGetFunctionClass", "seoTemplatesHandler"); function seoTemplatesHandler(Bitrix\Main\Event $event) { $arParam = $event->getParameters(); $functionClass = $arParam; if(is_string($functionClass) && class_exists($functionClass)){ switch ($functionClass){ case "iffilled": // вывод свойства только если оно заполнено $result = new Bitrix\Main\EventResult(1,$functionClass); break; case "take_first": // вывод первого из заполненных значений $result = new Bitrix\Main\EventResult(1,$functionClass); } } return $result; } //подключаем файл с определением класса FunctionBase //это пока требуется т.к. класс не описан в правилах автозагрузки include_once($_SERVER["DOCUMENT_ROOT"] . "/bitrix/modules/iblock/lib/template/functions/fabric.php"); class iffilled extends \Bitrix\Iblock\Template\Functions\FunctionBase { public function onPrepareParameters(\Bitrix\Iblock\Template\Entity\Base $entity, $parameters) { $arguments = array(); /** @var \Bitrix\Iblock\Template\NodeBase $parameter */ foreach ($parameters as $parameter) { $arguments = $parameter->process($entity); } return $arguments; } public function calculate(array $parameters) { if(isset($parameters) && $parameters && isset($parameters)) { return sprintf($parameters,$parameters); } return ""; } } class take_first extends \Bitrix\Iblock\Template\Functions\FunctionBase { public function calculate($parameters) { $arParams = $this->parametersToArray($parameters); return $arParams; } } }

    Чтобы воспользоваться данным шаблоном, нужно прописать данный шаблон в виде:

    {=iffilled this.property.CML_ARTICLE "Артикул: %s"} - {=this.Name}

    Купить {=take_first this.property.HEADER this.Name}. Цена {=this.catalog.price.BASE} в интернет-магазине...

    В результате, если в свойстве HEADER контент-менеджер ввел какое-то значение - будет выведено оно, если же нет - будет выведено название товара.

    Приветствую, Друзья!

    В этом видеоуроке мы разберемся как сделать в Битриксе 14.0 отображение стандартных свойств типа Справочник для торговых предложений (SKU) на карточке товара и в списках не в виде картинок, а в виде текста .

    Проблема появилась после выхода обновления модуля Информационные блоки до версии 14.0.7. До выхода этого обновления все показывалось автоматически – есть картинки у элементов свойства, то показывались картинки (как у Свойства «Цвет»), нет картинок – показывалось название элемента (как у свойства «Встроенная память»).

    01 марта 2014

    Приветствую, Друзья!

    В этом видеоуроке мы рассмотрим новую возможность, которая появилась только в Битриксе 14 версии – это генератор торговых предложений (SKU).

    Что такое торговые предложения я напоминать не буду, кто не знает, тот может посмотреть . И тот, кто торговые предложения для своих товаров делал, тот знает какое это долгое и муторное дело . Причем у всех торговых предложений надо заполнять много совершенно одинаковых полей – вес, размеры, часто цена и т.д. А иногда еще и картинки для всех торговых предложений используются одни и те же, если SKU отличаются только по внутренним характеристикам, и никак на внешний вид товара не влияют.

    Что же нам предлагает 1С-Битрикс? Он предлагает нам полуавтоматический генератор. Все общие поля для всех предложений мы заносим один раз. Все общие картинки – один раз. Мы только выбираем какие комбинации свойств товара надо сгенерировать и за 2-3 (реально) минуты можем генерировать по 10-100 и более торговых предложений . Останется только в одной таблице еще за минуту подкорректировать цены, если это надо, и все готово. Процесс ускоряется в разы, а иногда и на порядки!

    23 января 2013


    Сегодня мы поговорим о том как делать торговые предложения в магазине на Битриксе .

    Видеоурок вышел не в своей очередности, так как этот вопрос необходимо осветить для тех людей, которые действительно сами занимаются созданием своих интернет-магазинов и у них возникают проблемы с отображением своих свойств у торговых предложений, а решение не лежит на поверхности.

    Итак, что такое торговые предложения (или SKU)? Это варианты какого-то товара, которые не изменяют его сущностных характеристик, для этого не надо делать дополнительные фотографии и менять описание товара. Например, вы продаете мобильные телефоны, и тогда цвет телефона одной и той же модели будет торговым предложением. Или величина встроенной флеш памяти (16, 32 или 64 Гб) – ее даже не видно, как телефон не крути. А телефон один, и делать отдельный товар, который различается только ценой смысла нет, проще показывать карточку одного товара, а для покупки давать выбор какого цвета или с какой памятью человек хочет купить.

    В решениях Аспро: Next 1.1.0, Аспро: Оптимус 1.1.11, Аспро: Маркет 1.3.11 и Аспро: Шины и диски 2.0 тип SKU (списком или с переключателем) можно задать индивидуально для каждого раздела каталога.

    3-минутная видеоинструкция по настройке:

    По умолчанию настройка раздела передается всем подразделам, которые в нем содержатся. Например, при выборе 1 типа SKU для раздела «Одежда» настройка продублируется в подразделы «Женская одежда» и «Мужская одежда». Чтобы изменить тип SKU в любом из подразделов, нужно выполнить настройку отдельно для него. Давайте рассмотрим на примере.

    Установим тип SKU №1 (с переключателем) для раздела «Одежда», а для подраздела «Мужская одежда» отдельно установим тип SKU №2 (в виде списка). В результате в подразделах раздела «Одежда» по умолчанию будет выбран 1 тип SKU:

    • в подразделе «Женская одежда»
      • в подразделе «Детская одежда для девочек»

      А в подразделе «Мужская одежда» будет выбран второй тип SKU, т.к. для него мы установили настройку отдельно:


      Индивидуальный тип SKU можно настроить как в публичной, так и в административной части сайта.

      Для настройки из публички откройте нужный раздел и переключитесь в режим правки.



      Наведите указатель на список товаров. На появившемся меню сверху нажмите «Изменить раздел».


      Откроется редактор карточки. Перейдите на вкладку «Доп. поля». Выберите в одноименном перечне требуемый тип SKU и сохраните изменения.

      Для настройки из админки в Аспро: Next перейдите в Рабочий стол → Контент → Каталог (aspro.next) → Каталог товаров. Откройте карточку нужного раздела. Рассмотрим на примере подраздела «Мужская одежда». Нажимаем на кнопку «Гамбургер» на соответствующей строке и в меню выбираем «Изменить».


      В Аспро: Оптимус и Аспро: Маркет перейдите в Рабочий стол → Контент → Каталог → Каталог товаров и откройте карточку раздела – нажмите кнопку «Гамбургер» на соответствующей строке и выберите «Изменить».


      После этого откроется такое же окно для редактирования, как и при настройке через публичную часть. Выберете нужный тип SKU и сохраните изменения.

    На платформе «1С-Битрикс: Управление сайтом» работают более 20 000 интернет-магазинов

    Купить у партнера

    Возможности платформы для интернет-магазинов

    Удобное управление каталогом товаров, ценами, продажами экономит время.

    Поддержка разных единиц измерения позволяет продавать товары в килограммах, литрах, метрах и т.д.

    Поддержка торговых предложений SKU позволяет легко добавить в каталог разные размеры и цвета товара.

    Продажа наборов и комплектов товаров увеличивает средний чек

    Импорт данных, генератор SKU экономят время при создании каталога.

    Встроенные платежные системы позволяют принимать оплату через банковские карты, платежные системы, личный кабинет, наличными.

    Поддержка служб доставки позволяет автоматически раcсчитать стоимость доставки через: «Почта России», UPS, DHL, «Нова пошта», «Казпочта», СПРС экспресс, курьерская доставка, самовывоз.

    Система управления скидками и маркетинговыми предложениями (подарки за количество, на определенную сумму, скидки или наценки на доставку, скидки при оплате картой и другие).

    Складской учет (учет поставщиков, складов и документов, учет прихода товара с штрихкодами, возврат, резервирование и автоматическое снятие резерва, списание бракованного товара и многое другое).

    Отчет о доходности поможет быстро узнать, какой доход вам приносит конкретный покупатель или товар.

    Мобильное приложение (для iOS и Android) для интернет-магазина.

    Мобильное приложение для администрирования интернет-магазина.

    Облачный сервис мониторинга проверяет: доступность сайта, срок действия домена, срок SSL-сертификата, срок активности лицензионного ключа «1С-Битрикс».

    Интеграция с «1С:Предприятие»

    Интеграция «1С-Битрикс: Управление сайтом» с торговыми конфигурациями «1С:Предприятие» помогает вам решить следующие технологические задачи:

    Публикация товарной номенклатуры в каталоге интернет-магазина.
    Передача заказов на сайте в «1С» для обработки.
    Выгрузка результатов обработки заказов на сайт для уведомления клиентов.

    Продукты «1С:Предприятие 8.2» и «1С-Битрикс: Управление сайтом» поставляются со встроенными в системы штатными процедурами взаимодействия и поддержкой двунаправленного обмена данными с «1С:Предприятие», образуя готовое комплексное решение по автоматизации торговли, включая создание корпоративных веб-сайтов и организации продаж в сети Интернет.

    Мы предусмотрели автоматизацию большого количества задач, стоящих перед интернет-магазином, а также большое количество настроек, что практически всегда позволяет подстроиться под бизнес-процессы вашей компании.

    Интеграция с CRM

    CRM в интернет-магазине.

    Загрузка данных о заказах в CRM
    регулярный двунаправленный обмен данными между интернет-магазином и CRM.
    обработка заказов прямо в CRM.
    объединение в CRM заказов из разных интернет-магазинов.
    бизнес-процесс для автоматического распределения «лидов» между менеджерами (например, в зависимости от суммы контракта).

    «воронка» для оценки эффективности продаж.
    и многое другое.

    Платформа «1С-Битрикс»

    «1С-Битрикс: Управление сайтом» - платформа для разработки интернет-магазина. Надежная и устойчивая к высоким нагрузкам система, соответствующая высоким стандартам безопасности.
    На платформе «1С-Битрикс: Управление сайтом» вы можете создать любой интернет-магазин и управлять электронными каналами продаж товаров и услуг.

    Почему «1С-Битрикс»?

    Готовый функционал В платформе более 1000 готовых функциональных возможностей не только для интернет-магазина, но и для всего сайта. Не требуется разработка магазина с нуля.
    Быстрый запуск Мастер запуска помогает быстро все настроить.
    Высокая производительность Магазин выдерживает пиковые нагрузки.

    Безопасность Ваш сайт надежно защищен от взлома.
    Свой каталог веб-приложений Маркетплейс Возможность быстро развивать сайт, предлагать клиентам новые возможности.
    Партнерская сеть В партнерской сети «1С-Битрикс» легко сменить разработчика проекта.

    Архитектура безопасности «Битрикс: Управление сайтом»

    «1С-Битрикс: Управление сайтом 8.0» включает новый модуль «Проактивная защита», который позволяет повысить уровень защищенности сайтов благодаря встроенному в продукт проактивному фильтру (Web Application Firewall).

    Важность и ценность события в том, что и сам модуль, и входящий в него «Проактивный фильтр» впервые были включены непосредственно в систему управления сайтом! Существенные изменения произошли и в других модулях системы: Главный модуль, Управление структурой, Поиск, Социальная сеть, Интернет-магазин и Монитор производительности.

    Проактивная защита

    Проактивная защита – это целый комплекс технических и организационных мер, которые объединены общей концепцией безопасности и позволяют значительно расширить понятие защищенности и реакции веб-приложений на угрозы. Новый модуль «Проактивная защита» сертифицирован Positive Technologies и протестирован Aladdin — лидерами рынка информационной безопасности.

    Вот какой комплекс по защите веб-приложений включает в себя модуль:

    • Панель безопасности с уровнями защищенности
    • Проактивный фильтр (Web Application FireWall)
    • Технологию одноразовых паролей (OTP)
    • Защиту авторизованных сессий
    • Контроль активности
    • Защиту редиректов от фишинга *
    • Внешний контроль инфосреды *
    • Шифрование канала передачи через SSL *
    • Журнал вторжений
    • Защиту административных разделов по IP
    • Стоп-листы
    • Контроль целостности скрипта
    • Рекомендации по настройке *
    • Монитор обновлений *

    * — пока в разработке

    Проактивный фильтр (Web Application Firewall)

    Проактивный фильтр (WAF — Web Application Firewal) обеспечивает защиту от большинства известных атак на веб-приложения. В потоке внешних запросов пользователей проактивный фильтр распознает большинство опасных угроз и блокирует вторжения на сайт. Проактивный фильтр – наиболее эффективный способ защиты от возможных ошибок безопасности, допущенных при реализации интернет-проекта (XSS, SQL Injection, PHP Including и ряда других).

    Действие фильтра основано на анализе и фильтрации всех данных, поступающих от пользователей через переменные и куки.

    • защита от большинства известных атак на веб-приложения;
    • экранирование приложения от наиболее активно используемых атак;
    • создание списка страниц-исключений из фильтрации (по маске);
    • распознавание большинства опасных угроз;
    • блокировка вторжений на сайт;
    • защиты от возможных ошибок безопасности;
    • фиксирование попыток атак в журнале;
    • информирование администратора о случаях вторжения;
    • настройка активной реакции — действий системы при попытке вторжения на сайт:
    • сделать данные безопасными;
    • очистить опасные данные;
    • добавить IP адрес атакующего в стоп-лист на ХХ минут;
    • занести попытку вторжения в журнал.
    • обновления вместе с продуктом.

    Панель безопасности с уровнями защищенности

    Любой веб-проект, работающий под управлением «1С-Битрикс: Управление сайтом», обязательно имеет начальный уровень защиты. Однако с помощью модуля «Проактивная защита» можно значительно повысить защищенность собственного сайта. Нужно всего лишь выбрать и настроить один из уровней безопасности модуля: стандартный; высокий; повышенный. При этом система подскажет — выдаст рекомендации — какое действие необходимо установить для каждого параметра на выбранном текущем уровне.

    • начальный уровень безопасности — получают проекты на базе Bitrix Framework без установленного модуля «Проактивная защита»;
    • стандартный уровень – в проекте задействованы стандартные инструменты проактивной защиты продукта;
      • проактивный фильтр (на весь сайт без исключений);
      • ведется журнал вторжений за посление 7 дней;
      • включен контроль активности;
      • повышенный уровень безопасности для группы администраторов;
      • использование CAPTCHA при регистрации;
      • режим вывода ошибок (только ошибки).
    • высокий уровень – рекомендованный уровень защиты, получают проекты, выполнившие требования стандартного уровня, и дополнительно включившие:
      • журналирование событий главного модуля;
      • защита административной части;
      • хранение сессий в базе данных;
      • смена идентификатора сессий.
    • повышенный уровень – специальные средства защиты, обязательные для сайтов, содержащих конфиденциальную информацию пользователей, для интернет-магазинов, для тех, кто работает с критичной информацией.Дополнительно к высокому уровню:
      • включение одноразовых паролей;
      • контроль целостности скрипта контроля.

    Журнал вторжений

    В Журнале регистрируются все события, происходящие в системе, в том числе необычные или злонамеренные. Оперативный режим регистрации этих событий позволяет просматривать соответствующие записи в Журнале сразу же после их генерации. В свою очередь, это позволяет обнаруживать атаки и попытки атак в момент их проведения. Это значит, у вас есть возможность немедленно принимать ответные меры, и, в некоторых случаях, даже предупреждать атаки.

    • оперативная регистрация всех событий в системе;
    • в случае срабатывания Проактивного фильтра запись в Журнале в одной из категорий атак:
    • попытка внедрения SQL;
    • попытка атаки через XSS;
    • попытка внедрения PHP.
    • отбор злонамеренных событий по фильтру;
    • просмотр и анализ событий в реальном времени;
    • немедленная реакция — ответная мера на событие;
    • профилактика и предупреждение событий на основе их анализа;

    Одноразовые пароли

    Модуль «Проактивная защита» позволяет включить поддержку одноразовых паролей и использовать их выборочно для любых пользователей на сайте. Однако особо рекомендуется задействовать систему одноразовых паролей администраторам сайтов, поскольку это сильно повышает уровень безопасности пользовательской группы «Администраторы».

    Система одноразовых паролей дополняет стандартную систему авторизации и позволяет значительно усилить систему безопасности интернет-проекта. Для включения системы необходимо использовать аппаратное устройство (например, Aladdin eToken PASS) или соответствующее программное обеспечение, реализующее OTP.

    Что вам дает такая технология? Однозначную уверенность, что на сайте авторизуется именно тот пользователь, которому выдан брелок. При этом какое-то похищение и перехват паролей теряет всякий смысл, так как пароль одноразовый. Брелок же физический, дает уникальные одноразовые пароли и только при нажатии. А это значит, что владелец брелка не сможет передать пароль другому человеку, продолжая пользоваться входом на сайт.

    • усиление системы безопасности интернет-проекта;
    • использование аппаратных устройств;
    • использование ПО, реализующего OTP;
    • расширенная аутентификация с одноразовым паролем — при авторизации на сайте пользователь в дополнение к паролю дописывает одноразовый пароль;
    • авторизация только с использованием имени (login) и составного пароля;
    • заполнение при инициализации двух последовательно сгенерированных одноразовых паролей , полученных с устройства;
    • восстановление синхронизации в случае нарушения синхронизации счетчика генерации в устройстве и на сервере.

    Контроль целостности файлов

    Контроль целостности файлов необходим для быстрого выяснения — вносились ли изменения в файлы системы. В любой момент вы можете проверить целостность ядра, системных областей, публичной части продукта.

    • отслеживание изменений в файловой системе;
    • проверка целостности ядра;
    • проверка системных областей;
    • проверка публичной части продукта.

    Проверка целостности скрипта контроля

    Перед проверкой целостности системы необходимо проверить скрипт контроля на наличие изменений. При первом запуске скрипта введите в форму произвольный пароль (состоящий из латинских букв и цифр, длиной не менее 10 символов), а также произвольное кодовое (ключевое) слово (отличное от пароля), и нажмите на кнопку «Установить новый ключ».

    • проверка скрипта контроля на наличие изменений;
    • защита целостности скрипта ключом — символьным паролем.

    Защита административного раздела

    Эта защита позволяет компаниям строго регламентировать сети, которые считаются безопасными и из которых разрешается сотрудникам администрировать сайт. Перед вами простой специальный интерфейс, в котором все это и делается — задается список или диапазоны IP адресов, из которых как раз и позволяется управление сайтом.

    Не бойтесь закрыть себе доступ в момент установки блокировки — этот момент проверяется системой.

    Каков эффект от использования данной защиты? Любые XSS/CSS атаки на компьютер пользователя становятся неэффективными, а похищение перехваченных данных для авторизации с чужого компьютера — абсолютно бесполезным.

    • ограничение доступа к административной части всех IP адресов, кроме указанных;
    • автоматическое определение системой IP адреса пользователя;
    • ручной ввод разрешенного IP адреса;
    • установка диапазона IP адресов, с которых разрешен доступ к административной части.

    Защита сессий

    Большинство атак на веб-приложения ставят целью получить данные об авторизованной сессии пользователя. Включение защиты сессий делает похищение авторизованной сессии неэффективным. И, если речь идет об авторизованной сессии администратора, то ее надежная защита с помощью данного механизма является особо важной задачей. Какие инструменты использует этот защитный механизм? В дополнение к стандартным инструментам защиты сессий, которые устанавливаются в настройках группы, механизм защиты сессий включает специальные — и в некотором роде уникальные .

    Хранение данных сессий в таблице модуля позволяет избежать чтения этих данных через скрипты других сайтов на том же сервере, исключив ошибки конфигурирования виртуального хостинга, ошибки настройки прав доступа во временных каталогах и ряд других проблем настройки операционной среды. Кроме того, это разгружает файловую систему, перенося нагрузку на сервер базы данных.

    • защита сессий несколькими способами :
      • время жизни сессии (минуты);
      • смена идентификатора сессии раз в несколько минут;
      • маска сети для привязки сессии к IP;
      • хранение данных сессий в таблице модуля.
    • исключение ошибок конфигурирования виртуального хостинга;
    • исключение ошибок настройки прав доступа во временных каталогах;
    • исключение проблем настройки операционной среды;
    • разгрузка файловой системы;
    • бесполезность похищения сессий злоумышленниками.

    Контроль активности

    Контроль активности позволяет установить защиту от чрезмерно активных пользователей, программных роботов, некоторых категорий DDoS-атак, а также отсекать попытки подбора паролей перебором. В настройках можно установить максимальную активность пользователей для вашего сайта (например, число запросов в секунду, которые может выполнить пользователь).

    * Контроль активности пользователей ведется на основе средств модуля Веб-аналитика и, следовательно, доступен только в тех редакция продукта, в которые входит этот модуль.

    • защита от чрезмерно активных пользователей;
    • защита от программных роботов;
    • защита от некоторых категорий DDoS-атак;
    • отсекание попыток подбора паролей перебором;
    • установка максимальной активности пользователей для сайта (нормальной для человека);
    • фиксирование превышения лимита активности пользователя в Журнале вторжений;
    • блокирование пользователя, превысившего количество запросов в заданный временной интервал;
    • вывод для заблокированного пользователя специальной информационной страницы.

    Стоп лист

    Стоп-лист — таблица, содержащая параметры, используемые для ограничения доступа посетителей к содержимому сайта и перенаправлению на другие страницы. Все пользователи, которые попытаются зайти на сайт с IP адресами, включенными в стоп-лист, будут блокированы.

    • перенаправление посетителей, параметры которых содержатся в стоп-листе;
    • блокировка пользователей по IP адресам из стоп-листа;
    • ручное пополнение стоп-листа новыми записями;
    • учет статистики пользователей, которым запрещен доступ к сайту;
    • установка периода действия запрета на доступ к сайту для пользователя, IP-сети, маску сети, UserAgent и ссылку, по которой пришел пользователь;
    • изменяемое сообщение, которое будет показано пользователю при попытке доступа к сайту.

    * Начиная с версии 8.0 модуль «Проактивная защита» по умолчанию включен в продукт «1С-Битрикс: Управление сайтом» (кроме редакции «Старт»), а также в продукт «1С-Битрикс: Корпоративный портал». Все текущие клиенты (у которых активны обновления и техподдержка) бесплатно загрузят и установят этот модуль по технологии SiteUpdate, и модуль автоматически выставит в проекте параметры, соответствующие уровню безопасности Стандартный.

    Закрыть окно

    If you like this presentation – show it…

    Методы и средства обеспечения информационной безопасности в системе 1С:Предприятие 8.1 П.Б.Хоревдоцент кафедры информационной безопасности РГСУ

    Основные методы защиты информационных систем Идентификация и аутентификация субъектов.Авторизация субъектов.Аудит событий, имеющих отношение к безопасности.

    Идентификация и аутентификация пользователей Создание и редактирование списка пользователей.Выбор способа аутентификации пользователей.

    Способы аутентификации Средствами системы 1С:Предприятие (по имени и паролю).Средствами ОС Microsoft Windows (по имени и паролю или с помощью смарт-карт).

    Создание учетной записи пользователя

    Повышение достоверности аутентификации средствами 1С:Предприятие Установка минимальной длины паролей пользователей.Включение проверки сложности паролей.Удаление имени пользователя из списка выбора при входе в систему.

    Повышение достоверности аутентификации средствами ОС Windows Установка минимальной длины и сложности паролей.Ограничение максимального срока действия паролей.Включение требования неповторяемости паролей и их минимального срока действия.Неотображение последнего имени пользователя, входившего в систему.Вход в систему с использованием смарт-карт.

    Объединение аутентификации средствами 1С:Предприятие и средствами Windows Наиболее безопасный способ аутентификации пользователей.Требуется принудительное отображение диалога аутентификации пользователя средствами 1С:Предприятие (параметр командной строки /WA+).

    Назначение пользователю роли и интерфейса

    Создание и назначение роли Роли создаются для отдельных должностных обязанностей.Каждому пользователю системы может быть назначена одна или несколько ролей.

    Создание и редактирование роли Выбор объекта (объектов) конфигурации.Выбор прав доступа, разрешенных для выбранного объекта.Учет наследования (иерархии) прав доступа.

    Создание и редактирование роли Возможность автоматической установки прав доступа к новым объектам.Возможность ограничения доступа к данным на уровне отдельных полей и записей.Ограничение доступа к данным может быть определено с помощью конструктора или путем создания и редактирования именованных шаблонов ограничения доступа.

    Механизм интерфейсов Создание наборов команд главного меню и элементов панели инструментов, доступных для пользователя.Возможность дополнительного ограничения полномочий конкретного пользователя.

    Создание пользовательского интерфейса

    Обновление конфигурации базы данных Необходимо после создания ролей и интерфейсов, чтобы новым пользователям информационной системы могли быть назначены созданные роли и интерфейсы.

    Настройка журнала регистрации системы 1С:Предприятие Определение событий, которые должны регистрироваться в журнале.Выбор периода времени, по истечении которого журнал регистрации будет сохраняться в новом файле.Возможность сокращения записей журнала до истечения указанного периода путем их удаления и, при необходимости, сохранения в файле.

    Настройка журнала регистрации системы 1С:Предприятие Возможность сохранения разделения журнала по периодам и его объединения с ранее сохраненным журналом.Возможность автоматического обновления после заданного интервала времени при просмотре журнала регистрации.

    Настройка журнала регистрации

    Информация о событии в журнале регистрации Уровень события (ошибка, предупреждение, информация, примечание).Дата и время события.Имя и представление приложения, вызвавшего событие.Имя и представление события.Глобальный идентификатор и имя пользователя.Данные события и др.

    Отбор записей в журнале регистрации

    Сохранение журнала регистрации В формате 1С:Предприятие (*.elf).В формате XML.

    Выводы В системе 1С:Предприятие 8.1 реализованы все необходимые методы обеспечения безопасности информационных систем.В механизме парольной аутентификации предусмотрены возможности ее усиления и объединения с механизмом аутентификации пользователей ОС Windows.При авторизации пользователей используется гибкий и мощный механизм ролевого разграничения доступа к объектам информационной системы.

    Выводы Для дополнительного разграничения прав пользователей в системе может применяться механизм интерфейсов.Средства ведения, настройки, просмотра и сохранения журнала регистрации событий позволяют вести регулярный аудит безопасности системы.

    Замечания В эксплуатационной документации отсутствуют сведения об алгоритме хеширования паролей, что не позволяет точно оценить сложность их подбора.При назначении роли (ролей) пользователям целесообразно ввести средства ограничений на совмещение разных ролей одним пользователем и количество пользователей, которым может быть одновременно назначена некоторая роль.

    Замечания В эксплуатационной документации отсутствуют сведения о защите журнала регистрации событий от его удаления или подмены с целью скрытия совершенных несанкционированных действий. Неясно также, фиксируется ли в журнале событие, связанное с сокращением (удалением) записей в журнале до истечения заданного периода.

    Читать еще: