Газпромнефть: Модернизация интранет-системы

О проекте

«Газпром нефть» — лидер российской нефтяной индустрии. Около 70 нефтедобывающих и перерабатывающих предприятий в России и странах ближнего и дальнего зарубежья. Больше 82 тысяч сотрудников компании. 
В корпоративной сети ПАО «Газпромнефть» развернут портал на базе 1С-Битрикс24 — это подходящая для госорганов площадка, так как является отечественным решением и соответствует требованиям ФСБ по уровню безопасности данных.

Задача 

У компании появилась необходимость модернизировать портал, а главное — изменить систему хранения файлов. Штатное решение Битрикс не устраивало отдел безопасности.
После сбора требований и составления техзадания мы начали разработку. 

 *Старая система хранения файлов.  

Решение

В хранилище портала все файлы находятся в одной папке «upload», а значит в общем доступе. Например, файлы в папке «Бухгалтерия» видны всем бухгалтерам, хотя есть документы, доступ к которым должен быть только у главбуха. 

Функционал системы не позволял задать подобную тонкую настройку. Кроме того, неудобно и небезопасно, когда вся информация находится на одном локальном сервере. 

Наша задача — разработать решение, которое защитит файлы от нежелательных пользователей, при этом не усложнит работу сотрудников.

 
*Панель управления хранилищем.  

WebDAV

Мы применили разработку WebDAV — это сторонний сервис для облачного хранения и обработки файлов. Он может интегрироваться практически в любую систему. 

Подобная настройка существовала в штатном Битриксе до 2012 года, но после обновления системы больше не работала. Нам удалось с нуля разработать и внедрить решение, которое сама компания Битрикс объявила невозможным.

*Интеграция с WebDAV.  
«Теперь портал не хранит файлы самостоятельно, а обращается к этому стороннему хранилищу WebDAV . 

Благодаря этому, повысилась безопасность хранения данных, появилась более гибкая настройка прав доступа пользователей к этим файлам. Можно настраивать доступы для каждого файла в отдельности или группы файлов, а также скрывать папки от конкретных пользователей.

Еще один плюс — потенциальная синхронизация этого хранилища с другими сервисами. Можно масштабировать решение на разные системы, компьютеры и серверы, где будет одно файловое хранилище. Это избавит от необходимости переносить файлы из одного места в другое. Чем бы ни пользовался сотрудник, он сможет обратиться в хранилище за документом без необходимости думать, на каком сервере и в какой системе лежит нужный ему документ. »

Александр И. — backend разработчик Extyl 

 Active Directory

Для того чтобы сотрудники могли работать с документами внутри портала и не запрашивать доступ, каждый раз открывая файл, мы сделали интеграцию с Active Directory — базой учетных записей сотрудников.  Таким образом, авторизуясь на входе в портал, пользователь автоматически получает доступ ко всем системам, в рамках своего профиля.

 
*Модель интеграции с Active directory.  

Матрица ролей

Еще один вопрос безопасности — это матрица пользовательских ролей. Имея доступ к управлению всей системой, у человека появляется возможность скачать любой файл и стереть следы своего пребывания. Мы сделали невозможным появление пользователей с безграничными правами доступа.

Так, даже администраторы портала имеют разные роли и границы доступа. У одного доступ к настройкам самого портала, у другого — к настройкам WebDAV. А ИБ-администратор имеет доступ к введенным данным и журналу событий в Битриксе.

 
*Доступы администраторов.  

Результат

За 6 месяцев мы разработали и внедрили новое хранилище данных, которое прошло испытания и уже используется заказчиком. Мы продолжаем вести техническую поддержку системы. 

В перспективе будем работать над возможностью просмотра и редактирования файлов Word, без скачивания. А также добавлять функционал версионности файлов, чтобы сотрудники могли просматривать, внесенные изменения в текст. 

Команда проекта:

  Дмитрий К. — менеджер проекта
Александра К. — аналитик
Александр У. — тимлид проекта
Александр И. — backend разработчик
Кирилл Б. — QA