Газпромнефть: Модернизация интранет-системы

Поддержка и модернизация интранет-системы «Газпромнефть».

В хранилище портала все файлы находятся в одной папке «upload», а значит в общем доступе. Например, файлы в папке «Бухгалтерия» видны всем бухгалтерам, хотя есть документы, доступ к которым должен быть только у главбуха. 

Функционал системы не позволял задать подобную тонкую настройку. Кроме того, неудобно и небезопасно, когда вся информация находится на одном локальном сервере. 

Наша задача — разработать решение, которое защитит файлы от нежелательных пользователей, при этом не усложнит работу сотрудников.

Мы применили разработку WebDAV — это сторонний сервис для облачного хранения и обработки файлов. Он может интегрироваться практически в любую систему. 

Подобная настройка существовала в штатном Битриксе до 2012 года, но после обновления системы больше не работала. Нам удалось с нуля разработать и внедрить решение, которое сама компания Битрикс объявила невозможным.

Теперь портал не хранит файлы самостоятельно, а обращается к этому стороннему хранилищу WebDAV . 

Благодаря этому, повысилась безопасность хранения данных, появилась более гибкая настройка прав доступа пользователей к этим файлам. Можно настраивать доступы для каждого файла в отдельности или группы файлов, а также скрывать папки от конкретных пользователей.

Еще один плюс — потенциальная синхронизация этого хранилища с другими сервисами. Можно масштабировать решение на разные системы, компьютеры и серверы, где будет одно файловое хранилище. Это избавит от необходимости переносить файлы из одного места в другое. Чем бы ни пользовался сотрудник, он сможет обратиться в хранилище за документом без необходимости думать, на каком сервере и в какой системе лежит нужный ему документ. 

Для того чтобы сотрудники могли работать с документами внутри портала и не запрашивать доступ, каждый раз открывая файл, мы сделали интеграцию с Active Directory — базой учетных записей сотрудников. Таким образом, авторизуясь на входе в портал, пользователь автоматически получает доступ ко всем системам, в рамках своего профиля.

Еще один вопрос безопасности — это матрица пользовательских ролей. Имея доступ к управлению всей системой, у человека появляется возможность скачать любой файл и стереть следы своего пребывания. Мы сделали невозможным появление пользователей с безграничными правами доступа.

Так, даже администраторы портала имеют разные роли и границы доступа. У одного доступ к настройкам самого портала, у другого — к настройкам WebDAV. А ИБ-администратор имеет доступ к введенным данным и журналу событий в Битриксе.

За 6 месяцев мы разработали и внедрили новое хранилище данных, которое прошло испытания и уже используется заказчиком. Мы продолжаем вести техническую поддержку системы. 

В перспективе будем работать над возможностью просмотра и редактирования файлов Word, без скачивания. А также добавлять функционал версионности файлов, чтобы сотрудники могли просматривать, внесенные изменения в текст.