HopUp Mobile

Задача

Крупным корпоративным заказчикам, использующим систему DIRECTUM также требуется мобильный доступ, но серьёзным препятствием на пути применения мобильных технологий встает вопрос обеспечения информационной безопасности.

Так получилось с одним из наших Заказчиков, который хотел использовать приложение HopUp для DIRECTUM, но служба ИБ поставила ряд условий по обеспечению защиты передаваемых данных.

Для достижения цели нам пришлось серьёзно погрузиться в вопрос обеспечения информационной безопасности на мобильных устройствах и с помощью наших давних партнеров из «Ассоциации руководителей служб информационной безопасности» и «НИИ СОКБ» мы поставленные нам условия выполнили и готовы поделиться наработками с сообществом DIRECTUM Club и с партнерами, которые продвигают на рынке мобильные приложения.

Методы обеспечения информационной безопасности при использовании мобильного приложения HopUp для DIRECTUM

Для обеспечения информационной безопасности при использовании мобильных устройств необходимо применение как организационных, так и технических методов. Организационными методами как правило являются:

  • Определение и формализация мобильных бизнес-процессов;
  • Определение парка используемых мобильных устройств и приложений;
  • Разработка политики мобильной безопасности;
  • Разработка модели угроз.

Не будем подробно останавливаться на организационных методах, в рамках соблюдения условий этого проекта нужно было нейтрализовать следующие угрозы:

  • Несанкционированный доступ к данным;
  • Программные угрозы (включая вредоносное программное обеспечение);
  • Использование уязвимостей мобильных ОС и приложений;
  • Сетевые угрозы;
  • Физические угрозы, основной из которых является кража или утеря устройства;
  • Пользовательские угрозы;
  • Угрозы со стороны поставщика услуг.

Конечно реализовать нейтрализацию всех этих угроз в рамках нашего приложения нам не под силу и мы разрабатывали решение совместно со специалистами по ИБ из компаний наших партнеров.

Мы выработали 3 варианта обеспечения ИБ отличающихся степенью защиты.

Вариант 1. Шифрование

Минимально необходимыми требованиями к обеспечению ИБ являются :

  • аутентификация с шифрованием логина и пароля;
  • шифрование всего передаваемого контента по алгоритму AES-256.

img-1.jpg

Данные требования реализованы в нашем приложении HopUp для DIRECTUM по умолчанию – взаимодействие между клиентскими приложениями и серверной частью происходит с шифрованием всех передаваемых данных симметричным алгоритмом шифрования с 256 битным ключом (AES-256).

Минимальный набор требований устраивает очень многих Заказчиков, но к сожалению, не всех. Поэтому нами были разработаны ещё два решения.

Вариант 2. Работа по специальным каналам связи

Данный вариант помимо шифрования трафика по ГОСТ-овым алгоритмам предусматривает передачу данных по VPN каналам связи поверх беспроводных интерфейсов Wi-Fi или GPRS/ Edge/ 3G/ LTE.

Данное решение требует развертывания Программно-аппаратного комплекcа ViPNet Coordinator и использования на мобильных устройствах ViPNet Client и схема работы решения в таком случае будет следующей:

img-2.jpg

Но даже данный вариант решения не удовлетворил нашего Заказчика, поэтому мы проработали решение с еще более глубокой степенью обеспечения информационной безопасности мобильного приложения HopUp.

Вариант 3. Применение MDM-систем

В данном варианте обеспечения безопасности MDM-система SafePhone обеспечивает защиту устройства по принципу контейнера («песочницы»). Функции защиты осуществляются с помощью установленного на мобильном устройстве приложения SafePhoneClient, которое пользователь не может ни остановить, ни удалить.

При этом реализуются следующие основные функции:

  • Дистанционное блокирование мобильного устройства.
  • Дистанционное удаление данных с перезаписью областей памяти, содержащих удаляемую информацию.
  • Взаимодействие между мобильным устройством и сервером SafePhone осуществляется с применением шифрования канала связи (VPN) поверх беспроводных интерфейсов Wi-Fi или GPRS/ Edge/ 3G/ LTE.
  • Защита от сетевых атак, вредоносного кода и контентная фильтрация (персональный межсетевой экран). Настройка, управление и контроль осуществляется администратором системы SafePhone.
  • Дистанционная настройка политик на мобильных устройствах.
  • «Тревожная кнопка» для скрытного информирования с мобильного устройства об угрозе физического нападения или о работе под принуждением.
  • Дистанционный контроль попыток установки/ удаления программного обеспечения на мобильном устройстве.
  • Ведение банка доверенных приложений и невозможность установки приложений из других источников, дистанционное обновление приложений.

Система управления SafePhone имеет сертификат соответствия ФСТЭК России № 3005 от 24.10.2013г.

img-3.jpg

Архитектура решения становится более сложной, более дорогой, но обеспечивает нейтрализацию всех приведенных выше угроз благодаря:

  • Защите серверных компонент: серверной части приложения HopUp для DIRECTUM и базы данных DIRECTUM;
  • Защите канала передачи данных между сервером приложения HopUp для DIRECTUM и мобильным устройством;
  • Защите мобильного устройства;
  • Защите мобильного приложения HopUp, включая передаваемые данные.

Успешное применение данного решение было подкреплено нами получением соответствующего сертификата.

Информационная безопасность больше не является преградой для использования в корпоративном секторе мобильного приложения HopUp для DIRECTUM.

img-4.jpg