Информационная безопасность для мобильных устройств

Информационная безопасность мобильных технологий на базе решения SafePhone

Все чаще наши заказчики испытывают потребность в обеспечении высокого уровня информационной безопасности, особенно при использовании мобильных приложений для работы с СЭД. Именно мобильные устройства являются наиболее уязвимым звеном в цепи корпоративной коммуникации. Если несколько лет назад решения для защиты информации такого рода были актуальны только для крупных холдинговых структур, органов власти и режимных государственных предприятий, то в настоящее время готовность использовать подобные решения, высказывает все большее количество средних и малых коммерческих компаний.

TANAIS стремится обеспечить своим клиентам максимальный уровень информационной безопасности, поэтому мы предусмотрели возможность интеграции системы SafePhone с разработанными нами мобильными решениями.

SafePhone – это решение класса Mobile Device Management (MDM), предназначенное для защиты от несанкционированного доступа к информации, хранящейся и обрабатываемой на корпоративных мобильных устройствах с централизованным управлением.

Решение SafePhone разработано Научно-исследовательским институтом систем обеспечения комплексной безопасности (НИИ СОКБ) и является первой российской MDM системой. На данный момент SafePhone – это единственная MDM система, сертифицированная ФСТЭК РФ (сертификат соответствия ФСТЭК России № 3005 от 24.10.2013г.)

Как это работает?

SafePhone обеспечивает защиту мобильного устройства по принципу контейнера («песочницы»). Функции защиты осуществляются с помощью установленного на устройстве приложения SafePhoneClient, которое пользователь не может ни остановить, ни удалить. Взаимодействие между мобильным устройством и сервером SafePhone осуществляется с применением шифрования канала связи (VPN) поверх беспроводных интерфейсов Wi-Fi или GPRS/ Edge/ 3G/ LTE.

SafePhone позволяет:

  • дистанционно блокировать мобильное устройство;
  • дистанционно полностью удалять данные с мобильного устройства;
  • дистанционно настраивать политику безопасности на мобильном устройстве;
  • дистанционно контролировать попытки установки/удаления приложений;
  • вести банк доверенных приложений и блокировать установку приложений из других источников, дистанционно обновлять приложения;
  • использовать функцию «Тревожная кнопка» для скрытного информирования с мобильного устройства об угрозе физического нападения или о работе под принуждением.

SafePhone обеспечивает защиту от сетевых атак, вредоносного кода с помощью контентной фильтрации (персонального межсетевого экрана). Настройка, управление и контроль персонального межсетевого экрана осуществляется администратором системы SafePhone.

Функциональные возможности решения SafePhone

Администрирование

Решение SafePhone обеспечивает широкий круг возможностей с точки зрения управления парком корпоративных мобильных устройств, в том числе:

  • дистанционная настройка политик на мобильных устройствах;
  • дистанционное обновление приложений;
  • централизованное обновление телефонных справочников абонентов и возможность установить запрет на связь с абонентом, не включённым в справочник.
  • защищенный обмен текстовыми, голосовыми сообщениями и медиа-файлами между абонентами SafePhone, который можно использовать для внутри корпоративной рассылки.

SafePhone интегрируется со службой каталогов MSActiveDirectory.

Защита

Взаимодействие между мобильным устройством и сервером SafePhone осуществляется посредством защищённого VPN, работающего поверх беспроводных интерфейсов Wi-Fi или GPRS (в интеграции с решениями сторонних производителей).

Выход в интернет осуществляется только через корпоративный шлюз с применением корпоративных политик безопасности (в интеграции с решениями сторонних производителей).

  • приложение SafePhoneClient, установленное на мобильное устройство, пользователь не может ни остановить, ни удалить;
  • администратор системы SafePhone дистанционно контролирует попытки инсталляций/деинсталляций программного обеспечения на мобильном устройстве;
  • ведение банка доверенных приложений и невозможности установки приложений из других источников;
  • в случае необходимости мобильное устройство можно дистанционно заблокировать, а также удалить данные, с перезаписью областей памяти, содержащих удаляемую информацию;
  • администратор системы SafePhone может дистанционно запретить использование опасных интерфейсов связи, например, Bluetooth, Wi-Fi, цифровая фотокамера, микрофон;
  • для скрытного информирования с мобильного устройства об угрозе физического нападения или о работе под принуждением сотрудник может воспользоваться функцией «Тревожная кнопка».

Аудит

SafePhone позволяет формировать отчеты по заданным параметрам.

Помимо этого, решение позволяет:

  • вести журнал звонков и сообщений;
  • отслеживать события для конкретного мобильного устройства;
  • контролировать время исходящих звонков абонентов;
  • определять местоположения абонентов на карте.

Система уведомит администратора SafePhone если на корпоративном устройстве будет заменена SIM карта, а также если абонент находится в роуминге.

Архитектура решения на примере интеграции с мобильным приложением HopUp Mobile

HopUp Mobile – мобильное приложение для системы электронного документооборота DIRECTUM, часто пользуется спросом у крупных корпоративных заказчиков, поскольку позволяет повысить эффективность работы сотрудников. Интеграция нашего мобильного решения с системой SafePhone позволяет обеспечить высокий уровень защиты передаваемых данных, который отвечает корпоративным стандартам информационной безопасности.

Архитектура решения на примере интеграции с мобильным приложением HopUp Mobile

На мобильных устройствах пользователей устанавливается SafePhoneClient – приложение, решающее задачи обеспечения безопасности, связи и взаимодействия устройства с центром управления с использованием беспроводных интерфейсов передачи данных GPRS, 3G и Wi-Fi.

Все корпоративные мобильные устройства регистрируются в системе. Авторизация мобильного устройства выполняется на SafePhone Server. Причем и устройство, и пользователь идентифицируются последовательно. Все политики для используемых мобильных устройств администратор системы настраивает на SafePhone Server, процедуры инициализации и настройки устройств выполняются удаленно.

Архитектура решения обеспечивает нейтрализацию большинства угроз благодаря:

  • защите серверных компонент: серверной части приложения HopUp для DIRECTUM и базы данных DIRECTUM;
  • защите канала передачи данных между сервером приложения HopUp для DIRECTUM и мобильным устройством;
  • защите мобильного устройства;
  • защите мобильного приложения HopUp, включая передаваемые данные.

Преимущества внедрения решения SafePhone

  • Обеспечение надежной защиты корпоративной конфиденциальной информации на мобильных средствах связи от несанкционированного доступа;
  • решение сертифицировано ФСТЭК РФ и соответствует требованиям регулирующих органов по необходимым классам защиты конфиденциальной информации;
  • гибкость и масштабируемость решения позволяют реализовать внедрение в требуемом функциональном наполнении (Enterprise, Standard, Small) с возможностью последующего расширения и наращивания возможностей;
  • возможность «кастомизации» и настройки решения по требованиям заказчика;
  • дополнительные сервисные возможности решения, которые позволяют минимизировать расходы корпоративных заказчиков на корпоративную сотовую связь в целом (мониторинг передвижения абонентов, дистанционный контроль и удаление приложений, использование внутренней службы сообщений вместо сервиса SMS).

Поддерживаемые мобильные платформы

Поддерживаемые мобильные платформы

Приложение HopUp Mobile с блоком защиты информации SafePhone работает на платформах iOS, Android