Сертификат AM Test Lab
Номер сертификата: 334
Дата выдачи: 14.03.2021
Срок действия: 14.03.2026
- Введение
- Функциональные возможности MFlash
- 2.1. Эффективная совместная работа над электронными документами
- 2.2. Удобный обмен файлами большого размера между сотрудниками организации и контрагентами
- 2.3. Осуществление безопасного доступа к файлам с различных устройств
- 2.4. Резервное копирование документов в режиме реального времени
- 2.5. Процесс контроля версий документов
- Системные требования MFlash
- Краткий план работ по развёртыванию комплекса MFlash
- Архитектура решения MFlash
- Сценарии использования MFlash
- Выводы
Введение
В настоящее время трудно представить себе бизнес-процесс организации, где не осуществлялись бы обмен файлами в электронном формате и работа с ними. Но в то же время использование средств электронной почты, FTP, файловых серверов и других корпоративных средств обмена информацией для этих целей накладывает множество условий и требований, таких как ограниченный объём передаваемой информации, возможность удалённой совместной работы, работа с мобильных устройств, синхронизация папок, контроль передачи данных и т. д. Для преодоления этих ограничений сотрудники всё чаще применяют публичные облачные сервисы для файлового обмена. Использование данных сервисов, как правило, происходит вне корпоративных регламентов (так называемое Shadow IT). Это повышает вероятность реализации рисков в информационной безопасности. В первую очередь это касается угрозы утечки корпоративной информации: обмен данными и доступ к ним происходят бесконтрольно, данные обрабатываются и хранятся в публичном облаке. Во-вторых, в ходе обмена файлами в неконтролируемой среде высока вероятность распространения вирусов-шифровальщиков внутри организации.
Для сохранения баланса между удобством работы пользователей и безопасностью компания «MСофт» разработала решение MFlash — корпоративный сервис, предназначенный для защищённого обмена данными.
MFlash позволяет загружать файлы в центральное хранилище через веб-интерфейс и при необходимости открывать общий доступ к ним как сотрудникам организации, так и внешним контрагентам и партнёрам, при этом обеспечивая надёжную безопасность данных. Управление доступом к файлам позволяет выбрать конкретных пользователей, которые могут иметь доступ к общим файлам. Внешние пользователи также могут загрузить файлы для ответа, используя удобный гостевой портал.
В отличие от популярных на сегодняшний день облачных сервисов хранения данных, MFlash может быть полностью развёрнут в корпоративной сети («частное облако»), что позволяет компаниям самостоятельно определять политику информационной безопасности для защиты от заражения инфраструктуры вредоносными программами и предотвращения утечек конфиденциальной информации.
Архитектура системы позволяет работать с файлами любого размера даже при высоких нагрузках и слабом интернет-соединении. При этом минимальные требования для аппаратного и программного обеспечения невысоки и не требуют высоких затрат на закупку и поддержку.
Функциональные возможности MFlash
Продукт MFlash позволяет решить следующие задачи:
- Эффективная совместная работа над электронными документами.
- Удобный обмен файлами большого размера между сотрудниками организации и контрагентами.
- Осуществление безопасного доступа к файлам с различных устройств.
- Резервное копирование данных в режиме реального времени.
- Процесс контроля версий документов.
Эффективная совместная работа над электронными документами
Часто структурные подразделения географически распределены. В этом случае важно предусмотреть для сотрудников возможность работать совместно, так, как будто они находятся в одном офисе.
Решение MFlash позволяет всем сотрудникам компании работать вместе несмотря на географическое расположение офиса, размер документов, пропускную способность каналов, ИТ-инфраструктуру.
Клиентское приложение обеспечивает возможность работы с файлами, хранящимися в MFlash, с помощью стандартных приложений, установленных на АРМ пользователя системы и выбираемых автоматически на основании типа файла, при этом соблюдая версионность.
MFlash также обеспечивает синхронизацию файлов и их репликацию между различными устройствами, единый подход к передаче и обработке файлов компании для любого подразделения, а также файловую структуру и политики доступа, распространяемые на всю организацию.
Рисунок 1. Процесс создания виртуального накопителя MFlash
Рисунок 2. Процесс редактирования виртуального накопителя MFlash
Удобный обмен файлами большого размера между сотрудниками организации и контрагентами
Многие организации обмениваются файлами большого объёма с третьей стороной. Часто возникают проблемы при передаче файлов. Например, размер пересылаемых файлов обычно не должен превышать 10 МБ. В других случаях устанавливается запрет на передачу файлов определённых форматов (т. к. они могут скрывать в себе вредоносные программы).
Для передачи файлов, превышающих максимальный размер, нередко используется FTP. Но обычный пользователь часто не обладает правами для подключения FTP-сервера. Поэтому для совершения обмена требуется поддержка ИТ-сотрудников обеих сторон, что снижает оперативность, повышает стоимость передачи файлов и провоцирует нарушение правил ИБ.
Использование гостевого портала в рамках платформы MFlash решает данные проблемы. Портал реализован на базе веб-интерфейса, не требует использования клиента и обеспечивает защищённый обмен файлами от внешнего контрагента ко внутреннему пользователю. При этом осуществляется проверка получаемых файлов на наличие вредоносных программ.
Учётная запись для гостевого пользователя создаётся автоматически при получении приглашения от внутреннего пользователя или после получения ссылки.
Осуществление безопасного доступа к файлам с различных устройств
С помощью мобильного приложения MFlash организация имеет возможность обеспечить условия для удалённой работы сотрудников и оперативного решения рабочих задач.
Используя MFlash можно осуществлять безопасный доступ, обрабатывать файлы и обмениваться ими с мобильного устройства вне зависимости от времени и места расположения, без VPN. Решение MFlash доступно для платформ iOS и Android.
Рисунок 3. Дистрибутивы MFlash
Резервное копирование документов в режиме реального времени
Использование платформы MFlash обеспечивает безопасную работу с документами вне зависимости от того, что происходит с устройствами пользователей.
В рамках решения предусмотрены следующие опции:
- Резервное копирование файлов и папок осуществляется автоматически.
- Постоянно обеспечивается возможность восстановления предыдущих версий файлов из архива.
- Возможно восстановление случайно удалённых пользовательских файлов.
Процесс контроля версий документов
При внесении изменения в файл предыдущая версия документа добавляется в архив. Таким образом обеспечивается постоянная возможность обращения к ранним версиям документов. Эта опция активирована по умолчанию, но может быть отключена.
Если происходит потеря интернет-соединения, пользователь может продолжать работу с открытыми файлами и папками без риска конфликта версий. После восстановления соединения все изменения будут автоматически синхронизированы.
При совместном доступе к документу предусмотрено предотвращение конфликтов версий. В случае если один пользователь производит изменение документа, другие пользователи могут получить доступ к последнему лишь в режиме «только чтение».
Рисунок 4. Контроль версионности файлов MFlash
Системные требования MFlash
Требования к программной платформе для внедрения системы
MFlash функционирует под управлением следующих операционных систем:
- Microsoft Windows Server 2012 R2;
- Microsoft Windows Server 2016;
- Ubuntu 14.04 LTS, 16.04 LTS;
- CentOS 7;
- Debian.
Требования к развёртыванию системы
В зависимости от планируемой архитектуры нагрузки на систему и количества компонентов требования к вычислительным мощностям могут меняться. Комплекс может быть развёрнут в рамках как одного сервера, так и распределённого архитектурного решения.
Таблица 1. Таблица расчётов ресурсов для системы в рамках проектного решения
Количество пользователей | Веб-сервер | Сервер данных | |||||
Кол‐во серверов | ЦПУ | ОЗУ | Диск | ЦПУ | ОЗУ | Диск | |
50–500 | 1 | 4 ядра | 16 ГБ | 500 ГБ | 4 ядра | 8 ГБ | 1000 ГБ |
500–1000 | 1 | 6 ядер | 32 ГБ | 500 ГБ | 4 ядра | 8 ГБ | 1000 ГБ |
Более 1000 | 4 | 8 ядер | 32 ГБ | 500 ГБ | 6 ядер | 32 ГБ | 1000 ГБ |
Замечание: указанные в таблице параметры зависят от одновременной нагрузки на систему и планируемого объёма выделенного дискового пространства для каждого пользователя. Оптимальные параметры определяются в рамках пилотного тестирования.
Рекомендации по выбору типа процессора: CPU Intel Xeon Bronze 3106 / 1,7 ГГц или аналогичный.
Рекомендации по выбору типа жёсткого диска: HDD с контрольным интерфейсом SATA 6 Гбит/с. Для сервера баз данных рекомендуется использовать диски SSD.
Краткий план работ по развёртыванию комплекса MFlash
- Предварительная настройка операционной системы серверной платформы для установки серверных компонентов системы.
- Установка серверных компонентов (система управления базами данных (СУБД), компонент управления и доступа к системе, компонент почтовых уведомлений, службы системы) на сервер доступа и хранения данных, настройка интеграции с корпоративной почтовой системой.
- Первичная настройка системы: конфигурирование основных административных параметров, проверка функционирования штатных компонентов системы, пробное тестирование интерфейса управления системой, создание и настройка административных пользователей, создание тестовых штатных пользователей системы.
- Первичное тестирование интерфейса пользователя: проверка выгрузки и загрузки файлов, внутренней работы по управлению данными пользователя, отправки ссылок внешним и внутренним пользователям, функциональности предоставления доступов к виртуальным хранилищам.
- Выполнение настройки внешнего вида интерфейса в соответствии с корпоративными стандартами.
- Подготовка рабочей станции для работы с системой: установка локального клиента для работы с системой при обработке файлов больших размеров, установка клиента для интеграции с программным продуктом Microsoft Outlook.
- Первичное тестирование основной функциональности системы со стороны конечного пользователя (с клиентской машины).
- Проверочное тестирование работы пользователя с клиентским программным обеспечением.
- Перевод системы в тестовую эксплуатацию.
- Перевод системы в промышленную эксплуатацию.
Архитектура решения MFlash
Построение распределённого комплекса MFlash
Рисунок 5. Пример построения распределённого комплекса MFlash в ЦОДе с применением одного сервера веб‐доступа и одного сервера хранения данных
Описание архитектурного решения
Внешние и внутренние пользователи в рамках работы с системой проводят подключение по протоколу HTTPS к веб‐серверу (на приложенной схеме обозначен как «Mflash Web Access Server»). Файлы пользовательских данных хранятся на отдельном сервере (на той же схеме обозначен как «Mflash Data Server»). Резервирование данных системы аналогично предыдущему сценарию обеспечивается корпоративными средствами резервного копирования.
Решение может быть развёрнуто в отказоустойчивом исполнении с резервированием всех элементов.
Для обсуждения других вариантов архитектуры, а также более детального расчёта требований для внедрения решения следует обращаться к представителю компании «МСофт» или её авторизованному партнёру.
Сценарии использования MFlash
Сценарии использования MFlash для пользователя системы
Первый вход в систему
После добавления в систему пользователю приходит уведомление по электронной почте со следующим содержанием (рис. 6).
Рисунок 6. Пример письма о приглашении к использованию системы для пользователя
Для перехода на страницу регистрации необходимо ввести в адресной строке браузера URL указанного в письме сервера или щёлкнуть по ссылке в теле письма. В форме регистрации требуется заполнить доступные поля валидными данными, после чего нажать на ссылку «Принимаю условия лицензионного соглашения».
Рисунок 7. Форма регистрации пользователя MFlash
После принятия соглашения система автоматически перенаправит пользователя в форму регистрации, где следует нажать кнопку «Продолжить». Далее отобразится окно «Регистрация успешно завершена». Для авторизации только что зарегистрированного пользователя требуется нажать кнопку «Войти».
В форме доступна ссылка «Выбрать платформу для клиента», которая перенаправит пользователя на страницу с существующими дистрибутивами MFlash, где их можно будет скачать. Для перехода к авторизации пользователя из окна загрузки дистрибутивов нужно нажать кнопку «Войти в систему».
Рисунок 8. Страница загрузки дистрибутива MFlash
Авторизация без двухфакторной аутентификации
На странице авторизации требуется ввести данные зарегистрированного пользователя. В поле «Логин или email» понадобится указать логин либо почтовый адрес, нажать «Продолжить» и затем набрать пароль, установленный пользователю во время регистрации.
Рисунок 9. Форма для ввода логина или адреса электронной почты
Рисунок 10. Форма для ввода пароля
После ввода валидных учётных данных необходимо нажать кнопку «Войти». Отобразится интерфейс личного кабинета пользователя в системе.
Авторизация с двухфакторной аутентификацией
На странице авторизации требуется ввести данные зарегистрированного пользователя аналогично тому, как это было описано в предыдущем подразделе. При успешном прохождении этого шага в последующей форме подтверждения необходимо будет ввести код, который придёт на номер телефона (либо на почту, если номер телефона у пользователя в системе отсутствует), указанный администратором.
Рисунок 11. Форма для ввода второго фактора — ключа, отправленного по SMS
Введя полученный валидный код подтверждения, необходимо нажать кнопку «Отправить», после чего отобразится интерфейс личного кабинета.
Доменная авторизация
Также возможен вариант входа с использованием доменной авторизации. Поддерживается прозрачная аутентификация по протоколу Kerberos.
Рисунок 12. Форма доменной авторизации
Для корректной работы системы и полноценного использования доступной функциональности на компьютере пользователя необходимо установить / загрузить клиент MFlash.
Базовый веб-интерфейс системы
Базовый интерфейс системы составляют следующие части:
- Левая боковая панель — содержит имя пользователя, счётчик уведомлений, блок навигации с древовидной структурой, а также раздел меню, доступный при нажатии на соответствующий ему значок либо на имя пользователя.
- Верхняя панель — содержит в себе область навигации, функции действия над элементами и функции действия над рабочей областью.
- Рабочая область — область взаимодействия с элементами (накопителями / файлами / папками).
Рисунок 13. Интерфейс пользователя MFlash (левая боковая панель отмечена оранжевым цветом, верхняя панель — зелёным цветом, рабочая область — голубым цветом)
Рисунок 14. Интерфейс левой боковой панели
Меню
После перехода в меню посредством нажатия на имя пользователя откроется список пунктов для взаимодействия (см. рис. 15).
Рисунок 15. Интерфейс меню MFlash
Информационный обмен между внутренними пользователями
Для информационного обмена между пользователями применяется функциональность виртуальных накопителей. Доступны два варианта работы с основной формой взаимодействия с накопителями: через панель инструментов в интерфейсе раздела «Виртуальные накопители» и через контекстное меню, вызываемое из левой боковой панели посредством нажатия кнопки (а также нажатием правой клавиши мыши в интерфейсе раздела «Виртуальные накопители»).
Рисунок 16. Интерфейс работы с виртуальными накопителями
Рисунок 17. Форма создания накопителя
При выборе типов доступа на запись или на чтение для группы — т. е. у пользователей, входящих в ту же группу, что и создатель виртуального накопителя — этот накопитель появляется в веб-интерфейсе в подразделе «Доступные мне», имея свойственные предоставленному доступу особенности взаимодействия. Далее на вкладке «Пользователи» предоставляется возможность отправить приглашение новому пользователю либо добавить права на создаваемый виртуальный накопитель уже существующему, посредством нажатия на кнопку.
Рисунок 18. Выделенная кнопка «Добавить» на вкладке «Пользователи»
Рисунок 19. Предоставление доступа выбранному пользователю
Вкладка «Дополнительно» позволяет настроить следующие пункты:
- Использовать «Контроль версий» (означает возможность хранения архива изменённых файлов, через который можно проследить хронологию изменений определённого файла через клиент, а также восстановить одну из версий);
- Использовать «Корзину» (означает, что удалённые из виртуального накопителя файлы будут установленное время храниться в отдельном месте после удаления для возможности их просмотра с целью повторного анализа на предмет пригодности);
- Ограничить время жизни накопителя (позволяет установить дату, после которой виртуальный накопитель будет удалён из системы).
Рисунок 20. Интерфейс вкладки «Дополнительно»
Совершив переход в какой-либо виртуальный накопитель, пользователь получает возможность создавать и удалять в нём файлы и папки, а также взаимодействовать с содержимым через инструменты в верхней панели. Данный интерфейс обеспечивает возможность не только создания объектов, но и загрузки, копирования / перемещения, предпросмотра, контроля версий, просмотра дополнительной информации.
Рисунок 21. Отображение панели инструментов для работы с выбранным файлом
Рисунок 22. Форма загрузки файла
Для вызова формы создания папки или файла требуется нажать на кнопку «Создать» в верхней панели интерфейса накопителя. Появится контекстное меню с пунктами «Файл» и «Папка».
Рисунок 23. Контекстное меню кнопки «Создать»
После применения данных файл или папка появятся среди содержимого виртуального накопителя.
Рисунок 24. Отображение файлов и папок в интерфейсе накопителя
Информационный обмен с контрагентами
Для того, чтобы осуществлять обмен информацией с контрагентами в MFlash предусмотрена функция приглашения нового пользователя.
Рисунок 25. Иконка виджета приглашения новых пользователей
Рисунок 26. Форма приглашения пользователя
Рисунок 27. Письмо с подтверждением регистрации гостевого пользователя
Рисунок 28. Интерфейс гостевого пользователя
Система предоставляет возможность отправлять ссылки на файлы третьим лицам.
Если для пользователя не разрешена отправка ссылки на файл третьему лицу и требуется разрешение ответственного модератора, то в интерфейсе накопителя будет доступна кнопка, которая вызовет форму отправки запроса, где понадобится заполнить поле «Комментарий» и нажать «Отправить» для того, чтобы применить действие, или «Отменить», чтобы сбросить операцию.
Рисунок 29. Интерфейс формы «Отправить запрос на ссылку модератору»
В случае если запрос на отправку ссылки на файл согласован модератором, файл сопровождается ярлыком; кроме того, становится доступным интерфейс отправки через нажатие кнопки.
Интерфейс «Отправить» представлен вкладками «Основное», «Пользователи», «Элементы», «Дополнительно».
На вкладке «Основное» требуется ввести имя либо почтовый адрес в поле «Получатели» для отображения совпадений, а затем нажать на нужную строку, чтобы добавить пользователя в форму.
Рисунок 30. Форма отправки элемента с отображённым списком найденных пользователей
Вкладка «Дополнительно» позволяет определить следующие настройки: тип доступа, тип отправки, ограничение времени жизни накопителя, уведомление после скачивания файла, стирание файла после скачивания, разрешение пользователю загружать элементы в папку, отправка с PIN-кодом (доступно только если выбран тип «Публичная ссылка»).
Рисунок 31. Интерфейс вкладки «Дополнительно»
Опция «Доступ» состоит из пунктов «Только приглашённые пользователи» (доступ по данной ссылке будет предоставляться только пользователям, которые зарегистрированы в системе) и «Публичная ссылка» (данные по ссылке доступны любому пользователю). Все полученные файлы отображаются в интерфейсе раздела «Обмен файлами», но публичные ссылки имеют собственный интерфейс для взаимодействия, где можно скачать и просмотреть элементы.
Опция «Тип отправки» состоит из пунктов «Ссылка» (даст возможность переходить всегда к актуальной версии документа) и «Копировать» (предоставляет доступ к копии отправляемого файла / папки; если над отправляемыми данными будут произведены изменения, то по ссылке эти изменения будут недоступны).
Опция «Ограничить время жизни ссылки» позволяет установить дату, после которой ссылка не будет функционировать.
Опция «Уведомлять после скачивания файла» позволяет получать соответствующее оповещение на почту.
Опция «Стереть файлы после скачивания» удаляет ссылку после загрузки файлов получателем. Повторное скачивание по этой ссылке будет невозможно.
Опция «Позволять пользователю загружать элементы в папку» разрешает получателю ссылки на папку выгружать в неё свои файлы.
Опция «Отправить с пином» доступна только для публичных ссылок. Она устанавливает пароль на доступ к ссылке, который будет отправлен на почту адресата. Для применения установленных настроек требуется нажать кнопку «Подтвердить» в форме; для отмены произведённых действий — «Отменить».
Сценарии использования MFlash для главного администратора системы
Административный интерфейс системы состоит из нескольких панелей. Верхняя панель (выделена жёлтой рамкой на рисунке ниже) содержит информацию о текущем пользователе; левая панель (выделена красной рамкой) — кнопки доступных функций; центральная панель (выделена зелёной рамкой) — информацию по выбранной функции (в данном примере — список пользователей).
Рисунок 32. Основной административный интерфейс MFlash
Рассмотрим некоторые функции, доступные администратору для настройки системы.
Рисунок 33. Интерфейс раздела «Система»
Настройки сгруппированы по разделам, которые соответствуют различным функциям системы:
- «Основные» — раздел основных параметров системы;
- «Интерфейс» — раздел настройки графического интерфейса;
- «Система» — настройка системных параметров;
- «Интеграция с AD» — настройка интеграции с Active Directory;
- «Интеграция с Антивирусом» — раздел параметров подключения корпоративного антивируса;
- «Безопасность» — формирование политики паролей и контроль ошибок ввода пароля;
- «Интеграция с почтовой системой» — интеграция с корпоративной службой электронной почты;
- «Кастомизация» — настройка стилей системы;
- «Интеграция с песочницей» — интеграция с сервисом проверки файлов в виртуальной среде;
- «Интеграция с DLP» — настройка интеграции с системой предотвращения утечек.
Разрешённые / запрещённые домены
Если в системе предусмотрено и настроено использование разрешённых или блокирование запрещённых почтовых доменов для отправки ссылок, то появится дополнительный пункт «Разрешённые домены» либо «Запрещённые домены», который позволит формировать списки доменов в зависимости от выбранной опции.
Рисунок 34. Интерфейс раздела «Разрешённые домены»
Роли
Пункт «Роли» предоставляет возможность на основе заранее заданных системных и вновь создаваемых ролей формировать шаблоны доступа пользователей. Вновь создаваемая роль может иметь прав столько же, сколько и её родительская роль, или меньше.
Рисунок 35. Интерфейс раздела «Роли»
Отчёты
Все действия пользователей в системе логируются. MFlash позволяет формировать отчеты практически по всем событиям, происходящим в системе, с выгрузкой в формате CSV для дальнейшего анализа и аудита.
Рисунок 36. Развёрнутый пункт «Отчёты», отображающий перечень доступных отчётностей
Выводы
Выделяются следующие преимущества использования системы MFlash.
Достоинства для бизнес-подразделения:
- Дружественный пользовательский интерфейс. Система не требует дополнительного обучения для пользователя.
- Удобный и безопасный обмен файлами большого объёма между сотрудниками организации и контрагентами.
- Мобильность. Возможность работы «на ходу» — мобильные приложения для IOS и Android.
- Возможность создания совместного рабочего пространства для реализации проектов.
- Широкие конфигурируемые возможности при формировании ссылки на файл / папку (публичная ссылка, ссылка с PIN-кодом, разовая ссылка и т. д.).
- Резервное копирование документов в режиме реального времени.
- Плагин для Outlook, автоматизация работы через почтовую систему.
Достоинства для подразделения информационных технологий:
- Низкая стоимость владения. Минимальное использование ресурсов ИТ-подразделения при администрировании системы.
- Гибкая архитектура системы MFlash может быть развёрнута как внутри сетевого периметра организации, так и в корпоративном ЦОДе.
- Кроссплатформенность. Возможность работы как в Windows-, так и в Linux-среде.
- Групповые политики и широкие возможности по интеграции со службой корпоративных каталогов Active Directory.
- Индивидуализация платформы согласно корпоративному брендбуку.
Достоинства для подразделения информационной безопасности:
- Модерация файлового обмена. Контролируемый доверенный процесс файлового обмена с контрагентами.
- Двухфакторная аутентификация. Возможность интеграции с SMS-провайдером для обеспечения второго фактора аутентификации.
- Ролевая модель доступа. Набор шаблонов готовых ролей с возможностью создания новых в соответствии с матрицей доступа.
- Белые и чёрные списки. Возможность ограничения доступа на уровне IP-адресов и подсетей, по почтовым доменам.
- Протоколирование всех действий пользователей и администраторов.
- Возможность наложения водяных знаков на файлы.
- Интеграция с СЗИ. MFlash интегрируется с антивирусами, песочницами и DLP для повышения защищённости от внешних и внутренних угроз.
В качестве недостатков можно выделить следующее.
Недостатки:
- Отсутствие на текущий момент сертификатов ФСТЭК России и ГОСТ (планируется сертификация по ТУ и ОУД 6).
- Отсутствие настройки (по умолчанию) блокировки сессии в случае бездействия пользователя после заданного промежутка времени.