Сертификат AM Test Lab
Номер сертификата: 309
Дата выдачи: 05.10.2020
Срок действия: 05.10.2025
- Введение
- Функциональные возможности SafePhone
- Архитектура SafePhone
- Системные требования SafePhone
- Лицензирование
- Соответствие требованиям нормативных правовых документов
- Применение SafePhone
- Выводы
Введение
Корпоративная мобильность с каждым годом используется всё большим числом компаний. С её помощью автоматизируется деятельность полевых сотрудников и производственного персонала. Она помогает руководителям своевременно получать доступ к данным, нужным для принятия решений, а офисным работникам — оставаться на связи, где бы они ни находились. Но за всё приходится платить.
Чем сильнее мобильные устройства вовлекаются в бизнес-процессы, тем больше на них данных, потеря которых может чувствительно ударить по компании. Соответственно, каждое такое устройство становится значимым активом, который нужно беречь и защищать.
Заниматься этим необходимо непрерывно и повсеместно — как в корпоративной среде, так и за её пределами. Поэтому внедрение решений класса Enterprise Mobility Management (EMM) можно назвать стратегической неизбежностью.
Российский рынок EMM-решений сейчас активно развивается, на нём представлены не только зарубежные решения из квадранта Gartner, но и отечественные разработки.
Сегодня мы рассматриваем российский продукт класса EMM — SafePhone, разработанный компанией НИИ СОКБ.
Функциональные возможности SafePhone
Перечислим основные функции SafePhone:
- Управление политиками безопасности — предъявление требований к наличию и сложности пароля, управление доступом к интерфейсам записи и передачи данных, ряду других функций мобильных устройств.
- Действия в случае потери или кражи устройства — дистанционная блокировка или сброс к заводским настройкам.
- Контроль взлома устройств (root, jailbreak) — при обнаружении соответствующих признаков автоматически удаляются корпоративные приложения и их данные.
- Настройка беспроводных сетей Wi-Fi и точек доступа APN для выхода в интернет через сеть сотового оператора.
- Мониторинг местоположения мобильных устройств.
- Журналирование информации о фактах совершения звонков и отправки / приёма SMS-сообщений (при необходимости).
- Реализация управления на основе политик с использованием ролевой модели.
- Централизованное управление приложениями.
Представляется, что некоторые из этих возможностей заслуживают дополнительных комментариев.
Централизованное управление приложениями
SafePhone позволяет централизованно настраивать параметры приложений. Система также предоставляет возможность использовать корпоративный магазин приложений для установки, обновления, удаления программ на мобильных устройствах пользователей в ручном или автоматическом режиме. Кроме того, SafePhone на уровне политик позволяет разрешить или запретить установку приложений из магазинов App Store и Google Play. В системе также можно формировать «чёрные» и «белые» списки используемых приложений.
Контейнеризация
SafePhone позволяет изолировать корпоративные и личные приложения и данные, раздельно управлять программами в контейнере и вне его. Также возможна реализация «индивидуального» VPN для корпоративных приложений.
Геопозиционирование
SafePhone предоставляет возможность мониторинга местоположения зарегистрированных в системе мобильных устройств, включая носимые — типа SafeLife.
С помощью SafePhone возможен геомониторинг в режиме реального времени с заданной администратором частотой опроса местоположения мобильных устройств. Кроме того, возможно ретроспективное воспроизведение «движения по маршруту». SafePhone позволяет применять различные политики на устройстве в зависимости от его местонахождения. Например, в «режимной» геозоне автоматически загружается соответствующая строгая политика, а при выходе оттуда — возвращается стандартная. При этом используется картографический сервис OpenStreetMap и возможна привязка положения мобильного устройства к карте местности.
Более подробно о функциональных возможностях расскажем в разделе «Применение SafePhone».
Архитектура SafePhone
SafePhone представляет собой программный комплекс и включает в свой состав серверные и клиентские компоненты.
Рисунок 1. Архитектура SafePhone
Изначально на корпоративный смартфон / планшет под управлением iOS, Android или «Аврора» либо на ноутбук под управлением Windows или macOS устанавливается приложение SafePhone. Далее средства администрирования и системные сервисы (серверные компоненты) SafePhone развёртываются в инфраструктуре заказчика (on-premise) или используется «облачная» версия системы; в последнем случае применяются серверные мощности ЦОД SafeDC, аттестованного по требованиям безопасности информации.
Технологически SafePhone состоит из четырёх серверов, которые в зависимости от числа управляемых мобильных устройств могут быть установлены как на одном физическом или виртуальном сервере, так и на нескольких:
- сервер команд,
- сервер управления,
- сервер баз данных (БД),
- сервер администрирования.
Администрирование SafePhone осуществляется с помощью веб-консоли.
Системные требования SafePhone
SafePhone нетребователен к вычислительным ресурсам. Установка серверных компонентов выполняется в предварительно созданной программной среде, включающей в себя следующие элементы:
- 64-разрядные ОС Linux с поддержкой Docker: CentOS 7.x, Red Hat Enterprise Linux 7.x, SUSE Linux Enterprise Server 12 SP3;
- Oracle 11g Release 2 и Oracle 12с Release 2 (при использовании СУБД Oracle);
- PostgreSQL 11 (при использовании СУБД PostgreSQL).
В качестве примера приведём несколько типовых конфигураций серверных частей продукта (табл. 1).
Таблица 1. Типовые требования к серверной части SafePhone
Масштаб инфраструктуры (кол-во устройств) | Компонент системы (на базе виртуальной машины) | ЦП, кол-во ядер | ОЗУ, ГБ | Диск, ГБ |
1—100 | Сервер SafePhone | 2 | 2 | 20 |
101—500 | Сервер SafePhone | 2 | 4 | 30 |
501—1000 | Сервер управления и администрирования | 2 | 4 | 20 |
Сервер БД | 2 | 4 | 100 | |
1001—2000 | Сервер управления | 2 | 4 | 20 |
Сервер администрирования | 2 | 4 | 20 | |
Сервер БД | 2 | 4 | 200 | |
2001—10000 | Сервер команд | 2 | 4 | 20 |
Сервер управления | 4 | 4 | 20 | |
Сервер администрирования | 2 | 6 | 20 | |
Сервер БД | 4 | 8 | 300 |
Платформа SafePhone позволяет контролировать мобильные устройства под управлением операционных систем iOS (начиная с версии 9.x и выше), Android (начиная с версии 4.4 и выше). Также поддерживаются операционные системы Windows, macOS, «Аврора», но для них реализовано меньше политик, чем для iOS и Android. Кроме того, SafePhone поддерживает смарт-браслеты SafeLife, обеспечивающие возможность непрерывного мониторинга местоположения и здоровья сотрудников в процессе выполнения ими трудовых обязанностей.
Для функционирования автоматизированного рабочего места (консоли) администратора системы требуется любой из перечисленных браузеров: Mozilla Firefox актуальной версии, Google Chrome актуальной версии, Microsoft Internet Explorer 11.
Лицензирование
SafePhone лицензируется по числу управляемых устройств. При этом длительность зависит от выбранного тарифа: лицензия может быть приобретена на 1 год, на 3 года или бессрочно. У лицензий на 1 год и 3 года в стоимость входит техническая поддержка на весь срок действия, а у бессрочных — годовая.
Минимальное количество приобретаемых локальных (on-premise) лицензий — 25 штук, SaaS-лицензий — 10 штук.
Соответствие требованиям нормативных правовых документов
SafePhone сертифицирован по требованиям к оценочному уровню доверия ОУД4 (сертификат ФСТЭК России № 4157 до 03.09.2024), а также включён в реестр российских программ для электронных вычислительных машин и баз данных (регистрационный номер ПО: 4435 от 12.04.2018).
SafePhone соответствует требованиям ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций». Это соответствие позволяет успешно проводить аттестацию государственных и аудит банковских информационных / автоматизированных систем, в составе которых применяется SafePhone.
Применение SafePhone
Описание интерфейса SafePhone
Сопровождение системы, включая настройки политик и управление мобильными устройствами, осуществляется из веб-консоли («АРМ Администратора»). Чтобы начать работать с SafePhone, необходимо набрать в интернет-браузере URL сервера SafePhone. Появляется стартовая страница для ввода аутентификационных данных.
Рисунок 2. Окно аутентификации SafePhone
После идентификации пользователь попадает на главную страницу, где отображаются:
- панель организационно-штатной структуры в виде иерархического списка подразделений,
- главная таблица, содержащая список устройств сотрудников,
- информационная таблица, которая находится в нижней части окна и отображает данные по устройствам, выбранным в главной таблице;
- главное меню, которое находится в левой части окна и содержит элементы, позволяющие осуществлять управление мобильными устройствами и получать информацию о них.
Рисунок 3. Главное окно «АРМ Администратора» SafePhone
Список подразделений организационно-штатной структуры позволяет выбрать конкретный отдел или департамент, после чего в главной таблице справа отобразится список устройств, имеющихся у сотрудников этого подразделения. Кроме того, можно отобразить всех сотрудников и все устройства компании. Справа находятся список и параметры комплектов, зарегистрированных в системе. «Комплект» в терминологии SafePhone — это устройство, использующий его сотрудник и установленная SIM-карта (при наличии), взятые в совокупности. В нижней части главного окна «АРМ Администратора» отображаются сведения по устройству.
Панель главного меню включает в себя следующие разделы:
- «Информация об устройствах» — отображение сведений о совершённых звонках, отправленных сообщениях, изменениях в местоположении устройства (абонента) на карте и иных действиях с устройством.
- «Управление устройствами» — отправка команд на устройство, а также создание политик безопасности.
- «Приложения» — управление программами на мобильных устройствах.
- «Отчёты» — построение отчётов по сведениям, доступным в разделе «Информация об устройствах» (совершённые звонки и т. д.).
- «Объекты учёта» — создание пользователей, ролей, администраторов, организационно-штатной структуры, геозон, комплектов, приложений для загрузки на устройства и пр.
- «Загрузчик» — управление кодами приглашений, используемыми при установке клиентской части на устройство.
Также меню содержит разделы «Календарь», «Адресная книга» и прочие служебные секции системы.
Далее мы рассмотрим, как установить клиент на мобильное устройство, осуществлять мониторинг работы устройств и пр. Впрочем, перед всем этим нужно выполнить подготовительные действия: создать подразделение в рамках организационно-штатной структуры, роль, пользователя, профили и т. д.
Создание организационно-штатной структуры, ролей, сотрудников и иных объектов SafePhone
Для удобства управления мобильными устройствами в платформе существует возможность формирования организационно-штатной структуры. Структура может быть как построена администратором вручную, так и импортирована из службы каталогов Microsoft Active Directory. В процессе работы управляемые мобильные устройства располагаются в соответствующих папках (OU в терминах Microsoft AD) и с ними ассоциируются созданные администратором же профили (наборы политик и настроек).
Для создания подразделения в рамках организационно-штатной структуры необходимо перейти в раздел «ОШС», в рамках иерархического списка выбрать соответствующий уровень и добавить нужный отдел.
Рисунок 4. Создание подразделения в рамках организационно-штатной структуры SafePhone
Впоследствии в созданные группы подразделений будут добавляться пользователи.
Для создания роли пользователя необходимо перейти в раздел «Роли» и добавить новую роль.
Рисунок 5. Создание роли в SafePhone
После добавления роли необходимо наделить её требуемыми полномочиями. На основе ролей создаётся ролевая модель администрирования SafePhone, которая очень гибка и позволяет максимально оперативно реализовать роль с любыми полномочиями, привязать произвольный профиль к любому мобильному устройству, сотруднику или группе организационно-штатной структуры.
Рисунок 6. Наделение роли полномочиями в SafePhone
В разделе «Администратор» также можно ограничить область управления — указать подразделения организационно-штатной структуры, мобильными устройствами которых администратор может управлять. Так можно назначить администраторов для разных филиалов и дочерних обществ в рамках одной системы.
Рисунок 7. Ограничение области управления администратора
Справочник сотрудников ведётся для учёта абонентов. Создание пользователей, к которым впоследствии будут привязаны мобильные устройства, осуществляется в разделе «Сотрудники».
Рисунок 8. Создание сотрудника в SafePhone
Комплекты являются основными объектами учёта в SafePhone. Комплект определяет абонента системы и устанавливает соответствие между SIM-картой, сотрудником и конфигурацией мобильного клиента SafePhone.
Рисунок 9. Раздел «Комплекты» в SafePhone
Окно «SIM-карта» предназначено для управления записями о SIM-картах, используемых на устройствах. Данные добавляются автоматически. Администратор может указать, какие SIM-карты являются корпоративными, для применения в зависимости от этого политик безопасности.
Меню «Геозоны» предназначено для создания именованных областей на географической карте, которые используются для применения заданных ограничений и настроек ОС к устройствам, и для управления этими областями. Кроме того, система фиксирует факт вноса мобильных устройств в геозоны и выноса из них, формируя по этим данным отчёт. Так можно контролировать соблюдение сотрудниками регламентных маршрутов или графика посещений объектов.
Рисунок 10. Раздел «Геозоны» в SafePhone
Регистрация устройств в SafePhone
SafePhone предоставляет возможность самостоятельной регистрации пользователей мобильных устройств при помощи кодов приглашений. Для регистрации устройства в разделе «Загрузчик» необходимо сгенерировать пригласительные коды. Создание кодов осуществляется с привязкой к организационно-штатной структуре.
Рисунок 11. Процесс создания кодов приглашения в разделе «Загрузчик» веб-консоли SafePhone
Созданные коды и их статусы отображаются в таблице в разделе «Загрузчик».
Рисунок 12. Созданные коды и их статусы в разделе «Загрузчик» веб-консоли SafePhone
Процесс установки приложения на мобильном устройстве вполне прост. Однако есть некоторые особенности инсталляции клиента на различных платформах и версиях ОС. Мы рассмотрим самостоятельную установку клиента пользователем на мобильном телефоне Samsung. На устройствах этого производителя клиент также может быть установлен автоматически с помощью технологии Knox Mobile Enrollment.
Запускаем на смартфоне веб-браузер Chrome и переходим на портал регистрации. Затем скачиваем с портала приложение-загрузчик и устанавливаем его на устройство.
Рисунок 13. Процесс установки приложения SafePhone на мобильном устройстве
После установки возвращаемся обратно на портал и вводим код приглашения (его мы ранее сгенерировали в «АРМ Администратора» в разделе «Загрузчик»). Далее проходим этапы установки с помощью мастера.
Рисунок 14. Процесс установки приложения SafePhone на мобильном устройстве
В процессе инсталляции выбираем тип устройства (корпоративное или личное). Выбор может влиять на применение политик. После прохождения установки загрузится файл package.skb. Далее открываем на смартфоне приложение SafePhone Loader и соглашаемся с предложенным (разрешить доступ к файлам и дать приложению права администратора). Следом в нашем случае на экране появилось окно от производителя устройства (Samsung) с примечанием о конфиденциальности, где также потребовалось согласиться с предложенными условиями. При успешной установке мобильного клиента отобразится уведомление SafePhone «Система защищена».
Рисунок 15. Процесс установки приложения SafePhone на мобильном устройстве
После установки к устройству можно применять соответствующие политики безопасности, осуществлять мониторинг его работы и пр.
Далее рассмотрим, как управлять устройствами при помощи SafePhone.
Управление устройствами
SafePhone предоставляет возможность отправки команд на контролируемые мобильные устройства.
Рисунок 16. Меню «Команды» в SafePhone
Для этого необходимо выбрать устройство в главной таблице, а затем — пункт меню «Команды» и требуемую команду в информационной таблице.
Администратор таким образом может разблокировать / заблокировать устройство, отправить внутреннее сообщение пользователю, запретить связь с некорпоративными абонентами, выполнить изменения конфигурации, сброс пароля и т. д.
С помощью профилей администратор осуществляет назначение политик безопасности абонентам и устройствам.
Рисунок 17. Создание профиля в SafePhone
Для платформы iOS поддерживаются следующие типы профилей:
- Парольные политики. Требования к паролю для доступа к устройству.
- Политики ограничений. Ограничение возможностей ОС и встроенных приложений.
- Exchange-аккаунт.
- Политики Cellular. Настройка мобильного интернета.
- Режим киоска, в котором пользователь мобильного устройства имеет доступ только к одному приложению.
- Управляемые домены, с помощью которых администратор может ограничить возможность открывать скачанные в браузере файлы в неподконтрольных SafePhone приложениях.
- Точка доступа Wi-Fi.
- Доверенный сертификат.
Для платформы Android:
- Парольные политики. Требования к паролю для доступа. Можно настроить разные требования для устройства и контейнера.
- Политики ограничений. Ограничение возможностей ОС и встроенных приложений. Для устройства и контейнера настраиваются отдельно.
- Настройки монитора. Параметры работы мобильного клиента SafePhone.
- Режим киоска. Аналогично iOS, только можно ограничить доступ не только к одному приложению, а сразу к нескольким.
- Exchange-аккаунт.
- Политики сотовой сети. Настройка мобильной APN для доступа в интернет через сеть сотового оператора.
- Точка доступа Wi-Fi.
- Доверенный сертификат.
Рисунок 18. Создание профиля в SafePhone
Для применения профилей их нужно назначить. Профили можно назначать подразделениям, отдельным сотрудникам или даже на конкретные устройства. Если профиль назначен, то его настройки и их последующие изменения будут доведены до мобильных устройств автоматически.
Рисунок 19. Назначение профилей
Каждый профиль в системе имеет владельца (пользователя, который его создал). Только владелец может вносить изменения в профиль. Также создатель вправе сделать владельцем другого администратора. Назначение профилей доступно владельцу и администраторам, которым он делегировал соответствующее право.
Мониторинг мобильных устройств
SafePhone обладает широкими возможностями по мониторингу мобильных устройств. С этой целью можно оперировать разделами «Информация об устройствах» и «Отчёты».
Например, в меню «Сообщения» (раздел «Информация об устройствах»), как можно понять по названию, находится информация по зарегистрированным сообщениям, включая переданные посредством SMS и внутренние. Для последних отображается содержимое: текст, ссылки для скачивания фотографий и голосовых записей. Содержимое SMS-сообщений недоступно.
Рисунок 20. Меню «Сообщения» (раздел «Информация об устройствах») в SafePhone
Для просмотра / прослушивания внутренних фотографий / голосовых сообщений, отображающихся в информационной таблице, необходимо нажать на соответствующий значок, и файл с сообщением скачается в папку «Загрузки» (Downloads) на ПК. Отобразить или воспроизвести скачанные файлы можно в любом прикладном ПО, поддерживающем форматы JPG и AMR.
В меню «Звонки» (раздел «Информация об устройствах») отображаются зарегистрированные вызовы, выполненные с контролируемого устройства.
Рисунок 21. Меню «Звонки» (раздел «Информация об устройствах») в SafePhone
Раздел «Местоположения» отображает фрагмент карты, на которой в виде ломаной линии отображена информация о местоположении и перемещении абонента.
Рисунок 22. Раздел «Местоположения» в SafePhone
Также в разделе «Отчёты» есть сводка по перемещениям.
Рисунок 23. Отчёт по перемещениям в SafePhone
В отчёте по геозонам можно посмотреть информацию о входе в / выходе из них абонентов системы SafePhone за указанный администратором интервал времени.
Рисунок 24. Отчёт по геозонам в SafePhone
Доступен также отчёт с информацией о профилях, которые применены на подключённых к системе устройствах. Он состоит из двух таблиц: верхняя — с реестром назначенных и применённых профилей, нижняя — со значениями параметров политик выбранного профиля, установленными и применёнными на устройстве. Аналогичный отчёт можно построить и по правилам управления приложениями.
Рисунок 25. Отчёт по профилям в SafePhone
В разделе «Данные об устройстве» можно получить инвентаризационную информацию о контролируемом средстве мобильной связи, в том числе — данные о сотруднике и SIM-карте, тип и модель устройства, ОС, заряд аккумулятора и прочие статусы. Её можно посмотреть по отдельности или выгрузить в табличном виде сразу по всем устройствам выбранного подразделения.
Рисунок 26. Меню «Данные об устройстве» в SafePhone
С информацией о событиях из области информационной безопасности можно ознакомиться в меню «События ИБ» раздела «Отчёты». В открывшемся окне отображается таблица с перечнем событий, произошедших в интервале времени, заданном администратором.
К ИБ-событиям могут относиться попытки взлома устройства, его блокировки, смены и пр. (полный список очень велик).
Рисунок 27. Отчёт «События ИБ» в SafePhone
Кроме того, можно составлять отчёты по совершённым звонкам и отправленным сообщениям, проводить аудит действий администраторов.
Управление приложениями
В SafePhone можно добавить дистрибутивы приложений или указать ссылки на них в одном из магазинов производителей.
Рисунок 28. Добавление приложения из App Store
Действия с приложениями на мобильных устройствах управляются при помощи правил. Правила могут определять одно или несколько действий:
- Установить приложение на устройство или в контейнер.
- Удалить приложения с устройства или из контейнера.
- Отключить приложение — заблокировать пользователю доступ к нему без удаления данных.
- Удалить приложение вместе с клиентом SafePhone, если пользователю разрешена эта операция.
Рисунок 29. Создание правила управления приложением
Чтобы передать приложению настройки, нужно указать их в разделе «Конфигурации». В этом случае пользователю не придётся указывать их вручную. В качестве значений таких типовых настроек, как имя пользователя, домен или адрес электронной почты, можно использовать строки вида {{employee.exchange.emp_email_login}}, данные в которые для каждого конкретного пользователя будут подставлены автоматически.
Рисунок 30. Управление конфигурацией приложения
Назначение правил управления приложениями и их конфигураций осуществляется единообразно. Устройства получают всё, что назначено администратором, автоматически; в итоге для контроля сотен или даже тысяч устройств будет достаточно нескольких человек.
Выводы
SafePhone версии 4 — это полнофункциональный и несложный в настройке и эксплуатации продукт для автоматизации процессов безопасного централизованного управления мобильными устройствами в компаниях и государственных организациях, как крупных, так и сравнительно небольших (SMB). Его применение позволяет существенно снизить текущие затраты и риски утечки информации, обусловленные использованием мобильных устройств в корпоративной среде.
SafePhone является отечественной разработкой. Он сертифицирован по требованиям к оценочному уровню доверия ОУД4 (сертификат ФСТЭК России № 4157 до 03.09.2024), а также включён в реестр российских программ для электронных вычислительных машин и баз данных (регистрационный номер ПО: 4435 от 12.04.2018). SafePhone соответствует требованиям ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций». Это соответствие позволяет успешно проводить аттестацию государственных и аудит банковских информационных / автоматизированных систем, в составе которых применяется SafePhone.
SafePhone доступен как услуга (по модели SaaS), для чего используются серверные мощности ЦОД SafeDC компании НИИ СОКБ, аттестованного по требованиям безопасности информации. Облачная версия позволяет быстро развернуть продукт в организациях любого размера без установки оборудования на стороне клиента.
Достоинства:
- Наличие сертификата соответствия требованиям безопасности ФСТЭК России.
- Прозрачная система лицензирования продукта.
- Продукт доступен и для установки в инфраструктуре заказчика (on-premise), и как услуга (по модели SaaS).
- Возможность отслеживать местоположение мобильных устройств и браслетов SafeLife (в последнем случае — с мониторингом состояния здоровья сотрудников).
- Совместимость с распространёнными VPN, включая сертифицированные (ViPNet).
- Возможность управления устройствами (отправка команд) из консоли администратора, в том числе — удалённая блокировка и разблокировка мобильного устройства.
- Широкий спектр функций для мониторинга мобильных устройств и построения отчётности.
Недостатки:
- Отсутствие поддержки платформы Astra Linux.
- Загрузчик (клиентское ПО) для Android нельзя скачать из официального магазина, что в отдельных случаях требует включать установку приложений из недоверенных источников.