Safephone монитор что это
Леонид Каганов: дневник
Данное сообщение (материал) создано и (или) распространено иностранным средством массовой информации, выполняющим функции иностранного агента, и (или) российским юридическим лицом, выполняющим функции иностранного агента, и (или) просто каким-то чуваком, которому нравятся дурацкие надписи и (или) мечтать о карьере иностранного агента потому что это типа сейчас крутой тренд и (или) хайп.
Если я скажу, что сегодня мы будем говорить про систему SafePhone, цель которой — взять под контроль мобильный телефон, чтобы по команде извне запрещать одни приложения и устанавливать другие, удалять в любой момент ваши данные, следить за вашими перемещениями, иметь доступ к настройкам и журналам. то это вызовет священный ужас. А на самом же деле это очень нужная и полезная система. Нет, конечно же, она не претендует на ваш личный мобильный телефон, купленный вами для себя на собственные деньги. Речь идет о смартфоне служебном, специально для этой цели настроенном. Обычно это устройства, оптом закупленные организацией для своих сотрудников. Ваш любимый личный смартфон может оказаться старым и не подходящим для этих задач — подходят многие модели, но не любые. Вообще с большой долей вероятности вам выдадут отличный новенький Samsung, но об этом чуть ниже.
Итак, вы — руководитель организации, и у вас есть полевые сотрудники. Это может быть водитель, курьер, электрик или газовщик, обходящий дома, участковый врач, доставщик пиццы или просто программист вашего офиса. Им нужно быть всегда на связи, желательно по защищенному каналу. Чтобы данные о выполненных задачах поступали в базу предприятия в реальном времени, чтобы местоположение сотрудника в рабочее время было всегда известно и связь с ним была бесперебойной. Всё это нужно и для оптимального планирования маршрута по району, да и для его безопасности тоже: чтобы в случае непредвиденных ситуаций можно было разыскать сотрудника и оказать помощь, отправить сигнал тревоги в службу реагирования диспетчерской.
Возможно, у вашего сотрудника раньше вообще не было смартфона, только простая звонилка. Тогда он точно не сумеет сам настроить рабочее приложение, своевременно его обновить (или откатить на предыдущую версию, если возникнет такая необходимость). Но ему и не надо — теперь это всё делается централизованно.
За счет того, что SafePhone позволяет настроить политики безопасности смартфона и запретить изменения, сотрудник не сможет закачать сомнительные приложения, которые могут выкрасть адреса клиентов или корпоративные тайны.
Иногда телефон может быть украден или просто забыт пятничным вечером на барной стойке. Всякое бывает. И тогда нужно послать сигнал о его розыске, блокировке или уничтожении служебных данных.
Кстати, любопытно, что полное ограничение сотрудника, запрет на любое иное использование смартфона, включая общение с друзьями и семьей — это обычно не входит в поставленную задачу, поскольку это попросту неэффективно. Эффективно — это сделать так, чтобы служебный телефон стал верным спутником ваших сотрудников. В идеале — чтобы он со временем сделался роднее, чем старый личный. Иначе ваш монтажник забудет аппарат на столе в офисе и уйдет по участку со своей родной Нокия-3110, по которой будет звонить «Маша, ты поела, уроки сделала?» И даже не специально-то забудет, а просто по рассеянности — работодатель всё ограничил, поэтому игрушка монтажнику не нужна, вот он и не чувствует в ней потребности.
Иными словами, задача объединения корпоративных смартфонов в единую сеть очень актуальна — как для крупных индустриальных гигантов, так и для небольших фирм, всего на 100 сотрудников. Что это дает для бизнеса?
Бесперебойная работа сотрудников за счет централизованного управления их мобильными устройствами: почта, календарь, приложения. А также решение проблем по установке и обновлению необходимых для работы корпоративных приложений.
Снижение расходов: на создание ИТ-инфраструктуры, за счет использования сервисной модели, с размещением серверной части решения в защищенном ЦОДе у вендора;
Предотвращение утечки конфиденциальной информации компании при утере/краже мобильного устройства. Контроль использования служебных мобильных устройств.
Пример: один из заказчиков SafePhone — энергетический гигант, поставляющий услуги населению столичного региона. Не будем произносить известное название, назовем условно «Мос. что-то там». Организация, у которой громадный штат полевых сотрудников, и все они должны быть постоянно на связи, постоянно получать и передавать информацию, их телефоны должны постоянно иметь обновленное ПО и последнюю версию приложений, должны быть защищены, и их аккумулятор не должен садиться за три часа только потому, что сотрудник установил какое-то левое приложение, которое в фоне начало майнить биткоины и жрать батарею. Поэтому организация выдает сотрудникам корпоративные смартфоны, это порядка 2000 устройств. Вопрос: какой штат IT-специалистов необходимо содержать, чтобы весь парк этих устройств день за днем был полностью настроен и обновлен? Ответ: достаточно всего лишь одного сотрудника. Но только — при наличии такого инструмента, который позволяет централизованно работать с сотнями устройств, оперировать с данными и отчётностью.
Как работает система? Список поддерживаемых платформ велик, но чаще всего речь идет про Android и iOS. Джейлбрейк и root не требуются, более того — считаются угрозой. Современные операционные системы имеют свои средства, позволяющие выдать одному приложению системные привилегии. Для iOS это конфигурационные профили, для Андроид — Android Enterprise, для Samsung — среда Samsung Knox. Получив законным образом администраторские права при первоначальной настройке смартфона, системное приложение SafePhone первым делом проверяет безопасность: чтобы телефон был закрыт паролем, настроены элементарные меры, которыми многие пользователи пренебрегают. Далее, если надо, ограничиваются возможности — вводятся черные и белые списки приложений, контейнеризация (выделение в смартфоне мест для изолированного хранения корпоративных данных, исключающего их утечку), иногда — блокировка фотокамеры и интерфейсов. Например — можно блокировать камеру и доступ к сайтам когда телефон по своим координатам находится на определенных объектах (на заводе, полигоне, воинской части). Кроме того, настраивается удаленный доступ к почте и данным. После этого начинается работа, и здесь возможностей много. Например, у платформы SafePhone есть встроенные средства для защищённого удалённого доступа к файлам (корпоративный «Dropbox»), а также защищённые браузер и почтовый клиент для платформы iOS, где нет встроенных инструментов «контейнеризации» встроенных приложений.
Руководители, которые интересовались вопросом, знают, что вообще-то подобные EMM-системы (Enterprise Mobility Management) изобретены давно и не у нас в стране, а распространены по всему миру, представлены в ассортименте, и сфера их использования растет год от года.
Почему же при переоборудовании ваших предприятий имеет смысл обратить внимание именно на SafePhone? Причины есть, и достаточно веские:
1. Опыт. Разработчик SafePhone — НИИ СОКБ (НИИ Систем обеспечения комплексной безопасности) имеет большой опыт разработки сложных промышленных программных продуктов.
2. Оперативность реагирования на запросы пользователей. НИИ СОКБ – это российский разработчик, поэтому с любой проблемой и необходимой доработкой не придётся далеко ходить.
3. Наши реалии. Существуют нюансы российского рынка, которые учесть может только российский производитель. Простой пример: по закону РФ работодатель имеет право отслеживать перемещение своего сотрудника, но. только в рабочее время. Соответственно, импортная EMM, которая продолжит писать GPS-трек вашего монтажника по окончании его рабочего дня, становится абсолютно незаконной и легко превращается в повод для суда и проблем. SafePhone умеет работать именно в наших реалиях.
4. Сертификация. Головная боль, известная, увы, любому руководителю: каждый чих, каждый ключ, протокол, диапазон, стандарт — всё должно иметь российские сертификаты от регулирующих органов. Работая столько лет на российском рынке, в SafePhone все нужные сертификаты давно собрали.
Почему я сказал выше, что если вы сотрудник, то с большой вероятностью вам светит получить от своей фирмы в руки хороший Samsung? Дело в том, что сегодня Samsung дальше прочих продвинулся в вопросах безопасности — речь про систему безопасности Samsung Knox: это и менеджер паролей Samsung Pass, и платёжный сервис Samsung Pay, и вообще целое семейство корпоративных решений на платформе Knox, таких как Knox Mobile Enrollment, c помощью которого можно подключать мобильные устройства к EMM прямо из «коробки». Ценность подхода Samsung в том, что безопасность эта — аппаратная. Она начинается буквально с конвейера: еще на заводе в каждом устройстве создаются два основных криптографических ключа. Это DUHK (Device Unique Hardware Key), который недоступен вообще никому, кроме аппаратного модуля шифрования в девайсе, и с помощью него будут шифроваться все остальные ключи. И DRK (Device Root Key), Корневой ключ устройства, который отныне будет подтверждением, что устройство произведено и настроено именно Samsung. На этой основе затем строится всё то, что называется доверенной средой. В том числе контейнеризация Knox: отдельные приложения, установленные специальным образом в защищенный контейнер, работают в обычном окружении и не требуют изменений кода, но защищены, грубо говоря, уже на аппаратном уровне. Стоит ли удивляться, что Samsung Knox — наиболее рекомендуемая платформа мобильников для EMM SafePhone, поскольку дает самое удобное администрирование и самый высокий уровень защиты? НИИ СОКБ и Samsung сотрудничают с 2015 года. SafePhone протестирован и одобрен специалистами Samsung наравне с такими компаниями, как VMware, Citrix, Microsoft и IBM. Хотя повторю: использование мобильников Samsung отнюдь не обязательное требование для системы SafePhone, просто наиболее лакомое с точки зрения возможностей безопасности.
SafePhone. Система защиты информации на корпоративных мобильных устройствах с централизованным управлением
SafePhone. Система защиты информации на корпоративных мобильных устройствах с централизованным управлением
SafePhone. Система защиты информации на корпоративных мобильных устройствах с централизованным управлением
EMM SafePhone (Enterprise Mobility Management) — российская комплексная платформа для управления и обеспечения безопасности мобильной экосистемы предприятия
Импортозамещение корпоративной мобильности неизбежно. Очевидно, что этот процесс будет постепенным и во время переходного периода в инфраструктуре российских компаний будут сосуществовать отечественные и зарубежные мобильные решения. Чтобы снизить затраты на импортозамещение в будущем, нужно выбирать инфраструктурные решения, которые одновременно поддерживают широкий спектр мобильных устройств и операционных систем, не ограничиваясь поддержкой только отечественных или только зарубежных решений. Именно таким инфраструктурным решением является платформа EMM SafePhone!
ЭФФЕКТИВНОСТЬ ИСПОЛЬЗОВАНИЯ SAFEPHONE В ОРГАНИЗАЦИИ
ОСНОВНЫЕ ВОЗМОЖНОСТИ SAFEPHONE
ОДИН SAFEPHONE, ЧТОБЫ ПРАВИТЬ ВСЕМИ
SafePhone предоставляет возможность безопасного централизованного управления большинством моделей современных мобильных устройств, работающих на большинстве представленных на российском рынке мобильных операционных систем – Android, iOS, Windows, macOS, Аврора. В планах – поддержка Astra Linux.
SAFEPHONE – ЗРЕЛОЕ РЕШЕНИЕ
Платформе уже более 10 лет. За это время ею воспользовались десятки заказчиков. Под управлением SafePhone находятся тысячи мобильных устройств по всей России.
SAFEPHONE УДОВЛЕТВОРЯЕТ ТРЕБОВАНИЯМ РЕГУЛЯТОРОВ
SafePhone сертифицирован ФСТЭК России (сертификат № 4157 до 03.09.2024), включен в реестр российских программ для электронных вычислительных машин и баз данных (Рег. номер ПО: 4435 от 12.04.2018) и соответствует требованиям ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций». Это позволяет применять SafePhone для организации защищённого удалённого доступа с мобильных устройств как к персональным данным, так и к государственным информационным ресурсам.
ЕЩЕ БОЛЬШЕ ПОЛЕЗНОЙ ИНФОРМАЦИИ О SAFEPHONE НА ОФИЦИАЛЬНОМ САЙТЕ ПРОДУКТА SAFE-PHONE.RU
Управление устройствами (MDM)
Платформа SafePhone обеспечивает возможность безопасного централизованного управления большинством современных мобильных устройств, работающих на всех мобильных платформах, представленных на российском рынке.
Управление приложениями (MAM)
Платформа SafePhone позволяет автоматизировать весь жизненный цикл мобильных приложений – установку, обновление, настройку и удаление приложений на устройствах пользователей:
Управление контентом (MCM)
С помощью SafePhone можно безопасно разделить корпоративные и личные данные на мобильном устройстве. Для защиты корпоративных данных в этом случае мы предлагаем использовать следующие функции:
Унифицированное управление пользовательскими устройствами (UEM)
Платформа SafePhone обеспечивает применение единой корпоративной политики ко всем пользовательским устройствам – управляет смартфонами и планшетами на базе iOS, Android и Аврора, а также ноутбукам и рабочим станциям на macOS и Windows 10.
С помощью платформы SafePhone осуществляется управление устройствами интернета «вещей» (IoT) – смарт-браслетами SafeLife, предназначенными для мониторинга местоположения и состояния здоровья полевых работников, не оснащённых смартфонами или планшетами.
Геолокация
Платформа SafePhone позволяет осуществлять мониторинг местоположения мобильных устройств и смарт-браслетов SafeLife:
Совместимость
В полном объеме:
Частично:
Мобильные устройства
Платформа SafePhone позволяет брать под управление
В полном объеме:
Частично:
Мобильные стратегии
BYOD (Bring Your Own Device)
Подразумевает изоляцию корпоративных и личных данных, что на практике означает шифрование корпоративных данных и невозможность доступа к корпоративным данным личных приложений.
Ровно так же платформа не имеет доступа к личным данным пользователя – владельца мобильного устройства (журналы местоположения, SMS, GSM звонков).
COPE (Corporate Owned, Personal Enabled)
Представляет собой разновидность сценария BYOD c точностью до владельца мобильного устройства. В случае COPE – владельцем является компания.
Поддерживается SafePhone в полном объеме на всех совместимых ОС и мобильных устройствах.
COBO (Company Owned, Business Only)
Предполагает полное отсутствие личных данных и приложений на устройстве мобильного сотрудника.
Самая простая с точки зрения реализации стратегия.
Поддерживается SafePhone в полном объеме на всех совместимых ОС и мобильных устройствах, кроме iOS, где такой сценарий не предусмотрен производителем (Apple).
SafePhone
Разработан в России
Поддерживает концепцию защищённого удалённого доступа
к корпоративной информационной системе с мобильных устройств
Платформа SafePhone предназначена для автоматизации процессов безопасного централизованного управления мобильными устройствами в компаниях разного масштаба — от крупного бизнеса до небольших компаний (SMB)
SafePhone – решение, максимально удовлетворяющее требованиям регуляторов
SafePhone сертифицирован ФСТЭК России (сертификат № 4157), включен в реестр отечественного программного обеспечения Минцифры России (Рег. номер ПО: 8694), а также соответствует требованиям ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций»
SafePhone сертифицирован ФСТЭК России (сертификат № 4157) Включен в реестр отечественного программного обеспечения Минкомсвязи (Рег. номер ПО: 8694), а также соответствует требованиям ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций»
Конкурентоспособный
SafePhone
Зрелое решение
Платформе уже более 10 лет. Качество решения и удобство его использования доказано более 30 успешных проектов и довольных заказчиков. С некоторыми из проектов можно ознакомиться здесь
SafePhone как услуга
Причем как из собственного ЦОД, аттестованного на соответствие 1 классу и 1 уровню защищенности информационных систем, обрабатывающих государственные информационные ресурсы и персональные данные граждан, так и из любого другого, удобного заказчику.
Причем как из собственного ЦОД, аттестованного на соответствие 1 классу и 1 уровню защищенности информационных систем, обрабатывающих государственные информационные ресурсы и персональные данные граждан, соответственно ЦОД, так и из любого другого, удобного заказчику.
SafePhone также может быть использован в качестве платформы для организации безопасного удаленного доступа к информационным ресурсам предприятия, что позволяет уверенно позиционировать его и как полноценную EMM (Enterprise Mobility Management) систему.
Обзор SafePhone, системы защиты корпоративных мобильных устройств
Система управления корпоративной мобильностью SafePhone, разработанная российской компанией НИИ СОКБ, предназначена для автоматизации сопровождения жизненного цикла мобильных устройств и организации защищённого удалённого доступа в структурах разного масштаба — от государственных компаний до предприятий малого бизнеса.
Сертификат AM Test Lab
Номер сертификата: 309
Дата выдачи: 05.10.2020
Срок действия: 05.10.2025
Введение
Корпоративная мобильность с каждым годом используется всё большим числом компаний. С её помощью автоматизируется деятельность полевых сотрудников и производственного персонала. Она помогает руководителям своевременно получать доступ к данным, нужным для принятия решений, а офисным работникам — оставаться на связи, где бы они ни находились. Но за всё приходится платить.
Чем сильнее мобильные устройства вовлекаются в бизнес-процессы, тем больше на них данных, потеря которых может чувствительно ударить по компании. Соответственно, каждое такое устройство становится значимым активом, который нужно беречь и защищать.
Заниматься этим необходимо непрерывно и повсеместно — как в корпоративной среде, так и за её пределами. Поэтому внедрение решений класса Enterprise Mobility Management (EMM) можно назвать стратегической неизбежностью.
Российский рынок EMM-решений сейчас активно развивается, на нём представлены не только зарубежные решения из квадранта Gartner, но и отечественные разработки.
Сегодня мы рассматриваем российский продукт класса EMM — SafePhone, разработанный компанией НИИ СОКБ.
Функциональные возможности SafePhone
Перечислим основные функции SafePhone:
Представляется, что некоторые из этих возможностей заслуживают дополнительных комментариев.
Централизованное управление приложениями
SafePhone позволяет централизованно настраивать параметры приложений. Система также предоставляет возможность использовать корпоративный магазин приложений для установки, обновления, удаления программ на мобильных устройствах пользователей в ручном или автоматическом режиме. Кроме того, SafePhone на уровне политик позволяет разрешить или запретить установку приложений из магазинов App Store и Google Play. В системе также можно формировать «чёрные» и «белые» списки используемых приложений.
Контейнеризация
SafePhone позволяет изолировать корпоративные и личные приложения и данные, раздельно управлять программами в контейнере и вне его. Также возможна реализация «индивидуального» VPN для корпоративных приложений.
Геопозиционирование
SafePhone предоставляет возможность мониторинга местоположения зарегистрированных в системе мобильных устройств, включая носимые — типа SafeLife.
С помощью SafePhone возможен геомониторинг в режиме реального времени с заданной администратором частотой опроса местоположения мобильных устройств. Кроме того, возможно ретроспективное воспроизведение «движения по маршруту». SafePhone позволяет применять различные политики на устройстве в зависимости от его местонахождения. Например, в «режимной» геозоне автоматически загружается соответствующая строгая политика, а при выходе оттуда — возвращается стандартная. При этом используется картографический сервис OpenStreetMap и возможна привязка положения мобильного устройства к карте местности.
Более подробно о функциональных возможностях расскажем в разделе «Применение SafePhone».
Архитектура SafePhone
SafePhone представляет собой программный комплекс и включает в свой состав серверные и клиентские компоненты.
Рисунок 1. Архитектура SafePhone
Изначально на корпоративный смартфон / планшет под управлением iOS, Android или «Аврора» либо на ноутбук под управлением Windows или macOS устанавливается приложение SafePhone. Далее средства администрирования и системные сервисы (серверные компоненты) SafePhone развёртываются в инфраструктуре заказчика (on-premise) или используется «облачная» версия системы; в последнем случае применяются серверные мощности ЦОД SafeDC, аттестованного по требованиям безопасности информации.
Технологически SafePhone состоит из четырёх серверов, которые в зависимости от числа управляемых мобильных устройств могут быть установлены как на одном физическом или виртуальном сервере, так и на нескольких:
Администрирование SafePhone осуществляется с помощью веб-консоли.
Системные требования SafePhone
SafePhone нетребователен к вычислительным ресурсам. Установка серверных компонентов выполняется в предварительно созданной программной среде, включающей в себя следующие элементы:
В качестве примера приведём несколько типовых конфигураций серверных частей продукта (табл. 1).
Таблица 1. Типовые требования к серверной части SafePhone
| Масштаб инфраструктуры (кол-во устройств) | Компонент системы (на базе виртуальной машины) | ЦП, кол-во ядер | ОЗУ, ГБ | Диск, ГБ |
| 1—100 | Сервер SafePhone | 2 | 2 | 20 |
| 101—500 | Сервер SafePhone | 2 | 4 | 30 |
| 501—1000 | Сервер управления и администрирования | 2 | 4 | 20 |
| Сервер БД | 2 | 4 | 100 | |
| 1001—2000 | Сервер управления | 2 | 4 | 20 |
| Сервер администрирования | 2 | 4 | 20 | |
| Сервер БД | 2 | 4 | 200 | |
| 2001—10000 | Сервер команд | 2 | 4 | 20 |
| Сервер управления | 4 | 4 | 20 | |
| Сервер администрирования | 2 | 6 | 20 | |
| Сервер БД | 4 | 8 | 300 |
Платформа SafePhone позволяет контролировать мобильные устройства под управлением операционных систем iOS (начиная с версии 9.x и выше), Android (начиная с версии 4.4 и выше). Также поддерживаются операционные системы Windows, macOS, «Аврора», но для них реализовано меньше политик, чем для iOS и Android. Кроме того, SafePhone поддерживает смарт-браслеты SafeLife, обеспечивающие возможность непрерывного мониторинга местоположения и здоровья сотрудников в процессе выполнения ими трудовых обязанностей.
Для функционирования автоматизированного рабочего места (консоли) администратора системы требуется любой из перечисленных браузеров: Mozilla Firefox актуальной версии, Google Chrome актуальной версии, Microsoft Internet Explorer 11.
Лицензирование
SafePhone лицензируется по числу управляемых устройств. При этом длительность зависит от выбранного тарифа: лицензия может быть приобретена на 1 год, на 3 года или бессрочно. У лицензий на 1 год и 3 года в стоимость входит техническая поддержка на весь срок действия, а у бессрочных — годовая.
Минимальное количество приобретаемых локальных (on-premise) лицензий — 25 штук, SaaS-лицензий — 10 штук.
Соответствие требованиям нормативных правовых документов
SafePhone сертифицирован по требованиям к оценочному уровню доверия ОУД4 (сертификат ФСТЭК России № 4157 до 03.09.2024), а также включён в реестр российских программ для электронных вычислительных машин и баз данных (регистрационный номер ПО: 4435 от 12.04.2018).
SafePhone соответствует требованиям ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций». Это соответствие позволяет успешно проводить аттестацию государственных и аудит банковских информационных / автоматизированных систем, в составе которых применяется SafePhone.
Применение SafePhone
Описание интерфейса SafePhone
Сопровождение системы, включая настройки политик и управление мобильными устройствами, осуществляется из веб-консоли («АРМ Администратора»). Чтобы начать работать с SafePhone, необходимо набрать в интернет-браузере URL сервера SafePhone. Появляется стартовая страница для ввода аутентификационных данных.
Рисунок 2. Окно аутентификации SafePhone
После идентификации пользователь попадает на главную страницу, где отображаются:
Рисунок 3. Главное окно «АРМ Администратора» SafePhone
Список подразделений организационно-штатной структуры позволяет выбрать конкретный отдел или департамент, после чего в главной таблице справа отобразится список устройств, имеющихся у сотрудников этого подразделения. Кроме того, можно отобразить всех сотрудников и все устройства компании. Справа находятся список и параметры комплектов, зарегистрированных в системе. «Комплект» в терминологии SafePhone — это устройство, использующий его сотрудник и установленная SIM-карта (при наличии), взятые в совокупности. В нижней части главного окна «АРМ Администратора» отображаются сведения по устройству.
Панель главного меню включает в себя следующие разделы:
Также меню содержит разделы «Календарь», «Адресная книга» и прочие служебные секции системы.
Далее мы рассмотрим, как установить клиент на мобильное устройство, осуществлять мониторинг работы устройств и пр. Впрочем, перед всем этим нужно выполнить подготовительные действия: создать подразделение в рамках организационно-штатной структуры, роль, пользователя, профили и т. д.
Создание организационно-штатной структуры, ролей, сотрудников и иных объектов SafePhone
Для удобства управления мобильными устройствами в платформе существует возможность формирования организационно-штатной структуры. Структура может быть как построена администратором вручную, так и импортирована из службы каталогов Microsoft Active Directory. В процессе работы управляемые мобильные устройства располагаются в соответствующих папках (OU в терминах Microsoft AD) и с ними ассоциируются созданные администратором же профили (наборы политик и настроек).
Для создания подразделения в рамках организационно-штатной структуры необходимо перейти в раздел «ОШС», в рамках иерархического списка выбрать соответствующий уровень и добавить нужный отдел.
Рисунок 4. Создание подразделения в рамках организационно-штатной структуры SafePhone
Впоследствии в созданные группы подразделений будут добавляться пользователи.
Для создания роли пользователя необходимо перейти в раздел «Роли» и добавить новую роль.
Рисунок 5. Создание роли в SafePhone
После добавления роли необходимо наделить её требуемыми полномочиями. На основе ролей создаётся ролевая модель администрирования SafePhone, которая очень гибка и позволяет максимально оперативно реализовать роль с любыми полномочиями, привязать произвольный профиль к любому мобильному устройству, сотруднику или группе организационно-штатной структуры.
Рисунок 6. Наделение роли полномочиями в SafePhone
В разделе «Администратор» также можно ограничить область управления — указать подразделения организационно-штатной структуры, мобильными устройствами которых администратор может управлять. Так можно назначить администраторов для разных филиалов и дочерних обществ в рамках одной системы.
Рисунок 7. Ограничение области управления администратора
Справочник сотрудников ведётся для учёта абонентов. Создание пользователей, к которым впоследствии будут привязаны мобильные устройства, осуществляется в разделе «Сотрудники».
Рисунок 8. Создание сотрудника в SafePhone
Комплекты являются основными объектами учёта в SafePhone. Комплект определяет абонента системы и устанавливает соответствие между SIM-картой, сотрудником и конфигурацией мобильного клиента SafePhone.
Рисунок 9. Раздел «Комплекты» в SafePhone
Окно «SIM-карта» предназначено для управления записями о SIM-картах, используемых на устройствах. Данные добавляются автоматически. Администратор может указать, какие SIM-карты являются корпоративными, для применения в зависимости от этого политик безопасности.
Меню «Геозоны» предназначено для создания именованных областей на географической карте, которые используются для применения заданных ограничений и настроек ОС к устройствам, и для управления этими областями. Кроме того, система фиксирует факт вноса мобильных устройств в геозоны и выноса из них, формируя по этим данным отчёт. Так можно контролировать соблюдение сотрудниками регламентных маршрутов или графика посещений объектов.
Рисунок 10. Раздел «Геозоны» в SafePhone
Регистрация устройств в SafePhone
SafePhone предоставляет возможность самостоятельной регистрации пользователей мобильных устройств при помощи кодов приглашений. Для регистрации устройства в разделе «Загрузчик» необходимо сгенерировать пригласительные коды. Создание кодов осуществляется с привязкой к организационно-штатной структуре.
Рисунок 11. Процесс создания кодов приглашения в разделе «Загрузчик» веб-консоли SafePhone
Созданные коды и их статусы отображаются в таблице в разделе «Загрузчик».
Рисунок 12. Созданные коды и их статусы в разделе «Загрузчик» веб-консоли SafePhone
Процесс установки приложения на мобильном устройстве вполне прост. Однако есть некоторые особенности инсталляции клиента на различных платформах и версиях ОС. Мы рассмотрим самостоятельную установку клиента пользователем на мобильном телефоне Samsung. На устройствах этого производителя клиент также может быть установлен автоматически с помощью технологии Knox Mobile Enrollment.
Запускаем на смартфоне веб-браузер Chrome и переходим на портал регистрации. Затем скачиваем с портала приложение-загрузчик и устанавливаем его на устройство.
Рисунок 13. Процесс установки приложения SafePhone на мобильном устройстве
После установки возвращаемся обратно на портал и вводим код приглашения (его мы ранее сгенерировали в «АРМ Администратора» в разделе «Загрузчик»). Далее проходим этапы установки с помощью мастера.
Рисунок 14. Процесс установки приложения SafePhone на мобильном устройстве
В процессе инсталляции выбираем тип устройства (корпоративное или личное). Выбор может влиять на применение политик. После прохождения установки загрузится файл package.skb. Далее открываем на смартфоне приложение SafePhone Loader и соглашаемся с предложенным (разрешить доступ к файлам и дать приложению права администратора). Следом в нашем случае на экране появилось окно от производителя устройства (Samsung) с примечанием о конфиденциальности, где также потребовалось согласиться с предложенными условиями. При успешной установке мобильного клиента отобразится уведомление SafePhone «Система защищена».
Рисунок 15. Процесс установки приложения SafePhone на мобильном устройстве
После установки к устройству можно применять соответствующие политики безопасности, осуществлять мониторинг его работы и пр.
Далее рассмотрим, как управлять устройствами при помощи SafePhone.
Управление устройствами
SafePhone предоставляет возможность отправки команд на контролируемые мобильные устройства.
Рисунок 16. Меню «Команды» в SafePhone
Для этого необходимо выбрать устройство в главной таблице, а затем — пункт меню «Команды» и требуемую команду в информационной таблице.
Администратор таким образом может разблокировать / заблокировать устройство, отправить внутреннее сообщение пользователю, запретить связь с некорпоративными абонентами, выполнить изменения конфигурации, сброс пароля и т. д.
С помощью профилей администратор осуществляет назначение политик безопасности абонентам и устройствам.
Рисунок 17. Создание профиля в SafePhone
Для платформы iOS поддерживаются следующие типы профилей:
Для платформы Android:
Рисунок 18. Создание профиля в SafePhone
Для применения профилей их нужно назначить. Профили можно назначать подразделениям, отдельным сотрудникам или даже на конкретные устройства. Если профиль назначен, то его настройки и их последующие изменения будут доведены до мобильных устройств автоматически.
Рисунок 19. Назначение профилей
Каждый профиль в системе имеет владельца (пользователя, который его создал). Только владелец может вносить изменения в профиль. Также создатель вправе сделать владельцем другого администратора. Назначение профилей доступно владельцу и администраторам, которым он делегировал соответствующее право.
Мониторинг мобильных устройств
SafePhone обладает широкими возможностями по мониторингу мобильных устройств. С этой целью можно оперировать разделами «Информация об устройствах» и «Отчёты».
Например, в меню «Сообщения» (раздел «Информация об устройствах»), как можно понять по названию, находится информация по зарегистрированным сообщениям, включая переданные посредством SMS и внутренние. Для последних отображается содержимое: текст, ссылки для скачивания фотографий и голосовых записей. Содержимое SMS-сообщений недоступно.
Рисунок 20. Меню «Сообщения» (раздел «Информация об устройствах») в SafePhone
Для просмотра / прослушивания внутренних фотографий / голосовых сообщений, отображающихся в информационной таблице, необходимо нажать на соответствующий значок, и файл с сообщением скачается в папку «Загрузки» (Downloads) на ПК. Отобразить или воспроизвести скачанные файлы можно в любом прикладном ПО, поддерживающем форматы JPG и AMR.
В меню «Звонки» (раздел «Информация об устройствах») отображаются зарегистрированные вызовы, выполненные с контролируемого устройства.
Рисунок 21. Меню «Звонки» (раздел «Информация об устройствах») в SafePhone
Раздел «Местоположения» отображает фрагмент карты, на которой в виде ломаной линии отображена информация о местоположении и перемещении абонента.
Рисунок 22. Раздел «Местоположения» в SafePhone
Также в разделе «Отчёты» есть сводка по перемещениям.
Рисунок 23. Отчёт по перемещениям в SafePhone
В отчёте по геозонам можно посмотреть информацию о входе в / выходе из них абонентов системы SafePhone за указанный администратором интервал времени.
Рисунок 24. Отчёт по геозонам в SafePhone
Доступен также отчёт с информацией о профилях, которые применены на подключённых к системе устройствах. Он состоит из двух таблиц: верхняя — с реестром назначенных и применённых профилей, нижняя — со значениями параметров политик выбранного профиля, установленными и применёнными на устройстве. Аналогичный отчёт можно построить и по правилам управления приложениями.
Рисунок 25. Отчёт по профилям в SafePhone
В разделе «Данные об устройстве» можно получить инвентаризационную информацию о контролируемом средстве мобильной связи, в том числе — данные о сотруднике и SIM-карте, тип и модель устройства, ОС, заряд аккумулятора и прочие статусы. Её можно посмотреть по отдельности или выгрузить в табличном виде сразу по всем устройствам выбранного подразделения.
Рисунок 26. Меню «Данные об устройстве» в SafePhone
С информацией о событиях из области информационной безопасности можно ознакомиться в меню «События ИБ» раздела «Отчёты». В открывшемся окне отображается таблица с перечнем событий, произошедших в интервале времени, заданном администратором.
К ИБ-событиям могут относиться попытки взлома устройства, его блокировки, смены и пр. (полный список очень велик).
Рисунок 27. Отчёт «События ИБ» в SafePhone
Кроме того, можно составлять отчёты по совершённым звонкам и отправленным сообщениям, проводить аудит действий администраторов.
Управление приложениями
В SafePhone можно добавить дистрибутивы приложений или указать ссылки на них в одном из магазинов производителей.
Рисунок 28. Добавление приложения из App Store
Действия с приложениями на мобильных устройствах управляются при помощи правил. Правила могут определять одно или несколько действий:
Рисунок 29. Создание правила управления приложением
Чтобы передать приложению настройки, нужно указать их в разделе «Конфигурации». В этом случае пользователю не придётся указывать их вручную. В качестве значений таких типовых настроек, как имя пользователя, домен или адрес электронной почты, можно использовать строки вида <
Рисунок 30. Управление конфигурацией приложения
Назначение правил управления приложениями и их конфигураций осуществляется единообразно. Устройства получают всё, что назначено администратором, автоматически; в итоге для контроля сотен или даже тысяч устройств будет достаточно нескольких человек.
Выводы
SafePhone версии 4 — это полнофункциональный и несложный в настройке и эксплуатации продукт для автоматизации процессов безопасного централизованного управления мобильными устройствами в компаниях и государственных организациях, как крупных, так и сравнительно небольших (SMB). Его применение позволяет существенно снизить текущие затраты и риски утечки информации, обусловленные использованием мобильных устройств в корпоративной среде.
SafePhone является отечественной разработкой. Он сертифицирован по требованиям к оценочному уровню доверия ОУД4 (сертификат ФСТЭК России № 4157 до 03.09.2024), а также включён в реестр российских программ для электронных вычислительных машин и баз данных (регистрационный номер ПО: 4435 от 12.04.2018). SafePhone соответствует требованиям ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций». Это соответствие позволяет успешно проводить аттестацию государственных и аудит банковских информационных / автоматизированных систем, в составе которых применяется SafePhone.
SafePhone доступен как услуга (по модели SaaS), для чего используются серверные мощности ЦОД SafeDC компании НИИ СОКБ, аттестованного по требованиям безопасности информации. Облачная версия позволяет быстро развернуть продукт в организациях любого размера без установки оборудования на стороне клиента.
Достоинства:
Недостатки: