Upload
cisco-russia
View
273
Download
3
Embed Size (px)
Citation preview
Совместное применение решений SafePhone и Cisco CleanAir для защиты
мобильных устройств
Троицкий Николай
ООО «НИИ СОКБ»
Содержание
• Intro
• Использование мобильных устройств в корпоративной среде
• Актуальные угрозы мобильных устройств
• Архитектура решения Cisco CleanAir
• Архитектура решения SafePhone
Who am I?
• Заместитель директора Технического Центра ООО «НИИ СОКБ»
• Более 8 лет в сфере ИБ
• Сертифицированный специалист CEH
• Курирую работы по «внедрению» и «аудиту» систем ИБ у Заказчиков
Мобильные средства связи
• Хранение информации
• Доступ к информации
• Создание и обработка информации
Корпоративная мобильность
• 36% рабочих звонков происходит на сотовые телефоны
• 26% писем обрабатывается на мобильных устройствах
Наиболее используемые приложения:
• 81% Электронная почта
• 62% Календарь
• 17% Внутренний портал
Forrester Research,
декабрь 2011
Корпоративная мобильность
Июнь 2011
32% устройств содержат:
• корпоративные презентации
• финансовые документы
• счета
• контракты
• конфиденциальные планы
Варианты установки злонамеренного ПО на мобильное средство связи
Физический доступ к телефону
Взлом по Bluetooth
Взлом по Wi-Fi
Взлом через SMS
Архитектура Cisco CleanAir
Точки доступа (ТД)
Контроллер (WLC)
Network Control System (NCS)
Интуитивный GUI для настройки и мониторинга за сетью
Политики безопасности, QoS, RRM, прошивки и конфигурации ТД
Mobility Services Engine (MSE)
Реализация сервисов мобильности (CAS и wIPS) интегрированных с бизнес-приложениями
ТД как радиоинтерфейсы, управляемые с контроллера
Обнаружение чужих и контроль cвоих устройствв реальном времени для Wi-Fi устройств и RFID
NCS
C использованием WCS/NCS и MSE Context-Aware
Обзор функциональных возможностей и преимуществ
Анализ, безопасность, поддержка политик
SpectrumExpert
ConnectЭкспертные навыки не требуются
МестоположениеАнализ воздействий
Воспроизведение событий Анализ истории
Новые угрозы
Обнаружение «необнаруживаемых» устройств/клиентов
Уведомление о нежелательных
устройствахЗапрет Xbox
Запрет беспр. телефоновЗапрет Bluetooth
Корпоративная политика
Мобильные пользователи корпоративной информационной инфраструктуры
Контролируемая зонаWi-Fi
GPRS/3G
Wi-FiEthernet
Корпоративная
система ИБ
Незащищённый элемент
ИТ инфраструктуры
MDM решение SafePhone
• Защита от несанкционированного доступа к информации, хранящейся и обрабатываемой на корпоративных мобильных средствах связи
• Централизованное управление парком мобильных устройств
Ключевые функции
• Предотвращение несанкционированной установки на мобильные средства связи стороннего ПО
• Ведение банка доверенного ПО для установки на мобильные средства связи
• Контроль за использованием мобильных средств связи в служебных целях
• Организация защищённого доступа в корпоративную информационную инфраструктуру посредством VPN
Агентское приложение SafePhone Client
• Не удаляемо и не отключаемо пользователем
• Не позволяет устанавливать приложения непосредственно с мобильных средств
• Установка/удаление сторонних приложений на мобильные средства реализуется только администратором центра управления SafePhone
Состав и архитектура SafePhone
• SafePhone Server - ядро системы, обеспечивающее управление мобильными устройствами
• сервер баз данных (MySQL)• сервер GIS (геоинформационной системы)• АРМ (автоматизированное рабочее место) администратора
SafePhone Server
• Весь парк мобильных устройств управляется из одной точки
• Политики для используемых мобильных средств связи администратор системы настраиваются на SafePhone Server
• Процедуры инициализации и настройки устройств выполняются удаленно
История звонков и сообщений
SafePhone: особенности решения
Защита
• неудаляемый c мобильного устройства агент SafePhone
• установка и удаление программ только из банка доверенного ПО
• блокирование и очистка
• блокирование фотокамеры, микрофона, Bluetooth, Wi-Fi
• доступ в корпоративную инфраструктуру и в Интернет только через шлюз SafePhone
• конфиденциальный обмен сообщениями
Администрирование
• дистанционная установка политик ИБ на мобильное устройство
• мониторинг приложений
• обновление телефонных справочников абонентов
• запрет связи с абонентом, не включённым в справочник
• интеграция со службой каталогов MS Active Directory
• групповые оповещения без службы SMS
Аудит
• система построения отчетов по заданным параметрам
• ведение журнала звонков и сообщений
• уведомление о смене SIM
• события для мобильного устройства
• мониторинг времени звонков
• передвижение абонентов на карте
SafePhone + CleanAir + СКУД
• Подключение к доверенной беспроводной сети
• Контроль запущенных приложений на мобильном устройстве
• Запрет интерфейсов устройства (ИК порт, Bluetooth, камера, Wi-Fi) внутри защищаемого периметра
защита от инсайда
Комплексная защита мобильной инфраструктуры
Инфраструктура
Контролируемая зона
20
WAN
GPRS/3G
Wi-Fi
VPN SSL
VPN SSL
СКУД
АРМ
Администратора
ИБ
SafePhone
• SafePhone + СКУД – блокирование технических каналов утечки в контролируемой зоне
• CleanAir - подключение к инфраструктуре и выход в Интернет только с устройств, зарегистрированных в SafePhone и только через доверенную сеть Wi-Fi
Спасибо!
Вопросы?
Троицкий Николай
Заместитель директора ТЦ
ООО «НИИ СОКБ»