Комплексное решение Защищенная мобильность

Назначение

Состав решения

Общая схема решения

Функции безопасности

Технологическая совместимость

Назначение

Решение Защищённая мобильность предназначено для безопасного доступа и взаимодействия сотрудников коммерческих организаций и государственных учреждений с корпоративными информационными ресурсами при помощи мобильных устройств iPad и iPhone.

Решение Защищённая мобильность включает линейку продуктов, являющихся самостоятельными законченными iOS-приложениями, доступными для приобретения в составе простых или сложных конфигураций. Каждый продукт разделяет общие для всей линейки принципы безопасности, архитектуры и пользовательского интерфейса, что позволяет наращивать итоговую конфигурацию, не опасаясь проблем совместимости как приложений между собой, так и данных, которыми эти приложения обмениваются.

Безопасность взаимодействия обеспечивается за счет применения сертифицированных средств криптографической защиты информации СКЗИ КриптоПро CSP в составе со специализированными продуктами, позволяющими решать основной круг прикладных задач:

  • Установление защищенного удаленного доступа к внутренним информационным ресурсам организации: электронной почте, календарям сотрудников, адресной книге организации, внутренним порталам, библиотекам файлов и документов, системам управления совещаниями, спискам задач и прочим;
  • Обеспечение юридически значимого электронного документооборота с применением сертифицированных средств криптографической защиты информации;
  • Взаимодействие с площадками электронных торгов и аукционов, b2b услуг, госуслуг;
  • Обеспечение конфиденциальности электронных почтовых сообщений;
  • Обеспечение конфиденциальности информации, хранимой на мобильном устройстве;

Состав решения

В составе комплексного решения Защищённая мобильность могут использоваться следующие клиентские продукты для платформы iOS (iPad и iPhone):

Все клиентские продукты интегрированы для обмена между собой защищенными данными.

Установка клиентских продуктов линейки Защищенная мобильность, включая компоненты криптографической защиты,  не требует выполнения процедуры взлома (jailbreak) iOS-устройства.

Для функционирования клиентских продуктов также могут использоваться следующие серверные компоненты:

  • App Server – корпоративный магазин приложений для установки клиентских программ на iOS без использования процедуры взлома (jailbreak).
  • TLS Proxy Gate - сервис аутентификации для удаленного подключения клиентских продуктов к корпоративной сети по защищенному протоколу TLS с использованием сертифицированного СКЗИ КриптоПро CSP.
  • Active Directory Sync Server - сервис синхронизации адресной книги с Active Directory для получения корпоративных контактов.
  • PDF Server - сервис конвертации документов в PDF-формат для корректного отображения результатов «сложного» форматирования файлов (режима «правки», цветовых выделений, сносок и комментариев…);
  • CertServer – сервер получения и хранения запросов на изготовление сертификатов ключей проверки электронной подписи (далее – сертификат) для передачи в Удостоверяющий центр ПАК КриптоПро УЦ.

Общая схема решения

Функции безопасности

Все продукты в составе решения Защищенная мобильность реализует разнообразные средства защиты информации.

  • Криптографическая защита данных. В продуктах решения Защищенная мобильность применяется сертифицированное ФСБ России средство криптографической защиты информации СКЗИ КриптоПро CSP, реализующее отечественные криптографические стандарты ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94, ГОСТ 28147-89. Реализация протокола TLS-ГОСТ также входит в состав СКЗИ.

Защита канала подключения к инфраструктуре организации, реализована на основе протокола SSL/TLS.

Реализуется шифрование и контроль целостности хранимой в памяти устройства информации.

Доступ к закрытому ключу подписи пользователя защищается PIN-кодом. По умолчанию закрытый ключ, зашифрованный на PIN-коде, хранится в памяти iOS-устройства. В качестве дополнительной меры безопасности закрытый ключ может располагаться на внешнем носителе (смарт-карте), подключаемой при помощи специального считывателя.

iOS-приложение реализует комплекс мер по защите информации. В дополнение к штатным функциям, реализованным на уровне каждого приложения линейки Защищенная мобильность, пользователю доступны операции прикладного уровня, такие как создание или проверка электронной подписи документа, шифрование почтового сообщения и т.п. В зависимости от требований заказчика могут применяться криптографические алгоритмы, соответствующие российским или западным стандартам.

Реализация функций криптографической защиты не требует выполнения процедуры взлома (jailbreak) iOS-устройства.

  • Меры противодействия утечкам информации в момент ее создания, получения, передачи, обработки и хранения на мобильном устройстве. В их основе лежит блокировка ряда «опасных» функций операционной системы iOS и условий, создающих риск появления каналов утечки информации.
  • Меры противодействия получению несанкционированного доступа (НСД). В дополнение к программным средствам защиты данных от НСД продукты решения Защищенная мобильность поддерживают дополнительные меры, основанные на применении внешних носителей ключевой информации (контактные смарт-карты).

Уникальной особенностью решения Защищенная мобильность является поддержка двух криптографических стандартов: ГОСТ-алгоритмы (ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94, ГОСТ 28147-89) и западные алгоритмы (RSA, SHA-1, AES). Пользователи имеют возможность в рамках одного набора приложений обмениваться информацией с российскими и зарубежными коллегами. Дуальные свойства решения Защищенная мобильность в части криптографии обеспечивают совместимость протоколов, стандартов и требований электронного взаимодействия каждой из сторон.

Технологическая совместимость

Продукты линейки Защищенная мобильность поддерживают следующие технологии, службы и протоколы:

  • TLS (ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94, ГОСТ 28147-89)
  • SSL/TLS (RSA, SHA-1, AES)
  • LDAP/Active Directory
  • SMTP/IMAP/ActiveSync
  • S/MIME (ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94, ГОСТ 28147-89)
  • S/MIME (RSA, SHA-1, AES)
  • ПАК КриптоПро УЦ
  • КриптоПро OCSP
  • КриптоПро TSP
  • CAdES, PKCS#7
  • PKCS#11
  • X.509 RSA, X.509 ГОСТ
  • Почтовый сервер Microsoft Exchange Server, IBM Lotus Domino
  • Формат документов Microsoft Office
  • MOSS (Sharepoint)
  • WebDAV
  • FTP