Мобильные приложения DIRECTUM. Информационная безопасность

Наличие мобильных приложений давно стало нормой для систем документооборота. Естественно, это не может не вызывать вопросов, связанных с безопасностью. В этой статье мы рассмотрим такие вопросы и ответим на них простым и понятным языком.

Мобильное решение работает через интернет. Не станет ли это способом проникновения в локальную сеть предприятия?

ПРОСТО:

Не больше, чем доступ к почтовому серверу или порталу.

СЛОЖНО:

Существуют методы защиты периметра, например, с помощью технологии демилитаризованной зоны.

Так же защищают и любые другие веб-сервисы. Так что дополнительного риска нет.

Политика безопасности некоторых предприятий не допускает публикации веб-сервисов в интернет. По этой причине часто используют VPN. В этом случае устройство находится как бы в локальной сети предприятия.

Подробнее см. в статьях:

• Настройка демилитаризованной зоны
• Настройка VPN для работы мобильных решений DIRECTUM

Можно ли перехватить данные при передаче с сервера на мобильное устройство?

ПРОСТО:

Нет, если будут обеспечены меры защиты: использование HTTPS или VPN с шифрованием, надежные методы блокировки и шифрование файловой системы мобильного устройства.

СЛОЖНО:

Для перехвата данных используются такие технологии, как перехват пакетов (сниффинг) и MITM-атаки.

Для защиты передаваемых данных от перехвата следует использовать шифрованные протоколы. Например, VPN с шифрованием или HTTPS. При передаче по HTTPS, в случае использования невалидного сертификата, работа с сервисом будет невозможна, что защищает Вас от MITM-атаки.

В мобильных решениях DIRECTUM используется HTTPS с поддержкой криптографического протокола TLS. Протокол TLS пришел на смену протоколу SSL и является более надежным, постоянно развивается, возможные уязвимости устраняются, и безопасность усиливается. Мобильные приложения DIRECTUM поддерживают последнюю версию TLS для обеспечения максимальной защиты. Но нужно учитывать, что используемая версия TLS зависит еще и от мобильного устройства и установленной на нем версии ОС, а также соответствующей настройки сервера.

Подробнее в статьях:

• Обеспечение безопасности мобильных решений.
• Тюнинг HTTPS
• Настройка VPN для работы мобильных решений DIRECTUM

У приложений DIRECTUM есть offline-режим, а значит документы хранятся на устройстве. Есть ли защита на случай потери мобильного устройства?

ПРОСТО: Да. Мобильные приложения поддерживают шифрование на уровне ОС. В приложении Solo для iOS дополнительно реализовано шифрование ГОСТ-алгоритмами.

СЛОЖНО:

Для iOS.

Приложение работает в изолированной области памяти устройства, доступ к сторонним приложениям запрещен.

Документы пользователя загружаются в контейнер приложения, доступ к которому из других приложений или с компьютера невозможен. Сторонние приложения могут получить доступ к документам, только если экспортировать их из DIRECTUM Solo.

Документы шифруются AES-алгоритмом. Для обеспечения сохранности данных необходимо использовать блокировку телефона: PIN-код, графический ключ, отпечаток пальца.

В Solo для iOS документы шифруются ГОСТ-алгоритмом с использованием сертифицированного СКЗИ КриптоПРО CSP.

Рекомендации:

1. Не использовать устройство с jailbreak;
2. Обязательно использовать безопасную блокировку.

Для Android.

Рекомендации:

1. Не использовать устройства с root-доступом. Чтобы у других приложений не было доступа к данным мобильного решения DIRECTUM.
2. Обязательно использовать безопасную блокировку.
3. Включить шифрование файловой системы.
4. Использовать MDM-решения для удаленного контроля устройства.

Возможности MDM-решений (на примере Kaspersky Security для мобильных устройств):

• защита от вирусов;
• шифрование памяти устройства и SD-карты;
• контроль установки, удаления и использования приложений;
• блокировка и поиск утерянного устройства;
• удаление данных с устройства.

Подробнее в статьях:

• Обеспечение безопасности мобильных решений
• Безопасное использование мобильных устройств с помощью MDM-решений

Насколько надежны механизмы аутентификации? Где хранятся логины и пароли? Как они передаются на сервер?

ПРОСТО:

Учетные данные хранятся в специальном защищенном хранилище устройства. При аутентификации данные передаются по HTTPS и шифруются. Можно использовать сертификат ЭП вместо логина и пароля.

СЛОЖНО:

Для хранения реквизитов пользователя используется:

• iOS приложения: keychain;
• Android приложения: AccountManager -> SharedPreferences.

Android-приложения так же поддерживают аутентификацию с использованием клиентских сертификатов. В этом случае устанавливается HTTPS-соединение с передачей клиентского сертификата, по которому определяется Windows-пользователь. Используется стандартный механизм IIS Client Certificate Mapping authentication using Active Directory.

Хранение сертификата пользователя осуществляется в системном хранилище, доступ к сертификату с других приложений возможен только при подтверждении пользователем. Для установки сертификата пользователя на мобильное устройство требуется обязательная настройка защиты экрана блокировки пин-кодом или паролем. Доступ приложения к сертификату возможен только при непосредственном подтверждении пользователем запроса от приложения.

Как можно запретить открывать на мобильном устройстве особо важные документы?

На текущий момент в системе DIRECTUM есть возможность зашифровать документ. Зашифрованный документ не будет открываться в мобильном решении.

В планах развития есть добавление механизма запрета открытия определенных типов и видов документов с мобильного приложения. Подробнее в статье Мобильный DIRECTUM: Назад в будущее

Можно ли использовать ЭП с мобильных устройств? Где хранится сертификат и как он защищен?

Мобильные приложения DIRECTUM поддерживают ЭП, в том числе квалифицированную.

Механизмы шифрования и места хранения сертификатов:

	Криптопровайдер	Механизм хеширования	Алгоритм подписания	Место хранения сертификата
Solo iOS	КриптоПРО	СКЗИ КриптоПРО CSP	ГОСТ Р 34.10-2001	Хранилище КриптоПРО на устройстве
Jazz iOS	КриптоПРО	СКЗИ КриптоПРО CSP	ГОСТ Р 34.10-2001	Хранилище КриптоПРО на устройстве
Solo Android	КриптоПРО	СКЗИ КриптоПРО CSP	ГОСТ Р 34.10-2001	Хранилище КриптоПРО на устройстве
	Rutoken	СКЗИ КриптоПРО CSP, Spongy Castle	ГОСТ Р 34.10-2001, RSA	Bluetooth-токен
	JaCarta	СКЗИ КриптоПРО CSP, Spongy Castle	ГОСТ Р 34.10-2001, RSA	MicroUSB-токен
Jazz Android	КриптоПРО	СКЗИ КриптоПРО CSP	ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012	Хранилище КриптоПРО на устройстве
	Spongy Castle	Spongy Castle	RSA	Системное хранилище KeyChain

Какие механизмы используются для авторизации (контроля доступа) пользователя мобильного приложения?

Для аутентификации пользователя возможны два механизма:

• аутентификация по логин-паролю;
• аутентификация по сертификатам. Доступно только для Android, для iOS-устройств реализация запланирована в будущих версиях.

Для поддержания сессии используется ИД, передаваемый в Cookie, который истекает через час (настраиваемое время) с момента последней активности пользователя.

Ведется ли регистрация событий входа пользователей мобильного приложения, подключений к серверу, выполнения каких-либо действий с данными?

Да, все обращения к сервису логируются.

Существуют ли механизмы защиты от перебора паролей?

При превышении количества неудачных попыток входа (5 попыток), IP обращения блокируется на 30 минут.

Можно ли запретить экспорт документов из приложения?

Можно, с помощью MDM-решений. При этом ограничивается круг приложений, с которыми можно взаимодействовать при экспорте. Если не разрешить ни одно приложение, то экспорт будет невозможен.

Возможна ли настройка ограничения доступа по устройствам или МАС-адресу?

На текущий момент средствами DIRECTUM нельзя произвести подобную настройку.

Можно воспользоваться сторонними решениями: VPN с аутентификацией, MDM, прокси-сервер.

В планах развития такой функционал присутствует. Подробнее в статье Мобильный DIRECTUM: Назад в будущее