Tizen, Samsung Z3 и SafePhone: как это работает
Почему Tizen, а не любая другая мобильная операционная система?
Что делает пользователь первым делом после распаковки обычного смартфона из коробки? Как правило, первым делом он регистрирует свой аккаунт у производителя предустановленной операционной системы и/или производителя мобильного устройства, нередко поставляющего предустановленную графическую оболочку.
Традиционное корпоративное сетевое взаимодействие подразумевает разграничение двух ролей: администратора, который выдает аккаунты, распределяет права доступа и роли пользователям на ноутбуках, ПК или мобильных устройствах, и пользователя, который такими правами не обладает.
В случае использования широко распространенных потребительских смартфонов с предустановленными ОС и UI для рабочих нужд – например, по модели BYOD (Bring Your Own Device), четкая корпоративная иерархия сразу же нарушается, поскольку права администратора оказываются частично делегированы непосредственно пользователю, а также создателю операционной системы – зарубежным компаниям Google, Apple и др., разработчикам графического интерфейса, а также операторам всех игровых, почтовых и прочих пользовательских аккаунтов.
При такой фрагментации администраторских прав и бесконтрольном доступе к системе ни о какой антивирусной и корпоративной защите, и тем более передаче конфиденциальных данных и речи быть не может.
MDM-клиент также вряд ли справятся с защитой такой заведомо «дырявой» системы, однако в случае его использования возникает совершенно другая проблема юридического плана, поскольку это будет выглядеть как уход из-под администрирования глобальных корпораций, расцениваемых производителями ОС как модификация операционной системы.
Tizen? RuTizen!
Операционная система Tizen (произносится «тайзен» с ударением на первом слоге) изначально задумывалась как программная платформа на базе ядра Linux с открытым исходным кодом, ориентированная на самый широкий спектр применения – от мобильных устройств и автомобильных навигаторов до «умной» бытовой техники и интернета вещей.
На момент создания ОС в 2012 году Tizen продвигалась Intel и Samsung при поддержке Linux Foundation и Tizen Association. Позже к сформированной Tizen Association присоединились десятки ведущих мировых компаний, включая Huawei, Fujitsu, NEC, Panasonic, Land Rover, Nissan, Toyota, NVIDIA, Renesas, Texas Instruments, eBay, McAfee, Sharp, TrendMicro и другие.
Российская ассоциация «Тайзен.Ру», зарегистрированная в октябре 2015 года, поставила перед собой цель создания российской версии операционной системы Tizen с открытым кодом в рамках международного консорциума. Помимо универсальности Tizen, подходящей для решения широкого круга задач и приложений, архитектура этой операционной системы как никакой другой позволяет полностью реализовать локальные требования регуляторов без ущерба для связи с международным стандартом.
В настоящее время ОС Tizen представляет собой безопасную и доверенную платформу, соответствующую требованиям к поддержке государственных электронных сервисов – таких как здравоохранение, «умные» города, «смарт» инфраструктура, и требованиям сегментов B2G, B2B и B2C. Также, версия OS Tizen, установленная на смартфон Samsung Z3, прошла сертификация во ФСТЭК.
ОС Tizen на базе открытого исходного кода поддерживает простое добавление новых функций, сервисов и разнообразных категорий устройств. Tizen может обеспечивать защиту пользовательских данных на устройстве, защиту канала передачи данных с помощью соответствующих средств шифрования, и позволяет использовать сертифицированную систему удаленного управления парком мобильных устройств, включая функции удаленной блокировки и стирания данных на устройстве.
Tizen представляет собой легкую и просто конфигурируемую платформу, способную работать даже на low-end устройствах класса носимой электроники и интернета вещей. Система быстро загружается, обеспечивает малое время отклика и продолжительное время работы батареи в автономном режиме.
Tizen обладает всесторонне продуманной Web-совместимостью с очень высокими оценками производительности в тестах HTML5. Система по умолчанию содержит большой список поддерживаемых мультимедийных кодеков, включая 12 видео и 14 аудио.
Настраиваемые политики безопасности обеспечивают высокий уровень защиты данных как для персонального, так и для корпоративного использования.
На сегодняшний день российская версия Tizen является, возможно, единственным и безальтернативным вариантом для создания по-настоящему защищенной мобильной корпоративной инфраструктуры, соответствующей требованиям российских законов и регуляторов.
Дополнительным плюсом ОС Tizen также можно назвать большое количество разработчиков и специалистов, в том числе, русскоязычных, способных оказать квалифицированную помощь в проектировании, создании, настройке и эксплуатации мобильной корпоративной инфраструктуры.
MDM-решение SafePhone как неотъемлемая часть защищенной экосистемы
SafePhone – решение класса «Mobile Device Management» (MDM), является обязательным компонентом надежной защищенной мобильной корпоративной структуры. SafePhone обеспечивает защиту от несанкционированного доступа к информации, хранящейся и обрабатываемой на корпоративных смартфонах и планшетах, а также для централизованного управления этими устройствами.
С помощью решения SafePhone компания может развернуть центр управления корпоративной сотовой связью (ЦУКСС) с поддержкой таких подсистем, как SafePhone Server – ядро центра для управления смартфонами пользователей, сервер баз данных для хранения информации системы, сервер GIS (геоинформационной системы) и АРМ (автоматизированное рабочее место) администратора системы.
На мобильных устройствах пользователей устанавливается клиентское программное обеспечение, решающее задачи обеспечения безопасности, связи и взаимодействия устройства с центром управления с использованием беспроводных технологий передачи данных, начиная от EDGE заканчивая самыми высокоскоростными каналами мобильного интернета и WiFi.
Далее все корпоративные мобильные средства связи регистрируются в системе централизованного управления корпоративной сотовой связью, при этом авторизация клиентских смартфонов выполняется на SafePhone Server.
Все политики для используемых мобильных средств связи администратор системы настраивает на SafePhone Server, процедуры инициализации и настройки устройств выполняются удаленно.
MDM-решение SafePhone – полностью российская разработка, имеющая сертификат ФСТЭК России, подтверждающий соответствие требованиям нормативных документов по 4 уровню контроля и технических условий. Tizen имеет предустановленный загрузчик СЗИ (средств защиты информации), встроенный MDM-клиент Admin tool и обеспечивает принудительную перезапись данных после удаления файлов, а также запрет обновления на несертифицированные версии ОС. Загрузчик выполняет безопасную установку на устройстве клиентской части SafePhone и замещает встроенный MDM-клиент, обеспечивающий базовый набор локальных функций безопасности, более функциональным клиентом, работающим в серверной конфигурации SafePhone.
Tizen + Samsung Z3 + SafePhone: как это работает
Идеальным сценарием организации мобильной платформы предприятия можно назвать тот, где новый сотрудник, приступая к работе, получает в свое распоряжение корпоративный мобильный смартфон с точно настроенным набором функциональных возможностей и приложений для выполнения трудовых обязанностей.
Список таких функций и приложений, доступных на мобильном рабочем месте сотрудника, может значительным образом отличаться у различных компаний, учреждений и ведомств.
Так, например, для руководящего состава очевидна необходимость поддержки конфиденциальной связи и передачи данных с шифрованием трафика, а также защищенного доступа к ресурсам информационных систем организации. Для силовых структур этот список пополнится поддержкой защищенных средств геолокации GPS/ГЛОНАС для мониторинга перемещения личного состава, а также передача голосового трафика VoIP-каналам как по сетям 3G/4G, так и через мобильные ведомственные сети Wi-Fi.
Для сотрудников органов правопорядка – инспекторов ГИБДД, участковых и других сотрудников полиции, будет уместным наличие режима видеорегистратора – например, для фиксации обстоятельств ДТП, цифровой подписи для составления протоколов, приложений для мониторинга происшествий и т.д.
Службы быстрого реагирования (МЧС, скорая помощь, пожарная служба), в свою очередь, заинтересованы в таких функциях, как, например, отправка и получение защищенных текстовых, мультимедийных и голосовых сообщений, наличие «тревожной кнопки», принудительное включение GPS-навигации, логирование перемещений, мгновенное информирование о режиме ЧП, определение местоположения персонала при возникновении чрезвычайной ситуации как вне, так и внутри периметра объекта, и так далее.
Совершенно другой набор функций и приложений будет у сотрудника социальной службы, работника почты, министра или сотрудника крупной компании.
Смартфоны Samsung Z3 и операционная система Tizen со встроенным Загрузчиком СЗИ представляют собой базовую основу для организации всех этих и множества других сценариев организации корпоративной мобильной сети. Система обладает сертификатом ФСТЭК и обеспечивает с помощью Загрузчика безопасную установку других сертифицированных СЗИ, включая клиентскую часть SafePhone, при этом список средств защиты голосового и информационного трафика всегда может быть расширен дополнительными, заведомо проверенными на совместимость средствами криптографии – например, ViPNet, прошедшими сертификацию ФСБ.Клиент SafePhone, установленный с помощью Загрузчика, берет на себя основные функции по защите данных и безопасности работы в корпоративной сети предприятия.
С клиентской стороны SafePhone обеспечивает запрет на обновление прошивки устройства пользователем, защищает от взлома с передачей прав управления операционной системой одному из приложений пользователя, запрещает установку приложений откуда бы то ни было кроме как из корпоративного банка доверенных приложений, равно как и деинсталляцию приложений пользователем.
Клиентская часть SafePhone также обеспечивает защиту от несанкционированного доступа к устройству в режиме отладки, гарантирует невозможность самостоятельного выхода пользователя мобильного средства коммуникации из-под управления сервера, следит за применением политик безопасности в offline-режиме и регистрирует события, происходящие на МСК. В список таких событий входит смена SIM-карты, изменение состояния батареи, установка и удаление приложений, запуск и остановка приложений, а также смена состояния роуминга.
Со стороны администратора корпоративной сети SafePhone обеспечивает удаленную блокировку и разблокировку мобильного устройства, уничтожение корпоративных и личных данных с принудительной перезаписью памяти устройства, управление списком доверенных беспроводных точек доступа с возможностью автоматического переподключения между доверенными Wi-Fi точками организации.
Администратору SafePhone также доступна удаленная блокировка и разблокировка потенциально опасных интерфейсов (браузер, Bluetooth, камера и диктофон), получение списков установленных и запущенных приложений, установка политик при смене SIM-карты (разрешение смены SIM-карты на корпоративную, SIM-карты на внешнюю, работы без SIM-карты), принудительный запуск и остановка приложений, а также формирование и применение политик рабочего и нерабочего времени сотрудников.
Клиентское приложение SafePhone предоставляет данные по модулю GSM (IMEI), версии операционной системы, уровню заряда батареи, модели устройства, аппаратному идентификатору (серийный номер или UDID), идентификатору SIM-карты (IMSI, ICCID), типу подключения (GPRS, Wi-Fi и др.), состоянию роуминга (в домашней сети, в роуминге) и номеру телефона SIM-карты. Система также позволяет регистрировать GPS-координаты местонахождения устройства с заданным периодом времени. Опрос GPS осуществляется только в рабочее время сотрудника, заранее определенное администратором системы.
Система предоставляет набор инструментов для просмотра истории перемещений одного или нескольких устройств на карте, регистрации фактов совершения голосовых вызовов, их направления (входящие/исходящие) и длительности сеансов, равно как фактов отправки/приема SMS.
Специальная кнопка, вставляемая в разъем для наушников, может быть использована для скрытной отправки сигналов тревоги абонента на сервер системы.
Система позволяет абонентам SafePhone обмениваться сообщениями (не SMS, MMS), используя канал передачи мобильных данных. Реализована дозагрузка данных в случае разрыва связи. Тем самым обеспечивается устойчивость работы системы при нестабильности канала.
Администратору SafePhone доступна установка адресной книги корпоративных контактов сотрудников и обновление клиентского ПО SafePhone с сохранением политик безопасности и данных пользователя, при этом доставка дистрибутива осуществляется по беспроводному соединению без участия пользователя устройства.
Очень важно отметить, что в случае с использованием связки Tizen и SafePhone поддерживается удаленное инкрементальное обновление ОС: вместо большого дистрибутива скачиваются лишь актуальные дополнения системы.
Администратор имеет возможность просматривать статистическую информацию о деятельности сотрудников, отдельно по голосовым вызовам, SMS, истории перемещений и других важных параметрах.
Отдельным пунктом в создании мобильной корпоративной инфраструктуры выступает организация корпоративного банка доверенных приложений. Доступ к банку доверенного ПО может иметь не только администратор системы, но также пользователи, однако скачивание и инсталляция приложений за пределами этого банка может быть жестко запрещена администратором с помощью настроенных политик.
Удобным решением для организации внутреннего корпоративногохранилища приложений является готовая платформа SafeApp для облачного запуска десктопных приложений.
Здесь для пользователей доступен достаточный выбор офисных приложений, служебных утилит, обучающих программ, пакетов для работы с графикой, а также средства разработки.