Mobile Device Management: разнообразие видовЧасть 1

Михаил Рожнов
руководитель центра компетенции
ООО "НИИ СОКБ" по обеспечению
информационной безопасности при
использовании мобильных средств
связи в ОАО "Газпром"

Решения MDM, как правило, представляют собой централизованный сервер управления и набор программных агентов, которые инсталлируются на мобильные устройства и управляются системой на основе заданных политик безопасности. Функционал может разниться в зависимости от платформы и компании-разработчика.

В тестировании участвовали следующие продукты:

• Trend Micro Mobile Security 8 (build 8.0.1251);
• Symantec Mobile Security 7.2 (7.2.721);
• Mobilelron VSP 4.5.3 (build 98);
• SafePhone;
• BlackBerry Enterprise Server 5.0.3.

Trend Micro Mobile Security 8

Инсталляция программного комплекса не составляет трудностей. В качестве среды функционирования выступает ОС Microsoft Windows Server 2008 и последующие ее редакции, системой управления базами данных является семейство продуктов Microsoft SQL Server 2005/2008 (допустимо использование Express-редакции для тестирования или пилотного проекта с учетом ограничений, накладываемых на бесплатную редакцию), а также одна из редакций Trend Micro Office Scan 10.x. Само решение Trend Micro Mobile Security 8 представляет собой плагин, который инсталлируется из консоли Plug-in Manager и управляется из общей административной Web-консоли с помощью браузера семейства Microsoft Internet Explorer (браузеры других производителей не поддерживаются). После того как инсталляция успешно завершена, необходимо выполнить установку агентов и произвести регистрацию устройств на сервере Trend Micro Mobile Security при наличии Wi-Fi, 3G/GPRS или локального соединения с сервером коммуникации (Communication Server).

Инсталляция агентов возможна одним из следующих способов: SMS-уведомление с URL на инсталляционный пакет, уведомление по электронной почте с URL на инсталляционный пакет, средствами встроенного Web-браузера, предварительная установка на карту памяти (только для платформ Symbian и Windows) или ручная инсталляция, Apple Store. После завершения данной процедуры необходимо выполнить регистрацию устройства, указав параметры: имя устройства, IP сервера, порт, логин и пароль пользователя при обязательной процедуре аутентификации. Все - инфраструктура готова к эксплуатации (см. рис. 1).

Далее все настройки осуществляются через политики, которые назначаются на группу устройств. Это позволяет создать несколько групп с различными привилегиями и функциями. По началу такой функционал кажется избыточным, но когда дело доходит до формирования политик, в голову сразу приходит идея, как классифицировать устройства - по мобильным платформам. Обусловлено это тем, что для каждой мобильной платформы существует единая политика, в которой обозначено, применимо ли данное правило для конкретной платформы или нет (см. табл. 1).

Администратор Trend Micro Mobile Security по-разному строит защиту мобильных устройств, функционирующих на различных платформах. Ни для одной из мобильных ОС не представлен комплексный механизм, который включал бы антивирусную защиту, файрвол, систему обнаружения вторжений, контроль списка инсталлируемого ПО, контроль SMS/MMS/вызовов. Тем не менее продукт позволяет обеспечить оптимальный уровень защиты, исходя из доступных для конкретной платформы функций.

Отсутствие файрвола для Android компенсируется антивирусной защитой и инсталляцией только доверенных приложений, невозможность организации списка доверенных приложений для Symbiап и Windows Mobile восполняется наличием антивируса и файрвола. Мобильные агенты могут быть установлены только на следующие платформы:

• Windows Mobile 5 Pocket PC/Pocket PC Phone, Windows Mobile 6 Classic/ Professional, Windows Mobile 5 Smartphone, Windows Mobile 6 Standard;
• Android 2.x, 3.x, 4.x;
• Symbian OS 9.x S60 3rd Edition, Symbian OS 9.x S60 5th Edition;
• Apple iOS 4, Apple iOS 5.

Symantec Mobile Security 7.2

Установка программного комплекса состоит в инсталляции Symantec Management Platform 7.1 SP2 с помощью удобного мастера, предоставляемого Symantec Installation Manager и развертывания с его же помощью компоненты Symantec Mobile Security 7.2. Вся инфраструктура строится на базе решений компании Microsoft - Microsoft Windows Server 2008, Microsoft SQL Server 2005/2008, настройка дополнительных компонентов, таких как конфигурирование IIS, происходит автоматически в процессе инсталляции (даже установка самой роли).

Администрирование всей инфраструктуры (см. рис. 4) осуществляется через браузер Microsoft Internet Explorer. Браузеры других производителей не поддерживаются. Программный комплекс четко разделяет платформы (Android (см. табл. 2) или Windows Mobile (см. табл. 3)) и соответственно политики для них.

После того как инсталляция программного комплекса успешно завершена, необходимо выполнить установку агентов и произвести регистрацию устройств на сервере. Данная операция может быть выполнена отправкой e-mail с URL-ссылкой на инсталляционный пакет и дальнейшей установкой стандартными средствами (Android) или скачиванием инсталляционного пакета с сайта разработчика и распространением его на мобильные устройства клиентов сети с помощью механизмов, применяемых в вашей инфраструктуре (Windows Mobile).

Для устройств на платформе Android необходимо настроить Google Cloud Messaging - данный функционал позволяет Symantec Mobile Security взаимодействовать с устройством, направляя ему команды напрямую, не ожидая обращения устройства к серверу. После завершения установки необходимо выполнить регистрацию устройства на сервере Symantec Mobile Security.

К преимуществам продукта можно отнести четкое разделение политик безопасности по платформам, наличие функций защиты, позволяющих повысить качество защиты по сравнению со стандартными функциями, входящими в операционную систему. Однако для различных платформ модель защиты строится по-разному: это пара антивирусная защита плюс контроль инсталлируемых/инсталлированных приложений, либо антивирусная защита плюс файрвол.

В первом и во втором случае необходимо накладывать административные ограничения, иначе пользователь может либо стать жертвой вредоносного Web-pecypca, либо выполнить инсталляцию приложения, которое выполнит хищение информации по стандартному протоколу (http/https), либо осуществит подписку на короткий номер.

В завершение отметим набор мобильных платформ, поддерживаемых Symantec Mobile Security:

• Android 2.x, 3.x, 4.x;
• Windows Mobile 6.0/6.1/6.5 Professional and Standard;
• Windows Mobile 5.0 Pocket PC и Phone Edition.

Продолжение обзора читайте
в Information Security №5, 2012