Защита персональной образовательной мобильной среды

Рост количества мобильных устройств, появление новых приложений, рост объема и ценности хранящихся на этих устройствах данных ставит перед организациями ряд новых вопросов:

• Что делать с мобильными устройствами работников?
• Как управлять контентом?
• Как обеспечить защиту данных и корпоративной тайны?

При этом перед учебными заведениями встают следующие проблемы:

• централизованное управление настройками устройств под управлением различных ОС;
• обеспечение безопасности информации при ее передаче и хранении;
• своевременное обновление ПО и установка исправлений для продуктов;
• возможность использования как корпоративных устройств, так и устройств, которые приобретены пользователями;
• поддержка пользователей.

Несмотря на множество возникающих проблем, концепция BYOD (Bring your own device) завоевывает все больше позиций в ВУЗовской среде. Между тем, новые возможности с неизбежностью оказываются связаны с новыми опасностями. И для того, чтобы словосочетание BYOD не расшифровывалось как «bring your own disaster”, учебное заведение должно уделять больше внимания управлению мобильными устройствами.

С точки зрения организации электронного обучения внедрение концепции BYOD в практику учебного заведения знаменует собой фактическое создание персональной мобильной образовательной среды.

Внедрение принципов BYOD влечет за собой:

• увеличение мотивации и заинтересованности студентов;
• расширение доступа к широкому спектру образовательных ресурсов Сети;
• обеспечение расширенного доступа к ресурсам ВУЗа (e-books, e-textbooks, LMS и т.д.);
• обеспечение совместной учебной деятельности студентов в аудиториях.

При этом, понятие «безопасность мобильных устройств» (Mobile Security) включает в себя:

• уже упомянутое управление мобильными устройствами (Mobile Device Management,
• MDM);
• создание безопасных виртуальных рабочих мест (Virtual Desktop Infrastructure, VDI);
• противодействие утечкам информации через мобильные устройства (Mobile DLP).

Виртуальное рабочее место (VDI) подразумевает возможность безопасного и устойчивого доступа к ресурсам учебного заведения из любой точки мира.

Рассмотрим компоненты защищённой мобильной среды. Прежде всего, это контроль, подразумевающий собой безопасность и соответствие установленным требованиям всех устройств и приложений, управление приложениями и конфигурацией среды. Безопасный доступ – это строгая аутентификация и полный цикл PKI/OTP. Защита информации – это DLP и Web-безопасность, шифрование и защита от вирусов.

Управление мобильным устройством подразумевает:

• управление используемыми приложениями;
• управление политикой использования устройств;
• инвентаризация устройств и используемого программного обеспечения;
• защита от кражи.

Весь жизненный цикл мобильных устройств можно разбить на следующие этапы:

• Инициализация устройства (настройка параметров устройства; настройка подключений; применение парольной политики; включение шифрования; установка назначенного ПО)
• Эксплуатация (управление) устройством (проверка конфигурации на соответствие; организация доступа к приложениям; установка обновлений; резервное копирование данных; мониторинг устройств; инвентаризация; поддержка пользователей)
• Вывод из эксплуатации (удаление данных и персональной информации; возвращение к заводской конфигурации).

Можно выделить несколько ключевых особенностей организации безопасной персональной мобильной среды.

На этапе ввода в эксплуатацию это – контролируемая активация доступа; управление конфигурациями (автоматическое распространение настроек электронной почты, VPN, Wi-Fi); корпоративный магазин приложений (обеспечивающий установку собственных приложений и определение рекомендованных публичных и обязательных приложений); регулировка распространения корпоративного (университетского) контента.

Второй этап (безопасное управление мобильными устройствами) имеет следующие ключевые особенности – необходимость регулярной отчетности и оповещений ; использование пределенных почтовых серверов; единое управление для всех ОС (iOS, Android, Windows, Linux) и единая консоль для всех устройств ПК+мобильные); масштабируемая архитектура.

Одна из главных задач MDM —достижение оптимального состояния между безопасностью и удобством использования устройств при минимизации затрат на обслуживание и времени простоя.

Прежде всего, нужно четко разделять два класса рассматриваемых устройств:

• принадлежащие университету;
• принадлежащие преподавателю, студенту или сотруднику ВУЗа.

Основную опасность представляет собой вторая группа мобильных устройств. 70% опрошенных журналом InformationWeek Analytics в 2011 указало, что использование этих мобильных устройств представляет собой серьезную угрозу для организации уже сейчас. Еще 20% считает, что проблема проявится наиболее остро в ближайшее время.

Прежде всего, рассмотрим те виды рисков безопасности образовательного учреждения, которые связаны с использованием мобильных устройств. Это

• риски, связанные с данными, хранящимися на мобильном устройстве (контакты,
• переписка, документы);
• риски, связанные с предоставлением общевузовских служб и сервисов (e-mail, LMS,
• BI);
• риски, связанные с финансовыми потерями (навязывание платных сервисов,
• мошенничество).

Для нейтрализации возникающих угроз можно выделить основные направления защиты:

• разработка и реализация организационных политик использования мобильных
• устройств;
• учет и управление устройствами;
• разграничение и контроль доступа к устройству;
• защита критичных данных, хранимых и обрабатываемых на устройстве;
• аутентификация и защита данных при доступе к корпоративным ресурсам.

Учет и управление устройствами подразумевает инвентаризацию и учет устройств, мониторинг устройств, централизованное резервное копирование, максимальную автоматизацию, использование групповых настроек/политик.

Политики ВУЗа в области MDM должны определять:

• допустимые типы устройств;
• допустимые сценарии использования устройств;
• применяемые средства и механизмы защиты;
• рекомендации по соблюдению дополнительных мер защиты;
• исключения и ограничения по применению;
• меры ответственности за нарушение требований;
• контакты в случае непредвиденных обстоятельств.

Контроль доступа к устройству подразумевает:

• аутентификация владельца (пароль, pin-код,etc.);
• блокировка консоли;
• дистанционное удаление данных и восстановление устройств;
• контроль коммуникационных интерфейсов.

Защита данных на устройстве включает в себя:

• шифрование данных;
• защита от вирусов и вредоносного ПО;
• контроль приложений;
• преимущественное хранение критичной информации на серверах корпоративной
• (вузовской) информационной системы.

Защита данных при доступе к общеуниверситетским ресурсам означает:

• разграничение доступа к ресурсам со стороны корпоративной сети;
• шифрование передаваемых данных;
• усиленная аутентификация;
• контроль данных, загружаемых на устройства.

Многие учебные заведения пытаются ввести в организованное русло все многообразие используемых студентами и сотрудниками устройств путем централизованной установки MDM-приложений. Эти приложения предназначены, в первую очередь, для регуляризации использования мобильных устройств за счет внедрения регламентирующих политик и ограничений.

При этом программы управления мобильными устройствами устанавливаются либо на серверах учебного заведения, либо реализуются в виде SAAS –приложений сторонних организаций.

Организованная таким образом персональная мобильная образовательная среда позволяет обеспечить эффективную реализацию концепции BYOD в учебном заведении.

Автор: Зуев Владимир Иванович, Казанский (Приволжский) федеральный университет, Институт социальных и гуманитарных знаний