Использование мобильных приложений в корпоративной ГИС даёт гибкость и функциональность системы. Безопасность играет важную роль, она должна гарантировать, что конфиденциальность, целостность и доступность данных будут поддерживаться в используемых мобильных приложениях. В этом разделе описываются рекомендации по минимизации рисков, связанных с использованием мобильного приложения, как компонента корпоративной ГИС.
Основные рекомендации и описание функциональности по обеспечению безопасности в развёртывании мобильных приложений представлены ниже. Для подробного списка рисков и способов их минимизации в мобильных приложениях см. раздел OWASP Mobile Top 10.
Многопользовательское решение Управление мобильными устройствами (Mobile Device Management - MDM) очень хорошо подходит, чтобы начать защищать мобильные данные. MDM предназначен для администрирования мобильных устройств в организации. Обычно это применяется с программным обеспечением, активирующим функциональность централизации и оптимизации, а также управления безопасности для мобильных устройств. Программное обеспечение обычно включает серверный компонент, который посылает команды управления на мобильные устройства, на которых установлен мобильный компонент для получения и запуска команд управления.
Решение MDM обычно включает следующие возможности:
- Отслеживание, перезапуск и шифрование устройства
- Соблюдение политики паролей, сбрасывание паролей
- Предопределённые конфигурации настроек WiFi/виртуальных защищенных сетей (VPN)
- Возможности удаления блокировок и стирания
- Соблюдение настроек резервного копирования
- Обнаружение попыток перепрошивки устройства
Mobile application management (MAM) обеспечивает дополнительный уровень безопасности для мобильных устройств; оно состоит из программного обеспечения и сервисов, которые предоставляют и управляют доступом отдельных приложений на устройствах. Это дает возможность администраторам более точного управления на уровне приложения, чтобы управлять и защищать данные приложения. Решение программного обеспечения MDM может включать возможности MAM как часть функциональности.
Esri заметил, что предложения MAM на основе MDM, которые требуют перестроения приложения с помощью MDM Software Development Kit (SDK) обычно не работают хорошо. У Esri есть клиенты, которые используют предложения MAM, не требующие внедрения MDM SDK. Esri обеспечит поддержку только для выпущенных версий хранения, которые находятся в списке поддержки жизненного цикла продукта.
Более подробную информацию команда по безопасности и конфиденциальности Esri поместила в справочник с заголовком Способы реализации защищенных мобильных данных с помощью ArcGIS, чтобы помочь IT-менеджерам и администраторам ГИС при развертывании многопользовательской ГИС, включающей мобильный полевой компонент.
Аутентификация
Аутентификация включает проверку учетных данных, чтобы подтвердить идентификацию клиента. Проверьте, чтобы аутентификация была включена для ГИС-сервисов, имеющих доступ. Специально для мобильных приложений существует несколько потенциальных опций защиты, применяемых в зависимости от доступных возможностей в вашей организации, например, наличия мобильного шлюза безопасности или виртуальной частной сети (VPN), которые можно использовать на мобильных устройствах. Доступны следующие параметры:
- Integrated Windows Authentication (IWA) – использование Kerberos (или, если недоступно, NTLM), который предоставляет возможность единого входа в среду на базе Windows.
- Аутентификация на основе токенов – использование токенов ArcGIS, которые позволяют проводить аутентификацию по всей платформе ArcGIS.
- Организации, настроенные на использование SAML 2.0 или OpenID Connect — ArcGIS Online или ArcGIS Enterprise дают возможность клиентам использовать SAML 2.0 или OpenID Connect для обеспечения единого веб-доступа.
Авторизация
Авторизация – это процесс, в котором права доступа клиента проверяются до входа на ресурс или выполнения операции. Пользователям следует назначить права доступа на основе роли и требуется применять принцип минимальных привилегий. Для мобильных приложений он может включать несколько уровней:
- Правильно управляйте авторизацией внутри доступных ролей, таких как администратор, издатель и пользователь, на вашей платформе ArcGIS
- На уровне EMM используйте точную структурированную авторизацию и инициализацию на уровне приложения.
Шифрование
Шифрование – это процесс трансформации данных, чтобы их было невозможно прочитать без ключа дешифровки.
- Зашифровывайте передаваемые в корпоративной ГИС данные с помощью HTTPS.
- Зашифровывайте неактивные данные на мобильных устройствах. Это можно технически усилить с помощью следующего:
- Корпоративного MDM
- MS Exchange ActiveSync, если применяется Microsoft Exchange
Ведение журнала и аудит
Ведение журнала включает запись интересующих вас событий в системе. Аудит – проверка этих журналов, для уверенности в том, что система функционирует как должна, или для того, чтобы ответить на вопрос об определенной произведенной транзакции. Ведение журналов и аудит может проводиться на следующих уровнях для мобильных систем:
- На уровне устройства: при использовании решения управления мобильными устройства в компании
- На уровне приложения: при записи в журнал транзакций
Результаты должны поступать в решение Security Information and Event Management (SIEM), и, тем самым, обеспечивается корреляция записываемых в журнал данных и обнаружение вредоносной активности.
Повышение прочности
Повышение прочности – это процесс, когда настроенные безопасные системы минимизируют риски, насколько это возможно. Уязвимость может минимизироваться в мобильных развертываниях с помощью:
- Усиление серверных точек доступа.
- Использования решения Mobile Application Management (MAM) для ограничения приложений.
- Безопасность сервера считается основным риском при использовании мобильного доступа, согласно OWASP Mobile Top 10.
- Следуйте стандртам рекомендаций по защите сервера, рекомендованных в отрасли.