🗺️ 🆚 🤾 昨天是不可能的，但是今天有必要：如何开始远程工作而不造成泄漏？ 😔 🕎 🤳🏾

一夜之间，远程工作已成为一种流行且必要的格式。都是因为COVID-19。每天都会出现防止感染的新措施。在办公室中，对温度进行测量，并且包括大型公司在内的一些公司将工作人员转移到偏远地区，以减少停机时间和病假造成的损失。从这个意义上讲，具有分布式团队经验的IT部门是赢家。

这不是我们SRI SOKB一直在组织从移动设备远程访问公司数据的第一年，而且我们知道远程工作并非易事。在切入点之下，我们将说明我们的解决方案如何帮助安全地管理员工的移动设备以及为什么它对于远程工作很重要。

员工需要什么远程工作？

您需要提供远程访问以完成全部工作的一组典型服务是通信服务（电子邮件，Messenger），Web资源（各种门户，例如服务台或项目管理系统）和文件（电子文档管理系统，版本控制）等等。）。

我们不能指望安全威胁会等到我们完成与冠状病毒的对抗之后。远程工作有其自己的安全规则，即使在大流行期间也必须遵守。

对于企业而言重要的信息不能简单地发送到员工的个人电子邮件中，从而使员工可以轻松地在个人智能手机上阅读和处理该信息。您可能会丢失智能手机，可以安装窃取智能手机信息的应用程序，最后，由于相同病毒而在家的孩子都可以玩它。因此，员工使用的数据越重要，就越需要保护他们。而且对移动设备的保护不应比固定保护差。

为什么防病毒和VPN不够？

对于运行Windows的固定式工作站和便携式计算机，安装防病毒软件是合理且必要的措施。但是对于移动设备-并非总是如此。

Apple设备体系结构会干扰应用程序之间的通信。这限制了受感染软件后果的可能范围：如果使用邮件客户端的漏洞，则操作不能超出此邮件客户端的范围。同时，这种策略降低了防病毒软件的有效性。自动检查通过邮件发送的文件，不再起作用。

在Android平台上，病毒和防病毒软件都有更广阔的前景。但是，权宜之计的问题仍然存在。要从应用程序商店安装恶意软件，您将必须手动赋予很多权限。攻击者仅从允许所有应用程序的用户那里获得访问权限。实际上，禁止用户安装来自未知来源的应用程序就足够了，以使免费安装的付费应用程序平板电脑无法“治愈”机密信息。但是，此措施超出了防病毒和VPN的功能。

此外，VPN和防病毒软件将无法控制用户的行为。逻辑建议在用户设备上至少应设置一个密码（以防止丢失）。但是，密码的存在及其可靠性仅取决于用户的意识，公司无法以任何方式对其进行影响。

当然，有管理方法。例如，内部文档，根据这些文档，员工将自己负责设备上密码的不足，从不受信任的来源安装应用程序等。您甚至可以强迫所有员工在进行远程工作之前，签署包含这些项目的经修订的职位描述。但让我们面对现实：该公司将无法验证该指令在实践中是如何执行的。她将忙于主要流程的紧急重组，而尽管已实施了相关政策，员工仍将机密文档复制到其个人Google云端硬盘中，并通过引用对其进行开放访问，因为这样可以更方便地处理文档。

因此，办公室突然的远程工作是对公司稳定性的考验。

企业流动性管理

从信息安全的角度来看，移动设备是安全系统中的威胁和潜在的漏洞。为了弥补这一差距，提供了EMM类（企业移动性管理）解决方案。

企业移动性管理（EMM）包括管理设备（MDM，移动设备管理），其应用程序（MAM，移动应用程序管理）和内容（MCM，移动内容管理）的功能。

MDM是必不可少的工具。管理员可以使用MDM功能重置或阻止丢失的设备，配置安全策略：密码可用性和复杂性，禁用调试功能，从apk安装应用程序等。所有制造商和平台的移动设备均支持这些基本功能。仅在各个制造商的设备上提供更详细的设置，例如，禁止安装自定义恢复。

MAM和MCM是它们提供访问权限的应用程序和服务形式的胡萝卜。通过为MDM提供足够的安全性，您可以使用安装在移动设备上的应用程序提供对公司资源的安全远程访问。

乍一看，管理应用程序似乎纯粹是IT任务，可以归结为基本操作，例如“安装应用程序，配置应用程序，将应用程序更新为新版本或将其回滚到以前的版本”。实际上，这里并非没有安全感。不仅需要在设备上为设备安装和配置必要的应用程序，而且还需要保护公司数据不被加载到您的个人Dropbox或Yandex.Disk中。

为了将公司和个人分开，现代EMM系统提供了在设备上创建用于公司应用程序及其数据的容器的功能。用户无法未经授权从容器中删除数据，因此安全服务不需要禁止“个人”使用移动设备。相反，这对业务是有益的。用户对设备的了解越多，他使用工作工具的效率就越高。

让我们回到IT任务。没有EMM，有两个任务无法解决：应用程序版本的回滚及其远程配置。当新版本的应用程序不适合用户时，需要回滚-它有严重的错误或非常不便。对于Google Play和App Store上的应用程序，无法进行回滚-商店中始终只有该应用程序的最新版本。通过积极的内部公司开发，几乎每天都可以发布版本，并且并非所有版本都是稳定的。

无需EMM即可实现应用程序的远程配置。例如，针对不同的服务器地址构建不同的应用程序版本，或者将设置文件保存在手机的公共内存中，然后手动进行更改。所有这些都可以找到，但是几乎不能称之为最佳实践。反过来，Apple和Google提供了解决此问题的标准化方法。开发人员只需一次构建必要的机制就足够了，应用程序将能够配置任何EMM。

我们买了动物园！

并非所有的移动用例都同样有用。不同类别的用户具有不同的任务，因此需要以自己的方式解决。开发人员和财务人员需要特定的应用程序集，也可能需要安全策略集，因为他们使用的数据具有不同的机密性。

并非总是可能限制移动设备的型号和制造商的数量。一方面，事实证明，为移动设备制定企业标准要比了解不同制造商的Android之间的区别以及在不同对角线的屏幕上显示移动UI的功能便宜。另一方面，在大流行中购买公司设备变得越来越复杂，并且公司必须允许使用个人设备。由于西方EMM解决方案不支持的国家移动平台的存在，进一步加剧了俄罗斯的局势。

所有这些通常导致一个事实，即不是运行一个用于管理公司移动性的集中式解决方案，而是运行着由EMM，MDM和MAM系统组成的多样化动物园，每个动物园都由自己的人员根据独特的规则进行服务。

俄罗斯有哪些功能？

与其他任何国家一样，在俄罗斯，有关于信息保护的国家法律，该法律不会根据流行病学情况而改变。因此，在状态信息系统（GIS）中，应使用根据安全要求认证的防护设备。为了满足此要求，必须使用经过认证的EMM解决方案来管理访问GIS数据的设备，其中包括我们的SafePhone产品。

漫长而难以理解？并不是的

企业级工具（例如EMM）通常与缓慢的实施和冗长的项目前准备相关联。现在根本没有时间进行此操作-由于病毒引起的限制正在迅速引入，因此没有时间进行远程工作。

根据我们的经验，尽管我们已经在不同规模的公司中实施了许多项目来实施SafePhone，即使在本地部署，该解决方案也可以在一周内启动（不计算谈判和签订合同的时间）。普通员工将在实施后的1-2天内使用该系统。是的，为了灵活的产品配置，您需要培训管理员，但是培训可以在系统开始运行的同时进行。

为了不浪费时间在客户的基础架构中进行安装，我们为客户提供了基于云的SaaS服务，用于使用SafePhone远程控制移动设备。此外，我们从自己的数据中心提供此服务，该服务经认证符合GIS和个人数据信息系统的最高要求。

为了对抗冠状病毒，SRII SOKB免费将中小型企业连接到SafePhone服务器，以确保远程员工的安全工作。