NIST发布企业移动应用安全建议参考指南

美国商务部的美国国家标准与技术研究院(NIST)发布了最新指南,旨在帮助企业提高移动设备使用的安全性,越来越多的员工开始使用智能手机和平板电脑等移动设备来用于工作。

这个《审查移动应用安全(Vetting the Security of Mobile Applications)》为各行各业(包括医疗保健)提供了评估移动应用程序相关的安全和隐私风险的建议,同时包括内部开发或从移动应用商店下载的应用程序。

对于医疗机构,该指南可以帮助他们使用移动应用程序安全地访问或收集患者信息,NIST计算机科学家Tom Karygiannis表示:“患者可能会想知道个人医疗监控应用程序收集的个人数据类型以及与第三方共享的数据类型。医生、药剂师、护士、管理人员和保险公司访问和收集病人医疗数据时,都有责任保护这些数据,并且只能与授权方共享数据。”

该指南适用于从应用程序商店下载的应用程序、内部使用而开发的程序、医疗保健提供商开发并提供给公众的程序。

Karygiannis警告说,应用程序中的安全漏洞可能会泄露医疗保健提供商的IT资源以及患者的个人身份信息。

NIST指出,智能手机和平板电脑用户可以访问大量可安装的程序(即所谓的移动应用程序),以让他们的生活更便捷,但下载不安全应用程序的员工可能会无意中让他或她企业的计算机网络面临安全和隐私风险。

该指南还可以帮助开发人员来了解在应用程序软件开发周期内可能出现的漏洞类型。该指南提供了部署审查过程的指导,以及开发应用程序安全要求的注意事项。其中还描述了应用程序漏洞的类型,以及检测漏洞所使用的测试方法,以及确定应用程序是否可以在企业使用的指导意见。

“该指导文件称,每个企业都有不同的使命,可以接受不同程度的风险。例如,最应该先处理的是危及生命的情况,这可能让安全问题变成次要问题,但与此同时,他们在处理需要小心保护的非常敏感的患者信息,”Karygiannis表示,“军事人员也有类似的考虑,不是病人信息,他们可能需要保护战术信息。”

办公室工作人员可能需要访问敏感信息,但他们也可以使用一些额外的安全技术来帮助他们缓解任何潜在的风险。

“该指导文件的目的是帮助企业决定是否应该或不应该使用应用程序,”Karygiannis表示,“我们还评估了大部分商业自动化移动应用测试工具,以确保我们推荐的测试可以以自动化和可重复的方式执行,因为大多数企业可能没有内部专业人员来评估移动应用风险。”

作者:邹铮

来源:51CTO

时间: 2024-10-24 15:25:37

NIST发布企业移动应用安全建议参考指南的相关文章

抢先看:DHS和NIST发布IoT安全指南

在一系列利用IoT设备默认安全设置的大规模分布式拒绝服务攻击发生后,美国两个政府机构发布了有关IoT安全的安全指导文件. 美国国土安全部(DHS)和国家标准与技术研究所(NIST)同时发布了针对IoT的安全建议.专家称,DHS的IoT安全指南侧重于基础部分,而NIST为企业提供了更多操作方法. DHS的IoT安全指南提出了六项战略原则,旨在为IoT开发人员.制造商.服务提供商和消费者"提供方法以帮助他们在开发.制造.部署或使用联网设备时全面确保安全性".DHS建议在设计阶段部署IoT安

阿里聚安全发布 企业可享淘宝同款防护

本文讲的是阿里聚安全发布 企业可享淘宝同款防护[IT168 云计算]互联网蓬勃发展,催生众多创新业务,互联网安全也面临前所未有的挑战.2月25日,阿里巴巴正式推出企业安全产品--阿里聚安全,面向企业和开发者提供互联网业务安全解决方案,全面覆盖移动安全.数据风控.内容安全.实人认证等多个维度,与全社会共享阿里巴巴的专业安全技术和能力.目前,阿里聚安全覆盖的终端数已经超过5亿.今后,阿里聚安全可为企业提供与淘宝.支付宝同级别的安全防护技术. 大数据风控 帮助企业远离黑灰产 ▲阿里巴巴集团首席风险官刘

首席信息安全官:企业新年安全战略建议

本文讲的是首席信息安全官:企业新年安全战略建议,大多数首席信息安全官几乎都困扰于相同的问题,从处理不断编号的威胁环境到适当支持不断增加的社交网络技术,员工的移动设备和云服务等.事实上,Forrester公司的研究显示,安全专家面临的大多数安全挑战都是与企业方针以及路线相关的.例如,很多高级企业和IT领导要求首席信息安全官能够更好地支持和配合业务以及IT目标,这要求安全团队的定期交流和学习. 根据安全领导人在新年的困扰和关注领域,Forrester公司为大家提供了一些应对新年安全趋势的安全战略建议

NIST发布网络安全劳动力框架

本文讲的是 NIST发布网络安全劳动力框架,美国国家标准与技术研究所(NIST)近日公布了一份网络安全劳动力框架,用以支持企业培养并维护有效网络安全员工的能力. 该框架定义了角色及角色所需的知识和技能:还定义了澄清网络安全教育者.培训者/认证者.雇主和雇员之间交流的通用语.该框架意图帮助公司企业发展其现有劳动力,并帮助学术机构持续培养未来劳动力. 与其他所有框架类似,使用的公司企业受益,而其他人无视.坦帕市信息安全官马丁·兹奈赫看出了其中的潜在好处.2015年,他将当前网络安全状态,与1972年

如何避免被黑?黑帽大会创始人给初创小企业的三点建议

DefCon和BlackHat大会的创始人Jeff Moss为初创企业带来了如何防止被黑的建议. 公司刚成立的时候,与客户建立关系,完善产品或服务应当是第一要务.但你也需要考虑另一件不是那么常见的事情,那就是安全策略.它也是公司不可分割的一部分,而且,为了让它成为最有效的,它应当在公司初创时就成为你公司计划的一部分. 信息安全届两个最重要的大会:BlackHat和DefCon大会的创始人.美国国土安全部顾问咨询委员会咨询师Jeff Moss对媒体表示,安全不应该是仅交给IT员工的事,而应该成为全

360发布企业BYOD安全管理系统"360天机"

本文讲的是 : 360发布企业BYOD安全管理系统"360天机"   ,IT168 资讯]12月27日消息,日前,360正式对外发布了企业移动终端安全管理解决方案--360天机.360天机主要应用于企业移动办公的安全防护,能够在移动设备上建立一个安全的办公区,实现个人应用与企业应用的公私隔离,从而保护好企业数据和信息的安全.据悉,360天机已经在多家金融和保险公司部署应用. ▲图:360副总裁谭晓生发布360天机 使用手机Pad进行移动办公已经成为趋势.然而在提升办公效率的同时,企业也

华为用友发布企业私有云方案 推用友iUAP一体机

华为与用友发布了企业私有云联合解决方案.面向大型企业私有云推出了基于华为IT产品的用友解决方案一体机iUAP. 华为用友发布企业私有云方案 推用友iUAP一体机 用友网络高级副总裁郑雨林透露,"双方高度匹配与互补,走到一起十分自然."除了用友iUAP一体机,双方针对消费品.公共事业和交通三大行业也推出了相应的解决方案. 据介绍,双方此次合作的目的有两个,一是共同致力于服务企业互联网化,帮助用户将关键核心业务应用云化,并在此基础上为企业提供数据整合与应用服务:二是创新IT基础设施,帮助企

公共云高层为希望建立混合云的企业提供的十条建议

在先前的日子里,服务供应商需要依靠来自企业的大力帮助才能搞明白如何建设自己的数据中心.而到了现在的云时代,实际情况已经变得正好完全相反了."在之前七年的时间里,我们一直密切关注企业发展的具体情况,并竭尽全力来对它们在做的各项工作进行模仿.现如今,情况却变成了企业都在看着我们的动作,以此为榜样来开展自身的工作."在InterOp展会上的 一场专题讨论中,Rackspace公司的首席技术官约翰·安格斯提出了这样的观点. "在过去的时间,高端[计算能力]曾经被叫做企业级.但从现在的

《SAFe 4.0参考指南:精益软件与系统工程的规模化敏捷框架》SAFe团队层

本节书摘来自华章出版社<SAFe 4.0参考指南:精益软件与系统工程的规模化敏捷框架>一书中的第1章,第节,作者 迪恩·莱芬韦尔(Dean Leffingwell)更多章节内容可以访问"华章计算机"公众号查看. SAFe?团队层   3.1 团队层介绍 我们.工作.知识是一个整体. --本书作者 摘要 SAFe团队层是项目群层的组成部分,但有时会分开讨论.所有的SAFe团队都是敏捷发布火车(ART)的一部分--ART是项目群层的核心组成部分.团队层为敏捷团队的活动提供了组织