美國商務(wù)部的美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)發(fā)布了最新指南，旨在幫助企業(yè)提高移動(dòng)設(shè)備使用的安全性，越來越多的員工開始使用智能手機(jī)和平板電腦等移動(dòng)設(shè)備來用于工作。

這個(gè)《審查移動(dòng)應(yīng)用安全(Vetting the Security of Mobile Applications)》為各行各業(yè)(包括醫(yī)療保健)提供了評估移動(dòng)應(yīng)用程序相關(guān)的安全和隱私風(fēng)險(xiǎn)的建議，同時(shí)包括內(nèi)部開發(fā)或從移動(dòng)應(yīng)用商店下載的應(yīng)用程序。

對于醫(yī)療機(jī)構(gòu)，該指南可以幫助他們使用移動(dòng)應(yīng)用程序安全地訪問或收集患者信息，NIST計(jì)算機(jī)科學(xué)家Tom Karygiannis表示：“患者可能會(huì)想知道個(gè)人醫(yī)療監(jiān)控應(yīng)用程序收集的個(gè)人數(shù)據(jù)類型以及與第三方共享的數(shù)據(jù)類型。醫(yī)生、藥劑師、護(hù)士、管理人員和保險(xiǎn)公司訪問和收集病人醫(yī)療數(shù)據(jù)時(shí)，都有責(zé)任保護(hù)這些數(shù)據(jù)，并且只能與授權(quán)方共享數(shù)據(jù)。”

該指南適用于從應(yīng)用程序商店下載的應(yīng)用程序、內(nèi)部使用而開發(fā)的程序、醫(yī)療保健提供商開發(fā)并提供給公眾的程序。

Karygiannis警告說，應(yīng)用程序中的安全漏洞可能會(huì)泄露醫(yī)療保健提供商的IT資源以及患者的個(gè)人身份信息。

NIST指出，智能手機(jī)和平板電腦用戶可以訪問大量可安裝的程序(即所謂的移動(dòng)應(yīng)用程序)，以讓他們的生活更便捷，但下載不安全應(yīng)用程序的員工可能會(huì)無意中讓他或她企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)面臨安全和隱私風(fēng)險(xiǎn)。

該指南還可以幫助開發(fā)人員來了解在應(yīng)用程序軟件開發(fā)周期內(nèi)可能出現(xiàn)的漏洞類型。該指南提供了部署審查過程的指導(dǎo)，以及開發(fā)應(yīng)用程序安全要求的注意事項(xiàng)。其中還描述了應(yīng)用程序漏洞的類型，以及檢測漏洞所使用的測試方法，以及確定應(yīng)用程序是否可以在企業(yè)使用的指導(dǎo)意見。

“該指導(dǎo)文件稱，每個(gè)企業(yè)都有不同的使命，可以接受不同程度的風(fēng)險(xiǎn)。例如，最應(yīng)該先處理的是危及生命的情況，這可能讓安全問題變成次要問題，但與此同時(shí)，他們在處理需要小心保護(hù)的非常敏感的患者信息，”Karygiannis表示，“軍事人員也有類似的考慮，不是病人信息，他們可能需要保護(hù)戰(zhàn)術(shù)信息。”

辦公室工作人員可能需要訪問敏感信息，但他們也可以使用一些額外的安全技術(shù)來幫助他們緩解任何潛在的風(fēng)險(xiǎn)。

“該指導(dǎo)文件的目的是幫助企業(yè)決定是否應(yīng)該或不應(yīng)該使用應(yīng)用程序，”Karygiannis表示，“我們還評估了大部分商業(yè)自動(dòng)化移動(dòng)應(yīng)用測試工具，以確保我們推薦的測試可以以自動(dòng)化和可重復(fù)的方式執(zhí)行，因?yàn)榇蠖鄶?shù)企業(yè)可能沒有內(nèi)部專業(yè)人員來評估移動(dòng)應(yīng)用風(fēng)險(xiǎn)。”

作者：鄒錚

來源：51CTO

總結(jié)

以上是生活随笔為你收集整理的NIST发布企业移动应用安全建议参考指南的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。