NIST发布企业移动应用安全建议参考指南
美国商务部的美国国家标准与技术研究院(NIST)发布了最新指南,旨在帮助企业提高移动设备使用的安全性,越来越多的员工开始使用智能手机和平板电脑等移动设备来用于工作。
这个《审查移动应用安全(Vetting the Security of Mobile Applications)》为各行各业(包括医疗保健)提供了评估移动应用程序相关的安全和隐私风险的建议,同时包括内部开发或从移动应用商店下载的应用程序。
对于医疗机构,该指南可以帮助他们使用移动应用程序安全地访问或收集患者信息,NIST计算机科学家Tom Karygiannis表示:“患者可能会想知道个人医疗监控应用程序收集的个人数据类型以及与第三方共享的数据类型。医生、药剂师、护士、管理人员和保险公司访问和收集病人医疗数据时,都有责任保护这些数据,并且只能与授权方共享数据。”
该指南适用于从应用程序商店下载的应用程序、内部使用而开发的程序、医疗保健提供商开发并提供给公众的程序。
Karygiannis警告说,应用程序中的安全漏洞可能会泄露医疗保健提供商的IT资源以及患者的个人身份信息。
NIST指出,智能手机和平板电脑用户可以访问大量可安装的程序(即所谓的移动应用程序),以让他们的生活更便捷,但下载不安全应用程序的员工可能会无意中让他或她企业的计算机网络面临安全和隐私风险。
该指南还可以帮助开发人员来了解在应用程序软件开发周期内可能出现的漏洞类型。该指南提供了部署审查过程的指导,以及开发应用程序安全要求的注意事项。其中还描述了应用程序漏洞的类型,以及检测漏洞所使用的测试方法,以及确定应用程序是否可以在企业使用的指导意见。
“该指导文件称,每个企业都有不同的使命,可以接受不同程度的风险。例如,最应该先处理的是危及生命的情况,这可能让安全问题变成次要问题,但与此同时,他们在处理需要小心保护的非常敏感的患者信息,”Karygiannis表示,“军事人员也有类似的考虑,不是病人信息,他们可能需要保护战术信息。”
办公室工作人员可能需要访问敏感信息,但他们也可以使用一些额外的安全技术来帮助他们缓解任何潜在的风险。
“该指导文件的目的是帮助企业决定是否应该或不应该使用应用程序,”Karygiannis表示,“我们还评估了大部分商业自动化移动应用测试工具,以确保我们推荐的测试可以以自动化和可重复的方式执行,因为大多数企业可能没有内部专业人员来评估移动应用风险。”
作者:邹铮
来源:51CTO
金融安全资讯精选 2017年第八期:Equifax数据泄露事件本周五个进展,企业用户如何使用SOC 2 报告来评估CSP安全性,Alert Logic发布云安全报告:云上发生安全事件数更少 Equifax数据泄露事件本周五个进展,微软“9月周二补丁日”发布81个漏洞补丁,企业用户如何使用SOC 2 报告来评估CSP安全性?,Alert Logic发布云安全报告:云上发生安全事件数更少
云栖大讲堂 擅长前端领域,欢迎各位热爱前端的朋友加入我们( 钉钉群号:23351485)关注【前端那些事儿】云栖号,更多好文持续更新中!
相关文章
- 下一代架构?从组装式企业到组装式应用
- 企业移动信息化应用开发模式选型指南
- 美国银行将AI应用于企业应收账款处理
- 4大案例分析金融机构的大数据应用
- redis应用于基于黑名单于白名单设定的服务控制
- 小微企业的大数据应用需要标准化
- C#开发微信门户及应用(25)-微信企业号的客户端管理功能
- 新制造企业革命:工业大数据与CPS应用
- 泰一指尚大数据应用成为第一批省级重点企业研究院
- 数商云渠道商协同系统对机械企业的应用价值体现
- 数商云采购商城价格管理应用场景介绍 | 数字化采购助力汽配行业企业降本增效
- 带你一文读懂SaaS版多租户商城系统对多品牌企业的应用价值
- 教育行业SaaS应用管理平台解决方案:助力企业实现经营、管理一体化
- 电子采购平台解决方案:构建企业采购管理系统业务架构、应用场景
- 多维分析,为什么企业开始大规模应用商业智能(BI)
- 数据分析在互联网金融风险管控的应用
- 2015年云计算或将成为企业主流应用
- 现代“十二要素应用”与Docker
- DockOne微信分享(八十):云计算应用技术发展与企业异构资源池统一管理案例分析
- 【天池直播】同济教授分享应用算法优化航空运营(第一场运筹学领域直播)
- RAID在企业服务器中的应用(RAID几种级别)
- Windows 10「设置」应用完整MS-Settings快捷方式汇总
- 【Android 安装包优化】WebP 应用 ( libwebp 源码下载 | Android.mk 和 Application.mk 构建脚本修改 | libwebp 函数库编译 )