虽然iPhone和iPad用户的数量不断上升,但那些担忧苹果设备安全性的联邦IT经理可能很快就可以得到一些安慰了。最近,苹果公司向美国国家标准技术研究院 (National Institute of Standards and Technology-accredited testing laboratories) 所认可的测试实验室提交了可以加强iPhone和iPad安全性的密码模块。此项举动是2002年的联邦信息安全管理条例要求的验证和认证的一部分。这些标准基于NIST的联邦信息处理标准(FIPS)140-2,它规定了硬件和软件部件的密码模块安全要求的最小集合。
“有人曾问,为什么苹果没有遵守政府的游戏规则,不过现在来看,他们已在规则之中了,”NIST密码模块验证程序的主管Randall Easter说道。
当越来越多代理商思考苹果移动设备部署和开始试点计划测试它们对于企业应用的合适程度时,管理者必须确认这些设备与FISMA确定的密码标准是相容的。
在FISMA之下,“任何获得包含秘密信息的产品的部门及那些要使用这些密码功能去保护敏感的、未保密的信息,都必须经过我们的测试和验证,从而符合140-2标准。” Easter说道。想要把产品卖给联邦部门的公司必须先将产品提交给一个NIST认可的实验室。在这个实验室中,模块要经历密码模块的验证、5个步骤的综合测试和审查过程,以确保它们符合FIPS 140-2的要求。NIST的网站给出了一个FIPS 140-2验证程序的概览,以及在处理中的模块的状况。
据Easter,一直致力于在企业级打入政府市场的苹果已经提交了三个密码模块,它们都在测试符合FIPS 140-2标准的队列中。测试中的两个模块是为iPhone和iPad的安全性而特殊设计的,第三个模块则是一个公共通用的模块。
“根据我们从实验室得到的消息,iPhone和iPad模块仍然在进行一致性测试。”他补充道,但他并不知道它们将在什么时候被验证,因为这些模块一直处于测试过程的早期阶段。“我们审阅了实验室提供的报告,然后才能确认,”Ester 解释道,“一旦它被确认,即当部门取得一个密码模块或者包含密码模块的产品,并且符合FISMA标准时,它们一定可以在认证证书上查到。”
Easter为那些希望使用苹果移动设备的管理员提供了一条技巧:一旦FIPS 140-2认证有效,如果你要在这些设备上使用密码,需要确认它们可以在FIPS140-2认证证书查到,因为这在FISMA下是强制性的。
“虽然在没有证书的情况下也可以进行试验项目,但是在这些功能被验证之前进行实际操作是不符合FISMA的要求的。”Easter说道。
Tim Smith是Citrix Systems公司的首席技术官,该公司提供应用交付支持,为美国执行官服务提供iPad试点计划。Smith建议道,各部门应该将安全性完全包含于企业移动设备使用的全面战略之中。
Smith建议经理们做到以下几点:
- 仔细查看使用苹果设备的安全性。“你可以带上你的iPhone,然后去苹果应用程序商店下载一个程序,但是我不知道某人是否会将任意程序下载到包含有敏感信息的设备上。”他说道。
- 使用这个设备作为入口,而不是用来进行数据存储。
- 开发一套完整的设备管理方案,“在iPad或者iPhone上有很多默认的功能,但你可能不想让用户去使用它们,”他说道。比如,经理们可能想要严格限制用户访问App Store或 iTunes,或者安装他们自己的应用程序。