NIST发布企业移动应用安全建议参考指南
美国商务部的美国国家标准与技术研究院(NIST)发布了最新指南,旨在帮助企业提高移动设备使用的安全性,越来越多的员工开始使用智能手机和平板电脑等移动设备来用于工作。
这个《审查移动应用安全(Vetting the Security of Mobile Applications)》为各行各业(包括医疗保健)提供了评估移动应用程序相关的安全和隐私风险的建议,同时包括内部开发或从移动应用商店下载的应用程序。
对于医疗机构,该指南可以帮助他们使用移动应用程序安全地访问或收集患者信息,NIST计算机科学家Tom Karygiannis表示:“患者可能会想知道个人医疗监控应用程序收集的个人数据类型以及与第三方共享的数据类型。医生、药剂师、护士、管理人员和保险公司访问和收集病人医疗数据时,都有责任保护这些数据,并且只能与授权方共享数据。”
该指南适用于从应用程序商店下载的应用程序、内部使用而开发的程序、医疗保健提供商开发并提供给公众的程序。
Karygiannis警告说,应用程序中的安全漏洞可能会泄露医疗保健提供商的IT资源以及患者的个人身份信息。
NIST指出,智能手机和平板电脑用户可以访问大量可安装的程序(即所谓的移动应用程序),以让他们的生活更便捷,但下载不安全应用程序的员工可能会无意中让他或她企业的计算机网络面临安全和隐私风险。
该指南还可以帮助开发人员来了解在应用程序软件开发周期内可能出现的漏洞类型。该指南提供了部署审查过程的指导,以及开发应用程序安全要求的注意事项。其中还描述了应用程序漏洞的类型,以及检测漏洞所使用的测试方法,以及确定应用程序是否可以在企业使用的指导意见。
“该指导文件称,每个企业都有不同的使命,可以接受不同程度的风险。例如,最应该先处理的是危及生命的情况,这可能让安全问题变成次要问题,但与此同时,他们在处理需要小心保护的非常敏感的患者信息,”Karygiannis表示,“军事人员也有类似的考虑,不是病人信息,他们可能需要保护战术信息。”
办公室工作人员可能需要访问敏感信息,但他们也可以使用一些额外的安全技术来帮助他们缓解任何潜在的风险。
“该指导文件的目的是帮助企业决定是否应该或不应该使用应用程序,”Karygiannis表示,“我们还评估了大部分商业自动化移动应用测试工具,以确保我们推荐的测试可以以自动化和可重复的方式执行,因为大多数企业可能没有内部专业人员来评估移动应用风险。”
作者:邹铮
来源:51CTO
NIST发布企业移动应用安全建议参考指南相关推荐
- 为增强软件供应链安全,NIST 发布《开发者软件验证最低标准指南》
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件 ...
- 抢先看:DHS和NIST发布IoT安全指南
在一系列利用IoT设备默认安全设置的大规模分布式拒绝服务攻击发生后,美国两个政府机构发布了有关IoT安全的安全指导文件. 美国国土安全部(DHS)和国家标准与技术研究所(NIST)同时发布了针对IoT ...
- NIST发布网络安全劳动力框架
本文讲的是 NIST发布网络安全劳动力框架,美国国家标准与技术研究所(NIST)近日公布了一份网络安全劳动力框架,用以支持企业培养并维护有效网络安全员工的能力. 该框架定义了角色及角色所需的知识和技能 ...
- 阿里聚安全发布 企业可享淘宝同款防护
本文讲的是阿里聚安全发布 企业可享淘宝同款防护[IT168 云计算]互联网蓬勃发展,催生众多创新业务,互联网安全也面临前所未有的挑战.2月25日,阿里巴巴正式推出企业安全产品--阿里聚安全,面向企业和 ...
- 你投的简历提示不合适,建议参考STAR法则
投简历的时候老被提示为 您与该职位不太合适,无法进入面试阶段.建议参考STAR法则对简历进行修改,并突出您在专业知识方面的优势. 目测你是在拉钩上投的,企业的投递回复都是拉钩给的模板(所谓的STAR都 ...
- 百度大脑发布企业服务解决方案,将 AI 技术落实到细分领域
人工智能竞争之势愈演愈烈,AI与场景应用的深度结合将成为各家企业的取胜关键.10月18日,百度大脑行业创新论坛在北京正式拉开帷幕,届时将走进全国6个城市举办7场以企业服务.信息服务和零售等为主题的专题 ...
- 光进铜退下的“更高”与“更低”,锐捷发布企业极简以太全光网解决方案
全新一代企业网络建设中,以太全光网将满足高带宽.简运维.降成本的要求. 头图 | 付费下载于视觉中国 出品 | CSDN云计算 近日,锐捷网络正式对外发布企业极简以太全光网解决方案.方案针对仓储物流. ...
- 信息安全技术网络安全等级保护定级指南_行业标准 |报业网络安全等级保护定级参考指南V2.0发布,明确保护对象、定级要求...
近期,中国新闻技术工作者联合会正式发布<报业网络安全等级保护定级参考指南V2.0>. 该指南由中国新闻技术工作者联合会组织网络安全领域的专家.报业技术专家以及业务专家经过多次调研.学习.探 ...
- 大型集团企业云管平台建设参考架构
摘要:本文通过对不同的集团企业及国家机构IT治理组织架构提出华为云管平台集中部署.分布式部署.分散独立部署三种方式,实现集团企业IT云时代的治理管控诉求. 本文分享自华为云社区<[华为云Stac ...
最新文章
- linux socket 错误 Connect error: No route to host(errno:113) 解决方法
- html excel零不显,Excel数值为0不显示的三种解决方法
- 皮一皮:是亲爹的操作 ,没错...
- 利用 force index优化sql语句性能
- 合并石子 四边形不等式优化
- (转)Python 用hashlib求中文字符串的MD5值
- acme.sh签发Let‘s Encrypt证书
- springboot3——Email
- python调用dll函数_关于从加载的DLL调用函数的Python基本问题
- Python basemap模拟导弹发射
- 算法设计与分析: 5-25 双轨车皮编序问题
- linux安装Openssl步骤详解_问题:OpenSSL: error:100AE081:elliptic curve routines:EC_GROUP_new_by_curve_name:un
- linux中md5sum命令使用
- 无法访问localhost与127.0.0.1/本地服务器的解决办法
- Oracle DBA手记4 数据安全警示录
- JAVA编写的纯色背景图片去除底色变成透明背景图片的工具
- 普元软件EOS荣膺2008最受欢迎SOA产品
- flutter, `get_ip` does not specify a Swift version and none of the targets (`Runner`) integrating...
- Java实现零钱通功能
- 短视频矩阵源码/客户矩阵搭建
热门文章
- 一篇男人必看的创业文章。(人活着不能没有钱,但是活着却不能只为了钱)...
- 属性总结(二):color
- Angularjs1.x 中的 service,factory,provider,constant,value
- 踩坑rosbag --clock
- js与android webview交互
- [Leetcode]-containsNearbyDuplicate
- SQLite的局限性
- php外部系统命令执行函数
- DVWA--Command Injection(命令执行)--四个等级
- centos7 校正linux系统时间_基于centos7系统部署NTP服务及配置时间定时同步