NIST发布企业移动应用安全建议参考指南

美国商务部的美国国家标准与技术研究院(NIST)发布了最新指南，旨在帮助企业提高移动设备使用的安全性，越来越多的员工开始使用智能手机和平板电脑等移动设备来用于工作。

这个《审查移动应用安全(Vetting the Security of Mobile Applications)》为各行各业(包括医疗保健)提供了评估移动应用程序相关的安全和隐私风险的建议，同时包括内部开发或从移动应用商店下载的应用程序。

对于医疗机构，该指南可以帮助他们使用移动应用程序安全地访问或收集患者信息，NIST计算机科学家Tom Karygiannis表示：“患者可能会想知道个人医疗监控应用程序收集的个人数据类型以及与第三方共享的数据类型。医生、药剂师、护士、管理人员和保险公司访问和收集病人医疗数据时，都有责任保护这些数据，并且只能与授权方共享数据。”

该指南适用于从应用程序商店下载的应用程序、内部使用而开发的程序、医疗保健提供商开发并提供给公众的程序。

Karygiannis警告说，应用程序中的安全漏洞可能会泄露医疗保健提供商的IT资源以及患者的个人身份信息。

NIST指出，智能手机和平板电脑用户可以访问大量可安装的程序(即所谓的移动应用程序)，以让他们的生活更便捷，但下载不安全应用程序的员工可能会无意中让他或她企业的计算机网络面临安全和隐私风险。

该指南还可以帮助开发人员来了解在应用程序软件开发周期内可能出现的漏洞类型。该指南提供了部署审查过程的指导，以及开发应用程序安全要求的注意事项。其中还描述了应用程序漏洞的类型，以及检测漏洞所使用的测试方法，以及确定应用程序是否可以在企业使用的指导意见。

“该指导文件称，每个企业都有不同的使命，可以接受不同程度的风险。例如，最应该先处理的是危及生命的情况，这可能让安全问题变成次要问题，但与此同时，他们在处理需要小心保护的非常敏感的患者信息，”Karygiannis表示，“军事人员也有类似的考虑，不是病人信息，他们可能需要保护战术信息。”

办公室工作人员可能需要访问敏感信息，但他们也可以使用一些额外的安全技术来帮助他们缓解任何潜在的风险。

“该指导文件的目的是帮助企业决定是否应该或不应该使用应用程序，”Karygiannis表示，“我们还评估了大部分商业自动化移动应用测试工具，以确保我们推荐的测试可以以自动化和可重复的方式执行，因为大多数企业可能没有内部专业人员来评估移动应用风险。”