美國商務(wù)部的美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)發(fā)布了最新指南，旨在幫助企業(yè)提高移動設(shè)備使用的安全性，越來越多的員工開始使用智能手機和平板電腦等移動設(shè)備來用于工作。

[[128260]]

這個《審查移動應(yīng)用安全(Vetting the Security of Mobile Applications)》為各行各業(yè)(包括醫(yī)療保健)提供了評估移動應(yīng)用程序相關(guān)的安全和隱私風(fēng)險的建議，同時包括內(nèi)部開發(fā)或從移動應(yīng)用商店下載的應(yīng)用程序。

對于醫(yī)療機構(gòu)，該指南可以幫助他們使用移動應(yīng)用程序安全地訪問或收集患者信息，NIST計算機科學(xué)家Tom Karygiannis表示：“患者可能會想知道個人醫(yī)療監(jiān)控應(yīng)用程序收集的個人數(shù)據(jù)類型以及與第三方共享的數(shù)據(jù)類型。醫(yī)生、藥劑師、護(hù)士、管理人員和保險公司訪問和收集病人醫(yī)療數(shù)據(jù)時，都有責(zé)任保護(hù)這些數(shù)據(jù)，并且只能與授權(quán)方共享數(shù)據(jù)。”

該指南適用于從應(yīng)用程序商店下載的應(yīng)用程序、內(nèi)部使用而開發(fā)的程序、醫(yī)療保健提供商開發(fā)并提供給公眾的程序。

Karygiannis警告說，應(yīng)用程序中的安全漏洞可能會泄露醫(yī)療保健提供商的IT資源以及患者的個人身份信息。

NIST指出，智能手機和平板電腦用戶可以訪問大量可安裝的程序(即所謂的移動應(yīng)用程序)，以讓他們的生活更便捷，但下載不安全應(yīng)用程序的員工可能會無意中讓他或她企業(yè)的計算機網(wǎng)絡(luò)面臨安全和隱私風(fēng)險。

該指南還可以幫助開發(fā)人員來了解在應(yīng)用程序軟件開發(fā)周期內(nèi)可能出現(xiàn)的漏洞類型。該指南提供了部署審查過程的指導(dǎo)，以及開發(fā)應(yīng)用程序安全要求的注意事項。其中還描述了應(yīng)用程序漏洞的類型，以及檢測漏洞所使用的測試方法，以及確定應(yīng)用程序是否可以在企業(yè)使用的指導(dǎo)意見。

“該指導(dǎo)文件稱，每個企業(yè)都有不同的使命，可以接受不同程度的風(fēng)險。例如，最應(yīng)該先處理的是危及生命的情況，這可能讓安全問題變成次要問題，但與此同時，他們在處理需要小心保護(hù)的非常敏感的患者信息，”Karygiannis表示，“軍事人員也有類似的考慮，不是病人信息，他們可能需要保護(hù)戰(zhàn)術(shù)信息。”

辦公室工作人員可能需要訪問敏感信息，但他們也可以使用一些額外的安全技術(shù)來幫助他們緩解任何潛在的風(fēng)險。

“該指導(dǎo)文件的目的是幫助企業(yè)決定是否應(yīng)該或不應(yīng)該使用應(yīng)用程序，”Karygiannis表示，“我們還評估了大部分商業(yè)自動化移動應(yīng)用測試工具，以確保我們推薦的測試可以以自動化和可重復(fù)的方式執(zhí)行，因為大多數(shù)企業(yè)可能沒有內(nèi)部專業(yè)人員來評估移動應(yīng)用風(fēng)險。”