شهادات أمان المنتج وعمليات التحقق من الصحة والتوجيهات لنظام iOS

تحتوي هذه المقالة على مراجع لشهادات المنتج الأساسي وعمليات التحقق من صحة التشفير وتوجيهات الأمان لنُظم iOS الأساسية. اتصل بنا على security-certifications@apple.com إذا كانت لديك أي أسئلة.

عمليات التحقق من صحة وحدة التشفير

يُمكن العثور على جميع شهادات التحقق من صحة التوافق FIPS 140-2 من Apple على صفحة بائع CMVP. تشارك Apple بفاعلية في التحقق من وحدات CoreCrypto وCoreCrypto Kernel لكل إصدارات iOS الرئيسية. لا يمكن إجراء التحقق إلا على الإصدار النهائي من الوحدات والإصدارات المقدمة رسميًا بناءً على إصدار عام لنظام OS. تحتفظ CMVP الآن بحالة التحقق من صحة وحدات التشفير في قائمتين منفصلتين بناءً على حالتها الحالية. حيث تبدأ الوحدات في "قائمة التنفيذ قيد الاختبار" ثم تنتقل إلى "قائمة الوحدات قيد المعالجة".

iOS 12

تشارك Apple بفعالية في التحقق من صحة وحدات CoreCrypto الإصدار 9.0 المستخدمة في iOS 12 الذي سيصدر لاحقًا في هذا العام.

الإصدارات السابقة

تتمتع هذه الإصدارات السابقة من iOS بعمليات تحقق من صحة وحدات التشفير وقد تمت أرشفتها في الوقت الحالي:

  • iOS 8
  • iOS 7

دلائل تكوين الأمان

توفر المؤسسات التي تركز على الأمان توجيهات محدّدة وواضحة حول كيفية تكوين مختلف النظم الأساسية للاستخدام المقبول. وتوفر دلائل تكوين الأمان نظرة عامة حول الميزات الموجودة في macOS وiOS والتي يُمكنك استخدامها لتحسين الحماية؛ المعروفة بـ "زيادة حماية الجهاز". تضافرت الجهود بين الحكومات حول العالم من جهة وApple من جهة أخرى لوضع دلائل وُضعت لتوفير إرشادات وتوصيات تهدف إلى الحفاظ على بيئة أكثر أمانًا. 

لاستخدام هذه الدلائل، ينبغي عليك أن تكون مستخدمًا ذا خبرة أو مسؤول نظام وأن تكون على دراية بواجهة المستخدم وأن تتمتع ببعض المعرفة العملية في ما يخص أدوات إدارة النظام الأساسي الهدف. من المفيد أن تكون على دراية بالمفاهيم الأساسية لعمليات الشبكات. توجد تعليمات معيّنة في الأدلة تتسم بالتعقيد، ويُمكن أن يؤدي سوء فهمها إلى آثار سلبية أو انخفاض في مستوى الحماية. قم بإجراء اختبار دقيق على أي تغييرات تتم في إعدادات الجهاز قبل القيام بالنشر.

تعرف على المزيد في دليل أمان (PDF.iOS).

ألمانيا (المكتب الفيدرالي الألماني لأمن المعلومات (BSI))
توصيات التكوين


المملكة المتحدة (المركز الوطني للأمن الإلكتروني (NCSC))
توجيهات أمان أجهزة المستخدم النهائي: iOS 11


الولايات المتحدة (وكالة أنظمة المعلومات الدفاعية (DISA)، المعهد الوطني للمعايير والتقنية (NIST)، وكالة الأمن القومي (NSA))
دليل تكوين الأمان المؤقت (ISCG) لنظام iOS 10 من Apple
SCAP-on-Apple
CIS: مركز أمان الإنترنت

أستراليا (مديرية الإشارات الدفاعية الأسترالية ‏(ASD))
توجيهات زيادة حماية iOS
دليل زيادة حماية iOS (PDF)
دليل زيادة حماية iOS (iBook)‎


نيوزيلندا (مكتب أمن الاتصالات الحكومية (GCSB))
توجيهات زيادة حماية iOS
دليل زيادة حماية iOS (PDF)
دليل زيادة حماية iOS (iBook)‎

 

شهادات الأمان

قائمة بشهادات Apple الكاملة والنشطة والمعروفة بشكل عام.

شهادة ISO 27001 و27018

حصلت Apple على شهاداتي ISO 27001 وISO 27018 عن "نظام إدارة أمان المعلومات" للبنية الأساسية والتطوير والعمليات التي تدعم هذه المنتجات والخدمات: Apple School Manager وiTunes U وiCloud وiMessage وFaceTime ومُعرفات Apple ID المُدارة وSiri وSchoolwork، وفقًا للإصدار 2.1 من بيان إمكانية التطبيق بتاريخ 2017/11/7. واعتمد المعهد البريطاني للمعايير امتثال Apple لمعايير ISO. وتلقى كذلك موقع المعهد البريطاني للمعايير (BSI) شهادات امتثال لـ ISO 27001 و ISO 27018.

شهادة المعايير العامة (Common Criteria)

الهدف، كما حدده مجتمع المعايير العامة (Common Criteria)، هو أن توفر مجموعة من معايير الأمان المعتمدة دوليًا تقييمًا واضحًا وموثوقًا لإمكانات الأمان الخاصة بمنتجات "تكنولوجيا المعلومات". فمن خلال توفير تقييم مستقل لقدرة أحد المنتجات على تلبية معايير الأمان، تمنح شهادة المعايير العامة (Common Criteria) العملاء مزيدًا من الثقة في أمان منتجات "تكنولوجيا المعلومات" وتؤدي إلى اتخاذ قرارات مدروسة بعناية أكبر.

ومن خلال اتفاقية الاعتراف بالمعايير العامة (Common Criteria Recognition Arrangement (CCRA))، اتفقت الدول الأعضاء على الاعتراف بشهادة منتجات "تكنولوجيا المعلومات" بنفس المستوى من الثقة. تواصل العضوية جنبًا إلى جنب مع العمق والاتساع الخاص بملفات تعريف الحماية في الزيادة على أساس سنوي لمعالجة التقنية الناشئة. تسمح هذه الاتفاقية لمطوري المنتجات بالسعي للحصول على شهادة واحدة بموجب أي من مخططات التخويل.

تمت أرشفة ملفات تعريف الحماية السابقة والبدء في استبدالها بتطوير ملفات تعريف الحماية المستهدفة والتي تركز على بيئات وحلول محدّدة. من خلال جهود متناسقة لضمان مواصلة الاعتراف المتبادل على مستوى جميع أعضاء اتفاقية الاعتراف بالمعايير العامة (CCRA)، يواصل مجتمع التقنية الدولي (iTC) دفع جميع التحديثات وعمليات تطوير ملفات تعريف الحماية المستقبلية نحو ملفات تعريف الحماية التعاونية (cPP) والتي وُضعت من البداية من خلال مشاركة من مخططات متعددة.

بدأت Apple في السعي للحصول على شهادات بموجب عملية إعادة بناء المعايير العامة (Common Criteria) الجديدة من خلال ملفات تعريف حماية محدّدة بدءًا من أوائل 2015. شهادات Apple الكاملة والنشطة والمعروفة بشكل عام مدرجة أدناه. 

iOS 11

 

ملف تعريف الحماية

VID

الإكمال

الجهاز المحمول

PP_MD_v3.1

10851

2018.03.30

وكيل MDM

EP_MDM_Agent_v3.0

10851

2018.03.30

وكيل WLAN

PP_WLAN_CLI_EP_v1.0

10851

2018.03.30

عميل VPN

PP_VPN_IPSEC_CLIENT_V1.4

10876

2018.05.10

برامج التطبيق (جهات الاتصال)

PP_APP_v1.2

10915

تاريخ الوصول المتوقع:2018.08

المستعرض (Safari)

PP_APP_v1.2

PP_APPWEBBROWSER_EP_v2.0

10916

تاريخ الوصول المتوقع:2018.08

الإصدارات السابقة

لقد حصلت الإصدارات السابقة من iOS على شهادات والتي تمت أرشفتها في الوقت الحالي:

  • iOS 10
  • iOS 9

من المتوقع بصورة عامة أن تتبع تحديثات الإصدارات المهمة المنشورة "لملفات تعريف الحماية" عن طريق مجتمع المعايير العامة (Common Criteria) 12-18 شهرًا من التناغم مع "متطلبات الأمان الوظيفية" (SFRs) المحدّثة أو الإضافية.

ضمن مدخل المعايير العامة (Common Criteria)، يُمكنك العثور على قائمة كاملة من ملفات تعريف الحماية (PP)، و ملفات تعريف الحماية التعاونية (cPP) إلى جانب تواريخ صلاحيتهم. ويُمكنك أيضًا تحديد موقعها ضمن المخطط الذي تختاره مثل الشراكة القومية لتأمين المعلومات (NIAP) والذي يُعد أحد المخططات التابعة للولايات المتحدة.

معتمدة للاستخدام الحكومي

معلومات من بلدان محدّدة اعتمدت الأجهزة للاستخدام الحكومي.

الحكومة الأسترالية


كما هو ملخص من EPL‏ - قائمة المنتجات المقيّمة صفحة:

تحتفظ مديرية الإشارات الدفاعية الأسترالية (ASD)‎ بقائمة المنتجات المقيّمة (EPL) لمنتجات أمان تكنولوجيا الاتصالات والمعلومات (ICT) التي تم تقييمها بواسطة مديرية الإشارات الدفاعية الأسترالية (ASD) للاستخدام في الجهات الحكومية في أستراليا ونيوزيلاند.

  • المنتجات المدرجة في قائمة المنتجات المقيّمة (EPL) معتمدة لأغراض محدّدة.
  • يجوز استخدام المنتجات المدرجة في قائمة المنتجات المقيّمة (EPL) لبناء شبكات وأنظمة آمنة كما هو موضح في دليل أمان المعلومات (ISM) الصادر عن الحكومة الأسترالية.
  • المنتجات معتمدة طبقًا لمعيار ISO 15408 المعترف به دوليًا المعايير العامة Common Criteria (CC). يسرد مدخل المعايير العامة (CC) المنتجات الأخرى ذات الشهادات المعترف بها بشكل متبادل التي يجوز استخدامها أيضًا.
  • يقوم مكتب الشهادات الخاص بمديرية الإشارات الدفاعية الأسترالية (ASD)، هيئة إصدار الشهادات الأسترالية، بمراقبة برنامج تقييم أمن المعلومات الاسترالية (AISEP) الذي يدير عملية اختبار المنتج من خلال جهات تقييم تجارية حاصلة على تراخيص.
  • تسرد أيضًا قائمة المنتجات المقيّمة (EPL) تقييمات التشفير الخاصة بمديرية الإشارات الدفاعية الأسترالية (ASD).

المنتج: iOS 9
نوع المنتج: منتجات الأجهزة المحمولة
حالة المنتج: مكتمل
مستوى التأمين: تم التقييم بواسطة مديرية الإشارات الدفاعية الأسترالية (ASD)
الإصدار: 9.3.5 أو إصدار أحدث
الدليل: PDF

حكومة المملكة المتحدة


كما هو ملخص من المركز الوطني للأمن الإلكتروني (NCSC) ضمان المنتجات التجارية - المنتجات في مرحلة التأسيس صفحة:

يقيم ضمان المنتجات التجارية (CPA) المنتجات المتاحة في السوق ومطوريها وفقًا لمعايير التطوير والأمان المنشورة. ويحصل منتج الأمان الذي ينجح في التقييم على شهادة مرحلة التأسيس (Foundation Grade). وبذلك يتبين أن المنتج أثبت أنه يمثل ممارسة أمنية تجارية جيدة، وأنه مناسب للبيئات الأقل تهديدًا.

  • تسري شهادة ضمان المنتجات التجارية (CPA) لمدة عامين وتتيح تحديث المنتجات أثناء فترة سريان الشهادة لأن الثغرات والتحديثات تكون مطلوبة. 
  • شهادة ضمان المنتجات التجارية (CPA) مقبولة في قائمة الناتو ومعترف بها كأحد التقييمات المطلوبة لقائمة الاتحاد الأوروبي.
  • مرحلة التأسيس موضحة بشكل أكبر بواسطة المركز الوطني للأمن الإلكتروني (NCSC).

حكومات الولايات المتحدة


كما هو موضح في الحلول التجارية للبيانات السرية الصفحة:

يحتاج عملاء حكومة الولايات المتحدة بصورة متزايدة إلى الاستخدام الفوري لتقنيات البرامج والأجهزة التجارية الأحدث في السوق ضمن أنظمة الأمن القومي (NSS) من أجل تحقيق أهداف المهمة. ونتيجة لما سبق، تعمل إدارة تأمين المعلومات (IAD) التابعة لوكالة الأمن القومي/خدمة الأمن المركزي (NSA/CSS) على وضع طرق جديدة للاستفادة من التقنيات الناشئة لتوفير حلول تأمين المعلومات (IA) في توقيت أنسب لتلبية متطلبات العملاء التي تتطور سريعًا.

تم تأسيس برنامج الحلول التجارية للبيانات السرية (CSfC) التابع للوكالة الأمن القومي/خدمة الأمن المركزي (NSA/CSS) لتمكين المنتجات التجارية ليتم استخدامها في حلول مقسمة تحمي بيانات أنظمة الأمن القومي (NSS) السرية. ويوفر ذلك القدرة على التواصل بأمان استنادًا إلى معايير تجارية في حل يُمكن إعداده وتجهيزه في شهور وليس سنين.

ترغب مجموعة متزايدة بشكل غير مسبوق من البيئات المصنفة في استخدام حلول Apple، ولكن تم تعليق ذلك لأسباب تتعلق باعتماد المنتج. إن سعي Apple للحصول على شهادات المعايير العامة (Common Criteria) التي تتعلق بملفات تعريف الحماية المذكورة أعلاه، قد قام بتمكين منتجات Apple ليتم إدراجها وإتاحتها ضمن قائمة مكونات الحلول التجارية للبيانات السرية (CSfC).

بمجرد البدء في الحصول على شهادات المعايير العامة (Common Criteria) الإضافية لمنتجات Apple فيما يتعلق بكل ملفات تعريف الحماية ذات الصلة، يتم إرسال مكونات Apple المناسبة للحصول على الموافقة ضمن قائمة مكونات الحلول التجارية للبيانات السرية (CSfC) وإضافتها أدناه.

قائمة مكونات الحلول التجارية للبيانات السرية (CSfC)

إن المنتجات التالية من Apple مؤهلة للاستخدام في أحد الحلول التجارية للبيانات السرية (CSfC):

إضافة منتجات Apple إلى قائمة المنتجات

طلبت مجموعة متزايدة من البيئات الحكومية إرسال منتجات Apple إلى برامجها التي تشبه ضمان المنتجات التجارية (CPA) وقائمة المنتجات المقيّمة (EPL) والحلول التجارية للبيانات السرية (CSfC). إذا كنت الوكيل المعتمد لبرنامج حلول حكومتك وكنت مهتمًا بالحصول على منتجات Apple ضمن قائمة المنتجات المقابلة لديك، فيرجى التواصل معنا على security-certifications@apple.com.

أنظمة التشغيل الأخرى

تعرّف على المزيد حول أمان المنتج، وعمليات التحقق من الصحة، والتوجيهات الخاصة بـ:

يتمّ تقديم المعلومات حول المنتجات التي لم تُصنّعها شركة Apple أو مواقع الويب المستقلة التي لا تخضع للمراقبة أو الاختبار من جانب Apple بدون توصيات أو موافقة. ولا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار مواقع الويب والمنتجات التابعة لجهات خارجية أو أدائها أو استخدامها. ولا تُقدّم شركة Apple أية ضمانات فيما يتعلق بدقة أو موثوقية مواقع الويب التابعة لجهات خارجية. المخاطر ملازمة لاستخدام الإنترنت. للحصول على مزيد من المعلومات، يُمكنك الاتصال بالبائع. قد تكون أسماء الشركات والمنتجات الأخرى علامات تجارية لمالكيها المعنيين.

تاريخ النشر: