iOS 的產品保安認證、驗證及指引

本文提供 iOS 平台的重要產品認證、加密驗證及保安指引等參考資料。如有任何疑問,請傳送電郵至 security-certifications@apple.com 與我們聯絡。

加密模組驗證

所有 Apple FIPS 140-2 Conformance Validation Certificate (一致性驗證認證) 均載於 CMVP 供應商網頁。對於 iOS 的每個主要發行版本,Apple 積極參與 CoreCrypto 和 CoreCrypto Kernel 模組的驗證。驗證只能針對最終模組發行版本執行,而且必須在操作系統公開發行時正式提交。現時,CMVP 以兩份不同列表管理加密模組的驗證狀態,視乎其目前狀態而定。模組會先加入 Implementation Under Test List (實作待測列表),然後再列入 Modules in Process List (正進行評測的模組列表)。

iOS 12

對於今年稍後推出的 iOS 12,Apple 積極參與 CoreCrypto v9.0 模組的驗證。

舊有版本

下列舊版 iOS 都有加密模組驗證,目前均已封存:

  • iOS 8
  • iOS 7

保安設定指南

著重保安的組織設有完善和嚴密的指南,規範如何設定不同平台以達到使用要求。「保安設定指南」概述 macOS 和 iOS 中可用於加強保護的功能,又稱「強化裝置」。世界各國的政府已與 Apple 展開合作並制訂指南,為維護更安全的環境提供指引和建議。 

這些指南的適用對象為經驗豐富的用戶或系統管理員、應熟悉用戶介面,而且對於目標平台的管理工具具備一定的操作知識。熟悉基本網絡概念對你亦有幫助。指南中的部分指引相當複雜,稍有偏差都可能造成負面影響或削弱防護。部署之前,請先全面測試裝置設定的所有變更。

詳情請參閱 iOS 保安指南 (PDF)。

保安認證

以下列出 Apple 已完成的有效公認認證。

ISO 27001 和 27018 認證

根據 2017 年 7 月 11 日的 Statement of Applicability v2.1 (適用性聲明 v2.1),Apple 用於支援以下產品和服務的基礎架構、開發及操作已取得資訊安全管理系統的 ISO 27001 和 ISO 27018 認證:Apple School Manager、iTunes U、iCloud、iMessage、FaceTime、管理式 Apple ID、Siri 和「課業」。Apple 經 British Standards Institution (英國標準學會) 認證符合 ISO 標準。有關 ISO 27001ISO 27018 的合規認證,請參閱 BSI 網站。

共同準則 (Common Criteria) 認證

根據共同準則社群所述,「共同準則認證」旨在制定國際認可的安全標準,針對資訊科技產品的保安功能提供明確可靠的評估方式。「共同準則認證」會獨立評估產品是否符合安全標準,以提升客戶對資訊科技產品安全性的信心,幫助客戶作出更明智的決策。

在「共同準則承認協定」(Common Criteria Recognition Arrangement,簡稱 CCRA) 下,各成員國家/地區同意以相同的信心水平認可資訊科技產品的認證。隨著成員國家/地區數目增加,保護描述檔 (Protection Profile) 的深度和廣度也逐年增長,以迎合新興技術。在此協定下,產品開發人員無論在任何一種授權架構 (Authorizing Scheme) 下,皆只須取得單一認證。

舊有的保護描述檔 (簡稱 PP) 已經封存,且已開始由針對特定解決方案和環境所制訂的目標保護描述檔所取代。國際技術社群 (International Technical Community,簡稱 iTC) 為協力確保所有 CCRA 成員能持續互相認可,會繼續推動未來所有 PP 開發和協作保護描述檔 (Collaborative Protection Profile,簡稱 cPP) 更新;cPP 在開發初期就已採用多種架構。

由 2015 年初開始,Apple 便致力在經重整的全新「共同準則」下以特定 PP 取得認證。以下列出 Apple 已完成的有效公認認證。 

iOS 11

 

保護描述檔

VID

完成

流動裝置

PP_MD_v3.1

10851

2018.03.30

MDM 代理程式

EP_MDM_Agent_v3.0

10851

2018.03.30

WLAN 代理程式

PP_WLAN_CLI_EP_v1.0

10851

2018.03.30

VPN 用戶端

PP_VPN_IPSEC_CLIENT_V1.4

10876

2018.05.10

應用程式軟件 (通訊錄)

PP_APP_v1.2

10915

ETA:2018.08

瀏覽器 (Safari)

PP_APP_v1.2

PP_APPWEBBROWSER_EP_v2.0

10916

ETA:2018.08

舊有版本

舊版 iOS 版本的認證現已封存

  • iOS 10
  • iOS 9

共同準則社群一般會隔 12 至 18 個月發佈保護描述檔的重大版本更新,並增加或更新保安功能要求 (Security Functional Requirement,簡稱 SFR)。

你可前往共同準則入口網站,查看「保護描述檔」(簡稱 PP) 和「協作保護描述檔」(簡稱 cPP) 的完整列表及其有效日期。你也可以在所選架構下 (例如屬美國架構的國家資訊保證合作組織 (National Information Assurance Partnership,簡稱 NIAP)),查看相關資料。

獲准供政府使用

部分國家/地區已核准裝置供政府使用,相關資料如下。

澳洲政府


以下摘錄自「 EPL - 評估產品列表」頁面:

澳洲信號局 (Australian Signals Directorate,簡稱 ASD) 針對 ICT 保安產品設有評估產品列表 (EPL),評估這些產品是否適合澳洲和紐西蘭政府機關使用。

  • 列於 EPL 的產品已獲認證作特定用途。
  • 列於 EPL 的產品可根據澳洲政府資訊安全手冊 (ISM) 所述用於建立保安系統和網絡。
  • 產品已取得認證,符合國際認可的 ISO 15408 共同準則 (CC)。CC 入口網站列出雙方認可並可供使用的其他產品。
  • ASD 的認證辦事處為澳洲認證授權局 (Australasian Certification Authority),負責監管澳洲資訊安全評估計劃 (Australasian Information Security Evaluation Program,簡稱 AISEP),該計劃用於管理授權商業評估機構所作的產品測試。
  • EPL 也會列出 ASD 的加密評估。

產品:iOS 9
產品類型:流動產品
產品狀態:已完成
保證等級:由 ASD 評估
版本:9.3.5 或之後的版本
指南:PDF

英國政府


以下摘錄自 NCSC 的「商用產品保證 - 基礎級產品」頁面:

CPA 根據已發佈的保安和開發標準,評估商用現成產品及其開發人員。成功通過評估的保安產品將獲得「基礎級」(Foundation Grade) 認證。這表示該產品經證實可展現良好的商業安全實務,適合在威脅較低的環境下使用。

  • CPA 認證的有效期為 2 年,產品可在認證生命週期內就必要的漏洞和更新項目作出更新。
  • CPA 認證已獲 NATO 目錄接受,並獲認定為 EU 目錄所需的評估之一。
  • 基礎級的詳細定義請參閱 NCSC 的說明。

美國政府


以下陳述取自「機密商業解決方案」頁面:

美國政府客戶日益要求國家安全系統 (National Security Systems,簡稱 NSS) 即時採用市場上最先進的商業硬件和軟件技術,以達成任務目標。因此,美國國家安全局/中央安全局 (National Security Agency/Central Security Service,簡稱 NSA/CSS) 的資訊保障局 (Information Assurance Directorate,簡稱 IAD) 正在制訂新方式,運用新興技術提供更及時的 IA 解決方案,以回應客戶急速變化的要求。

NSA/CSS 建立的機密商業解決方案 (Commercial Solutions for Classified,簡稱 CSfC) 計劃,旨在將商業產品用於保護機密 NSS 資料的分層解決方案。這樣便能以可實地使用數月 (而非數年) 的解決方案,依據商業標準進行安全通訊。

越來越多機密環境希望部署 Apple 解決方案,但因為產品認證原因而卻步。Apple 已根據上述保護描述檔取得「共同準則認證」,讓 Apple 產品得以列入「CSfC 組件列表」中。

當 Apple 產品開始針對各相關保護描述檔獲取額外的共同準則認證,相應的 Apple 組件便會申請列入「CSfC 組件列表」並新增於下方。

CSfC 組件列表

以下 Apple 產品符合資格用於 CSfC 解決方案:

將 Apple 產品新增至你的產品列表

越來越多政府環境要求將 Apple 產品提交至類似 CPA、EPL 和 CSfC 的計劃。如果你是政府解決方案計劃的授權代理人,並有意將 Apple 產品列入你的等效產品列表,請傳送電郵至 security-certifications@apple.com 與我們聯絡。

其他操作系統

進一步了解以下系統的產品保安、驗證和指引:

發佈日期: