加密模組驗證
所有 Apple FIPS 140-2 Conformance Validation Certificate (一致性驗證認證) 均載於 CMVP 供應商網頁。對於 macOS 的每個主要發行版本,Apple 積極參與 CoreCrypto 和 CoreCrypto Kernel 模組的驗證。驗證只能針對最終模組發行版本執行,而且必須在操作系統公開發行時正式提交。現時,CMVP 以兩份不同列表管理加密模組的驗證狀態,視乎其目前狀態而定。模組會先加入 Implementation Under Test List (實作待測列表),然後再列入 Modules in Process List (正進行評測的模組列表)。
macOS Mojave
對於今年稍後推出的 macOS Mojave,Apple 積極參與 CoreCrypto v9.0 模組的驗證。
macOS High Sierra
macOS Sierra
- Apple macOS FIPS 加密模組 v7.0
- 合規裝置
- 確保 macOS Sierra 10.12 符合 FIPS 140-2 規範的加密管理者角色指南 (PDF)
- CoreCrypto #2832:模組認證和保安政策 (PDF)
- CoreCrypto Kernel #2830:模組認證和保安政策 (PDF)
OS X El Capitan
- Apple OS X FIPS 加密模組 v6.0
- 合規裝置
- 確保 OS X El Capitan 10.11 符合 FIPS 140-2 規範的加密管理者角色指南 (PDF)
- CoreCrypto #2610:模組認證和保安政策 (PDF)
- CoreCrypto Kernel #2597:模組認證和保安政策 (PDF)
舊有版本
下列舊版 OS X 都有加密模組驗證,目前均已封存:
- OS X Yosemite 10.10
- OS X Mavericks 10.9
- OS X Mountain Lion 10.8
- OS X Lion 10.7
- OS X Snow Leopard 10.6
保安設定指南
著重保安的組織設有完善和嚴密的指南,規範如何設定不同平台以達到使用要求。「保安設定指南」概述 OS X 和 iOS 中可用於加強保護的功能,又稱「強化裝置」。世界各國的政府已與 Apple 展開合作並制訂指南,為維護更安全的環境提供指引和建議。
這些指南的適用對象為經驗豐富的用戶或系統管理員。你應該熟悉用戶介面,並對目標平台的管理工具具備一定的操作知識。熟悉基本網絡概念對你亦有幫助。指南中的部分指引相當複雜,稍有偏差都可能造成負面影響或削弱防護。部署之前,請先全面測試裝置設定的所有變更。
詳情請參閱 macOS 保安指南 (PDF)。
macOS High Sierra 10.13 |
macOS Sierra 10.12 | OS X El Capitan 10.11 | |
 Apple |
SCAP-On-Apple | SCAP-On-Apple | SCAP-on-Apple |
 英國 (NCSC) |
EUD 保安指引:macOS 10.13 High Sierra | 終端用戶裝置保安指引 | 終端用戶裝置保安指引 終端用戶裝置保安指引 (PDF) OS X 10.11 佈建指令碼 |
 美國 (DISA、NIST、NSA) |
macOS STIG | Apple OS X 10.11 工作站 STIG |
保安認證
以下列出 Apple 已完成的有效公認認證。
ISO 27001 和 27018 認證
根據 2017 年 7 月 11 日的 Statement of Applicability v2.1 (適用性聲明 v2.1),Apple 用於支援以下產品和服務的基礎架構、開發及操作已取得資訊安全管理系統的 ISO 27001 和 ISO 27018 認證:Apple School Manager、iTunes U、iCloud、iMessage、FaceTime、管理式 Apple ID、Siri 和「課業」。Apple 經 British Standards Institution (英國標準學會) 認證符合 ISO 標準。有關 ISO 27001 和 ISO 27018 的合規認證,請參閱 BSI 網站。
共同準則 (Common Criteria) 認證
根據共同準則社群所述,「共同準則認證」旨在制定國際認可的安全標準,針對資訊科技產品的保安功能提供明確可靠的評估方式。「共同準則認證」會獨立評估產品是否符合安全標準,以提升客戶對資訊科技產品安全性的信心,幫助客戶作出更明智的決策。
在「共同準則承認協定」(Common Criteria Recognition Arrangement,簡稱 CCRA) 下,各成員國家/地區同意以相同的信心水平認可資訊科技產品的認證。隨著成員國家/地區數目增加,保護描述檔 (Protection Profile) 的深度和廣度也逐年增長,以迎合新興技術。在此協定下,產品開發人員無論在任何一種授權架構 (Authorizing Scheme) 下,皆只須取得單一認證。
如不熟悉近期因全新「共同準則」而進行的認證方法架構重整,應注意「評估保證等級」(Evaluated Assurance Level,簡稱 EAL#) 已不再是參考標準。舊有的保護描述檔 (簡稱 PP) 已經封存,且已開始由針對特定解決方案和環境所制訂的目標保護描述檔所取代。國際技術社群 (International Technical Community,簡稱 iTC) 為協力確保所有 CCRA 成員能持續互相認可,會繼續推動未來所有 PP 開發和協作保護描述檔 (Collaborative Protection Profile,簡稱 cPP) 更新;cPP 在開發初期就已採用多種架構。
由 2015 年初開始,Apple 便致力在經重整的全新「共同準則」下以特定 PP 取得認證。以下列出 Apple 已完成的有效公認認證。
macOS
Apple 積極參與 macOS 的「一般用途操作系統保護描述檔」(General Purpose Operating System Protection Profile) 驗證。
波動性聲明
若政府組織及其合作承辦商必須提供產品製造商的波動性聲明 (Volatility Statement),可傳送電郵至 AppleFederal@apple.com 申請,並就申請提供提出要求的政府機關、Apple 產品名稱、產品序號以及政府技術聯絡人資料。