iOS 的產品安全性認證、驗證及指引

本文提供與 iOS 平台相關的重要產品認證、加密驗證及安全性指引等參考資料。如有任何疑問,請寫信到 security-certifications@apple.com 與我們聯絡。

加密模組驗證

所有 Apple FIPS 140-2 一致性驗證認證均列於 CMVP 廠商網頁。Apple 積極投入 iOS 每次主要發行版本的 CoreCrypto 和 CoreCrypto Kernel 模組的驗證。驗證僅能針對最終模組發行版本執行,且必須在作業系統公開發行時正式提交。CMVP 現在依模組目前狀態,於兩份獨立列表下維護加密模組的驗證狀態。 這些模組會先放入 實作待測列表(Implementation Under Test List),然後再加入 檢測中的模組列表(Modules in Process List)

iOS 12

Apple 積極投入針對將於今年下半年推出的 iOS 12 所用的 CoreCrypto v9.0 模組的驗證。

之前版本

下列舊版 iOS 都具有加密模組驗證,目前均已封存:

  • iOS 8
  • iOS 7

安全性設定指南

重視安全性的組織會提供完善且嚴謹的指南,以說明如何設定各種平台以符合相關規範。「安全性設定指南」概述了 macOS 和 iOS 中可用來加強保護的功能,這又稱為「強化裝置」。世界各國的政府已與 Apple 合作並制訂各項指南,為維護更安全的環境提供各種指示與建議。 

這些指南的適用對象為經驗豐富的使用者或系統管理者,他們必須熟悉使用者介面,並對目標平台的管理工具具備一定的作業知識。此外,熟悉基本網路概念也會有幫助。這些指南的某些指示相當複雜,任何差池都可能導致負面影響或降低防護性。裝置設定若有任何更改,請先徹底測試後再進行部署。

詳情請參閱「iOS 安全性指南」(PDF)。

德國(BSI)
設定建議


英國(NCSC
EUD 安全性指引:iOS 11


美國(DISA、NIST、NSA)
Apple iOS 10 ISCG
SCAP-on-Apple
CIS:Internet 安全中心

澳洲(ASD)
iOS 強化指引
iOS 強化指南(PDF)
iOS 強化指南(iBook)


紐西蘭(GCSB)
iOS 強化指引
iOS 強化指南(PDF)
iOS 強化指南(iBook)

 

安全性認證

以下是 Apple 已獲公認、有效並完成的認證列表。

ISO 27001 與 27018 認證

根據 2017 年 7 月 11 日的「適用性聲明 v2.1」(Statement of Applicability v2.1),Apple 用來支援以下產品和服務的基礎設施、開發與作業已取得資訊安全管理系統的 ISO 27001 與 ISO 27018 認證:Apple School Manager、iTunes U、iCloud、iMessage、FaceTime、管理式 Apple ID、Siri 和「課業」。Apple 經英國標準學會(British Standards Institution)認證符合 ISO 標準。有關 ISO 27001ISO 27018 的合規性認證,請參閱 BSI 網站。

共同準則認證

根據「共同準則」社群所述,「共同準則認證」的目標是為了制定一套國際認可的安全性標準,以明確可靠地評估資訊科技產品的安全性功能。。「共同準則認證」會對產品能否符合安全性標準進行獨立評估,以讓客戶提升對資訊科技產品安全性的信心,並能根據充足的資訊作出決策。

透過共同準則承認協定(CCRA),各會員國家/地區已同意抱持相同程度的信心,承認該資訊技術產品認證。不只會員國家/地區數目年年增加,保護剖繪(Protection Profile)的深度和廣度也逐年擴大,以因應新興技術。這項協定使得產品開發人員無論在任何一種授權架構下,皆只須取得單一認證。

舊版的保護剖繪(PP)已經封存,且已由針對特定解決方案和環境所制訂的指定目標保護剖繪所取代。國際技術社群(International Technical Community,iTC)為齊力確保所有 CCRA 會員之間能夠持續認可彼此,將會繼續推動未來所有的 PP 制訂和合作保護剖繪(Collaborative Protection Profile,cPP)更新(這些更新內容初期就已涵蓋多種架構)。

從 2015 年初,Apple 便致力於取得經過重整之全新「共同準則」(包含特定 PP)的認證。Apple 已獲公認、有效並完成的認證如下。 

iOS 11

 

保護剖繪

VID

完成時間

行動裝置

PP_MD_v3.1

10851

2018.03.30

MDM 代理程式

EP_MDM_Agent_v3.0

10851

2018.03.30

WLAN 代理程式

PP_WLAN_CLI_EP_v1.0

10851

2018.03.30

VPN 用戶端

PP_VPN_IPSEC_CLIENT_V1.4

10876

2018.05.10

應用程式軟體(聯絡資訊)

PP_APP_v1.2

10915

ETA:2018.08

瀏覽器(Safari)

PP_APP_v1.2

PP_APPWEBBROWSER_EP_v2.0

10916

ETA:2018.08

之前版本

舊版 iOS 曾具有認證,目前均已封存

  • iOS 10
  • iOS 9

一般而言,共同準則社群每隔 12 到 18 個月會發佈保護剖繪的重大版本更新,同時會附加或更新安全功能需求(Security Functional Requirement,SFR)。

您可以在「共同準則入口網站」中,找到「保護剖繪」(PP)和「合作保護剖繪」(cPP)的完整列表及有效日期。您也可以在您選擇的架構之下尋找這些資訊,例如國家資訊保證合作組織(National Information Assurance Partnership,NIAP),此為美國架構。

已核准供政府使用

有些國家或地區已核准裝置供政府使用,以下是來自特定國家的相關資訊。

澳洲政府


以下摘錄自「EPL - 評估產品列表」頁面:

澳洲訊號處(Australian Signals Directorate,ASD)負責維護 ICT 安全產品的評估產品列表(EPL),這些產品皆由 ASD 評估,以判斷是否適用於澳洲和紐西蘭政府機關。

產品:iOS 9
產品類型:行動產品
產品狀態:已完成
保證等級:由 ASD 評估
版本:9.3.5 或以上版本
指南:PDF

英國政府


以下摘錄自 NCSC 的「商用產品保證 - 基礎級產品」頁面:

CPA 依據發佈的安全性和開發標準評估商用現成產品及其開發人員。成功通過評估的安全產品將取得「基礎級」(Foundation Grade)認證。這表示該產品已證明可展現良好的商業安全實務,適用於較低威脅環境。

  • CPA 認證的效期為 2 年,在認證生命週期內,將允許產品就必要處理的漏洞和更新項目進行更新。
  • CPA 認證已獲 NATO 目錄接受,並且已被認定為 EU 目錄所需的評估之一。
  • 基礎級由 NCSC 進一步提出說明。

美國政府


以下陳述取自「機密商業解決方案」頁面:

有越來越多的美國政府客戶要求,必須在國家安全系統(National Security Systems,NSS)內立即採用市面上最先進的商業軟硬體技術,以便達成任務目標。因此,美國國家安全局/中央安全局(National Security Agency/Central Security Service,NSA/CSS)的資訊保證處(Information Assurance Directorate,IAD)正在制訂新的方式,藉此運用新興技術來提供更及時的 IA 解決方案,因應快速發展的客戶需求。

NSA/CSS 已建立機密商業解決方案(Commercial Solutions for Classified,CSfC)計畫,目標是將商業產品用於保護機密 NSS 資料的分層解決方案中。這樣便能讓即將實地運用數月(而非數年)的解決方案,依據商業標準來進行安全通訊。

越來越多的機密環境想要部署 Apple 解決方案,然而卻因為產品認證原因而躊躇不前。Apple 已根據上述保護剖繪取得「共同準則認證」,讓 Apple 產品得以列在「CSfC 組件列表」中。

Apple 產品每新增一種共同準則認證的相關保護剖繪,對應的 Apple 組件便會申請加入「CSfC 組件列表」並新增於下方。

CSfC 組件列表

下列 Apple 產品均符合資格,可用於 CSfC 解決方案:

將 Apple 產品加入您的產品列表

越來越多的政府環境要求應該將 Apple 產品提交至他們類似於 CPA、EPL 和 CSfC 的方案中。如果您是政府解決方案計畫的授權代理人,並且有意將 Apple 產品加入您的此類產品列表,請寫信至 security-certifications@apple.com 與我們聯絡。

其他作業系統

進一步瞭解下列項目的產品安全性、驗證及指引:

對於非 Apple 製造之產品相關資訊,或是非 Apple 控制或測試之獨立網站,不得解釋 Apple 為其推薦或背書。Apple 對於協力廠商網站或產品的選擇、效能或使用,概不負責。Apple 對於協力廠商網站的準確性或可靠性不具有任何立場。使用 Internet 本具風險。如需更多資訊,請聯絡廠商。其他公司及產品名稱可能是其各自擁有者的商標。

發佈日期: