加密和数据保护
苹果文件系统
Apple文件系统(APFS)是适用于macOS、iOS、tvOS、和watchOS。针对Flash/SSD存储进行了优化,具有强大的加密功能,写时复制元数据、空间共享、克隆文件和目录,快照、快速调整目录大小、原子安全保存原语、改进的文件系统基础以及独特的写时复制设计,该设计使用 I/O 合并来提供最大性能,同时确保数据可靠性。
APFS按需分配磁盘空间,当单个APFS容器具有多个卷,容器的空闲空间是共享的,可以分配给任何需要的单独卷。每个卷仅使用部分容器,所以可用空间是容器总大小减去容器中所以卷使用的空间。
对于macOS High Sierra,一个有效地APFS容器必须至少包含三个卷,其中前两个对于用户是隐藏的:
• 预引导卷:包含引导每个系统卷所需要的数据容器。 • 恢复卷:包含恢复磁盘。 • 系统卷:包含macOS和用户文件夹。
文件保险箱
它的设置位置在系统偏好设置->安全性与隐私->文件保险箱。 每台Mac都提供内置加密功能,称为FileVault,以保护所有静态数据。FileVault使用XTS-AES-128数据加密方式来保护存储在Mac上的数据。这可以应用于内部和可移动存储设备的全卷保护。如果用户在设置助手中输入Apple ID和密码,助手会建议启用FileVault并将恢复密钥存储在iCloud中。 在Mac上启用FileVault的用户被要求在继续引导过程之前提供有效的凭据,并访问特定的启动模式,如目标磁盘模式。在没有有效的登录凭证或恢复密钥的情况下,整个卷仍然是加密的,即使物理存储设备被移除并连接到另一台计算机,也不会受到未经授权的访问。
为了在企业设置中保护数据,通过MDM配置策略。组织有几个管理加密卷的选项,包括机构恢复密钥、个人恢复密钥(可以选择在MDM中存储以便托管),或两者的组合。密钥轮换也可以设置为 MDM 中的策略
加密磁盘映像
在 macOS 中,加密的磁盘映像用作安全容器,用户可以在其中存储或传输敏感文件和其他文件。加密的磁盘映像是使用位于 /Applications/Utilities/ 中的磁盘工具创建。磁盘映像可以使用 128位或256位AES加密进行加密。因为挂载的磁盘映像被视为连接到Mac的本地卷,用户可以复制,移动,并打开存储在其中的文件和文件夹。与 FileVault 一样,磁盘映像的内容是实时加密和解密的。使用加密的磁盘映像,用户可以通过将加密磁盘映像保存到可移动媒体、作为邮件消息附件发送或存储在远程服务器上来安全地交换文档、文件和文件夹。
ISO 27001 和 27018 认证
苹果公司已经获得了信息安全管理系统(ISMS)的ISO 27001和ISO 27018认证,该系统的基础设施、开发和运营支持这些产品和服务:Apple School Manager、iCloud、iMessage、FaceTime、Managed Apple id和itune U,符合2017年7月11日发布的适用性声明v2.1。苹果公司对ISO标准的遵守得到了英国标准协会(BSI)的认证。要查看ISO 27001和ISO 27018认证,请参阅BSI网站: www.bsigroup.com/en-GB/our-s… www.bsigroup.com/en-GB/our-s…
加密验证 (FIPS 140-2)
自OS X 10.6以来,在每个版本之后,macOS中的加密模块都被反复验证是否符合美国联邦信息处理标准(FIPS) 140-2 Level 1。与每个主要版本一样,和每个主要版本一样,Mac操作系统发布后,苹果都会将模块提交给CMVP进行重新验证。该程序验证苹果应用程序和第三方应用程序的加密操作的完整性,正确使用macOS加密服务和批准的算法。所有Apple FIPS 140-2符合性验证证书都可以在CMVP供应商页面上找到。CMVP根据密码模块 csrc.nist.gov/groups/STM/cmvp/inprocess.html 的当前状态,在两个单独的列表中维护密码模块的验证状态。
通用标准认证 (ISO 15408)
Apple之前已经通过了通用标准认证计划下的macOS认证,并重新参与macOS High Sierra与操作系统保护配置文件(PP_OSv4.1)的评估。苹苹果公司继续对现有的新版和更新版本的合作保护档案(cPPs)进行评估和寻求认证。苹果在国际技术共同体(ITC)中发挥了积极作用,开发了专注于评估关键移动安全技术的cPPs。
安全认证、计划和指南
Apple 苹果已经与世界各地的政府合作,提供维护更安全环境的指导和建议,并制定指南。也被称为针对高风险环境的“设备加固”。这些指南提供了关于如何配置和使用macOS中的内置特性以增强保护的详细信息。 有关 macOS安全认证、验证和指导,请参阅 Apple支持文章“产品安全认证,macOS 的验证和指南”,请访问support.apple.com/HT201159.
