2021年6月25日，美國發(fā)布了《行政命令14028下的“關(guān)鍵軟件”定義》，并于7月9日發(fā)布了《根據(jù)行政命令(EO)14028“EO關(guān)鍵軟件”應(yīng)用的安全措施》?！陡鶕?jù)行政命令(EO)14028“EO關(guān)鍵軟件”應(yīng)用的安全措施》指南適用于美國聯(lián)邦機構(gòu)對“EO關(guān)鍵軟件”的使用場景，“EO關(guān)鍵軟件”的開發(fā)和采購不在范圍內(nèi)，這些安全措施旨在保護(hù)各機構(gòu)運行環(huán)境中已部署的“EO關(guān)鍵軟件”的使用過程。

NIST《根據(jù)行政命令(EO)14028“EO關(guān)鍵軟件”應(yīng)用的安全措施》及翻譯

NIST為安全措施定義了以下目標(biāo)：

1.保護(hù)“EO關(guān)鍵軟件”和“EO關(guān)鍵軟件平臺”（運行“EO關(guān)鍵軟件”的平臺，如終端、服務(wù)器、云資源等）免受未經(jīng)授權(quán)的訪問和使用；

2.保護(hù)“EO關(guān)鍵軟件”和“EO關(guān)鍵軟件平臺”使用的數(shù)據(jù)的機密性、完整性和可用性；

3.識別和維護(hù)“EO關(guān)鍵軟件平臺”和部署在這些平臺上的軟件，以保護(hù)“EO關(guān)鍵軟件”免被利用；

4.快速檢測、響應(yīng)和恢復(fù)涉及“EO關(guān)鍵軟件”和“EO關(guān)鍵軟件平臺”的威脅和事件；

5.加強對人員行為的理解和績效，促進(jìn)“EO關(guān)鍵軟件”和“EO關(guān)鍵軟件平臺”的安全性。

從這些目標(biāo)可以看出，“EO關(guān)鍵軟件”需要從基礎(chǔ)環(huán)境保護(hù)、數(shù)據(jù)安全保護(hù)、脆弱性保護(hù)、威脅監(jiān)測及響應(yīng)、人員管控及教育等多方面綜合入手。具體措施清單如下：

目標(biāo)1：保護(hù)“EO關(guān)鍵軟件”和“EO關(guān)鍵軟件平臺”免受未經(jīng)授權(quán)的訪問和使用

l SM 1.1：對“EO關(guān)鍵軟件”和“EO關(guān)鍵軟件平臺”的所有用戶和管理員采用多因素身份驗證，該身份驗證應(yīng)能抗偽造。（參見翻譯全文FAQ#7）

l SM 1.2：唯一標(biāo)識并鑒別試圖訪問“EO關(guān)鍵軟件”或“EO關(guān)鍵軟件平臺”的每個服務(wù)。

l SM 1.3：對基于網(wǎng)絡(luò)的“EO關(guān)鍵軟件”或“EO關(guān)鍵軟件平臺”管理，應(yīng)遵循特權(quán)訪問管理原則。

l SM 1.4：采用適當(dāng)?shù)倪吔绫Ｗo(hù)技術(shù)，盡量減少對“EO關(guān)鍵軟件”、“EO關(guān)鍵軟件平臺”和相關(guān)數(shù)據(jù)的直接訪問。

目標(biāo)2：保護(hù)“EO關(guān)鍵軟件”和“EO關(guān)鍵軟件平臺”使用的數(shù)據(jù)的機密性、完整性和可用性

l SM 2.1：建立和維護(hù)“EO關(guān)鍵軟件”和“EO關(guān)鍵軟件平臺”的數(shù)據(jù)清單。

l SM2.2：對“EO關(guān)鍵軟件”和“EO關(guān)鍵軟件平臺”所使用的數(shù)據(jù)和資源進(jìn)行細(xì)粒度訪問控制，盡可能執(zhí)行最小特權(quán)原則。

l SM 2.3：保護(hù)靜態(tài)數(shù)據(jù)，對“EO關(guān)鍵軟件”和“EO關(guān)鍵軟件平臺”使用的敏感數(shù)據(jù)，采用符合NIST標(biāo)準(zhǔn)的加密。

l SM 2.4：保護(hù)傳輸中的數(shù)據(jù)，對“EO關(guān)鍵軟件”和“EO關(guān)鍵軟件平臺”的敏感數(shù)據(jù)通信，在可行的情況下采用雙向鑒別，以及符合NIST標(biāo)準(zhǔn)的加密。

l SM 2.5：備份數(shù)據(jù)，執(zhí)行恢復(fù)演練，隨時準(zhǔn)備從備份中恢復(fù)“EO關(guān)鍵軟件”和“EO關(guān)鍵軟件平臺”使用的數(shù)據(jù)。

目標(biāo)3：識別和維護(hù)“EO關(guān)鍵軟件平臺”和部署在這些平臺上的軟件，以保護(hù)“EO關(guān)鍵軟件”免被利用

l SM 3.1：建立和維護(hù)軟件清單，包括所有運行的“EO關(guān)鍵軟件平臺”和部署到這些平臺的所有軟件（EO關(guān)鍵和非EO關(guān)鍵）。

l SM 3.2：采取補丁管理實踐維護(hù)“EO關(guān)鍵軟件平臺”和部署到這些平臺的所有軟件。

l SM 3.3：采取配置管理實踐來維護(hù)“EO關(guān)鍵軟件平臺”和部署到這些平臺的所有軟件。

目標(biāo)4：快速檢測、響應(yīng)和恢復(fù)涉及“EO關(guān)鍵軟件”和“EO關(guān)鍵軟件平臺”的威脅和事件

l SM 4.1：配置日志記錄，記錄涉及“EO關(guān)鍵軟件平臺”和在這些平臺上運行的所有軟件的安全事件的必要信息。

l SM 4.2：持續(xù)監(jiān)控“EO關(guān)鍵軟件平臺”和所有在這些平臺上運行的軟件的安全性。

l SM 4.3：在“EO關(guān)鍵軟件平臺”上采用終端安全保護(hù)，保護(hù)平臺及其上運行的所有軟件。

l SM 4.4：采用網(wǎng)絡(luò)安全保護(hù)，監(jiān)控進(jìn)出“EO關(guān)鍵軟件平臺”的網(wǎng)絡(luò)流量，保護(hù)使用網(wǎng)絡(luò)的平臺及其軟件。

l SM 4.5：針對所有安全運營人員和事件響應(yīng)團(tuán)隊成員，根據(jù)其角色和職責(zé)，培訓(xùn)如何處理涉及“EO關(guān)鍵軟件”和“EO關(guān)鍵軟件平臺”的事件。

目標(biāo)5：加強對人員行為的理解和績效，促進(jìn)“EO關(guān)鍵軟件”和“EO關(guān)鍵軟件平臺”的安全性

l SM 5.1：針對“EO關(guān)鍵軟件”的所有用戶，根據(jù)其角色和職責(zé)，培訓(xùn)如何安全地使用軟件和“EO關(guān)鍵軟件平臺”。

l SM 5.2：針對所有“EO關(guān)鍵軟件”和“EO關(guān)鍵軟件平臺”的管理員，根據(jù)其角色和職責(zé)，培訓(xùn)如何安全地管理軟件和/或平臺。

l SM 5.3：經(jīng)常開展宣傳活動，加強對“EO關(guān)鍵軟件和平臺”的所有用戶和管理員的培訓(xùn)，并衡量培訓(xùn)的有效性，以便持續(xù)改進(jìn)。

詳細(xì)內(nèi)容請參見翻譯文檔。天融信將持續(xù)關(guān)注軟件供應(yīng)鏈安全及其應(yīng)用過程的前沿進(jìn)展，后續(xù)將為您帶來更多精彩內(nèi)容。

掃描二維碼，閱讀完整版譯文

翻譯為公益性質(zhì)，僅供信息安全產(chǎn)業(yè)相關(guān)研究人員、管理人員參考，如有錯漏敬請指正。