美國(guó)于2021年5月12日發(fā)布了《關(guān)于改善國(guó)家網(wǎng)絡(luò)安全》的第14028號(hào)行政命令（EO），明確要求美國(guó)聯(lián)邦政府加強(qiáng)軟件供應(yīng)鏈安全管控。為響應(yīng)號(hào)召，國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）于2021年6月25日發(fā)布了《Definition of Critical Software UnderExecutive Order(EO)14028（行政命令14028下的“關(guān)鍵軟件”定義）》，并于2021年7月9日發(fā)布了《SecurityMeasures for “EO-Critical Software” Use Under Executive Order(EO)14028（“EO關(guān)鍵軟件”使用的安全措施）》，這表明美國(guó)正逐步推進(jìn)EO行政命令的執(zhí)行。按照下圖《EO第4節(jié)任務(wù)及時(shí)間線》，美國(guó)正逐步發(fā)布“關(guān)鍵軟件”的相關(guān)要求及指南，并推進(jìn)其最終落實(shí)，預(yù)計(jì)將于2022年5月基本完成。

美國(guó)《關(guān)于改善國(guó)家網(wǎng)絡(luò)安全》的第14028號(hào)行政命令（EO）第4節(jié)任務(wù)及時(shí)間線

近年來(lái)，隨著國(guó)際競(jìng)爭(zhēng)的加劇，軟件供應(yīng)鏈安全事件呈現(xiàn)明顯上升趨勢(shì)。我國(guó)的軟件產(chǎn)業(yè)相對(duì)于美國(guó)還比較落后，在很多軟件開發(fā)項(xiàng)目中，大量使用了開源、“免費(fèi)”的庫(kù)包模塊以及代碼倉(cāng)庫(kù)、開發(fā)工具、測(cè)試軟件、集成軟件、打包軟件和部署軟件等。有數(shù)據(jù)表明，這樣開發(fā)的軟件存在大量的已知或未知漏洞，甚至包含后門、木馬程序，這給我國(guó)的網(wǎng)絡(luò)空間安全埋下了嚴(yán)重隱患，尤其在關(guān)鍵信息基礎(chǔ)設(shè)施、重要數(shù)據(jù)處理系統(tǒng)中，此問題尤為突出。美國(guó)《關(guān)于改善國(guó)家網(wǎng)絡(luò)安全》第4節(jié)規(guī)定了“關(guān)鍵軟件”的相關(guān)要求，為我國(guó)解決軟件供應(yīng)量安全問題提供了參考思路。

本文重點(diǎn)介紹《Definition of Critical Software Under Executive Order(EO)14028（行政命令14028下的“關(guān)鍵軟件”定義）》，并提供全文翻譯，為國(guó)內(nèi)網(wǎng)絡(luò)安全從業(yè)人員及關(guān)注者提供參考。

NIST《行政命令14028下的“關(guān)鍵軟件”定義》及翻譯

“EO關(guān)鍵軟件”被定義為任何具有或直接依賴一個(gè)或多個(gè)組件的軟件，這些組件至少有以下屬性之一：

l被設(shè)計(jì)運(yùn)行于高權(quán)限或管理權(quán)限；

l能直接或授權(quán)訪問網(wǎng)絡(luò)或計(jì)算資源；

l被設(shè)計(jì)用于控制數(shù)據(jù)訪問或操作技術(shù)（OT）；

l執(zhí)行“信任的關(guān)鍵”功能；

l使用訪問權(quán)限，在正常信任邊界之外執(zhí)行操作。

在當(dāng)前的版本中，給出了“EO關(guān)鍵軟件”的初步列表，包含了以下11類軟件：

l身份、憑證和訪問管理（ICAM）

l操作系統(tǒng)、虛擬化程序、容器環(huán)境

lWeb瀏覽器

l終端安全

l網(wǎng)絡(luò)控制

l網(wǎng)絡(luò)保護(hù)

l網(wǎng)絡(luò)監(jiān)控和配置

l運(yùn)行監(jiān)控和分析

l遠(yuǎn)程掃描

l遠(yuǎn)程訪問和配置管理

l備份/恢復(fù)和遠(yuǎn)程存儲(chǔ)

“EO關(guān)鍵軟件”定義是基于軟件的功能，而不是它的用途，與軟件的部署環(huán)境、場(chǎng)景無(wú)關(guān)，這有利于軟件供應(yīng)商判斷他們的產(chǎn)品是否是“EO關(guān)鍵”的，這也將使市場(chǎng)更加清晰。在“EO關(guān)鍵軟件”的管理范疇上，主要考慮的是軟件在運(yùn)行中的作用，僅關(guān)注實(shí)際使用中的軟件，而排除了開發(fā)、測(cè)試、研究、歸檔等情況。并且在實(shí)施初期,將重點(diǎn)放在具有安全關(guān)鍵功能或有類似重大潛在危害的獨(dú)立本地軟件上，而控制數(shù)據(jù)訪問的軟件、基于云的軟件、軟件開發(fā)工具、嵌入式軟件或OT中的軟件等將在后續(xù)計(jì)劃中逐步覆蓋。

我國(guó)多年來(lái)持續(xù)推進(jìn)各類軟硬件系統(tǒng)的自主可控發(fā)展，并受到各行各業(yè)的廣泛支持，完成了大量的國(guó)產(chǎn)化改造。但由于我國(guó)軟件產(chǎn)業(yè)發(fā)展程度的制約，軟件開發(fā)中普遍存在的問題在國(guó)產(chǎn)化軟件中仍舊存在。從美國(guó)“關(guān)鍵軟件”的思維來(lái)看，我國(guó)應(yīng)在國(guó)產(chǎn)化普及的同時(shí)，重點(diǎn)對(duì)起到關(guān)鍵作用的軟硬件產(chǎn)品進(jìn)行更為嚴(yán)格的安全能力要求，并在現(xiàn)有的審查機(jī)制中加強(qiáng)關(guān)鍵軟件安全能力的評(píng)價(jià)。

天融信將持續(xù)關(guān)注軟件供應(yīng)鏈安全的前沿進(jìn)展，后續(xù)將為您帶來(lái)更多精彩內(nèi)容。

掃描二維碼，閱讀完整版譯文

翻譯為公益性質(zhì)，僅供信息安全產(chǎn)業(yè)相關(guān)研究人員、管理人員參考，如有錯(cuò)漏敬請(qǐng)指正。