2021年6月25日，美國發布了《行政命令14028下的“關鍵軟件”定義》，并于7月9日發布了《根據行政命令(EO)14028“EO關鍵軟件”應用的安全措施》。《根據行政命令(EO)14028“EO關鍵軟件”應用的安全措施》指南適用于美國聯邦機構對“EO關鍵軟件”的使用場景，“EO關鍵軟件”的開發和采購不在范圍內，這些安全措施旨在保護各機構運行環境中已部署的“EO關鍵軟件”的使用過程。

NIST《根據行政命令(EO)14028“EO關鍵軟件”應用的安全措施》及翻譯

NIST為安全措施定義了以下目標：

1.保護“EO關鍵軟件”和“EO關鍵軟件平臺”（運行“EO關鍵軟件”的平臺，如終端、服務器、云資源等）免受未經授權的訪問和使用；

2.保護“EO關鍵軟件”和“EO關鍵軟件平臺”使用的數據的機密性、完整性和可用性；

3.識別和維護“EO關鍵軟件平臺”和部署在這些平臺上的軟件，以保護“EO關鍵軟件”免被利用；

4.快速檢測、響應和恢復涉及“EO關鍵軟件”和“EO關鍵軟件平臺”的威脅和事件；

5.加強對人員行為的理解和績效，促進“EO關鍵軟件”和“EO關鍵軟件平臺”的安全性。

從這些目標可以看出，“EO關鍵軟件”需要從基礎環境保護、數據安全保護、脆弱性保護、威脅監測及響應、人員管控及教育等多方面綜合入手。具體措施清單如下：

目標1：保護“EO關鍵軟件”和“EO關鍵軟件平臺”免受未經授權的訪問和使用

l SM 1.1：對“EO關鍵軟件”和“EO關鍵軟件平臺”的所有用戶和管理員采用多因素身份驗證，該身份驗證應能抗偽造。（參見翻譯全文FAQ#7）

l SM 1.2：唯一標識并鑒別試圖訪問“EO關鍵軟件”或“EO關鍵軟件平臺”的每個服務。

l SM 1.3：對基于網絡的“EO關鍵軟件”或“EO關鍵軟件平臺”管理，應遵循特權訪問管理原則。

l SM 1.4：采用適當的邊界保護技術，盡量減少對“EO關鍵軟件”、“EO關鍵軟件平臺”和相關數據的直接訪問。

目標2：保護“EO關鍵軟件”和“EO關鍵軟件平臺”使用的數據的機密性、完整性和可用性

l SM 2.1：建立和維護“EO關鍵軟件”和“EO關鍵軟件平臺”的數據清單。

l SM2.2：對“EO關鍵軟件”和“EO關鍵軟件平臺”所使用的數據和資源進行細粒度訪問控制，盡可能執行最小特權原則。

l SM 2.3：保護靜態數據，對“EO關鍵軟件”和“EO關鍵軟件平臺”使用的敏感數據，采用符合NIST標準的加密。

l SM 2.4：保護傳輸中的數據，對“EO關鍵軟件”和“EO關鍵軟件平臺”的敏感數據通信，在可行的情況下采用雙向鑒別，以及符合NIST標準的加密。

l SM 2.5：備份數據，執行恢復演練，隨時準備從備份中恢復“EO關鍵軟件”和“EO關鍵軟件平臺”使用的數據。

目標3：識別和維護“EO關鍵軟件平臺”和部署在這些平臺上的軟件，以保護“EO關鍵軟件”免被利用

l SM 3.1：建立和維護軟件清單，包括所有運行的“EO關鍵軟件平臺”和部署到這些平臺的所有軟件（EO關鍵和非EO關鍵）。

l SM 3.2：采取補丁管理實踐維護“EO關鍵軟件平臺”和部署到這些平臺的所有軟件。

l SM 3.3：采取配置管理實踐來維護“EO關鍵軟件平臺”和部署到這些平臺的所有軟件。

目標4：快速檢測、響應和恢復涉及“EO關鍵軟件”和“EO關鍵軟件平臺”的威脅和事件

l SM 4.1：配置日志記錄，記錄涉及“EO關鍵軟件平臺”和在這些平臺上運行的所有軟件的安全事件的必要信息。

l SM 4.2：持續監控“EO關鍵軟件平臺”和所有在這些平臺上運行的軟件的安全性。

l SM 4.3：在“EO關鍵軟件平臺”上采用終端安全保護，保護平臺及其上運行的所有軟件。

l SM 4.4：采用網絡安全保護，監控進出“EO關鍵軟件平臺”的網絡流量，保護使用網絡的平臺及其軟件。

l SM 4.5：針對所有安全運營人員和事件響應團隊成員，根據其角色和職責，培訓如何處理涉及“EO關鍵軟件”和“EO關鍵軟件平臺”的事件。

目標5：加強對人員行為的理解和績效，促進“EO關鍵軟件”和“EO關鍵軟件平臺”的安全性

l SM 5.1：針對“EO關鍵軟件”的所有用戶，根據其角色和職責，培訓如何安全地使用軟件和“EO關鍵軟件平臺”。

l SM 5.2：針對所有“EO關鍵軟件”和“EO關鍵軟件平臺”的管理員，根據其角色和職責，培訓如何安全地管理軟件和/或平臺。

l SM 5.3：經常開展宣傳活動，加強對“EO關鍵軟件和平臺”的所有用戶和管理員的培訓，并衡量培訓的有效性，以便持續改進。

詳細內容請參見翻譯文檔。天融信將持續關注軟件供應鏈安全及其應用過程的前沿進展，后續將為您帶來更多精彩內容。

掃描二維碼，閱讀完整版譯文

翻譯為公益性質，僅供信息安全產業相關研究人員、管理人員參考，如有錯漏敬請指正。