美國國家標準與技術研究所(NIST)發(fā)布指南，指南規(guī)范美國政府“關鍵軟件”的安全措施以及測試其源代碼的最低標準。指南全名：《根據(jù)行政命令 (EO) 14028 使用“EO 關鍵軟件”的安全措施 - 指導目的和范圍》。

　　“關鍵軟件”安全指南發(fā)布背景

　　2021 年 5 月 12 日拜登發(fā)布關于改善國家網(wǎng)絡安全的第14028 號行政命令（EXECUTIVE ORDER 14028）。其中要求NIST制定相關指南。

　　在制定新指南時，NIST 與網(wǎng)絡安全和基礎設施安全局、管理和預算辦公室以及國家安全局合作，并通過研討會收集了意見，其中包括來自行業(yè)、學術界和政府的 1,000 名參與者。美國行政管理和預算局（OMB ）將強制各機構遵守該指南。

　　美國國家標準與技術研究所在指南中指出： 最近的事件表明，需要更好地保護聯(lián)邦機構在本地、云端和其他地方使用的 EO 關鍵軟件來實現(xiàn)其任務。即使可以使用推薦的安全開發(fā)實踐來開發(fā) EO 關鍵軟件，它仍然需要在操作環(huán)境中得到保護。越來越多的人認識到，所有組織都應該假設漏洞將要發(fā)生或已經發(fā)生，因此必須始終將訪問 EO 關鍵軟件的權限限制在僅需要的范圍內。此外，必須持續(xù)監(jiān)控異常或惡意活動。預防漏洞仍然是“必須的”，但擁有強大的事件檢測、響應和恢復能力也很重要。此類功能可以幫助識別違規(guī)行為，確定其影響范圍

　　《指南》目標：

　　保護 EO 關鍵軟件和EO 關鍵軟件平臺（運行 EO 關鍵軟件的平臺，例如端點、服務器和云資源）免遭未經授權的訪問和使用。

　　保護 EO 關鍵軟件和 EO 關鍵軟件平臺使用的數(shù)據(jù)的機密性、完整性和可用性。

　　識別和維護 EO 關鍵軟件平臺以及部署到這些平臺的軟件，以保護 EO 關鍵軟件免遭利用。

　　快速檢測、響應和恢復涉及 EO 關鍵軟件和 EO 關鍵軟件平臺的威脅和事件。

　　加強對促進 EO 關鍵軟件和 EO 關鍵軟件平臺安全性的人類行為的理解和績效。

　　NIST 已經確定了對實現(xiàn)這些目標至關重要的安全措施。這些“用于 EO 關鍵軟件使用的安全措施”并不全面，也不打算消除聯(lián)邦機構作為其現(xiàn)有要求和網(wǎng)絡安全計劃的一部分實施的其他安全措施的需要。機構應繼續(xù)努力保護運行 EO 關鍵軟件的系統(tǒng)和網(wǎng)絡并管理網(wǎng)絡供應鏈風險，并實施零信任實踐，這取決于基本的安全措施。指定這些安全措施的目的是通過定義一組共同的安全目標來幫助機構，以優(yōu)先考慮應該采取的安全措施，以保護 EO 關鍵軟件的使用。

　　《指南》要求：

　　保護關鍵軟件及其平臺免受未經授權的訪問和使用；

　　對所有用戶和管理員使用多重身份驗證，防止驗證者模仿；

　　唯一地識別和驗證試圖訪問軟件平臺的每個服務，并遵循基于網(wǎng)絡管理的特權訪問管理原則；

　　采用邊界保護技術，以盡量減少對軟件、其平臺和相關數(shù)據(jù)的直接訪問；

　　保護軟件使用的數(shù)據(jù)的機密性、完整性和可用性；

　　建立和維護數(shù)據(jù)清單；

　　對數(shù)據(jù)和資源使用細粒度的訪問控制，以執(zhí)行最小權限原則；

　　通過加密敏感數(shù)據(jù)（符合 NIST 的加密標準）和傳輸中的數(shù)據(jù)（在可行的情況下使用相互身份驗證和加密敏感數(shù)據(jù)通信）來保護靜態(tài)數(shù)據(jù)；

　　備份數(shù)據(jù)，進行備份恢復，做好恢復數(shù)據(jù)的準備；

　　建立和維護軟件清單并使用補丁管理實踐和配置管理實踐；

　　快速檢測、響應威脅和事件并從中恢復；

　　配置日志記錄以記錄有關安全事件的必要信息；

　　持續(xù)監(jiān)控安全并采用端點和網(wǎng)絡安全保護；

　　培訓所有安全運營人員和事件響應團隊成員如何處理事件。

　　軟件測試標準

　　除了安全措施外，NIST 還發(fā)布了開發(fā)人員測試關鍵軟件的最低標準。

　　要求：軟件必須按照最佳實踐進行設計、構建、交付和維護。

　　在軟件開發(fā)生命周期中盡早由開發(fā)人員進行頻繁和徹底的測試是一項關鍵實踐。