美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)發(fā)布指南，指南規(guī)范美國(guó)政府“關(guān)鍵軟件”的安全措施以及測(cè)試其源代碼的最低標(biāo)準(zhǔn)。指南全名：《根據(jù)行政命令 (EO) 14028 使用“EO 關(guān)鍵軟件”的安全措施 - 指導(dǎo)目的和范圍》。

　　“關(guān)鍵軟件”安全指南發(fā)布背景

　　2021 年 5 月 12 日拜登發(fā)布關(guān)于改善國(guó)家網(wǎng)絡(luò)安全的第14028 號(hào)行政命令（EXECUTIVE ORDER 14028）。其中要求NIST制定相關(guān)指南。

　　在制定新指南時(shí)，NIST 與網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局、管理和預(yù)算辦公室以及國(guó)家安全局合作，并通過(guò)研討會(huì)收集了意見(jiàn)，其中包括來(lái)自行業(yè)、學(xué)術(shù)界和政府的 1,000 名參與者。美國(guó)行政管理和預(yù)算局（OMB ）將強(qiáng)制各機(jī)構(gòu)遵守該指南。

　　美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所在指南中指出： 最近的事件表明，需要更好地保護(hù)聯(lián)邦機(jī)構(gòu)在本地、云端和其他地方使用的 EO 關(guān)鍵軟件來(lái)實(shí)現(xiàn)其任務(wù)。即使可以使用推薦的安全開(kāi)發(fā)實(shí)踐來(lái)開(kāi)發(fā) EO 關(guān)鍵軟件，它仍然需要在操作環(huán)境中得到保護(hù)。越來(lái)越多的人認(rèn)識(shí)到，所有組織都應(yīng)該假設(shè)漏洞將要發(fā)生或已經(jīng)發(fā)生，因此必須始終將訪(fǎng)問(wèn) EO 關(guān)鍵軟件的權(quán)限限制在僅需要的范圍內(nèi)。此外，必須持續(xù)監(jiān)控異?；驉阂饣顒?dòng)。預(yù)防漏洞仍然是“必須的”，但擁有強(qiáng)大的事件檢測(cè)、響應(yīng)和恢復(fù)能力也很重要。此類(lèi)功能可以幫助識(shí)別違規(guī)行為，確定其影響范圍

　　《指南》目標(biāo)：

　　保護(hù) EO 關(guān)鍵軟件和EO 關(guān)鍵軟件平臺(tái)（運(yùn)行 EO 關(guān)鍵軟件的平臺(tái)，例如端點(diǎn)、服務(wù)器和云資源）免遭未經(jīng)授權(quán)的訪(fǎng)問(wèn)和使用。

　　保護(hù) EO 關(guān)鍵軟件和 EO 關(guān)鍵軟件平臺(tái)使用的數(shù)據(jù)的機(jī)密性、完整性和可用性。

　　識(shí)別和維護(hù) EO 關(guān)鍵軟件平臺(tái)以及部署到這些平臺(tái)的軟件，以保護(hù) EO 關(guān)鍵軟件免遭利用。

　　快速檢測(cè)、響應(yīng)和恢復(fù)涉及 EO 關(guān)鍵軟件和 EO 關(guān)鍵軟件平臺(tái)的威脅和事件。

　　加強(qiáng)對(duì)促進(jìn) EO 關(guān)鍵軟件和 EO 關(guān)鍵軟件平臺(tái)安全性的人類(lèi)行為的理解和績(jī)效。

　　NIST 已經(jīng)確定了對(duì)實(shí)現(xiàn)這些目標(biāo)至關(guān)重要的安全措施。這些“用于 EO 關(guān)鍵軟件使用的安全措施”并不全面，也不打算消除聯(lián)邦機(jī)構(gòu)作為其現(xiàn)有要求和網(wǎng)絡(luò)安全計(jì)劃的一部分實(shí)施的其他安全措施的需要。機(jī)構(gòu)應(yīng)繼續(xù)努力保護(hù)運(yùn)行 EO 關(guān)鍵軟件的系統(tǒng)和網(wǎng)絡(luò)并管理網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險(xiǎn)，并實(shí)施零信任實(shí)踐，這取決于基本的安全措施。指定這些安全措施的目的是通過(guò)定義一組共同的安全目標(biāo)來(lái)幫助機(jī)構(gòu)，以?xún)?yōu)先考慮應(yīng)該采取的安全措施，以保護(hù) EO 關(guān)鍵軟件的使用。

　　《指南》要求：

　　保護(hù)關(guān)鍵軟件及其平臺(tái)免受未經(jīng)授權(quán)的訪(fǎng)問(wèn)和使用；

　　對(duì)所有用戶(hù)和管理員使用多重身份驗(yàn)證，防止驗(yàn)證者模仿；

　　唯一地識(shí)別和驗(yàn)證試圖訪(fǎng)問(wèn)軟件平臺(tái)的每個(gè)服務(wù)，并遵循基于網(wǎng)絡(luò)管理的特權(quán)訪(fǎng)問(wèn)管理原則；

　　采用邊界保護(hù)技術(shù)，以盡量減少對(duì)軟件、其平臺(tái)和相關(guān)數(shù)據(jù)的直接訪(fǎng)問(wèn)；

　　保護(hù)軟件使用的數(shù)據(jù)的機(jī)密性、完整性和可用性；

　　建立和維護(hù)數(shù)據(jù)清單；

　　對(duì)數(shù)據(jù)和資源使用細(xì)粒度的訪(fǎng)問(wèn)控制，以執(zhí)行最小權(quán)限原則；

　　通過(guò)加密敏感數(shù)據(jù)（符合 NIST 的加密標(biāo)準(zhǔn)）和傳輸中的數(shù)據(jù)（在可行的情況下使用相互身份驗(yàn)證和加密敏感數(shù)據(jù)通信）來(lái)保護(hù)靜態(tài)數(shù)據(jù)；

　　備份數(shù)據(jù)，進(jìn)行備份恢復(fù)，做好恢復(fù)數(shù)據(jù)的準(zhǔn)備；

　　建立和維護(hù)軟件清單并使用補(bǔ)丁管理實(shí)踐和配置管理實(shí)踐；

　　快速檢測(cè)、響應(yīng)威脅和事件并從中恢復(fù)；

　　配置日志記錄以記錄有關(guān)安全事件的必要信息；

　　持續(xù)監(jiān)控安全并采用端點(diǎn)和網(wǎng)絡(luò)安全保護(hù)；

　　培訓(xùn)所有安全運(yùn)營(yíng)人員和事件響應(yīng)團(tuán)隊(duì)成員如何處理事件。

　　軟件測(cè)試標(biāo)準(zhǔn)

　　除了安全措施外，NIST 還發(fā)布了開(kāi)發(fā)人員測(cè)試關(guān)鍵軟件的最低標(biāo)準(zhǔn)。

　　要求：軟件必須按照最佳實(shí)踐進(jìn)行設(shè)計(jì)、構(gòu)建、交付和維護(hù)。

　　在軟件開(kāi)發(fā)生命周期中盡早由開(kāi)發(fā)人員進(jìn)行頻繁和徹底的測(cè)試是一項(xiàng)關(guān)鍵實(shí)踐。