美國國家標準與技術(shù)研究所(NIST)發(fā)布指南，指南規(guī)范美國政府“關(guān)鍵軟件”的安全措施以及測試其源代碼的最低標準。指南全名：《根據(jù)行政命令 (EO) 14028 使用“EO 關(guān)鍵軟件”的安全措施 - 指導(dǎo)目的和范圍》。

　　“關(guān)鍵軟件”安全指南發(fā)布背景

　　2021 年 5 月 12 日拜登發(fā)布關(guān)于改善國家網(wǎng)絡(luò)安全的第14028 號行政命令（EXECUTIVE ORDER 14028）。其中要求NIST制定相關(guān)指南。

　　在制定新指南時，NIST 與網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局、管理和預(yù)算辦公室以及國家安全局合作，并通過研討會收集了意見，其中包括來自行業(yè)、學術(shù)界和政府的 1,000 名參與者。美國行政管理和預(yù)算局（OMB ）將強制各機構(gòu)遵守該指南。

　　美國國家標準與技術(shù)研究所在指南中指出： 最近的事件表明，需要更好地保護聯(lián)邦機構(gòu)在本地、云端和其他地方使用的 EO 關(guān)鍵軟件來實現(xiàn)其任務(wù)。即使可以使用推薦的安全開發(fā)實踐來開發(fā) EO 關(guān)鍵軟件，它仍然需要在操作環(huán)境中得到保護。越來越多的人認識到，所有組織都應(yīng)該假設(shè)漏洞將要發(fā)生或已經(jīng)發(fā)生，因此必須始終將訪問 EO 關(guān)鍵軟件的權(quán)限限制在僅需要的范圍內(nèi)。此外，必須持續(xù)監(jiān)控異常或惡意活動。預(yù)防漏洞仍然是“必須的”，但擁有強大的事件檢測、響應(yīng)和恢復(fù)能力也很重要。此類功能可以幫助識別違規(guī)行為，確定其影響范圍

　　《指南》目標：

　　保護 EO 關(guān)鍵軟件和EO 關(guān)鍵軟件平臺（運行 EO 關(guān)鍵軟件的平臺，例如端點、服務(wù)器和云資源）免遭未經(jīng)授權(quán)的訪問和使用。

　　保護 EO 關(guān)鍵軟件和 EO 關(guān)鍵軟件平臺使用的數(shù)據(jù)的機密性、完整性和可用性。

　　識別和維護 EO 關(guān)鍵軟件平臺以及部署到這些平臺的軟件，以保護 EO 關(guān)鍵軟件免遭利用。

　　快速檢測、響應(yīng)和恢復(fù)涉及 EO 關(guān)鍵軟件和 EO 關(guān)鍵軟件平臺的威脅和事件。

　　加強對促進 EO 關(guān)鍵軟件和 EO 關(guān)鍵軟件平臺安全性的人類行為的理解和績效。

　　NIST 已經(jīng)確定了對實現(xiàn)這些目標至關(guān)重要的安全措施。這些“用于 EO 關(guān)鍵軟件使用的安全措施”并不全面，也不打算消除聯(lián)邦機構(gòu)作為其現(xiàn)有要求和網(wǎng)絡(luò)安全計劃的一部分實施的其他安全措施的需要。機構(gòu)應(yīng)繼續(xù)努力保護運行 EO 關(guān)鍵軟件的系統(tǒng)和網(wǎng)絡(luò)并管理網(wǎng)絡(luò)供應(yīng)鏈風險，并實施零信任實踐，這取決于基本的安全措施。指定這些安全措施的目的是通過定義一組共同的安全目標來幫助機構(gòu)，以優(yōu)先考慮應(yīng)該采取的安全措施，以保護 EO 關(guān)鍵軟件的使用。

　　《指南》要求：

　　保護關(guān)鍵軟件及其平臺免受未經(jīng)授權(quán)的訪問和使用；

　　對所有用戶和管理員使用多重身份驗證，防止驗證者模仿；

　　唯一地識別和驗證試圖訪問軟件平臺的每個服務(wù)，并遵循基于網(wǎng)絡(luò)管理的特權(quán)訪問管理原則；

　　采用邊界保護技術(shù)，以盡量減少對軟件、其平臺和相關(guān)數(shù)據(jù)的直接訪問；

　　保護軟件使用的數(shù)據(jù)的機密性、完整性和可用性；

　　建立和維護數(shù)據(jù)清單；

　　對數(shù)據(jù)和資源使用細粒度的訪問控制，以執(zhí)行最小權(quán)限原則；

　　通過加密敏感數(shù)據(jù)（符合 NIST 的加密標準）和傳輸中的數(shù)據(jù)（在可行的情況下使用相互身份驗證和加密敏感數(shù)據(jù)通信）來保護靜態(tài)數(shù)據(jù)；

　　備份數(shù)據(jù)，進行備份恢復(fù)，做好恢復(fù)數(shù)據(jù)的準備；

　　建立和維護軟件清單并使用補丁管理實踐和配置管理實踐；

　　快速檢測、響應(yīng)威脅和事件并從中恢復(fù)；

　　配置日志記錄以記錄有關(guān)安全事件的必要信息；

　　持續(xù)監(jiān)控安全并采用端點和網(wǎng)絡(luò)安全保護；

　　培訓(xùn)所有安全運營人員和事件響應(yīng)團隊成員如何處理事件。

　　軟件測試標準

　　除了安全措施外，NIST 還發(fā)布了開發(fā)人員測試關(guān)鍵軟件的最低標準。

　　要求：軟件必須按照最佳實踐進行設(shè)計、構(gòu)建、交付和維護。

　　在軟件開發(fā)生命周期中盡早由開發(fā)人員進行頻繁和徹底的測試是一項關(guān)鍵實踐。