美國于2021年5月12日發布了《關于改善國家網絡安全》的第14028號行政命令（EO），明確要求美國聯邦政府加強軟件供應鏈安全管控。為響應號召，國家標準與技術研究所（NIST）于2021年6月25日發布了《Definition of Critical Software UnderExecutive Order(EO)14028（行政命令14028下的“關鍵軟件”定義）》，并于2021年7月9日發布了《SecurityMeasures for “EO-Critical Software” Use Under Executive Order(EO)14028（“EO關鍵軟件”使用的安全措施）》，這表明美國正逐步推進EO行政命令的執行。按照下圖《EO第4節任務及時間線》，美國正逐步發布“關鍵軟件”的相關要求及指南，并推進其最終落實，預計將于2022年5月基本完成。

美國《關于改善國家網絡安全》的第14028號行政命令（EO）第4節任務及時間線

近年來，隨著國際競爭的加劇，軟件供應鏈安全事件呈現明顯上升趨勢。我國的軟件產業相對于美國還比較落后，在很多軟件開發項目中，大量使用了開源、“免費”的庫包模塊以及代碼倉庫、開發工具、測試軟件、集成軟件、打包軟件和部署軟件等。有數據表明，這樣開發的軟件存在大量的已知或未知漏洞，甚至包含后門、木馬程序，這給我國的網絡空間安全埋下了嚴重隱患，尤其在關鍵信息基礎設施、重要數據處理系統中，此問題尤為突出。美國《關于改善國家網絡安全》第4節規定了“關鍵軟件”的相關要求，為我國解決軟件供應量安全問題提供了參考思路。

本文重點介紹《Definition of Critical Software Under Executive Order(EO)14028（行政命令14028下的“關鍵軟件”定義）》，并提供全文翻譯，為國內網絡安全從業人員及關注者提供參考。

NIST《行政命令14028下的“關鍵軟件”定義》及翻譯

“EO關鍵軟件”被定義為任何具有或直接依賴一個或多個組件的軟件，這些組件至少有以下屬性之一：

l被設計運行于高權限或管理權限；

l能直接或授權訪問網絡或計算資源；

l被設計用于控制數據訪問或操作技術（OT）；

l執行“信任的關鍵”功能；

l使用訪問權限，在正常信任邊界之外執行操作。

在當前的版本中，給出了“EO關鍵軟件”的初步列表，包含了以下11類軟件：

l身份、憑證和訪問管理（ICAM）

l操作系統、虛擬化程序、容器環境

lWeb瀏覽器

l終端安全

l網絡控制

l網絡保護

l網絡監控和配置

l運行監控和分析

l遠程掃描

l遠程訪問和配置管理

l備份/恢復和遠程存儲

“EO關鍵軟件”定義是基于軟件的功能，而不是它的用途，與軟件的部署環境、場景無關，這有利于軟件供應商判斷他們的產品是否是“EO關鍵”的，這也將使市場更加清晰。在“EO關鍵軟件”的管理范疇上，主要考慮的是軟件在運行中的作用，僅關注實際使用中的軟件，而排除了開發、測試、研究、歸檔等情況。并且在實施初期,將重點放在具有安全關鍵功能或有類似重大潛在危害的獨立本地軟件上，而控制數據訪問的軟件、基于云的軟件、軟件開發工具、嵌入式軟件或OT中的軟件等將在后續計劃中逐步覆蓋。

我國多年來持續推進各類軟硬件系統的自主可控發展，并受到各行各業的廣泛支持，完成了大量的國產化改造。但由于我國軟件產業發展程度的制約，軟件開發中普遍存在的問題在國產化軟件中仍舊存在。從美國“關鍵軟件”的思維來看，我國應在國產化普及的同時，重點對起到關鍵作用的軟硬件產品進行更為嚴格的安全能力要求，并在現有的審查機制中加強關鍵軟件安全能力的評價。

天融信將持續關注軟件供應鏈安全的前沿進展，后續將為您帶來更多精彩內容。

掃描二維碼，閱讀完整版譯文

翻譯為公益性質，僅供信息安全產業相關研究人員、管理人員參考，如有錯漏敬請指正。