2021年6月25日,美国发布了《行政命令14028下的“关键软件”定义》,并于7月9日发布了《根据行政命令(EO)14028“EO关键软件”应用的安全措施》。《根据行政命令(EO)14028“EO关键软件”应用的安全措施》指南适用于美国联邦机构对“EO关键软件”的使用场景,“EO关键软件”的开发和采购不在范围内,这些安全措施旨在保护各机构运行环境中已部署的“EO关键软件”的使用过程。
NIST《根据行政命令(EO)14028“EO关键软件”应用的安全措施》及翻译
NIST为安全措施定义了以下目标:
1.保护“EO关键软件”和“EO关键软件平台”(运行“EO关键软件”的平台,如终端、服务器、云资源等)免受未经授权的访问和使用;
2.保护“EO关键软件”和“EO关键软件平台”使用的数据的机密性、完整性和可用性;
3.识别和维护“EO关键软件平台”和部署在这些平台上的软件,以保护“EO关键软件”免被利用;
4.快速检测、响应和恢复涉及“EO关键软件”和“EO关键软件平台”的威胁和事件;
5.加强对人员行为的理解和绩效,促进“EO关键软件”和“EO关键软件平台”的安全性。
从这些目标可以看出,“EO关键软件”需要从基础环境保护、数据安全保护、脆弱性保护、威胁监测及响应、人员管控及教育等多方面综合入手。具体措施清单如下:
目标1:保护“EO关键软件”和“EO关键软件平台”免受未经授权的访问和使用。
SM 1.1:对“EO关键软件”和“EO关键软件平台”的所有用户和管理员采用多因素身份验证,该身份验证应能抗伪造。(参见翻译全文FAQ#7)
SM 1.2:唯一标识并鉴别试图访问“EO关键软件”或“EO关键软件平台”的每个服务。
SM 1.3:对基于 络的“EO关键软件”或“EO关键软件平台”管理,应遵循特权访问管理原则。
SM 1.4:采用适当的边界保护技术,尽量减少对“EO关键软件”、“EO关键软件平台”和相关数据的直接访问。
目标2:保护“EO关键软件”和“EO关键软件平台”使用的数据的机密性、完整性和可用性。
SM 2.1:建立和维护“EO关键软件”和“EO关键软件平台”的数据清单。
SM2.2:对“EO关键软件”和“EO关键软件平台”所使用的数据和资源进行细粒度访问控制,尽可能执行最小特权原则。
SM 2.3:保护静态数据,对“EO关键软件”和“EO关键软件平台”使用的敏感数据,采用符合NIST标准的加密。
SM 2.4:保护传输中的数据,对“EO关键软件”和“EO关键软件平台”的敏感数据通信,在可行的情况下采用双向鉴别,以及符合NIST标准的加密。
SM 2.5:备份数据,执行恢复演练,随时准备从备份中恢复“EO关键软件”和“EO关键软件平台”使用的数据。
目标3:识别和维护“EO关键软件平台”和部署在这些平台上的软件,以保护“EO关键软件”免被利用。
SM 3.1:建立和维护软件清单,包括所有运行的“EO关键软件平台”和部署到这些平台的所有软件(EO关键和非EO关键)。
SM 3.2:采取补丁管理实践维护“EO关键软件平台”和部署到这些平台的所有软件。
SM 3.3:采取配置管理实践来维护“EO关键软件平台”和部署到这些平台的所有软件。
目标4:快速检测、响应和恢复涉及“EO关键软件”和“EO关键软件平台”的威胁和事件。
SM 4.1:配置日志记录,记录涉及“EO关键软件平台”和在这些平台上运行的所有软件的安全事件的必要信息。
SM 4.2:持续监控“EO关键软件平台”和所有在这些平台上运行的软件的安全性。
SM 4.3:在“EO关键软件平台”上采用终端安全保护,保护平台及其上运行的所有软件。
SM 4.4:采用 络安全保护,监控进出“EO关键软件平台”的 络流量,保护使用 络的平台及其软件。
SM 4.5:针对所有安全运营人员和事件响应团队成员,根据其角色和职责,培训如何处理涉及“EO关键软件”和“EO关键软件平台”的事件。
目标5:加强对人员行为的理解和绩效,促进“EO关键软件”和“EO关键软件平台”的安全性。
SM 5.1:针对“EO关键软件”的所有用户,根据其角色和职责,培训如何安全地使用软件和“EO关键软件平台”。
SM 5.2:针对所有“EO关键软件”和“EO关键软件平台”的管理员,根据其角色和职责,培训如何安全地管理软件和/或平台。
SM 5.3:经常开展宣传活动,加强对“EO关键软件和平台”的所有用户和管理员的培训,并衡量培训的有效性,以便持续改进。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!