“关键软件”定义

2021年5月12日，美国颁布的14028 行政命令《改善国家 络安全》要求国家标准技术研究院（NIST）发布“关键软件”一词的定义。

(g) 在本命令颁布45天内，商务部长（通过NIST院长）须在与国防部长（通过NSA局长）、国土安全部部长（通过CISA局长）、OMB局长以及国家情 总监讨论后发布“关键软件”一词的定义，并将其纳入根据本条（e）款制定的指南中。该定义应说明运行所需的权限或访问级别、与其他软件的集成和依赖性、是否需要直接访问 络和计算资源、影响信任的关键功能的性能以及受到入侵时可能导致的潜在损害。

该行政命令要求 络安全与基础设施安全局（CISA）依据所发布的“关键软件”定义，制定一份符合命令要求的相关软件类别和产品清单。

(h) 在根据本条（g）款发布定义后30天内，国土安全部部长（通过CISA局长）须与商务部长（通过NIST院长）讨论，确定符合依据本条（g）款发布的“关键软件”定义的当前正在使用或采购流程涉及的软件类别和产品清单，并提供给各机构。

为了让定义符合实际使用情况，NIST向相关人群征集意见，举办虚拟研讨会收集信息，与CISA、行政管理和预算局（OMB）、国家情 总监办公室（ODNI）和国家安全局（NSA）协商确定定义，提出分阶段实施的构想，并初步拟定了适用于初始阶段的通用软件类别清单。CISA和OMB将就如何根据行政命令应用该定义提供指导。NIST与CISA和OMB密切合作，确保定义和建议与相应计划一致。

全文从背景信息和“关键”一词的上下文入手，提出了分阶段实施的构想；根据行政命令的要求定义了“关键软件”一词，初步拟定了符合该定义的软件清单，并建议将清单纳入初始实施阶段。文章最后部分是常见问题（FAQ）解答。CISA将为初始和后续实施阶段确定最终的软件类别。

译者声明

由绿盟科技博客与“安全加” 区小蜜蜂公益翻译组合作完成，免责声明及相关责任由“安全加” 区承担。

文章信息 ·

原文链接：https://nox.qianxin.com/api/d/70gk5

小蜜蜂翻译组公益译文项目，旨在分享国外先进 络安全理念、规划、框架、技术标准与实践，将 络安全战略性文档翻译为中文，为 络安全从业人员提供参考，促进国内安全组织在相关方面的思考和交流。