2021年6月25日,美国发布了《行政命令14028下的“关键软件”定义》,并于7月9日发布了《根据行政命令(eo)14028“eo关键软件”应用的安全措施》。《根据行政命令(eo)14028“eo关键软件”应用的安全措施》指南适用于美国联邦机构对“eo关键软件”的使用场景,“eo关键软件”的开发和采购不在范围内,这些安全措施旨在保护各机构运行环境中已部署的“eo关键软件”的使用过程。
nist《根据行政命令(eo)14028“eo关键软件”应用的安全措施》及翻译
nist为安全措施定义了以下目标:
1.保护“eo关键软件”和“eo关键软件平台”(运行“eo关键软件”的平台,如终端、服务器、云资源等)免受未经授权的访问和使用;
2.保护“eo关键软件”和“eo关键软件平台”使用的数据的机密性、完整性和可用性;
3.识别和维护“eo关键软件平台”和部署在这些平台上的软件,以保护“eo关键软件”免被利用;
4.快速检测、响应和恢复涉及“eo关键软件”和“eo关键软件平台”的威胁和事件;
5.加强对人员行为的理解和绩效,促进“eo关键软件”和“eo关键软件平台”的安全性。
从这些目标可以看出,“eo关键软件”需要从基础环境保护、数据安全保护、脆弱性保护、威胁监测及响应、人员管控及教育等多方面综合入手。具体措施清单如下:
目标1:保护“eo关键软件”和“eo关键软件平台”免受未经授权的访问和使用
l sm 1.1:对“eo关键软件”和“eo关键软件平台”的所有用户和管理员采用多因素身份验证,该身份验证应能抗伪造。(参见翻译全文faq#7)
l sm 1.2:唯一标识并鉴别试图访问“eo关键软件”或“eo关键软件平台”的每个服务。
l sm 1.3:对基于网络的“eo关键软件”或“eo关键软件平台”管理,应遵循特权访问管理原则。
l sm 1.4:采用适当的边界保护技术,尽量减少对“eo关键软件”、“eo关键软件平台”和相关数据的直接访问。
目标2:保护“eo关键软件”和“eo关键软件平台”使用的数据的机密性、完整性和可用性
l sm 2.1:建立和维护“eo关键软件”和“eo关键软件平台”的数据清单。
l sm2.2:对“eo关键软件”和“eo关键软件平台”所使用的数据和资源进行细粒度访问控制,尽可能执行最小特权原则。
l sm 2.3:保护静态数据,对“eo关键软件”和“eo关键软件平台”使用的敏感数据,采用符合nist标准的加密。
l sm 2.4:保护传输中的数据,对“eo关键软件”和“eo关键软件平台”的敏感数据通信,在可行的情况下采用双向鉴别,以及符合nist标准的加密。
l sm 2.5:备份数据,执行恢复演练,随时准备从备份中恢复“eo关键软件”和“eo关键软件平台”使用的数据。
目标3:识别和维护“eo关键软件平台”和部署在这些平台上的软件,以保护“eo关键软件”免被利用
l sm 3.1:建立和维护软件清单,包括所有运行的“eo关键软件平台”和部署到这些平台的所有软件(eo关键和非eo关键)。
l sm 3.2:采取补丁管理实践维护“eo关键软件平台”和部署到这些平台的所有软件。
l sm 3.3:采取配置管理实践来维护“eo关键软件平台”和部署到这些平台的所有软件。
目标4:快速检测、响应和恢复涉及“eo关键软件”和“eo关键软件平台”的威胁和事件
l sm 4.1:配置日志记录,记录涉及“eo关键软件平台”和在这些平台上运行的所有软件的安全事件的必要信息。
l sm 4.2:持续监控“eo关键软件平台”和所有在这些平台上运行的软件的安全性。
l sm 4.3:在“eo关键软件平台”上采用终端安全保护,保护平台及其上运行的所有软件。
l sm 4.4:采用网络安全保护,监控进出“eo关键软件平台”的网络流量,保护使用网络的平台及其软件。
l sm 4.5:针对所有安全运营人员和事件响应团队成员,根据其角色和职责,培训如何处理涉及“eo关键软件”和“eo关键软件平台”的事件。
目标5:加强对人员行为的理解和绩效,促进“eo关键软件”和“eo关键软件平台”的安全性
l sm 5.1:针对“eo关键软件”的所有用户,根据其角色和职责,培训如何安全地使用软件和“eo关键软件平台”。
l sm 5.2:针对所有“eo关键软件”和“eo关键软件平台”的管理员,根据其角色和职责,培训如何安全地管理软件和/或平台。
l sm 5.3:经常开展宣传活动,加强对“eo关键软件和平台”的所有用户和管理员的培训,并衡量培训的有效性,以便持续改进。
详细内容请参见翻译文档。天融信将持续关注软件供应链安全及其应用过程的前沿进展,后续将为您带来更多精彩内容。
扫描二维码,阅读完整版译文
翻译为公益性质,仅供信息安全产业相关研究人员、管理人员参考,如有错漏敬请指正。
- 关键词标签:
- 融信译站 网络安全 eo关键软件