美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)發(fā)布指南,指南規(guī)范美國政府“關(guān)鍵軟件”的安全措施以及測試其源代碼的最低標(biāo)準(zhǔn)。指南全名:《根據(jù)行政命令 (EO) 14028 使用“EO 關(guān)鍵軟件”的安全措施 - 指導(dǎo)目的和范圍》。
“關(guān)鍵軟件”安全指南發(fā)布背景
2021 年 5 月 12 日拜登發(fā)布關(guān)于改善國家網(wǎng)絡(luò)安全的第14028 號行政命令(EXECUTIVE ORDER 14028)。其中要求NIST制定相關(guān)指南。
在制定新指南時,NIST 與網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局、管理和預(yù)算辦公室以及國家安全局合作,并通過研討會收集了意見,其中包括來自行業(yè)、學(xué)術(shù)界和政府的 1,000 名參與者。美國行政管理和預(yù)算局(OMB )將強制各機構(gòu)遵守該指南。
美國國家標(biāo)準(zhǔn)與技術(shù)研究所在指南中指出: 最近的事件表明,需要更好地保護(hù)聯(lián)邦機構(gòu)在本地、云端和其他地方使用的 EO 關(guān)鍵軟件來實現(xiàn)其任務(wù)。即使可以使用推薦的安全開發(fā)實踐來開發(fā) EO 關(guān)鍵軟件,它仍然需要在操作環(huán)境中得到保護(hù)。越來越多的人認(rèn)識到,所有組織都應(yīng)該假設(shè)漏洞將要發(fā)生或已經(jīng)發(fā)生,因此必須始終將訪問 EO 關(guān)鍵軟件的權(quán)限限制在僅需要的范圍內(nèi)。此外,必須持續(xù)監(jiān)控異?;驉阂饣顒?。預(yù)防漏洞仍然是“必須的”,但擁有強大的事件檢測、響應(yīng)和恢復(fù)能力也很重要。此類功能可以幫助識別違規(guī)行為,確定其影響范圍
《指南》目標(biāo):
保護(hù) EO 關(guān)鍵軟件和EO 關(guān)鍵軟件平臺(運行 EO 關(guān)鍵軟件的平臺,例如端點、服務(wù)器和云資源)免遭未經(jīng)授權(quán)的訪問和使用。
保護(hù) EO 關(guān)鍵軟件和 EO 關(guān)鍵軟件平臺使用的數(shù)據(jù)的機密性、完整性和可用性。
識別和維護(hù) EO 關(guān)鍵軟件平臺以及部署到這些平臺的軟件,以保護(hù) EO 關(guān)鍵軟件免遭利用。
快速檢測、響應(yīng)和恢復(fù)涉及 EO 關(guān)鍵軟件和 EO 關(guān)鍵軟件平臺的威脅和事件。
加強對促進(jìn) EO 關(guān)鍵軟件和 EO 關(guān)鍵軟件平臺安全性的人類行為的理解和績效。
NIST 已經(jīng)確定了對實現(xiàn)這些目標(biāo)至關(guān)重要的安全措施。這些“用于 EO 關(guān)鍵軟件使用的安全措施”并不全面,也不打算消除聯(lián)邦機構(gòu)作為其現(xiàn)有要求和網(wǎng)絡(luò)安全計劃的一部分實施的其他安全措施的需要。機構(gòu)應(yīng)繼續(xù)努力保護(hù)運行 EO 關(guān)鍵軟件的系統(tǒng)和網(wǎng)絡(luò)并管理網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險,并實施零信任實踐,這取決于基本的安全措施。指定這些安全措施的目的是通過定義一組共同的安全目標(biāo)來幫助機構(gòu),以優(yōu)先考慮應(yīng)該采取的安全措施,以保護(hù) EO 關(guān)鍵軟件的使用。
《指南》要求:
保護(hù)關(guān)鍵軟件及其平臺免受未經(jīng)授權(quán)的訪問和使用;
對所有用戶和管理員使用多重身份驗證,防止驗證者模仿;
唯一地識別和驗證試圖訪問軟件平臺的每個服務(wù),并遵循基于網(wǎng)絡(luò)管理的特權(quán)訪問管理原則;
采用邊界保護(hù)技術(shù),以盡量減少對軟件、其平臺和相關(guān)數(shù)據(jù)的直接訪問;
保護(hù)軟件使用的數(shù)據(jù)的機密性、完整性和可用性;
建立和維護(hù)數(shù)據(jù)清單;
對數(shù)據(jù)和資源使用細(xì)粒度的訪問控制,以執(zhí)行最小權(quán)限原則;
通過加密敏感數(shù)據(jù)(符合 NIST 的加密標(biāo)準(zhǔn))和傳輸中的數(shù)據(jù)(在可行的情況下使用相互身份驗證和加密敏感數(shù)據(jù)通信)來保護(hù)靜態(tài)數(shù)據(jù);
備份數(shù)據(jù),進(jìn)行備份恢復(fù),做好恢復(fù)數(shù)據(jù)的準(zhǔn)備;
建立和維護(hù)軟件清單并使用補丁管理實踐和配置管理實踐;
快速檢測、響應(yīng)威脅和事件并從中恢復(fù);
配置日志記錄以記錄有關(guān)安全事件的必要信息;
持續(xù)監(jiān)控安全并采用端點和網(wǎng)絡(luò)安全保護(hù);
培訓(xùn)所有安全運營人員和事件響應(yīng)團(tuán)隊成員如何處理事件。
軟件測試標(biāo)準(zhǔn)
除了安全措施外,NIST 還發(fā)布了開發(fā)人員測試關(guān)鍵軟件的最低標(biāo)準(zhǔn)。
要求:軟件必須按照最佳實踐進(jìn)行設(shè)計、構(gòu)建、交付和維護(hù)。
在軟件開發(fā)生命周期中盡早由開發(fā)人員進(jìn)行頻繁和徹底的測試是一項關(guān)鍵實踐。