聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士

美国当地时间2021年5月12日，美国总统拜登发布关于加强国家网络安全的第14028号行政令， 要求美国国家标准技术研究所(NIST) 基于自身给出的“行政令-关键软件”（以下简称 ”EO-关键软件“）定义，发布关于使用 “EO-关键软件”的安全措施指南。行政令还下令美国管理预算办公室 (OMB) 要求相关机构遵循该指南。

本文首先说明使用 ”EO-关键软件” 安全措施指南的目标和范围，其中包括 “EO-关键软件使用”意义在内。接着将定义 ”EO-关键软件使用“的根本安全措施。最后是相关问答。

指南的目标和范围

近期频发的安全事件说明有必要更好地保护联邦机构本地、在云上以及其它地方为完成目标而使用的”EO-关键软件“的安全。尽管 “EO-关键软件”可能是按照所推荐的安全开发实践开发的，但仍然需要在运营环境中加以保护。人们越来越多地意识到，所有组织机构都应假设安全泄露事件将要发生或者已经发生，因此在任何时候，访问 ”EO-关键软件“ 必须仅限于所需权限。此外，必须持续监控异常或恶意活动。虽然阻止安全泄露事件仍然是“必做之事”，但拥有健壮的事件检测、响应和恢复能力也至关重要。这些能力有助于识别安全泄露事件、判断其影响范围、找到根本原因并迅速恢复正常运营，从而将对机构目标的破坏性降到最低。

本安全措施指南的范围是联邦机构对 “EO-关键软件”的使用。“EO-关键软件”的开发和收购不在范围内。这些安全措施旨在保护在机构运营环境中所部署的 “EO-关键软件”软件的使用安全。

NIST 为这些安全措施定义的目标如下：

1、 防止 “EO-关键软件” 和 “EO-关键软件平台“（EO-关键软件运行的平台，如端点、服务器和云资源”遭越权访问和使用。

2、保护 ”EO-关键软件“ 和 ”EO-关键软件平台“的机密性、完整性和可用性。

3、 找到并维护所部署的 ”EO-关键软件平台“ 以及在该平台上部署的软件，保护 ”EO-关键软件“遭利用。

4、快速检测、响应并从牵涉”EO-关键软件“和”EO-关键软件平台“的威胁和事件中快速恢复。

5、 加强对保护”EO-关键软件“和”EO-关键软件平台“安全的人为措施的了解和性能。

NIST 已找到满足这些目标的安全措施。这些“EO-关键软件使用的安全措施”意不在全面性，也不在于消除联邦机构现有要求和网络安全计划中对其它安全措施的需求。联邦机构应当继续保护 “EO-关键软件“所运行、用于管理网络供应链风险并执行零信任实践的系统和网络安全，而它们取决于根本的安全措施。列出这些安全措施的目的是通过定义一系列共同的安全目标来协助这些机构，优先考虑应被部署于保护 ”EO-关键软件使用“ 的安全措施。

“EO-关键软件使用”的安全措施

原文档中以表格形式提供了 “EO-关键软件使用”的安全措施。这些措施以安全目标归类。表格中分两栏，“安全措施 (SM)”和”联邦政府参考资料”。本文将只编译”安全措施 (SM)”，有兴趣的读者可参照文末链接，自行查看参考资料。

“安全措施 (SM)” 是一个高级别安全输出声明，适用于所有被指定为”EO-关键软件“的所有软件，或者适用于运行”EO-关键软件“的所有平台、用户、管理员、数据或网络。

目标1：防止 “EO-关键软件” 和 “EO-关键软件平台“（EO-关键软件运行的平台，如端点、服务器和云资源”遭越权访问和使用。

• 安全措施1.1：使用多因素认证机制，作为 ”EO-关键软件” 和 “EO-关键软件平台”用户和管理员的“验证者防假冒”（“验证者防假冒”的解释见文末问答部分）。

• 安全措施1.2：唯一识别并认证试图访问”EO-关键软件” 或 “EO-关键软件平台”的每种服务。

• 安全措施1.3：遵循对  ”EO-关键软件” 和 “EO-关键软件平台” 网络管理的特权访问管理原则。可能的实现案例包括使用专用的管理安全加固平台并在每次使用前进行验证，要求唯一识别每个管理员，并将所有管理员会话代理且记录到 ”EO-关键软件平台“。

• 安全措施1.4：应用适当的边界防护技术，将对”EO-关键软件“、”EO-关键软件平台“和相关数据的直接访问权限最小化。这类技术包括网络分段、隔离、软件定义边界和代理。

目标2：保护 ”EO-关键软件“ 和 ”EO-关键软件平台“的机密性、完整性和可用性。

• 安全措施2.1：建立并维护”EO-关键软件“ 和 ”EO-关键软件平台“的大数据清单。

• 安全措施2.2：为”EO-关键软件“ 和 ”EO-关键软件平台“使用的数据和资源使用细颗粒度访问控制，在最大限度内执行最小权限原则。

• 安全措施2.3：按照 NIST 的加密标准，对”EO-关键软件“ 和 ”EO-关键软件平台“使用的敏感数据进行加密，保护静态数据的安全。

• 安全措施2.4：安卓 NIST 的加密标准，尽可能地使用相互认证机制以及对”EO-关键软件“ 和 ”EO-关键软件平台“使用的的敏感数据通信进行加密，保护传输过程中数据的安全。

• 安全措施2.5：备份数据、演练备份恢复，准备随时从备份中恢复用于”EO-关键软件“ 和 ”EO-关键软件平台“中的数据。

目标3：找到并维护所部署的 ”EO-关键软件平台“ 以及在该平台上部署的软件，保护 ”EO-关键软件“遭利用。

• 安全措施3.1：为运行”EO-关键软件“的所有平台以及部署到每个平台的所有软件（EO-关键和非EO-关键软件）建立并维护软件清单。

• 安全措施3.2：使用补丁管理实践维护”EO-关键软件平台“和所有部署到这些平台的所有软件。这些实践包括：

• 快速识别、记录并缓解已知漏洞（如打补丁、更新、升级软件），持续减少暴露时间。

• 监控平台和软件，确保缓解措施不在更改控制进程外删除。

• 安全措施3.3：使用配置管理实践维护”EO-关键软件平台“和所有部署到这些平台的软件。相关实践包括：

• 识别每个”EO-关键软件平台“和部署到该平台的所有软件的已加固的安全配置（加固的安全配置执行最小权限、职责分离和最小功能原则）。

• 为平台和软件执行配置。

• 控制和监控平台和软件，确保配置不在变更控制进程之外变更。

目标4：快速检测、响应并从牵涉”EO-关键软件“和”EO-关键软件平台“的威胁和事件中快速恢复。

• 安全措施 4.1：配置日志，记录关于牵涉 “EO-关键软件平台”和所有在平台上运行的软件的安全事件的必要信息。

• 安全措施4.2：持续监控牵涉 “EO-关键软件平台”和所有在平台上运行的软件的安全。

• 安全措施4.3：在 “EO-关键软件平台”上部署端点安全防护措施，保护平台及在平台上运行的所有软件的安全。这些能力包括：

• 通过识别、审计和最小化攻击面和已知威胁的暴露面，保护软件、数据和平台的安全。

• 允许只有经过验证的软件进行执行（例如文件完整性验证、已签名可执行文件、允许清单）

• 主动检测威胁并在必要时进行阻止

• 响应并从安全事件中恢复

• 提供关于安全运营、威胁捕获、事件响应和其它安全需求的必要信息

• 安全措施4.4：应用网络安全防护措施监控流入/出 ”EO-关键软件平台“的网络流量，保护平台及软件的安全。这些能力包括：

• 主动检测所有栈层如应用层的威胁，并尽可能地进行阻止

• 提供必要的安全运行、威胁捕获、事件响应和其它安全需求信息。

• 安全措施4.5：基于角色和职责，培训所有的安全运营人力和相应团队成员关于如何处理涉及”EO-关键软件“或”EO-关键软件平台“事件的内容。

目标5：加强对保护”EO-关键软件“和”EO-关键软件平台“安全的人为措施的了解和性能。

• 安全措施5.1：基于角色和职责，培训所有用户关于如何处理安全地使用软件以及”EO-关键软件平台“的内容。

• 安全措施5.2：基于角色和职责，培训所有”ÉO-关键软件“和”EO-关键软件平台“的管理员关于如何安全地管理软件和/或平台的内容。

• 安全措施5.3：经常开展安全意识活动，加强对”EO-关键软件和平台所有用户和管理员的培训，并评估培训的有效性以达到持续改进的目标。

相关问答

如下是节选的一些相关问答，完整版可见文末链接。

1、所有的安全措施是否适用于所有的EO-关键软件？

由于软件开发性质或其它因素的原因，某种安全措施可能和特定的情境不相关。如果无法执行某种安全措施，则可找出并执行其它安全措施以缓解安全风险并达到所缺失安全措施旨在解决的结果。各机构仍然需要在所有网络安全计划中应用风险管理活动。

2、找到更多的EO-关键软件类型后会更新该指南吗？

可能会。然而，EO-关键软件的所有安全措施有望应用于所有部署中的所有 EO-关键软件类型中。

3、 如何执行使用基于云的EO-关键软件的安全措施？

CISA、GSA（美国总务署）的 FedRAMP 计划以及 OMB 目前正在开发联邦云安全战略和基于云的技术参照架构文档，以支持行政令中的第3节内容。云服务提供商可将使用EO-关键软件的相关安全措施应用于云环境中。

4、本指南和零信任架构的关系是什么？

行政令的第3节要求每个联邦机构规划执行零信任架构。本指南中定义的所有EO-关键软件安全措施也是零信任架构的组件，尽管并不完整。各机构形成迁移至零信任架构的计划可将EO-关键软件使用的安全措施集成到规划中。

5、 目标3指出“保护数据的机密性、完整性和可用性”，那如果碰到并不需要保护所有这三种的情况应该如何处理，比如保护公开可用信息的机密性？

各机构应当继续采取基于风险的数据保护方法，因此应该仅应用可降低风险的防护类型。例如，保护公开可用信息的机密性一般将无法降低风险，因此并非必要措施。

6、安全措施1.1中提到“验证者防假冒”一词是什么意思？

“验证者防假冒“认证协议和凭据确保当用户或管理员尝试通过网络连接到EO-关键软件或EO-关键软件平台时，双方（个人和平台）都是合法的。“验证者防假冒“有助于防止自己的凭据遭钓鱼攻击而被盗，也帮助阻止攻击者使用被盗认证信息假冒用户或管理员。实现“验证者防假冒“的方法有多种，其中一种就是经客户端认证的传输层安全 (TLS)。

完整文档下载地址：https://www.nist.gov/system/files/documents/2021/07/09/Critical%20Software%20Use%20Security%20Measures%20Guidance.pdf

推荐阅读

NIST 按行政令关于加强软件供应链安全的要求，给出“关键软件”的定义及所含11类软件

美国 CISA 和 NIST 联合发布软件供应链攻击相关风险及缓解措施

NIST 发布首份物联网风险指南报告

原文链接

https://www.nist.gov/itl/executive-order-improving-nations-cybersecurity/security-measures-eo-critical-software-use-2

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~