美国于2021年5月12日发布了《关于改善国家网络安全》的第14028号行政命令(EO),明确要求美国联邦政府加强软件供应链安全管控。本文中将重点介绍《Definition of Critical Software Under Executive Order(EO)14028(行政命令14028下的“关键软件”定义)》,为国内网络安全从业人员及关注者提供参考。
作为零信任方法的一部分,以数据为中心的安全管理旨在加强对信息(数据)的保护,无论数据位于何处或与谁共享。以数据为中心的安全管理必须依赖于组织了解他们拥有什么数据,其特征是什么,以及它需要满足什么样的安全和隐私保护要求,从而实现必要的保护。为了使以数据为中心的安全管理可以规模化实施,需要有标准化机制来传递数据特征和保护要求。
本文件首先介绍了指南的目的和范围,包括“EO关键软件应用”的含义。其次,定义了“EO关键软件”应用的基本安全措施。它以常见问题(FAQ)结尾,提供了关于指南及其与EO其他任务、其他联邦网络安全计划之间关系的更多信息。FAQ中的最后一项是安全措施的总结。
2021 年 5 月 12 日关于改善国家网络安全的第 14028 号行政命令(EO),要求美国国家标准与技 术研究院(NIST)在 60 天内提出软件测试的最低标准。本文档描述了软件验证技术的 11 项建 议,并提供了有关技术的补充信息和进一步信息的参考文献。