“关键软件”定义
2021年5月12日,美国颁布的14028号行政命令《改善国家网络安全》要求国家标准技术研究院(NIST)发布“关键软件”一词的定义。
(g) 在本命令颁布45天内,商务部长(通过NIST院长)须在与国防部长(通过NSA局长)、国土安全部部长(通过CISA局长)、OMB局长以及国家情报总监讨论后发布“关键软件”一词的定义,并将其纳入根据本条(e)款制定的指南中。该定义应说明运行所需的权限或访问级别、与其他软件的集成和依赖性、是否需要直接访问网络和计算资源、影响信任的关键功能的性能以及受到入侵时可能导致的潜在损害。
该行政命令要求网络安全与基础设施安全局(CISA)依据所发布的“关键软件”定义,制定一份符合命令要求的相关软件类别和产品清单。
(h) 在根据本条(g)款发布定义后30天内,国土安全部部长(通过CISA局长)须与商务部长(通过NIST院长)讨论,确定符合依据本条(g)款发布的“关键软件”定义的当前正在使用或采购流程涉及的软件类别和产品清单,并提供给各机构。
为了让定义符合实际使用情况,NIST向相关人群征集意见,举办虚拟研讨会收集信息,与CISA、行政管理和预算局(OMB)、国家情报总监办公室(ODNI)和国家安全局(NSA)协商确定定义,提出分阶段实施的构想,并初步拟定了适用于初始阶段的通用软件类别清单。CISA和OMB将就如何根据行政命令应用该定义提供指导。NIST与CISA和OMB密切合作,确保定义和建议与相应计划一致。
全文从背景信息和“关键”一词的上下文入手,提出了分阶段实施的构想;根据行政命令的要求定义了“关键软件”一词,初步拟定了符合该定义的软件清单,并建议将清单纳入初始实施阶段。文章最后部分是常见问题(FAQ)解答。CISA将为初始和后续实施阶段确定最终的软件类别。
