“關鍵軟件”定義
2021年5月12日,美國頒布的14028號行政命令《改善國家網絡安全》要求國家標準技術研究院(NIST)發布“關鍵軟件”一詞的定義。
(g) 在本命令頒布45天內,商務部長(通過NIST院長)須在與國防部長(通過NSA局長)、國土安全部部長(通過CISA局長)、OMB局長以及國家情報總監討論后發布“關鍵軟件”一詞的定義,并將其納入根據本條(e)款制定的指南中。該定義應說明運行所需的權限或訪問級別、與其他軟件的集成和依賴性、是否需要直接訪問網絡和計算資源、影響信任的關鍵功能的性能以及受到入侵時可能導致的潛在損害。
該行政命令要求網絡安全與基礎設施安全局(CISA)依據所發布的“關鍵軟件”定義,制定一份符合命令要求的相關軟件類別和產品清單。
(h) 在根據本條(g)款發布定義后30天內,國土安全部部長(通過CISA局長)須與商務部長(通過NIST院長)討論,確定符合依據本條(g)款發布的“關鍵軟件”定義的當前正在使用或采購流程涉及的軟件類別和產品清單,并提供給各機構。
為了讓定義符合實際使用情況,NIST向相關人群征集意見,舉辦虛擬研討會收集信息,與CISA、行政管理和預算局(OMB)、國家情報總監辦公室(ODNI)和國家安全局(NSA)協商確定定義,提出分階段實施的構想,并初步擬定了適用于初始階段的通用軟件類別清單。CISA和OMB將就如何根據行政命令應用該定義提供指導。NIST與CISA和OMB密切合作,確保定義和建議與相應計劃一致。
全文從背景信息和“關鍵”一詞的上下文入手,提出了分階段實施的構想;根據行政命令的要求定義了“關鍵軟件”一詞,初步擬定了符合該定義的軟件清單,并建議將清單納入初始實施階段。文章最后部分是常見問題(FAQ)解答。CISA將為初始和后續實施階段確定最終的軟件類別。
