【聯(lián)邦電子周刊網(wǎng)站2022年5月6日報道】為落實美國總統(tǒng)拜登關(guān)于網(wǎng)絡(luò)安全的行政命令，美國國家標準與技術(shù)研究所（NIST）發(fā)布了新的修訂指南，向各機構(gòu)指出由美國總務(wù)管理局聯(lián)邦風險與授權(quán)管理項目（FedRAMP）辦公室管理的現(xiàn)有措施。

從奧巴馬總統(tǒng)開始，所有的美國總統(tǒng)政府都致力于推動聯(lián)邦機構(gòu)更多地使用云服務(wù)提供商以降低成本，而聯(lián)邦風險與授權(quán)管理項目一直是他們檢查在此過程中是否犧牲了安全性的方法。該項目涉及到對云供應(yīng)商的安全實踐的第三方認證，這是所有想要采辦云服務(wù)的機構(gòu)的必要步驟。然而，據(jù)美國政府問責局稱，該項目并沒有得到管理和預(yù)算辦公室的充分執(zhí)行或是監(jiān)督遵守。

美國國家標準與技術(shù)研究所的修訂指南寫道：“本指南中討論的外部系統(tǒng)服務(wù)提供商包括云服務(wù)提供商。本指南并不能取代有關(guān)聯(lián)邦機構(gòu)對云服務(wù)提供商的安全性評估的指導。當將本指南應(yīng)用于云服務(wù)提供商時，聯(lián)邦機構(gòu)應(yīng)首先使用聯(lián)邦風險和授權(quán)項目云服務(wù)安全指南，然后在其未涉及的流程和控制中應(yīng)用本指南?！?/span>

聯(lián)邦風險與授權(quán)管理項目試圖解決自身存在的問題，但第三方認證與供應(yīng)商自我證明的問題似乎正在不斷增多，因此美國政府可能很快就會為各機構(gòu)發(fā)布關(guān)于軟件供應(yīng)鏈安全的后續(xù)指示。

此次發(fā)布的指南所針對的是在其環(huán)境中購買和采用軟件以及其他供應(yīng)鏈要素的機構(gòu)。

美國國家標準與技術(shù)研究所在一份新聞稿中寫道：“修訂后的指南的主要受眾是產(chǎn)品、軟件和服務(wù)的購買者和最終用戶。該指南幫助各機構(gòu)將網(wǎng)絡(luò)安全供應(yīng)鏈風險考慮因素和要求納入其采辦流程，并強調(diào)監(jiān)測風險的重要性。由于網(wǎng)絡(luò)安全風險可能出現(xiàn)在產(chǎn)品生命周期的任何一個節(jié)點或是供應(yīng)鏈的任何一個環(huán)節(jié)，因此該指南現(xiàn)在考慮了潛在的漏洞，例如產(chǎn)品內(nèi)的代碼來源，或使用該產(chǎn)品的零售商?！?/span>

在文件發(fā)布的最近一次活動中，美國國家標準與技術(shù)研究所的Angela Smith表示，在美國國家標準與技術(shù)研究所的待辦事項清單上，該文件開始關(guān)注那些基礎(chǔ)元素本身，并且更多地關(guān)注此類指導——即重點不在于采辦企業(yè)應(yīng)該做什么，而在于服務(wù)企業(yè)的供應(yīng)鏈供應(yīng)商應(yīng)該做什么。

因為此前的SolarWinds供應(yīng)鏈攻擊事件，拜登政府增加了對于網(wǎng)絡(luò)安全的關(guān)注。在此背景下，美國國家標準與技術(shù)研究所也增加了對于采辦過程的關(guān)注。

SolarWinds攻擊者利用微軟的活動目錄聯(lián)合服務(wù)在被攻擊計算機的網(wǎng)絡(luò)中橫向移動。雖然該事件在白宮和國會掀起了一場政策制定的風暴，但是有關(guān)SolarWinds開發(fā)和交付環(huán)境安全薄弱的報道(例如使用密碼“SolarWinds123”)使得人們更加關(guān)注政府軟件供應(yīng)商的責任。SolarWinds承認使用該密碼是個錯誤，但表示這與此次網(wǎng)絡(luò)攻擊無關(guān)。

14028號行政命令指示各機構(gòu)要求潛在的供應(yīng)商提供一份軟件材料清單，這可以被認為是一份代碼庫的組成清單，可能會讓采辦機構(gòu)更深入地了解產(chǎn)品中可能已經(jīng)集成的任何漏洞。

該行政命令還列出了軟件開發(fā)中應(yīng)包含的網(wǎng)絡(luò)安全的具體要素，如利用多因素認證等工具正確保護構(gòu)建環(huán)境。美國國家標準與技術(shù)研究所的安全軟件開發(fā)框架中包含了這些要素，美國國家標準與技術(shù)研究所還根據(jù)行政命令將其作為特別文件發(fā)布。

美國國家標準與技術(shù)研究所表示，各機構(gòu)除了最關(guān)鍵的系統(tǒng)會按照合適的方式執(zhí)行之外，對于其他系統(tǒng)，各機構(gòu)可能更偏向于接受其軟件供應(yīng)商關(guān)于其采用的安全措施的說法。（國家工業(yè)信息安全發(fā)展研究中心 劉彧寬）