权威国防科技信息门户
国防科技大数据智能情报平台
DSTIS征订中
DPS国防术语智能定位系统
国外国防科技文献资料快报
公告:
DSTIS国防军工信息资源内网服务系统2020年征订开始  
美即将制定针对软件供应链和网络安全的新网络安全指南
2022-05-06

[美下一届政府网202255日报道] 一位联邦网络安全高级官员表示,管理和预算办公室即将发布有关软件供应链安全和网络安全的最新要求。

教育部首席信息安全官、联邦首席信息安全官委员会主席史蒂文·埃尔南德斯周四在Nextgov活动上讨论联邦网络安全的未来优先事项时表示,针对软件供应链的新指南即将出台。

埃尔南德斯说:“如果在接下来的几周里,从管理和预算办公室那里听到他们想要在软件领域做些什么,在国家标准与技术研究所(the National Institute for Standards and Technology NIST)提出的下一步和基础上,这并不惊讶

埃尔南德斯说,政策制定者一直在努力将NIST和其他以网络安全为重点的政府部门,如网络安全和基础设施安全局(cybersecurity and Infrastructure Security Agency CISA)的工作编成法典,以帮助机构了解政府网络上使用的软件的来源,并让供应商负责维护这些软件的安全。

埃尔南德斯说,我们看到更多关于软件的讨论,NIST在推出《安全软件开发框架1.0版》方面做得非常出色,下一步是各机构需要开始执行该框架,供应商是“关键软件”,需要与政府机构进行沟通,阐述如何满足安全软件开发框架的要求。

20215月拜登政府发布的行政命令已经授权各机构遵守该框架,尽管即将出台的政策命令可能会为这一要求提供更多的指导和力量。管理与预算办公室官员此前曾表示,此类指导应包括供应商是否应被允许进行自我认证,还是需要像国防部网络安全成熟度模型认证(CMMC)等其他项目一样接受第三方认证,或者需要总务管理局的联邦风险授权管理计划授权等。

埃尔南德斯还引用了NIST特别出版物800-161《系统和组织的网络供应链风险管理实践》,该出版物为确保软件在供应链中的安全性设定了标准,包括维护政府网络上部署的软件的库存,以及构成该软件的所有代码的出处——软件材料清单(software bill of materialsSBOM)。

该文件的第一次更新于周四发布。

埃尔南德斯说:“应该围绕SBOM的想法,并确保我们能够从软件供应商那里拿到可读格式的软件材料清单。

埃尔南德斯说,机器可读性并不是微不足道的,因为机构在面临安全事件或漏洞时往往缺乏时间和资源。

埃尔南德斯说:“当下一个Log4j出现时,我们希望能够基本上转到我们的治理、风险和合规工具,运行搜索,看看它内置了什么特定组件,以便我们可以立即开始采取行动。这与此前的情况有所不同,本次将研发团队青岛安全运营中心,致力于开发不同的程序以确定系统是否受到漏洞威胁的影响。

在正常情况下,研发团队将维护或构建应用程序以满足教育的任务,而不是排除潜在的安全漏洞。

埃尔南德斯表示,未来的行政命令可能会涉及量子计算对网络安全的影响,以补充本周发布的两项有关量子安全的命令,以及过去行政命令关注的人工智能。(国家工业信息安全发展研究中心 李舟阳)

相关新闻

DSTIS 国防科技工业信息服务系统
中国核科技信息与经济研究院 中国航天系统科学与工程研究院 中国航空工业发展研究中心
中国船舶工业综合技术经济研究院 中国船舶信息中心 北方科技信息研究所 工业和信息化部电子科学技术情报研究所
国防科技信息网 dsti.net © 2006 - 2022 版权所有 | 京ICP备10013389号-1 | 公安备案号:11010802036354