美国于2021年5月12日宣布了《关于改善国家网络清静》的第14028号行政下令（EO），，，，，明确要求美国联邦政府增强软件供应链清静管控。。。。。。。。为响应招呼，，，，，国家标准与手艺研究所（NIST）于2021年6月25日宣布了《Definition of Critical Software UnderExecutive Order(EO)14028（行政下令14028下的“要害软件”界说）》，，，，，并于2021年7月9日宣布了《SecurityMeasures for “EO-Critical Software” Use Under Executive Order(EO)14028（“EO要害软件”使用的清静步伐）》，，，，，这批注美国正逐步推进EO行政下令的执行。。。。。。。。凭证下图《EO第4节使命实时间线》，，，，，美国正逐步宣布“要害软件”的相关要求及指南，，，，，并推进其最终落实，，，，，预计将于2022年5月基本完成。。。。。。。。

美国《关于改善国家网络清静》的第14028号行政下令（EO）第4节使命实时间线

近年来，，，，，随着国际竞争的加剧，，，，，软件供应链清静事务泛起显着上升趋势。。。。。。。。我国的软件工业相关于美国还较量落伍，，，，，在许多软件开发项目中，，，，，大宗使用了开源、“免费”的库包？？？？？？？橐约按肟驼弧⒖⒐ぞ摺⒉馐匀砑、集成软件、打包软件和安排软件等。。。。。。。。有数据批注，，，，，这样开发的软件保存大宗的已知或未知误差，，，，，甚至包括后门、木马程序，，，，，这给我国的网络空间清静埋下了严重隐患，，，，，尤其在要害信息基础设施、主要数据处置惩罚系统中，，，，，此问题尤为突出。。。。。。。。美国《关于改善国家网络清静》第4节划定了“要害软件”的相关要求，，，，，为我国解决软件供应量清静问题提供了参考思绪。。。。。。。。

本文重点先容《Definition of Critical Software Under Executive Order(EO)14028（行政下令14028下的“要害软件”界说）》，，，，，并提供全文翻译，，，，，为海内网络清静从业职员及关注者提供参考。。。。。。。。

NIST《行政下令14028下的“要害软件”界说》及翻译

“EO要害软件”被界说为任何具有或直接依赖一个或多个组件的软件，，，，，这些组件至少有以下属性之一：

l被设计运行于高权限或治理权限；；；；；；

l能直接或授权会见网络或盘算资源；；；；；；

l被设计用于控制数据会见或操作手艺（OT）；；；；；；

l执行“信任的要害”功效；；；；；；

l使用会见权限，，，，，在正常信任界线之外执行操作。。。。。。。。

在目今的版本中，，，，，给出了“EO要害软件”的起源列表，，，，，包括了以下11类软件：

l身份、凭证和会见治理（ICAM）

l操作系统、虚拟化程序、容器情形

lWeb浏览器

l终端清静

l网络控制

l网络保；；；；；

l网络监控和设置

l运行监控和剖析

l远程扫描

l远程会见和设置治理

l备份/恢复和远程存储

“EO要害软件”界说是基于软件的功效，，，，，而不是它的用途，，，，，与软件的安排情形、场景无关，，，，，这有利于软件供应商判断他们的产品是否是“EO要害”的，，，，，这也将使市场越发清晰。。。。。。。。在“EO要害软件”的治理领域上，，，，，主要思量的是软件在运行中的作用，，，，，仅关注现实使用中的软件，，，，，而扫除了开发、测试、研究、归档等情形。。。。。。。。并且在实验初期,将重点放在具有清静要害功效或有类似重大潜在危害的自力外地软件上，，，，，而控制数据会见的软件、基于云的软件、软件开发工具、嵌入式软件或OT中的软件等将在后续妄想中逐步笼罩。。。。。。。。

我国多年来一连推进种种软硬件系统的自主可控生长，，，，，并受到各行各业的普遍支持，，，，，完成了大宗的国产化刷新。。。。。。。。但由于我国软件工业生长水平的制约，，，，，软件开发中普遍保存的问题在国产化软件中仍然保存。。。。。。。。从美国“要害软件”的头脑来看，，，，，我国应在国产化普及的同时，，，，，重点对起到要害作用的软硬件产品举行更为严酷的清静能力要求，，，，，并在现有的审查机制中增强要害软件清静能力的评价。。。。。。。。

3377体育网官网入口将一连关注软件供应链清静的前沿希望，，，，，后续将为您带来更多精彩内容。。。。。。。。

扫描二维码，，，，，阅读完整版译文

翻译为公益性子，，，，，仅供信息清静工业相关研究职员、治理职员参考，，，，，若有错漏敬请指正。。。。。。。。