【联邦电子周刊网站2022年5月6日报道】为落实美国总统拜登关于网络安全的行政命令，美国国家标准与技术研究所（NIST）发布了新的修订指南，向各机构指出由美国总务管理局联邦风险与授权管理项目（FedRAMP）办公室管理的现有措施。

从奥巴马总统开始，所有的美国总统政府都致力于推动联邦机构更多地使用云服务提供商以降低成本，而联邦风险与授权管理项目一直是他们检查在此过程中是否牺牲了安全性的方法。该项目涉及到对云供应商的安全实践的第三方认证，这是所有想要采办云服务的机构的必要步骤。然而，据美国政府问责局称，该项目并没有得到管理和预算办公室的充分执行或是监督遵守。

美国国家标准与技术研究所的修订指南写道：“本指南中讨论的外部系统服务提供商包括云服务提供商。本指南并不能取代有关联邦机构对云服务提供商的安全性评估的指导。当将本指南应用于云服务提供商时，联邦机构应首先使用联邦风险和授权项目云服务安全指南，然后在其未涉及的流程和控制中应用本指南。”

联邦风险与授权管理项目试图解决自身存在的问题，但第三方认证与供应商自我证明的问题似乎正在不断增多，因此美国政府可能很快就会为各机构发布关于软件供应链安全的后续指示。

此次发布的指南所针对的是在其环境中购买和采用软件以及其他供应链要素的机构。

美国国家标准与技术研究所在一份新闻稿中写道：“修订后的指南的主要受众是产品、软件和服务的购买者和最终用户。该指南帮助各机构将网络安全供应链风险考虑因素和要求纳入其采办流程，并强调监测风险的重要性。由于网络安全风险可能出现在产品生命周期的任何一个节点或是供应链的任何一个环节，因此该指南现在考虑了潜在的漏洞，例如产品内的代码来源，或使用该产品的零售商。”

在文件发布的最近一次活动中，美国国家标准与技术研究所的Angela Smith表示，在美国国家标准与技术研究所的待办事项清单上，该文件开始关注那些基础元素本身，并且更多地关注此类指导——即重点不在于采办企业应该做什么，而在于服务企业的供应链供应商应该做什么。

因为此前的SolarWinds供应链攻击事件，拜登政府增加了对于网络安全的关注。在此背景下，美国国家标准与技术研究所也增加了对于采办过程的关注。

SolarWinds攻击者利用微软的活动目录联合服务在被攻击计算机的网络中横向移动。虽然该事件在白宫和国会掀起了一场政策制定的风暴，但是有关SolarWinds开发和交付环境安全薄弱的报道(例如使用密码“SolarWinds123”)使得人们更加关注政府软件供应商的责任。SolarWinds承认使用该密码是个错误，但表示这与此次网络攻击无关。

14028号行政命令指示各机构要求潜在的供应商提供一份软件材料清单，这可以被认为是一份代码库的组成清单，可能会让采办机构更深入地了解产品中可能已经集成的任何漏洞。

该行政命令还列出了软件开发中应包含的网络安全的具体要素，如利用多因素认证等工具正确保护构建环境。美国国家标准与技术研究所的安全软件开发框架中包含了这些要素，美国国家标准与技术研究所还根据行政命令将其作为特别文件发布。

美国国家标准与技术研究所表示，各机构除了最关键的系统会按照合适的方式执行之外，对于其他系统，各机构可能更偏向于接受其软件供应商关于其采用的安全措施的说法。（国家工业信息安全发展研究中心 刘彧宽）