美國《關鍵軟體定義規範》簡析

2021年6月25日，美國國家標準與技術研究院（NIST）正式釋出《關鍵軟體定義規範》，對“關鍵軟體”的內涵、外延進行了界定和說明，成為美國加強軟體供應鏈管理的一項重要依據。

一、背景簡述

從微觀行為看，釋出該規範是為落實總統令要求而開展的一項具體工作。5月12日，美國總統拜登簽發了《改進國家網路安全行政令》（Executive Order on Improving the Nation’s Cybersecurity，以下簡稱EO），其中明確要求商務部在45天內製定釋出“關鍵軟體”的定義檔案，以此作為加強美國聯邦軟體供應鏈安全管理工作的基礎。並以此推開，逐步建立健全美國聯邦政府軟體供應鏈安全管理的制度和規範體系。

從宏觀態勢看，該規範的釋出也反映了當前美國正部署應對網路安全形勢的新變化。即：網路安全攻擊在攻擊物件、攻擊手段上不斷擴充。從攻擊物件看，網路攻擊行為除了持續青睞關鍵基礎設施以謀求擴大聲勢、獲取高額經濟收益外，還加大了對關鍵供應鏈環節的攻擊，如針對某些通用性較強的關鍵軟體產品發起網路攻擊，可以產生巨大連帶作用和級聯效應，使攻擊獲得事半功倍的效果。

二、基本原則和思路

從規範檔案內容和制定過程來看，NIST作為美國聯邦負責標準工作的專業機構，在推進“關鍵軟體”定義檔案制定過程中，主要遵循了以下原則和思路。

一是協同合作的工作原則。按照EO的要求，定義“關鍵軟體”是開展軟體供應鏈安全管理的第一步，是諸多部門協同工作的一個環節。因此，按照部門職責分工推進就成為定義“關鍵軟體”工作的首要原則。在檔案起草過程中，NIST透過主辦虛擬研討會，廣泛收集、聽取和磋商意見，參與部門包括網路與基礎設施安全域性(CISA)、國家情報總監辦公室（ODNI）、國家安全域性（NSA）等；在檔案內容銜接上，NIST在《關鍵軟體定義規範》中明確該定義的內涵和外延作為“初始階段”，後續軟體產品“權威列表”由CISA制定；在後續工作開展上，該檔案提出的關鍵軟體定義將依託CISA和OMB起草的附加指南予以實施。

二是清晰可行的內容原則。NIST將“清晰”和“可行”作為定義“關鍵軟體”時應把握的兩大標準。所謂“清晰”是指定義要明確易懂，方便“軟體業和政府使用”；所謂“可行”是指要充分考慮到軟體產品採購、開發、部署方式，以及軟體產品的模組化、元件化等特點。

三是階段化的實施原則。NIST基於“軟體市場的規模、範圍和複雜性，以及政府內部實施所需的基礎設施情況”的考慮，透過與相關部門協商明確了“階段化推進”的實施原則。如此一來，既能夠照顧到軟體安全管理工作基礎，又能夠透過及時反饋的方式最大限度確保“關鍵軟體”定義的科學性。

三、內容要點

《關鍵軟體定義規範》從內涵、適用範圍和外延三個方面，對“關鍵軟體”進行了界定。

（一）內涵

《關鍵軟體定義規範》採用特徵描述的方式，對“關鍵軟體”的五個主要屬性進行了列舉。即：關鍵軟體是指具有或直接依賴於一個或多個元件的軟體，這些元件須滿足以下至少一種屬性：

設計之初就能夠以提升的許可權或管理許可權執行；

具備對網路或計算資源的直接訪問或特權訪問許可權；

旨在控制對資料或操作技術的訪問；

執行的功能對信任至關重要；

執行時具有正常信任邊界之外的訪問特權。

在這五個特徵屬性中，“對信任至關重要”主要是指涵蓋安全功能的軟體類別，例如網路控制、端點安全和網路保護等；其餘四個屬性主要是從軟體所具有的相關特殊許可權角度進行描述。

（二）適用範圍

一是關於軟體類別的適用範圍。《關鍵軟體定義規範》對於“關鍵軟體”的適用範圍進行了限定，即“該定義適用於為生產系統（production systems）購買或部署，並用於操作目的的所有形式的軟體（例如，獨立軟體、與特定裝置或硬體元件整合的軟體、基於雲的軟體等）”。此處強調的“生產系統（production systems）”主要是用於區別那些“未部署在生產系統中的僅用於研究或測試的軟體”。同時，即使部署在“生產系統”中，但不是出於“操作目的”執行的軟體，也不是關鍵軟體，如“用作研究主題的軟體和收集用於存檔的軟體”等。

二是關於軟體形式的適用範圍。《關鍵軟體定義規範》建議最初的階段側重於具有安全關鍵功能或在受到威脅時會造成類似重大危害的獨立、本地軟體。後續階段可能涉及其他類別的軟體，包括（但不限於）：

控制資料訪問的軟體；

基於雲的混合軟體；

軟體開發工具，例如程式碼儲存庫系統、開發工具、測試軟體、整合軟體、打包軟體和部署軟體；

引導級韌體中的軟體元件；

運營技術(OT)中的軟體元件；等。

（三）外延

為了便於理解，《關鍵軟體定義規範》還提出了一個關鍵軟體功能描述及產品型別對應表，對符合當前“關鍵軟體”定義的軟體及其對應軟體產品型別、納入關鍵軟體的理由等進行了分項說明。該“關鍵軟體類別及產品型別表”歸納了8類關鍵軟體，分解為對應的45種軟體產品（詳見下表1）。

《關鍵軟體定義規範》特別強調之處在於，本表旨在說明關鍵軟體的定義，涉及到的產品列表僅作為初始實施階段的範圍參考，軟體產品類別的權威列表將由CISA在稍後提供。

四、後續展望

《關鍵軟體定義規範》的釋出，是美國提升軟體供應鏈安全系列行動的一個環節。該規範釋出後，將會呈現兩類工作並行開展的軟體供應鏈安全管理格局。

一方面，按照EO的要求，美國相關主管部門還將陸續釋出一系列標準規範，全面加強對以“關鍵軟體”為核心的供應鏈安全規範指導（詳見下表2）。

另一方面，在行政令要求的範圍之外，NIST原本也已確立了一個長期專案，專注於為網路供應鏈風險管理、軟體質量和安全控制等實踐提供標準和規範指南。並規劃了關鍵成果時間表（詳見下表3）。

不難預見，美國在“關鍵軟體”供應鏈安全管理方面，將會有多個職能部門持續、高頻推出系列管理標準依據。在規範物件、適用範圍、管理手段等諸多方面也將呈現多種創新。其更為深遠的意義在於，美國對於軟體供應鏈安全管理方面的實踐，也將會在世界範圍內產生示範效應，推進各國完善相關管理機制和規範、並加強相應供給能力建設。