2021年6月25日，，，，，，美国宣布了《行政下令14028下的“要害软件”界说》，，，，，，并于7月9日宣布了《凭证行政下令(EO)14028“EO要害软件”应用的清静步伐》。。。。。。《凭证行政下令(EO)14028“EO要害软件”应用的清静步伐》指南适用于美国联邦机构对“EO要害软件”的使用场景，，，，，，“EO要害软件”的开发和采购不在规模内，，，，，，这些清静步伐旨在；；；；；；；；じ骰乖诵星樾沃幸寻才诺摹癊O要害软件”的使用历程。。。。。。

NIST《凭证行政下令(EO)14028“EO要害软件”应用的清静步伐》及翻译

NIST为清静步伐界说了以下目的：

1.；；；；；；；；ぁ癊O要害软件”和“EO要害软件平台”（运行“EO要害软件”的平台，，，，，，如终端、服务器、云资源等）免受未经授权的会见和使用；；；；；；；；

2.；；；；；；；；ぁ癊O要害软件”和“EO要害软件平台”使用的数据的神秘性、完整性和可用性；；；；；；；；

3.识别和维护“EO要害软件平台”和安排在这些平台上的软件，，，，，，以；；；；；；；；ぁ癊O要害软件”免被使用；；；；；；；；

4.快速检测、响应和恢复涉及“EO要害软件”和“EO要害软件平台”的威胁和事务；；；；；；；；

5.增强对职员行为的明确和绩效，，，，，，增进“EO要害软件”和“EO要害软件平台”的清静性。。。。。。

从这些目的可以看出，，，，，，“EO要害软件”需要从基础情形；；；；；；；；ぁ⑹萸寰脖；；；；；；；；ぁ⑴橙跣员；；；；；；；；ぁ⑼胁监测及响应、职员管控及教育等多方面综合入手。。。。。。详细步伐清单如下：

目的1：；；；；；；；；ぁ癊O要害软件”和“EO要害软件平台”免受未经授权的会见和使用

l SM 1.1：对“EO要害软件”和“EO要害软件平台”的所有用户和治理员接纳多因素身份验证，，，，，，该身份验证应能抗伪造。。。。。。（拜见翻译全文FAQ#7）

l SM 1.2：唯一标识并判别试图会见“EO要害软件”或“EO要害软件平台”的每个服务。。。。。。

l SM 1.3：对基于网络的“EO要害软件”或“EO要害软件平台”治理，，，，，，应遵照特权会见治理原则。。。。。。

l SM 1.4：接纳适当的界线；；；；；；；；な忠，，，，，，只管镌汰对“EO要害软件”、“EO要害软件平台”和相关数据的直接会见。。。。。。

目的2：；；；；；；；；ぁ癊O要害软件”和“EO要害软件平台”使用的数据的神秘性、完整性和可用性

l SM 2.1：建设和维护“EO要害软件”和“EO要害软件平台”的数据清单。。。。。。

l SM2.2：对“EO要害软件”和“EO要害软件平台”所使用的数据和资源举行细粒度会见控制，，，，，，尽可能执行最小特权原则。。。。。。

l SM 2.3：；；；；；；；；ぞ蔡，，，，，，对“EO要害软件”和“EO要害软件平台”使用的敏感数据，，，，，，接纳切合NIST标准的加密。。。。。。

l SM 2.4：；；；；；；；；ご渲械氖，，，，，，对“EO要害软件”和“EO要害软件平台”的敏感数据通讯，，，，，，在可行的情形下接纳双向判别，，，，，，以及切合NIST标准的加密。。。。。。

l SM 2.5：备份数据，，，，，，执行恢复演练，，，，，，随时准备从备份中恢复“EO要害软件”和“EO要害软件平台”使用的数据。。。。。。

目的3：识别和维护“EO要害软件平台”和安排在这些平台上的软件，，，，，，以；；；；；；；；ぁ癊O要害软件”免被使用

l SM 3.1：建设和维护软件清单，，，，，，包括所有运行的“EO要害软件平台”和安排到这些平台的所有软件（EO要害和非EO要害）。。。。。。

l SM 3.2：接纳补丁治理实践维护“EO要害软件平台”和安排到这些平台的所有软件。。。。。。

l SM 3.3：接纳设置治理实践来维护“EO要害软件平台”和安排到这些平台的所有软件。。。。。。

目的4：快速检测、响应和恢复涉及“EO要害软件”和“EO要害软件平台”的威胁和事务

l SM 4.1：设置日志纪录，，，，，，纪录涉及“EO要害软件平台”和在这些平台上运行的所有软件的清静事务的须要信息。。。。。。

l SM 4.2：一连监控“EO要害软件平台”和所有在这些平台上运行的软件的清静性。。。。。。

l SM 4.3：在“EO要害软件平台”上接纳终端清静；；；；；；；；，，，，，，；；；；；；；；て教捌渖显诵械乃腥砑。。。。。。

l SM 4.4：接纳网络清静；；；；；；；；，，，，，，监控收支“EO要害软件平台”的网络流量，，，，，，；；；；；；；；な褂猛绲钠教捌淙砑。。。。。。

l SM 4.5：针对所有清静运营职员和事务响应团队成员，，，，，，凭证其角色和职责，，，，，，培训如那里置涉及“EO要害软件”和“EO要害软件平台”的事务。。。。。。

目的5：增强对职员行为的明确和绩效，，，，，，增进“EO要害软件”和“EO要害软件平台”的清静性

l SM 5.1：针对“EO要害软件”的所有用户，，，，，，凭证其角色和职责，，，，，，培训怎样清静地使用软件和“EO要害软件平台”。。。。。。

l SM 5.2：针对所有“EO要害软件”和“EO要害软件平台”的治理员，，，，，，凭证其角色和职责，，，，，，培训怎样清静地治理软件和/或平台。。。。。。

l SM 5.3：经？？？？？？？？剐硕，，，，，，增强对“EO要害软件清静台”的所有用户和治理员的培训，，，，，，并权衡培训的有用性，，，，，，以便一连刷新。。。。。。

详细内容请拜见翻译文档。。。。。。3377体育网官网入口将一连关注软件供应链清静及其应用历程的前沿希望，，，，，，后续将为您带来更多精彩内容。。。。。。

扫描二维码，，，，，，阅读完整版译文

翻译为公益性子，，，，，，仅供信息清静工业相关研究职员、治理职员参考，，，，，，若有错漏敬请指正。。。。。。