美国总统拜登发布2023财年预算提案,为非国防联邦机构提供了109亿美元的网络安全支出,较上一年的98亿美元大幅增长11%;
其中,有4.25亿美元用于持续诊断与缓解计划(CDM),1.75亿美元用于“通过风险管理及与关键基础设施社区的合作,努力保障并提高私有关键基础设施的弹性”,3亿美元用于支持技术现代化基金相关项目等。
3月28日,美国总统拜登发布2023财年预算提案,再次强调了对网络安全的高度关注。
2023财年拟议预算为非国防联邦机构提供了109亿美元的网络安全支出,较上一年的98亿美元大幅增长11%。
经外媒梳理,本次预算案包含了以下六大要点:
更多编制,更多职能
政府预计,网络安全与基础设施安全局(CISA)将在2023财年新增276名全职雇员。根据白宫发布的附录,该局在2022年的全职人力工时(FTE)为2464,2021年则为2400。
网络安全与基础设施安全局及其上级部门正在积极宣传,他们为了帮助招聘而新上线的网络人才管理系统。尽管人员规模不断扩大,但这似乎仍然跟不上该局的职能扩展速度。最近,一项新的网络事件报告法案责成该局承担起复杂的规则制定任务。
总体支出增加,研发投入减少
在网络与基础设施安全局将要拿到的25亿美元预算中(较上年增长近5亿美元,注:CISA也有物理安全职能),有5.45亿美元用于“采购、建设与改进”,其余大部分资金主要用于“运营和支持”。这样的划分方式与前几年基本一致。
但2023年,该局的研发资金将进一步下降至400万美元,不仅低于2022年的500万美元研发开销预估,更远不及2021年的1300万美元实际支出。
CISA的预算如何分配
在针对此次预算案的后续声明中,国土安全部长Alejandro Mayorkas对资金的预期用途做出了进一步阐述。他表示,将有800万美元用于支持网络安全咨询委员会和网络安全审查委员会的运营。之前SolarWinds事件发生后,白宫发布第14028号总统行政令,要求建立相关委员会。
Mayorkas说,在这800万美元预算中,还有一部分将用于“建立咨询委员会项目管理办公室,帮助网络安全与基础设施安全局增强其咨询委员会的管理能力。”
他还表示,有4.25亿美元将用于持续诊断与缓解计划(CDM),1.75亿美元用于“通过风险管理及与关键基础设施社区的合作,努力保障并提高私有关键基础设施的弹性。”
新增的预算该怎么花?
除了增加各机构的网络安全预算之外,本份预算提案还着重强调了管理与预算办公室(OMB)为实施第14028号行政令而发布的4份备忘录,分别为:M-22-09、M-21-30、M21-31、M-22-01。
这些备忘录详细介绍了用于实施零信任概念、通过增强安全措施保护关键软件、实施日志记录与事件响应程序、部署端点检测与响应技术的执行细则。
这份预算提案还强调,为技术现代化基金提供额外的3亿美元资金,用以支持相关项目。
内部网络安全响应协调
这份预算提案还用不少篇幅,介绍了与国家网络总监办公室的协调。
在去年秋季的一场听证会上,俄亥俄州共和党参议员Rob Portman向国家网络总监Chris Inglis与联邦首席信息安全官Chris De Rusha发问,质疑他们在机构网络安全预算方面存在明显的职能重叠。
为此,白宫给出了分析性的结论:“以总统预算提案为基础,国家网络总监办公室将努力改善国内协调工作,以应对针对政府及关键基础设施不断升级的网络攻击。”
供应链风险管理需着重落实
预算提案还建议联邦采购安全委员会(FASC)发挥核心作用。该委员会主席、联邦首席信息安全官Chris De Rusha表示,采购安全委员会的设立,并不是为了应对2020年底的SolarWinds大规模供应链攻击事件。
预算文件显示,“各机构必须评估其[信息和通信技术]供应链风险。采购安全委员会将根据排除令提供建议,通过一系列关键步骤,帮助各级机构保护信息和通信技术免受新兴威胁的影响,同时为采购领域建立[供应链风险管理]标准的现实需求提供支持。”
管理与预算办公室的发言人称,“政府对于供应链风险管理(SCRM)及联邦采购安全委员会的政策态度没有变化。”
参考来源:https://www.nextgov.com/cybersecurity/2022/03/6-takeaways-cybersecurity-policy-presidents-fy-2023-budget/363713/
声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。