2018年7月24日,美国众议院公布众、参两院关于2019财年国防授权法案(简称 NDAA)最后协商版本的“会议报告”,其中禁止美国联邦政府机构使用华为和中兴通讯提供的存在风险的技术。

  • 2018年5月24日,美国众议院以351-66的投票结果通过2019财年国防授权法案。

  • 2018年6月18日,美国参议院以85-10的投票结果通过了参议院版本的 NDAA。

该法案的最后版本要求,美国国防部在2019年3月之前提交报告,重点报告美国国防信息系统局(DISA)如何更好地管理国防部信息网络的日常防御职责,美国网络司令部是否可以更好地完成这些任务。

美国防授权法案内容

该法案还提出将美国国家安全局(NSA)的 Sharkseer 计划转移到 DISA。此外,还要求美国国防部使用 Sharkseer 的“沙盒即服务”工具。在计算机安全领域,沙盒指的是一个带有围墙的数字空间,组织机构可以安全地测试和研究不受信任的元素,例如潜在的恶意计算机代码。

这项法案的基础国防预算为6390亿美元,其将主要用于升级军事软件,并制定战略打击包括俄罗斯、中国、伊朗和朝鲜在内的对手。此外,报告还要求制定新版的国家安全战略、国家防御战略以及核态势评估报告。

禁用华为和中兴的技术

该法案禁止美国联邦政府机构使用华为和中兴通讯提供的存在风险的技术,美国情报官员称这些技术可能被用作中国的间谍工具。美国2017年的国防授权法案也有过类似的禁令,其针对的对象是俄罗斯反病毒公司卡巴斯基实验室。

该法案删除了一项条款:恢复对中兴通讯违反美国制裁并有效地使其破产的处罚。美国参议员马克·卢比奥(Marco Rubio)支持对中兴通讯进行制裁,他表示对某些同事同意让中兴恢复业务的做法感到震惊,并认为“中国再一次找到了玩弄美国的方法。”

切断与国防承包商与外国的关系

该法案的另一项规定要求,美国防承包商通过漫长的披露程序,旨在考察其与外国是否存在可能构成国家安全威胁的关系,包括是否允许任何外国政府审查源代码。美媒称,俄罗斯和中国出台了法律,可能会要求在某些合同中披露源代码。该条款授权国防部采取其认为必要的任何行动,以减轻外国源代码审查产生的风险。美国国防部还可以与民间机构共享其在审查期间发现的信息。

JEDI审查

该法案要求美国国防部的首席信息官制定战略,详述未来转移或不转移到国防部“联合企业防御基础设施云计划 JEDI “的项目。这项规定还要求国防部向国会报告 JEDI 计划的方方面面,包括采购与规划。   这项规定还将禁止国防部批准新的计算机系统或应用程序,其前提是国防部未确定系统目前或将来是否可以托管在云上。

为 DHS 提供帮助

该法案授权国防部开展一项试点计划,暂时将部队分配给美国国土安全部(DHS),以帮助确保和机场等关键基础设施的安全。

成立“网络空间日光浴委员会”

该法案还授权成立“网络空间日光浴委员会”,由参议员本·萨斯推进,以艾森豪威尔时代的“日光浴项目”为蓝本。该委员会的主要任务包括权衡美国当前网络工作的成本和成效,分析国家对手在网络方面做出的努力,评估美国当前关注以及应当关注的网络安全资源领域,并提出政策变化建议。

该委员会由13名成员组成,其主要职责是:

就在网络空间保护美国及应对构成严重后果的网络攻击,在战略方法上达成共识。该委员会的成员将包括联邦政府官员、国会议员以及来自行业或学术界的非政府官员。

该法案的其它 IT 和网络条款还包括:

  • 要求美国国防部制定国土安全指令,以在所有电子邮件域名上安装 DMARC 反欺骗安全工具。

  • 向美国国会报告国防部个人可识别信息有关的重大安全事件。

  • 确定美国国防部有权发起攻击性和防御性的网络行动,包括秘密行动。

  • 要求在6个月内更新网络安全政策。

  • 要求开展战争演习,重点关注国防部在重大网络事件期间如何支持民事单位。

  • 要求扩大预算范围,以评估和缓解主要武器系统中的网络漏洞。

  • 授权美国国防部长与高等院校合作设立网络学院。

声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。