美国2019年国防授权法案关于网络安全都讲了什么？

2018年8月13日，美国总统特朗普签署涉7163亿美元军费的“2019财年国防授权法案”（NDAA2019），作为美国防务年度开支预算的指导性文件，NDAA2019不仅军费再创新高，同时透露出强烈的遏华色彩。除此之外，NDAA2019大幅度增加网络安全预算支持，体现出更明确的网络威慑路径，更聚焦的战略对手，更全面的防护举措，是观察和分析特朗普政府网络安全政策动向的一个重要窗口。

二、 制定网络战和网络威慑政策。针对 “长期缺乏有效战略和政策来应对网络威胁”的批评，NDAA2019要求总统在180天之内向国会提交关于美国在网络空间、网络安全、网络战争和网络威慑方面政策的评估与更新报告，并成立网络空间“日光室委员会”，负责促成在网络空间保护美国免受重大后果的网络攻击的战略途径达成共识，权衡各种美国网络保护和发展战略的成本和收益，预判敌对国家策略和意图。该委员会将包括副国家情报总监、国土安全部副部长、国防部副部长、联邦调查局局长，以及国会选出的其他10名成员。以参议员本·萨瑟为首的国会议员认为该委员会是制定美国网络战战略的绝佳机会。

三、明确网络空间的主要战略对手。NDAA 2019明确针对俄罗斯、中国、朝鲜、伊朗的网络攻击实施积极防御。国家司令部（NCA）将授权国防部长通过网络司令部在对手国网络空间采取适当和相称的行动，以干扰、击败和遏制对美网络攻击。当然，这里的授权具有两方面触发要素:(1)必须“在网络空间对美国政府或人民进行积极、有系统和持续的攻击，包括试图影响美国的选举和民主政治进程”;(2)责任方必须是俄罗斯、中国、朝鲜或伊朗。法案还将网络行动和信息行动视为传统军事行动，并要求国防部向国会提交一份关于网络信息操纵对美国国家安全影响的报告。此外，NDAA 2019还通过《出口改革管制法案》（ECRA）与《外国投资风险审查现代化法案》（FIRRMA）两则附加法案，积极推动针对出口管控制度、外商投资审查等政策工具的集中改革，极大地强化高新技术的出口审查制度，扩大对美投资的审查类型，以配合遏制别国技术发展的国家战略。

四、改革国防部网络安全机制。NDAA 2019要求国防部进行系列的职位调整与部门改革以优化网络安全机制。在职位调整方面，设立网络安全和工业控制系统集成事务官员。NDAA 2019规定在180天之内，由国防部长指定一名官员负责国防部网络安全和工业控制系统集成事宜，主要是参照国家标准与技术研究所（NIST）为工业控制系统的网络安全制定的框架，开发部门内的认证标准。在部门改革方面，要求国防部长评估美国联合部队总部—国防部信息网络（简称JFHQ-DoDIN）的角色、任务和职责以及是否将其移交给网络司令部；此外，国防信息系统局将承接美国国安局防范恶意软件的“Sharkseer”项目，该项目旨在利用商业技术检测并缓解基于 Web 的恶意软件、零日漏洞和高级持续威胁。法案还要求消除低效的网络安全计分卡，禁止国防部在2019年10月1日以后在其网络安全记分卡上花费任何资金。

五、保障国防部自身网络安全。NDAA 2019要求国防部审查自身漏洞，保障供应链安全。具体体现在：（1）扩大国防部在评估武器系统网络漏洞方面的工作。从2021财年开始，国防部长必须向国会提供每个主要武器系统的“预算合理性展示”和详细的网络安全评估，包括网络漏洞状况、网络安全风险、计划中的活动和所需的资金。（2）遵守国土安全部2017年发布的关于联邦机构电子邮件和网站安全的指令，如执行卡巴斯基软件禁令。（3）保障供应链安全。NDAA 2019要求评估关键系统的软件安全性，禁止国防部使用任何外国“信息技术、网络安全系统、工业控制系统、武器系统或计算机杀毒系统”，除非供应商披露其是否与外国政府有联系，是否允许外国政府审查或访问该产品的源代码。法案还要求为国防工业供应链中的小型制造商和大学提供网络安全方面的帮助，包括提高对威胁的认识，开发自我评估机制，共享技术和威胁信息，建立网络咨询认证计划等。（4）快速上报数据泄露。在遭遇网络入侵并造成军事人员身份信息泄露，国防部长必须立即通知国会。

六、提升国防部网络安全能力。NDAA 2019从强化技术、扩大采购权限、强化政企合作等方面提升网络安全能力。1、发展归因技术。为提高美国网络威慑，要求国防部推进归因技术、人工智能的发展，并在适当时候展示实力与打击意图，让对手清楚任何针对美国的网络攻击或恶意网络活动将遭受极大的成本。2、修改网络司令部的采购权限。将网络司令部负责人采购权限从7500万美元提高到2.5亿美元，并将此权限延长至2025年。3、在高等院校建立网络学院培养网络安全人才，主要是在具有预备役军官训练计划的高等学校中建立网络学院，为军队和国防部未来的军事和文职领导人提供包括外语、密码学、数据科学等网络操作技能，并设立网络奖学金项目，启动网络安全学徒计划。4、创建网络安全试点项目，包括针对关键基础设施网络攻击的建模与仿真试点项目，以及美国陆军国民警卫队地区网络安全培训中心试点项目。

七、加强网络安全国际合作。除要求国防部改善与私营部门的网络安全合作，NDAA 2019还要求加强国际网络安全合作，集中体现在加强北约（NATO）网络防御能力，提升美国在其中的领导地位。法案要求国防部长不晚于2019年3月31日向国会国防委员会提交一份报告，详细描述国防部在提高美国在北约中的领导和协作构建网络防务、阻止网络攻击的能力和作为，具体包括实施本组织网络行动域路线图，提高网络态势感知能力，合作打击针对成员国的信息战等。

2018年7月31日，美国副总统彭斯在出席国土安全部组织的首届网络安全峰会上表示，“美国对网络攻击必须准备作出反应”，NDAA2019在很大程度上是对这次表态的呼应，其中有两点动向值得我们关注：一方面是国防部发起军事网络行动的自由度扩大。此前国防授权法案也有授权国防部在网络空间采取行动的权力，但繁复的机构间审查与公开透明的要求严重掣肘了美国防部行使网络行动的自由。NDAA2019允许国防部长有权在网络空间进行包括秘密行动在内的军事行动，并将网络行动和信息行动视为传统军事活动，将为国防部的行动扫除障碍。此外， NDAA2019明确要求针对俄罗斯、中国、朝鲜、伊朗的网络攻击实施积极防御，实质上是国会“预先授权”总统采取网络行动，也体现出美国会对于特朗普甚至是奥巴马政府网络工作的不满，希望利用这种预先授权的方式提高威慑力度。另一方面是加快国防部网络安全工作改革。从保护IT供应链到提升国防部应对网络攻击的能力，再到加强网络安全的国际合作，NDAA2019突出审核既有的网络安全规则与条款的有效性，按照成本与收益的原则进行重组与改革；法案还透露出国防部正主动寻求与国土安全部在防御网络攻击上更紧密的合作，如授权国防部成立加强关键基础设施的网络安全和弹性试点项目，派遣50名网络安全人员，以支持国土安全部民用网络保护的任务。这或许预示着“各自为政”的联邦各机构开始梳理在网络空间中重叠的地盘，并寻求和解。

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。