/编者按/
美国国会12月7日发布最新版2025财年国防授权法案,针对网络行动、网络安全、信息技术和数据管理、人工智能、网络情报等事务向美国防部提出针对性要求。
在网络行动方面,法案要求美国防部长将联合部队总部-国防信息网络(JFHQ-DODIN)指定为美国网络司令部下属的次级统一司令部;要求美国防部制订黑客马拉松计划,使得作战司令部指挥官和军事部门部长根据该计划每年举办不少于4次黑客马拉松;要求美国防部制订网络威胁桌面演习计划,以通过桌面演习让国防部和国防工业基础为冲突或战争期间或冲突期间的网络攻击做好准备;要求美国防部定期向美国国会汇报云计算合同情况。
在网络安全方面,法案要求美国防针对军事行动中使用的物联网硬件制订应用零信任策略的指南;要求美国制订多云环境的管理和网络安全战略;要求美国防部对移动设备的网络安全产品和服务进行详细评估,以确定可以改善美国防部使用的移动设备网络安全的产品和服务,包括减轻国防部面临的风险针对移动设备的网络攻击。
在信息技术和数据管理方面,法案要求美国防部制订战略,以识别、实施和使用现代数据格式作为指挥控制活动以及武器系统电子通信的主要方法,同时配套制订现代数据格式五年路线图;要求美国防部现代化操作授权流程,建立并定期更新军事部门所有授权官员的数字名录;要求美国防部更新有关生物识别数据保护的政策。
在人工智能方面,法案要求美国防部制定一项倡议,以提高人工智能系统以及从此类系统衍生的信息的人类可用性,并提高国防部采用的人工智能系统的人类可用性和认知有效性;要求美国防部制订制定或指定计划,以满足下一代先进人工智能能力的测试和处理要求;要求美国防部制定一项计划,以确保包含人工智能组件或子组件的项目的预算流程包括对训练、维护或改进此类程序中包含的人工智能组件或子组件所需的数据类型的估计,以及获取和维护此类数据的估计成本;要美国防部评估联邦人工智能武器系统卓越中心的明智性和可行性。
在其他方面,法案要求禁止在美国陆军网络部门内解散或合并“网络战军官”和“网络电磁战军官”职业;要求美国防部通过美国国家学院开展网络部队的替代组织模式评估,内容包括完善和进一步发展美军网络部队当前的组织方法、在美国防部建立一支专门负责网络领域行动的独立武装部队的可行性和可取性、考虑采用或调整武装部队网络部队的替代组织模式等;要求美国网络司令部向国会提交涉及联合网络作战架构(JCWA)的计划,内容包括停止或尽量减少当前JCWA组件的持续开发的详细信息、JCWA后继者的要求和初步计划;要求美国防部向国会提交受关注国外移动应用风险框架报告;要求美国防部向国会提交关于中东国防一体化的联合合作伙伴共享网络能力报告;要求美国防部长和国家情报总监在2026年10月1日前确保国防部拥有专门的网络情报能力,以支持美国网络司令部、其他作战司令部、国防机构、参谋长联席会议和国防部长办公室的作战任务的军事网络作战要求。
奇安网情局编译有关情况,供读者参考。
第十五章——网络空间相关事项
副标题A——网络行动
第1501条款:修改了禁止通过美国防部范围内采购网络数据产品和服务的项目管理办公室以外的方式购买网络数据产品或服务的规定
第1502条款:国防部信息网络成为次级统一司令部
在本法颁布之日起120天内,美国防部长应指定联合部队总部-国防信息网络(JFHQ-DODIN)为美国网络司令部下属的次级统一司令部。
第1503条款:设立美国防部黑客马拉松项目
在本法颁布之日后180天内,美国防部首席数字和人工智能官与参谋长联席会议主席和国防部首席信息官协调,应制定一项计划(称为“美国防部黑客马拉松计划”),作战司令部指挥官和军事部门部长根据该计划每年应举办不少于4次黑客马拉松。
第1504条款:支持与国防工业基础的网络威胁桌面演习计划
在本法案颁布之日起1年内,美国防部长应通过负责网络政策的助理国防部长制定一项计划(称为“网络威胁桌面演习计划”),以通过桌面演习让国防部和国防工业基础为冲突或战争期间或冲突期间的网络攻击做好准备。
第1505条款:美国防部云计算能力核算
美国防部首席信息官应不迟于2025年10月15日以及此后每6个月向国会国防委员会提交一份报告,其中包含国防部涵盖的每份云合同。
副标题 B——网络安全
第1511条款:终止跨域事件的报告要求和信息技术政策的豁免
第1512条款:国家背景调查局的信息技术方案
第1513条款:对军事行动中使用的物联网硬件应用零信任策略的指南
美国防部首席信息官应在本法颁布之日后 180 天内制定指导意见,以便 ——
(1)美国防部根据 2022 财年国防授权法案第1528条制定的零信任策略(10 U.S.C. 2224 注)适用于物联网硬件,包括人类可穿戴设备、传感器和其他智能设备美国在军事行动中使用的技术;
(2)身份、凭证和访问管理技术在执行此类零信任策略中的作用。
第1514条款:多云环境的管理和网络安全
在本法颁布之日起180天内,美国防部长应通过国防部首席信息官制定国防部多云环境的管理和网络安全战略。该战略应:
(1)与2022年10月21 日发布的美国防部零信任战略或其任何后续战略保持一致;
(2)为美国防部提供跨部门整个多云环境的网络可见性和互操作性;
(3)跨此类多云环境合理化用户身份,包括通过实施身份、凭证和访问管理技术;
(4)保持相同的方法来保护整个美国防部的端点;
(5)在美国防部采用每个云环境之前和期间,提供改进识别和解决每个云环境安全问题的方法;
(6)评估增加在美国防部多云环境中采用人工智能应用的方法;
(7)提高美国防部关于部门使用此类多云环境的报告的透明度,以改善提供此类多云环境的部门用户和承包商的容量需求规划、预算和可预测性,以及与此类多云环境相关的商品和服务;
(8)确定改进美国防部在此类云环境中使用和存储数据的规划的机会,包括当政府提供的数据用于训练人工智能模型或其他商业开发的软件时加强对政府提供的数据的保护的政策和流程系统;
(9)寻找机会简化与向云服务提供商提供云服务相关的认证流程;
(10)包括一项培训美国防部必要人员如何将多云环境的使用纳入该部门职能的履行中和在此类多云环境中有效利用网络安全功能的计划。
第1515条款:美国防部内移动设备的保护措施
美国防部长应对移动设备的网络安全产品和服务进行详细评估,以确定可以改善美国防部使用的移动设备网络安全的产品和服务,包括减轻国防部面临的风险针对移动设备的网络攻击。在进行评估时,美国防部长应评估以下各项技术:
(1)匿名化技术,包括动态选择器轮换、不可链接的支付结构和匿名入职。
(2)网络化全内容检查。
(3)移动设备案例硬件解决方案。
(4)设备上的虚拟专用网络。
(5)受保护的域名服务器基础设施。
(6)扩大移动设备端点检测的覆盖范围。
(7)利用生成人工智能进行短信诈骗、网络钓鱼和商业文本或电子邮件泄露保护。
(8)部长认为适当的任何其他新兴或成熟技术。
副标题 C——信息技术和数据管理
第1521条款:过时的专有数据格式对于现代操作的可用性
在本法颁布之日后 270 天内,美国防部长应与军事部门部长协调制定——
(A)美国防部(包括每个军事部门)的战略,以识别、实施和使用现代数据格式作为指挥控制活动以及武器系统(包括与此类武器系统相关的传感器)电子通信的主要方法;和
(B)美国防部(包括每个军事部门)根据(A)分段所述的战略实施现代数据格式的相关五年路线图。
第1522条款:美国防部操作授权流程的现代化
在本法颁布之日起270天内,美国防部长应通过国防部首席信息官并与军事部门的首席信息官协调,建立并定期更新军事部门所有授权官员的数字名录。
第1523条款:美国防部生物识别政策更新。
负责情报与安全的美国防部副部长应在本法颁布后180天内更新国防部有关生物识别数据保护的政策。
副标题 D——人工智能
第1531条款:人工智能人为因素整合倡议
负责研究和工程的美国防部副部长应与负责采办和保障的美国防部副部长以及国防部首席数字和人工智能官协调,制定一项倡议以:
(A)通过应用认知人体工程学技术,提高人工智能系统以及从此类系统衍生的信息的人类可用性;
(B)通过确保人工智能和机器学习程序可使用设计工具和指标,确保此类系统考虑人为因素,提高美国防部采用的人工智能系统的人类可用性和认知有效性。
第1532条款:先进的计算基础设施以实现先进的人工智能功能
美国防部长应制定一项计划,或指定一项现有计划,以满足下一代先进人工智能能力的测试和处理要求。
第1533条款:人工智能数据的成本预算
在本法颁布之日起180天内,美国防部首席数字和人工智能官与负责采办和保障的国防部副部长以及负责研究和研究的国防部副部长协商工程部门应制定一项计划,以确保包含人工智能组件或子组件(包括人工智能支持系统、模型或分析工具)的项目的预算流程包括对训练、维护或改进此类程序中包含的人工智能组件或子组件所需的数据类型的估计,以及获取和维护此类数据的估计成本。
第1534条款:联邦人工智能武器系统卓越中心评估
美国防部长应确定建立一个或多个卓越中心来履行相关职能的明智性和可行性,以支持国防部内组织开发和成熟人工智能武器系统。中心相关职能包括:
(1)获取、分析、评估和分享整个美国防部在人工智能支持的武器系统、对策、策略、技术和程序以及训练方法方面的最新进展的经验教训。
(2)促进美国防部与包括乌克兰在内的外国合作伙伴间的合作,以确定和颁布最佳实践、安全指南、标准和基准。
(3)促进美国防部与美国业界、学术界和非营利组织间的合作,包括在自主武器系统和国防部长确定的利用人工智能的其他非传统武器系统方面拥有专业知识的业界。
(4)作为美国防部数字人才培训和技能提升的焦点,并在国防部长认为适当的情况下,提供基于这些最佳实践、标准和基准的体系级工具和解决方案。
(5)履行美国防部长认为适当的其他职责。
副标题 E——报告和其他事项
第1541条款:监督和报告国防部内的任务伙伴环境和相关活动
在本法案授权拨款或以其他方式为2025财年任务合作伙伴环境计划提供的资金中,在美国防部长根据法案要求进行认证前,不得承担或支出超过90%的资金。
第1542条款:扩大军事征兵合同的认证要求
第1543条款:禁止在美国陆军网络部门内解散或合并军官职业
在美陆军部长向国会国防委员会提交有关涵盖活动的通知之日起270天后,美陆军部长不得发起涵盖活动。在本节中,术语“涵盖活动”是指在美国陆军网络部门内取消或合并“网络战军官”和“网络电磁战军官”职业道路的任何行动。
第1544条款:网络组织模型的独立评估
美国防部长应寻求与美国国家学院达成协议,以便国家学院对武装部队网络部队的替代组织模式进行评估。美国国家学院对替代组织模式进行的评估应包括:
(A)完善和进一步发展武装部队网络部队当前的组织方法;
(B)在美国防部建立一支专门负责网络领域行动的独立武装部队的可行性和可取性;
(C)考虑采用或调整武装部队网络部队的替代组织模式;
(D)考虑将(A)项中所述的完善和演变与(B)项中所述的独立武装部队的建立相结合的组织模式;
(E)国家学院确定可行且可取的任何其他武装部队网络部队组织模式。
第1545条款:联合网络作战架构资金可用性的限制
在本法案授权拨款或以其他方式在 2025 财年用于联合网络作战架构(JCWA)的资金中,在美国网络司令部司令向国会国防委员会提供所要求的计划日前,不得承担或支出超过95%的资金。所要求的计划应当包括以下内容:
(A)停止或尽量减少当前JCWA组件的持续开发的详细信息,包括自美国网络司令部司令向国会国防提交此类计划之日起12至18个月内稳定JCWA当前架构的时间表以及由于此类行动而在未来几年的国防计划中可用的资源。
(B)JCWA后继者的要求和初步计划,包括时间表、与军事部门的协调、拟议新能力集的描述、当前JCWA能力与拟议新能力的映射,以及任何其他过渡到继任者所需的权限或资源超出了计划重新调整阶段所提供的权限或资源。
第1546条款:受关注国外移动应用风险框架
在本法颁布之日后180天内,美国防部首席信息官应与负责情报和安全的美国防部副部长协调,向国会提交一份关于以下内容的报告:
(1)为美国防部人员制定个人移动设备和移动应用程序综合指南的可行性和可取性;
(2)制定与美国防部人员或行动有关的移动应用程序的分类定义的可行性和可取性;
(3)建立并至少每年更新一个关于部门人员或业务的风险框架的可行性和可取性,该框架评估移动应用程序或其分组对部门人员或业务的潜在风险,包括:数据的收集、保留、出售和潜在的滥用;接触错误信息和虚假信息;软件物料清单;应用的所有权、起源、作者身份或与俄罗斯、伊朗或朝鲜等国的其他关系;
(4)描述影响美国防部向部门人员提供有关个人移动设备和应用程序的指导的能力的任何法定或政策限制,包括此类指导基于位置、状态、可见性或工作角色的任何变化;
(5)美国防部首席信息官认为适当的其他信息。
自本法颁布之日起不迟于180天,此后每年直至2027年12月31日,美国防部首席信息官应与负责情报和安全的美国防部副部长协调,向国会一份报告描述:(1)不少于10个美国防部特别关注的移动应用程序或应用程序组,包括对此类应用程序或应用程序组的问题特征的描述;(2)美国防部当前与个人移动设备和移动应用程序相关的指导;(3)美国防部各部门当前和计划开展的劳动力教育工作;对前述要求的报告中的可行性和适当性评估的任何变更。
第1547条款:中东国防一体化的联合合作伙伴共享网络能力
在本法案颁布之日起180天内,美国防部长应向国会国防委员会提交一份报告,说明如何改善美国防部与美国在中东的盟友和伙伴间的合作,以改善对伙伴共享网络能力的利用,促进美国及其盟友和伙伴间的联合防御努力,保护美国及其盟友和伙伴的民众、基础设施和领土免受由美国防部长确定的国家和非国家行为者对美国国家安全利益的侵害。
第十六章——太空活动、战略计划和情报事务
第1612条款:网络情报能力
不迟于2026年10月1日,美国防部长应与国家情报总监协商,确保美国防部拥有专门的网络情报能力,以支持美国网络司令部、其他作战司令部、军事部门、国防机构、联合参谋部和国防部长办公室作战任务的军事网络作战要求,涉及到网络技术发展、能力、作战概念、行动以及网络威胁行为者的计划和意图的基础、科学和技术以及全源情报。
声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
