在2025财年美国军事预算8952亿美元中，《国防授权法案》（NDAA）专门拨款约300亿美元用于网络安全，凸显其重要战略地位。

CNN军事分析师、美国空军退役上校、锡德里克·莱顿联合公司董事长锡德里克·莱顿表示："一如既往，今年的《国防授权法案》涉及国防部各个领域以及情报机构的方方面面。该法案的条款将决定美国是否做好准备应对未来可能出现的各类军事冲突，无论是阿富汗式的反叛乱行动，还是可能由乌克兰战争或台海局势引发的大规模战争，亦或是以网络战为主要特征的混合型冲突。"

以下是这份长达100页法案(https://www.congress.gov/bill/118th-congress/house-bill/5009/text)中的主要条款、举措及值得关注的遗漏内容概要。物联网安全公司Cylera首席安全战略师、丹佛大学网络安全教学教授理查德·斯泰宁斯对此进行了详细点评。

网络安全主要条款

保障通信网络安全

拨款50亿美元帮助本土电信运营商更换潜在不安全的神秘东方力量的技术设备，其中包括弥补此前相关工作30亿美元的资金缺口。

斯泰宁斯表示："自小布什总统任内起，移除不安全且可能存在后门的电信设备就一直是一个备受关注的问题。时至今日，我们仍在努力清除和更换通信设备，这一事实或许更能说明美国政府行动效率的问题。问题的核心在于联邦通信委员会（FCC）预算与补偿中小型农村电信运营商更换其多年前购买的华为和中兴4G、5G网络设备成本之间的差距。参议员约翰·希肯卢珀一直在推动这项计划，他多年来为此不懈努力。此次资金获得批准正是他坚持不懈的成果。"

保护军用移动设备

将实施相关标准和政策，保护国防部移动设备免受境外间谍软件侵害。各机构必须报告过去两年内涉及境外间谍软件的任何安全漏洞。

人工智能（AI）安全中心

国家安全局（NSA）将设立人工智能安全中心，以预防反AI技术，并推动国家安全系统安全采用AI技术。

勒索软件列为国家威胁

针对关键基础设施的勒索软件攻击被提升为国家情报优先事项，其危害程度等同于恐怖主义行为。庇护勒索软件攻击者的国家将被列为敌对网络行为体。

斯泰宁斯评论道：

"勒索软件如今已成为一项极其赚钱的产业。2024年上半年，勒索软件受害者向网络犯罪分子支付了惊人的4.598亿美元，有望创下历史新高。勒索软件产业的勒索金额从2017年好莱坞长老会医疗中心的360万美元，暴涨至2021年欧洲最大消费电子零售商MediaMarkt遭受攻击时的2.4亿美元。随着攻击者意识到勒索的利润丰厚，他们变得更加大胆和贪婪。尽管网络安全和执法部门领导多年来不断发出警告，且针对企业的网络攻击日益增多，但大多数受害者仍未对此类攻击做好充分准备。

组织机构普遍缺乏能够承受打击并继续运营的IT基础设施韧性。他们也没有经过充分演练和健全的网络事件响应能力。这就像一个拳击手带着玻璃下巴参加重要比赛。

CEO和董事会似乎对于投资提升企业韧性和安全防护的需求视而不见。他们只关注短期收益、季度盈利报告，以及通过股票回购和丰厚的高管奖金来玩弄华尔街。

2024年的Change Healthcare网络攻击事件将被载入史册，成为针对国民和关键国家基础设施行业最具破坏性的网络攻击。这似乎是由于母公司联合健康集团（UHG）过度关注利润和领导层的总薪酬待遇所致。这次攻击究竟导致多少美国人死亡，又有多少医院和诊所因此倒闭，仍有待观察。

推动这一犯罪勒索行为增长的原因是受害者向网络恐怖分子支付赎金。俄罗斯的学生们正排队等待成为下一个网络勒索者，用非法所得驾驶他们的第一辆法拉利或兰博基尼。通过支付赎金，受害者在无意中助长了这个非法产业的发展。

美国政府（以及许多其他国家政府）已将勒索软件认定为一种恐怖主义形式。然而，很少有国家根据现有的制裁实体法制定严格的法律来禁止向网络恐怖分子支付赎金。这些法律原本是为了防止向基地组织等恐怖组织支付款项。主要原因是确定攻击者身份需要时间，所以当支付赎金时，往往是付给一个身份不明的实体。这种情况需要改变，应该将所有勒索付款定为可判处监禁的罪行，这样那些未能投资和做好准备的董事就不能再躲在董事保险背后。

需要加强企业问责制，这意味着首席信息安全官（CISO）需要充分记录CEO和董事会违背公司安全领导和专家建议而接受风险的决定。CISO还需要确保他们的雇佣合同包含独立法律代表条款，以应对任何可能归咎于他们的安全事件，这种保护应延续到他们离职后相当长一段时间。这还需要包括他们参加法庭听证和政府调查委员会的时间和费用。

因此，勒索软件和其他网络攻击已成为不法国家投射力量的高效且具有高度破坏性的工具。"

探索独立网络部队

国家科学院将评估在现有武装力量之外建立独立网络部队的可行性。

加强国防部网络防御

将国防部信息网络联合部队总部（JFHQ-DODIN）指定为美国网络司令部下属的统一指挥部。

限制网络战资金

在美国网络司令部提出下一阶段全面计划之前，将限制联合网络作战架构（JCWA）的发展。

斯泰宁斯表示："显然，鉴于地缘政治紧张局势升级和来自外国的网络攻击激增，美国需要确保拥有真正具有毁灭性的进攻性网络能力，以起到对他国的威慑作用。也许目标应该是在这一领域复制核武器的能力，确保有效的对峙，类似于自二战以来维持和平的相互确保摧毁（MAD）原则。"

显著遗漏

国务院全球参与中心（GEC）

负责打击外国虚假信息的GEC未获得资金支持，导致其关闭。

斯泰宁斯观点：

"考虑到俄罗斯针对西方的错误信息和虚假信息活动的规模，这可能是整个《国防授权法案》中最令人担忧的方面。俄罗斯每月都在花费数百万美元制造虚假信息，然后通过社交媒体平台放大这些虚假叙事，旨在制造分裂、混乱，并加剧现有矛盾。TikTok、X（Twitter）和现在的Meta平台将成为我们对手的宣传和情报进攻力量的有用工具。

虽然俄罗斯在2016年大选中的干预旨在制造混乱和加剧现有不满，从而通过制造国内社会和政治动荡来分散政府和军方的注意力，但将20世纪50年代和60年代克格勃的策略应用于当今无处不在的技术，特别是社交媒体，已经改变了游戏规则。因此，俄罗斯都大量投资于网络水军、虚假社交媒体账号，并使用AI机器人大规模放大虚假叙事，以分裂、混淆和降低西方的能力。

作为网络防御者，我们需要退一步看清大局，理解当今个别错误信息和虚假信息攻击发生的背景。这反过来将帮助我们更好地设计防御策略和战术，以挫败未来的攻击。打击错误信息和虚假信息需要成为首要任务。"