美国2023财年国防授权法案将发布：网络安全看点解析

前情回顾·美国网络安全立法最新动态

安全内参12月8日消息，2023财年《国防授权法案》已在本周二公布。未来几天，美国国会准备就总预算8580亿美元的年度国防政策法案进行投票，其中包括大幅增加美国网络司令部支出，以及加强国家网络安全防御方面的其他努力。

以下是2023财年《国防授权法案》中涉及网络元素的重要内容，以及这份最新法案中一些值得注意的“遗漏”点。

首先，美国国会计划向网络司令部拨款4400万美元，用以加强“前出狩猎”（hunt forward）行动，这是网络司令部“持续交战”战略的组成部分。所谓“前出狩猎”，是指在网络空间与对手持续开展快速互动。网络司令部报告称，其前出狩猎行动已在全球至少35个国家50多个外国网络展开，包括爱沙尼亚、立陶宛、黑山、北马其顿和乌克兰。  

此次立法还要求，在国防部设立一名负责网络政策的助理部长，并且国防部长每年须向国会介绍网络司令部和国家安全局之间的合作情况。

如果总统确定有“外国势力在网络空间”针对美国政府或关键基础设施“发动积极的、系统的、持续的攻击活动”，该法案授权网络司令部可在总统批准的情况下在“外国网络空间”内开展行动。

拜登政府最近刚刚结束对“双帽”领导结构的评估。在这一架构下，国家安全局和网络司令部将由同一个人负责。虽然评估已经完成，但政府尚未对是否结束这种架构给出正式建议。

法案提出，在国务院内设立了新的网络空间和数字政策局，目前由前外交官Nate Fick负责领导。

新版《国防授权法案》还要求到2032年选举期之前，每两年发布一份非机密报告，用于介绍网络司令部在选举安全方面所做的工作。此外，法案要求由网络安全与基础设施安全局（CISA）设计并组织免费的网络安全培训。

法案还要求改革联邦风险和授权管理计划（FedRAMP），特别是其中涉及云服务商的网络安全授权制度。

法案同样关注到隐私问题，要求对美国情报部门如何使用商业间谍软件设置护栏条款。其中要求包括FBI、CIA和国家安全局（NSA）在内的各情报机构在90天内向国会提交报告，评估间谍软件对美国构成的威胁。

此次立法还扩大了国家情报总监的权力，其可以指导各情报机构如何使用间谍软件，包括禁止情报界采购或批准使用间谍软件的权力（但豁免情形可能仍然有效）。法案要求国家情报总监发布最佳实践，指导各情报机构预防间谍软件入侵。

预计白宫将在明年初发布行政令，就如何限制联邦机构使用可能构成国家安全风险的间谍软件做出指导。

准备交付国会的法案最终版本中，也有一些例外情况。

《国防授权法案》去掉了一项修正案，即在联邦采购流程中强制提供软件材料清单（SBOM）的要求。之所以将其删除，是因为软件行业对此展开了。

法案最初要求“一切当前合同持有人，以及响应美国国土安全部提案请求的各方，应提供材料清单并证明清单中的各项目不存在漏洞或缺陷。”

此外，直到最终表决阶段，法案仍未对“”或者重要关键基础设施的具体定义做出确切解释。这是因为一旦解释明确，则某些关键基础设施运营商将被迫接受更严格的数字安全标准。

网络空间日光浴室委员会前执行主任Mark Montgomery表示，法案中网络安全标准的退让“令人失望”。很明显，无论是Montgomery自己的呼吁，还是国土安全部长Alejandro Mayorkas对于“此类基础设施的优先级次序”的强调，都未能推动立法层面的实质性变革。