新闻快讯
< >

美《2018财年国防授权法案》网络安全要点

E安全12月14日讯,美国总统特朗普于当地时间2017年12月12日签署美国 《2018财年国防授权法案》。该法案为美国2018财年制定了政策和预算指导方针,其中也包括各种网络安全举措。

特朗普签署《2018财年国防授权法案》 网络安全要点-E安全

2018财年的美国国防授权法推进了几项重要的网络安全工作,同时也制定了信息安全相关的新规则和程序。

这项法案涉及的关键的网络安全规定如下:

正式禁用卡巴斯基实验室的软件(第1634节)

美国国土安全部(DHS)已采取具体措施在联邦政府机构内封杀卡巴斯基实验室的产品,第1634节规定正式在联邦机构内禁用卡巴斯基实验室的产品,并规定必须于2018年10月全面移除卡巴斯基实验室的产品。此项禁令特别提到卡巴斯基实验室提供的任何及所有产品,包括子公司推出的服务和软件。

特朗普将被要求定义何为“网络战”(第1633节)

按照这项法案的规定,特朗普将须为美国制定涉及网络空间、网络安全和网络战的国家政策并提交国会。这项政策将描述并明确定义不同联邦机构响应重大网络攻击的计划、权力和角色。此外,美国白宫应当在战争时期提出能依赖网络空间的选择。这项政策应当是“多方面的”,包括威慑、防御和进攻战略。这项法案未设定提交这项政策的最后期限。特朗普高级国土安全顾问托马斯·博塞特(Thomas Bossert)表示,美国白宫目前正在努力制定相关的全面美国国家安全战略。

美国国防部长必须审查并提出计划,以便美国防部能整合并更好地管理各种网络安全能力和责任(第1641节、第1644节和其它部分)

这项法案多处提到美国防部有必要带头围绕不同的网络安全任务重新审视部门内部的组织结构。这些要求的基本目的表明,美国国会希望美国防部考虑如何响应攻击、协调响应以及协作应对数字威胁。目前,美国防部内部的网络安全工作分散,并被划分到特定的小组和办公室。

关注网络奖学金计划(第1649节)

美国国家科学基金会(NSF)和美国人事管理局(OPM)将启动一个联合试点奖学金计划,包括5到10所社区学院,其旨在培养并直接从大学招募人才。此外,该法案要求从可用的财政资助总额中抽出至少5%专门用于网络教育计划,包括K–12学校(幼儿园到十二年级)。

美国众议院议长保罗·戴维斯·莱恩和美国众议院少数党领袖南希·佩洛西赋予新权力打击针对众议院的网络攻击(第1090节)

如果莱恩和佩洛西确定国会发生的网络事件需要额外的资源或支持,他们将具备新权力寻求额外的资助。能向国会提供此类支持的组织机构可以包括其它政府机构,例如美国国安局(NSA)或私营网络安全公司。

出于对网络风险的考虑,美国近期不会购买外国政府(尤其俄罗斯)的卫星技术(第1603节)

美国防部和其它美国国防组织机构被禁止与美国国防部长认为可能隶属于外国的公司,或由外国政府全部或部分控制、或代表外国政府的公司签署卫星服务合同。这项规定明确提到外国政府控制的任何及所有公司可能会带来网络风险,并直接提及俄罗斯。

美国国会议员应当更多地了解美国支持的隐秘性进攻网络行动和黑客能力(第1631节、第1632节)

美国防部必须在相关任务结束后48小时内向适当的国会委员会上报按照美国法典第10卷发起的任何敏感军事主导型网络行动。第1632节还要求美国防部长每个季度向国会议员汇报美国军方的网络武器库存和用途。

美国防部的首席信息官被赋予更多权力管理五角大楼的网络安全任务(第909节)

美国防部首席信息官将由美国总统任命,由美国参议院批准,并直接向美国防部长汇报工作。美国防部首席信息官将重点管理部门预算,开发网络能力,制定标准。该职位将肩负更多责任,包括计划并支持进攻性网络行动的能力。该法案改写了该职位重点领域体现角色扩展,如今负责的范围包括:信息技术、网络、信息保证、网络安全和网络能力架构。美国防部首席信息官还将直接向国防部长提交预算决定意见。

美国需制定更多反俄罗斯信息行动的计划(第1641节)

美国国防部长必须在180天以内向美国国会提出计划,解释国防部将如何阻止、还击并反制针对美国公民的信息行动。这项计划将提及美国可与盟友合作解决俄罗斯数字宣传的地区。

结束美国网络司令部/美国国安局(NSA)领导人“双帽”领导结构的计划(第1648节)

美国防部领导层将须在2018年5月之前提交报告,阐述如何解决美国网络司令部司令和NSA局长 “双帽”领导角色结束后的运作和预算影响。

美国网络司令部将重新评估如何开发黑客和防御性网络工具(第1642节)

美国网络司令部司令将须评估开发、获取并维护基于软件的网络工具和应用程序的替代方法,这样做是让网络司令部司令发掘新方式降低成本,加快发展,提高效率。评估范围包括当前针对工具开发人员的培训和教育计划。美国国会计划明年为网络司令部指派领导者,从NSA的领导结构中分离出来,并将网络司令部升级为与美国特种作战司令部同级别的联合作战司令部。

国防部将再次进行安全审查(第925节)

美国防部必须制定“阶段性过渡计划”将国防部人员的背景调查从美国人事管理局(OPM)国家背景调查局转移到国防安全服务部。该法案允许DSS聘用人员解决安全审查积压工作,并将国防数字服务部作为过渡的支持机构。

对于制定美国国家网络政策,特朗普有话要说:

1513216461782068604.jpg

特朗普于签署国防授权法案当天下午发表声明表示,签署该法案是他壮大美军目标的一个步骤。

该法案其中有一个规定要求特朗普政府制定美国国家网络政策,提出使用进攻性网络能力响应网络空间的攻击,并要求特朗普政府向国会提交该政策。此外,该法案还要求特朗普政府为白宫通讯局(简称:WHCA)提供资金。

特朗普在声明中指出,这项规定相当于美国国会“劫持了”他今后在美国国家安全战略方面的沟通能力,称这一规定可能会破坏总统行政办公室的有效运作。

特朗普表示,他非常重视网络问题,行政令13800就是证明。该行政令已经在行政部门和机构间启动战略行动,从而提升美国的网络能力。WHCA在向总统和员工提供安全通信方面发挥着关键作用。国会不应当“绑架”总统沟通促成美国国家安全和外交政策的能力。他希望与美国国会共同努力快速解决这一前所未有的资金受限问题。

网络政策决定一直是美国政府和美国国会议员关系紧张的根源。奥巴马和特朗普政府缺乏全面的网络政策,国会委员会为此感到沮丧。

美国参议院通过的原始版国防授权法案也包括一项规定,要求制定网络战条令,由参议院军事委员会主席约翰·麦凯恩带头发起,但遭到美国白宫的强烈反对。这一规定最终没能纳入最终版国防授权法案。

目前,美国的网络权力分散在各大联邦机构,包括美国防部、国土安全部和司法部。

相关阅读:

特朗普政府计划制定新的“网络安全战略”
特朗普提名白宫副幕僚长为新任国土安全部长,专长为网络安全

特朗普网络安全行政令实施情况如何?
特朗普晋升网络司令部的决定将成为各国防承包商的福音

专家:特朗普政府要考虑的四大网络安全趋势
特朗普接手的秘密计划:网络攻击破坏朝鲜导弹?

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。