12月23日,美国众议院与参议院拨款委员会通过一项1.7万亿美元的综合支出法案,确定2023财年的政府运营资金。12月29日,美国总统拜登签署该法案。
《2023财年综合拨款法案》的文本内容总计4155页,包括已经通过的8580亿美元国防开支(2023财年国防授权法案已签署通过)和其他8000亿美元非国防预算,里边涉及一系列重要的网络安全项目。
美国参议院国土安全小组委员会主席、参议员Christ Murphy表示,“这项法案是各方合理让步的结果,我为能有这样一份管理边境、抵御国家网络威胁、保护海岸线与机场的负责任法案而感到自豪。”
美国众议院国土安全小组委员会主席Lucille Roybal-Allard也说,“今年国土安全部的拨款法案对于美国国内、海上及边境安全做出了历史性投资,将保护关键网络与物理安全基础设施,以及支持救灾工作。”
法案中的关键网络安全条款
该法案数十次提及网络安全议题,凸显出联邦政府已将网络安全支出纳入常规例程。法案中的以下网络安全条款,凭借突出性、涉及的金额、首次出现在年度拨款流程内或立法者的高度重视而特别值得关注。
CISA拨款29亿美元创下纪录:
该法案为网络安全与基础设施安全局(CISA)拨款29亿美元,较2022财年高出3.135亿美元(12%),较总统预算提案高出3.964亿美元。立法者们还特别划拨了几笔CISA资金,包括:
- 超17亿美元用于网络安全工作,包括“保护同样有利于州、地方、部落及领地(SLTT)政府网络的联邦民用网络”;
- 2.142亿美元用于进一步推进CISA的安全运营,其中包括为联邦网络防御协作(JCDC)增拨的1700万美元;
- 为多州信息共享与分析中心(Multi-State Information and Analysis Center)增拨1600万美元,预算总额达4300万美元;
- 4600万美元用于跨联邦、州、地方、部落及领地政府与关键基础设施网络,建立“威胁搜寻与响应能力”;
- 1700万美元用于“紧急通信准备”;
- 另外3200万美元用于“提高区域运营能力”。
2023年乌克兰补充拨款法案:
作为总支出计划的一部分,此法案将拨款5000万美元用于解决来自俄罗斯及其他恶意黑客的网络安全威胁。
人事管理办公室:新法案为人事管理办公室提供4.22亿美元,用于“实现网络安全与招聘计划”,增拨4920万美元。
国家科学基金会:新法案为国家科学基金会的CyberCorps计划提供6900万美元,较去年增加600万美元。如果学生同意毕业后在政府从事网络安全工作,此计划将为他们提供奖学金。
财政部:新法案划拨1亿美元的补充资金作为工资和开支,用于增强财政部运营系统的网络安全水平。
国家网络总监办公室:新法案为国家网络总监办公室提供2192.6万美元资金。
特勤局:新法案拨款2300万美元,并重新授权特勤局继续运营国家计算机取证研究所。取证研究所属于国家培训中心,供执法人员学习调查和打击网络与电子犯罪的相关技能。
商务部:新法案专门拨款3500万美元,用于商务部的技术现代化与网络安全风险缓解。
国土安全部(DHS):新法案为国土安全部情报和网络安全多元化奖学金拨款300万美元。
禁止政府部门手机上使用TikTok
尽管中国企业字节跳动一直在努力与美国外国投资委员会(CFIUS)达成妥协协议,以缓解其广受欢迎的TikTok视频应用引发的国家安全担忧,但新法案仍禁止在政府行政机构的手机上使用TikTok。
新法案要求美国白宫管理与预算办公室(OMB)及总务署署长、CISA局长、国家情报署署长及国防部长共同协商,在两个月内为各执行机构制定删除TikTok应用的标准和操作指南。
该法案颁布后,美国众议院议长立即禁止众议员及工作人员使用TikTok。TikTok方面一位发言人表示,“我们对国会禁止在政府设备上使用TikTok感到失望,此项措施属于无助于促进国家安全利益的政治姿态。外国投资委员会正在审查一项鼓励政府结束国家安全审查的协议,这份协议才是解决联邦及州一级政府所提出安全问题的意义之举。”
对中国等实施采购限制
新法案规定,根据美国国家标准与技术研究院(NIST)的规定,任何政府机构不得使用政府资金,为“具有中/高影响度的信息系统”向从China科技巨头华为或中兴购买电信设备。
法案还进一步指出,各级机构不得将任何资金用于购买China开发的技术,包括生物、数字、电信及网络等技术,除非国务卿及国际开发署署长等其他联邦机构负责人共同协商并酌情确定具体应用不会对美国国家安全产生不利影响。
此外,任何机构不得将资金花在由China、伊朗、朝鲜或俄罗斯持有、管理或资助的实体商,除非联邦调查局或其他相关联邦实体已经完成网络间谍或破坏风险评估。
报告外国勒索软件攻击及其他网络攻击活动
新法案还纳入了勒索软件法案,要求联邦贸易委员会(FTC)在2025年和2027年向国会提交报告,详细说明来自China、朝鲜、伊朗或俄罗斯的勒索软件事件或其他网络攻击的数量和类型。法案还要求联邦贸易委员会分享与这些事件相关的诉讼信息,并推荐新的法律与商业判例,以增强美国组织抵御数字威胁的能力。
保障医疗设备网络安全
最后,新法案修订了《联邦食品、药品和化妆品法案》,要求医疗设备制造商符合特定网络安全标准。其中一项要求是向食品药品监督管理局长提交一份计划,以监测、识别和解决上市后的网安漏洞与漏洞利用问题,包括协调漏洞披露与相关程序。
生产商须确保其设备及相关系统的安全性,并发布售后软件与固件更新和补丁。设备制造商还须向食品药监局长提交软件材料清单(SBOM),其中包含设备所使用的一切现成、开源及关键组件。
新法案进一步要求食品药监局在未来180天内及之后每年,发布关于改善医疗设备网络安全的额外资源和信息,包括帮助医疗保健提供商、卫生系统及设备制造商识别和解决网络漏洞的信息。另外,政府问责局(GAO)也须在一年内发布一份报告,确定医疗保健提供商、卫生系统、患者及设备制造商在解决漏洞上面临的挑战,以及联邦机构应如何加强协调以提高设备网络安全水平。
转自 安全内参,原文链接:https://www.secrss.com/articles/50668
封面来源于网络,如有侵权请联系删除