根据《国防授权法案》（NDAA），美国军方将从2025财年拨给美国军事活动的8952亿美元总预算中，约有300亿美元将用于网络安全。这笔资金源于总统乔·拜登上个月签署通过的年度《国防授权法案》(NDAA)。这部法案和往年一样，涵盖了数十项与网络安全相关的大大小小条款，其中一些重点条款涉及重大经费投入，如保护国防部员工免受外国间谍软件侵害、建立人工智能安全中心等。

下面简要介绍法案中几项尤其值得关注的网络安全条款：

1、防范外国商业间谍软件对国防部移动设备的威胁

法案要求保护包括智能手机、平板电脑、笔记本电脑在内的军用移动设备免于遭受外国商业间谍软件的攻击，并指示相关政府机构为国防部和美国国际开发署（USAID）人员制定安全标准、政策和指南。同时，法案还要求这些机构调查国防部及 USAID 在过去两年间是否有设备被外国商业间谍软件入侵并导致敏感信息泄露，并向国会提交相应报告（若包含机密内容则须保密处理）。

2、针对海外移动应用程序建立风险框架

法案要求国防部首席信息官与国防部情报与安全部副部长协调，评估为国防部人员个人移动设备和移动应用程序制定风险框架的可行性和必要性。该框架应考虑应用程序在数据收集、存储、销售中的潜在风险，以及对谣言与假信息的防范能力，还要包括软件物料清单（SBOM），并关注应用程序是否来自俄罗斯、伊朗或朝鲜等国。

3、设立人工智能安全中心

虽然法案中有许多涉及人工智能的内容，但最引人注目的是建议在国家安全局（NSA）的协作中心内设立一个人工智能安全中心。该中心将负责制定指导方针，以预防或缓解“反人工智能技术”的威胁。所谓“反人工智能技术”，是指可能获取或操控人工智能系统信息并破坏其机密性、完整性或可用性的技术或手段。该中心还将鼓励国家安全系统的管理层广泛采用安全的人工智能。

4、对网络部队架构的独立评估

法案授权国家科学院、工程院与医学院评估美国武装部队网络部队的潜在替代组织形式。长期以来，有一种呼声是：美国应当组建一支与其他军种平行的独立网络部队。评估内容包括改进现有网络部队，或者在国防部内新建网络军种的可行性与可取性，最终将评估结果以报告形式提交国会国防委员会。

5、将联合部队总部-国防部信息网络纳入美国网络司令部统一指挥

法案正式将负责保卫五角大楼全球网络的联合部队总部-国防部信息网络（JFHQ-DODIN）划归美国网络司令部的“下属统一司令部”，从而让该机构在国防部信息网络的运行、安全和防御方面拥有明确的领导地位。

6、将勒索软件实施者及其庇护国定义为敌对国网络行为者

法案在措辞上将勒索软件攻击视作类似恐怖主义的行为，认定外国勒索软件团伙及其相关机构为敌对外国网络行为者，并且将那些为这些团伙提供指挥或庇护的外国政府也纳入这一范畴。

7、将勒索软件对关键基础设施的威胁列为国家情报优先事项

法案要求将勒索软件对于关键基础设施的威胁纳入国家情报优先事项范围内，并要求国家情报总监在与联邦调查局局长协商后，向国会提交关于该威胁对美国国家安全影响的报告。

8、研究国家空域系统遭破坏的可能性

法案指示政府问责署对国家空域系统是否易于被美国对手利用电磁频谱及航空通信、信息报告、空管-飞行员数据链中的安全漏洞来进行破坏行为进行调查并公开报告（保留机密信息）。

9、限制联合网络战作战架构 (JCWA) 资金

在美国网络司令部司令提交新一轮开发计划前，法案限制或暂停对 JCWA 的部分资金投入。JCWA 是一套基于软件的系统，为网络任务部队提供各种网络工具与能力。

尽管本次《国防授权法案》涉及大量网络安全内容，但仍有两项关键条款缺失。

首先，国务院全球参与中心（GEC）未获得后续资金支持，致使其于 2024 年 12 月 26 日被迫关闭。该中心原本旨在“以数据驱动的方式，协调美国政府各部门联手应对外国对手利用虚假信息与宣传来损害美国利益的企图”，但它成为了包括埃隆·马斯克和部分共和党州检察长在内的右翼人士的攻击目标，他们指责 GEC 压制“言论自由”。

其次，法案并未就《外国情报监视法》(FISA) 第 702 条的广泛扩张进行限制。一直以来，民权组织呼吁国会弥补 2023 年初对该法重新授权时留下的法律漏洞，该漏洞允许执法机构在未经授权的情况下，从情报部门的 FISA 数据库中检索美国公民的通信记录。由于这一缺口尚未堵上，特朗普政府实际上拥有了大幅度监听被其视为对手的美国公民的权力。

— 【 THE END 】—

🎉 大家期盼很久的#数字安全交流群来了！快来加入我们的粉丝群吧！

🎁 多种报告，产业趋势、技术趋势

这里汇聚了行业内的精英，共同探讨最新产业趋势、技术趋势等热门话题。我们还有准备了专属福利，只为回馈最忠实的您！

👉 扫码立即加入，精彩不容错过！

😄嘻嘻，我们群里见！