美国政府高度重视网络安全和网络战,并为此投入大量财政经费。美国政府近日向外界公布了2020财年(2019年10月1日至2020年9月30日)预算申请方案。360智库对比进行了数据分析和比对,对其网络安全动向和布局做了概要分析,以供业界参考。
总体情况
01、网络安全预算174.35亿美元,同比增长5%
根据预算,2020财年美国联邦政府网络安全预算共174.35亿美元,达到历史最高值,相比2019财年预计支出增长约5%。网络安全预算占总预算的6.5‰,同样为历史最高水平。近四年的相关数据见下图。
注:2017、2018为实际支出数,2019为预估数。
图 1 美国联邦政府2017-2020财年网络安全预算及占比(单位:亿美元)
02、对抗意图显著,国防部等三部门预算占7成
在77个联邦部门中,几乎所有部门都安排了保障自身网络安全合规与运营维护的日常费用。
总体来看,网络安全预算主要集中在国防部、国土安全部、司法部(下设联邦调查局)等国家安全强力部门,这三大部门预算分别高达96.43亿美元、19.19亿美元、8.81亿美元,合计占总预算71.4%。
需要关注的是,2020财年网络安全预算安排大幅向国防部倾斜,国防部网络安全预算不仅独占55.3%,而且相比上一年有10.4%的增长,在所有联邦部门中政府增幅最大。与之对照的是,农业部、商务部、退伍军人事务部等多个部门网络安全预算下降。
前述三大部门是美国联邦政府最为重要的国家安全部门,承担着国外和国内的安全保障职能。这么“重”的预算安排,不仅体现了从国家安全高度看待网络安全,更体现了浓厚的网络空间攻防对抗思路,具有显著的对抗意图。正如美国国防部在预算文件中提到的:“确保我们在大国竞争时代的对抗、威慑和获胜优势”。
三个部门所承担的网络安全职能分工如下:国防部保护国家不受攻击,负责网络作战和保护国防系统网络安全。国土安全部保护国家重要基础设施安全,负责网络安全事件处理、网络威胁共享和漏洞分析。美国司法部下属的联邦调查局,负责网络犯罪的调查,以及国内网络威胁情报的收集、分析。
主要联邦部门的2017—2020财年网络安全预算如下表所示。
表1 美国联邦政府部门2017—2020财年网络安全预算情况(单位:亿美元)
注:2017、2018为实际支出数,2019为预估数。
美国国防部2020财年网络安全预算分析
01、网络安全预算大幅增加,占比达历史最高
国防部96亿美元的网络安全预算,占其部门总预算1.34%,绝对数和占比都达到近年来最高水平。事实上,近几年来国防部网络安全预算稳步增加,其占比也小幅提升。国防部近四年网络安全预算情况见下图所示。
注:2017、2018为实际支出数,2019为预估数。
图 2 美国国防部2017-2020财年网络安全预算及占比(单位:亿美元)
02、重点投入网络防御、弹性以及持续集成网络能力
《2018国防战略》是美国国防部网络安全预算安排的依据。其总的思路是投资“全谱系军事作战中的网络防御、弹性以及持续集成网络能力”,具体包括以下五方面:
(1)确保联合部队可以在竞争性网络空间中完成任务;
(2)将网络能力集成到规划和作战之中,增强联合部队的军事优势;
(3)威慑、拒止或挫败针对美国关键基础设施、可能导致重大网络事件的恶意网络活动;
(4)确保国防部信息和系统(包括非国防部网络上的)安全,防范网络间谍和恶意网络活动;
(5)扩大国防部与盟国、合作伙伴和私营部门的网络合作。
03、强化防御、突出攻击、兼顾研发
从国防部在网络安全防御、攻击和研发三大方面的预算投入上看,其思路可以概况为:强化防御、突出攻击、兼顾研发。三大方面投入分别为54亿美元、37亿美元和5亿美元,占比分别为56.3%、38.5%和5.2%。
图3 美国国防部2020财年网络安全预算分布(单位:亿美元)
三大方面投资的方向:
(1)防御:加大网络安全能力投资,降低国防部网络、系统和信息的风险;
(2)攻击:为军事行动和突发事件提供集成网络能力,支持作战司令部的网络作战。其中20亿美元投往133支网络任务部队,包括13支国家任务部队、68支网络保护部队和25支支援部队。
(3)研发:聚焦网络安全技术研发,支撑防御性网络效应作战(DCEO)、进攻性网络效应作战(OCEO)和国防部信息网络的防御。
04、分工各有侧重,网络司令部着重加强联合作战
各军种在网络安全分工上也都各有侧重。陆军负责牵头训练环境建设,包括网络训练靶场、永久性网络训练环境(PCTE)。空军承担重要的网络作战职能,负责统一平台和联合网络指挥控制系统(JCC2)的建设。网络司令部则负责联合访问平台、联合工具、联合分析、联合共性服务的采购。
美国国土安全部2020财年网络安全预算分析
01、投入增长放缓,重点保障全国网络安全
受到网络安全预算向国防部倾斜的影响,国土安全部2020年网络安全预算基本上与上一年度持平,在部门预算中所占的比例略有下降。在国土安全部总预算逐年上涨的情况下,网络安全预算投入显得略有不足。
注:2017、2018为实际支出数,2019为预估数。
图 4 美国国土安全部2017-2020财年网络安全预算及占比(单位:亿美元)
全国网络安全防护是国土安全部在网络安全方面最为重要的职责,主要由下设的网络安全和关键基础设施局(CISA)负责。这一领域的预算约为10.25亿美元,占部门网络安全总预算过半。此外,在边境保护、移民和海关执法、海岸警卫等主要职能上,也都有相应的网络安全投入。具体情况见下图。
注:2017、2018为实际支出数,2019为预估数。
图5 美国国土安全部2020财年网络安全预算分布(单位:亿美元)
02、加强高价值资产安全防护,提升基础设施网络弹性
国土安全部下设的网络安全与基础设施安全局(CISA)是该部门网络安全工作的主责机构。2020财年预算安排中,项目分为五大类:
(1)联邦网络安全。包括3个项目:全国网络安全保护系统(NCPS)、持续诊断与缓解(CDM)、联邦网络安全弹性(FNR)。主要任务是保护联邦政府网络安全、提升高价值资产安全防护水平。预算合计6.94亿美元。
(2)网络预备与响应。包括国家网络安全和通信中心(NCCIC)运营、规划与演习,主要任务是为全国网络安全提供持续保障,2020财年预算为2.48亿美元。
(3)网络基础设施弹性。包括4个项目:网络安全教育与意识、加强网络安全服务、网络安全顾问,以及新设的“网络安全技术战略计划”项目。主要任务是通过教育培训、多部门合作和信息共享等多种手段,提升国家在遭遇网络攻击和数据泄漏时,各项业务的正常运营能力,预算合计为6197.6万美元。其中新设的“网络安全技术战略计划”获得预算948.5万元,主要目的是通过加速采用新技术、国际标准和规范,推动网络安全项目在网络安全能力、数据架构和战略技术上的一致性。
(4)网络安全研发。用于支持网络安全技术研发所需运营和维护费,特别是架构分析、需求定义和数据建模工具的投入。预算为2409.1万美元。
(5)风险管理。下设项目基础设施分析,预算为471.5万美元,其任务是支持国家风险管理中心(NRMC)开展对全国政府和私营部门的关键基础设施风险进行识别、分析和管理。
表2 美国国土安全部2018—2020财年主要网安项目投入(单位:万美元)
美国联邦调查局2020财年网络安全预算分析
联邦调查局2020财年网络安全预算7.32亿美元,相比上一年度大幅增长15.8%,占部门总预算比例高达7.9%。
图5 美国联邦调查局2020财年网络安全预算分布(单位:亿美元)
网络安全预算主要用于开发先进技术能力,以及实施应对恶意网络组织的全方位战略,而具体的项目安排则为机密。联邦调查局网络安全职能主要由下设的犯罪、网络、响应和服务司(CCRSB)网络处承担,主要防范和处置网络犯罪、网络恐怖主义和民族国家威胁。该部门指控了伊朗有组织的网络恐怖主义活动,是美国将伊朗国民卫队被列为恐怖组织的实际推手。
小结
1. 布局清晰,有点有面。一方面,美国政府对几乎所有部门都安排了日常经费,以保障自身网络安全合规与运营维护,体现了网络安全保障的常态化。另一方面,国防部、国土安全部和司法部(联邦调查局)三部门结合自身安全职能,分别从军事、安保和执法三个角度,各自安排了高额预算,同时军种之间、部门内部之间也分工明确,体现了高度的职能导向和目标导向。因而可谓布局清晰、有点有面。值得一提的是,为保证网络安全预算布局合理,美国《2017综合拨款法案》规定,自2017年起须在编制预算时开展联邦网络安全预算分析。
2. 攻防兼备,强化网络对抗。预算安排充分体现了美国《2018国家网络战略》和《2018国防战略》的思路,在大力加强网络防御能力的同时,发展进攻性网络效应作战能力。
3.大力推进网络能力集成。国防部将作战和应急行动集成网络能力作为网络战的极其重要目标,提升网络战能力与其他作战能力的衔接与配合,一方面是其多域作战理论的落实,另一方面也是为了应对网络攻击的无处不在,加强网络防御。
4. 着重提升网络弹性。当今世界,几乎所有国防、政务、经济和社会事务均高度依赖网络,因而造就了网络脆弱性。当网络攻击和脆弱性无法避免,解决之道就是提高系统和业务的网络弹性。美国国防部、国土安全部投入大量预算,用于研究和部署提升国防网络与系统、武器平台、政府网络和关键基础设施的网络弹性。这一新思路应引起高度关注。
声明:本文来自360智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
