供稿人:徐婧
2020年2月,美国白宫发布2021财年预算提案,随后美国管理和预算办公室(OMB)发布报告分析了美国2021财年网络安全预算情况。
网络安全是信息技术现代化工作的重要组成部分,但联邦政府整体网络安全仍有风险威胁。2021财年的网络安全预算将继续优先寻求降低这一风险。总统预算案包含了约188亿美元的网络安全经费,支持对联邦信息系统及美国最有价值信息(包括美国公民的个人信息)的保护。
(1)美国国家网络安全战略
2018年9月,美国白宫发布《美国国家网络战略》,强化了正在进行的工作,并为联邦政府提供了战略方向,采取短期和长期措施提高政府及关键基础设施的网络安全。
(2)供应链风险管理
2019年,根据《美国国家网络战略》和《保护技术安全法案》(SECURETechnology Act)要求,各机构应评估自己的信息和通信技术供应链的风险。除了各机构的“供应链风险管理”项目(SCRM),联邦采购安全委员会(FASC)处理联邦机构面临的更广义风险。FASC将向国防部长、国土安全部长及国家情报总监建议排除或取消订单,以应对他们的机构所面临的安全风险。这些关键措施帮助机构保护信息和通信技术免受不断涌现的威胁,并支持了为供应链风险管理采购组建立标准的需求。
(3)可信互联网连接
2019年9月12日,美国OMB在更新了10多年前的“可信互联网连接”计划(Trusted Internet Connection, TIC),允许产业界提交利用现代互联网能力的新解决方案,并允许机构采用。
该政策发布后,美国小企业局(SBA)、能源部与OMB及国土安全部合作,试点了选中的解决方案。这些试点的成功表明,利用现有技术的解决方案可以继续推进十年前确定的目标。能源部的移动设备用户可直接访问云端系统,从而节约运行经费。美国SBA的试点有助于改造机构的技术平台,提高扩大规模的能力。
(4)持续诊断与缓解
国土安全部启动“持续诊断与缓解”(CDM)项目,为联邦机构提供了持续识别网络安全风险所必需的工具、整合服务、操作界面。这近似于实时监控,提高了机构优先处理网络安全风险的能力,使网络安全人员能够首先缓解最严重的问题。CDM项目还让国土安全部通过联邦机构的视角掌握网络安全全景,提高联邦机构网络安全态势的可视化,增强联邦网络安全响应能力,简化《2014年联邦信息安全现代化法案》(FISMA)报告流程。
为进一步支持该项目,《2019-2020年财年联邦信息安全与隐私管理要求指导意见》(M-20-04)要求联邦机构在采购该项目工具之外的工具或使用此类工具之前应提供充分的理由。此外,该指导意见还要求联邦机构拨款,为其项目相关的工具和能力的长期运行与维护(例如,授权成本)提供支持。
(5)联邦信息安全现代化法案
《联邦信息安全现代化法案》指定美国OMB负责监管联邦机构5的信息安全和隐私操作,制定支持和维持这些操作的政策和指导意见并指导实施。总统预算案为保护美国公民的数据和敏感国家安全信息必不可少的网络安全防御实施机构提供了资金。
这类网络安全防御包括总统管理议程(PMA)中明确为进步目标的关键能力。而且,美国OMB利用每季度的风险管理评估程序帮助各机构聚焦高优先级的控制、追踪最新进步,从而了解并降低安全风险。
(6)网络安全人才
网络专业人才在美国企业中已经供不应求。这让联邦政府必须继续投资新的方法去招募和留住网络安全人才。
过去一年,美国政府已经在“联邦网络安全能力再提升学院”(FederalCybersecurity Reskilling Academy)等项目中取得了成功,表明各机构可提高现有员工的能力,填补急需技能的差距。美国政府也在试点一个新的招聘流程,让联邦机构能更好地评估高级技术岗应聘者的能力,加快招聘流程,提高机构找到并雇佣最佳员工的能力。这种类型的项目正是让联邦政府成为最急需人才的有竞争力雇主所需的创新性工作。
总统预算案将对现有网络安全人才的能力再提升及专业发展加大投入。2021年预算也通过科学、技术、工程和数学(STEM)领域的教育项目、科学技术研究以及资助来支持全国劳动力的技术能力提升工作。
(7)联邦预算授权
总统预算案包含了188亿美元的网络安全相关活动预算授权,这与2020年的估算一致。由于一些活动的敏感性,该金额不代表网络领域的全部预算。
各机构估计的2021年网络安全预算授权反应了保护信息及信息系统的计划投入与潜在危害的风险及程度一致。但是,还有很多机构的网络安全相关支出不是用于保护自身网络,而是用于更广泛的网络安全任务。有很多项目为整个联邦政府提供工具和能力,例如国土安全部的CDM项目。此外,也有很多项目是进一步推进促进国家及联邦网络安全重点领域的发展,例如标准、研究、网络犯罪调查,而不是针对具体的技术能力。
(8)非联邦网络安全经费
虽然很难估计美国的私营部门对网络安全的投入,但咨询公司Gartner发布了全球网络安全支出常规估计,指出2020年网络安全经费预计达到1704亿美元。美国国际数据公司(IDC)预测2019年全球信息安全支出将增加10.7个百分点,达到1066亿美元,在2023年将达到1512亿美元。
表 各机构网络安全支出(单位:百万美元)
机构 | 2019财年 | 2020财年 | 2021财年 |
适用CFO法的机构 | $16,552.70 | $18,398.10 | $18,360.40 |
农业部 | $208.20 | $231.20 | $230.10 |
商务部 | $446.40 | $514.30 | $378.10 |
国防部 | $8,527.00 | $10,075.00 | $9,846.00 |
教育部 | $119.00 | $166.20 | $162.60 |
能源部 | $578.40 | $550.40 | $665.60 |
卫生与公众服务部 | $512.50 | $475.70 | $519.40 |
国土安全部 | $2,590.80 | $2,574.10 | $2,604.30 |
住房和城市发展部 | $60.80 | $68.20 | $69.00 |
司法部 | $837.20 | $900.50 | $929.20 |
劳工部 | $86.60 | $92.20 | $89.10 |
国务院 | $381.50 | $405.80 | $488.60 |
内政部 | $103.80 | $121.40 | $133.30 |
财政部 | $510.80 | $588.40 | $688.80 |
运输部 | $216.40 | $262.10 | $249.20 |
退伍军人事务部 | $491.70 | $524.60 | $460.40 |
国家环境保护局 | $42.10 | $32.50 | $46.80 |
联邦总务署 | $72.60 | $82.40 | $79.20 |
航空和航天局 | $167.60 | $166.60 | $163.80 |
国家科学基金会 | $246.40 | $226.30 | $212.00 |
核能管理委员会 | $28.80 | $27.50 | $26.90 |
人事管理办公室 | $40.90 | $47.10 | $53.80 |
小企业局 | $16.30 | $15.70 | $16.10 |
社会保障署 | $204.00 | $207.60 | $205.00 |
国际开发署 | $62.60 | $42.50 | $43.30 |
不适用CFO法的机构 | $384.30 | $393.60 | $418.40 |
总计 | $16,936.90 | $18,791.60 | $18,778.80 |
*小于等于5万美元
声明:本文来自新一代信息科技战略研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
