编者按
美国参议院军事委员会7月8日公布了该委员会版本的《2025财年国防授权法案》全文和报告。在法案中,与网络行动和网络部队有关的事项共计6项条款,与美国防部网络安全和信息技术有关的事项共计17项条款。此外,法案所附报告特别强调了23个感兴趣项目。
在与网络行动和网络部队有关的事项方面,法案要求:美国防部长在法案颁布1年内评估与美国国际伙伴和盟友开展网络安全合作活动的可行性,以减轻对源自和终止于美国境外的海底电缆的网络威胁;将联合部队总部-国防部信息网络(JFHQ-DODIN)提升为美国网络司令部的下属统一司令部,JFHQ-DODIN指挥官直接向美国网络司令部司令汇报;美国防部长在国防情报局的管理下建立一个全源分析中心,从而建立专门的网络情报能力,以支持美国网络司令部、其他作战司令部、军事部门、国防机构、联合参谋部和国防部长办公室对网络技术发展、能力、作战概念、作战以及网络威胁行为者的计划和意图的基础、科学和技术及全源情报的需求,同时在军事情报计划内向美国网络司令部司令提供指导和资源,以资助国家安全局的收集和分析,从而满足美国网络司令部司令制定的信号情报支持的具体要求;美国防部负责网络政策的助理部长与美国网络司令部司令、美国北方司令部司令、陆军跨部门培训和教育中心司令等协商和协调,以制定网络威胁桌面演习方案,旨在解决可能影响美国国防关键基础设施的各种威胁相关网络攻击场景,以实现国土防御和任务保障;美国审计长在法案颁布180内评估美国网络司令部保护隐私和公民自由的程序以及网络操作人员的培训要求;美国防部长在法案颁布60天内与美国国家学院达成协议,由后者评估在美国防部建立一支独立网络部队、完善并进一步发展美国网络司令部的现行以美国特种作战司令部模型为基础的组织方法的可取性。
在与美国防部网络安全和信息技术有关的事项方面,法案要求:美国防部网络犯罪中心执行主任在法案颁布180天内制定并实施一项计划,在2030年年底前每年与国防工业基础内的机构开展至少2次网络桌面演习,以评估应对程序、能力、权限、政策和资源方面的差距;美国防部长在法案颁布180天内通过国防部首席信息官制定联合作战云能力(JWCC)和其他多云环境的管理和网络安全战略;美国防部负责情报和安全的副部长在法案颁布90天内更新国防部的生物识别政策;美国防部首席信息官在法案颁布180天内制定零信任策略应用于军事物联网硬件的指导方针;美国防部长在法案颁布180天内向国会提交一项战略,以改善美国防部与美国中东盟友和伙伴间的合作,从而更好地利用合作伙伴共享网络能力,促进美国与此类盟友和伙伴间的联合防御努力;美国防部负责研究与工程的副部长与负责采购与保障的副部长以及首席数字与人工智能官协调制定“人工智能人为因素整合倡议”;在美国防部长向国会提交证明前限制任务合作伙伴环境(MPE)计划的可用资金;美国防部长、国家情报总监和参谋长联席会议主席2028年底前每年联合向国会相关委员会提交美国国家安全局和网络司令部间关系简报;美国防部负责采购和保障的副部长在与安全、适用性和认证绩效问责委员会负责人磋商后,可以改变美国国家背景调查局或此类机构的项目管理的里程碑决策权的分配;美国防部首席数据和人工智能官在法案颁布180天内与国防部负责采购和维持的副部长以及成本评估和项目评估主任协商制定一项计划,确保包含人工智能组件的项目的预算纳入人工智能数据成本预算;美国防部长通过国防部首席信息官实施一项政策,要求安全授权官员继承或互惠已由美国防部其他授权官员授权的云托管平台、服务或应用程序的安全分析和工件;美国防部长在2030年底前每年至少对移动设备的网络安全产品和服务开展1次评估,以确定可能改善美国防部所用移动设备网络安全的产品和服务;在美国网络司令部司令提交“下一代联合网络作战架构”发展计划前,限制开发联合网络作战架构的可用资金;美国防部长公共事务助理向国会提供关于美国防部某些媒体内容的数字内容来源认证教育课程和试点计划的简报;美国防部各部门在特定情况下可以购买替代网络安全产品和服务;美国防部长为处于极易受到网络攻击处境的美国防部人员提供网络保护支持;美国审计长在法案颁布180天内向国会汇报美国防部为保护其人员个人信息不被外国对手利用而做出的努力。
在特别感兴趣的项目方面,法案要求:美国太空军与学术界、业界和政府实验室合作制定应对太空网络战挑战的解决方案,并向国会汇报提高太空能力网络弹性的努力;美国陆军在未来的预算请求中考虑纳入有关与“陆军体系服务管理平台”(AESMP)相关的预期里程碑、时间表和资源需求的更多信息,包括与部署相关人工智能功能相关的需求;美国防部探索使用区块链技术来创建与供应链相关的安全、透明、可问责和可审计的数据,并向国会汇报区块链技术在国防部供应链管理中的潜在应用;联合部队总部-国防部信息网络指挥官在2025年3月31日前向国会汇报“网络作战战备评估”计划的实施情况;美国防部首席信息官制定指导方针,要求正式获得并维持国防关键资产和任务关键资产的持续运营授权,以确保安全使用和安全运营,同时向国会提供指南实施情况简报;美国审计长开展评估美国防部实施CMMC 2.0 情况的研究并向国会提供简报;美国防部负责网络政策的助理部长向国会提供说明美国防部和各军种如何提高其网络课程的灵活性和响应能力的调查结果和路线图;美国空军部长制定一项扩展现实投资和部署战略,并向国会汇报在空军部范围内标准化和集中化扩展现实工作的可选方案;美国防部首席信息官与美国防信息系统局局长协调向国会提供美国防部网络优化详细简报;美国防部长与网络司令部司令、印度太平洋司令部司令、联合部队总部-国防部信息网络指挥官、马里亚纳联合地区司令协调在2025年6月30日前制定关岛网络安全战略;美国防部首席信息官发布将运营技术纳入信息保证漏洞管理计划的指导意见;美国防部长与首席数字和人工智能官协调向国会提交报告,介绍美国防部为改善馈入CJADC2功能的数据源的数据结构的互操作性所做工作;美国防部各部门最大限度地利用美国防部“雷穹”计划的成功,美国防部首席信息官和国防信息系统局局长向国会汇报“联合区域安全堆栈”过渡计划;美国防部对其软件采购计划进行现代化改造,并全面采用软件采购途径,以实现快速开发和升级;美国海军部向国会提供MyNavy人力资源计划简报;美国国家安全局继续实施劳动力转型网络计划试点项目,优先为“培训培训师”课程提供资金,建立一个中央管理学术中心来同步、协调和指导参与项目的活动;美国防部向国会提供实施事件日志管理成熟度模型计划的简报;美国防部首席信息官向国会汇报其私有人工智能架构框架的开发和实施情况;美国防部长向国会提供美国防部针对为国防部信息网络提供端点安全的供应商开展红队分析的评估结果;美国防部长向国会提交说明国家支持的和恐怖主义的加密货币黑客攻击和加密货币犯罪对国防部利益和活动所构成风险的报告;美国防部负责采购和保障的副部长研究国防部内部现有的人工智能领域技能提升和再培训计划,并向国会提供研究结果;美国网络司令部将量子支持的人工智能纳入人工智能路线图和实施计划;美国防部负责网络政策的助理部长向国会汇报加强美国-约旦网络伙伴关系的进展情况和计划。
奇安网情局编译有关情况,供读者参考。
第十六章——网络空间相关事务
副标题 A——与网络行动和网络部队有关的事项
第1601节:评估与盟友开展合作活动以减轻对某些海底电缆的网络威胁的可行性。
(a)评估——不迟于本法案颁布之日起1年内,美国防部长应进行评估,以确定与美国的国际伙伴和盟友开展网络安全合作活动的可行性,从而减轻对源自和终止于美国境外的海底电缆的网络威胁。
(b)网络安全合作活动——
根据第(a)款考虑的网络安全合作活动应包括以下内容:
(1)有关海底电缆网络安全威胁和脆弱性的信息共享。
(2)对海底电缆项目进行网络安全风险评估,或分享现有风险评估结果。
(3)向海底电缆制造商和运营商推广网络安全最佳实践。
(4)海底电缆监测与修复能力的研究、开发与评估。
(5)制定针对受损海底电缆的应急计划和联合响应措施。
(c)报告——在完成第(a)款要求的评估后不迟于60天,美国防部长应向国会国防委员会提交部长关于评估的结果。
第1602节:将联合部队总部-国防部信息网络(JFHQ-DODIN)提升为美国网络司令部的下属统一司令部。
美国法典第10 篇第167b节经修订,在末尾添加以下新小节:
“(f)联合部队总部-国防部信息网络(JFHQ-DODIN)——联合部队总部-国防部信息网络(JFHQ-DODIN)应为美国网络司令部的下属统一指挥部,联合部队总部-国防部信息网络(JFHQ-DODIN)指挥官司令应直接向美国网络司令部司令汇报。”。
第1603节:网络情报中心。
(a)建立所需能力——美国防部长应建立专门的网络情报能力,以支持美国网络司令部、其他作战司令部、军事部门、国防机构、联合参谋部和国防部长办公室对网络技术发展、能力、作战概念、作战以及网络威胁行为者的计划和意图的基础、科学和技术及全源情报的需求。
(b)授权设立中心。——
(1)授权——根据第(2)款的规定,美国防部长可以在国防情报局的管理下建立一个全源分析中心,为根据第 (a)款建立的能力提供基础情报。
(2)限制——根据第(1)款设立的中心的信息技术服务不得由美国国家安全局提供。
(c)资源——
(1)总则——美国防部长应在军事情报计划内向美国网络司令部司令提供指导和资源,以资助国家安全局的收集和分析,从而满足美国网络司令部司令制定的信号情报支持的具体要求。
(2)活动转移——如果美国国家情报局局长同意,并且情报授权法明确授权,美国防部长可以将第(1)款要求的活动转移到美国国家情报计划。
(d)简报——不迟于本法颁布之日起180天,美国网络司令部司令应——
(1)对美国家安全局所需的信号情报收集和分析以及此类收集和分析的成本进行估算;和
(2)向美国会国防委员会、参议院情报特别委员会和众议院情报常设特别委员会提供有关根据第(1)款制定的估计的简报。
第1604节:支持网络威胁桌面演习。
(a)网络威胁桌面练习包的开发——
(1) 总则——美国防部负责网络政策的助理部长应与美国网络司令部司令、美国北方司令部司令、陆军跨部门培训和教育中心司令以及助理部长认为适当的其他人员协商和协调,制定第(2)款所述的桌面练习方案,旨在培训利益相关者,使美国做好应对冲突或战争期间或即将发生的对手网络攻击的准备。
(2)描述的桌面演习——本段描述的桌面演习是一种有计划的桌面演习,旨在解决可能影响美国国防关键基础设施的各种威胁相关网络攻击场景,以实现国土防御和任务保障。
(3)场地——根据第(1)款制定的桌面演习方案应包括机密和非机密模块,供参与个人和实体应对各种网络攻击场景。
(b)参与建议——助理部长应与美国网络司令部司令、美国北方司令部司令以及陆军跨部门训练和教育中心司令协商,使用根据第(a)小节开发的桌面演习包,制定参与桌面演习的建议。
(c)征集参与——助理部长可根据第(b)款联系个人和实体,征集他们自愿参加使用第(a)款开发的桌面演习包的桌面演习。
(d)识别国土网络防御中的间隙、差距和弱点以及吸取教训的程序——助理部长应制定程序来识别国土网络防御中的间隙、差距和弱点,并确定从使用根据第(a)款开发的桌面演习包进行的桌面演习中吸取的其他教训,这些教训可以提高国家安全和桌面演习的质量。
(e)简报——在使用根据第(a)款制定的桌面演习套件进行的第一次桌面演习结束后不迟于30天内,助理部长应向国会国防委员会提供关于演习中得到的经验教训的简报。
第1605节:美国审计长对美国网络司令部保护隐私和公民自由的程序以及网络操作人员的培训要求的评估。
(a)一般规定——不迟于本法颁布之日起180天,美国审计长应——
(1)对美国网络作战部队的培训和认证流程及规划程序进行评估,以确保在开展军事网络行动时保护美国人的隐私和公民自由;
(2)向国会提交审计长根据第(1)款进行评估的结果。
(b)要素——根据(a)(1)款进行的评估应涵盖以下内容:
(1)美国网络司令部网络作战部队在开展合法、授权的网络军事行动时,可以获得哪些指导、指示和培训来保护美国公民的隐私和公民自由。
(2)如何培训这些成员来保护这些权利。
(3)将保护此类权利纳入军事网络行动的规划和实施的过程,以最大限度地减少或减轻对此类权利的干扰。
(4)监察长办公室等外部监督机构在监督此类培训和认证要求方面的作用。
(5)第(1)款所述的此类指示和培训如何解决与国防支援民政当局任务有关的军事网络行动的执行,包括国内关键基础设施的网络防御。
第1606节:关于建立美国网络部队的潜在独立评估。
(a)协议——
(1)总则——美国防部长应寻求与美国国家学院达成协议,由美国国家学院根据第(b)款进行评估,并根据第(e)款提交报告。
(2)时间——美国防部长应在本法颁布之日起60天内达成第(1)款所述的协议。
(b)评估——
(1)总则——根据美国防部部长与美国国家学院根据第(a)款达成的协议,美国国家学院应对以下事项的可取性进行评估——
(A)在美国防部建立一支专门负责网络领域行动(在本节中称为“美国网络部队”)的独立武装部队;或
(B)完善并进一步发展美国网络司令部的现行组织方法,该方法以美国特种作战司令部模型为基础。
(2)范围——根据第(1)款进行的评估应包括考虑——
(A)可能在美国防部内建立一支独立武装部队,与陆军、海军、海军陆战队、空军和太空部队同等对待,目的是通过与美国网络司令部和其他统一作战司令部保持一致的职位,组织、培训和装备在网络领域开展行动所需的人员
(B)由美国网络司令部和其他统一作战司令部确定,美国网络部队能够制定和实施针对实现和开展网络空间行动所需的一系列技能和职业领域的招募和保留政策;
(C)通过与美国网络司令部和其他统一作战司令部保持一致的职位,美国防部武装部队在满足当前部队生成模型的要求以在网络领域实现和开展行动方面的表现和效力;
(D)美国防部武装部队在制定和实施针对美国网络司令部和其他统一作战司令部确定的实现和开展网络空间行动所需的一系列技能和职业领域的招募和保留政策方面的历史表现和效力;
(E)在网络管理、资源和运营方面,美国防部其他武装部队和美国网络部队间潜在的和建议的责任划分;
(F)在支持网络管理和运营所需的程度下,与组织、培训和装备网络空间作战部队成员(未在网络任务部队下担任职务)相关的潜在和建议的责任划分;
(G)美国防部各级别在网络任务部队服役、具有作战工作职位(由美国网络司令部司令定义)经验的武装部队成员,以及整个国防部军事和文职领导人对建立网络部队的看法和观点;
(H)美国防部其他武装部队在特定作战领域内的组建和组织程度,以及此类组建和组织结构对美国网络部队在网络领域的潜在适用性;
(I)美国国防部长、美国审计长或美国国家学院认为相关的其他实体就建立美国网络部队进行的先前相关评估、分析和研究的结果;
(J)外国有效且运作成熟的网络部队的组织结构,以及这种结构与潜在建立美国网络部队的相关性;
(K)从美国太空部队的创建中吸取的应应用于美国网络部队创建的经验教训;
(L)关于能够尽量减少对美国防部网络行动的干扰的美国网络部队组建方法建议;
(M)美国防部武装部队的历史,包括对1900年以来国防部每支新武装部队成立前的情况的分析;
(N)对美国网络部队的潜在军种秘书处领导结构进行的比较,包括在现有军事部门内建立美国网络部队;
(O)建立美国网络部队的累积潜在成本和影响。
(3)考虑因素——根据第(1)款开展的评估应包括对潜在的专门用于网络领域美国网络部队与当前模型在以下功能方面的性能和效力进行比较的评估:
(A)组织、训练和装备足够规模的部队,以满足美国防部现有和预计的需求。
(B)协调支持网络空间行动的培训要求和计划。
(C)招募并留住美国防部执行网络空间行动所需合格的军官和士兵。
(D)使用预备役部队支持网络空间作战。
(E)保持持久的军事战备状态。
(F)获取并提供网络能力以支持网络空间行动。
(G)为在美国防部武装部队中服役并有资格担任支持网络空间行动工作角色的成员建立薪酬平等。
(H)为在支持网络空间行动的工作岗位上服役和胜任工作的文职人员建立薪酬平等。
(I)为美国防部在网络空间行动支持工作岗位上服役并符合条件的武装部队成员建立晋升平等机制。
(J)为在网络空间行动支持工作岗位上任职并符合条件的文职人员建立晋升平等。
(K)开发以网络领域为重点的专业军事教育内容和课程。
(L)为网络领域当前和未来的行动提供强大而独特的法律支持。
(M)提供医疗支持,以解决由于网络空间作战节奏快而产生的独特心理压力。
(4)与现有模型的比较——第(b)款要求的评估应包括分析和考虑如何改进和进一步发展美国网络司令部的当前组织方法(目前以美国特种作战司令部为模型),使其相对于第(2)和(3)款确定的每个要素比美国网络部队发挥更优的作用。
(5)联合作战司令部的定义——本款中的“联合作战司令部”一词具有《美国法典》第10篇第161(e)节中赋予该术语的含义。
(c)联邦资助的研究与发展中心的支持——
(1)总则——根据美国国家学院的请求,美国防部长应寻求与第(2)款所述的联邦资助的研究和开发中心达成协议,根据该协议,该联邦资助的研究和开发中心应支持美国国家学院根据第(b)款进行评估。
(2)所述联邦资助的研究与开发中心。本段所述联邦资助的研究与开发中心是指联邦政府资助的研究和开发中心,其工作人员包括具有适当安全许可和以下方面专业知识的主题专家:
(A)网络战;
(B)人事管理;
(C)军事训练流程;
(D)采购管理。
(d)获取国防部人员、信息和资源——根据美国防部长和美国国家学院根据第(a)款达成的协议——
(1)只要美国国家学院认为有必要进行第(b)款规定的评估,美国防部长应同意向美国国家学院提供国防部的人员、信息和资源;
(2)如果美国防部长拒绝提供此类访问权限,或出现任何其他重大障碍,美国国家学院应同意在拒绝或其他情况发生之日起7日内通知国会国防委员会。
(e)报告——
(1)提交国会——根据美国防部长和美国国家学院根据第(a)款达成的协议,美国国家学院应在协议签署之日起270天内向国会国防委员会提交一份报告,其中包含美国国家学院根据第(b)款进行的评估的结果。
(2)禁止干涉——美国防部的任何人员或美国政府的任何其他官员或雇员(包括美国政府的行政部门)不得干涉、施加不当影响或以任何方式试图改变第(1)款规定的美国国家学院在该款提交之前的研究结果。
(3)形式——第(1)款规定的报告应以非机密形式提交,但可以包含机密附件。
副标题 B——与美国防部网络安全和信息技术有关的事项
第1611节:与国防工业基础机构开展网络桌面演习。
(a)网络桌面演习——不迟于本法颁布之日起180天内,美国防部网络犯罪中心执行主任应制定并实施一项计划,与国防工业基础内的机构开展网络桌面演习,每年至少两次,直至2030年12月31日。
(b)计划——第(a)款要求的计划应——
(1)符合美国防部关于网络桌面演习的指导;
(2)用于测试美国防部网络犯罪中心执行主任认为适当的政策、流程、技术或其他方面。
(c)评估。—
(1)要求——根据第(a)款开展的网络桌面演习完成后,美国防部网络犯罪中心执行主任应对程序、能力、权限、政策和资源方面的任何差距进行评估。
(2)报告——
(A)总则——根据第(1)款完成评估后不迟于180天,美国防部网络犯罪中心执行主任应向国会国防委员会提交评估报告。
(B)非机密摘要——根据第(A)款提交的每份报告应包括一份非机密摘要,以最大限度地分发结果。
第1612节:联合作战云能力(JWCC)和其他多云环境的管理和网络安全。
(a)总则——不迟于本法颁布之日起 180 天内,美国防部长应通过国防部首席信息官制定联合作战云能力(JWCC)和其他多云环境的管理和网络安全战略。
(b)战略——第(a)款要求的战略至少应:
(1)与美国防部零信任策略保持一致;
(2)为美国防部提供整个多云环境的网络可见性和互操作性;
(3)在多云环境中标准化或合理化用户身份,包括通过实施身份、凭证和访问管理(ICAM)技术;
(4)维护保护端点安全的通用手段;
(5)融入增强云原生应用程序保护的手段;
(6)更多地将人工智能应用纳入联合作战云能力(JWCC)和其他多云环境;
(7)提高联合作战云能力(JWCC)和其他多云环境使用情况报告的透明度,以改善用户和行业提供商的容量需求、预算和可预测性的规划;
(8)寻找机会改善数据使用和存储的内部规划,并简化云服务提供商的认证流程;
(9)包括一项计划,对美国防部必要的人员进行培训,使其了解如何将联合作战云能力(JWCC)应用于功能用例(如财务、人力资源或其他业务和管理应用),以及如何更有效地利用这种多云环境中固有的或纳入的网络安全能力。
(c)简报——不迟于本法颁布之日起 240 天,美国防部首席信息官应向国会国防委员会提供根据第(a)款制定的战略内容的简报。
第1613节:国防部生物识别政策更新。
(a)总则——不迟于本法颁布之日起90天,美国防部负责情报和安全的副部长应更新国防部的生物识别政策。
(b)要素——第(a)款要求的政策更新应包括以下内容:
(1)生物特征收集设备数据加密和保护标准。
(2)要求在处置收集设备和硬盘前对生物特征数据进行清理。
(3)要求美国防部各部门在将生物特征收集设备交由处置时,保存已从其上清除所有数据的记录。
第1614节:零信任策略应用于军事物联网硬件的指南。
自本法颁布之日起180天内,美国防部首席信息官应制定指导方针,指导如何——
(1)美国防部零信任战略适用于军事物联网硬件,包括人穿戴设备、传感器和其他智能技术;
(2)身份、凭证和访问管理技术在实施这种零信任策略中发挥的作用。
第1615节:中东国防一体化的联合合作伙伴共享网络能力。
(a)战略——
(1)总则——不迟于本法颁布之日起180天,美国防部长应向国会国防委员会提交一项战略,以改善美国防部与美国在中东的盟友和伙伴之间的合作,从而更好地利用合作伙伴共享网络能力,促进美国与此类盟友和伙伴之间的联合防御努力,保护美国及其盟友和伙伴的民众、基础设施和领土,免受美国防部长确定的、旨在破坏美国国家安全利益的国家和非国家行为者的侵害。
(2)内容——根据第(1)款提交的战略应包括以下内容:
(A)美国中央司令部(CENTCOM)正在进行的或美国中央司令部正在参与的实施联合合作伙伴共享网络能力的努力的摘要,该能力与位于中东的美国盟友和合作伙伴的资产相结合。
(B)总结进一步促进实施与中东盟友和合作伙伴的资产相结合的联合合作伙伴共享网络能力所面临的挑战,包括需要其他组织采取的行动或决定。
(C)针对第(B)款所概述的挑战可采取的行动建议。
(D)评估如何实施联合合作伙伴共享网络能力,以便与美国在中东的盟友和合作伙伴进行整合,从而——
(i)可以展示数据驱动决策的新工具、技术或方法;
(ii)通过加密数据访问控制和在多个安全级别上执行现有的数据共享限制,加速相关数据共享、数据可视化和数据分析;
(iii)利用多云计算环境中的当前活动来减少对仅基于硬件的网络解决方案的依赖。
(E)为实施与美国在中东的盟友和合作伙伴整合的联合合作伙伴共享网络能力而采取的行动建议,包括确定政策、资源、劳动力或其他不足之处。
(F)美国防部长认为相关的其他事项。
(3)指标——美国防部长应确定指标来评估第(1)款要求的战略实施进展情况。
(4)形式——第(1)款要求的战略应以非机密形式提交,但可以包含机密附件。
(5)敏感信息的保护——如果没有获得批准的计划保护方案和总体分类指南来执行保护敏感信息和美国国家安全利益的技术和信息保护协议,不得根据本节开展任何活动。
(b)建立作战司令部作战人员人工智能论坛——
(1)所需的政策和程序——不迟于本法颁布之日起180天,美国防部首席数据和人工智能官(CDAO)应发布政策和程序,为各作战司令部的作战人员建立一个关于人工智能的论坛,以帮助促进各作战司令部内部和之间有关人工智能工具、方法、培训、演习和作战研究等问题的协调和交流。
(2)考虑的目的——在制定第(1)款所要求的建立该款所述论坛的政策和程序时,CDAO应将以下事项视为该论坛的主要目的:
(A)确定近期应用人工智能工具的用例,包括市售的人工智能工具、数据、方法或技术。
(B)根据第(A)款确定的用例的风险分类,并考虑风险管理流程或执行当前政策的其他程序指南。
(C)识别并优先考虑适用于根据第(A)款确定的用例并符合美国防部制定的政策指南和标准的当前人工智能工具或新兴技术。
(D)确定作战司令部内人工智能相关专业知识或人员的培训或岗位不足之处。
(E)协调训练和实验场地,包括与地区伙伴和盟友的协调。
(F)寻找加强与地区伙伴和盟友合作的机会。
(G)为作战司令部寻找机会,与美国防部的其他部门(如国防创新机构)合作,更好地采购商业人工智能能力,包括来自合作伙伴和盟友的工业基地。
(3)报告——
(A)不迟于本法颁布之日起一年内,美国防部长应向国会国防委员会提交一份关于建立第(1)款所述论坛的进展情况的报告。
(B)根据第(A)款提交的报告应当包括下列内容:
(i)根据第(1)款发布的政策和程序的摘要。
(ii)本法颁布之日起召开的第(1)款所述论坛的所有会议的清单。
(iii)根据第(ii)款列出的会议的行程。
(iv)第(1)款所述论坛为实现第(2)款所考虑的每个目的而做出的努力的摘要。
(v)根据第(1)款所述论坛的调查结果,加速作战司令部采用人工智能能力的立法行动建议。
第1616节:人工智能人为因素整合倡议。
(a)要求的倡议——
(1)总则——美国国防部负责研究与工程的副部长应与美国防部负责采购与保障的副部长以及国防部首席数字与人工智能官协调,制定一项倡议以——
(A)通过应用认知人体工程学技术,提高人工智能系统和人工智能衍生信息的人机可用性;
(B)确保为程序提供设计工具和指标,以确保美国防部采用的人工智能系统考虑到人为因素。
(2)名称——根据第(1)款设立的倡议应称为“人工智能人为因素整合倡议”(本节中简称“倡议”)。
(b)简报——在本法颁布之日起一年内,美国防部负责研究与工程的副部长、国防部负责采购与保障的副部长以及首席数字与人工智能官应联合向参议院军事委员会和众议院军事委员会简报以下事项:
(1)美国防部实验室内现有的涉及相关主题的研究和开发工作,包括人机协作、以人为本的设计、认知负荷、认知人体工程学,以及正在使用或可用于告知或增强部门人员对人工智能系统和人工智能衍生信息的可用性的类似主题。
(2)确定美国防部人员与人工智能系统在作战和非作战环境中互动方面的研究差距,这可能需要联邦政府、业界或学术界进行进一步的研究。
(3)确定相关工具、方法、测试流程或系统以及评估指标,以用于美国防部改善部门人员的人工智能系统的认知人体工程学和人机可用性特征。
(c)计划——在提供(b)款要求的简报之日起90天内,美国防部负责研究和工程的副部长、国防部负责采购和保障的副部长和首席数字和人工智能官应联合制定和实施一项计划——
(1)与军事部门和其他国防部部门合作,确保在采购、采用或使用人工智能系统或人工智能衍生信息的开发或评估过程的早期考虑人为因素和人为系统集成因素;
(2)召开研究会议或其他论坛,与广大学术界、商业界和国际合作伙伴协调认知人体工程学研究或相关挑战;
(3)与首席数字和人工智能官合作,审查商业工具集,以评估此类商业工具集的人为因素整合投资水平;
(4)根据(b)(1)小节确定的研究和开发工作制定指南,涉及如何在美国防部3000.09指令(与武器系统自主权有关)或后续指令中为国防部的人工智能项目创建一个框架或分类法来描述适当水平的人类判断的行使。
(d)解释规则——本节中的任何内容不得解释为禁止或以其他方式限制美国防部长研究、开发、改进或采购任何由人工智能、机器学习或大型语言模型实现、授权、增强或改进的武器系统或其他能力的权力。
第1617节:任务合作伙伴环境(MPE)计划资金可用性限制
(a)限制——本法案授权为2025财政年度的任务伙伴环境(MPE)计划拨款的资金中,在美国防部长提供(b)中要求的证明日前,不得有超过90%的资金被承诺或支出。
(b)证明——美国防部长应向国会国防委员会证明——
(1)美国空军部长与国防部首席信息官共同制定了一项可执行的加速实施计划,以使任务合作伙伴环境(MPE)满足指挥控制信息共享网络的作战要求,其中包括一项现代化计划,减少定制硬件解决方案,淘汰传统硬件,并完全集成到联合全域指挥控制(JADC2)计划的规划组件中;
(2)经与各地区作战指挥官协调,美国空军部长正在实施明确、可衡量的行动,以满足作战计划、实施和稳定状态作战任务伙伴环境的要求,从而维持全球和区域处理节点的现有责任区特定网络。
第1618节:合并与美国国家安全局和网络司令部之间关系有关的简报要求。
(a)合并——《2017财年美国国防授权法案》(公法 114-328)第1642节第(c)款由《2020财年美国国防授权法案》(公法 116-92;133 Stat.1748)第1636节增加,修订内容如下:
“(c)年度简报——
(1)总则——不迟于2025年3月1日,以及此后每年直至2028年3月1日,美国防部长、国家情报总监和参谋长联席会议主席应联合向国会相关委员会通报美国国家安全局和网络司令部之间的关系。
(2)要素——第(1)款规定的每次简报应包括对下列内容的年度评估:
(A)美国国家安全局和网络司令部用于执行相关任务的资源、权力、活动、任务、设施和人员。
(B)用于管理风险、平衡权衡以及执行美国国家安全局和网络司令部任务的流程。
(C)对作战环境进行评估并持续权衡以满足任务的必要性和有效性。
(D)对美国国家安全局和美国网络司令部之间关系产生的实施效果的评估,包括去年因这种关系而开展的或受益于这种关系的具体活动的清单。
(E)美国防部长、国家情报总监和参谋长联席会议主席认为适当的其他议题。”
(b)一致废除——2023财年詹姆斯·M·英霍夫国防授权法案第1556条(公法 117-263;136 Stat.2924)被废除。
第1619节:美国国家背景调查局的信息技术项目
(a)里程碑决策权或项目管理监督的变化。
(1)总则——美国防部负责采购和保障的副部长在与根据第13467号行政命令第2.4(b)节指定的安全、适用性和认证绩效问责委员会负责人磋商后,可以改变美国国家背景调查局或此类机构的项目管理的里程碑决策权的分配。
(2)需要的国会通知——第(1)款规定的任务变更,应在美国防部负责采购和保障的副部长以书面形式向国会提交包括变更描述和理由的变更通知之日起30天后生效。
(b)符合美国国家标准与技术研究所隐私和安全标准的认证——不迟于本法颁布之日起 180 天,美国防部负责采购和保障的副部长应与安全、适用性和认证绩效问责委员会负责人协商——
(1)采取必要措施,确保美国国家背景调查局遵守美国国家标准与技术研究所特别出版物800-53第5版(涉及信息系统和组织的安全和隐私控制)或后续出版物或修订版中发布的相关标准和指南;以及
(2)向国会提交以下通知:
(A)证明此类服务符合此类标准和准则;或者
(B)解释为什么美国防部负责采购和保障的副部长无法证明此类服务符合此类标准和准则。
第1620节:人工智能数据的成本预算。
(a)所需计划——在本法颁布之日起180天内,美国防部首席数据和人工智能官(CDAO)应与国防部负责采购和维持的副部长以及成本评估和项目评估主任协商,制定一项计划,确保包含人工智能组件(包括作为大型项目子组件的支持系统、模型或分析工具)的项目的预算过程包括对数据类型的估计,以及训练、维护或改进此类程序中包含的人工智能所需的获取和维护此类数据的估计成本。
(b)计划要素——第(a)款要求的计划应包括以下各项内容:
(1)对当前包含人工智能组件的程序进行评估,包括相关训练数据的来源和成本。
(2)对训练、维护或改进人工智能模型或系统所需的数据需求(但目前尚未在记录程序中予以考虑)相关成本进行评估。
(3)绘制第(1)款所述项目的采办生命周期图,使预算里程碑或关口与国防部预算和执行过程中的关键设计或决策点保持一致。
(4)用于估算第(2)款中描述的成本的框架,并确保与训练、维护或改进人工智能模型或系统所需数据相关的成本适当地纳入包含人工智能组件的未来项目的生命周期维持估算中。
(c)实施——美国防部长应在完成第(a)款要求的计划制定之日起 90 天内开始实施第(a)款要求的计划。
(d)简报——自本法颁布之日起180天内,美国防部长应每年至少一次向国会国防委员会提供根据第(a)款制定的计划实施情况的简报,直至 2027 年。
第1621节:假定的互惠软件认证政策。
(a)所需政策——美国防部长应通过国防部首席信息官实施一项政策,要求安全授权官员继承或互惠已由美国防部另一授权官员授权的云托管平台、服务或应用程序的安全分析和工件(视情况而定),以便更快地采用和使用此类云托管平台、服务和应用程序,按照相应的分类级别并按照现有的授权条件,无需额外的授权或审查。
(b)要素——美部长应确保根据(a)款实施的政策——
(1)确保开发云托管平台、服务和应用程序的安全性、认证、性能和操作能力的标准化和透明的文档,以便任务所有者做出决策;
(2)提供直观和数字化的工作流程,以记录任务所有者和系统所有者对使用云托管功能的确认;
(3)指示在适当的机密级别上审查有关云托管能力状态的现有授权信息,以供任务所有者审查,包括通过管理仪表板或其他管理分析能力;
(4)定义一个流程,允许对系统安全性有不同意见的授权官员向首席信息官提出关切,以进行裁决。
(c)适用性——根据第(a)款实施的政策应适用于——
(1)美国防部所有授权官员,包括各军事部门以及国防部各组成部分和机构;
(2)所有云托管功能,无论是在通过美国联邦风险与授权管理计划(FedRAMP)和国防信息系统局(DISA)授权的公共云上,还是在由美国防部认证官员授权的国防部管理的私有云登陆区上。
(d)报告——不迟于本法案颁布之日起 120 天,部长应向国会国防委员会提交关于(a)款实施情况的报告。
第1622节:移动设备网络安全产品年度评估。
(a)年度评估——不迟于本法颁布之日起一年,并且此后每年不少于一次,直至2030年9月30日,美国防部长应对移动设备的网络安全产品和服务进行评估,以确定可能改善美国防部使用的移动设备网络安全的产品和服务,包括减轻针对移动设备的网络攻击给国防部带来的风险。
(b)网络安全技术——根据第(a)款进行评估时,美国防部部长应评估以下每项技术:
(1)匿名技术,包括动态选择器轮换、不可链接的支付结构和匿名上载。
(2)网络化的全内容检查。
(3)移动设备案例硬件解决方案。
(4)设备上的虚拟专用网络。
(5)受保护的域名服务器基础设施。
(6)移动设备端点检测的扩大覆盖范围。
(7)美国防部长认为适当的任何其他新兴或成熟技术。
(c)要素——根据第(a)款进行评估时,对于第(b)款描述的每项技术,美国防部长应——
(1)评估该技术为移动设备提供的网络安全的功效和价值;
(2)评估在整个美国防部或其分支机构推广该技术的可行性,包括在整个美国防部或其分支机构部署该技术的时间表;
(3)评估美国防部将该技术与部门现有网络安全架构相结合的能力。
(d)年度报告——在根据第(a)款开展评估的每一年,美国防部长应向国会国防委员会提交一份报告,报告其对该年度根据该款进行的评估的调查结果,包括确定美国防部或其任何部门是否应该采购或纳入根据第(b)款评估的任何技术。
第1623节:联合网络作战架构(JCWA)资金可用性限制。
(a)限制——在本法案授权为联合网络作战架构(JCWA)在2025财政年度拨款的资金中,在美国网络司令部司令提供(b)小节所要求的计划之日之前,不得有超过95%的资金被承诺或支出。
(b)计划——
(1)总则——美国网络司令部司令应向国会国防委员会提交向下一代联合网络作战架构(NexGen JCWA)迈进的计划。
(2)内容——第(1)款要求的计划应包括以下内容:
(A)停止或尽量减少当前联合网络作战架构(JCWA)组件继续开发的细节,包括在12到18个月内稳定当前架构的时间表,以及此类行动可为未来几年的国防计划提供的资源。
(B)对修订后的下一代联合网络作战架构计划进行范围界定和初步基线计划,包括时间表、与军事部门的协调、拟议的新能力集的描述、当前联合网络作战架构能力与拟议的新功能的映射,以及超出计划修订后可获得的权限或资源需求的额外权限或资源需求。
第1624节:关于美国防部某些媒体内容的数字内容来源认证教育课程和试点计划的简报。
《2024 财政年度国防授权法》(公法 118-31)第 1524 条修订如下:
(1)在第(a)款中——
(A)将第(3)款重新指定为第(4)款;并且
(B)在第(2)款后插入以下新的第(3)款:
“(3)临时简报。
(A)总则——不迟于《2025 财政年度国防授权法》颁布之日起 60 天内,美国防部长公共事务助理应向参议院军事委员会和众议院军事委员会汇报根据第(1)款建立教育课程的进展情况。
(B)要素——第(A)款下的简报应涵盖以下内容:
(i)美国防部在制定教育课程方面的现状。
(ii)任何可能影响教育课程发展的初始资源限制或其他挑战。
(iii)美国防部长认为适当的其他事项。”;以及
(2)在第(b)款中——
(A)将第(5)款重新指定为第(6)款;并且
(B)在第(4)款后插入以下新的第(5)款:
“(5)临时简报。
(A)总则——不迟于《2025 财政年度国防授权法案》颁布之日起60天内,美国防部长公共事务助理应向参议院军事委员会和众议院军事委员会提供第(1)款要求的试点计划状况的简报。
(B)要素——第(A)款下的简报应涵盖以下内容:
(i)美国国防媒体活动主管为确定一个用于试行验证美国防部媒体内容的行业开放技术标准所采取的行动。
(ii)可能妨碍试点计划的成功实施的任何资源限制或其他挑战,无论是预算、人员还是政策。
(iii)美国防部为实施试点计划而制定的任何业务流程或战略规划。
(iv)美国国防媒体活动主管认为适当的任何其他事项。”
第1625节:修改禁止通过美国防部网络数据产品和服务采购项目管理办公室以外的方式购买网络数据产品或服务的规定。
《2022 财政年度国防授权法》第1521(c)节(公法 117-81;10 USC 2224 注释)修订如下:
(1)在第(1)款中,删除“;或”,并插入分号;
(2)在第(2)款末尾删除句号,并替换为“;或”;以及
(3) 在结尾处增加以下新款:
“(3)该组成部分向办公室提交理由,说明产品的需求由于其紧迫性或为了确保市场内的产品或服务竞争而迫切需要,从而取代了成本考虑”。
第1626节:有关为处于极易受到网络攻击处境的美国防部人员提供网络保护支持的改进。
《2017财年美国国防授权法案》第1645条(公法114-328;10 USC 2224 注释)修订如下:
(1)在第(a)款中——
(A)在第(1)款中——
(i)在“个人技术设备”之后插入“和个人账户” ;以及
(ii)在“第(2)款”之后插入“并应向任何提出支持请求的人员提供此类支持”;以及
(B)在第(2)(B)款中,在“个人技术设备”之后插入“或个人账户”;
(2)在第(c)款中——
(A)在第(1)款中,在“个人技术设备”之后插入“或个人账户”;以及
(B)在第(2)款中,删除“和网络”,替换为“、个人网络和个人账户”;
(3)删除第(d)款和第(e)款,并插入以下新的第(d)款:
“(d)定义——在本节中:
(1)‘个人账户’一词是指美国防部人员在其受雇范围之外使用的在线和电信服务账户,包括电话、住宅互联网接入、电子邮件、文本和多媒体消息、云计算、社交媒体、医疗保健和金融服务。
(2)‘个人技术设备’一词是指美国防部人员在其受雇于该部门的范围之外使用的技术设备,包括此类设备所连接的网络。”
第1627节:审计长报告关于保护美国防部人员个人信息免遭外国对手利用的努力。
(a)总则——不迟于本法颁布之日起180天内,美国审计长应向国会有关委员会简要介绍美国防部为保护其人员个人信息不被外国对手利用而做出的努力。
(b)要素——第(a)款要求的简报应包括对以下要素的任何意见:
(1)对美国防部为保护武装部队成员、国防部文职雇员、退伍军人及其家人的个人信息(包括智能手机生成的位置数据)免遭外国对手利用所做努力的评估。
(2)为有效应对这一威胁改进美国防部政策和计划的建议。
(c)报告——审计长应在双方同意的时间在其网站上发布一份非机密报告,该报告可能包含提交给美国国会国防和情报委员会的机密附件,内容涉及第(b)款所述的内容。
(d)适当的国会委员会。在本节中,“适当的国会委员会”一词是指——
(1)美国会国防委员会;
(2)美参议院情报特别委员会;
(3)美众议院常设情报特别委员会。
特别感兴趣的项目
1、应对太空网络战
委员会指出,美国太空军目前在为其太空资产开发网络战弹性能力方面面临挑战,这可能使其容易受到网络攻击。委员会认为,美国太空军应与学术界、业界和政府实验室合作,制定应对这些挑战的解决方案。因此,委员会指示美国太空军参谋长在2025年6月1日前向美参议院军事委员会汇报提高太空能力网络弹性的努力。此类汇报应包括:
(1)对太空资产网络安全风险的评估;
(2)调查国内外在太空领域感知和网络作战研究与开发方面的能力和专业知识,以便快速检测、跟踪和归因受到攻击的轨道平台;
(3)审查现有的用于跟踪太空资产的数据和标准以及相关的技术限制;
(4)为当前和未来的太空资产制定新兴和未来网络强化技术路线图。
2、美国陆军体系服务管理平台
委员会指出美国陆军网络司令部、体系信息系统项目执行办公室和陆军网络体系技术司令部在部署陆军体系服务管理平台(AESMP)方面的联合努力取得了成功。该计划是向超过140万美国陆军用户和美国陆军站点以及所有国防部信息网络-陆军IT服务请求、事件和查询提供关键全球信息技术(IT)支持的单一联络点。
委员会意识到,AESMP 提高了美国陆军为其IT资产收集的数据的质量、准确性和建模潜力,从而改善了用户体验、IT成本可审计性和网络安全。委员会认为,该计划推进了利用人工智能的强大新途径,作为准确、经过验证的美国陆军生成数据的权威数据源,以改善用户体验和安全性。委员会鼓励美国陆军考虑在未来的预算请求中纳入有关与AESMP相关的预期里程碑、时间表和资源需求的更多信息,包括与部署相关人工智能功能相关的需求,这将进一步改善用户体验、IT效率、IT可审计性和网络安全。
3、区块链技术对供应链安全性和透明度的评估
委员会认为,数据驱动的供应链安全性、透明度、可问责性和可审计性对美国国防和经济竞争力至关重要。委员会指出,区块链技术有可能增强国防供应链的加密完整性,提高数据完整性,并降低近乎同等竞争对手操纵或破坏某些类型数据的风险。委员会还认为,美国防部应探索使用区块链技术来创建与供应链相关的安全、透明、可问责和可审计的数据。
因此,委员会指示美国防部长不迟于2025年4月1日向美参议院军事委员会汇报区块链技术在国防部供应链管理中的潜在应用。汇报内容应包括:
(1)对在供应链跟踪和管理中实施区块链技术的潜在利益和风险的评估;
(2)对美国防部和国防工业基础在供应链跟踪和管理中采用区块链的现状的分析;
(3)探索在供应链管理中使用区块链技术的试点项目或研发工作计划;
(4)关于纳入区块链技术以支持供应链透明度和可审计性的立法或监管行动的建议;
(5)美国防部长认为相关的任何其他信息。
4、网络作战准备评估更新
委员会支持联合部队总部-国防部信息网络(JFHQ-DODIN)指挥官从指挥网络战备检查转向网络作战战备评估 (CORA)计划,以此作为评估国防部信息网络作战区域(DAO)网络战备状况的主要手段。委员会认为,CORA有助于加强美国防部信息网络的网络态势和弹性。委员会还认为,CORA可以为JFHQ-DODIN和每个DAO内现有的应急计划活动提供信息,并为网络操作人员提供更大的灵活性,以保护网络空间通信线路,并在对抗环境中的军事行动期间支持持续的通信和信息流。
因此,委员会指示 JFHQ-DODIN指挥官不迟于2025年3月31日向美参议院和众议院军事委员会汇报CORA计划的实施情况。此类汇报应包括:
(1)显示DAO对当前威胁脆弱性的数据库演示;
(2)确定每个DAO的风险和评估频率的指标,包括如何通过高级分析平台或其他管理仪表板向指挥部领导层报告指标;
(3)确定使用自动化或人工智能工具支持CORA的区域或任务;
(4)用于自动化评估工作流程和开展此类评估的美国防部检查分析工具的演示;
(5)采用文件级数据安全防止体系级文件共享或其他协作平台上的数据丢失的可行性和可取性。
5、美国防部关键设施和资产的网络弹性
委员会担心,持续存在的国家支持的网络行为者(例如 Volt Typhoon)将恶意软件嵌入国防关键基础设施中的联网运营技术(OT),也可能直接破坏或拒止美国防部设施及其支持的行动。委员会指出,《2022财年美国防授权法案》第1505条(公法117-81)要求美国防部长完成网络空间任务相关地形内国防关键资产(DCA)和任务关键资产(TCA)的OT测绘。虽然实现任务威胁分析和态势感知是识别易受攻击系统的基本第一步,但委员会认为,美国防部还必须通过持续发现、监控和OT管理能力来快速降低风险,以保护资产、检测攻击并保障设施内工作人员的安全。
2022年7月,美国防部发布了《美国防部零信任参考架构》,其中包括“遵从连接”(C2C)计划要求,以识别、保护和检测国防部信息网络(DODIN)连接的设备,从而确保持续的安全配置。委员会指出,C2C是防御性网络行动的推动者,可应对检测到的威胁,提供对通用作战图的开发至关重要的信息。
鉴于最近的联合公告警告称,针对基础设施和设施的恶意软件泛滥,委员会强烈建议美国防部采取额外行动,在C2C计划内增加整个网络基础设施运行的工具和技术框架,以确保将连接到国防部信息网络或配置无线接入的运营技术和系统纳入其中,以保护DCA和TCA。此外,委员会建议修改C2C标准,要求关键设施和资产中的运营技术和建筑系统实现持续运营授权(cATO),并进行主动持续监控、主动网络防御和安全软件供应链控制。
因此,委员会指示美国防部首席信息官(CIO)制定指导方针,要求正式获得并维持DCA或TCA的cATO,以确保安全使用和安全运营。美国防部CIO应在2026年1月15日前向参议院和众议院军事委员会提供本指导方针的副本。
此外,美国防部CIO应在2025年9月15日前就本指南实施情况提供临时简报。简报应包括有关军事部门间C2C计划标准化程度的信息;实现OT和互连建筑系统cATO的要求;以及负责实施C2C计划和cATO的军事人员可获得的培训、资源和OT保护能力的描述。
6、网络安全成熟度模型认证 2.0
委员会认识到有效、标准化的网络安全对于帮助美国防部应对网络安全威胁和漏洞的重要性。网络安全成熟度模型认证(CMMC)框架于2020年11月实施,以实现国防采购的统一网络安全标准。这些标准旨在直接帮助国防工业基础并最大限度地降低合同中的风险。然而,2021年3月,美国防部开始简化和精简CMMC流程,从而提出了变更建议并更新了CMMC 2.0模型。这个更新后的模型仍然追求相同的目标,但实施方面的不明确引起了业界的一些担忧,尤其是小型企业和主要作为大型国防系统商业供应商的分包商。对于大学来说,实施的障碍包括建立与许多传统信息技术系统无缝互操作的新系统的过程、分离数据以实施访问控制的能力,以及协调政府与大学利益相关者和决策者之间的政策互动。虽然在某些情况下,合规成本可以从外部合同中扣除,但建立新的合规制度的大部分成本是管理费用,蚕食了可用于研究本身的资金。
委员会了解到,修订后的CMMC 2.0模型包括新元素,例如第三方认证流程,这些元素将在未来财政年度实施。虽然最初的CMMC流程旨在用作验证程序,但委员会担心,这些要求无法有效地映射到应对新出现的威胁,特别是在运营技术和物联网领域。此外,短期内满足某些标准的要求对许多供应商来说都是一项挑战,从而限制了它们为国防工业基地供货的能力。委员会担心,一些组织必须投入大量时间和费用来使系统达到美国国家标准与技术研究所 800-171 标准,尤其是为国防公司供货的小型企业和商业制造商。此外,必须解决和标准化受控非机密信息的使用和分类问题,特别是在国防部的标记方面。委员会建议美国防部评估CMMC 2.0模型,以最好地确定如何改进合规性要求,以防止一刀切的做法。
因此,委员会指示美国审计长开展一项研究,以评估美国防部对CMMC 2.0的实施情况,包括:
(1)说明美国防部打算如何最大限度地提高CMMC适应人工智能、运营技术和物联网领域不断变化的威胁环境的能力;
(2)标准化和符合美国防部受控非机密信息标记流程的计划以及对认证流程的预期影响;
(3)美国帮助分包商(包括小型和非传统企业)达到 CMMC 合规性的计划;
(4)实体维持合规性的“红队”要求水平的评估;
(5)审计长认为适合纳入研究意图的任何其他信息。
委员会还指示美国审计长不迟于2025年3月1日向参议院和众议院军事委员会提供临时简报,并在双方同意的日期发布最终报告。
7、美国防部网络课程路线图
委员会承认美国防部和各军种在过去十年中为网络作战人员制定新的网络课程所取得的重大成就。该委员会还承认网络领域对现代战争的持久重要性,承认网络影响着陆、海、空、天等其他作战领域的所有军种。委员会进一步指出,网络领域的独特之处在于,新能力和新工具的开发、使用或淘汰速度甚至比传统军事能力更快,这要求美国防部的网络安全体系和网络任务部队迅速调整,以领先于威胁。
因此,委员会指示美军各军种部长与其首席网络顾问、负责网络政策的美国防部助理部长和美国网络司令部司令协商,审查其网络机构的课程,了解其适应和融入新技术、能力、培训、策略和程序的速度。审查应包括人工智能和云计算如何被纳入上述课程,或将如何被纳入未来的课程。
此外,委员会指示负责网络政策的美国防部助理部长汇编这些调查结果的报告,并包括一份路线图,说明美国防部和各军种如何提高其网络课程的灵活性和响应能力,以适应日益动态的威胁环境。委员会还指示负责网络政策的美国防部助理部长在2025年6月15日前向美国国会国防委员会汇报此次审查的结果和路线图。
8、美国空军部扩展现实发展战略
该委员会支持空军部通过重点关注整个企业的投资组合调整、系统优化以及更好的政策和治理调整来减少冗余和低效的信息技术(IT)支出。虽然委员会赞扬对标准化和整合的重新整体关注,但它也认识到在快速发展的扩展现实(XR)领域中协调运营和基础培训 IT 投资的独特挑战。委员会认为,更有针对性的指导XR投资的子策略可以实现更广泛的培训内容,增强安全性和互操作性,改善培训体验,并更好地支持未来空军人员的发展。
因此,委员会指示美国空军部长制定一项XR投资和部署战略,并在2025年3月1日前向美国国会国防委员会简要介绍在空军部范围内标准化和集中化XR工作的选项。该战略应包括:
(1)精简和正规化投资以及整合XR内容和交付生态系统的选项;
(2)更好地协调负责后勤、工程和部队保护的美国空军副参谋长办公室职权范围内以及空军教育和训练司令部职权范围内的作战训练IT平台的建议;
(3)利用针对XR优化的集中式数字中心以更深入地发现、交付和创建培训内容的计划;
(4)提高安全性和互操作性、保护知识产权、实现数字记录保存和维护模块化开放式架构的标准和协议;
(5)用于访问所有XR培训内容的单一接入点、登录名和用户账户的可行性评估;
(6)促进商业技术和小企业更广泛融入的政策建议。
9、美国防部网络优化
委员会对美国防信息系统局(DISA)处理国防飞地服务(DES)合同的进展感到担忧,因为它未能实现将国防机构和实地活动网络迁移到“国防部网络”(DoDNet)的既定目标。该合同是在两年前授予的,但由于营运资金无法支付前期成本,进展停滞。这种预算方法已被证明是不够的,因为承包机构 DISA 和计划迁移的实体都没有为迁移所需的初始采购成本编制预算。从网络安全角度来看,这种僵局使美国防部更加暴露,并继续浪费关键网络现代化所需的时间和资源。
因此,委员会指示美国防部首席信息官与DISA局长协调,不迟于2025年3月1日向美参议院和众议院军事委员会提供详细的简报,介绍计划的融资策略,以及2026至2030财年DES合同迁移里程碑的时间表。
10、关岛网络安全战略
委员会赞赏美国防部为改善关岛的物理防御所做的努力,包括为减轻关岛关键基础设施网络漏洞带来的风险而做出的初步努力。然而,委员会担心,如果没有额外的网络安全投资,国家支持的网络犯罪分子或其他代理团体可能会利用这些潜在漏洞破坏、削弱、阻止和摧毁美国在关岛及其周边地区的军事能力。
因此,委员会指示美国国防部长与美国网络司令部司令、美国印度太平洋司令部司令、联合部队总部-国防部信息网络指挥官、马里亚纳联合地区司令协调,不迟于2025年6月30日制定关岛网络安全战略。关岛网络安全战略应至少包括以下内容:
(1)在关岛建立持久的网络保护团队的计划;
(2)关岛的网络弹性评估计划,包括对关岛国防部信息网络进行基线评估的计划以及与持续的网络反对力量的定期重新评估;
(3)在关岛建立有机民间网络能力以补充国防部网络保护团队的计划,包括劳动力管道和研发活动;
(4)与密克罗尼西亚联邦、马绍尔群岛共和国、帕劳共和国开展网络合作活动可取性和可行性的评估;
(5)通过合作研发协议或其他方式与美国国防工业基地和工业伙伴合作以加强关岛网络态势的计划;
(6)与包括美国海岸警卫队在内的其他联邦机构协调应对网络事件的计划;
(7)确定实施关岛网络安全战略所需的任何资源;
(8)确定更有效地实施关岛网络安全战略所需的任何权限;
(9)美国防部长认为适合包括的其他事项。
此外,在关岛网络安全战略完成后不迟于30天内,美国防部长应向国会国防委员会作简要汇报。
11、关于将运营技术纳入信息保障漏洞管理计划的指导
委员会指出,《2024财政年度国防授权法案》(公法118-31)第1502条要求美国防部对国防关键资产进行盘点,并为整个国防部信息网络(DODIN)使用的网络物理系统和运营技术(OT)提供基线网络安全要求。委员会知道,美国防部当前的漏洞管理平台规定,所有连接到国防部信息网络的设备都在漏洞管理计划的范围内。但是,OT目前不是体系漏洞管理流程的必需部分,由于国防部无法完全了解其攻击面,因此面临风险。委员会认为,将OT纳入现有的漏洞管理流程是确保国防部信息网络安全的必要步骤。
因此,委员会指示美国防部首席信息官发布将OT纳入信息保证漏洞管理计划的指导意见,并在2025年3月1日前向美参议院和众议院军事委员会介绍该指导意见。该指导意见应包括定期漏洞评估、报告要求和运营技术补救时间表的明确指导方针。该指导意见还应包括所需的程序变更和进度基准。
12、提高人工智能工具的数据兼容性
委员会指出,人工智能工具及其同时接收、提取、处理、分析和可视化来自多个数据源的数据的能力将继续在实施融合联合全域指挥控制(CJADC2)计划中发挥关键作用。委员会担心,输入CJADC2 的数据源的数据结构间缺乏互操作性,限制了人工智能工具同时接收、提取、处理、分析和可视化来自多数据源数据的能力。委员会认为,所有生产、管理或拥有向CJADC2输入数据的数据源的美国防部部门和机构间合作伙伴都应采取措施提高其数据源的互操作性,以扩大数据源的多样性。委员会进一步认为,美国防部应该填充相关系统,这将有助于实现任务目标并支持对摄取通用数据结构挑战的实际理解。
因此,委员会指示美国防部长与首席数字和人工智能官协调,不迟于2025年1月15日向美国国会国防委员会提交一份报告,介绍美国防部为改善馈入CJADC2功能的数据源的数据结构的互操作性所做的努力。该报告应包括:
(1)描述数据标准制定机构为制定美国防部遵循的数据标准而正在进行的努力以及制定这些数据标准所面临的挑战,包括数据标准制定机构所面临的挑战;
(2)目前有效并由美国防部为提高输入CJADC2功能的数据源数据结构的互操作性所实施的政策和程序的描述,包括遵守数据标准制定机构制定的数据标准;
(3)通用元数据标准团队制定的数据标准的采用和实施情况的描述,以及此类采用和实施延迟所带来的挑战;
(4)在实施具有CJADC2功能的数据源信息实时共享时所面临挑战以及如何应对这些挑战的描述,以及解决这些挑战的里程碑时间表;
(5)美国防部长选定的负责为CJADC2目的制定部门数据标准的数据标准制定机构的所有国防部部门和跨部门合作伙伴的名单;
(6)美国防部长认为相关的其他事项。
13、最大限度地实现美国防部“雷穹”计划的成功
委员会了解到,美国防部必须在2027年前实现其零信任要求,并制定严格的时间表。这一演变的核心部分是从传统的联合区域安全堆栈(JRSS)迁移。委员会指出,无论用户位置或设备如何,确保 JRSS 继任者采用最小特权访问、持续信任验证和持续安全检查实践,同时保护所有数据和所有应用程序,都非常重要。
委员会对“雷穹”(Thunderdome)项目的成功原型设计和生产协议感到鼓舞,该项目预计将在整个美国防部体系中迅速推广。为在美国防部规定的时间内实现既定目标,委员会认为美国防部各部门应该利用“雷穹”等技术,这些技术依赖于开放的供应商选择流程和生产前的全面原型设计。委员会认为,这些属性对于确保可升级性和适应性是必不可少的。
因此,委员会指示美国防部首席信息官和美国国防信息系统局局长不迟于2025年3月1日向美国国会国防委员会简要介绍该部门的JRSS过渡计划,重点介绍传统JRSS如何纳入与零信任一致的持续信任验证和安全检查,无论用户位于何处或使用什么设备。
14、现代软件采购
委员会指出,软件对于军事平台的有效性和决策优势至关重要。委员会继续鼓励美国防部对其软件采购计划进行现代化改造,并全面采用软件采购途径,以实现快速开发和升级。委员会指示负责采购和保障的美国防部副部长在2025年1月15日前向美参议院和众议院军事委员会提供简报,介绍美国防部为更广泛、更充分地利用软件采购途径而创造激励措施的努力,包括对软件开发和改进的行业最佳实践的建议。
15、MyNavy人力资源现代化
委员会意识到MyNavy人力资源现代化计划的紧迫性,因为美国海军部人员的工资、退休和其他福利一直存在严重延迟的问题,而这些福利对他们的士气和战备状态至关重要。委员会还意识到,美国海军计划将55个旧系统整合为数量较少的系统,以解决海军和海军陆战队人员及其家人面临的薪酬挑战,并支持美国海军的招募和留用目标。
委员会指出,MyNavy人力资源计划面临的若干挑战阻碍了其现代化,包括整个美国海军体系的数据可靠性;MyNavy人力资源计划缺乏一个单一的集成商来整合专注于数据可靠性、可追溯性和有效性的不同数据元素和技术;过度定制的解决方案增加了复杂性并阻碍了有效的软件和安全修补。
因此,委员会指示美国海军部长在2025年4月1日前向美参议院和众议院军事委员会提供简报,内容包括:
(1)MyNavy人力资源现代化工作的组织结构描述以及过去一年中对项目管理任务所做的任何更改;
(2)从2026财年到未来几年国防计划的MyNavy人力资源现代化预算,包括将整体现代化工作整合到单一预算项目中潜在好处的评估;
(3)美国海军如何在不创建新的集中式数据存储库的情况下确保整个MyNavy人力资源现代化工作的数据完整性的计划;
(4)确定可以纳入MyNavy人力资源架构的任何潜在商用现货解决方案;
(5)美国海军部部长认为适当的任何其他信息。
16、美国国家安全局网络安全劳动力试点计划
委员会支持继续实施美国国家安全局的劳动力转型网络计划试点项目,该项目通过网络安全和人工智能学术卓越中心提供证书课程。委员会还支持美国防部将试点项目编入永久在册项目的意图。
委员会鼓励优先为成功的“培训培训师”课程提供资金,该课程为退伍军人、急救人员和少数民族服务机构提供奖学金,让他们能够参加涉及安全编码、人工智能、计算机科学和量子网络安全的证书课程。由于美国防部希望在未来发展其网络任务部队,并反映专用基础网络情报能力的需求,委员会支持将新功能纳入该计划。
委员会还认为,建立一个中央管理学术中心来同步、协调和指导参与项目的活动可能有助于与美国防部的优先事项和人力资源需求保持一致。委员会认为,这样的中央管理机构应该是一所指定的研究型大学,该大学自试点项目成立以来就一直参与其中,并具有与各种学术合作伙伴合作开发网络安全课程的经验,以及综合项目管理的经验。
17、联网数据记录
委员会对SolarWinds和Log4j等网络攻击对美国国家安全系统和国防网络日益增加的网络安全威胁感到担忧。委员会指出,美国防部缺乏整体范围的标准化数据记录格式,无法帮助改善取证分析、自动化漏洞检测和网络情报改进以支持网络防御。
美国白宫行政管理和预算局(OMB)2021年8月27日发布了一份备忘录,题为“提高美国联邦政府对网络安全事件的调查和补救能力”(OMB-21-31),指示联邦部门和机构实施事件日志管理的成熟度模型。该备忘录符合2021年5月12日发布的《提高国家网络安全》行政命令(第14028号行政命令)中包含的调查和补救能力增强指南。但是,委员会了解到美国防部尚未完全实施OMB-21-31中包含的要求。
因此,委员会指示美国防部首席信息官不迟于2025年4月1日向美参议院军事委员会汇报其OMB-21-31实施计划,包括使用商用现成解决方案的计划以及实施所需的任何额外资金需求。
18、私有人工智能
委员会赞扬国防部宣布的以可扩展、安全和可互操作的方式采用和实施人工智能(AI)的战略。委员会指出,私有人工智能,即构建和部署尊重用户和组织的隐私和数据控制的人工智能技术的方法,将是这一过程的重要组成部分。利用非专有的私有人工智能平台和架构,美国防部可以部署大语言模型,同时在现有的私有和混合云技术平台上安全地维护部门数据、模型和算法的控制和隐私,并实现集成安全和管理。
因此,委员会指示美国防部首席信息官不迟于2025年3月31日向美参议院军事委员会汇报其私有人工智能架构框架的开发和实施情况,包括当前和未来的用例。
19、红队端点保护供应商
委员会认识到美国防部信息网络(DODIN)的规模庞大、性质复杂,以及确保国防部信息网络免受各种网络威胁的至关重要性。在美国防部评估为国防部信息网络提供端点安全的供应商时,委员会认为美国防部应该使用同类最佳的红队服务提供商来分析每个技术供应商相对于彼此的优势和劣势。
因此,委员会指示美国防部长提供自2023年1月1日以来美国防部开展的任何此类红队分析的结果,并在不迟于2025年3月1日向美国国会国防委员会汇报此类评估的结果。
20、有关敌对国家非法加密货币活动对美国防部威胁的报告
委员会对美国国家情报总监、国防情报局局长和其他高级军事领导人的证词感到担忧,这些证词指出,朝鲜、伊朗和俄罗斯等敌对国家正依靠加密货币黑客攻击和从处理普通加密货币交易中收取的费用来资助其武器计划和其他非法活动。据信,哈马斯和真主党等恐怖组织已收到数千万美元的加密货币来资助其行动。
因此,委员会指示美国防部长在2025年3月20日前向美参议院和众议院军事委员会提交一份报告,说明国家支持的和恐怖主义的加密货币黑客攻击和加密货币犯罪对国防部利益和活动的风险,包括总体金额以及与其他非法金融活动的金额和范围相比。报告应包括:
(1)敌对国家和恐怖组织从加密货币黑客攻击中获得的收入估计,以及这些组织的疑似目标;
(2)敌对国家和恐怖组织从加密货币交易相关费用中获得的收入估计;
(3)通过加密货币资助的贿赂为运输危险和非法物质提供便利的安全影响;
(4)美国防部为打击加密货币协助的恐怖主义和犯罪而采取的活动描述。
21、审查人工智能领域人才提升计划
委员会意识到,包括新兴人工智能(AI)和机器学习系统在内的新自动化工具有可能扰乱美国防部的流程和劳动力。然而,委员会认识到,这种颠覆在“创造性破坏”方面可以带来积极的好处,这种破坏会彻底改变国防部开展业务的方式,或迫使劳动力从过时的工作方式转变为更高效、更有效的模式。在此过程中,委员会指出,美国防部必须找到留住和再培训劳动力的方法,以保持经验丰富的劳动力的优势,这些劳动力了解部门的需求,并具备在这种转变的商业环境中运作的新技能。
因此,委员会指示负责采购和保障的美国防部副部长通过采购创新研究中心,对国防部内部现有的技能提升和再培训计划进行研究,包括来自商业供应商的计划,并在2025年8月1日前向参议院军事委员会提供简报。这项研究应包括:
(1)对于人工智能自动化可能取代现有劳动力的业务支持角色,如财务、合同、数据录入和人力资源,确定国防部提供的或商业培训和教育提供商提供的培训或认证机会
(2)此类课程所需的费用和培训时间;
(3)确定现有的再培训或技能提升机会中是否存在差距;
(4)关于如何最好地激励和针对适当劳动力部门的此类机会的建议。
22、美国网络司令部人工智能路线图更新
委员会对美国网络司令部制定人工智能路线图和实施计划的工作表示赞赏,该计划探索了如何在网络空间日益动态的威胁环境中利用人工智能。然而,委员会认为,量子计算的预期进展有可能影响人工智能的速度、效率和准确性。虽然这些进步可能会在网络领域创造优势,但也有可能给网络操作人员带来新的作战挑战。委员会认为,制定一项计划来评估和减轻量子支持的人工智能带来的网络安全漏洞,并将量子支持的人工智能纳入美国网络司令部的人工智能路线图和实施计划,对于美国网络部队做好准备,以有效捍卫美国在网络空间的利益并保持在网络领域的持久优势至关重要。
因此,委员会指示美国网络司令部司令在2025年8月1日前向美国国会国防委员会提交一份计划,将量子支持的人工智能纳入美国网络司令部的人工智能路线图和实施计划,这是《2023财年美国国防授权法案》(公法 117-263)的要求。该计划应包括以下策略:
(1)评估和缓解量子支持的人工智能造成的网络安全漏洞;
(2)在网络行动中利用量子支持的人工智能;
(3)评估5年期间对美国网络司令部的资源、部队结构和采购活动的影响。
23、美国-约旦网络伙伴关系
委员会赞赏美国与约旦哈希姆王国间建立的强大防务伙伴关系。委员会支持美国防部(包括美国网络司令部)正在开展的努力,以协助约旦加强其网络防御并打击军事和民用网络上的恶意活动。美国和约旦间的此类国际网络合作活动可以帮助美国防部了解全球网络威胁的性质和范围。这些努力还可以帮助美国防部加强其自身的网络保护和威慑举措。委员会还认为,约旦发展更具弹性和更有效的网络能力可以加强日益动态的威胁环境中的防御性和进攻性网络行动。
因此,作为与约旦哈希姆王国网络合作活动的一部分,委员会鼓励美国防部考虑投资建立网络训练靶场,以帮助网络人员发展与网络攻击调查和补救、网络事件响应和网络威胁情报收集相关的技能。委员会进一步鼓励美国防部考虑支持在约旦建立国际网络卓越中心作为网络培训活动区域中心的可取性和可行性。
委员会指示负责网络政策的美国防部助理部长不迟于2025年2月15日向美国国会国防委员会汇报美国防部的进展情况以及加强美约网络防御伙伴关系的计划。
声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。