编者按:美参议院军事委员会7月15日发布该委员会版本《2026财年美国国防授权法案》全文。该法案中涉网络空间事宜条款共30条,分为“与网络作战和网络部队有关的事项”“与美国防部网络安全和信息技术有关的事项”“数据与人工智能”三大方面。
“与网络作战和网络部队有关的事项”部分共10条,涉及到网络威慑战略、预备役网络部队融合、网络部队部署运用、网络人才战略、人工智能行业合作、网络靶场管理、网络部队资源控制和管理、网络空间行动授权、网络人才管理等方面。
网络威慑战略方面,法案要求美国防部制定一项战略和一系列涵盖所有军事能力的行动方案,以对网络空间攻击形成可靠的威慑,并为未来针对美国国防关键基础设施的此类攻击做好准备。该战略应纳入如何跨整个进攻计划和行动在网络空间阻止对手行动的评估,并概述美国防部可以通过施加成本行动方案展示可信威慑力的一系列可用选项。该战略内容应包括:全面评估对手的网络能力和针对国防关键基础设施攻击的意图;确定该战略旨在威慑对手的具体网络能力和行为体行动;确定需要承担风险的目标类型和方法,以及在不同升级级别上需要采取哪些行动来施加成本;评估针对这些类别目标产生所需效果的能力和任何相关要求差距,以及对威慑和升级的相对影响;评估进攻性网络作战与其他军事能力手段结合以及独立于其他军事能力手段在形成有效威慑方面的作用,并评估成功开展这些进攻性网络作战所需的现有能力和能力差距;评估有关威胁敌方目标的现行政策和权限,并提出修改建议,以实现有效威慑和可控升级;评估揭示和隐藏标准和方法,以证明美国在维护作战安全的同时施加成本的能力;整合跨部门合作伙伴以及盟友和合作伙伴、业界和学术界的框架,以增强威慑力。该行动方案针对竞争、危机和冲突进行组织,包含一系列军事替代方案,这些方案应以根据上述战略为指导,运用各种军事能力,包括主动施加成本或威胁施加成本的进攻性网络行动,以形成可信的威慑。
预备役网络部队融合方面,法案要求美国防部2026年8月1日前向美国会提交关于将预备役部队整合到网络任务部队以支持网络空间行动的报告。该报告应评估预备役部队各个等级所拥有的不同权限,特别关注美国防部如何在网络任务部队中使用预备役部队的人员并支持网络空间行动;分析当前和计划中的与美军各军事部门、国民警卫队和各州副官的合作,以开发独特的网络能力,满足已确定的作战需求,并最大限度地利用当地的行业专业知识和学术伙伴关系;描述与美国各军事部门、国民警卫队局和各州副官合作的方法,以追踪和确定不属于军事部门成员主要军事职业专长、而是通过其平民职业经验发展起来的关键技能和能力;确定所需的岗位、资源和支持基础设施,以最大限度地发挥预备役部队的独特专业知识、能力和权限,支持美国防部的网络任务;评估哪些类型的权限最有利于最大限度地激活和支持预备役部队对网络空间作战;评估预备役部队融入网络任务部队以支持网络空间行动的现有障碍或阻碍。法案要求美国防部制订一项实施计划,详细说明美国防部如何更好地将预备役部队整合到美国防部的网络任务部队和网络空间行动中。该实施计划应包括:明确规定美国防部、各军事部门、网络司令部和国民警卫队局的角色和职责;实施建议行动的时间表和里程碑;衡量整合工作进展和有效性的指标;资源需求,包括实施计划所需的人员、设备和资金;有关政策变革的建议,以及(如果适用)改善整合的立法提案;持续评估和改进预备役部队整合的战略;对部队结构要求和最佳预备役部队组织的详细分析;对拥有关键、低密度和高需求网络技能的预备役人员的激活资金的全面评估;预备役人员和具有网络能力的部队被激活时,对网络任务部队战备状态的作战影响评估。
网络部队部署运用方面,法案要求美国防部在2026年6月1日前网络部队未来的部队运用概念进行审查,以评估在哪些方面可能需要对人事政策变化提出额外建议。上述审查和更新应涉及各军事部门和美国网络司令部的相关职责,包括:网络部队未来兵力运用概念的评估;美国网络司令部与各军事部门在招募和保留方面的协调,以确保网络任务部队和各军事部门的人员需求得到适当满足;网络任务部队成员接受未来潜在部队专业军事教育或新的专业军事教育的机会;此类未来部队成员晋升途径扩展情况的评估;各军事部门和美国网络司令部之间共享数据,以获取此类未来部队人员的人口统计和其他技能识别信息。对网络部队未来兵力运用概念的评估应包括:将网络作战部队的其他单位纳入各种地理作战司令部作战场景,以使用射频网络或其他离网网络作战技术,提供战术级效果,或与非网络战术单位整合;对当前网络任务部队结构之外的新编队或新型编队进行评估;试验其他条令、组织、训练、物资、领导和教育、人员、设施和政策方法,以实现超越当前网络任务部队的在线作战方法的网络效应或综合非动能效应。法案要求美国防部2026年7月1日前开展一项关于为支持作战司令部而部署部队的全面研究,并对在所有地理作战司令部建立网络联合特遣部队单位进行评估。该项研究和评估应包括:对所有地理作战司令部的网络部队部署需求和能力的评估;各地理作战司令部作战区域内网络联合特遣部队单位的作战需求的益处和局限性的评估;对网络联合特遣部队单位的最佳指挥控制结构的分析;对部队结构需求的评估;对网络能力与效果的整合与维持的评估;各地理作战司令部支持性基础设施需求的确定;网络联合特遣部队单位潜在任务和工作路线的描述;与各地理作战司令部内现有实体的关系的分析。该项评估研究还应包括一项全面的实施计划,以建立跨地理作战司令部的网络联合特遣部队单位,从美国印度太平洋司令部开始。
网络人才战略方面,法案要求美国防部在2027年1月31日前制订全面的网络劳动力战略,并向美国会提交所制定战略的报告。人工智能行业合作方面,法案要求美国网络司令部司令2026年8月1日前与相关美国防部领导协作,完成为美军网络空间行动制定人工智能网络能力行业合作路线图,并于2026年11月1日前向美国会提供制定路线图的简报。该路线图应建立一个私营部门和美国防部间的协调框架,通过各种方面将最先进的人工智能能力整合到网络攻防行动中。网络靶场管理方面,法案要求美国防部在2027年1月15日前完成对美国防部网络靶场现行监督结构的全面评估,包括对网络测试靶场和网络训练靶场单独执行机构指定的评估。网络部队资源控制和管理方面,法案要求修改《美国法典》,赋予美国网络司令部权限,以直接控制和管理训练、装备、运营和维持网络任务部队的规划、编制、预算和执行资源。网络行动权限方面,法案要求修改《美国法典》,赋予美军通过武力保护美国防部关键基础设施的权限。网络人才管理方面,法案要求作为美国国防网络劳动力框架的一部分,美国防部长应在2026年5月1日前设计并实施一项计划,以积极管理向预备役网络部队过渡的网络人才。
“与美国防部网络安全和信息技术有关的事项”部分共10条,涉及到网络边界防御、武器平台网络威胁监控、运营技术网络安全、IT技术债务、国防关键基础设施弹性、军事专用5G部署、网络数据产品和服务、电信线路过渡、联合全域指挥控制计划、联合火力网络计划、网络测试与评估、海底电纳防护等方面。
网络边界防御方面,法案要求美国防部实施全面内容检查的现代化计划,将现代化的网络边界防御能力扩展到美国防部信息网络的接入点和跨域能力,以及任何其他网络互连点,支持美国防部网络防御司令部定义的作战任务;要求美国防部现代化网络边界防御能力的试点项目在适当情况下利用对人工智能的投资来揭示并积极打击外国对美国防部网络的网络侵略。
武器平台网络威胁监控方面,法案要求美国防部在2027年1月1日前全面评估关于建立在美国防部范围内对国防武器平台进行网络威胁实时监控计划的可行性和可取性,旨在通过自动、实时监控来检测和缓解威胁,修复所有目前不具备满足武器系统平台网络安全要求能力的武器系统平台。
运营技术网络安全方面,法案要求美国防部在2026年12月1日前评估建立运营技术网络安全培训卓越中心的可行性和可取性,旨在实现美国防部在运营技术和工业控制系统的安全和保护方面的培训制度化。
IT技术债务方面,法案要求美国防部在2026年9月1日前制定一个框架,将技术债务(即“在短期内权宜之计的设计或实施结构”)的评估、跟踪和管理整合到美国防部现有的信息技术投资决策和预算论证材料流程中。
国防关键基础设施弹性方面,法案要求美国防部在法案颁布后180天内建立“任务基础设施弹性工作组”,支持对执行现有国防作战和应急计划所必需的国防关键基础设施的脆弱性进行评估。该工作组旨在对基于用例的任务线程进行评估和分析,以全面识别、开发和实施保护和维护国防关键基础设施所需的全部能力;建立和整合必要的资源、技术、通信系统、策略、技术和程序、具有适当权限的人员和演习计划,以确保在支持军事行动和应急的关键基础设施受到威胁、削弱或破坏时做出有效反应。
军事专用5G部署方面,法案要求美国防部2026年3月1日前整合各军事部门制定的值得投资专用第五代信息和通信网络的基地优先名单,并确定美国防部专用第五代开放无线接入网络(ORAN)网络的最佳投资、部署和支出计划。
网络数据产品和服务方面,法案要求美国防部向美国国会简报计划如何建立一个开放和竞争的流程,以采购一流的网络安全解决方案,包括端点、身份和威胁搜寻解决方案,以及使用多个不同的网络安全提供商来支持美国防部网络的运营弹性所带来的好处。
电信线路过渡方面,法案要求美国防部制定并向美国会提交一份全面的计划,以从传统线路过渡到符合美国防部安全要求的基于互联网协议的线路。
联合全域指挥控制计划方面,法案要求美国防部长向国会提供此类计划的框架,以帮助指导投资并衡量计划的进展。联合火力网络计划方面,法案要求美空军部在2026年2月1日前向美国会提供将该计划过渡为美国空军内部登记项目的计划和进展情况。
网络测试与评估方面,法案要求美国防部不得采取任何行动剥离、合并或削减任何现有的网络评估能力或美国家安全局认证的红队,以支持美国防部计划的作战测试和评估。
海底电纳防护方面,法案要求美国防部在2026年3月1日前召集关于确保海底电缆安全性、弹性和完整性的工作组,以在2027年2月1日是前提交保护涵盖海底电缆和涵盖电缆登陆站免受外国威胁的评估报告,在2027年3月15日前向美国会提供有关上述报告中调查结果和建议的简报,在2027年2月1日前向美国会提交一项保护海底电缆和海底电缆登陆站的战略。
“数据与人工智能”部分共10条,涉及到人工智能公私网络安全合作、人工智能数字沙盒环境、人工智能模型评估和监督、数据本体治理、通用人工智能、人工智能系统网络安全采购、人工智能指南和禁令、数字内容来源、涉操作安全数据安全保护等方面。
人工智能公私网络安全合作方面,法案要求美国防部在法案颁布后180天内设立一个公私合作机构,以应对高性能人工智能和机器学习系统的网络安全和物理安全威胁和漏洞。该机构应定期召开会议,讨论高性能人工智能和机器学习系统特有的网络安全和物理安全威胁及漏洞,重点关注国家支持的网络行为体构成的当前和新兴威胁;促进美国防部和商业行业之间最佳实践和强大的网络安全和物理安全框架的开发、共享和协调,以保护人工智能和机器学习系统;促进美国防部与商业实体之间的协作性威胁情报共享,特别关注关键基础设施、国防行动和敏感国家安全功能中使用的人工智能和机器学习系统中的漏洞;制定网络安全和物理安全政策增强建议,旨在保护人工智能和机器学习技术免受国家支持的网络攻击,并每年向国会报告调查结果和政策建议。该机构的代表将分别来自于美国防部相关机构,以及在高性能人工智能和机器学习系统或网络安全或物理安全实践方面具有专业知识的商业行业公司、联邦政府资助的研发中心、国家实验室和学术机构。
人工智能数字沙盒环境方面,法案要求美国防部在2026年4月1日前建立一个人工智能沙盒环境工作组。该工作组应确定、协调并推进整个美国防部范围内的各项工作,以开发和部署必要的虚拟环境,以持美国防部各部门的人工智能实验、培训、熟悉和发展。由上述虚拟环境构成的“人工智能沙盒”将被用于:为不同技能水平人员提供不同技术水平的能力;实现人工智能模型的构建、训练、评估和部署;促进现有人工智能能力的熟悉和利用;加速整个美国防部负责任地采用人工智能。
人工智能模型评估和监督方面,法案要求美国防部在2026年6月1日前成立一个负责人工智能模型评估和监督的跨职能团队。该跨职能团队的职责包括:制定美国防部目前使用的人工智能模型的标准化评估框架;为美国防部未来考虑使用的人工智能模型评估制定美国防部范围的指南;制定模型开发、测试和部署的治理结构;根据用例风险确定适当的评估级别;建立跨组成机构协作的机制;制定用例提交、审查和批准的流程。
数据本体治理方面,法案要求美国防部在2026年6月1日前成立“美国防部本体治理工作组”。该工作组负责制定和实施整个美国防部的通用数据本体和治理结构,以提高数据互操作性,加强信息共享,并使整个美国防部能够更有效地做出决策。该工作组应在2027年6月1前制定并发布有关数据本体治理结构的美国防部级的政策,包括领域特定本体的开发、维护和集成指南。
通用人工智能方面,法案要求美国防部在2026年4月1日前成立“人工智能指导委员会”。该委员会职责包括:分析人工智能模型和支持实现通用人工智能的赋能技术的当前发展轨迹;评估美国的对手在实现通用人工智能目标方面的技术、操作和理论发展轨迹;分析通用人工智能对美国防部的军事应用和影响;制定美国防部采用通用人工智能的战略;分析对抗性使用通用人工智能所带来的威胁形势,并制定防御此类使用的选项和反通用人工智能策略。
人工智能系统网络安全采购方面,法案要求美国防部美制定一个框架,用于实施与涵盖的人工智能和机器学习技术有关的网络安全和物理安全标准和最佳实践,以减轻美国防部因使用此类技术所面临的风险。该框架应涵盖人工智能和机器学习系统安全的所有相关方面,包括:人员风险,例如内部威胁风险;培训和人力发展要求;供应链风险,例如假冒组件或数据中毒风险;与对抗性篡改人工智能系统有关的风险;与人工智能系统或数据意外暴露或盗窃有关的风险;安全态势管理实践,包括安全措施治理、持续监控和事件报告程序;对可用于持续监测和评估的商业平台进行的评估。
人工智能指南和禁令方面,法案要求美国防部自法案颁布30天内:要求所有美国防部办公室和部门从所有美国防部系统和设备中排除或移除所涵盖的人工智能(特指由DeepSeek公司和HighFlyer公司相关联的人工智能);在确定人工智能对所有部门系统和设备构成国家安全风险的前提下,考虑向所有部门办公室和部门发布指导,以排除或移除外国对手实体开发的人工智能;要求任何与美国防部签订有效合同的承包商不得使用涵盖的人工智能来履行、协助、执行或以其他方式支持完成或部分支持与美国防部签订的合同。
数字内容来源方面,法案要求美国防部在2026年6月1日前制定一份路线图,指导美国防部未来可能采用和整合数字内容来源能力。该路线图应:确定和评估当前和拟议的数字内容来源开放技术标准;确定与保护和验证面向公众的数字内容有关的战略目标;描述各军事部门和美国防部各组成机构的相关角色和职责;探索建立标准化流程,以便在适当的面向公众的美国防部媒体中嵌入和验证内容凭证;概述支持技术和解决方案的潜在获取方法;制定适当的指标,评估数字内容来源技术的有效性、可靠性和可扩展性;建立与相关利益相关方协调的合作机制;建立按财政年度分列的概念里程碑和资源需求,为长期规划提供信息。
涉操作安全数据安全保护方面,法案要求美国防部确定与武装部队成员和美国防部文职雇员的操作安全有关或可能对其操作安全产生影响的个人数据,并优先保护这些数据,防止收集、使用、传播或保留不符合隐私相关法律和惯例规定的数据;在2026年6月1日前审查所有与部门人员操作安全相关或可能对其操作安全产生影响的个人数据保护相关的适用指南和政策,并在必要时发布修订版或新的指南,以加强此类数据的保护措施;确保与美国防部人员的操作安全相关或可能对其操作安全产生影响的部门个人数据均不存储在非部门服务器或云服务上,除非符合美国防部签订的合同或其他协议或者经数据主体许可。
奇安网情局编译有关情况,供读者参考。
第十六章——网络空间相关事宜
副标题A——与网络作战和网络部队有关的事项
第1601节:全面的网络劳动力战略
(a)所需战略和报告——不迟于2027年1月31日,美国防部长应通过国防部首席信息官和负责网络政策的助理部长,并与各军事部门的首席信息官和首席网络顾问协商:制定全面的网络劳动力战略;并向美参议院军事委员会和众议院军事委员会提交所制定战略的报告。
(b)内容——第(a)(2)款要求的报告应包括以下内容:
(1)对2023-2027年美国防部网络劳动力战略实施中取得的进展和剩余差距进行评估,包括确定根据(a)(1)款制定的战略中应继续、修改或停止的内容。
(2)对美国国防网络劳动力框架(在本节中称为“框架”)进行描述性分析,包括国防部用于衡量进展情况和评估实施(a)(1)款要求的战略的有效性的目标、活动、里程碑和关键绩效指标。
(3)评估“框架”受影响劳动力的范围,包括具体劳动力数量、空缺职位数量、工作角色或与人事系统指标有关的其他统计数据。
(4)根据第(2)款所述的目标、活动、里程碑和关键绩效指标,确定美国防部实施“框架”的进展情况。
(5)识别美国防部在实施“框架”过程中发现的任何问题、难题或障碍,以及自该框架发布以来对进展衡量或纳入新目标、活动、里程碑、关键绩效指标或工作角色所需的任何调整,以及美国防部为克服问题或缺乏权力解决障碍而采取的任何措施。
(6)利用非美国防部实体或其他美国联邦机构内任何劳动力或人才管理机构的支持的机会,将这些实体纳入“框架”可能会使美国防部受益。
(7)支持“框架”人才管理流程并可能提高绩效或效率的商业工具的可用性,包括劳动力资格和认证跟踪、人才识别和跟踪、在现有人事管理系统中标记额外的技能标识符,或加强特定工作角色的技能发展。
(8)利用可能从其他领域借鉴的补充人员模型的机会,例如网络平民预备队或网络辅助部队。
(9)整合现有的学术卓越中心或其他大学合作伙伴关系,以帮助改善劳动力发展、人才获取和技能发展。
(10)审查人工智能、数据科学和数据工程框架的工作角色,以评估与行业中相应工作角色的一致性,并提出修改建议,以便更有效地招募行业人才。
(11)根据(a)(1)款制定的战略的资源需求和实施时间表,包括预算估计和关键里程碑。
(c)外部意见——在制定制定(a)(1) 款要求的战略时,美国防部长可以征求或协调在人力资源规划或人力资本战略、高等教育或培训或网络专业行业协会方面具有相关专业知识的外部组织的意见。
(d)形式——根据(a)(2)款提交的报告应以非机密形式提交,但可以包含机密附件。
第1602节:美国网络司令部人工智能行业合作路线图
(a)所需路线图——不迟于2026年8月1日,美国网络司令部司令应与美国防部首席数字和人工智能官、美国防高级研究计划局局长、美国防部负责研究和工程的副部长、美国防部负责采购和保障的副部长以及美国国防创新机构主管协调,完成为美国防部网络空间行动制定人工智能网络能力行业合作路线图。
(b)目的——根据第(a)款制定的路线图应建立一个私营部门和国防部间的协调框架,通过以下方式将最先进的人工智能能力整合到进攻性和防御性网络空间行动中:
(1)召集美国商业人工智能开发人员、网络安全专家和相关联邦政府办公室;
(2)促进人工智能技术和网络作战能力的信息交流。
(c)要素——根据第(a)款制定的路线图应解决以下问题:
(1)管理和执行与业界合作研究与开发伙伴关系的各种替代方案的行动方针和选择方法。
(2)人工智能网络能力及相关近期用例的协作开发路线。
(3)行业参与和商业合作的战略和方法,包括:网络工具和能力行业合作的合同机制;行业合作伙伴的安全审查要求、目标和资源需求;对现有合同和合作权限的评估,对所需的政策变化或新的权限的识别。
(4)实施目标、阶段性进展和相关试点情况。
(5)从开发到运营使用的技术转交机制。
(6)基础设施要求和相关成本。
(7)对组织结构选项的评估,包括建立新中心或整合现有组织。
(d)国会简报
(1)初步简报——不迟于2026年11月1日,美国网络司令部司令应向美国国会国防委员会提供根据(a)款制定的路线图的简报。
(2)年度更新——自美国总统向国会提交2028财政年度预算之日起,至2030年12月31日止的期间内,美国网络司令部司令应每年至少一次向国会国防委员会简报根据第(a)款制定的路线图开展的行业合作活动的现状。
第1603节:针对美国国防关键基础设施的网络攻击的威慑战略
(a)总则——美国防部长应与负责网络政策的美国防部助理部长、美参谋长联席会议主席、美国网络司令部司令以及负责国防连续性和任务保证的美国防部副助理部长协调,制定一项战略和一系列涵盖所有军事能力的行动方案,以对网络空间攻击形成可靠的威慑,并为未来针对美国国防关键基础设施的此类攻击做好准备。
(b)策略
(1) 总则——美国防部部长应当确保第(a)款所要求的战略:纳入如何跨整个进攻计划和行动在网络空间阻止对手行动的评估;概述美国防部可以通过施加成本行动方案展示可信威慑力的一系列可用选项。
(2)要素——第(a)款要求的战略应当包含以下要素:
(A)全面评估对手的网络能力和针对国防关键基础设施攻击的意图。
(B)确定本战略旨在威慑对手的具体网络能力和行为体行动。
(C)确定需要承担风险的目标类型和方法,以及在不同升级级别上需要采取哪些行动来施加成本。
(D)评估针对这些类别目标产生所需效果的能力和任何相关要求差距,以及它们对威慑和升级的相对影响。
(E)评估进攻性网络作战与其他军事能力手段结合以及独立于其他军事能力手段在形成有效威慑方面的作用,并评估成功开展这些进攻性网络作战所需的现有能力和能力差距。
(F)评估有关威胁敌方目标的现行政策和权限,并提出修改建议,以实现有效威慑和可控升级。
(G)评估揭示和隐藏标准和方法,以证明美国在维护作战安全的同时施加成本的能力。
(H)跨部门合作伙伴以及盟友和合作伙伴、业界和学术界的整合框架,以增强威慑力。
(3)截止日期——美国防部、部长应于2026年12月1日或之前完成(a)款要求的战略制定。
(c)行动方针
(1)总则——(a)款要求的各种行动方案清单应包含一系列军事替代方案,这些方案应以根据该款制定的战略为指导,运用各种军事能力,包括主动施加成本或威胁施加成本的进攻性网络行动,以形成可信的威慑。这些行动方案应针对竞争、危机和冲突进行组织。
(2)截止日期——美国防部长应不迟于2026年6月1日完成第(a)款要求的各种行动方案清单的制定。
(d)向美国国会提交简报和文件——
(1)临时简报——不迟于2026年3月1日,美国防部长应向国会国防委员会提供关于(a)款要求的战略的临时简报。
(2)最终简报和提交——不迟于2026年6月1日,美国防部长应:向美国国会国防委员会提供根据(a)款制定的战略的简报,以及根据该款制定的各种行动方案的清单;向美国国会国防委员会提交关于该战略和各种行动方案清单的报告。
(e)定义——在本节中:
(1)“国防关键基础设施”一词的含义与《2017财年国防授权法》第 1650(e)节中“国防部关键基础设施”一词的含义相同。
(2)“施加成本”一词是指针对对手采取的行动,造成的经济、外交、信息或军事后果足以改变对手针对美国的网络空间行动的行为或算计。
第1604节:对美国网络司令部司令的某些预算控制责任分配年度评估和报告的修订(编注:略)
第1605节:关于预备役部队融入网络任务部队和网络空间作战的报告
(a)需要报告——不迟于2026年8月1日,美国防部网络政策助理部长和美国网络司令部司令应与美国国民警卫队局局长、美国各军种主要网络顾问、各预备役部队首长以及美国防部人事和战备副部长办公室协调,向美国国会国防委员会提交关于将预备役部队整合到网络任务部队以支持网络空间行动的报告。
(b)内容——第(a)款要求的报告应包括以下内容:
(1)评估预备役部队各个等级所拥有的不同权限,特别关注美国国民警卫队和《美国法典》第32 编规定的权限,以及美国防部如何在网络任务部队中使用预备役部队的人员并支持网络空间行动。
(2)分析当前和计划中的与美军各军事部门、国民警卫队和各州副官合作的努力,以开发独特的网络能力,满足已确定的作战需求,并最大限度地利用当地的行业专业知识和学术伙伴关系。
(3)描述与美国各军事部门、国民警卫队局和各州副官合作的方法,以追踪和确定不属于军事部门成员主要军事职业专长、而是通过其平民职业经验发展起来的关键技能和能力。
(4)确定所需的岗位、资源和支持基础设施,以最大限度地发挥预备役部队的独特专业知识、能力和权限,支持美国防部的网络任务。
(5)评估哪些类型的权限最有利于最大限度地激活和支持预备役部队对网络空间作战,包括可能需要的任何立法行动。
(6)评估预备役部队融入网络任务部队以支持网络空间行动的现有障碍或阻碍,并评估与第(1)至(5)款有关的缓解举措。
(7)美国防部网络政策助理部长和美国网络司令部司令认为适当的其他事项。
(8)第(c)款要求的实施计划。
(c)实施计划
(1)所需计划——第(b)(6)款要求的实施计划应详细说明美国防部如何更好地将预备役部队整合到国防部的网络任务部队和网络空间行动中。
(2)要素——第(b)(6)款要求的实施计划应包括以下内容:
(A)明确规定美国防部、各军事部门、网络司令部和国民警卫队局的角色和职责。
(B)实施建议行动的时间表和里程碑。
(C)衡量整合工作进展和有效性的指标。
(D)资源需求,包括实施计划所需的人员、设备和资金。
(E)有关政策变革的建议,以及(如果适用)改善整合的立法提案。
(F)持续评估和改进预备役部队整合的战略。
(G)对部队结构要求和最佳预备役部队组织进行详细分析,包括传统对齐的预备役部队和个人动员增援部队之间的适当平衡,以满足网络任务部队要求。
(H)对拥有关键、低密度和高需求网络技能的预备役人员的激活资金进行全面评估,并评估因此类激活的专项资金不足而对战备情况的影响。
(I)当预备役人员和具有网络能力的部队被激活执行网络域外的任务时,对网络任务部队战备状态的作战影响进行评估。
(d)所需简报
(1)中期简报——不迟于2026年4月1日,美国防部负责网络政策的助理部长和美国网络司令部司令应联合向国会国防委员会提供有关(a)款要求的报告的中期简报。
(2)最终简报——不迟于2026年8月1日,美国防部负责网络政策的助理部长和美国网络司令部司令应联合向国会国防委员会提供最终简报,介绍根据(a)款提交的报告中的调查结果。
(e)形式——(a)款要求的报告应以非机密形式提交,但可以包含机密附件。
(f)预备役部队的定义——本节中的“预备役部队”一词是指根据《美国法典》第10编第10101节命名的军事部门的预备役部队。
第1606节:网络靶场管理和资金评估
(a)总则——不迟于2027年1月15日,美国防部长应与负责网络政策的国防部助理部长、负责研究与工程的美国防部副部长、负责采购与保障的美国防部副部长以及各军种主要网络顾问协调,完成对美国防部网络靶场现行监督结构的全面评估,包括对网络测试靶场和网络训练靶场单独执行机构指定的评估。
(b)要素——第(a)款要求的评估应包括以下要素:
(1)对当前组织结构的有效性进行全面评估,在该结构下,网络测试靶场和网络训练靶场设有单独的执行机构。
(2)详细分析与当前结构、潜在替代结构和统一监督方案相关的资金机制和预算权限挑战和好处。
(3)全面评估不同组织结构下物理靶场和逻辑靶场的潜在整合。
(4)评估不同的组织结构如何影响将系统或工具从测试环境转移到实际使用中的速度和难易程度,包括策略、技术和程序的结合。
(5)向美国防部长提出建议,说明是否应维持当前单独的执行机构结构,或者应实施包括统一的执行机构结构在内的替代结构。
(6)如第(5)款下的建议支持维持单独的执行机构,则未来由单一组织管理这两个职能需要满足的具体标准。
(c)国会通知——美国防部长应不迟于2027年3月1日向美国国会国防委员会提供以下事项的简报:根据(b)(5)款制定的建议;美国防部长就网络靶场监督组织结构作出的决定;美国防部长根据(a)款进行的评估的结果摘要;对网络靶场监督结构进行任何已批准变更的实施计划。
第1607节:修改负责网络政策的高级军事顾问的报告要求(略)
第1608节 网络任务部队作战的规划、编制和预算协调
《美国法典》第10编第167b节经修订,在末尾添加以下新小节:
“(f)规划、编制和预算。——(1)(A)除了根据本标题第166(b)节可以申请资金的作战司令部的活动之外,美国网络司令部司令还应在美国防部首席网络顾问的授权、指导和控制下,负责直接控制和管理训练、装备、运营和维持网络任务部队的规划、编制、预算和执行资源,其中应包括以下内容:
“(i)准备一份计划目标备忘录,并提交一份预算估算,用于培训、装备、运营和维持网络任务部队所需的资源。
“(ii)准备与美国网络司令部有关的预算材料,以纳入提交给国会的预算论证材料,以支持美国防部财政年度的预算,该预算与总统根据《美国法典》第31编第1105(a)节提交的预算一起提交,与美国防部的任何其他军事部门或组成部分分开。
“(B)根据第(A)款赋予美国网络司令部司令的职责不包括以下内容:
“(i)军人工资和津贴。
“(ii)军事部门提供的设施支持资金。
“(2)(A)在向国防部长提交任何财政年度的美国网络司令部预算提案前,美国网络司令部司令应与各军事部门部长就网络任务部队内预备役部队的资金问题进行磋商。如果各军事部门部长不同意针对该军种部长管辖范围内的任何此类部队的建议资金水平,则美国网络司令部司令应在提交给国防部长的预算提案中附上该军事部门部长对此类资金的意见。
“(B)在向美国防部长提交任何财政年度军事部门的预算提案前,该军事部门部长应与美国网络司令部司令就该军事部门军事人员预算中预备役部队网络任务部队的资金问题进行磋商。如果美国网络司令部司令不同意关于预备役部队中个别增援人员或单位的建议资金水平,该军事部门部长应在提交给美国防部长的预算提案中列明美国网络司令部司令的意见。”
第1609节:扩大网络行动授权确认范围以将美国防部关键基础设施的防御纳入其中。
(a)授权确认的范围——《美国法典》第10编第394节 (b)款经修订,在“武力保护”之后插入“美国防部关键基础设施的防御”。
(b)定义修正案——第394节的(f)款修正如下:
(1)将第(2)款和第(3)款分别重新指定为第(3)款和第(4)款;
(2)在第(1)款后插入以下新的第(2)款:
“(2)‘美国防部关键基础设施’一词是指美国防部的任何资产,这些资产对美国防部的运作和武装部队的行动具有极其重要的意义,以至于网络攻击导致此类资产丧失功能或遭到破坏,将对美国防部履行其使命的能力产生削弱影响。”
第1610节:审查未来部队运用概念和不断发展的网络部队相关人事政策需求
(a)需要审查——不迟于2026年6月1日,美国防部长应通过涵盖官员对网络部队未来的部队使用概念进行审查,包括网络作战部队(COF)的所有单位,以评估在哪些方面可能需要对人事政策变化提出额外建议。
(b)审查要素——根据第(a)款进行的审查和更新应涉及各军事部门和美国网络司令部在以下方面的各自职责:
(1)评估网络部队未来兵力运用概念,包括以下内容:
(A)将网络作战部队的其他单位纳入各种地理作战司令部作战场景,以使用射频网络或其他离网网络作战技术,提供战术级效果,或与非网络战术单位整合。
(B)对当前网络任务部队结构之外的新编队或新型编队进行评估。
(C)试验其他条令、组织、训练、物资、领导和教育、人员、设施和政策方法,以实现超越当前网络任务部队的在线作战方法的网络效应或综合非动能效应。
(2)美国网络司令部与各军事部门在招募和保留方面进行协调,以确保网络任务部队和各军事部门的人员需求得到适当满足。
(3)网络任务部队成员是否有机会接受未来潜在部队的专业军事教育,或此类部队需要新的专业军事教育机会。
(4)评估此类未来部队成员晋升途径的扩展情况,并评估此类机会是否足以满足基于未来部队就业理念的人员配备要求。
(5)各军事部门和美国网络司令部之间共享数据,以获取此类未来部队人员的人口统计和其他技能识别信息。
(6)美国防部长认为适当的其他事项。
(c)报告要求——美国防部长应于2026年9月1日之前向美参议院军事委员会和众议院军事委员会提交一份关于此类审查以及由此产生的指导方针和流程更新的报告。报告还应包括美国防部长就(a)款或(b)款所述事项提出的建议。
(d)涵盖官员的定义——在本节中,“涵盖官员”一词是指:各军事部门部长;美国防部负责网络政策的助理部长;美国网络司令部司令。
第1610A节:对网络空间联合特遣部队支援地理作战司令部的评估
(a)研究与评估——不迟于2026年7月1日,美国防部长应通过负责网络政策的美国防部助理部长和美参谋长联席会议副主席,与美国网络司令部司令协商,共同开展一项关于为支持作战司令部而部署部队的全面研究,并对在所有地理作战司令部建立网络联合特遣部队单位进行评估。
(b)评估与研究的内容——第(a)款要求的研究与评估应包括以下内容:
(1)对所有地理作战司令部的网络部队部署需求和能力进行评估。
(2)在以下条件下,评估各地理作战司令部作战区域内网络联合特遣部队单位的作战需求的益处和局限性:
(A)在地理作战指挥官的地区指挥下的作战控制之下。
(B)在现有结构下。
(3)对网络联合特遣部队单位的最佳指挥控制结构进行分析,包括:
(A)指定联合特遣部队建立权限,具体定义见联合条令和指示;
(B)对下属部队的作战控制和战术控制的协调;
(C)美国网络司令部和各地理作战司令部之间同时建立联合特遣部队权限管理结构。
(4)对部队结构需求的评估,包括:
(A)为每个潜在的网络联合特遣部队单位分配兵力;
(B)与指定任务相关的人员配备和资源需求;
(C)所需人员来源。
(5)对网络能力与效果的整合与维持进行评估。
(6)确定每个地理作战司令部的支持性基础设施需求。
(7)描述网络联合特遣部队单位的潜在任务和工作路线。
(8)分析与各地理作战司令部内现有实体的关系,包括对互补和重复活动的评估。
(9)美国防部负责网络政策的助理部长和参谋长联席会议副主席认为适当的其他事项。
(c)网络联合特遣部队实施计划——根据第(a)款要求进行的研究和评估应包括一项全面的实施计划,以建立跨地理作战司令部的网络联合特遣部队单位,从美国印度太平洋司令部开始,并根据研究和评估的结果确定是否合适。
(d)报告要求——不迟于2026年7月1日,美国防部负责网络政策的助理部长、参谋长联席会议副主席和美国网络司令部司令应联合向美国防部长和国会国防委员会提交一份报告,其中包含以下内容:第(a)款要求的研究和评估的结果;第(c)款要求的实施计划;各地理作战司令部对第(a)款中的研究结果和第(b)款中的实施计划的意见;对实施该计划所需的立法或行政行动的建议。
(e)资金可用性限制——根据本法案授权拨款的资金,或以其他方式为2026财年用于整个美国防部的运营和维护以及供美国防部负责网络政策的助理部长使用的资金,在美国防部负责网络政策的助理部长和参谋长联席会议副主席根据第(d)款向国会国防委员会提交完整报告前,不得使用或支出超过90%的资金。
第1610B节 禁止使用资金修改美国网络司令部司令的权限(编注:略)
第1610C节:通过现役和预备役过渡对网络人员进行人才管理的计划。
(a)已建立计划——作为美国国防网络劳动力框架的一部分,美国防部长在2026年5月1日前应设计并实施一项计划,以支持积极管理向预备役网络部队过渡的网络人才。
(b)要素——第(a)款要求的计划应包括以下要素:
(1)能够跟踪、重新培训和提升网络任务部队中现役网络人员和关键推动人员的技能,以便他们有可能留在预备役部队中,满足新出现的网络任务需求。
(2)能够以透明、高效的方式招募美国网络司令部及其下属司令部认为必要的、正在过渡的、完全合格的、信誉良好的现役网络任务部队人员和网络赋能部队。
(3)在美国防部建立集中资源,以便:
(A)提供激励服务作为保留工具,帮助过渡的网络任务部队人员在美军各军种中适应从现役到预备役的人员系统;
(B)确定并公布预备役网络部队的空缺职位;
(C)实现向平民职业的过渡(特别是关键需求战略行业和关键基础设施提供商),其中可能包括指导、就业咨询和以关键的高需求/低密度网络技能为重点的教育。
(4)将此类服务扩展到相关领域的能力,例如网络辅助部队或针对网络部队的直接委托计划。
(c)简报——不迟于2026年6月1日,美国防部长应向参议院军事委员会和众议院军事委员会就第(a)款要求的计划的制定情况进行简报,包括:本计划的制定;对未来几年国防计划的资源需求进行评估;识别指标或其他评估能力,以确定对保留网络任务部队和作为总体部队战略一部分的网络部队的影响。
(d) 试点授权——美国防部长应建立一项试点计划,评估根据《美国法典》第37编第353节向为美国网络司令部工作的网络任务部队成员支付技能奖励工资或技能熟练奖金的可行性和可取性,该奖金有效期至2030年9月30日。
第1610D节:任命美国防部负责网络政策的助理部长为首席参谋助理(编注:略)
副标题 B——与美国防部网络安全
和信息技术有关的事项
第1611节:全面内容检查的现代化计划
《2024财政年度国防授权法案》第1515节(编注:该标题为“网络边界和跨域防御的现代化计划”的条款要求美国防部长应实施网络边界和跨域防御网络攻击的现代化计划。在实施该计划时,美国防部长应扩展2023财年关于现代化网络边界防御能力的试点项目,并将这些能力初步部署到由美国防信息系统局局长管理的美国防部主要互联网接入点。)修订如下:
(1)在章节标题中,删除“网络边界和跨域防御”,替换为“全面内容检查”;
(2)在(a)款中,在“网络边界”后插入“和跨域”;
(3)在第(b)款(2)项中——
(A)在(A)款中——
(i)在出现的“国防能力”之后均插入“第(a)款规定”;以及
(ii)在第(ii)款中,在句号前插入“支持美国防部网络防御司令部定义的作战任务”;
(B)将第(B)款和第(C)款分别重新指定为第(C)款和第(D)款;
(C)在子款(A)后插入以下新的子款(B):
“(B)到2026年12月1日,将这些能力整合到第(A)款要求的试点计划中,该计划在适当情况下利用对人工智能的投资来揭示并积极打击外国对美国防部网络的网络侵略。”
(D)在经(B)子款重新指定的(C)子款中,删除“将现代化网络边界防御能力部署到接入点和跨域能力”,并插入“将(a)款中描述的相同能力部署到接入点和跨域能力,以及任何其他网络互连点”,并且
(E)在(D)款中,经(B)款重新指定——
(i)删除“现代化网络边界防御能力”,并插入“与(a)款所述相同的能力”;
(ii)在结尾处添加以下新句子:“为确保这些能力的覆盖范围完整,美国防部长应通过美国防信息系统局局长和美国防部首席信息官,创建剩余网络和飞地的清单。”并且
(4)在结尾处增加以下新小节:
“(d)简报——不迟于2026年11月1日,并且此后每年不少于一次直至2028年12月31日,美国防部首席信息官、美国防信息系统局局长和美国防部网络防御司令部司令应联合向国会国防委员会提供简报,内容涉及第(a)款要求的现代化计划的部署状况、根据第(b)(2)款第(B)和(C)项进行的调查结果,以及确定将纳入该计划的剩余网络和飞地。”
第1612节:关于对国防武器平台进行网络威胁实时监控的评估
(a)所需评估——美国防部长应对建立美国防部范围计划的可行性和可取性进行全面评估
(1)通过自动、实时监控来检测和缓解威胁,修复所有目前不具备满足武器系统平台网络安全要求能力的武器系统平台;
(2)通过以下方式实现这一目标:
(A)识别并优先考虑缺乏实时监控自我保护能力的武器系统;
(B)为不同类别的武器系统制定实时保护的技术要求和最低网络安全标准;
(C)制定实施时间表和资金要求,以改造现有系统,实现实时监控,提高自我保护能力;
(D)创建验证和确认流程,以确保部署的解决方案有效减轻已识别的网络安全风险;
(E)建立治理结构,为已实施能力的持续维护、更新和运营支持提供支持。
(b)要点——根据第(a)款要求的评估应包括以下内容:
(1)对开发、测试、获取和实施实时监控自我保护能力所需的成本、时间表和资源,以及汇总和评估此类应用程序数据所需的相关能力的详细评估。
(2)对现有的实时监控自我保护解决方案及其在军事武器系统环境中的适用性的全面评估。
(3)拟议的分阶段实施和资金计划,包括:
(A)按财政年度划分的预计预算需求;
(B)建议的采购策略;
(C)详细的技术实施考虑;
(D)详细的操作实施考虑,包括制定此类应用程序的策略、培训和程序;
(E)实现初始和全面操作能力的预计时间表。
(4)详细清单:
(A)建议对自我保护能力进行实时监控的武器系统平台;
(B)不建议采用此类能力的武器系统平台,并说明每项决定的理由;
(C)针对被排除在实时监控自我保护建议之外的平台,正在采用或提议采取的替代网络安全方法。
(c)与相关网络安全计划的协调——在进行第(a)款要求的评估时,美国防部长应与各军事部门的部长就其部门内的项目进行协调,并与美国防部负责情报和安全的副部长就战略性网络安全计划中确定的项目进行协调。
(d)向国会报告
(1)总则——不迟于2027年1月1日,美国防部长应向美国会国防委员会提交一份关于部长根据第(a)款进行的评估的结果的报告。
(2)内容——根据第(1)款提交的关于部长根据第(a)款进行的评估的结果的报告应包括以下内容:
(A)美国防部长主要发现的摘要。
(B)对在不同武器系统平台类型中实施自我保护实时监控的技术可行性的全面评估。
(C)对制定实施此类能力的计划的可行性的全面分析,包括潜在的风险、利益和权衡。
(D)关于以下方面的具体建议:是否应该在整个美国防部的武器系统中实施自我保护能力的实时监控;如果建议实施,哪些具体武器系统应优先实施;适当的采购策略和融资机制,以支持实施;为支持有效实施而需要的任何政策或监管变化;衡量实施成功和运营有效性的拟议指标。
(E)对于被认为适合进行自我防护能力实时监控的武器系统平台:建议的优先次序标准;拟议的实施时间表;未来国防计划的预计成本和资金需求;针对不同平台类别的推荐技术方法。
(F)对美国防部武器系统平台上目前部署的自我保护或类似能力的实时监控的评估,包括:目前利用此类能力的平台的综合清单,包括相关的试点项目;所使用的具体技术实现方式;对现有实施措施的运行效果的评估;可以为未来的采购和实施工作提供参考的经验教训。
(3)报告形式——根据第(1)款提交的报告应以非机密形式提交,但可以包含机密附件。
第1613节:对建立运营技术网络安全卓越培训中心的可行性和可取性的评估。
(a)所需评估
(1)总则——不迟于2026年12月1日,美国防部长应通过美国防部首席信息官,并与美国网络司令部司令以及美国防部长认为适当的军事部门代表协调,完成建立运营技术网络安全培训卓越中心(本节中称为“中心”)的可行性和可取性的评估,该中心将使美国防部在运营技术和工业控制系统的安全和保护方面的培训制度化。
(2)需评估的职能——在进行(a)款要求的评估时,美国防部长应评估设立中心的必要性,以:
(A)提供与运营技术和工业控制系统网络安全相关的全面培训和其他教育计划;
(B)制定并定期更新此类培训和项目的课程;
(C)识别、开发和整合美国防部运营技术和工业控制系统网络安全的物资和组织要求;
(D)开发和管理运营技术和工业控制系统网络安全解决方案与军事条令、组织、培训、物资、领导和教育、人员和设施的整合;
(E)利用并受益于军事设施的现成容量:现有的基础设施和多服务培训设施;为履行美国武装部队相关职能而组建的工程和基础设施专业队伍或队伍;当前的卓越中心,特别考虑支持物理和逻辑网络训练靶场的现有设施。
(b)所需报告
(1)总则——美国防部长应不迟于2026年12月1日向美国会国防委员会提交一份关于美国防部长根据第(a)款完成的评估结果的报告。
(2)建议和待解决的问题——根据第(1)款提交的报告应包括关于建立中心是否可行和可取的建议,并应解决以下问题:
(A)确定与运营技术和工业控制系统培训和教育有关的课程,包括可能由私营部门实体提供的此类培训。
(B)根据对作战网络社区劳动力的估计,确定军事和文职人员对此类培训的预期吞吐量需求。
(C)评估建立和维护中心所需的资源,并进行成本效益分析,以确定(B)款中预期的培训吞吐量是否值得此类支出。
(D)对潜在位置进行评估,以最大限度地发挥军事设施的现有容量以及与以下设施的协同作用:现有的基础设施和多服务培训设施;为美国武装部队相关职能而设计的工程和基础设施专业队伍或劳动力;当前的卓越中心,特别考虑支持物理和逻辑网络训练靶场的现有设施。
(E)如果美国防部长确定建立中心是可行且可取的:拟议的分阶段实施方案,包括初始运营能力里程碑和全面运营能力目标;对中心如何将培训和教育计划与现有的美国防部网络安全认证要求和职业发展模式相结合的评估;拟议的指标和评估标准,可用于评估中心在改善整个美国防部的运营技术和工业控制系统安全结果方面的有效性(如果建立);建立和维护中心的预计资金、人员和资源需求;对建立中心的潜在挑战和模仿的分析,以及减轻这些挑战和限制的建议。
(F)可用于评估该中心在改善整个美国防部的运营技术和工业控制系统安全成果方面的有效性的拟议指标和评估标准。
(c)定义——在本节中:
(1)工业控制系统——“工业控制系统”一词的含义见《2002年国土安全法》第2220C节(6 USC 665i(f))。
(2)运营技术——“运营技术”一词具有《2020 年物联网网络安全改进法案》(15 USC 278g-3a)第3节中赋予该术语的含义。
第1614节:将信息技术技术债务评估纳入年度预算流程的框架
(a)框架制定——不迟于2026年9月1日,美国防部长应与美国防部首席信息官、各军事部门部长和各军事部门首席信息官协调,制定一个框架,将技术债务评估、跟踪和管理整合到美国防部现有的信息技术投资决策和预算论证材料流程中。
(b)技术债务定义——美国防部长应指示对国防部当前的“技术债务”定义进行全面重新评估,并制定一个分类框架,充分反映不同类型的技术债务,包括应用程序、物理基础设施、架构和文档组件。
(c)框架组成部分
(1)整合要求——美国防部长应确保根据第(a)款制定的框架将技术债务考虑因素整合到现有的美国防部管理流程和结构中,这些流程和结构涉及现有或拟议的信息技术系统、服务或相关登记项目的资源和计划决策。
(2)指标——根据第(a)款制定的框架应包括:针对特定技术或项目的技术债务的基线测量;减少技术债务的目标;供全部门使用的综合指标;基于结果的指标,用于评估运营和财务影响。
(3)流程整合——根据第(a)款制定的框架应利用现有的治理结构来监督信息技术投资。
(4)最低要求——根据第(a)款制定的框架应当:建立识别和评估技术债务的方法;将技术债务管理纳入规划、编制、预算和执行过程以及信息技术治理机构;根据任务影响建立优先排序方法;建立差距识别机制;定义组织对补救程序或系统评估的技术债务的责任。
(5)实施——美国防部长应不迟于2026年10月1日实施根据(a)款制定的框架,以支持向美国会提交支持美国防部的预算论证材料的规划、编制和流程,该框架与美国总统根据《美国法典》第31编第1105(a)节提交的2027财政年度预算一起提交。
(d)预算材料。
(1)理由要求——从2027财年预算申请开始,美国防部长应确保每个财政年度向国会提交预算理由材料,以支持美国防部的预算(根据《美国法典》第31编第1105(a)节与美国总统预算一起提交),包括:技术债务状况评估;计划的补救投资;投资缺口的风险评估;与现代化优先事项保持一致。
(2)项目协调——美国防部长应确保国防规划指导和项目目标备忘录满足技术债务补救要求。
(e)国会简报——不迟于2026年9月15日,美国防部长应向美国会国防委员会提供一份关于根据第(a)款制定的技术债务管理框架的实施情况和有效性的简报。
(f)定义——在本节中:
(1)“信息技术”一词具有《美国法典》第40编第11101节中赋予该术语的含义。
(2)“技术债务”一词是指在短期内权宜之计的设计或实施结构,但其建立的技术环境可能会使未来的变更更加昂贵或不可能,如美国防部5000.87指令或后续指令中所定义。
第1615节:任务基础设施弹性工作组
(a)设立——
(1)总则——自本法颁布之日起180天内,美国防部长应成立一个工作组,支持对执行现有国防作战和应急计划所必需的国防关键基础设施的脆弱性进行评估。
(2)命名——根据第(1)款设立的工作组应称为“任务基础设施弹性工作组”(在本节中称为“工作组”)。
(b)宗旨——工作组的宗旨如下:
(1)对基于用例的任务线程进行评估和分析,以全面识别、开发和实施保护和维护国防关键基础设施所需的全部能力;
(2)建立和整合必要的资源、技术、通信系统、策略、技术和程序、具有适当权限的人员和演习计划,以确保在支持军事行动和应急的关键基础设施受到威胁、削弱或破坏时做出有效反应。
(c)组成
(1)主席——工作组应由美国防部网络防御司令部的代表担任主席。
(2)成员——工作组应包括以下代表:美国网络司令部;美国防部负责国防连续性和任务保障的副助理部长办公室;联合作战分析中心;美国防高级研究计划局;关键基础设施防御分析中心;美国空军网络弹性控制系统计划办公室;美军军事部门的能源、设施环境、土木工程机构;美国陆军工程兵团工程研究与发展中心;各地理和职能作战司令部(根据需要)。
(d)任务——工作组应当:
(1)对与国防作战和应急计划相关的基于用例的任务线程进行评估和分析,包括通过试点项目、桌面演习或研究来确定基础设施依赖关系和实体之间作战责任转移的组织过渡点。
(2)识别关键任务基础设施中的漏洞和能力差距,并确定:解决此类脆弱性和差距所需的资源、权限、技术、与外部和非政府实体的伙伴关系以及资金;指定负责补救活动和相关费用的牵头机构。
(3)制定广泛的解决方案,以解决根据第(2)款发现的差距,包括:沟通渠道的建立;工具和技术的开发;可视化和分析程序的实施;独特能力的整合,例如国民警卫队提供的能力。
(4)指定组织负责人负责弥补具体的差距和弱点,并制定全面的计划来解决这些差距,包括确定成功补救工作所需的资金和预算要求。
(5)监测和评估补救工作的进展,并确定流程改进和解决方案,以解决多个补救活动中的常见缺陷。
(6)根据可能的作战场景制定和开展演习,以:验证补救措施的有效性;识别需要补救的其他缺陷或漏洞。
(7)建立战备评估框架,使设施指挥官和作战指挥官能够了解各自负责范围内任务基础设施恢复能力的状况。
(8)根据美参谋长联席会议主席或美国防部长的指示,对特定议题进行有针对性的分析。
(9)履行美国防部长认为必要和适当的其他职责。
(e)过渡到常设机构。
(1)所需过渡计划——工作组应制定一项全面的过渡计划,将工作组转变为国防部内的一个常设机构。
(2)提交给美国防部长——第(1)款要求的过渡计划应在不迟于第(f)款规定的终止日期前180天制定并提交给美国防部长。
(3)向国会简报——不迟于第(f)款规定的终止日期前180天,以及此后每年直至2033年9月30 日,美国防部长应向美国会国防委员会提供第(1)款要求的过渡计划简报。
(f)终止——工作组应于2030年9月30 日终止。
(g)定义——在本节中:
(1)“国防关键基础设施”一词的含义与《2017 财政年度国防授权法案》第1650(e)节中“国防部关键基础设施”一词的含义相同。
(2)“任务线程”一词是指支持执行特定作战任务或功能的一组端到端的活动和任务。
第1616节:在美国防部基地部署专用第五代开放无线接入网络的计划。
(a)基地优先名单要求——根据《2024财政年度美国防授权法法案》第 1526 条和《美国防部专用5G部署战略》(2024年10月),各军事部门的部长应制定一份值得投资专用第五代信息和通信网络的基地优先名单。
(b)考虑事项——根据第(a)款制定清单时,军事部门部长应考虑与以下事项相关的事项:
(1)高连接密度。
(2)低延迟。
(3)高容量高。
(4)广地域覆盖范围。
(5)无线网络服务中的增强和定制安全性,包括模糊数据传输。
(6)基地物理安全和部队保护,需要对高分辨率分布式传感器馈送进行先进处理,以进行周边监控以及无人机系统的检测和跟踪,包括可能使用第五代信息和通信网络。
(7)高效的大规模仓储物流作业。
(8)利用增强或虚拟现实技术进行高效的维护和培训。
(9)大规模、高节奏的航线作业。
(c)通知任务单——美国空军部长应使用其根据(a)款制定的优先清单,通知根据“体系信息技术即服务”基础设施现代化计划发布的任务单。本法案颁布之日后发布的任务单应明确哪些情况下Wi-Fi完全能够满足需求,以及哪些情况下需要专用第五代信息和通信网络性能。
(d)协调要求——根据第(a)款制定优先清单时,美军各军事部门的部长应与美国防部负责研究和工程的副部长、美国防部首席信息官以及部长们认为合适的作战指挥官和国防机构负责人进行协调。
(e)专用第五代开放无线接入网络部署计划——不迟于2026年3月1日,美国防部长应:
(1)整合各军事部门部长根据(a)款制定的优先基础清单,并确定美国防部专用第五代开放无线接入网络(ORAN)网络的最佳投资、部署和支出计划;
(2)向美国会国防委员会提交根据第(1)款合并的清单以及根据该款作出的决定的报告。
第1617节:最佳网络数据产品和服务流程简报前对差旅费的限制
(a)限制——根据本法案授权拨款或以其他方式为2026财年提供的用于整个国防运营和维护的资金以及美国防部首席信息官办公室的差旅费,在美国防部长根据第(b)款提供所要求的简报之日之前,不得承诺或支出超过90%的资金。
(b)所需简报——美国防部长应通过国防部首席信息官,并与各军事部门的首席信息官和美国防信息系统局局长协调,向美国会国防委员会提供以下方面的简报:
(1)美国防部计划如何通过《2022财政年度国防授权法》第1521条授予的权力建立一个开放和竞争的流程,以采购一流的网络安全解决方案,包括端点、身份和威胁搜寻解决方案;
(2)使用多个不同的网络安全提供商来支持美国防部网络的运营弹性所带来的好处。
(c)实施情况——第(b)款要求的简报应包括:
(1)根据《2022财年美国防授权法案》第1521节(a)款的要求,指定一名执行代理负责美国防部范围内的网络数据产品和服务采购的情况;
(2)该款要求的项目管理办公室的设立和运作情况;
(3)在制定美国防部网络数据产品和服务要求方面取得的进展;
(4)全面实施该法第1521条规定的要求的详细时间表。
(d)采购策略——第(b)款要求的简报应包括一项全面的采购策略,该策略:
(1)概述美国防部将如何利用体系范围的采购来实现与组成机构级采购相比的成本效率;
(2)确定衡量体系范围网络解决方案的有效性和价值的标准;
(3)制定详细计划,确保所有军事部门和美国防部各组成机构都能获得采购的解决方案;
(4)描述了美国防部将如何在整个采购生命周期内保持供应商的多样性和竞争力。
(e)预算影响——第(b)款要求的简报应包括:
(1)2026年至2030年财年实施体系范围的网络数据产品和服务采购的资金需求估算;
(2)对体系范围的采购与当前的采购方法相比将如何节省成本的描述。
第1618节:美国防部首席信息官办公室差旅费资金限制
(a)限制——根据本法案授权拨款或以其他方式为2026财年提供的用于整个国防运营和维护的资金以及美国防部首席信息官办公室的差旅费,在美国防部首席信息官与各军种首席信息官协调向美国会国防委员会提交第(b)款要求的计划之日前,不得强制使用或支出超过85%的资金。
(b)所需计划——美国防部首席信息官应与各军事部门的首席信息官协调,制定并向美国会国防委员会提交一份全面的计划,从传统线路过渡到符合国防部安全要求的基于互联网协议的线路,其中包括:
(1)对美国防部和各军事部门目前正在使用的所有遗留线路的识别;
(2)每个已确定的遗留线路的过渡时间表的制定;
(3)实施过渡所需资源需求的详情;
(4)对可能影响过渡的任何技术、操作或安全挑战的识别,以及解决此类挑战的建议解决方案;
(5)参与过渡的各个军事部门和国防机构的相关资金来源的明确;
(6)完成过渡所需的未来几年国防计划的投资的确定。
(c)定义——在本节中:
(1)“基于互联网协议的线路”一词是指利用互联网协议套件进行分组交换和路由以传输语音、数据和视频通信的电信电路或服务。
(2)“传统线路”一词是指与基于现代互联网协议的替代方案相比,使用过时技术、带宽、安全特性或互操作能力有限的电信线路。
第1619节:联合全域指挥控制计划资金可用性限制
本法案授权拨款或以其他方式为2026财年提供的用于全国防范围、联合参谋部和首席数字与人工智能官用于联合全域指挥控制计划的研究、开发、测试和评估的资金中,不得超过90%被强制使用或支出,直到美国防部长向国会国防委员会提供此类计划的框架,以帮助指导投资并衡量计划的进展,正如美国审计长在题为《美国国防指挥控制:进一步的进展取决于建立一个全面的框架》的报告(GAO-25-106454)中所建议的那样。
第1620节:联合火力网络计划过渡审查
(a)所需简报
(1)总则——不迟于2026年2月1日,美国空军部长应与美国防部负责采购和保障的副部长、美国防部负责研究和工程的副部长以及美国防部成本评估和项目评估主任协调,向美国会国防委员会简要介绍将联合火力网络计划过渡为美国空军内部登记项目的计划和进展情况。
(2)要点——第(1)款要求的简报应包括以下内容:
(A)该计划章程的更新,包括美国空军项目经理、支持发展工作的相关利益相关方以及联合火力网络的运营用户之间的组织关系。
(B)有关未来几年国防计划的资金状况和里程碑的详细信息,强调任何潜在的挑战或延误,以及如何推进联合火力网络计划的建议。
(C)与需求和资金管理相关的流程和标准的描述,以确保军事部门的特定需求或资金压力不会优先于联合需求或运营用户的需求。
(D)为运营用户提供特定功能的过渡计划的描述和时间表,包括平衡多个运营用户的需求和要求的过程。
(b)所需独立评估。
(1)总则——不迟于2026年3月30日,美国印太司令部司令应:评估第(a)(1)款所述的计划和进展情况;向美国会国防委员会提供评估结果的简报。
(2)要点——第(1)款要求的简报应包括指挥官对以下内容的评估:
(A)该计划的章程和组织关系,以促进与作战司令部的协调。
(B)将来自运营用户的反馈纳入计划的机制,并在需要时继续快速交付联合火力网络能力。
第1620A节:禁止为了测试和评估而取消某些网络评估能力
(a)禁止——美国防部长不得采取任何行动剥离、合并或削减任何现有的网络评估能力或美国家安全局认证的红队,以支持美国防部计划的作战测试和评估(OT&E),直到美国防部长提供第(b)款所述的证明。
(b)证明——(a)小节中提到的证明是向美国会国防委员会提供的证明,其中包括以下内容:
(1)决定采取(a)小节所述行动的分析依据,包括任何成本、工作量和劳动力要求,以及与美国防部作战测试和评估主任(DOT&E)提供的对网络评估能力用户的作战影响相关的任何分析。
(2)美国防部成本评估和项目评估主任对第(1)款规定的所有此类分析进行的独立审查。
(3)美国防部测试资源管理中心主任证明此类分析和决定符合美国防部要求的证明,这是《美国法典》第10编第4173(c)(1)(B)节的要求。
(4)针对目前由美国防部作战测试和评估主任管理的关键网络测试与评估能力制定全面的过渡计划,包括确定美军各军种或美国防部长办公室内的接收机构、过渡时间表以及确保行动连续性的措施。
(5)对过渡期间和过渡后维持和增强网络测试和评估能力的资金需求的详细评估,包括如何将这些资金要素纳入年度预算申请文件。
(6)对接收机构内主要武器和信息技术项目的网络作战测试和评估所需的人员配备、工具和专门资源的审查。
(7)将情报威胁数据整合到网络作战测试中的工作总结,包括任何剩余的法律或技术障碍以及拟议的解决方案。
(8)在组织过渡后,改善网络测试和评估利益相关方、美国网络司令部和情报界之间的协调和信息共享的计划。
(9)根据《网络作战操作与评估指南》中的指导,评估网络对抗环境中任务效果的建议指标,以及如何跨机构边界维护这些指标。
(10)对网络评估计划的有效性和未来需求的评估,包括资源缺口以及接收机构将如何解决这些缺口。
第1620B节:关于军事招募合同认证要求的修改(编注:略)
第1620C节:美国防部关于确保海底电缆安全性、弹性和完整性的工作组、战略和报告
(a)工作组
(1)召集——美国防部长应不迟于2026年3月1日,与美参谋长联席会议、美国防信息系统局局长以及美国防部长认为相关的其他机构和作战司令部协商,召集一个工作组:以:准备第(b)款要求的报告;提供(c)款要求的简报;制定(d)款要求的战略。
(2)成员——工作组应由美国防部长确定的具有相关背景或专业知识的参与者组成,但至少应包括以下人员:至少1名来自美国防部长办公室的个人;至少1名来自美参谋长联席会议的个人;至少1名来自美国防信息系统局的个人。
(3)主席——美国防部长或美国防部长指定人员应担任工作组主席。
(b)报告
(1)要求——美国防部部长应不迟于2027年2月1日向美国会相关委员会提交一份报告:
(A)评估保护涵盖海底电缆和涵盖电缆登陆站免受中俄伊以及美国对手的海军和影子舰队以及海底电缆破坏机制和任何受关注的外国实体构成的威胁的独特挑战;
(B)具体讨论相关条约和习惯国际法所带来的影响;
(C)审查美国防部在确保海底电缆的安全性、弹性和完整性方面的作用、职责和限制;
(D)确定当前检测、预防和应对针对涵盖海底电缆和涵盖电缆登陆站的威胁的机制中的差距;
(E)确定美国防部创建和传播法律战或透明方法的方法,以促进国际法并阻止未来的灰色地带策略,并在适当情况下解密对抗行动的实例。
(2)需包括的事项——根据第(1)款提交的报告应包括以下各项内容的描述:
(A)过去、正在进行或计划中的保护海底电缆和海底电缆登陆站免受间谍活动、网络安全威胁、物理损坏和自然灾害的努力。
(B)对包括中俄伊在内的敌对国家瞄准、破坏、拦截来自隐蔽海底电缆的数据传输或敏感信息的能力的分析。
(C)加旨与行业利益相关方合作的建议领域,包括建立标准、指南和公私报告机制。
(D)培训需求的评估,包括培养一支专门的海底电缆安全专家队伍。
(E)扩大行动和加强机构间和国际协调所需的资源的确定。
(F)加强与盟国和伙伴国合作的建议,包括当前的最佳实践和经验教训。
(G)对美国防部关键行动连续性可容忍的涵盖海底电缆和登陆站的最大中断程度的评估。
(H)在100小时内修复任何涵盖海底电缆的可行性,包括通过开发和使用可空中投放、可潜水的接续机器人。
(I)研制72小时可部署便携式电缆登陆站的实用性与可行性。
(J)与部署防篡改传感器相关的成本的确定。
(3)形式——第(1)款规定的报告应以非机密形式提交,但可以附上机密附件。
(c)简报——不迟于2027年3月15日,工作组应向美国会相关委员会提供有关该报告中调查结果和建议的简报。
(d)战略——不迟于2027年2月1日,工作组应与其认为适当的政府或非政府实体协商,向美国会相关委员会提交一项战略,并分发给美国的盟友和合作伙伴、业界以及工作组认为适当的其他实体,以应对第(b)款所述的威胁、差距、作用、责任和挑战,从而:
(1)应对对涵盖海底电缆和涵盖电缆登陆站的物理安全、网络安全弹性和完整性的威胁,包括在电缆基础设施遭受多重或协同攻击时的冗余和响应选项;
(2)加强美国防部在涵盖海底电缆和海底电缆登陆站安全问题上的国际合作,包括与美国盟友和伙伴进行联合演习;
(3)将涵盖海底电缆安全纳入相关作战司令部的任务集和作战计划中;
(4)促进与私营企业的合作,确保利用技术进步和最佳实践来保护涵盖海底电缆和涵盖电缆登陆站;
(5)制定法律战或透明方法,以促进国际法并阻止未来的“灰色地带”策略。
(e)定义——在本节中:
(1)美国会的相关委员会——“美国会的相关委员会”一词是指美参议院军事委员会和众议院军事委员会。
(2)涵盖电缆登陆站——“涵盖电缆登陆站”一词是指位于美国或美国盟友境内、由美国或美国盟友拥有或运营的涵盖海底电缆登陆站。
(3)涵盖海底电缆——“涵盖海底电缆”一词是指在美国或美国盟友境内登陆、由其拥有或运营的商业海底电信电缆。
(4)网络安全威胁——“网络安全威胁”一词的含义见《2002年美国国土安全法》第2200节(6 USC 650)。
(5)受关注的外国实体——“受关注的外国实体”一词具有《2021财政年度威廉·M.(麦克)·索恩伯里国防授权法案》(15 USC 4651)第9901节中赋予该术语的含义。
(6)工作组——“工作组”一词是指根据第(b)款(1)项召集的工作组。
副标题C——数据与人工智能
第1621节:为高性能人工智能系统建立公私网络安全合作伙伴关系
(a)所需设立——不迟于本法颁布之日起180天,美国防部负责网络政策的助理部长应设立一个公私合作机构,以应对高性能人工智能和机器学习系统的网络安全和物理安全威胁和漏洞。
(b)合作论坛——根据第(a)款设立的公私合作伙伴关系机构应作为美国防部与商业行业合作伙伴之间的合作论坛,以协调和加强适用于面临复杂国家行为体威胁的国家安全系统以及人工智能和机器学习系统的网络安全和物理安全框架和实践。
(c)目的——根据第(a)款设立的公私合作伙伴关系机构应当:
(1)定期召开会议,讨论高性能人工智能和机器学习系统特有的网络安全和物理安全威胁及漏洞,重点关注国家支持的网络行为体构成的当前和新兴的威胁;
(2)促进美国防部和商业行业之间最佳实践和强大的网络安全和物理安全框架的开发、共享和协调,以保护人工智能和机器学习系统;
(3)促进美国防部与商业实体之间的协作性威胁情报共享,特别关注关键基础设施、国防行动和敏感国家安全功能中使用的人工智能和机器学习系统中的漏洞;
(4)制定网络安全和物理安全政策增强建议,旨在保护人工智能和机器学习技术免受国家支持的网络攻击,并每年向国会报告调查结果和政策建议。
(d)参与者——根据第(a)款建立的公私合作伙伴关系机构应包括来自以下方面的代表:
(1)美国防部,包括:美国防部负责网络政策的助理部长办公室;美国防部负责情报和安全的副部长;美国防部和武装部队的首席信息官;美国防部首席数字和人工智能官;美国防高级研究计划局;美国家安全局;美国网络司令部;美国防部国防网络犯罪中心;美国防部负责网络政策的助理部长认为相关的美国防部和军事部门中负责网络安全或人工智能系统的其他实体。
(2)在高性能人工智能和机器学习系统,或网络安全或物理安全实践方面具有专业知识的商业行业公司,包括:云计算和人工智能服务提供商;网络安全公司;人工智能研发公司;电信公司;美国防部负责网络政策的助理部长认定为相关且适当的其他行业领袖;
(3)在高性能人工智能和机器学习系统、网络安全或物理安全实践方面具有专业知识的美国联邦政府资助的研究和开发中心、国家实验室和学术机构,。
(e)报告要求——根据第(a)款成立公私合作伙伴关系机构之日起一年内,美国防部负责网络政策的助理部长应向国会国防委员会提交一份报告,概述以下内容:
(1)根据(c)(1)款进行的磋商得出的关键发现,包括已发现的人工智能和机器学习系统中任何网络安全或物理安全漏洞;
(2)关于加强网络安全或物理安全政策和实践的建议,以保护美国防部和商业部门的人工智能和机器学习系统;
(3)对协调美国防部与商业网络安全和物理安全框架以应对国家支持的网络威胁方面取得的进展的分析。
第1622节:人工智能的数字沙盒环境
(a)所需建立——不迟于2026年4月1日,美国防部长应通过美国防部首席数字和人工智能官和首席信息官建立一个人工智能沙盒环境工作组(在本节中称为“工作组”)。
(b)目的——工作组应确定、协调并推进整个美国防部范围内的各项工作,以开发和部署必要的虚拟环境,以支持美国防部各部门的人工智能实验、培训、熟悉和发展。这些虚拟环境被称为“人工智能沙盒”,其用途如下:
(1)为从新手用户到经验丰富的从业人员提供不同技术水平的能力;
(2)实现人工智能模型的构建、训练、评估和部署;
(3)促进现有人工智能能力的熟悉和利用;
(4)加速整个美国防部负责任地采用人工智能。
(c)联合主席——工作组应由美国防部首席数字和人工智能官和美国防部首席信息官共同担任主席。
(d)组成——工作组应由以下人员组成:
(1)各军事部门首席人工智能官,或者在没有此职位的情况下,各军事部门负责领导人工智能工作的个人;
(2)各军事部门首席信息官;
(3)各作战司令部和联合参谋部的首席人工智能官,或者在没有此职位的情况下,负责领导各作战司令部内人工智能工作的个人;
(4)各作战司令部和联合参谋部的首席信息官,或者在没有此职位的情况下,负责领导各作战司令部信息技术工作的个人;
(5)各作战司令部的指挥、控制、通信和计算机/网络主管(J6),或其指定人员;
(6)联合参谋部指挥、控制、通信和计算机/网络总监(J6)或其指定人员;
(7)工作组联合主席认为适当的该部其他官员。
(e)职能——工作组应当:
(1)确定和整合整个美国防部人工智能沙盒环境的共同需求,包括针对不同技术专长的用户界面、计算资源和基础设施、预先训练的模型和数据集以及教育和培训材料的需求;
(2)识别、清点并确保现有解决方案和技术文档的可用性,包括机器可读文档、参考架构和用户指南;
(3)发布一份将第(1)款确定的共同要求与第(2)款确定的现有解决方案相匹配的分析;
(4)利用现有的美国防部机制,通过企业许可证和合同提高效率;
(5)识别并在可能的情况下简化对通用人工智能沙盒环境架构的各要素的操作授权审批;
(6)发布针对各个技能水平的用户如何适当使用人工智能沙盒环境的指南。
(f)简报——不迟于2026年8月1日,工作组联合主席应向美国会国防委员会简要介绍工作组的目标和宗旨。
(g)终止——工作组应于2030年1月1日终止。
(h)定义——在本节中:
(1)“人工智能”一词具有《2019财政年度约翰·S·麦凯恩国防授权法案》第238(g)节中赋予该术语的含义。
(2)“人工智能沙盒环境”是指一个安全、隔离的计算环境,它使不同技术水平的用户能够访问人工智能工具、模型和能力,以进行实验、训练、测试和开发,而不会影响操作系统或需要专门的技术知识来操作。
(3)如美国国家安全系统委员会第4009号指令或后续文件中所定义,“操作授权”一词是指由机构高级官员做出的官方管理决定,授权运营某个信息系统,并在实施商定的安全控制措施的基础上,明确接受对组织运营和资产、个人、其他组织以及美国的风险。
第1623节:人工智能模型评估和监督
(a)人工智能模型评估和监督跨职能团队
(1)设立——美国防部长应根据《2017财年国防授权法》第911条的规定,建立一个跨职能团队,负责人工智能模型评估和监督(在本节中称为“跨职能团队”)。
(2)目的——跨职能团队的目的是制定一个标准化的评估框架和治理结构,以评估、监督和促进美国防部采用的人工智能模型的合作。
(3)组成
(A)领导——美国防部首席数字和人工智能官应领导该跨职能团队。
(B)成员——美国防部应确保跨职能团队包括来自以下机构的代表:
(i)美国防部首席信息官办公室;
(ii)各军事部门的首席人工智能官,如果没有设立此职位,则由负责领导各军事部门人工智能工作的个人担任;
(iii)各军事部门的首席信息官;
(iv)各作战司令部和联合参谋部的首席人工智能官,或者在没有此类职位的情况下,负责领导各作战司令部和联合参谋部内人工智能工作的个人;
(v)各作战司令部和联合参谋部的首席信息官,或者在没有此类职位的情况下,负责领导各作战司令部和联合参谋部内信息技术工作的个人;
(vi)美国防部部长认为适当的其他组成机构。
(4)职责——跨职能团队的职责如下:
(A)制定美国防部目前使用的人工智能模型的标准化评估框架。
(B)为美国防部未来考虑使用的人工智能模型评估制定美国防部范围的指南。
(C)制定模型开发、测试和部署的治理结构。
(D)根据用例风险确定适当的评估级别。
(E)建立跨组成机构协作的机制。
(F)制定用例提交、审查和批准的流程。
(5)框架内容——根据第(b)款制定的评估框架应当涵盖以下内容:
(A)模型性能标准;
(B)开发文档要求;
(C)测试程序;
(D)道德原则遵守;
(E)评估方法和有效期;
(F)安全要求和合规法规,包括联邦风险和授权管理计划;
(G)跨职能团队认为适当的其他要素。
(b)人工智能应用的职能牵头机构
(1)指定——美国防部长应指定其认为适当的部门组织,作为人工智能应用的职能牵头机构。
(2)选择标准——根据第(1)款指定职能牵头机构时,美国防部长应考虑:专业知识;功能领域的权益;建立评估标准的能力。
(3)CDAO职责——美国防部首席数字和人工智能官应当:担任具有人工智能模型的业务系统的功能负责人;为整个美国防部提供商业人工智能模型指导。
(c)主要人工智能系统的评估——不迟于2028年1月1日,美国防部长应使用跨职能团队根据第(a)(2)款制定的标准评估框架,对该部门所有主要人工智能系统进行评估。
(d)管理
(1)总则——在执行本节时,美国防部长应确保完成以下每个里程碑:
(A)跨职能团队根据(a)款于2026年6月1日或之前成立。
(B)人工智能应用的职能领导机构于2027年1月1日或之前根据(b)款指定。
(C)跨职能团队在2027年6月1日或之前完成(a)(2)款要求的标准化评估框架和治理结构的制订。
(D)根据第(c)款对主要人工智能系统进行初步评估,并于2028年1月1日或之前完成。
(2)国会简报——在第(1)款规定的每个里程碑完成后30天内,美国防部长应向国会国防委员会简报其在执行本节方面的情况。
(e)终止与过渡
(1)终止——跨职能团队应于2030年12月31日终止。
(2)过渡——不迟于2030年6月30日,美国防部长应指定一个机构来接替跨职能团队,并制定一项计划,将第(a)(4)款规定的跨职能团队的职责转移给该继任机构。
(3)继任机构活动报告——不迟于跨职能团队终止之日起1年,并且此后每年至少1次,直至跨职能团队终止之日起3年之日,美国防部长应向美国会国防委员会提交一份关于跨职能团队职责移交给的单位部门活动的年度报告。
(f)定义——在本节中:
(1)“人工智能”一词具有《约翰·S·麦凯恩2019财政年度国防授权法案》第238(g)节中赋予的含义。
(2)“功能领域”是指美国防部内人工智能应用的专门领域,在该领域中,模型在可比操作条件下开发、评估和用于类似用例。功能领域的例子可能包括决策支持系统、业务系统、航空电子设备、网络安全、情报应用、后勤和维护以及医疗保健。
第1624节:美国防部本体治理工作组。
(a)设立
(1)总则——美国防部长应建立一个工作组,负责制定和实施整个美国防部的通用数据本体和治理结构。
(2)命名——根据第(1)款设立的工作组应称为“美国防部本体治理工作组”(在本节中称为“工作组”)。
(b)目的——工作组的目的是制定和实施整个美国防部的通用数据本体和治理结构,以提高数据互操作性,加强信息共享,并使整个美国防部能够更有效地做出决策。
(c)成员——工作组由以下人员组成:(1)美国防部首席数字和人工智能官;(2)美国防部首席信息官;(3)美国防部首席数据官;(4)各军事部门和作战司令部的首席信息官;(5)美国防部部长认为适当的国防情报实体代表;(6)美国防部长认为适当的该部门的其他官员或雇员。
(d)职责——工作组应当:
(1)应与美国防部和情报界(定义见1947年国家安全法第3节)内现有的数据本体开发工作进行协调并以此为基础,以确保互补和非重复的努力;
(2)整合整个美国防部的数据以及来自国防情报实体的数据;
(3)开发和维护针对美国防部内专业知识领域的特定领域数据本体,包括作战、后勤、人事、情报和网络安全领域;
(4)建立一个流程,以识别和指定负责领导特定领域数据本体的开发、审查、批准和各自指导的功能领域领导机构;
(5)评估通用和特定领域数据本体会带来哪些安全风险,以及如何减轻这些风险;
(6)建立治理框架,包括:
(A)一个集中式存储库,以所有授权利益相关方可以访问的方式存储通用和特定领域的数据本体;
(B)强大的版本控制机制,用于跟踪变化、管理不同版本并确保稳定和权威的来源;
(C)数据本体管理的明确所有权指定和角色定义,包括整体范围和特定领域本体的修改和访问权限;
(D)用于更新、审查和维护数据本体以确保相关性和准确性的标准化治理程序;
(E)对促进跨领域的互操作性和可重用性的已建立数据本体工程原则的遵守;
(F)与现有美国防部数据管理实践和系统的整合。
(e)职能领域牵头人
(1)选择标准——根据第(d)(4)款指定职能领域牵头人时,工作组应选择在各自领域拥有丰富的专业知识并在该领域拥有大量权益或责任的个人。
(2)代表性——根据第(d)(4)款选出的职能领域牵头人应确保在整个美国防部内具有适当的代表性,包括军事部门、作战司令部、国防机构和外勤机构。
(3)职责——根据第(d)(4)款选出的职能领域牵头人应负责:
(A)领导其领域内数据本体的开发和维护;
(B)审查和批准特定领域的数据本体元素;
(C)确保特定领域数据本体与整体范围数据本体框架之间的一致性;
(D)为数据本体实施制定特定领域的指导;
(E)作为数据本体治理结构中领域知识的权威来源。
(f)时间表和交付成果。
(1)成立——美国防部长应确保工作组根据(a)款不迟于2026年6月1日成立,并且工作组自成立之日起有效期不少于5年,除非美国防部长确定有必要将工作组过渡为常设机构。
(2)职能领域牵头人指定——不迟于2026年8月1日,工作组应根据(d)(4)和(e)小节的规定确定和指定职能领域牵头人。
(3)部门级政策——不迟于2027年6月1日,工作组应制定并发布有关数据本体治理结构的部门级政策,包括领域特定本体的开发、维护和集成指南。
(4)实施——工作组应在2028年6月1日之前监督治理结构的实施情况。
(g)简报和报告。
(1)简报——不迟于2027年7月1日,工作组应向美国会国防委员会提供工作组进展情况的简报。
(2)报告——不迟于2028年6月30日,美国防部长应向国会国防委员会提交一份关于本体治理结构实施情况的报告,包括整体范围和领域特定本体的实施状况,以及维持和进一步发展的建议。
(h)定义——在本节中:
(1)“数据域本体”一词是指特定于部门内特定功能、操作或主题领域的数据本体,包括作战、后勤、人事、情报或网络安全领域。
(2)“数据本体”一词是指信息系统或知识领域内数据元素、其属性及其之间关系的正式化、结构化表示和分类,以便实现不同系统和用户之间数据的一致解释、集成和分析。
第1625节:高性能计算路线图的修改。
《2025财政年度国防授权法》第1532节(c)款修订如下:
(1)在第(1)款末尾的句号前插入“,包括美国防部拥有和维护的专用计算资产,以及商业采购的云服务或其他基础设施即服务合同”;
(2)在第(2)款中——
(A)将子款(C)款重新指定为字款(D);
(B)在子款(B)后插入以下新的子款(C):
(C)对于在军事设施上建造或扩建的任何数据中心,应提供一份估算,在美国防部长确定提供此类估算不会延迟提交第(3)款要求的三年期更新报告的范围内,对这些数据中心的额外需求进行估算,包括:
“(i)对物理空间需求增加的占地面积的估计;
(ii)对预计的人工智能数据中心占地面积的电力和水使用需求进行评估;
(iii)基于电力、水和其他资源需求的增加,预计对设施和周边社区的影响,包括减轻对军事设施任何潜在不利影响的措施;
(iv)防止当地公用事业服务中断和确保社区恢复力的策略,包括与当地、州和联邦机构协商,以使基础设施规划与更广泛的社区需求保持一致。”
(3)在末尾添加以下内容
“(3)每3年更新一次——不迟于2027年3月1日,以及不迟于此后每3年的3月1日,直至2033年3月1日,美国防部长应更新第(1)款要求的路线图,并向国会国防委员会提交更新后的路线图。”
第1626节:人工智能指导委员会
(a)设立
(1)总则——不迟于2026年4月1日,美国防部长应成立通用人工智能指导委员会。
(2)命名——根据第(1)款设立的指导委员会应称为“人工智能指导委员会”(本节中称为“指导委员会”)。
(b)成员——指导委员会由以下人员组成:(1)美国防部副部长;(2)参谋长联席会议副主席;(3)美陆军副参谋长、海军作战部副参谋长、海军陆战队助理司令、空军副参谋长、太空作战部副参谋长、国民警卫队局副局长;(4)美国防部负责采办与保障的副部长;(5)美国防部负责研究与工程的副部长;(6)美国防部负责情报和安全的副部长;(7)美国防部副部长(审计长)兼首席财务官;(8)美国防部长认为适当的军事部门代表;(9)美国防部首席数字和人工智能官;(10)美国防部长认为适当的国防创新生态系统内创新中心的代表;(11)美国防部部长认为适当的其他组织和部门的代表。
(c)联合主席——美国防部副部长和参谋长联席会议副主席应担任指导委员会的联合主席。
(d)职责——指导委员会应负责:
(1)分析人工智能模型和支持实现通用人工智能的赋能技术的当前发展轨迹,包括:(A)当前和新兴模型,包括前沿模型和世界模型;(B)代理算法;(C)神经形态计算;(D)算法或模型开发的认知科学应用;(E)基础设施需求;(F)新的或新兴的微电子设计或架构;(G)指导委员会认为适当的其他技术学科。
(2)评估美国的对手在实现通用人工智能目标方面的技术、操作和理论发展轨迹。
(3)分析通用人工智能对美国防部的军事应用和影响。
(4)制定美国防部采用通用人工智能的战略,包括:(A)道德和政策标准的阐明;(B)所需资源,包括通过使用新的或新颖的融资机制,如购买承诺、融资安排或贷款或贷款担保;(C)可衡量的目标;(D)可通过公私合作伙伴关系过渡或采用的机制。
(5)分析对抗性使用通用人工智能所带来的威胁形势,并制定防御此类使用的选项和反通用人工智能策略。
(e)报告
(1)总则——美国防部副部长应不迟于2027年1月31日向美国会国防委员会提交一份关于指导委员会就第(d)款所涉事项的调查结果的报告。
(2)报告形式——根据第(1)款提交的报告应以非机密形式提交,但可以包含机密附件。
(3)公开提供——美国防部副部长应向公众提供根据第(1)款提交的报告的非机密部分。
(f)终止——本节的要求和权力将于2027年12月31日终止。
(g)定义——在本节中:
(1)“通用人工智能”一词是指在大多数认知任务上有能力匹敌或超越人类智能的人工智能系统,不同于为特定领域中的特定任务而设计的狭义人工智能系统。
(2)“创新生态系统”一词是指由私营部门、学术机构和政府机构组成的区域性网络,这些机构通过正式和非正式的机构关系网络为特定技术领域的技术和经济发展做出贡献。
第1627节:人工智能系统的物理和网络安全采购要求
(a)安全框架
(1)总则——美国防部长应制定一个框架,用于实施与涵盖的人工智能和机器学习技术有关的网络安全和物理安全标准和最佳实践,以减轻美国防部因使用此类技术而面临的风险。
(2)安全相关方面的覆盖范围——根据第(1)款制定的框架应涵盖人工智能和机器学习系统安全的所有相关方面,包括以下内容:
(A)劳动力风险,例如内部威胁风险。
(B)培训和劳动力发展要求,包括以下内容:(i)人工智能安全意识。(ii)人工智能特有的威胁和漏洞。(iii)人工智能安全专业知识的专业发展和教育的连续性。
(C)供应链风险,例如假冒组件或数据中毒风险。
(D)与对抗性篡改人工智能系统有关的风险。
(E)与人工智能系统或数据意外暴露或盗窃有关的风险。
(F)安全态势管理实践,包括安全措施治理、持续监控和事件报告程序。
(G)对可用于持续监测和评估的商业平台进行的评估。
(3)基于风险的框架——根据(1)款制定的框架应以风险为基础,其安全级别应与所涵盖的人工智能技术被盗或篡改所带来的国家安全或外交政策风险成比例地提高。
(4)现有框架使用——在最大可行范围内,根据第(1)款制定的框架应当:(A)借鉴现有的网络安全参考资料,例如NIST特别出版物800系列;(B)作为美国防部制定的现有网络安全框架的扩展或增强来实施,例如网络安全成熟度模型认证框架。
(5)应对极端安全风险。
(A)高能力网络威胁行为体——根据第(1)款制定的框架应考虑到,最强大的人工智能系统可能引起最强大的网络威胁行为体的极大兴趣,例如同等和近乎同等国家的情报和国防机构。
(B)安全级别——美国防部长应确保为承包商提供的网络安全框架包含旨在减轻(A)款所述网络威胁行为体带来的风险的安全级别,最高级别的范围与国家安全系统提供的保护级别相似。
(C)具有特定组件的通用设计——在可行的范围内,根据第(B)款开发的任何附加安全级别应针对所有软件系统进行通用设计,但可以包含专门为高性能人工智能系统设计的组件。
(b)安全要求
(1)总则——美国防部长可以修改国防联邦采购条例补充规定,或采取其他类似行动,要求涵盖实体实施根据第(a)款制定的框架中描述的最佳实践。
(2)基于风险的规则——根据第(1)款制定的规则中实施的要求应尽可能针对所涵盖实体开发、部署、存储或托管的具体涵盖的人工智能和机器学习技术,并应根据涉及开发、部署、存储或托管这些涵盖的人工智能和机器学习技术的组件的不同任务进行相应调整。
(3)成本效益考虑
(A)总则——在实施第(1)款时,美国防部长应当:(i)考虑对涵盖实体实施安全要求给美国防部以及美国国家安全和技术领导地位带来的成本和收益;(ii)在可行的范围内,以允许在竞争需求之间进行透明的贸易空间分析的方式设计需求,以最大限度地降低成本并最大限度地提高收益。
(B)权衡减缓开发的成本——在执行第(A)款时,美国防部长应特别权衡减缓人工智能和机器学习开发和部署的成本与减轻美国防部使用商业软件的国家安全风险和潜在安全风险的好处。
(c)实施计划——第(a)款(1)项要求的框架应包括一份详细的实施计划,该计划应:(1)制定实现框架中概述的目标的时间表和里程碑;(2)确定资源需求和拨款机制;(3)提供衡量进展和有效性的标准。
(d)报告要求——不迟于本法颁布之日起180天,美国防部长应向美国会国防委员会提交本节要求执行情况的最新报告。
(e)定义——在本节中:
(1)“人工智能”一词具有《2019财政年度约翰·S·麦凯恩国防授权法案》第238(g)条中赋予该术语的含义。
(2)“涵盖的人工智能和机器学习技术”一词是指美国防部采购的人工智能或机器学习系统以及该人工智能系统开发和部署生命周期的所有组成部分,包括源代码、经过训练的人工智能或机器学习系统的数值参数(如模型权重)、用于开发该系统的任何方法和算法的细节、系统开发中使用的数据,以及用于在开发或部署期间评估人工智能或机器学习系统可信度的软件。
(3)“涵盖实体”一词是指与美国防部签订合同,从事涵盖的人工智能技术的开发、部署、存储或托管的实体。
第1628节:关于使用某些人工智能的指导和禁令
(a)指导和禁令
(1)关于从美国防部系统和设备中排除和移除的要求——除(b)款规定外,不迟于本法颁布之日起30天,美国防部长应要求所有美国防部办公室和部门从所有美国防部系统和设备中排除或移除所涵盖的人工智能。
(2)考虑为美国防部系统和设备提供指导——在本法颁布之日起30天内,美国防部长应考虑向所有部门办公室和部门发布指导,以排除或移除外国对手实体开发的人工智能,前提是美国防部长确定人工智能对所有部门系统和设备构成国家安全风险。
(3)承包商禁令
(A)涵盖的人工智能的使用——除第(b)款规定外,不迟于本法颁布之日起30天内,任何与美国防部签订有效合同的承包商不得使用涵盖的人工智能来履行、协助、执行或以其他方式支持完成或部分支持与美国防部签订的合同。
(B)使用外国对手开发的人工智能——除(b)款规定外,如果美国防部长发布第(2)款所述的指导意见,排除或移除外国对手实体开发的人工智能,而美国防部长认为该人工智能构成该款所述的国家安全风险,则任何与美国防部签订有效合同的承包商不得使用该人工智能来履行、协助、执行或以其他方式支持完成或部分支持与美国防部签订的合同。
(b)豁免
(1)总则——如果美国防部长认为豁免有必要,其可以根据具体情况,豁免第(a)款下的禁令:
(A)为了进行科学有效的研究(定义见2002年教育科学改革法案第102节);
(B)用于国家安全所需的评估、培训、测试或其他分析;
(C)为了进行反恐、反间谍或其他支持国家安全的军事行动;
(D)为了履行关键任务职能。
(2)风险缓解——在美国防部长根据第(1)款颁发豁免的情况下,其应采取其认为必要的措施,以缓解因颁发豁免而产生的任何风险。
(c)定义——在本节中:
(1)“人工智能”一词具有《2020年美国国家人工智能计划法案》第5002节中赋予该术语的含义,包括《2019财政年度约翰·S·麦凯恩国防授权法案》第238(g)节第(1)至(5)款中描述的系统和技术。
(2)“涵盖的人工智能”一词是指:
(A)DeepSeek公司开发的任何人工智能或后续人工智能;
(B)由HighFlyer公司或由HighFlyer公司拥有、资助或支持的实体或HighFlyer公司直接或间接拥有至少20%股份的实体开发的任何人工智能或后续人工智能。
(3)“外国对手”一词的含义与《美国法典》第10编第4872(f)节中“涵盖国家”一词的含义相同。
(4)“外国敌对实体”一词是指:
(A)外国对手;
(B)住所、总部、主要营业地位于外国对手方的外国人,或根据外国对手方的法律组织起来的外国人;
(C)第(A)款或第(B)款描述的一个外国人或多个外国人直接或间接拥有其至少20%股份的实体;
(D)受(A)、(B)或(C)款描述的外国个人或实体指导或控制的个人。
第1629节:推进数字内容来源标准的路线图
(a)总则——不迟于2026年6月1日,美国防部长应制定一份路线图,指导美国防部未来可能采用和整合数字内容来源能力。
(b)要点——根据第(a)款制定的路线图应当:
(1)确定和评估当前和拟议的数字内容来源开放技术标准,这些标准可应用于美国防部、军事部门和国防部外勤机构制作的公开发布的数字媒体资产;
(2)确定与保护和验证面向公众的数字内容有关的战略目标;
(3)描述各军事部门和美国防部各组成机构的相关角色和职责;
(4)探索建立标准化流程,以便在适当的面向公众的美国防部媒体中嵌入和验证内容凭证;
(5)概述支持技术和解决方案的潜在获取方法;
(6)制定适当的指标,评估数字内容来源技术的有效性、可靠性和可扩展性;
(7)建立与相关利益相关方(包括联邦政府资助的研究和开发中心、业界和学术界)协调的合作机制,以使工作与不断发展的最佳实践和技术能力保持一致;
(8)建立按财政年度分列的概念里程碑和资源需求,为长期规划提供信息。
(c)向国会简报——美国防部长应不迟于2026年7月1日向美国会国防委员会提交一份简报,介绍美国防部采用数字内容来源标准的路线图。简报应涵盖以下内容:
(1)关于可行性、机遇和潜在障碍的初步发现;
(2)迄今为止利益相关方的参与情况;
(3)任何计划中的后续步骤或正在考虑的试点工作。
(d)数字内容来源的定义——在本节中,“数字内容来源”一词是指数字资产的可验证历史和来源,包括有关其创建、所有权和随时间修改的信息。
第1630节:加强对影响美国防部人员操作安全的数据保护
(a)保护个人数据以保障操作安全的优先事项——在履行美国防部长的职责时,美国防部长应确定与武装部队成员和美国防部文职雇员的操作安全有关或可能对其操作安全产生影响的个人数据,并优先保护这些数据,防止收集、使用、传播或保留不符合本法颁布前一天有效的隐私相关法律和惯例规定的数据。
(b)审查并发布与操作安全相关的个人数据保护新指南——美国防部长应在2026年6月1日之前审查所有与部门人员操作安全相关或可能对其操作安全产生影响的个人数据保护相关的适用指南和政策,并在必要时发布修订版或新的指南,以加强此类数据的保护措施。此类指南应涵盖本法颁布前一天生效的与隐私和人员安全相关的法律和实践规定。
(c)数据存储
(1)限制——美国防部长应确保,与美国防部人员的操作安全相关或可能对其操作安全产生影响的部门个人数据均不存储在非部门服务器或云服务上,除非根据美国防部长与美国防部承包商或分包商签订的合同或其他协议,或对于人员数据,经数据主体许可。
(2)豁免——部长可以豁免第(1)款的规定,前提是美国防部长以书面形式证明此类豁免:
(A)适当考虑与此类数据相关的部门员工的操作安全风险;
(B)不会对国家安全构成风险;
(C)对于国家安全而言是必要的。
(d)关于美国防部公告变更的国会通知。
(1)总则——美国防部长修改与个人数据保护有关的部门发布内容之日起30天内,如果美国防部发布的内容与部门人员的操作安全有关或可能对其产生影响,部长应向美国会提交该修改通知。
(2)终止——第(1)款的要求应于本法颁布之日起5年后终止。
(e)事件的国会通知。
(1)总则——美国防部长应在第(2)款所述事件发生之日起30天内向国会提交该事件的通知。
(2)描述的事件——本款描述的事件是指发生的以下事件:
(A)美国防部长根据第(c)(2)款颁发豁免;
(B)与美国防部人员操作安全相关或可能对其操作安全产生影响的个人数据未按照部门规定存储,或者违反部门规定泄露;
(C)与美国防部人员的操作安全相关或可能对其操作安全产生影响的个人数据存储在未按照部门规定经过授权程序的非美国防部服务器或云服务上;
(D)在任何网络安全事件中,与美国防部人员的操作安全相关或可能对其操作安全产生影响的个人数据被泄露。
(f)系统所有者的标准、培训和报告流程
(1)总则——美国防部长应为那些作为系统所有者在多个部门信息系统平台上获得写入或读取访问权限的部门人员制定标准、培训、报告和安全汇报要求,这些系统托管与美国防部人员的操作安全相关或可能对其操作安全产生影响的个人数据。
(2)安全简报——美国防部长应确保向第(1)款所述人员定期获得安全情况简报,包括在离开部门后。
(3)在某些情况下通知国会——在第(1)款中规定的标准、培训、报告和安全汇报要求制定完成后,美国防部长应不迟于30天向国会提交这些要求的详细信息。
网络国防知识库
产业发展前哨站
开源情报信息源
奇安网情局
声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
