编者按:美国国会参众两院12月7日发布了2026财年美国国防授权法案妥协版本,其中包括一系列为美国防部网络安全工作提供资金的条款,如正式生效将标志着美军在管理重大网络安全任务方面发生重大转变。
根据美国防部7月份提交的预算申请,2026财年美国国防授权法案申请中的网络空间活动预算约为151亿美元,较上2025财年申请增加4.1%。这一网络空间预算的增长与拟议的民事机构网络安全预算削减形成鲜明对比,呈现出“军升民降”的反差。特朗普政府今年提出预算请求要求削减各民事机构的网络安全支出,与2024财年相比,2026财年网络安全支出将减少12.3亿美元,降幅达10%。美国防部2026 财年151亿美元的网络空间活动预算将主要用于支持对网络安全、网络空间作战以及网络研发活动进行投资。具体情况如下:
网络安全预算为91亿美元,重点投资涉及信息保障、运营技术(包括武器系统)、国防关键基础设施、网络安全、供应链风险管理、国防工业基础网络安全以及密码现代化,具体措施包括:升级和改造密码设备并开发密码解决方案;努力实现零信任目标;网络安全成熟度模型认证计划和国防工业基础网络安全项目;加快身份、凭证和访问管理现代化进程;保护美国防部非密、机密、绝密和隔离信息在存储和跨领域传输过程中的安全;实施战略性网络安全计划,评估和评价美国防部优先武器系统和国防关键基础设施,并降低漏洞风险。
网络空间作战预算为54亿美元,包括拨给美国网络司令部的26亿美元专项资金,以及拨给美军各军种、联合参谋部、国防情报局、国防威胁降低局、国家安全局以及美国防部主管研究与工程的副部长办公室的28亿美元。主要投资领域包括:人工智能/机器学习;战术和战略层面的网络训练与战备;联合部队一体化;网络攻防作战;网络作战情报活动;访问能力;联合网络作战架构;“前出狩猎”行动;增强型感知作战/缓解;网络作战能力发展。
网络研发预算为6.119亿美元,主要用于部署和升级现有能力和技术,以推进下一代网络安全和网络空间作战工具的开发。相关投资将侧重于开发保护美国防部信息基础设施和关键任务信息系统所需的计算、网络和网络防御技术;支持利用人工智能系统、新兴的私营部门网络技术以及学术研究进行作战原型开发;用于开展演示和评估,以评估和提升原型的实用性、确保综合威慑和战略作战以及保持持久优势。
2026财年美国国防授权法案针对网络安全提出诸多政策指示,值得关注的方面包括:要求美国防部确保向高级军事官员或任何其他履行敏感国家安全职能的雇员提供获得增强网络安全保护的手机,重要功能包括加密数据、减轻或混淆持久设备标识符的能力以及持续监控无线移动电话的能力;要求美国防部制订人工智能和机器学习安全政策,以防范人工智能和机器学习面临的安全威胁,包括模型序列化攻击、模型篡改、数据泄露、对抗性提示注入、模型提取、模型越狱和供应链攻击,同时指导人工智能和机器学习安全最佳实践的开发和实施,确保此类系统的完整性和抵御损坏和未经授权操纵的能力;要求美国防部制定一套框架,用于实施与人工智能和机器学习技术相关的网络安全和物理安全标准及最佳实践,以降低此类技术使用给美国防部带来的风险;要求美国防部修订武装部队成员和文职雇员的网络安全强制性培训,以纳入与人工智能带来的独特网络安全挑战相关的内容;要求美国防部成立一个人工智能沙箱环境工作组,以确定、协调和推进全部门范围内的各项工作,从而开发和部署必要的人工智能沙箱环境,以支持全美军范围内的实验、培训、熟悉和开发;要求合法、负责任地采购和应用网络入侵能力,并防范商业间谍软件扩散;要求评估外国敌对势力获取美国多组学数据所构成的国家安全风险;要求对生物数据的存储采取分级网络安全保障措施和访问控制;要求美国防部协调适用于国防工业基础的网络安全要求,减少特定合同或其他协议特有的此类要求的数量;要求对战略铁路走廊网络进行定期评估,其中应包含对战略铁路走廊网络的网络安全和物理基础设施韧性的审查;要求美国防部长固定从事网络安全工作军方雇员的基本工资标准,并与政府其他部门的同类雇员的工资标准拉齐;要求支持西巴尔干地区的网络安全和网络韧性;要求美国防部为选定的武器系统平台配备机载、近实时、端到端串行总线和射频监控能力,以检测网络威胁并提高维护效率。
奇安网情局编译有关情况,供读者参考。
12月7日,美国众议院和参议院发布了2026财年美国国防授权法案(NDAA)的妥协版本,这是一份近3100页的立法文件,其中包含一系列条款,旨在为 2026 财年美国防部的网络安全工作提供资金。
尽管数百次提及网络安全,但该法案包含的条款一旦生效,将标志着美国军方在管理重大网络安全任务方面发生重大转变,尤其是在保护高级将领的移动通信和人工智能部署等紧迫领域,以及一些不太引人注目但可能影响巨大的信息安全职责方面。
01
网络安全支出“军升民降”
尽管美国国防授权法案网络安全支出的具体数字因来源或年份而异,波动较大,但根据美国防部首席财务官7月份提交的预算申请,2026财年美国国防授权法案申请中的网络空间活动预算约为151亿美元,较上一年申请增加4.1%。这一预算增长与拟议的民事机构两位数削减预算形成鲜明对比。
2025年,特朗普政府提出了一项前所未有的预算请求,要求削减各民事机构的网络安全支出,与2024财年相比,2026财年网络安全支出将减少12.3亿美元,降幅达10%。此外,鲜为人知的是,美国政府数据显示,美国白宫已在2025财年削减了3亿美元的政府网络安全支出。并希望在2026财年将网络安全支出再削减7%。
美国防部2026 财年151亿美元的网络空间活动预算与2025年临时美国国防战略指导优先事项和2023年美国防部网络战略相一致。该预算支持对网络安全、网络空间作战以及网络研发活动进行投资,以发展和加强这些活动。
美国防部2026财年网络安全预算为91亿美元,将用于继续推进重要举措和新增投资。重点投资包括信息保障、运营技术(包括武器系统)、国防关键基础设施、网络安全、供应链风险管理、国防工业基础网络安全以及密码现代化。美国防部正在构建网络弹性平台,以执行动能和网络任务,具体措施包括:
投资升级和改造密码设备,并开发对情报、信息和作战安全至关重要的密码解决方案
通过努力实现零信任目标,降低美国防部的网络风险
为网络安全成熟度模型认证(CMMC)和国防工业基础(DIB)网络安全项目提供资源,以增强国防工业基础的网络安全态势,并保护国防工业基础的技术、经济和军事优势以及相关供应链免受恶意网络攻击者的侵害
加快身份、凭证和访问管理现代化进程,以整合新兴技术
保护美国防部非密、机密、绝密和隔离信息在存储和跨领域传输过程中的安全
实施战略性网络安全计划,评估和评价美国防部优先武器系统和国防关键基础设施,并降低漏洞风险
美国防部2026财年网络空间作战预算为54亿美元,体现了美国防部致力于保卫国土、遏制对手以及维护网络空间战略优势的决心。相关战略投资将增强美国网络能力,确保能够应对不断演变的网络威胁,并具备相应的防御能力。相关投资包括拨给美国网络司令部的26亿美元专项资源,其余28亿美元则由美军各军种、联合参谋部、国防情报局、国防威胁降低局、国家安全局以及美国防部主管研究与工程的副部长办公室共同承担。主要投资领域包括人工智能/机器学习(AI/ML)、战术和战略层面的网络训练与战备、联合部队一体化、防御性和进攻性网络作战、网络作战情报活动、访问能力、联合网络作战架构(JCWA)、前出狩猎、增强型感知作战/缓解以及网络作战能力发展。为实现相关优先事项,美国防部正在进行以下重点投资:
关键的联合网络作战架构(JCWA)整合与创新,包括:加速人工智能/机器学习计划以解决独特的问题集;实现全面防御的自动化;人工智能辅助的网络威胁搜寻;利用人工智能/机器学习扩大网络效应行动的规模;人工智能赋能的标准构建模块;人工智能/机器学习系统漏洞评估和缓解;防御敌方人工智能的使用;条令、组织、训练、物资、领导和教育、人员、设施和政策任务推动因素。
感知操作增强,用于提高“前出狩猎”行动和能力支持,以检测、监控和分析恶意网络行为者,从而验证关键资产/任务的防御态势,并提供全面的美国防部信息网络地形视图。
能力提升和发展,用于干扰敌方针对关键基础设施和资源的行动,包括加强基础设施韧性和确保硬目标访问能力。
美国防部2026财年网络研发预算为6.119亿美元,用于部署和升级现有能力和技术,以推进下一代网络安全和网络作战工具的开发,从而增强美国防部的网络安全和网络作战项目。这些举措对于加速推进美国防部的创新优先事项至关重要。此外,这些研发投资还侧重于开发保护美国防部信息基础设施和关键任务信息系统所需的计算、网络和网络防御技术。网络研发资金用于利用人工智能系统、新兴的私营部门网络技术以及学术研究进行作战原型开发。演示和评估将与作战人员、采购项目和作战司令部合作开展,以:评估和提升这些原型的实用性;确保综合威慑和战略作战;保持持久优势。
02
保障高级官员的手机安全
很少有网络风险像不安全的移动通信那样对作战行动造成重大影响,2026财年美国国防授权法案直接针对这一差距,提出了美国防部如何为高级官员采购和保护设备的新要求。
该法案要求,美国防部必须在法案生效后90天内,确保向高级军事官员或任何其他履行敏感国家安全职能的雇员提供的每一部无线移动电话和所有相关电信设备,都是根据要求加强网络安全保护的合同或其他协议采购的。
根据该法案,加强网络安全保护意味着加密数据、减轻或混淆持久设备标识符的能力(包括定期轮换网络或硬件标识符以降低不当跟踪无线移动电话活动或位置的风险)以及持续监控无线移动电话的能力。
根据该法案,在法案颁布后的180天内,美国防部长必须向国会相关国防委员会提交一份报告,详细说明美国防部根据这些条款签订的移动通信合同,如何确定这些移动条款适用于哪些雇员,以及涉及的无线移动电话和电信服务的总成本。
这些规定出台很可能并非巧合,而是与今年早些时候发生的所谓“信号门”事件有关。根据美国防部监察长12月2日发布的一份报告,在这些事件中,现任美国防部长皮特·赫格塞斯通过其私人移动设备上的Signal软件,在未经批准且不安全的网络上,分享了“非公开”信息,这些信息揭示了“美国有人驾驶飞机在敌对领土上空执行打击任务的数量和时间,而这些打击任务是在执行前大约两到四个小时进行的”。
03
人工智能和机器学习安全及采购要求
该法案认识到人工智能现在支撑着从战场规划到情报分析的一切,因此提出了广泛的要求,以保护这些系统免受新兴数字威胁的影响。
2026财年美国国防授权法案详细列出了军方在人工智能和机器学习(ML)方面应遵循的一系列政策和采购规范。首先,美国防部应与其他联邦机构协商,在法案生效之日起180天内制定并实施一项全部门范围的政策,以保障人工智能和机器学习系统及应用的网络安全和相关治理,以及用于美国防应用的人工智能和机器学习模型。
该政策必须防范人工智能和机器学习面临的安全威胁,包括模型序列化攻击、模型篡改、数据泄露、对抗性提示注入、模型提取、模型越狱和供应链攻击。此外,它还必须在使用人工智能或机器学习的系统整个生命周期中实施网络安全措施。
此外,该政策必须体现对行业认可框架的采纳,以指导人工智能和机器学习安全最佳实践的开发和实施。同样,它必须遵循人工智能和机器学习系统的治理、测试、审计和监控标准,以确保此类系统的完整性和抵御损坏和未经授权操纵的能力。
最后,人工智能和机器学习政策必须满足美国防部员工的培训要求,以确保员工能够识别和减轻人工智能和机器学习特有的漏洞。
该法案进一步明确了人工智能和机器学习系统的物理安全和网络安全采购要求。法案规定,美国防部长必须制定一套框架,用于实施与人工智能和机器学习技术相关的网络安全和物理安全标准及最佳实践,以降低此类技术使用给国防部带来的风险。
该法案明确规定,该框架必须涵盖人工智能和机器学习系统安全的所有相关方面,包括美国防部工作人员面临的风险以及带来的风险(包括内部威胁风险)、培训和人员发展要求(包括人工智能安全意识、人工智能特有的威胁和漏洞、专业技能发展和教育)、供应链威胁(包括假冒产品)、篡改风险、人工智能系统或数据的意外暴露或盗窃、安全管理实践、市售监测和评估平台评估等。
该法案还要求该框架借鉴现有框架,包括美国国家标准与技术研究所特别出版物800系列和现有的美国防部框架,包括网络安全成熟度模型认证框架。
最后,根据该立法,该框架必须优先考虑网络威胁行为者最感兴趣的、能力最强的AI系统,并根据风险评估和威胁报告,对承包商提出安全要求。
该法案中的其他人工智能条款要求美国防部修订武装部队成员和该部门文职雇员的网络安全强制性培训,以纳入与人工智能带来的独特网络安全挑战相关的内容。
该法案还规定,到2026年4月1日,美国防部需要成立一个人工智能沙箱环境工作组,以确定、协调和推进全部门范围内的各项工作,从而开发和部署必要的人工智能沙箱环境,以支持全美军范围内的实验、培训、熟悉和开发。
04
其他值得注意的网络安全条款
除了移动安全和人工智能治理之外,2026财年美国国防授权法案还包含一系列广泛的网络措施,对国防、情报和国际伙伴关系具有战略意义。以下是该妥协法案中一些较为值得关注的网络安全条款:
商业间谍软件:该法案包含一份“国会意见”声明,指出出于美国国家安全考虑,有必要合法、负责任地采购和应用网络入侵能力,包括与反恐、禁毒和打击人口贩运相关的行动。声明还表达了这样一种观点:商业间谍软件的扩散对美国国家安全构成重大且日益增长的风险,包括对政府人员安全构成威胁。这表明,美国应该反对滥用商业间谍软件,“以记者、国际公认人权捍卫者、公民社会团体成员、少数族裔或宗教团体成员以及其他行使国际公认人权和基本自由的人士,或这些被针对人士的家庭成员为目标”。它还进一步规定,美国应与盟友和伙伴协调,防止向可能将其用于恶意活动的最终用户出口商业间谍软件工具,并就此问题与盟友积极分享信息。
评估外国敌对势力获取美国多组学数据所构成的国家安全风险:该法案规定,在法案生效后270天内,美国国家情报总监应与国防部长、司法部长、卫生与公众服务部部长、商务部长、国土安全部长、国务卿和国家网络安全总监协商,完成一项评估,评估外国敌对势力通过提供生物技术设备或服务而收集或存储的美国公民人类多组学数据所构成的国家安全风险。多组学数据结合了不同类型的生物数据,例如基因组学、转录组学、蛋白质组学和代谢组学,从而提供生物系统的完整图谱。
用于人工智能的生物数据:该法案要求对生物数据的存储采取分级网络安全保障措施和访问控制,并包含保护个人隐私的要求。
网络安全监管协调:到 2026年6月1日,美国防部必须协调适用于国防工业基础的网络安全要求,减少特定合同或其他协议特有的此类要求的数量,并向美国国会国防委员会提交一份关于为执行协调而采取的行动的报告。
战略铁路走廊网络评估中的网络安全和韧性附件:该法案规定,美国国防部长应与美国交通部长和国土安全部长协调,对战略铁路走廊网络进行定期评估。评估必须包含一份附件,其中应包含对战略铁路走廊网络的网络安全和物理基础设施韧性的审查。战略铁路走廊是指由美国防部和联邦铁路管理局定义的,对国防和军事机动至关重要的互联铁路走廊网络。
网络人才招聘和留任:该法案要求美国防部长将从事网络安全工作的军方雇员的基本工资标准固定下来,使其与政府其他部门的同类雇员的工资标准持平。
支持西巴尔干地区的网络安全和网络韧性: 该法案包含一项“国会意见”声明,指出美国对西巴尔干国家网络安全、网络韧性和安全信息与通信技术(ICT)基础设施的支持,将增强该地区抵御和应对非国家行为体和外国行为体(包括外国政府)恶意网络活动的能力。
展示实时监控能力以增强武器系统平台:如果资金到位,美国防部长将与主管采购和保障的美国防部副部长以及各军种采购主管协调,开展一项演示,为选定的武器系统平台配备机载、近实时、端到端串行总线和射频监控能力,以检测网络威胁并提高维护效率。
声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
