从美国最新国防预算文件看网络空间发展新动向
摘 要:
美国2021年《国防授权法案》被其国会参议员安格斯·金描述为“美国历史上通 过的最全面、最具前瞻性的国家网络安全立法”, 2021年5月28日,拜登政府上台后的第 一份国防预算概要文件公布, 拜登政府网络空间能力建设的思路导向初步显现。基于近期两 份国防预算文件, 首先,从预算总额和优先事项两方面全面梳理了网络空间相关条款;其次,归纳了国防预算文件在网络空间领域的布局重点;最后, 对比分析了两份国防预算文件的共 同点和差异性。
内容目录:
1 2021 年《国防授权法案》网络空间 板块分析
1.1 预算分布
1.2 优先事项
1.2.1 提升国家网络空间战略领导力
1.2.2 提升国防部内外部网络安全
1.2.3 提升美军网络空间作战能力
2.1 预算分布
2.2 优先事项
3 结论与展望
0、引 言
美国《国防授权法案》是具有法律约束力 的国防部预算和支出文件,明确年度国防建设 的资金水平及资金使用政策,凸显了美国国防 发展的最新走向,具有较高的研究价值。2021 年 1 月, 美国 2021 年《国防授权法案》正式生效, 国会参议员安格斯·金(Angus King) 将该文件 描述为“美国历史上通过的最全面、最具前瞻 性的国家网络安全立法”。2021 年 5 月 28 日, 美国公布 2022 年国防预算概要文件,拜登政府 网络空间能力建设的思路导向初步显现。基于 近期两份文件中网络空间事项,厘清美国在该 领域布局的一些新动向。
1、2021 年《国防授权法案》网络空间 板块分析
2020 年 12 月, 美国国会通过了 2021 年《国 防 授 权 法 案 》(National Defense Authorization Act, NDAA) ,历经总统否决、国会两院推翻 总统否决等艰辛历程,该法案最终于 2021 年 1 月 1 日正式生效。从网络空间板块来看, 2021年 NDAA 呈现出两个特点。
一是美国网络空间日光浴委员会对国防建设的强大影响力。2020 年 3 月,美国网络空间日光浴委员会(CSC)发布《网络空间日光浴委 员会报告概要》,系统阐述“分层网络威慑” 战略和 75 项行动建议, 其中立法建议占 48 项。 2021 年 NDAA 网络空间板块采纳了 CSC 立法建 议中的 17 项(部分建议采纳情况如表 1 所示) , 采纳率高达 35%。此外,2021 年 1 月,CSC 发 布第 5 号白皮书《对拜登政府的网络安全建议》, 再次提出将设立国家网络主管列为拜登政府上 任头 100 天内的三大优先事项之一。同年 4 月 14 日,拜登政府上任第 83 天,提名克里斯·英 格利斯(ChrisInglis) 为首任“国家网络主管”。 由此可见,在引导美国网络空间战略法规体系 发展方面,CSC 的高度权威性和领导力不言而喻。
二是网络空间板块的地位得到重大提升。 其一,网络空间单独成板块。2021 年 NDAA 将 网络空间条款从原来的“太空活动、战略计划 和情报事务”板块中剥离出来, 设立了单独的“网 络空间”板块, 与“采购”“研发测试和评估”“作 战和运维”等并列。其二,网络空间作战相关 条款翻倍。2020 年 NDAA 涉及的网络空间条款 约 30 项, 而 2021 年 NDAA 网络空间条款为 77 项(包括网络空间板块 52 项和其他板块 25 项), 覆盖战略规划、作战力量、武器装备、人才培养等作战要素,内容全面,篇幅翻番。
表1 NDAA对CSC建议采纳情况一览表
1.1 预算分布
2021 年 NDAA 国 防 预 算 总 额 为 7405 亿 美 元,连续 5 年呈上升态势;与 2020 年相比, 呈现出 1.45% 的增幅,增幅是近 5 年来最低的 一次。
2021 年 NDAA 网络空间板块预算总额约 98 亿美元(如表 2 所示) , 相较于 2020 年的 96 亿 美元(不包括用于发展人工智能和云计算等技 术的 16.3 亿美元) , 增幅约 2.08%, 但仍高于 整体增幅。
表 2 美国国防预算中网络空间板块预算分布情况
从预算分布来看,网络空间板块细分于网 络安全、网络空间作战能力、支撑性网络安全研 发 3 个方面。其中,网络安全 54 亿美元,占比约 55%, 网络安全预算连续 2 年占整个网络空间预算 的一半以上;网络空间作战能力 38 亿美元,占比 约 39%;支撑性网络安全研发事项 5.56 亿美元。
1.2 优先事项
2021 年 NDAA 网络空间板块共有 52 项条款。梳理来看,主要聚焦于提升国家网络空间战略 领导力、提升国防部内外部网络安全和提升美 军网络空间作战能力 3 个方面,具体条款内容 如表 3 所示。
1.2.1 提升国家网络空间战略领导力
2021 年 NDAA 注重提升国家网络空间战略 领导力,打通政府内部之间与各州之间以及与私营部门之间的联络枢纽。
表 3 美国 2021 年《国防授权法案》网络空间板块部分规定概览
在政府内部层面,设立国家网络主管, 领导国家网络战略的制定和实施。2021 年 NDAA 要 求 在 总 统 执 行 办 公 室 新 设 立“ 国 家 网 络 主 管(NCD) 办 公 室”,NCD 不 具 体 管 理 任何一 个联 邦机 构的 运作, 而是 负责 整合 相关行政部门的网络安全政策和运作, NCD 的主要职责包括:其一,领导国家网络战略 的制定和实施;其二,担任美国总统在网络安全及相关新兴技术领域的首席顾问; 其三, 协调整个联邦政府的重大网络事件响应工作。 在 拜登政 府上 台后 颁布 的《临 时国 家安 全战 略指南》中,将更新网络安全战略作为新成 立的 NCD 办公室的首要事项。
在政府与各州层面,建立网络安全州协调 员,促进联邦政府与各州协调一致应对网络威胁。2021 年 NDAA 包含了多项旨在强化国土安全部下属网络安全和基础设施安全局(CISA) 统筹能力的条款,要求 CISA 在各州任命一名具 有网络安全相关资历的政府雇员担任“网络安 全州协调员”,并提出该职位的 10 项职责,如 促进网络威胁信息共享、提升网络空间态势感 知能力、发展安全弹性的基础设施、支撑网络 安全风险和事件的相关响应和恢复等工作。
在公私合作层面,建立联合网络规划办公 室,统筹政府机构和私营部门之间的防御性网 络空间行动。2021 年 NDAA 要求 CISA 设立“联 合网络规划办公室”统筹防御性网络空间行动。 从主要职责来看,该办公室面向政府和私营机 构,开发网络防御作战计划协调行动,以减轻 对关键基础设施构成潜在风险的恶意网络行动。 从机构组成来看, 要求国土安全部、网络司令部、 国家安全局、联邦调查局以及国家情报总监办 公室等均指派人员加入,打通联邦政府和国防 部力量来协助建立公私合作关系。
1.2.2 提升国防部内外部网络安全
提升国防部内外部网络安全是 2021 年 NDAA 部署重点之一,具体表现在对内强化武器系统网 络漏洞评估,对外加强国防工业基地网络安全。
一方面,进一步强化和健全武器系统网络 安全漏洞评估机制。2016 年 NDAA 就已提出武 器系统网络安全漏洞评估,并于 2020 年进行第 一次修订, 2021 年又新增了两项要求(如表 4 所示)。第二次修订可视为国防部经过 5 年探索, 将主要武器系统网络漏洞评估固化成由指定高 级官员督促的、国防部常态化的重要“规定动作” 之一。同时, 2021 年 NDAA 规定国防部长应于 2021 年 8 月 1 日前制定“战略网络安全计划”, 以确保国防部武器系统始终能够执行诸如进攻 性网络作战、远程常规打击等重要军事任务, 要求对项目任务及其组成系统、基础设施等进 行漏洞评估,并向战斗指挥部和联合参谋部及时报备可能对武器系统构成重大风险的漏洞等。
表 4 近年美国《国防授权法案》中“武器系统漏洞评估”相关规定
另一方面, 加强对国防工业基地(DIB) 网 络安全能力的引导。DIB 相关内容约占网络安全 条款的 10%,具体来看:第一,强化 DIB 网络 安全顶层战略谋划,要求国防部首席网络顾问负责协调与 DIB 网络安全相关的所有政策和计 划,使国防部发挥其特有的资源和情报能力, 在政策规划方面提供切实保障。第二,摸清 DIB网络安全威胁和漏洞,要求国防部长在 2021 年9 月底之前建立 DIB 网络安全威胁搜寻计划的可 行性评估,在国防部与 DIB 承包商协调的情况下, 对 DIB 网络进行威胁搜索,减轻对手针对 DIB 的网络威胁。第三,加强国防部与 DIB 威胁信 息共享,要求国防部长在 2021 年 9 月底之前建 立 DIB 威胁信息共享计划的可行性和资源评估, 并提出 13 项评估内容,如建立适用于 DIB 网络 安全事件报告要求,建立威胁环境共享和实时 洞察,建立与特定 DIB 承包商直接共享威胁信 息的途径等。
1.2.3 提升美军网络空间作战能力
提升美军网络空间作战能力表现在既重视 作战理念实施和战备能力评估,又灵活发展作 战力量和武器平台。
一是制定“前置狩猎行动框架”,强化军 政各方在“前置防御”战略中的责任和角色。 根据“前置防御”理念, 美国已在全球开展“前 置狩猎”行动,如 2018 年向黑山共和国派遣力 量搜集俄罗斯网络干预选举方面的情报 [1];2020 年与爱沙尼亚联合开展防御性网络行动等。基 于在“前置狩猎”系列网络实践行动中积累的 经验, 2021 年 NDAA 要求国防部长制定一个标 准的“前置狩猎行动框架”,以增强网络前置 狩猎行动的一致性、执行力和有效性。同时, 还明确了框架应包含前置狩猎行动合理性的必 要阈值、网络司令部及相关军政部门在行动规 划执行中的角色、网络司令部和国家安全局在 任务数据分析中的作用等 8 项要素。
二是全面评估美军网络任务部队的网络空 间作战能力。2021 年 NDAA 要求评估网络任务部队(CMF) 是否具备足够的能力来迅速应对突发危机。在网络态势评估方面,该项条款已进 行第二次修订,除了要求评估 CMF 应对敌方网 络攻击的能力、与常规部队的互操作性和一体 化能力等,还要求“全面评估 CMF 的结构”, 包括确定网络任务部队的适当规模和组成,对 网络任务部队人员、能力、装备、资金、作战 概念和及时执行网络行动的能力进行评估等。 在作战规划评估方面, 要求评估作战政策条令、 网络司令部获取的数据及情报、情报监视侦察 等权限的下放是否与及时、协作的网络作战能 力相适配。在网络行动报告方面,要求国防部 应报告每一季度在网络空间中进行的所有进攻 性和重大防御性军事行动,阐述网络任务部队 执行指定任务的战备情况,如人员、装备、训 练等。
三是从国防部、各军种及后备力量 3 个层 面持续壮大网络空间作战力量建设。美军已建设 一支以网络任务部队为核心,以军种现役力量 为基础,以网络预备役为补充的网络空间作战 力量 [2], 2021 年 NDAA 持续探索更加有效执行 网络空间作战行动的力量构成。在国防部层面, 要求首席网络顾问全面整合与网络空间作战有 关的行动;代表国防部长评估和监督网络战略 以及网络态势评估的执行情况,提升了国防部 首席网络顾问的授权。在各军种层面,海军最 先尝试建立了海军网络战发展小组(NCWDG) , 一旦 NCWDG 的结构、人员配置、授权、资金 和作战等评估通过,其他军种可借鉴建立与 NCWDG 同等规模和授权的网络空间作战组织, 意味着各军种已在探索建立与网络任务相匹配的定制化网络作战组织。在后备力量层面,要求国防部首席网络顾问评估支持网络空间行动 的预备役情况,评估要素包括网络预备役的组 成及所需的资源、具备相关技能的预备役人员 数量等,积极寻求传统与非传统网络预备役发 展模式的替代方案。
四是从设计研发、采办流程等层面加速网络 空间作战武器装备的发展。2021 年 NDAA 对网 络空间武器装备的设计研发和采办流程进行了部 署。一是采取“集成化、标准化”的建设发展方 向,要求整合联合网络作战架构和网络安全服务 提供商架构的相关工具、功能、作战理念等;还 要求整合用户活动监控和终端网络安全的计划、 能力和系统,使结构复杂、功能强大、种类多样 的武器平台朝着集成化、标准化方向发展。二是 提出“特殊审批、快速采办”的理念,基于网络 空间武器装备生命周期短、更新迭代快的特点, 2021 年 NDAA 批准网络司令部司令每年可授权不 超过 600 万美元的支出用于发展网络作战特定能 力项目, 与 2020 年授权的不超过 300 万美元相比, 总额翻了一番。可见,在网络空间武器装备发展 方面,美国国防部不断朝着推进装备快速采办和 能力快速生成方向迈进。
2、2022 年国防预算概要文件网络空间 板块分析
2021 年 5 月 28 日, 美国公布 2022 年预算 概要文件,可视作 2022 年《国防授权法案》的 前身, 代表着 2022 年美国国防预算的基本布局。
2.1 预算分布
2022 年美国国防预算总额为 7529 亿美元,比 2021 年增加 124 亿美元,增幅约 1.67%。
从网络空间板块来看, 预算申请总额为 104 亿美元,相比 2021 年增加 6 亿美元,增幅约 6.12%。对比来看,网络空间板块的预算增幅远 远高于整体 1.67% 的增幅。预算布局延续 2021 年网络安全、网络空间作战和支撑性网络安全 研发 3 个细分方向。
网络安全方面预算 56 亿美元。主要涉及密 码现代化(约 9.80 亿美元) ,身份和证书访问 管理现代化(约 2.40 亿美元) ,保护跨域信息 共享(约 3.20 亿美元), 部署零信任架构(约 6.20 亿美元) , 采取更严格的终端管理措施(约 3.30 亿美元)等方面,核心目的在于强化国防部信 息网络和武器系统网络弹性,为联合作战提供 更加灵活、高效的网络能力。
网络空间作战方面预算 43 亿美元。用于发 展网络情报搜集、主动或防御性网络作战、网 络作战部队和支持网络作战的基础设施,主要 包括减少国防部关键系统的脆弱性(约 7.15 亿 美元) ,加强多域作战(约 1.82 亿美元) ,与 盟国开展网络空间前置狩猎行动(约 1.47 亿美 元) , 继续开发统一平台(约 1.14 亿美元) 等。
支撑性网络安全研发方面预算 5 亿美元。 用于网络相关研发活动,实现更具弹性的系统 和高度集成的网络能力,包括加速前沿技术的 开发和集成,提升国防部网络靶场基础设施; 确保网络能力快速交付给网络司令部和其他部 队,支持网络战略的实施和全域作战。
2.2 优先事项
概要文件作为拜登政府上台后的第一份预 算文件, 虽不同于《国防授权法案》, 但通过 预算分布,可大致推测出拜登政府 2022 年网络空间能力建设的优先事项。
一是提升网络任务部队的作战能力。美国 国防部将大幅提高对网络任务部队的装备和力量支持, 进一步推行和强化“前置防御”战略。 2022 年,美国国防部计划投入 25 亿美元用于 发展网络任务部队(CMF)的人员配备、培训和装备,同时提供额外的资金和人力支撑,将 现有的 133 支网络任务部队扩编到 137 支, 新增的 4 支网络任务部队主要聚焦于处理增加 的网络作战需求和提供作战的网络支持。除此之外,美国国防部还计划投入 1.5 亿美元,用于与盟国和伙伴合作,开展网络空间前置防御行动。
二是持续构建弹性安全的系统和网络。 2022 年美国国防预算以《国防部数字现代化战略》(DMS) 为导向, 而 DMS 网络安全的总体目标是改进网络安全,打造一种灵活、有弹性 的防御态势。预算概要文件中提及的事项,包 括加速部署零信任框架、提供优化的综合网络 能力、发展联合网络作战体系结构(JCWA)等, 基于提升美军联合作战任务需求,为部队提供 无缝、灵活、弹性、透明和安全的网络基础设 施和服务。
三是持续加强国防部关键基础设施保护。 2022 年网络空间预算概要文件聚焦于关键基础 设施漏洞和国防工业基地(DIB)网络安全。一 方面,大量资金(7.15 亿美元)用于减少国防 部关键基础设施的脆弱性,使国防部能够更好 地了解其关键任务面临的风险,在提高弹性的 同时采取缓解措施;另一方面,加强国防部和 国防工业基地(DIB)之间在面对网络风险时的协调行动,以更有效地执行风险补救活动。
3、结论与展望
近两年美国颁布的国防预算文件,体现了 两届政府在网络空间布局上既存在延续性,又 有不同之处,简要总结如下。
在延续性方面,一是拜登政府的战略导向 延续了“分层网络威慑”战略的发展路线,强 调施加成本来慑止威胁。从整体国防建设来看, 预算文件体现了拜登政府与特朗普政府的战略 一致性:都立足于威慑中国,削减传统武器投 入,面向未来战争需要,加大对新领域和高新 技术的投入。具体到网络空间领域来看,拜登 政府已任命国家网络主管,虽然新的网络空间 战略还未出台,但从 2021 年 3 月颁布的《临时 国家安全战略指南》来看,其强调增强网络空 间能力和弹性,追究具有破坏性、毁灭性的恶 意网络行为者的责任,并通过网络和非网络手 段施加巨大代价, 这进一步凸显了 CSC“分层网 络威慑”战略中的第 3 种战略手段,即保持相 应的能力对“通过”或“在”网络空间的对手 “施加成本”。二是 2022 年网络空间作战力量 建设以 2021 年部队结构评估结果为依据,实现 了从“自我盘查”到“力量增补”的迭代发展。 2020 年 1 月,美国防部颁布了对网络作战能力 的评估文件; 2021 年,国防部开始全面评估网 络任务部队的人员规模、组成结构、装备能力等, 作战力量的发展重心转变为面向作战任务的部 队结构调整及优化; 2022 年预算概要文件明确, 基于评估结果, 新的国防预算文件明确投入 25亿美元用于网络任务部队建设,包括新增 4 支网络任务部队。可合理推测,美国国防部预计 2022 年斥巨资扩编网络作战部队力量,其后的 推动力大概率缘于通过量化评估,美国国防部 认为当前的 133 支网络作战部队还不能满足其未来网络空间作战的需求。
在不同点方面, 拜登政府将“创新和现代化” 视为下一步发展国防能力的关键, 网络空间领域 高科技竞争的角逐将更加激烈。从两届政府的 预算概要文件来看,特朗普政府将网络空间事 项部署在“提升军队杀伤力”板块,而拜登政 府将网络空间事项部署在“创新和现代化”板块。 同时,我们还注意到, 2022 年预算文件重申了 网络空间能力建设应围绕于推进《国防部数字 现代化战略》实施,凸显了前沿技术创新的重 要性。以现代化密码技术应用方面的投入为例,2021 年授权拨款 6.788 亿美元,2022 年预算则 高达 9.8 亿美元, 增幅近 44.37%。2022 年国防 预算强调“创新和现代化”, 与美国第 3 次“抵 消战略”路线紧密贴合,同时,高额研发投入背后折射出拜登政府倾向于通过发展“改变未来战局”的颠覆性军事技术,为制胜未来战争 塑造基础。
