收藏 [登录/注册] 欢迎
榕基博客
榕基门户网及子站
联系我们
  • 福建榕基软件股份有限公司
  • 电话:0591-87860988
  • 传真:0591-87869595
  • 地址:福建省福州市鼓楼区
  •    软件大道89号
  •    A区15座
  • 邮编:350003
联系榕基全国各分支机构
您的当前位置:首页 > 技术支持 > 安全公告

《2018财年国防授权法案》(NDAA)中的网络安全部分

(一)介绍


特朗普总统周二签署了价值7000亿美元的“国防授权法案”(NDAA),该法案为美国2018财年制定了政策和预算指导方针,一般来说年度授权法案往往包括全新的项目和政策规定。 今年的NDAA推进了几项重要的网络安全工作,同时也制定了与信息安全有关的新规则和计划。

以下是一些关键的网络安全规定:

1、官方禁用卡巴斯基实验室软件(SEC. 1634)

尽管国土安全部已经采取具体措施使得联邦政府禁用卡巴斯基实验室的产品推出, 1634使得国防部的禁令正式生效,并规定了2018年10月全部撤除的最后期限。 禁止特别提及卡巴斯基实验室拥有的所有产品,包括由子公司生产的服务和软件。


2、特朗普总统将会定义什么“网络战”(SEC.1633)

预计总统将“制定有关网络空间,网络安全和网络战争的美国国家政策”,并将提交给国会。该政策将描述并明确界定不同联邦机构在响应重大网络攻击时的计划,权力和作用。白宫应该描述在战争期间网络空间(cyberspace)可以依赖的选择。应该是“多方面的”,包括威慑,防卫和进攻战略。何时提交国家政策没有截止日期。据白宫总统府首席安全顾问Thomas Bossert说,白宫目前正在制定相关的全面国家安全战略。


3、国防部长将被要求审查并提出一个计划,以便更整合和更好地组织多个部门的各种网络安全能力和责任(SEC 1641,SEC 1644和其他部分)

在整个NDAA中,有多处提到五角大楼领导层需要重新审视许多不同网络安全相关任务的内部组织结构。这些要求的基本目的表明,国会希望五角大楼考虑计划如何应对袭击,协调应对数字化威胁。目前,网络安全工作是在五角大楼管,由特定办公室管理。


4、网络奖学金计划(SEC 1649)

国家科学基金会和人事管理办公室将启动一个联合试点奖学金计划,涉及5到10所大学,目的是提高教育水平,并直接从大学招聘人才。此外,NDAA要求,NDAA下可用于财政援助的总额至少有5%应专门用于网络教育计划,包括K-12学校。


5、Ryan Pelosi将赋予新的权力,应对针对众议院(SEC 1090)的网络攻击

如果众议院议长或少数领导人认为国会发生的攻击行为需要额外的资源或支持,他们将有新的权力寻求额外的资金。 能够向国会提供这种支持的组织类型可能包括其他政府机构,如国家安全局或私人网络安全公司。


6、由于网络风险,美国不会很快从外国政府(特别是俄罗斯)购买卫星技术(SEC 1603)

美国国防部和其他美国防务组织现在被禁止与国防部长认为可能隶属于“外国”的公司或被全部或部分被外国控制的实体或代表签署卫星服务合同, 尽管该条款明确提到了与“外国政府”控制的任何和所有公司,但由于明显的“网络安全风险”,它直接指名俄罗斯。


7、立法者应该更多地了解美国支持的秘密进攻性网络行动和黑客能力(SEC 1631,SEC 1632)

五角大楼将在相关的任务结束后的48小时内,通知国会委员会在Title 10 authorities(好像是美国定义军事方面的法律)下发起的所有敏感的军事主导的网络行动。SEC.1632还要求每季度告知立法者军方的网络武器库存及其使用情况。


8、国防部的首席信息官将获得额外的权力来控制五角大楼的网络安全任务(SEC 909)

国防部首席信息官将承担新的责任,包括计划和支持进攻性网络作战的能力。 在NDAA中,通过重写职责的重点领域来扩展其职能,现在包括以下所有内容:“信息技术、网络、信息保证、网络安全和网络能力体系结构”。更新后, 首席信息官还将就预算决定提供意见,并将直接发送给国防部长。


9、美国需要制定更多的反俄罗斯的信息行动计划,如2016年发生的事情(SEC 1641)

在不到180天的时间里,国防部长将向国会提供一个计划,解释五角大楼如何威慑、抵制和否定针对美国公民的信息行动。 美国可以与盟国合作对应俄罗斯数字化宣传。


10、规划结束Cyber司令部 / NSA的双重管理(SEC 1648)

五角大楼领导层将在2018年5月之前提交一份报告,阐述在Cyber司令部的结束双重领导的业务和预算影响,目前由国家安全局局长管理Cyber司令部 / NSA。


11、美国网络司令部将重新评估如何开发黑客和防御网络工具(SEC 1642)

现在仍然是国家安全局局长的美国网络司令部的领导将评估“开发,获取和维护基于软件的网络工具和应用的替代方法”。这个想法是为了找到新的方法来降低成本, 作为可重复的“纪律”程序的一部分,加快发展和提高效率。 这次审查将包括对软件开发人员现有的培训和教育计划进行审查。 目前,美国国会正计划网络司令部明年有自己的领导人,将国家安全局的领导权分离出来,并将这个组织提升为统一的与SOCOM(美国特种作战司令部)一样。

https://www.cyberscoop.com/trump-signed-ndaa-today-heres-means-cybersecurity/