美國政府2023財年支出法案通過：網絡安全看點解析

安全內參1月3日消息，12月23日，美國眾議院與參議院撥款委員會通過一項1.7萬億美元的綜合支出法案，確定2023財年的政府運營資金。12月29日，美國總統拜登簽署該法案。

《2023財年綜合撥款法案》的文本內容總計4155頁，包括已經通過的8580億美元國防開支（2023財年國防授權法案已簽署通過）和其他8000億美元非國防預算，里邊涉及一系列重要的網絡安全項目。

美國參議院國土安全小組委員會主席、參議員Christ Murphy表示，“這項法案是各方合理讓步的結果，我為能有這樣一份管理邊境、抵御國家網絡威脅、保護海岸線與機場的負責任法案而感到自豪。”

美國眾議院國土安全小組委員會主席Lucille Roybal-Allard也說，“今年國土安全部的撥款法案對于美國國內、海上及邊境安全做出了歷史性投資，將保護關鍵網絡與物理安全基礎設施，以及支持救災工作。”

法案中的關鍵網絡安全條款

該法案數十次提及網絡安全議題，凸顯出聯邦政府已將網絡安全支出納入常規例程。法案中的以下網絡安全條款，憑借突出性、涉及的金額、首次出現在年度撥款流程內或立法者的高度重視而特別值得關注。

CISA撥款29億美元創下紀錄：

該法案為網絡安全與基礎設施安全局（CISA）撥款29億美元，較2022財年高出3.135億美元（12%），較總統預算提案高出3.964億美元。立法者們還特別劃撥了幾筆CISA資金，包括：

• 超17億美元用于網絡安全工作，包括“保護同樣有利于州、地方、部落及領地（SLTT）政府網絡的聯邦民用網絡”；
• 2.142億美元用于進一步推進CISA的安全運營，其中包括為聯邦網絡防御協作（JCDC）增撥的1700萬美元；
• 為多州信息共享與分析中心（Multi-State Information and Analysis Center）增撥1600萬美元，預算總額達4300萬美元；
• 4600萬美元用于跨聯邦、州、地方、部落及領地政府與關鍵基礎設施網絡，建立“威脅搜尋與響應能力”；
• 1700萬美元用于“緊急通信準備”；
• 另外3200萬美元用于“提高區域運營能力”。

2023年烏克蘭補充撥款法案：

作為總支出計劃的一部分，此法案將撥款5000萬美元用于解決來自俄羅斯及其他惡意黑客的網絡安全威脅。

人事管理辦公室：新法案為人事管理辦公室提供4.22億美元，用于“實現網絡安全與招聘計劃”，增撥4920萬美元。

國家科學基金會：新法案為國家科學基金會的CyberCorps計劃提供6900萬美元，較去年增加600萬美元。如果學生同意畢業后在政府從事網絡安全工作，此計劃將為他們提供獎學金。

財政部：新法案劃撥1億美元的補充資金作為工資和開支，用于增強財政部運營系統的網絡安全水平。

國家網絡總監辦公室：新法案為國家網絡總監辦公室提供2192.6萬美元資金。

特勤局：新法案撥款2300萬美元，并重新授權特勤局繼續運營國家計算機取證研究所。取證研究所屬于國家培訓中心，供執法人員學習調查和打擊網絡與電子犯罪的相關技能。

商務部：新法案專門撥款3500萬美元，用于商務部的技術現代化與網絡安全風險緩解。

國土安全部（DHS）：新法案為國土安全部情報和網絡安全多元化獎學金撥款300萬美元。

禁止政府部門手機上使用TikTok

盡管中國企業字節跳動一直在努力與美國外國投資委員會（CFIUS）達成妥協協議，以緩解其廣受歡迎的TikTok視頻應用引發的國家安全擔憂，但新法案仍禁止在政府行政機構的手機上使用TikTok。

新法案要求美國白宮管理與預算辦公室（OMB）及總務署署長、CISA局長、國家情報署署長及國防部長共同協商，在兩個月內為各執行機構制定刪除TikTok應用的標準和操作指南。

該法案頒布后，美國眾議院議長立即禁止眾議員及工作人員使用TikTok。TikTok方面一位發言人表示，“我們對國會禁止在政府設備上使用TikTok感到失望，此項措施屬于無助于促進國家安全利益的政治姿態。外國投資委員會正在審查一項鼓勵政府結束國家安全審查的協議，這份協議才是解決聯邦及州一級政府所提出安全問題的意義之舉。”

對中國等實施采購限制

新法案規定，根據美國國家標準與技術研究院（NIST）的規定，任何政府機構不得使用政府資金，為“具有中/高影響度的信息系統”向從China科技巨頭華為或中興購買電信設備。

法案還進一步指出，各級機構不得將任何資金用于購買China開發的技術，包括生物、數字、電信及網絡等技術，除非國務卿及國際開發署署長等其他聯邦機構負責人共同協商并酌情確定具體應用不會對美國國家安全產生不利影響。

此外，任何機構不得將資金花在由China、伊朗、朝鮮或俄羅斯持有、管理或資助的實體商，除非聯邦調查局或其他相關聯邦實體已經完成網絡間諜或破壞風險評估。

報告外國勒索軟件攻擊及其他網絡攻擊活動

新法案還納入了勒索軟件法案，要求聯邦貿易委員會（FTC）在2025年和2027年向國會提交報告，詳細說明來自China、朝鮮、伊朗或俄羅斯的勒索軟件事件或其他網絡攻擊的數量和類型。法案還要求聯邦貿易委員會分享與這些事件相關的訴訟信息，并推薦新的法律與商業判例，以增強美國組織抵御數字威脅的能力。

保障醫療設備網絡安全

最后，新法案修訂了《聯邦食品、藥品和化妝品法案》，要求醫療設備制造商符合特定網絡安全標準。其中一項要求是向食品藥品監督管理局長提交一份計劃，以監測、識別和解決上市后的網安漏洞與漏洞利用問題，包括協調漏洞披露與相關程序。

生產商須確保其設備及相關系統的安全性，并發布售后軟件與固件更新和補丁。設備制造商還須向食品藥監局長提交軟件材料清單（SBOM），其中包含設備所使用的一切現成、開源及關鍵組件。

新法案進一步要求食品藥監局在未來180天內及之后每年，發布關于改善醫療設備網絡安全的額外資源和信息，包括幫助醫療保健提供商、衛生系統及設備制造商識別和解決網絡漏洞的信息。另外，政府問責局（GAO）也須在一年內發布一份報告，確定醫療保健提供商、衛生系統、患者及設備制造商在解決漏洞上面臨的挑戰，以及聯邦機構應如何加強協調以提高設備網絡安全水平。