美2019財年國防授權法案：禁用中興、華為技術

E安全7月27日訊 2018年7月24日，美國眾議院公布眾、參兩院關於2019財年國防授權法案（簡稱 NDAA）最後協商版本的「會議報告」，其中禁止美國聯邦政府機構使用華為和中興通訊提供的存在風險的技術。

本文來源E安全

• 2018年5月24日，美國眾議院以351-66的投票結果通過2019財年國防授權法案。
• 2018年6月18日，美國參議院以85-10的投票結果通過了參議院版本的 NDAA。

該法案的最後版本要求，美國國防部在2019年3月之前提交報告，重點報告美國國防信息系統局（DISA）如何更好地管理國防部信息網路的日常防禦職責，美國網路司令部是否可以更好地完成這些任務。

美國防授權法案內容

該法案還提出將美國國家安全局（NSA）的 Sharkseer 計劃轉移到 DISA。此外，還要求美國國防部使用 Sharkseer 的「沙盒即服務」工具。在計算機安全領域，沙盒指的是一個帶有圍牆的數字空間，組織機構可以安全地測試和研究不受信任的元素，例如潛在的惡意計算機代碼。

這項法案的基礎國防預算為6390億美元，其將主要用於升級軍事軟體，並制定戰略打擊包括俄羅斯、中國、伊朗和朝鮮在內的對手。此外，報告還要求制定新版的國家安全戰略、國家防禦戰略以及核態勢評估報告。

本文來源E安全

禁用華為和中興的技術

該法案禁止美國聯邦政府機構使用華為和中興通訊提供的存在風險的技術，美國情報官員稱這些技術可能被用作中國的間諜工具。美國2017年的國防授權法案也有過類似的禁令，其針對的對象是俄羅斯反病毒公司卡巴斯基實驗室。

該法案刪除了一項條款：恢復對中興通訊違反美國制裁併有效地使其破產的處罰。美國參議員馬克·盧比奧（Marco Rubio）支持對中興通訊進行制裁，他表示對某些同事同意讓中興恢復業務的做法感到震驚，並認為「中國再一次找到了玩弄美國的方法。」

切斷與國防承包商與外國的關係

該法案的另一項規定要求，美國防承包商通過漫長的披露程序，旨在考察其與外國是否存在可能構成國家安全威脅的關係，包括是否允許任何外國政府審查源代碼。美媒稱，俄羅斯和中國出台了法律，可能會要求在某些合同中披露源代碼。該條款授權國防部採取其認為必要的任何行動，以減輕外國源代碼審查產生的風險。美國國防部還可以與民間機構共享其在審查期間發現的信息。

本文來源E安全

JEDI審查

該法案要求美國國防部的首席信息官制定戰略，詳述未來轉移或不轉移到國防部「聯合企業防禦基礎設施雲計劃 JEDI 「的項目。這項規定還要求國防部向國會報告 JEDI 計劃的方方面面，包括採購與規劃。 這項規定還將禁止國防部批准新的計算機系統或應用程序，其前提是國防部未確定系統目前或將來是否可以託管在雲上。

為 DHS 提供幫助

該法案授權國防部開展一項試點計劃，暫時將部隊分配給美國國土安全部（DHS），以幫助確保和機場等關鍵基礎設施的安全。

成立「網路空間日光浴委員會」

該法案還授權成立「網路空間日光浴委員會」，由參議員本·薩斯推進，以艾森豪威爾時代的「日光浴項目」為藍本。該委員會的主要任務包括權衡美國當前網路工作的成本和成效，分析國家對手在網路方面做出的努力，評估美國當前關注以及應當關注的網路安全資源領域，並提出政策變化建議。

該委員會由13名成員組成，其主要職責是：

就在網路空間保護美國及應對構成嚴重後果的網路攻擊，在戰略方法上達成共識。該委員會的成員將包括聯邦政府官員、國會議員以及來自行業或學術界的非政府官員。

該法案的其它 IT 和網路條款還包括：

• 要求美國國防部制定國土安全指令，以在所有電子郵件域名上安裝

  DMARC

  反欺騙安全工具。
• 向美國國會報告國防部個人可識別信息有關的重大安全事件。
• 確定美國國防部有權發起攻擊性和防禦性的網路行動，包括秘密行動。
• 要求在6個月內更新網路安全政策。
• 要求開展戰爭演習，重點關注國防部在重大網路事件期間如何支持民事單位。
• 要求擴大預算範圍，以評估和緩解主要武器系統中的網路漏洞。
• 授權美國國防部長與高等院校合作設立網路學院。

註：本文由E安全編譯報道,轉載請註明原文地址

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！