2月4日文 美國眾議院和參議院在2016年11月底敲定了《2017財年國防授權法案》（簡稱NDAA），當地時間12月23日，美國白宮宣布，時任美國總統奧巴馬正式簽署了《2017財年國防授權法案》，NDAA法案正式成為法律的同時也為美國國防部提供高達6187億美元的預算。

由此我們可以看出美國國會開始積極參與軍事網絡作戰相關事務，而2017 NDAA法案將直接影響到美國軍事機構的組織方式以及如何實施網絡作戰等多個層面。在今天的文章中，E安全將從網絡視角解析NDAA法案中最為重要的幾項規定，探討特朗普政府在其首年任職期間需要處理的關鍵性網絡任務。

最重要的是，美國國會最終確定了“其是否會”參與美國網絡司令部應否由當前美國戰略司令部轄下子單位或者下級組織的地位“晉升”至統一性作戰司令部的辯論。此次晉升通過為美國網絡司令部賦予對其它非由其內部及親自執行之傳統統一化作戰行動的指揮權限。事實上，子司令部在職能方面與統一司令部并無明確區別。然而通過將美國網絡司令部晉升為統一司令部，美國戰略司令部中的四星指揮官（負責國家核武器等重要事務）將不再成為美國國防部長與美國網絡司令部之間指揮鏈的一環。其指揮官現在也將與其他作戰指揮官身處同一公平環境，共同負責引導部隊及其它資源。鑒于近年來美國網絡司令部一直享有的高度自治權，這種晉升在很大程度上只是一種象征性的變化。

賦予新權利以增強美國網絡司令部。美國國會并未阻止將美國網絡司令部晉升為統一司令部，該法案為美國網絡司令部賦予高于且超出大部分其它作戰司令部的權限。大部分作戰司令部主要負責部隊招募工作——即籌備戰爭行動。美國網絡司令部將同樣擁有這一職責，但立法法案亦要求其負責建立相關部隊——即對網絡作戰部隊進行組織、培訓與裝備。其中大部分權利與美國軍方機構所處理的事務高度相似（包括美國陸軍、海軍、空軍與海軍陸戰隊）。這些額外的權利包括：

制定策略、方針與戰術;

籌備并向美國國防部長提交美國網絡作戰部隊之相關意見及預算建議;

除了指派給美國網絡司令部的部隊之外，亦可對指派給其它司令部的網絡作戰部隊的資金支出進行指揮、指導以及控制;

負責所指派聯合部隊的培訓與認證工作;

為現役及非現役士官提供專業教學課程;

設置網絡作戰所需要之能力要求，并驗證其它國防部下轄機構之網絡能力水平;

確保設備與部隊間具備互操作能力;

制定并提交情報支持要求;

監控網絡運營能力提升效果，并與其它各軍事部門就網絡作戰部隊的指派、駐留、培訓、專業軍事教育以及特殊獎勵支出等事務進行協調。

只有特種作戰司令部在部隊的組建與調派方面擁有如此廣泛的授權; 事實上，此次新立法中的大部分內容與美國上世紀八十年代建立特種作戰司令部時的作法如出一轍。就目前來看，美國國會正在努力避免重復當初建立特別作戰司令部時曾經給各特別作戰機構帶來的各類困擾。直到1987年正式成立，特別作戰司令部還一直無法適應特殊作戰任務的獨特需求。具體而言，相較于其具備的特別作戰推動與任務執行權限而言，該機構并沒能將特別作戰作為自身的一項核心能力，并以此為基礎集中力量發展原則及策略且實現專業化。這直接導致其在鷹爪行動（美國政府于1980年4月24日，為解救伊朗人質危機事件中被伊朗政府扣押的52名人質而采取的一次軍事行動。此次行動最終以失敗告終，該行動的失敗也直接導致了美國特別行動指揮部和美國陸軍第160特種作戰航空團的成立。）及其它多次行動當中遭遇失敗，而美國國會也因此迅速采取行動。為美國網絡司令部賦予新型權限的作法似乎類似于在軍方之內建立起網絡界的一套中央指揮體系。

這種新型授權再加上美國國會去年向美國網絡司令部劃撥專門款項以采購軍備的舉措，已經證明美國軍方已經在網絡作戰事務的組織、培訓與裝備等層面迎來顯著轉變——即將權力從美國陸軍、海軍、空軍與海軍陸戰隊手中剝離，并將其賦予專門的中央網絡司令部。然而將這些新型職責賦予美國網絡司令部亦會帶來一系列風險，特別是考慮到該司令部（與其它大多數司令部一樣）并不具備必要的人力及資源執行如此繁重的任務。更遑論其還需要一段時間——正如上世紀八十到九十年代的特別作戰司令部一樣——真正建立起能夠符合政府當局要求的特殊執行能力。

同樣值得注意的是，此次立法的重點在于將美國網絡司令部的作戰工作與地理區劃指揮官加以結合。國會在法案內容中規定，各網絡作戰行動應當由對應的地理區劃指揮官負責指揮，而非由網絡司令部直接負責——亦不應由美國總統或者國防部長直接管理。在談到“網絡戰爭”這一標題時，我們很容易忽略整體地緣政治背景對其造成的影響，而事實上網絡空間本身亦是一種國家權力工具。本項立法鼓勵軍方將網絡能力納入自身整體作戰范疇，而非將網絡作戰視為獨立且脫離聯合作戰體系的集中性指揮單元。

最后，2017年NDAA為國防部長授予首席網絡顧問（簡稱PCA）職務，要求其對網絡司令部的各類新行動提供授權、指導以及控制。首席網絡顧問及其辦公室由美國國會于2014年建立，旨在對跨越國防部之內的各軍事網絡空間作戰與網絡安全相關組織加以合并，同時任命一位中央官員向國防部長直接負責。這項于2014財年出臺的立法法案要求PCA對國防部網絡活動進行“全面監督”，但該辦公室并不具備永久性職務——全部人員皆以短期輪換的方式組成。此前PCA角色一直由國防部副部長辦公室政策處理助理秘書擔任，而其工作人員則主要來自負責政策事務的副部長的辦公室內網絡政策相關人員擔任。盡管網絡政策辦公室專注于網絡戰爭政策與策略，但PCA本身實際上更關注美國國防部之內全部網絡組織與行動間的管理工作。

作為2017年NDAA的一項結果，PCA將需要發展為一個在職能上更加類似于軍事部長的組織，其類似于特別作戰與低強度沖突助理秘書長在特別作戰司令部中的角色定位。該部門應積極接受文職部門的監督，且接納態度應與對待該司令部自身的晉升政策保持一致。PCA將在確保司令部本身處于正確發展軌道以確保指揮活動成功完成并接受國家文職部門監督與領導方面發揮關鍵性作用，同時亦應任命永久性工作人員以監督各類受到網絡司令部批準的管理、預算、采購、訓練以及其它各類新型職能性行動。

美國國會還面臨一系列新的爭議，包括是否應將美國網絡司令部與美國國家安全局（NSA）交由第一位領導者負責管理。美國國會在授權法案中添加了一項條款，確保行政部門更難對這種“雙得頭銜”進行拆分。這項規定要求美國國防部長與參謀長聯席會議主席共同向武裝部隊、撥款與情報委員會證明，這種拆分不會給美國網絡司令部的軍事能力造成無法接受的風險。

在美國網絡司令部于2009年組建之初，高層官員們曾決定由美國網絡司令部與NSA進行協作，從而確保司令部能夠充分使用來自NSA的全球頂尖技術人才。他們決定為這兩大機構設置同一位領導者，從而使雙方能夠在網絡進攻與防御性活動中實現聯動，并鼓勵NSA將各類最為敏感的實時網絡威脅情報分享至美國網絡司令部。即使在當時，美國國內部分人士擔心這意味著將太多職能與責任交由第一位人選手中，將導致美國網絡司令部更偏向于進攻性任務。

奧巴馬政府此前曾有意結束這種“雙重頭銜”的職能分配方式。在2013年斯諾登泄密事件之后的檢討當中，美國政府當局選擇保留這一職能安排，從而確保兩大機構之間能夠繼續協調而避免發生資源重復投入。而在2016年，美國政府方面又決定將兩項領導職務進行拆分。在簽署2017 NDAA法案時，時任總統奧巴馬表示通過最近的一項研究發現，美國網絡司令部本身已經非常成熟且不再需要依賴于NSA的技術能力，因此兩大機構已經適合由不同的領導者人選致力于執行各自職能任務。

現在，這一舉措很可能再度面臨變化：隨著發展成熟，美國網絡司令部無疑能夠從NSA的支持中獲益，而分別設置不同的部門領導很可能導致組織職能層面的割裂問題，甚至在處理說明記錄時產生不必要的風險。根據報道，一部分美國官員擔心如果這兩大機構不能由同一位領導者負責統轄，雙方合作將受到嚴重影響，這意味著美國網絡司令部將無法獲得來自NSA的支持以成功執行任務。其他美國高層軍方官員亦認為美國網絡司令部的軍事任務（包括實現一定程度開放性并建立軍事影響力）實際上仍然依賴于NSA（此機構負責秘密搜集信息情報）。根據在認證工作中設立主席一職的作法來看，美國國防委員會顯然希望進行一輪范圍更為廣泛的政策與政治效益評估工作，旨在立足于客觀的軍事觀點了解“雙重頭銜”機制到底應否得以延續。

吸引更多信息安全人才已經成為政府官員們最為關注的核心議題，而美國國會亦在不斷要求政府當局拿出更具競爭優勢的政策，從而自私營部門（以及其它政府機構）處吸引更多經驗豐富的從業者。去年的NDAA授權為平民網絡運營人員建立一項“特別服務”，其依照當前情報機構的招聘流程，旨在免除各部門在招聘網絡工作人員時需要面對的某些聯邦限制性法律。這項最新法令包括：

允許網絡人員直接晉升為軍官，類似于醫生及律師的職業成長軌跡;

擴大面向私營部門的現有信息技術人員就業交流計劃，其中包括網絡安全從業人員;

為人力資源相關人員提供培訓要求，旨在確保其具備對應的新型招聘靈活性;

允許管理者在網絡特別服務仍在發展之過程中臨時聘用重要網絡人才。

盡管這些規定表達出美國政府對人力資源的高度關注與重視，但就目前來看其仍屬于邊際改革而非真正積極的信息安全與網絡運營軍事人員與人才吸引政策思路。舉例來說，英國就明確放棄了原本涵蓋各類體能以及儀表的常規性軍事法規，同意破格為網絡儲備部門招募技術人才。而現在發布的這份NDAA法案無疑旨在幫助美國國防部建立并維持自身軍事力量，而似乎并不打算選擇目前這個時間點在人力資源方面作出其它根本性變化。

美國國會將繼續致力于提升行政部門的威懾性姿態，具體包括要求美國國防部長及參謀長會議聯席主席提供一份可用于阻止或者應對惡意網絡活動的軍事與非軍事選項，外加一份具體參與與作戰計劃執行規則清單。在這份清單正式交付之后，美國總統必須明確表達這些選項將在何時及何種情況下得到其授權。這一規定是為了迫使政府當局利用更為強大且清晰的公共政策阻止網絡攻擊活動。此前發布的法案還要求政府當局制定一份關于網絡威懾性政策的報告，但這一提議卻未能在美國國會中得到廣泛認可。雖然此類報告在任何政府中都有可能引起爭議，但必須承認的是，美國的國防政策制定工作屬于行政部門的特權; 而特朗普領導下的美國政府很可能以激進的態度顛覆這種敏感的國家安全決策方式。

該法案還要求美國國防部制定計劃與試點項目，旨在評估美國國防部所擁有的各類關鍵性基礎設施中的網絡安全漏洞。一般來講，關鍵性基礎設施的網絡安全相關討論往往集中在私營企業擁有及運營的基礎設施領域，例如供電網絡。此次頒布的新規定將起到很好的警示作用，其提到美國軍方本身亦擁有并運營著廣泛的關鍵性基礎設施，且其中大部分與商業性關鍵基礎設施擁有同樣的安全漏洞。

美國國會最近幾年來一直在針對網絡采購工作進行授權; 其最近發布的授權法案嘗試為網絡功能提供快速授權獲取通道，即允許美國網絡司令部建立自己的采購辦公室。這一新法案改變了此前設立的權限以確保促進美國在網絡攻擊防御與恢復工作中的特殊應急性采購能力，即除面向核武器、生物武器、化學武器或者放射性武器的攻擊與恢復事務之外，亦支持其它應急性行動。這一應急權限允許美國網絡司令部擁有更高靈活性以及更為可觀的臨時性消費額度，且此前已經在2005年卡特琳娜颶風災后恢復與伊拉克戰爭的MRAP（即地雷伏擊）戰車采購中發揮作用。然而必須承認，其在網絡攻擊場景下的實用性可能受到限制。畢竟如果網絡攻擊已經迫在眉睫，那么官員臨時通過簽訂合同購買額外防火墻恐怕為時已晚。

最后，此項法案給出了一項有趣的條文，即允許美國國防部長提供軍事性網絡支持以保護任何被認定易受網絡攻擊威脅的國防部內部官員的個人設備。雖然該項法案明確指出，這部分條文并不是為了鼓勵美國國防部人員利用其個人設備處理公務，但可以看到立法者們已經明確意識到高層領導者的通信內容、本身或者其它相關因素已經對國家安全構成明確風險。

此份2017年NDAA法案給出了一系列規定，其將決定美國國防部未來對自身組織與職能的發展方式，并最終決定其對網絡空間內各類沖突的管理效果。目前，美國新任國防部長馬蒂斯及其新團隊必須執行相關規定，從而加快將國防部作為職能整體加以治理的腳步。E安全（微信公眾號E安全）預計美國網絡司令部的晉升將推動2017年NDAA法案中相當一部分其它規定的切實執行。獨立運營的全新網絡司令部還將需要一段時間才能真正演變為足以支撐2017年NDAA中部分設想的職能實體。美國網絡司令部與美國國防部長辦公室的核心任務在于立足新的一年通過遞交給美國國會的報告與簡報給出明確進展信息。當然，可以肯定的是，其還需要更長時間才能全面實現美國國會在2017年NDAA法案當中提出的各項網絡安全建設目標。