作者:总体技术部 林涛
8月1日,美国网络安全和基础设施安全局(CISA)和联邦紧急事务管理局(FEMA)宣布提供超过1亿美元的网络安全赠款资金,以加强社区网络安全。这些资金将用于一系列网络安全改进,以加强网络防御能力和降低网络风险,包括建立更具弹性的网络生态系统、加强数字基础设施、规划和演习网络安全相关事件、聘请社区专家以及改善对公民的服务。
一、背景简述
2022年9月16日,美国国土安全部(DHS)宣布了一项的网络安全拨款计划,该计划专门面向各地的州、地方、部落和地区(SLTT)政府。来自州和地方网络安全拨款计划(SLCGP)和部落网络安全拨款计划(TCGP)的资金会帮助符合条件的实体解决由SLTT政府或代表SLTT政府拥有或运营的信息系统面临的网络安全风险和威胁。该拨款计划将在四年内提供10亿美元,其中包括2022财年的2亿美元、2023财年的4亿美元、2024财年的3亿美元和2025财年的1亿美元。
作为美国首个专门针对州及地方政府社区网络安全需求的专项计划,旨在持续提升地方政府在威胁检测、防范和响应方面的能力。
二、内容要点
本次资金计划延续既有框架的基础,分为SLCGP和TCGP两个子计划。其中SLCGP向州和地方政府提供9170万美元,TCGP向部落政府提供1210万美元。资金计划进一步强化了威胁应对导向和资源分配策略。
一是SLCGP计划。
在申请材料方面,申请人提交的申请必须至少满足以下条件之一,包括:建立网络治理与规划体系,提高应对网络安全事件的能力,并确保运营的连续性;根据持续测试、评估和结构化评估,了解现有系统安全能力;优先修复漏洞,实施与风险相称的安全保护;培养网络安全人才队伍,确保组织人员接受与责任相称培训。申请人需在2026年1月30日前重新提交CISA批准的网络安全计划,并说明其中有所修订的部分。
在资金分配方面,采取基础配额与动态追加相结合的模式,每个州、哥伦比亚特区和波多黎各联邦获得1%的基础资金;其他海外领地(如关岛、美属萨摩亚等)获0.25%;其余州拨款作为基于各州人口及农村人口比例的额外资金。
在资金使用规则上,州或领地总拨款的80%必须支持地方实体,其中25%必须支持农村实体;同时成本分摊要求的最低百分比从2024财年的30%增加到2025财年的40%(跨州协作的多实体集团项目更改为30%),仅美属萨摩亚等美国领土的岛屿地区可豁免分摊义务。
在绩效衡量标准方面,CISA进行了同步优化,调整后共有20项量化目标值(如网络安全演习、网络安全意识培训等),同时删减了员工培训人数统计等次要指标。
二是TCGP计划。
2025财年,TCGP的总体目标是协助部落政府管理和降低系统性网络风险,同SLCGP计划相互结合,共同推动社区网络安全的建设。分配给TCGP的资金总额从2023财年的1810万美元减少到2025财年的1210万美元,将优先用于资助2023财年未获资助的优质申请项目。网络安全计划定位为“活文件”,提交后可协同CISA更新,不再强制年度修订。成本分摊要求与SLCGP计划相同,但经济困难的单个实体可递交申请免除分摊。2025财年绩效期自授予之日起 48 个月,与2023财年不同,国土安全部不再批准任何延长绩效期的申请。
三、分析思考
本轮资金计划折射出美国联邦政府对社区网络安全的重视。其将地方社区视为国家网络防御体系的关键节点,并持续通过制度化、资源化手段强化其网络安全韧性。美国联邦政府认识到社区网络安全领域普遍存在资金匮乏(偏远地区尤甚)、技术人才短缺及治理框架缺失等短板,因此通过SLCGP和TCGP两大计划持续安排专项拨款,并强制要求80%资金下沉至地方政府(25%定向农村),还通过设定计划目标、绩效目标,力图推动地方建立长效安全机制。
但该计划仍有不足之处。如未考虑到农村技术能力是否足够承接资金,是否会导致资源闲置与错配;拨款总额的减少是否能满足实体应对持续攀升的勒索软件攻击等威胁的需要等。