2019年3月份,美國聯邦政府陸續發佈了2020財年的預算申請書,從中,我們可以一窺美國聯邦政府在網絡安全方面的預算投入情況。本篇文章,我們首先聚焦整體的網絡安全預算分析,後續再分別分析國土安全部、國防部的網絡安全預算。
根據白宮發佈的2020財年聯邦政府(不含地方|政府)網絡安全(cybersecurity)預算情況說明,整個2020財年的網絡安全預算申請金額爲174.35億美元,其中民事部門78億美元,國防部96億美元,國土安全部19.19億美元。
特別指出地是,根據這個表格,2019財年的網絡安全實際花費預計爲166.45億美元,高於當初制定2019財年網絡安全預算時申請的數值(150億美元)。
針對民事部門的這78億美元網絡安全預算,根據國內CFO法案,將大部分(不是全部)聯邦機構的網絡安全預算根據NIST的CSF框架(IPDRR)進行分類,各類預算分佈情況如下表:
可以看出,美國政府機構的預算投向還是以識別和保護爲主,但對響應部分的投入也還算挺高的。
此外,白宮同期發佈的2020財年聯邦政府IT預算情況說明,民事部門的IT預算爲510億美元,國防部IT預算367億美元,國土安全部的IT預算是71.08億美元。
對於民事部門的IT預算這塊,IT基礎設施、安全和管理的投入佔比約爲45.3%。如下圖:
據此,我們可以做出如下分析:
2020財年,美國聯邦政府的網絡安全預算佔IT預算的比重是19.8%,其中民事部門的網絡安全預算佔IT比重是15.3%,國防部的數字是26.2%,國土安全部的數字是27%。
可以看出,美國政府對安全的投入還是很高的,(除軍方外的)網絡安全預算佔整個IT投入的比重達到了15.3%。 此外,由於DHS承擔了保衛國家網絡安全的責任,國防部承擔了保衛國家安全和網空作戰的責任,其網絡安全的投入尤其顯得高。
根據美國政府的職責分工,有三個大的部門承擔了保衛美國網絡安全的責任,分別是司法部下屬的FBI,DHS和國防部。
因此,這三個部門的安全預算不僅包括了自身網絡安全建設的預算,更多包括了保衛美國自身網絡安全的預算。這裏,我們分別對上述三個部門的安全預算提取出來,說明如下:
司法部(包括下屬的FBI)對抗基於網絡的威脅與攻|擊的預算約爲8.055億美元(該數據來自司法部預算申請表,跟白宮發佈的數據有出入);DHS的網絡安全預算爲19.19億美元,其中跟保護美國網絡空間安全最密切的部門叫CISA(網絡空間與基礎設施安全局,以原來的NPPD爲核心組建的新部門),其網絡安全預算爲10.33億美元(該數據來自DHS CISA的預算表);國防部(DOD)的網絡安全預算爲96億美元,其中直接用於支撐網絡作戰的預算爲37億美元(該數據來自DOD的預算表)。
據此,我們可以初略的研判,2020財年,美國政府用於保衛其國家網絡安全及其網空作戰的預算至少有55.4億美元(8.055+10.33+37)。
按照相同的計算模型,可以發現在2019財年,甚至再往前的相同項目的預算都比2020財年的低不了多少,這說明美國政府在網絡安全這塊的投入在近些年都是高位持續投入了,我估計,如果把近5年的數據加起來,應該不會低於2020財年的數字乘以4。
此外,我分析,針對美國聯邦政府的網絡安全建設的主要驅動力,肯定有對抗威脅(尤其是中俄)的成份,但更大的驅動力還是合規。這裏的合規主要就是FISMA2014(《聯邦信息安全現代化法案》),更具體的就是要遵照NIST的CSF(即《提升關鍵基礎設施的網絡安全框架》)。這些都是寫到法律中去的,必須要遵守的。每年,各個聯邦機構及其下屬機構都要依照FISMA的考覈指標體系向OMB彙報安全建設與運營情況,並接受國會的質詢,以及GAO(美國政府問責署)的審計。
最後,還是那句話,美國政府(包括軍方)是美國網絡安全產業的重要推動力量。