美国联邦政府2020财年网络安全预算分析：174亿美元如何分配？

2019年3月份，美国联邦政府陆续发布了2020财年的预算申请书，从中，我们可以一窥美国联邦政府在网络安全方面的预算投入情况。本篇文章，我们首先聚焦整体的网络安全预算分析，后续再分别分析国土安全部、国防部的网络安全预算。

根据白宫发布的2020财年联邦政府（不含地方|政府）网络安全（cybersecurity）预算情况说明，整个2020财年的网络安全预算申请金额为174.35亿美元，其中民事部门78亿美元，国防部96亿美元，国土安全部19.19亿美元。

特别指出地是，根据这个表格，2019财年的网络安全实际花费预计为166.45亿美元，高于当初制定2019财年网络安全预算时申请的数值（150亿美元）。

针对民事部门的这78亿美元网络安全预算，根据国内CFO法案，将大部分（不是全部）联邦机构的网络安全预算根据NIST的CSF框架（IPDRR）进行分类，各类预算分布情况如下表：

可以看出，美国政府机构的预算投向还是以识别和保护为主，但对响应部分的投入也还算挺高的。

此外，白宫同期发布的2020财年联邦政府IT预算情况说明，民事部门的IT预算为510亿美元，国防部IT预算367亿美元，国土安全部的IT预算是71.08亿美元。

对于民事部门的IT预算这块，IT基础设施、安全和管理的投入占比约为45.3%。如下图：

据此，我们可以做出如下分析：

2020财年，美国联邦政府的网络安全预算占IT预算的比重是19.8%，其中民事部门的网络安全预算占IT比重是15.3%，国防部的数字是26.2%，国土安全部的数字是27%。

可以看出，美国政府对安全的投入还是很高的，（除军方外的）网络安全预算占整个IT投入的比重达到了15.3%。 此外，由于DHS承担了保卫国家网络安全的责任，国防部承担了保卫国家安全和网空作战的责任，其网络安全的投入尤其显得高。

根据美国政府的职责分工，有三个大的部门承担了保卫美国网络安全的责任，分别是司法部下属的FBI，DHS和国防部。

因此，这三个部门的安全预算不仅包括了自身网络安全建设的预算，更多包括了保卫美国自身网络安全的预算。这里，我们分别对上述三个部门的安全预算提取出来，说明如下：

司法部（包括下属的FBI）对抗基于网络的威胁与攻|击的预算约为8.055亿美元（该数据来自司法部预算申请表，跟白宫发布的数据有出入）；DHS的网络安全预算为19.19亿美元，其中跟保护美国网络空间安全最密切的部门叫CISA（网络空间与基础设施安全局，以原来的NPPD为核心组建的新部门），其网络安全预算为10.33亿美元（该数据来自DHS CISA的预算表）；国防部（DOD）的网络安全预算为96亿美元，其中直接用于支撑网络作战的预算为37亿美元（该数据来自DOD的预算表）。

据此，我们可以初略的研判，2020财年，美国政府用于保卫其国家网络安全及其网空作战的预算至少有55.4亿美元（8.055+10.33+37）。

按照相同的计算模型，可以发现在2019财年，甚至再往前的相同项目的预算都比2020财年的低不了多少，这说明美国政府在网络安全这块的投入在近些年都是高位持续投入了，我估计，如果把近5年的数据加起来，应该不会低于2020财年的数字乘以4。

此外，我分析，针对美国联邦政府的网络安全建设的主要驱动力，肯定有对抗威胁（尤其是中俄）的成份，但更大的驱动力还是合规。这里的合规主要就是FISMA2014（《联邦信息安全现代化法案》），更具体的就是要遵照NIST的CSF（即《提升关键基础设施的网络安全框架》）。这些都是写到法律中去的，必须要遵守的。每年，各个联邦机构及其下属机构都要依照FISMA的考核指标体系向OMB汇报安全建设与运营情况，并接受国会的质询，以及GAO（美国政府问责署）的审计。

最后，还是那句话，美国政府（包括军方）是美国网络安全产业的重要推动力量。