最近几个月，美国众议院一直在努力起草2023财年各种支出法案。尽管这些法案为大量政府计划和机构提供了资金支持，但有一类开支显得尤为突出。众议院通过的支出法案总共为网络安全开支分配了156亿美元，数额巨大，令人惊讶。

　　正如许多人所推测的，这笔支出最大的份额（112亿美元）分配给了美国国防部。不过，值得注意的是，近30亿美元会流向网络安全和基础设施安全局（CISA）。

　　尽管公众很容易将这些网络安全预算分配视为政府过度支出的又一案例，但有一点值得我们深思：156亿美元资金注入对IT安全行业意味着什么？此外，我们还需要考虑：为什么美国政府认为有必要将其网络安全支出提高到如此程度？

政府网络安全开支增加预示着什么？

　　那么，着眼未来，所有这些网络安全开支意味着什么呢？首先，这意味着，对于入选政府采购供应商的网络安全公司而言，2023年将是丰收的一年。这类公司有望见证盈利创下新高，还有可能需要雇佣更多员工来满足突增的产品和服务需求。

　　更重要的是，所有这些支出几乎肯定会推动创新。在过去（云时代之前），为了跟上不断变化的安全形势，安全公司推出新版产品的频率通常是每年一次。新版本几乎总是包含一些旨在吸引客户和压竞争对手一头的新功能，而竞争对手也无可避免地会在自己的下一版产品中引入类似的功能。

　　尽管云时代已迫使安全公司改变了自己的经营方式，但以往的基本概念仍然适用。主要区别在于，云技术赋予了这些公司更快推出新特性和新功能的能力。

投资网络安全创新

　　以上种种表明，创新一直是网络安全行业的重要组成部分。安全公司一直在投入资源开发新工具和新功能，希望这些新玩意儿能够帮助自己领先网络罪犯和竞争对手一步。

　　随着上百亿美元的政府支出涌入安全行业，我们几乎肯定会看到，能够在产品开发和安全研究上投入更多资金，终将直接推动安全产品和云服务实现指数级飞跃。

　　这种创新将不仅仅局限于安全产品供应商和云服务提供商。别忘了，CISA也将获得29亿美元的预算。这个机构可是一直以来都在为政府机构和私营产业提供网络安全指南和建议的。

　　这些建议并非凭空而来，而是调查研究的产物。增加的资金投入将使CISA能够从事更多的网络安全研究，最终产出更好的建议。

为什么政府要增加网络安全投入？

　　网络安全预算分配增加很可能与白宫2022年3月21日发布的一项指令有关，该指令强调需要增强网络防御。而白宫之所以会发布这么一项指令，可能是因为近年来出现了一系列重大网络安全事件，例如去年美国最大燃油管网运营商Colonial Pipeline遭遇勒索软件攻击，导致美国东海岸发生燃油短缺。

　　值得注意的是，这项指令并非专门针对政府机构，也鼓励私营企业根据CISA指南加强其网络安全防御。

如何低成本增强自身网络安全计划

　　在企业和机构如何改善自身总体网络安全状况方面，CISA提供了许多建议，但大多都落脚到密码上。

　　如果所属组织还没有准备好大笔投入网络安全，那你最好从可量化的指标开始，看看自个儿的活动目录（Active Directory）有没有风险，风险都出现在哪里。可以使用Specops提供的免费只读密码审核（Password Audit）工具收集特定于所属组织的网络安全指标。

　　这种扫描会生成报告，揭示组织的密码策略有效性，并呈现存在的密码安全漏洞。这一免费工具还有助于识别其他漏洞，例如使用已知遭泄露密码的账户，或者不符合合规标准或行业最佳实践的密码。 

参考阅读

[调研]2022年网络安全开支趋势

美国国土安全部成立网络安全审查委员会

英国内阁办公厅网络安全培训开支一年暴涨500%

英政府IT支出50%维护老旧系统 且面临巨大风险支出