近年来,有关美国国防部(DoD)在网络安全领域存在巨额资金浪费的问题逐渐成为公众和媒体关注的焦点。特别是一篇由黑客新闻(Hacker News)发表的文章,将国防部在执行安全技术实施指南(Security Technical Implementation Guides,简称STIG)和信息保障漏洞警告(Information Assurance Vulnerability Alerts,简称IAVA)相关岗位的招聘行为曝光,指出这一行为背后或潜藏着数百亿甚至上千亿美元的资源浪费。此事件迅速引爆网络讨论,尤其是在搜索引擎上出现超过一百万条“stigs iava jobs”相关的工作招聘信息,反映出对这类工作需求的高涨与所涉及资金规模之巨大。 安全技术实施指南(STIGs)是美国国防部制定的一套详细信息系统安全标准,旨在通过统一的配置和检查流程确保所有硬件、软件及网络设备达到最高的安全要求。STIGs从操作系统到网络设备,从应用程序到数据库,都有完善的安全配置模板。信息保障漏洞警告(IAVAs)则是针对新发安全漏洞发布的紧急修补通告,要求相关系统实行及时补丁更新和安全措施,以防止潜在的网络攻击。
STIG和IAVA体系被视为提升国防网络安全环境的关键支柱,确保国防信息基础设施抵御日益复杂的威胁。然而,随着这些安全框架的不断强化,背后支持的岗位需求也呈现爆炸式增长。包括STIG合规专家、漏洞管理分析师、网络安全工程师以及系统工程师等职位在内,成为国防部及其承包商招募的重点。这类岗位需要具备对安全标准的深入理解,能够执行合规审核、漏洞扫描及风险评估,并操作先进的安全工具如ACAS(Assured Compliance Assessment Solution)和风险管理框架(RMF)。 尽管这些职位显得不可或缺,黑客新闻及部分业内专家对这种大规模招聘背后的动机提出质疑。他们认为,国防部和承包商通过不断强化STIG和IAVA合规工作,将安全流程复杂化和官僚化,进而制造出大量岗位需求。
这种情况不仅导致人力大幅冗余,更可能使预算资金被过度消耗,真正用于网络防护的资源反而被稀释。根据公开报道和调查估算,这种对STIG和IAVA职位的持续招聘和经费投入,累计可能耗费数百亿乃至上千亿美元的纳税人资金,而这部分资金的使用效率和最终效果却缺乏透明且备受质疑。 为何STIG和IAVA岗位持续大量招聘,且相关成本居高不下?首先,STIG和IAVA框架自身高度复杂,且随着新漏洞的不断发现与安全标准的升级,合规审核频率大幅增加。此外,这些岗位多数属于政府外包合同范畴,承包商为了保持和拓展合约,往往推动对人力数量的需求,形成了利益链条。很多时候,岗位设置与实际安全需求并不完全匹配,有重复乃至冗余现象。此外,STIG及IAVA的执行多依赖人工审查和复杂的文档处理,也增加了工作流程的繁琐性。
网络安全领域的专家们也反映,过度依赖标准化框架可能导致防护措施趋于形式主义,而忽略了更灵活有效的风险管理和威胁响应。当前国防部的做法带来人力成本激增,且未必能对不断演变的网络威胁形成及时、有效的防御,存在“花大钱却未必花对地方”的隐忧。 搜索引擎上的招聘信息反映了这一行业现状。截至2025年,多家招聘平台如Indeed、LinkedIn、ClearanceJobs及NinjaJobs等持续发布大量STIG合规、漏洞检测、风险评估等岗位招聘,薪资待遇优厚,部分岗位年薪可达11万美元以上。职位描述通常要求深入理解DISA(Defense Information Systems Agency)安全指南、RMF流程,以及熟练操作漏洞扫描工具。招聘需求的旺盛从一方面凸显了国防部在合规安全方面的持续投入,但也加深了关于是否存在官僚主义浪费的争议。
很多求职者和业内人士开始反思,这样的职位营销是否真正有效地提升了国防安全态势,或者仅仅是在制造庞大的就业市场而已。 鉴于此,社会呼唤对国防部网络安全预算的严肃审查与优化。是否有必要持续沿用现行的STIG和IAVA执行方式?是否存在更智能、自动化且成本效益更高的解决方案?政府和承包商之间如何打破利益固化,杜绝冗余岗位的增长?这些问题亟需各界深思和政策制定者的回应。 随着公众关注度提升,外界期望国防部能够展现更强的透明度,提供详细预算使用报告,明确各项安全措施的实际效果。同时,整合先进的自动化工具、大数据分析以及人工智能技术,推动网络安全合规和风险管理的智能升级,尽可能减少依赖重复性和繁琐性手工操作,有助于国防部切实提高安全水平和节约资金。 在全球网络威胁日益严重的背景下,美国国防部的网络安全战略必须既有效又高效。
要实现这一目标,必须重新审视STIG和IAVA背后的管理体系,杜绝不合理的岗位堆积和资金浪费,推动制度改革和技术创新。只有这样,才能确保纳税人的每一分钱都花在真正保障国家安全的关键环节上,而非官僚体系的膨胀中。 总之,黑客新闻揭露的国防部千亿美元浪费事件,不仅是对美国政府网络安全实践的警醒,也提醒所有利益相关方重新评估现有安全合规体系。如何在保障网络安全的同时实现资源最优配置,防止官僚主义的扩张,成为未来国防部网络安全改革的关键挑战。公众的持续关注和专业的深入分析,将推动相关政策改善,促进更加高效透明的网络安全环境建设。
![US Federal Land Ownership: Overview and Data (2020) [pdf]](/images/01DBF283-E8CA-4ECB-8093-71379AAF26D2)
![The Mathematics of Juggling [video]](/images/8146148C-CF60-4CAE-AF78-38B8517D6434)
