数字经济观察网 - 软信官网

2025年6月6日，美国总统唐纳德·特朗普签署了新一轮网络安全行政命令，全面修订或撤销了前任政府奥巴马（2015年）与拜登（2021年、2025年）时期关键政策。新政明确提出“防止网络制裁成为国内政治工具”，并将政策重心转向技术漏洞治理、关键基础设施防护以及政府职能的精简化。这是特朗普政府首次以系统化姿态大幅度重塑美国网络安全政策框架，体现出明显的“去监管、重实用”战略转向。

01

政策遗产回顾：

从广泛制裁到全面监管

理解特朗普新政的颠覆性，需回溯其针对的奥巴马与拜登政府网络安全政策框架：

奥巴马EO 13694：

首次将“具有重大威胁的恶意网络活动”定义为国家紧急状态，授权财政部对危害美国国家安全的网络间谍、破坏或数据泄露行为的“任何人”（包括国内外实体和个人）实施资产冻结、签证禁令等制裁，奠定了美国通过制裁实现威慑的基石。

拜登EO 14028&EO 14144：

在奥巴马框架基础上显著扩展，构建强调监管覆盖、制度合规及技术前瞻的体系，核心包括：

软件供应链安全：强制联邦软件供应商遵循NIST安全软件开发框架（SSDF），提交合规证明，强制披露软件物料清单（SBOM）。

AI安全治理：推动关键基础设施AI红队测试，设定AI部署规范，资助AI安全研究，并隐含对AI内容审查的支持。

数字身份与IoT安全：推进联邦数字身份系统建设，设立FCC主导的IoT设备“网络信任标志”强制认证体系，要求政府采购设备必须贴标。

后量子加密（PQC）：制定强制性联邦系统后量子密码迁移时间表。

强化制裁执行：延续并强化对恶意网络行为的制裁权力。

拜登框架体现了通过统一制度规范和前瞻技术监管应对复杂威胁的思路，但也因合规负担和市场干预而遭批评。

02

特朗普新政核心转向：

去监管化与技术实用主义

特朗普行政命令对上述框架进行了大刀阔斧的修正，其核心逻辑清晰：

网络制裁聚焦“外国恶意行为者”

关键修改：将奥巴马EO 13694中可制裁对象由“任何人”(any person)明确限定为“外国人”(foreign persons)。

政策意图：防止制裁工具被国内政治斗争滥用，以减少权力政治化风险，间接避免制裁被用于涉及选举等国内争议事件。

潜在影响：为美国国内研究人员和实体提供了一定程度的“政策豁免”，削弱了制裁在国内争议性事件（如涉及选举或政治言论的黑客指控）中的应用空间。

数字身份与IoT标签政策大幅回撤

关键修改：全面删除拜登EO 14144中联邦数字身份系统条款，取消软件供应商提交“安全开发声明”强制合规，IoT“网络信任标志”取消了普遍强制推行，但作为联邦政府采购的强制性要求仍然保留，市场推广则更多依赖政府采购杠杆。

政策意图：批评数字身份政策存在滥用风险，指责合规制度繁琐且效果有限，IoT标签以“政府采购杠杆”引导市场，强调自由市场效率。

潜在影响：降低供应商合规成本，尤其是中小企业；但可能拖缓数字身份安全和软件供应链安全的进展，IoT消费级安全标准推广放缓。

软件供应链安全转向自治试点模式

关键修改：取消联邦承包商提交SSDF合规证明和强制SBOM披露，改为由NIST牵头通过产业合作与行业多方参与，以试点方式推进，保留标准制定但无强制力。

政策意图：强调去中心化治理，机构和企业根据风险与预算灵活选择工具，避免“为合规而合规”。

潜在影响：释放企业灵活性，但可能削弱软件供应链安全的整体一致性和韧性，承包商责任机制面临模糊化风险。

AI安全聚焦漏洞检测

关键修改：停止拜登时期的AI红队测试计划、撤销专项财政资助，取消对AI内容审查的强制性要求，转而聚焦AI漏洞检测与管理。

政策意图：弱化AI的“规范输出”和“内容审查”角色，专注于AI在防御中的“实战价值”（如漏洞扫描、威胁检测），并解除对AI创新的“意识形态偏见”担忧。

后量子密码技术转向实用主义

关键修改：暂停拜登设定的强制性联邦系统PQC迁移时间表。强调“技术成熟度和现实部署决定推进节奏”。要求国土安全部(CISA)在2025年12月1日前发布并定期更新支持PQC的产品类别清单。要求国家安全局(NSA)和白宫行政管理与预算局(OMB)在同日前发布支持TLS 1.3+的要求，但最终实施宽限至2030年1月2日。

政策意图：从激进强制部署转向更务实、由技术可行性驱动的渐进式过渡。

BGP与边界安全上升为新焦点

关键修改：明确将边界网关协议（BGP）安全列为关键优先，指示各部门强化网关配置，防止网络流量非法重定向至境外。

政策意图：强化核心协议安全和基础设施韧性，体现技术实用主义在底层的防御能力。

03

即将推进的具体落实举措：

从战略转向战术落地

为确保新政有效实施，行政命令配套部署了一系列具体时间节点和技术任务，旨在以“技术标准+产业合作”的形式逐步落地：

1

安全软件开发试点推进

2025年8月1日前：NIST发布基于SP 800-218的安全开发指南；

2025年12月1日前：发布SSDF初步更新，120天后定稿。

2

后量子密码部署与TLS协议升级

2025年12月1日前：NSA（针对NSS）和OMB（针对非NSS）将提出TLS 1.3或以上的使用要求；DHS将同步发布支持后量子密码算法的产品目录，服务于未来政府采购。

3

AI漏洞管理制度化

2025年11月1日前：国防部、DHS、国家情报总监将联合制定AI漏洞纳管机制，涵盖检测、响应、共享失陷指标等环节，嵌入现有安全流程。

4

开放安全研究数据集

2025年11月1日前：商务部将在脱敏条件下向科研机构开放网络安全研究数据集，支持前沿技术发展。

5

“规则即代码”试点启动

一年内：NIST、CISA、OMB将共同推进网络政策的机器可读化试点，使网络合规进入“自动执行”时代。

6

消费IoT设备信任标签入采

2027年1月4日前：联邦采购条例修订完成，要求所有政府采购的IoT设备带有“Cyber Trust Mark”认证，尽管标签制度不再强制推行，但通过采购制度形成实质性约束。

*****

总体来看，特朗普新政代表着美国网络安全政策从“一体化监管”向“风险自担与市场自治”的实用主义路径过渡。它以减少合规负担、提升技术部署效率为目标，但也削弱了统一规范的制度框架，可能导致各部门与企业间的协作不畅与执行落差。在未来的政策推进中，如何在保障灵活性的同时，构建可量化、可协调的责任边界与风险治理机制，将成为美国网络安全战略能否维持长期有效的关键变量。