特朗普政府发布网络安全行政令,揭示美国网络安全新战略
2025年6月6日,特朗普总统发布了一项关于“持续加强国家网络安全”的行政令(EO),修订了拜登和奥巴马政府先前制定的某些指令。重要的是,新指令保持了先前政府网络安全目标的连续性,并表明网络安全仍然是两党优先事项。然而,新EO缩小了联邦政府角色的范围,并引入了实现这些目标的新策略。
关键变更包括:
-
安全软件开发认证:新EO废除了拜登时代EO 14144中要求联邦机构从软件供应商收集安全软件开发框架(SSDF)认证表的规定。但EO 14028中的认证表要求保持不变。此外,EO并未撤销要求国家标准与技术研究院(NIST)更新SSDF实践和相应安全标准的先前语言。EO要求NIST与行业建立联盟,制定SSDF的更新指南,包括部署补丁和更新的指南。至少,SSDF仍然是政府的重点,认证要求可能以某种形式持续存在。
-
数字身份验证:EO取消了先前鼓励美国政府使用标准化数字ID的措施。根据随附的事实说明书,此类政策将导致“权利欺诈和其他滥用”。
-
网络制裁:新EO下的网络制裁仅适用于“外国”人员,修订了奥巴马时代的指令,该指令允许联邦政府对它确定从事网络恶意活动的“任何人”实施制裁。在最近被认为在美国境内活动的威胁行为者增加的背景下,这是一个显著变化。
-
AI网络防御:尽管EO加强了国土安全部和国防部将保护AI软件漏洞纳入其漏洞管理计划的需求(这些要求可能传递给政府承包商),但其他几个AI相关指令被移除。例如,新EO废除了评估使用AI保护能源部门关键基础设施的试点计划,以及国防部采用先进AI模型进行网络防御的任务。
-
后量子密码学(PQC):新EO取消了机构建立PQC密钥以及某些招标包含支持PQC产品的要求。
总体而言,新网络EO未触及先前政府网络安全政策的总体框架。拜登政府的一些更具规定性的任务被废除,确立了当前政府的新优先事项,而没有显著改变国家网络安全政策。