近年来,随着网络攻击手段不断升级、威胁日趋复杂,网络安全已成为全球范围内备受关注的重要议题。2025年6月,特朗普总统签署了一项新的网络安全行政命令(Executive Order 14306),旨在修正并调整前几届政府所制定的相关政策,特别是针对拜登和奥巴马时代遗留的措施作出了诸多修改。这一行政命令的发布迅速引发了行业内的广泛讨论,多位知名网络安全专家和业内领袖纷纷表达了他们的看法和评估。此次行政命令主要聚焦于多项关键技术和安全领域,包括软件开发安全、边界网关协议(BGP)安全、后量子密码学(PQC)、人工智能(AI)安全、物联网(IoT)安全、加密技术及数字身份防范等。新政意图通过改变旧政策,降低某些要求,使得网络安全措施更加灵活,同时强调行业与政府间的合作以及对新兴技术的支持。然而,对于这些调整,业内声音存在显著分歧。
众多专家担忧,特朗普行政命令中的一些政策变动或将削弱原本严格的安全标准。Bugcrowd首席执行官Dave Gerry指出,取消软件开发阶段的强制安全声明及限制制裁对象仅针对外国人员,可能导致供应链安全出现漏洞。他认为,这样做忽视了国内与外国恶意行为者合谋带来的风险,且放松强制性监管可能使采纳安全措施的进度变慢,从而降低整体国家网络韧性。Gerry强调,网络安全应超越政治分歧,成为国家安全的核心承诺。与此类似,Black Duck软件供应链风险战略负责人Tim Mackey强调,此次行政命令逆转了拜登政府制定的软件供应链安全政策,特别是取消了OMB备忘录M-23-16中规定的联邦承包商软件安全声明要求。尽管如此,他也看到了命令中新设立的行业联合体和NIST(美国国家标准与技术研究院)将发布更具指导性的安全开发框架的积极信号。
Mackey认为,这种政府与产业合作,有望推动安全开发理念从设计阶段贯穿到部署,形成更加完善的“安全默认”发展路径,同时也正视了开源技术在创新与风险方面的双重属性。 安全之旅(Security Journey)应用安全倡导者Dustin Lehr认为,行政命令中对NIST安全软件开发框架(SSDF)的强调,体现了软件安全已成为国家网络战略的核心。这种转变将长远影响联邦采购标准和软件责任规范,并推动企业将安全纳入软件开发全生命周期。Lehr指出,及早实施安全编码教育和开发环节的安全措施,不仅能减少后期修复成本,还能加强系统韧性,促进技术创新的可持续发展。Sonar公共部门副总裁Nathan Jones 对此补充道,无论政策如何变化,联邦机构必须持续强化自身安全责任,要求软件供应商提供透明信息,如软件材料清单(SBOM)和安全开发声明(SSDF)。他认为,安全应当内嵌于开发文化中,成为常规操作而非事后补救,这样才能实现真正的软件安全。
在后量子密码学领域,Lastwall创始人兼CEO Karl Holmqvist的观点尤为引人关注。他指出,行政命令加快了2030年前实现后量子加密技术的时间表,凸显出量子计算对现有加密体系构成的威胁日益严峻。Holmqvist强调,量子计算机的出现将使当前所有加密通信和数据保护面临崩溃风险,因此快速实现加密算法的灵活替换(crypto-agility)不仅是技术需求,更是国家安全的迫切需要。这种政策调整背后隐藏着对量子时代网络安全变革的深刻认识,标志着政府准备提前部署应对措施。 关于数字身份与身份欺诈,AU10TIX数字身份专家Ofer Friedman表达了对数字身份文件接受政策调整的担忧。新政取消了鼓励接受数字身份文档的条款,主要基于潜在的欺诈风险。
Friedman强调,尽管加密的移动设备数字身份技术目前最为安全,但数字身份推广过程面临数据完整性、验证流程和物理证件过渡等诸多挑战。他指出,充分利用多重防伪技术和行为分析工具,可大幅提高对数字身份欺诈的检测和防范效果,但这仍需系统设计的全盘规划和保障。 DigiCert现场首席技术官Michael Smith则强调,尽管政策取消了某些强制性声明要求,但依旧保留和强化了NIST SSDF中的关键实践,比如代码签名和SBOM提供等。他还赞赏行政命令对BGP安全管理从理念性鼓励转向务实指导的转变,认为这有助于提高互联网基础设施的整体韧性和抗攻击能力。 从整体上看,特朗普政府的网络安全新政反映出在确保国家安全和促进技术创新之间寻求平衡的努力。它试图通过减少部分强制性法规,激励企业和行业自主承担安全责任,同时强调技术与政策协同、跨界合作的重要性。
然而,也正因其在减少约束的同时,带来了许多争议和担忧。专家们普遍认为,网络安全作为国家战略必须持续保持高标准,任何放松措施都需谨慎考量潜在风险,尤其是在供应链安全、量子威胁和数字身份防护等关键领域。 此次行政命令在业界引发的各种声音凸显,网络安全领域正处于快速转型期。全球数字化进程和技术革新不断推进,新的威胁形态层出不穷,要求政府政策不断适应和引导技术发展走向正轨。未来几年,随着NIST相关标准的进一步发布和产业联合体的运作,更多关于安全软件开发、量子加密实施细则及数字身份规范的细化方案将陆续出台,这将深刻影响美国乃至全球网络安全的生态。对于企业和机构而言,积极应对变化、强化自身安全能力、与政府和行业紧密协作,是确保在新政策环境下保持竞争力和安全保障的关键。
综上所述,特朗普网络安全行政命令虽在政策细节和推动模式上带来了不小变革,也引发了广泛争议和深入探讨,但无可否认的是,它推动了网络安全议题进入全新阶段。从强化安全开发实践到加快量子密码技术落地,从调整数字身份管理策略到加强互联网基础设施韧性,所有措施都昭示着未来网络安全的复杂格局和挑战。只有全社会共同努力,持续创新和优化安全体系,才能构筑更加可靠、开放且高效的数字安全防线。
