2025年6月,美国总统唐纳德·特朗普签署了一项新的网络安全行政命令,这份题为“维持强化国家网络安全的部分努力”的行政命令不仅延续了前任政府推行的多项网络安全政策,同时也对数字身份体系、软件安全要求和人工智能相关网络防护策略做出了重大调整。这些举措不仅深刻影响着联邦政府未来网络安全工作的重点,也反映出美国在面对不断演变的网络威胁时,所采取的不同政策路径。特朗普的新行政命令删除了拜登政府2023年1月推行的几条关于数字身份的关键指令。拜登时代数字身份相关的规划,旨在通过推广安全的数字身份证明方式,强化公共利益项目身份核实,抑制网络欺诈和身份盗用。然而,特朗普政府认为拜登的数字身份措施存在被滥用的潜在风险,特别是担忧非法移民可能借此非法获取公共福利,因此选择全部取消这些相关内容。数字身份是一种通过电子方式确认个人身份的技术手段,能够极大地简化身份验证流程,提升安全级别,从而有效遏制网络欺诈和非法访问。
但特朗普行政命令并未提出替代性的新举措,意味着联邦政府在数字身份建设领域可能会暂时进入调整期。此举对未来美国数字身份体系构建带来了不确定性,也引发了数字身份支持者对网络身份安全策略缺失的担忧。特朗普新政虽取消部分数字身份措施,但仍保留了拜登政府加强网络安全机构能力建设的核心内容。命令强调要继续强化网络安全和基础设施安全局(CISA)的职责,确保对联邦民用网络及数字基础设施的防护。特别是在经历了2020年SolarWinds供应链攻击事件之后,美国联邦政府对软件开发和供应链安全提出了更高的要求。拜登时代的行政命令曾要求联邦软件供应商需提供遵守安全开发实践的证据,以防范类似攻击再次发生。
然而,特朗普对此规定提出异议,认为这一要求繁琐且更多侧重于形式上的合规,而非真正有效的安全投资。新命令取消了这一强制要求,转而指示国家标准与技术研究院(NIST)建立一个由业界主导的联盟,该联盟将基于NIST的安全软件开发框架,示范实践安全的软件开发与运维方法。NIST被要求在年底前公布框架的初步更新版本。这意味着美国政府在软件安全策略上,更多依赖公共私营合作平台推动行业标准落地,而非直接行政命令强制联邦供应商执行。人工智能网络安全领域的调整也颇具看点。拜登政府在之前的行政命令中,曾明确要求各联邦机构探索利用先进人工智能技术强化关键基础设施网络防御,建立AI安全研究项目。
特朗普的新政则大幅缩减了该部分内容,仅简要要求相关数据集在考虑安全和商业机密的前提下,对学术界进行更大范围的开放。这一调整在一定程度上反映了特朗普政府对AI网络安全措施的谨慎态度,减少了对联邦机构推广AI防御技术的直接推动。另一重要内容是针对现有联邦信息系统管理的指导更新。新命令要求管理和预算办公室(OMB)在未来三年内对著名信息管理指令Circular A-130进行修订,以应对现代网络威胁和技术架构的演变。此外,联邦机构需在一年内启动试点项目,通过“规则即代码”的方式,将政策和指导的机器可读版本推广应用,提升政策执行的自动化和精确性。这种做法有助于统一网络安全标准的实施,也利于技术部门快速响应政策变更。
整体来看,特朗普的新行政命令体现出一种既谋求强化核心网络防御能力,又谨慎调整前任政策的态度。尤其是在数字身份和供应链安全领域的收缩,反映出当前美国网络安全政策在平衡安全、效率与合规负担方面的挑战。这也提醒我们,数字身份技术的发展不应仅聚焦于身份验证本身,更需兼顾隐私保护、身份防伪和政策风险控制。基于这一背景,未来数字身份体系的发展可能需要结合更多利益相关者的协同努力,制定更具弹性且兼顾安全与便利的使用标准。相较之下,软件安全和人工智能网络防护或将成为联邦层面更受关注的关键领域。NIST作为技术和标准制订的中心机构,增长其在公共私营领域合作中的作用,推动安全工具和框架的推广落地,成为美国加强网络防御的一把利刃。
同时,AI技术的网络安全应用仍处于起步阶段,如何推动有效的研究开放与风险管控,是新的政策制定中必须重点考虑的方向。特朗普行政命令带来的政策变革不仅改变了美国联邦政府网络安全的战略重心,也对整个产业链和相关企业提出新的挑战。联邦供应商面临的软件安全合规压力有所放缓,但也需主动适应行业联盟指导标准。数字身份领域的停滞或导致技术创新和普及放缓,但也为政策制定者反思和调整数字身份风险提供空间。这一系列动向将持续影响美国网络安全生态的发展轨迹。伴随着网络攻击手段的日益复杂和多样化,美国政府如何在安全、效率与公民权益之间寻找更合理的平衡,将成为未来政策调整的核心议题。
展望未来,配合技术进步与法律监管的双重推进,构建一个安全、便捷、可信赖的数字身份生态,以及完善的软件供应链安全体系,依然是保障国家网络主权和数字经济健康发展的基石。特朗普取消数字身份措施、调整软件安全及AI网络安全指导,短期内或引发争议和政策摩擦,但正是这些动态反映出网络安全领域政策的不断演进和探索。只有持续优化治理架构,加强跨部门、跨产业的协作,美国才能更有力应对日益严峻的网络安全挑战,确保国家和公众利益不受侵害。未来,美国网络安全领域的政策走向,值得业内外持续关注和深入解读。
