特朗普发布网络安全总统令，被指开倒车

本月初，美国总统特朗普签署了一项新的行政命令（EO），全面推翻前总统拜登为强化联邦网络安全而制定的一系列核心指令。此举在网络安全界引发广泛关注和争议。

这项行政命令不仅废除了加快量子安全加密部署的规定，还取消了对联邦软件开发商强制执行“安全软件开发框架”（SSDF）的要求。更令人担忧的是，它还削弱了对网络钓鱼防护、BGP路由安全、数字身份推进等领域的政府推进计划。

特朗普政府在命令附带的声明中称，拜登政府的网络安全政策“夹带私货”，并将其描述为“政治足球”，意在为某些议题制造不必要的注意力。

1. 量子安全加密被边缘化

原本，拜登政府要求联邦机构及其承包商在市场上可用时，优先部署抗量子攻击的加密技术。这是为应对未来量子计算对现有加密体系构成根本威胁的超前部署。特朗普的命令将这一要求完全取消，并撤销了要求外交和商务部向国际推广NIST PQC算法的指令。

2. SSDF不再强制“自证合规”

SolarWinds攻击事件后，拜登政府要求所有为政府提供关键软件的企业高管，需就其是否符合SSDF制定“自我声明”。特朗普新命令不仅取消了这一要求，还要求NIST重新制定“参考性”安全实现框架，而不是具备法律效力的强制合规条文。专家指出，这将使开发商只需“形式遵守”，而无需承担实际改造开发流程的责任。

“很多公司并未真正遵循SP800-218的精神，因为它对开发环境提出了繁重要求。”——前NSA黑客、Hunter Strategy副总裁Jake Williams

3. 网络钓鱼抵抗机制被削弱

原先要求联邦机构和承包商采用WebAuthn等抗钓鱼身份验证技术，也被特朗普政府撤回。这将使联邦网络系统在面对社会工程攻击时暴露更多风险。

4. 互联网路由安全防护被放弃

更为隐秘但影响深远的是：该命令撤销了对BGP协议（网络流量的核心路由协议）安全性的警示语言，并终止了原本要求商务部与NIST协作出台防护指南的计划，包括资源公钥基础设施（RPKI）和路由源授权（ROA）等关键机制。

“这是送给互联网服务提供商（ISP）的大礼包，他们早就知道BGP有问题，但也知道修复代价昂贵。”——Jake Williams

5. 数字身份计划夭折

拜登政府原计划推进数字身份认证系统，用以简化公共服务访问、提高身份验证安全性。而特朗普则认为这会让非法移民更容易“滥用福利”，因此彻底叫停。

特朗普政府声称这是“去除不必要负担”的举措，但资深安全治理专家Alex Sharpe直言：

“我们现在面临的不是指导不足的问题，而是已经没有指导了。过渡到抗量子算法将是有史以来最大的软件安全挑战之一，现在执行机制一撤，很多组织就不会认真做了。”

他进一步指出：“特朗普强调合规负担，可是有没有人考虑过不合规的代价？”

网络安全行政命令往往被视为“政治秀”与“政策工具”的混合体。拜登在任内试图用系列强制性改革，系统化修复2010年代网络攻击积累下的基础性漏洞。而特朗普此举，则更多被理解为向“反监管”与“亲企业”阵营的表态。

这一新命令既可能为技术产业减轻短期合规压力，也可能在未来留下更大的系统性风险漏洞。

在网络威胁快速升级、量子技术临近落地的时代，政策退让很可能换来安全灾难的高昂代价。未来几个月内，NIST如何应对新的指导压力，以及承包商与政府部门是否仍愿意按高标准自律，将检验这项总统行政令的真实影响。

参考链接：

https://www.whitehouse.gov/presidential-actions/2025/06/sustaining-select-efforts-to-strengthen-the-nations-cybersecurity-and-amending-executive-order-13694-and-executive-order-14144/