特朗普发布网络安全总统令，被指“开倒车”

52 分钟前作者：GoUpSec

本月初，美国总统特朗普签署了一项新的行政命令（EO），全面推翻前总统拜登为强化联邦网络安全而制定的一系列核心指令。此举在网络安全界引发广泛关注和争议。

一纸命令，推翻多项网络安全基建改革

这项行政命令不仅废除了加快量子安全加密部署的规定，还取消了对联邦软件开发商强制执行“安全软件开发框架”（SSDF）的要求。更令人担忧的是，它还削弱了对网络钓鱼防护、BGP路由安全、数字身份推进等领域的政府推进计划。

特朗普政府在命令附带的声明中称，拜登政府的网络安全政策“夹带私货”，并将其描述为“政治足球”，意在为某些议题制造不必要的注意力。

特朗普网络安全政策的五大“倒车措施”：

1. 量子安全加密被边缘化

原本，拜登政府要求联邦机构及其承包商在市场上可用时，优先部署抗量子攻击的加密技术。这是为应对未来量子计算对现有加密体系构成根本威胁的超前部署。特朗普的命令将这一要求完全取消，并撤销了要求外交和商务部向国际推广NIST PQC算法的指令。

2. SSDF不再强制“自证合规”

SolarWinds攻击事件后，拜登政府要求所有为政府提供关键软件的企业高管，需就其是否符合SSDF制定“自我声明”。特朗普新命令不仅取消了这一要求，还要求NIST重新制定“参考性”安全实现框架，而不是具备法律效力的强制合规条文。专家指出，这将使开发商只需“形式遵守”，而无需承担实际改造开发流程的责任。

“很多公司并未真正遵循SP800-218的精神，因为它对开发环境提出了繁重要求。”——前NSA黑客、Hunter Strategy副总裁Jake Williams

3. 网络钓鱼抵抗机制被削弱

原先要求联邦机构和承包商采用WebAuthn等抗钓鱼身份验证技术，也被特朗普政府撤回。这将使联邦网络系统在面对社会工程攻击时暴露更多风险。

4. 互联网路由安全防护被放弃

更为隐秘但影响深远的是：该命令撤销了对BGP协议（网络流量的核心路由协议）安全性的警示语言，并终止了原本要求商务部与NIST协作出台防护指南的计划，包括资源公钥基础设施（RPKI）和路由源授权（ROA）等关键机制。

“这是送给互联网服务提供商（ISP）的大礼包，他们早就知道BGP有问题，但也知道修复代价昂贵。”——Jake Williams

5. 数字身份计划夭折

拜登政府原计划推进数字身份认证系统，用以简化公共服务访问、提高身份验证安全性。而特朗普则认为这会让非法移民更容易“滥用福利”，因此彻底叫停。

安全界批评：放弃合规，就是放弃防御

特朗普政府声称这是“去除不必要负担”的举措，但资深安全治理专家Alex Sharpe直言：

“我们现在面临的不是指导不足的问题，而是已经没有指导了。过渡到抗量子算法将是有史以来最大的软件安全挑战之一，现在执行机制一撤，很多组织就不会认真做了。”

他进一步指出：“特朗普强调合规负担，可是有没有人考虑过不合规的代价？”