信息化觀察網(wǎng)

本文來自微信公眾號“GoUpSec”。

GoUpSec點(diǎn)評：雖然特朗普和拜登的執(zhí)政理念大相徑庭，但是在網(wǎng)絡(luò)安全政策方面，二者的分歧可能并未如人們想象得那么大。

即將重返白宮的特朗普是否會全盤接受拜登的“網(wǎng)絡(luò)安全遺產(chǎn)”？這是全球網(wǎng)絡(luò)安全行業(yè)當(dāng)下最為關(guān)心的話題之一。

拜登的最后一道網(wǎng)絡(luò)安全總統(tǒng)行政令

特朗普勝選后，業(yè)界普遍預(yù)測“跛腳鴨總統(tǒng)”拜登很有可能趕在在年底之前頒布第二道網(wǎng)絡(luò)安全總統(tǒng)行政令，以在卸任前完成更多網(wǎng)絡(luò)安全政策的布局。

據(jù)消息人士透露，這項總統(tǒng)命令預(yù)計將在國會“跛鴨期”內(nèi)（年末）發(fā)布，覆蓋從“安全設(shè)計”倡議到供應(yīng)鏈責(zé)任、IT和操作技術(shù)安全、互聯(lián)網(wǎng)路由、密碼管理、身份管理、人工智能以及網(wǎng)絡(luò)安全人才培養(yǎng)等一系列主題，新的總統(tǒng)行政令的重點(diǎn)和看點(diǎn)如下：

1.通過行政令加固網(wǎng)絡(luò)安全政策

消息人士表示，擬議中的網(wǎng)絡(luò)安全行政令將延續(xù)拜登政府在2021年推出的標(biāo)志性網(wǎng)絡(luò)安全政策，解決此前未覆蓋或未完全解決的領(lǐng)域。其中，推進(jìn)后量子密碼學(xué)標(biāo)準(zhǔn)尤為突出。這一標(biāo)準(zhǔn)旨在應(yīng)對未來量子計算機(jī)可能帶來的加密破解威脅，確保政府和企業(yè)在網(wǎng)絡(luò)環(huán)境中的安全性。此外，這項命令還將涉及“安全設(shè)計”原則，鼓勵公司在產(chǎn)品設(shè)計初期內(nèi)置安全特性，以應(yīng)對近年多起高調(diào)的網(wǎng)絡(luò)安全事件。

拜登政府意圖通過此項行政命令鞏固其在科技和網(wǎng)絡(luò)安全領(lǐng)域的遺產(chǎn)。前奧巴馬時代的國家安全委員會網(wǎng)絡(luò)安全協(xié)調(diào)員、現(xiàn)任網(wǎng)絡(luò)威脅聯(lián)盟（Cyber Threat Alliance）負(fù)責(zé)人邁克爾·丹尼爾（Michael Daniel）對此表示贊同：“如果特朗普將接任白宮，拜登政府在12月頒布此命令是合理的選擇。”丹尼爾認(rèn)為，提前頒布這一行政令不僅是為應(yīng)對特朗普上臺后可能出現(xiàn)的政策調(diào)整，也為確保網(wǎng)絡(luò)安全政策的連貫性打下基礎(chǔ)。

2.聚焦政府網(wǎng)絡(luò)安全成熟度與身份管理

盡管即將頒布的總統(tǒng)命令將覆蓋廣泛的網(wǎng)絡(luò)安全議題，但消息人士稱它不會完全涵蓋此前草案中涉及的所有身份管理措施。白宮早在今年3月就曾表示，關(guān)注公共福利中身份盜竊的行政令仍在制定中。該命令則主要聚焦于政府內(nèi)部的身份和訪問管理，以確保在網(wǎng)絡(luò)威脅日益復(fù)雜的環(huán)境下保護(hù)關(guān)鍵政府?dāng)?shù)據(jù)。

在政府層面，聯(lián)邦機(jī)構(gòu)已在加速內(nèi)部網(wǎng)絡(luò)安全態(tài)勢，以在2024財年結(jié)束前實(shí)現(xiàn)零信任架構(gòu)的全面實(shí)施。網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）也在大力推動“安全設(shè)計”理念，呼吁企業(yè)在產(chǎn)品設(shè)計中內(nèi)置安全措施，減少網(wǎng)絡(luò)攻擊的發(fā)生概率。

3.推進(jìn)“安全設(shè)計”理念與數(shù)據(jù)傳輸協(xié)議安全

拜登政府的網(wǎng)絡(luò)安全辦公室（ONCD）通過今年3月發(fā)布的政府全面網(wǎng)絡(luò)安全戰(zhàn)略，進(jìn)一步推動“安全設(shè)計”原則，鼓勵開發(fā)者采用內(nèi)置安全防護(hù)的編程語言，以防止未經(jīng)授權(quán)的訪問、數(shù)據(jù)破壞或黑客導(dǎo)致的系統(tǒng)崩潰。白宮的網(wǎng)絡(luò)安全辦公室還在推動加強(qiáng)邊界網(wǎng)關(guān)協(xié)議（BGP）的安全性，這一協(xié)議是全球數(shù)據(jù)傳輸?shù)暮诵幕A(chǔ)。

10月末，拜登政府已宣布禁止對AI、半導(dǎo)體、量子計算等高科技領(lǐng)域進(jìn)行境外投資，以保護(hù)國家安全。此外，財政部頒布了最終規(guī)定，禁止美國向這些先進(jìn)技術(shù)領(lǐng)域的投資，以防關(guān)鍵技術(shù)外流并削弱美國的技術(shù)主導(dǎo)地位。

4.為下一階段的網(wǎng)絡(luò)安全工作奠基

“雖然整體上看，我們的網(wǎng)絡(luò)安全防護(hù)已得到提升，但離理想狀態(tài)還有距離。”丹尼爾指出，新的網(wǎng)絡(luò)安全行政令不僅是在收尾現(xiàn)有政策，更是為未來進(jìn)一步強(qiáng)化網(wǎng)絡(luò)安全奠定基礎(chǔ)。

特朗普的當(dāng)選為拜登政府推進(jìn)這一政策增添了緊迫性。拜登第二道總統(tǒng)命令的的核心目的是確保拜登的網(wǎng)絡(luò)安全遺產(chǎn)得以延續(xù)，也為下屆政府預(yù)留了繼續(xù)推進(jìn)網(wǎng)絡(luò)安全政策的空間。

是否拋棄拜登“安全遺產(chǎn)”？

新特朗普時代的網(wǎng)絡(luò)安全政策預(yù)測

特朗普再次當(dāng)選后，可能會重新審視拜登政府在網(wǎng)絡(luò)安全領(lǐng)域的政策和行政命令，鑒于二位在網(wǎng)絡(luò)安全、經(jīng)濟(jì)、國際關(guān)系等關(guān)鍵政策上的理念差異，有理由推測特朗普可能會對拜登的網(wǎng)絡(luò)安全行政令做出調(diào)整或重新定義，但全面推翻的可能性較小。

以下是GoUpSec專家FunnyG對特朗普和拜登歷史網(wǎng)絡(luò)安全政策的對比，以及特朗普上任后可能的政策走向分析：

1.總體政策方向：拜登的全面防護(hù)vs.特朗普的重點(diǎn)保護(hù)

拜登政府的網(wǎng)絡(luò)安全政策以廣泛覆蓋為主，致力于鞏固美國的網(wǎng)絡(luò)安全基礎(chǔ)，覆蓋零信任架構(gòu)、供應(yīng)鏈安全、后量子密碼學(xué)、人工智能和身份管理等多個領(lǐng)域。2021年的網(wǎng)絡(luò)安全行政令（EO 14028）推動了多方面的改進(jìn)，尤其是在聯(lián)邦政府和關(guān)鍵基礎(chǔ)設(shè)施中的防護(hù)措施。

相比之下，特朗普在其首個任期內(nèi)（EO 13800）則更注重保護(hù)聯(lián)邦網(wǎng)絡(luò)和關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全，但整體策略更加聚焦于具體威脅，特別是防范國家級對手如中國和俄羅斯的網(wǎng)絡(luò)攻擊。特朗普的政策側(cè)重于快速行動和減少監(jiān)管，以提高政府機(jī)構(gòu)和企業(yè)的靈活性和應(yīng)變能力。

如果特朗普在新任期內(nèi)選擇對拜登的網(wǎng)絡(luò)安全行政令進(jìn)行調(diào)整，他可能會減少對全面網(wǎng)絡(luò)安全政策的關(guān)注，將更多資源集中于特定的國家安全威脅，并簡化部分監(jiān)管以鼓勵私營部門的快速響應(yīng)。

2.供應(yīng)鏈安全與“安全設(shè)計”原則

拜登的行政令注重軟件供應(yīng)鏈的安全，強(qiáng)調(diào)“安全設(shè)計”（Secure by Design）原則，即在產(chǎn)品設(shè)計階段即嵌入安全防護(hù)，防范潛在的供應(yīng)鏈漏洞。CISA和NIST在拜登的政策推動下，已發(fā)布了多項供應(yīng)鏈安全準(zhǔn)則。

特朗普的政策可能不會過多推行“安全設(shè)計”原則，因其傾向于減少政府對私營部門的干預(yù)。特朗普可能會鼓勵企業(yè)自行采取安全防護(hù)措施，而不是通過強(qiáng)制性標(biāo)準(zhǔn)實(shí)施。然而，鑒于供應(yīng)鏈安全問題在過去幾年屢次引發(fā)重大事件（如SolarWinds事件），特朗普或會在某些高風(fēng)險領(lǐng)域保留拜登的供應(yīng)鏈安全策略。

3.后量子密碼學(xué)與技術(shù)創(chuàng)新

拜登政府提出加速向后量子密碼學(xué)的遷移，旨在為可能出現(xiàn)的量子計算威脅做準(zhǔn)備。拜登的網(wǎng)絡(luò)安全行政令鼓勵聯(lián)邦政府和私營部門協(xié)作，提前應(yīng)對量子技術(shù)對傳統(tǒng)加密技術(shù)的潛在威脅。

特朗普政府在量子計算領(lǐng)域支持技術(shù)創(chuàng)新，但可能不會如拜登政府般密集推行后量子密碼學(xué)的標(biāo)準(zhǔn)。特朗普的網(wǎng)絡(luò)安全政策或許會更多地聚焦于短期威脅，可能放緩后量子密碼學(xué)的推廣步伐。

4.更加獨(dú)立的安全防御策略，減少國際合作

拜登政府的網(wǎng)絡(luò)安全政策更強(qiáng)調(diào)國際合作，與盟國在網(wǎng)絡(luò)威脅和網(wǎng)絡(luò)政策方面緊密協(xié)作。拜登政府加強(qiáng)了與歐洲、亞太等地區(qū)的網(wǎng)絡(luò)安全伙伴關(guān)系，以共同應(yīng)對來自中國、俄羅斯等國的網(wǎng)絡(luò)攻擊。

特朗普在外交政策上傾向于“美國優(yōu)先”，他可能會減少在網(wǎng)絡(luò)安全上的國際協(xié)作，專注于獨(dú)立的國家防御戰(zhàn)略。特朗普更傾向于通過對外施壓來達(dá)成網(wǎng)絡(luò)安全目標(biāo)，而非通過跨國協(xié)作來推動整體安全框架的建立。然而，由于全球網(wǎng)絡(luò)安全形勢復(fù)雜，特朗普可能會在特定領(lǐng)域保持有限的國際協(xié)作。

5.減少合規(guī)壓力和監(jiān)管力度，給企業(yè)“松綁”

拜登的政策中，軟件和設(shè)備制造商在產(chǎn)品安全性上的責(zé)任更大，且在聯(lián)邦政府層面推進(jìn)了多項強(qiáng)制性網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。拜登的政策希望在企業(yè)中形成自上而下的安全責(zé)任文化，要求企業(yè)在防護(hù)設(shè)計、數(shù)據(jù)管理和威脅檢測方面承擔(dān)更多的合規(guī)性責(zé)任。

特朗普可能會削減此類合規(guī)性監(jiān)管，給予企業(yè)更多的自由。特朗普一貫強(qiáng)調(diào)減少政府對市場的干預(yù)，因而在網(wǎng)絡(luò)安全方面可能減少合規(guī)性壓力，以鼓勵企業(yè)進(jìn)行靈活、快速的安全應(yīng)對。但在高度敏感的領(lǐng)域（如關(guān)鍵基礎(chǔ)設(shè)施、國防承包商），特朗普或仍保留一定的監(jiān)管措施。

預(yù)測：特朗普可能作出網(wǎng)絡(luò)安全政策調(diào)整

綜合來看，特朗普重新上任后可能不會完全推翻拜登的網(wǎng)絡(luò)安全政策，而是會在現(xiàn)有基礎(chǔ)上進(jìn)行調(diào)整，突出其一貫的“靈活響應(yīng)、減少監(jiān)管”策略：

• 保留關(guān)鍵基礎(chǔ)設(shè)施保護(hù)和聯(lián)邦網(wǎng)絡(luò)防護(hù)措施，但會減少對私營企業(yè)的過多監(jiān)管。
• 重新聚焦短期網(wǎng)絡(luò)威脅，減少對后量子密碼學(xué)等前沿技術(shù)的長遠(yuǎn)部署，轉(zhuǎn)而專注于目前的實(shí)際網(wǎng)絡(luò)威脅。
• 放緩供應(yīng)鏈和“安全設(shè)計”相關(guān)的強(qiáng)制性措施，讓企業(yè)有更多的自主權(quán)。
• 減少國際合作力度，采取更為獨(dú)立的國家安全策略。

總結(jié)

特朗普和拜登在總統(tǒng)任期頒布過的網(wǎng)絡(luò)安全總統(tǒng)行政令雖然在具體政策細(xì)節(jié)上有所不同，但都聚焦于提升聯(lián)邦網(wǎng)絡(luò)和關(guān)鍵基礎(chǔ)設(shè)施的安全性。拜登的網(wǎng)絡(luò)安全策略側(cè)重于全面的系統(tǒng)防護(hù)，注重“安全設(shè)計”和供應(yīng)鏈安全，而特朗普則更加偏向簡化監(jiān)管，靈活應(yīng)對實(shí)際威脅。在特朗普再次當(dāng)選的背景下，他可能會保留部分拜登的網(wǎng)絡(luò)安全政策基石，同時進(jìn)行調(diào)整，使政策更具靈活性并減少對企業(yè)的監(jiān)管，以符合其一貫的“減少政府干預(yù)”理念。

總之，雖然特朗普可能對拜登的政策進(jìn)行部分削弱，但在面對國家級威脅和關(guān)鍵基礎(chǔ)設(shè)施保護(hù)方面，特朗普或?qū)⒀永m(xù)部分政策，以維護(hù)美國的網(wǎng)絡(luò)安全根基。