1月16日，拜登政府发布第二份网络安全行政令，以加强美国国家网络安全，巩固本届政府的网络安全政策遗产，并为新一届政府提供应对外国网络攻击的蓝图。

行政令要求推动联邦机构网络安全基础设施现代化，并为政府技术承包商制定最低网络安全标准，并要求承包商提交遵守标准的证据。行政令将会扩大美国网络安全和基础设施安全局 (CISA) 的权力，以核实政府承包商的安全承诺并与联邦技术官员进行协调。行政令还对人工智能安全防护和量子计算保障措施提出新的要求。

行政令内容综合全面，不仅纳入广受外界关注的人工智能议题，涵盖了后量子密码学、边界网关协议等特定非热门领域，真正强调了“协作、行动和结果”。部分美国政府高层人士评价称，该行政令技术性水平尤其令人满意，较其他行政令更具可操作性，是保护国家网络资产的必要步骤。

该行政令已经酝酿数月，以拜登2021年5月签署的行政令为基础，并吸取了此后近4年来重大网络攻击事件的经验教训，包括已验证有效方法以及需要改进的方面。

这项范围广泛的指令可能是拜登政府在将权力移交给特朗普之前的最后一项重大政策推动。据知情人士透露，拜登政府的网络安全行政令，将为下一届白宫提供应对外国网络攻击的蓝图。

据知情人士透露，该文件已经酝酿了数月，以拜登政府2021年5月签署的网安行政令为基础，而该行政令是由著名的科洛尼尔输油管道和太阳风黑客攻击引发的。自此以后，美国政府仍然面临无数来自国家级黑客的攻击事件。

具体来说，2021年的行政令的重点集中在以下七大方面：

• 消除政府与私营部门之间威胁信息共享的障碍，包括解除供应商合同义务约束以及强制其提供网络威胁信息等；

• 在联邦政府中现代化和实施更严格的网络安全标准，增加对最佳安全实践的采用，包括推动联邦政府迈向安全云服务和零信任架构以及强制部署多因素身份验证和加密等；

• 改善软件供应链安全，包括设立软件开发基线安全标准、创建软件安全标签试点计划、利用联邦购买力激励市场等；

• 建立网络安全事务安全审查委员会，在重大网络事件发生后召集会议，以分析事件情况并提出改善网络安全的具体建议；

• 创建用于应对网络事件的标准手册，确保政府内部应对计划成熟度，并为私营部门提供应对工作的模板；

• 改进对联邦政府网络上网络安全事件的检测，包括启用整个政府范围内的终端检测和响应系统以及改善联邦政府内部的信息共享；

• 提高调查和补救能力，向联邦部门和机构提出创建网络安全事件日志要求。

美国负责网络安全和新兴技术的副国家安全顾问安妮·纽伯格在描述新的行政令时表示，“过去四年，我们从外国攻击渗透中学到了很多教训。我们已经了解了哪些方法有效，也了解了哪些不足之处，我们的目标是真正为下一届政府奠定尽可能好的基础，并在此基础上取得成功。”

一些政府高层人士对该行政令的最终内容表示满意，尤其是其技术性水平。某高级网络安全官员表示，“这份行政令是保护国家网络资产的必要步骤，我认为这份行政令的优势在于它比其他行政令更具可操作性。它指出了并不总是受到关注的特定领域，例如后量子密码学（PQC）和边界网关协议（BGP），尽管人工智能理所当然地受到媒体关注。这份行政令真正强调了协作、行动和结果。”

行政令强调推动联邦政府网络安全基础设施现代化，以防御外国对手针对美国政府机构的网络攻击。

根据新行政令，实现这一目标的方法之一是要求联邦机构在通过互联网传输的通信中实施“强身份验证和加密”，包括电子邮件、语音和视频会议以及即时消息。

此外，行政令特别强调联邦机构需要将供应链风险管理计划整合到风险管理中，并通过管理和预算办公室 (OMB) 要求这些机构遵守美国国家标准与技术研究所 (NIST) 特别出版物 (SP) 800-161（系统和组织的网络安全供应链风险管理实践）中的指导，以及 每年向 OMB 提供其在这方面的合规工作更新。OMB 的要求将通过采购规划、来源选择、责任确定、安全合规评估、合同管理和绩效评估，来解决将网络安全整合到采购生命周期中的问题。

行政令要求各机构及其行业客户更加认真地考虑软件来源以及软件安全性审查。根据该行令，美国政府必须在2027年前采购带有新推出的网络信任标志认证标签的设备。该标志旨在告知消费者适用产品符合某些政府审查的网络安全标准。

行政令还要求在联邦计算机系统上安装检测响应工具等。这些端点检测和响应（EDR）解决方案专门用于监控和响应网络入侵威胁的网络安全产品。各机构还必须将其 EDR 数据链接回美国网络安全和基础设施安全局（CISA），以便将累积的信息用于整个联邦范围内的威胁搜寻和事件响应。

太空系统安全在该行政令中受到重视。例如，美国国家网络总监将被要求起草并提交一份研究报告，对现有的太空连接地面系统、上述系统管理的信息以及改进其网络防御的建议进行盘点。

美国防部一位高级官员2024年5月曾表示，地面太空资产（例如任务控制中心、发射设施和用于传输数据的网络设备）最容易受到攻击，因为保护它们免受入侵通常需要许多组织未实施的基本网络安全措施。

此外，各机构还需要加强互联网和通信安全。它们需要在区域互联网注册机构注册其IP地址资源，并发布路由来源授权（ROA），这有助于通过边界网关协议确保互联网路由安全。

边界网关协议（BGP）是一种骨干数据传输算法，用于确定数据包在网络中传输的最佳路径。几个月来，美国白宫一直在努力确保互联网的这一部分安全，因为人们越来越担心BGP劫持攻击，即黑客通过破坏路由路径来接管互联网地址组。

在通信方面，各机构必须加密其互联网流量，使用加密和身份验证保护电子邮件连接，并为语音通话、视频会议和消息应用程序等工具启用加密。该行政令称，应尽可能使用端到端加密来保护敏感对话的私密性。

美国及其盟国全球电信网络遭外国黑客攻击事件，促使官员们鼓励美国人（尤其是政客和政府官员等高价值人士）改用加密信息服务，这样黑客就无法从他们的对话中获取更多敏感情报。美国政府各机构最近也发布了内部通信指南。

行政令还涉及后量子加密（PQC）领域。为了加强整体网络加密并为容错量子计算机做好准备，美国国土安全部（DHS）和网络安全和基础设施安全局（CISA）被要求带头定期更新支持后量子密码学的软件产品类别列表。

后量子标准旨在保护当今的计算机免受未来可能突破当前加密方法的量子设备的攻击。该行政令指示各机构采用混合或完全PQC方法生成和共享密钥，使用标准化算法来保护数据免受量子计算机攻击，同时保持与当前系统的兼容性。

后量子领域的国际合作也是其中的一个重要组成部分。美国务卿将与商务部领导层合作，确定并接触特定国家的外国政府和行业团体，以鼓励他们过渡到由美国国家标准与技术研究所（NIST）标准化的PQC算法。

行政令还强调人工智能在网络防御中的作用。其中一部分重点是利用人工智能软件快速识别和帮助修补网络漏洞，从而加强网络安全工作。

行政令称，在美国防高级研究计划局（DARPA）于 DEF CON 2025黑客大会上主办的人工智能网络挑战赛结束后，能源部、国防部和国土安全部的领导层将与关键基础设施运营商合作，启动一项试点计划，将人工智能融入可检测能源领域网络漏洞和威胁的系统中。

此外，该行政令还要求美国国防部长、国土安全部部长、国家情报总监和白宫行政管理和预算局局长将人工智能软件漏洞管理和事件响应实践纳入其机构的治理框架。

行政令还包含一些数字身份项目。数年前拜登曾承诺发布行政令，专门针对公共福利中的欺诈和身份盗窃。行政令将推动各机构加大使用移动驾驶执照的力度，以核实人们是否有资格获得公共福利。

该行政令还指示美国政府制定指导方针，以更好地保护云软件承包商使用的加密密钥，包括将它们存储在硬件安全模块中，这是一种存储数字密钥以确保其安全的物理设备。根据该行政令，美国国家标准与技术研究所（NIST）将为联邦云提供商制定最新的安全要求。

由于该行政令的出台时机临近美国政府的权力交接，外界担心特朗普政府上任后是否会废除该行政令。目前尚不清楚特朗普政府上台后该行政令是否会继续有效。

但有知情人士透露，在整个制定过程中，与特朗普有关的工作人员一直试图与拜登官员一起审查该行政令，并废除他们不喜欢的内容。美国共和与民主两党在美国网络安全和基础设施安全局（CISA）的地位上持截然不同的立场，行政令进一步加强了该机构作为联邦民事网络安全的牵头机构的地位，而共和党则批评该机构未将工作重点聚焦到核心网络计划上。此前，特朗普已表示他打算废除拜登政府的另一项旨在为人工智能提供保护的行政令。

即上任的特朗普政府计划推动全面改革，包括削减预算和改变网络安全和基础设施安全局（CISA）的使命。

一位前美国网络安全和基础设施安全局（CISA）官员表示，行政令的未来可能取决于政治反应。特朗普可能会在1月20日上任后仅仅因为该行政令的出处而将其废除。该官员称，“如果这件事在一年前就公布，我们可能会更兴奋，因为那将是在政府执政期间。时机很棘手，最好的时机是三年前，但下一个最佳时机就是现在。”

一位参与起草该行政令的前官员表示，“对于特朗普政府应该在国家网络安全方面做些什么，我们都有自己的想法。但未来四年的计划究竟如何，谁也说不准。”

实际上，行政令的一些常规任务，例如通过联邦首席信息官和首席信息安全官委员会加强端点检测和威胁搜寻，更接近于内部管理措施，而不是任何彻底的变革。

因此，评论人士认为，尽管具体方法可能有所不同，但确保美国联邦政府系统免受网络威胁是美国共和与民主两党的共同目标。这意味着尽管特朗普与拜登政府在人工智能监管、美国网络安全和基础设施安全局（CISA）地位等问题上存在争议，行政令的大部分内容将会得以执行。