一、EO 14144的发布背景

（一）网络安全困局：数字身份短板与外部攻击双重冲击

根据白宫发布的情况说明，作为全球主要经济体之一，美国数字身份基础设施建设相对滞后，成为网络安全体系中的薄弱环节。由于缺乏安全、可用的数字身份，每年，美国民众因身份欺诈遭受的损失高达560亿美元，联邦项目也因欺诈行为损失数十亿美元。

与此同时，外部网络攻击持续冲击美国安全防线。近年来，美国认为其面临着来自外部的严峻网络安全威胁，尤其是错误地将中国视为对其政府、私营部门和关键基础设施网络构成最活跃和最持久网络威胁的国家。例如，据媒体报道，高级持续性威胁（Advanced Persistent Threat，APT）组织，Salt Typhoon曾疑似入侵Verizon、AT&T和Lumen Technologies等美国电信巨头窃听系统，危及美国政府监控能力与国家安全[3]；此外，2024年12月，美国财政部遭入侵，威胁者利用BeyondTrust漏洞访问关键部门的终端工作站和文件，尽管漏洞随后被修复，但仍暴露美国关键基础设施存在网络安全隐患[4]。

上述事件促使美国重新审视并强化网络安全战略与防御体系，成为发布相关行政令的关键导火索。

（二）历史赓续：网络安全相关行政令的演进过程

近年来，美国在网络安全领域积极布局，相继颁布多项相关行政令。2021年发布的EO 14028成为美国网络安全战略调整的关键转折点，为后续政策奠定基础。下表针对美国在网络安全监管方面颁布的典型政策进行了简要梳理：

表1 美国网络安全监管相关典型政策梳理

相较于提出网络安全领域的基础性要求的EO 14028，拜登政府此次发布的EO 14144在延续联邦政府在关键基础设施保护、加强联邦系统的网络安全以及与私营部门合作等核心举措的同时，聚焦美国网络安全防护现存的“痛点”，致力于推动美国网络安全政策实现深度转向，主要目标包括改进安全软件开发、实现联邦信息技术的现代化和安全化，以及改进新兴技术在网络防御中应用不足等。

（三）两党交际：政治维度下的复杂考量与潜在影响

长期以来，网络安全一直是美国两党共同关注的重点领域。从政策内容延续角度上，此次发布的EO 14144的部分内容与上表中特朗普政府时期发布的EO 13800存在呼应，在继承保障关键基础设施安全这一核心目标的同时，拜登政府进一步拓展了网络安全防护的边界。在技术前瞻性布局上，EO 14144旨在积极推动人工智能、量子计算等新兴技术在网络安全领域的应用；在推动与私营部门深度合作方面，EO 14144要求软件供应商向美国政府提供更详细的安全开发实践证明，以此确保软件供应链的安全性。这促使私营部门在软件开发过程中，更加注重安全标准的执行，加强与联邦政府在网络安全领域的信息共享与协作；并且，EO 14144意图构建更全面的网络威胁应对策略，不仅关注外部恶意攻击，还重视内部网络安全隐患的排查与治理。

然而，鉴于其发布时间的敏感性和特殊性，以及两党在监管态度的不同倾向，该行政令在未来特朗普政府时期的走向充满不确定性，使得人们对于EO 14144未来是否会保留其当前形式、进行修改或完全撤销尚存疑虑。

二、EO 14144的适用范围

（一）EO 14144的规制对象

从政策性质上看，EO 14144主要针对联邦政府，以及通过政府采购间接影响的美国私营部门实体，由于其最终目标是保障美国整体的网络安全态势，因此，可能还会包含对美国民众相关的网络安全保护措施。具体而言：

1. 直接规制联邦政府及相关机构

EO 14144提出将联邦政府及相关机构作为首要且直接的规制对象。联邦政府的日常运作高度依赖信息技术与网络系统。例如，在国防安全领域，军事指挥系统、情报收集与传输网络可能面临外部网络攻击；在公共卫生领域，联邦政府对医疗数据的收集、分析与共享系统，可能成为网络犯罪分子的突破口。基于此，EO 14144要求联邦政府及相关机构全面加强自身网络安全防护体系建设，强化加密技术应用，提升网络安全管理水平，维护国家核心利益与公共服务的正常开展。

2. 间接辐射私营部门

行政令虽不直接监管私营部门，不会对私营部门制定详尽的、具有强制执行力的监管规则，但通过政府采购权力间接辐射私营部门。联邦政府作为市场上的重要采购方，在采购软件、通信服务、云服务等产品或服务时，会将EO 14144所倡导的网络安全标准融入采购要求之中。例如，软件供应商想要获得政府软件采购订单，就必须向政府提供机器可读的安全软件开发证明文件，遵循相关安全框架的要求；通信基础设施建设企业、云服务提供商等如参与联邦政府项目，也必须满足相应的加密技术、数据存储安全等要求。

3. 影响范围涵盖美国民众

此外，EO 14144明确将打击网络欺诈和网络犯罪列为重要目标。当前，美国面临大规模数据泄露问题，且缺乏强大的数字身份基础设施，这使得网络犯罪分子能够轻易在网上购买被盗身份信息，进而通过身份盗窃手段侵害个人权益。虽然EO 14144未直接对个体提出具体义务，但从其涵盖范围和预期达成的目标来看，其同样适用于美国民众，并且全力致力于保障美国民众在网络空间中的安全、隐私以及正常生活秩序。

（二）EO 14144的防御客体

1. 网络攻击者

EO 14144重点防御的对象之一是各类网络攻击者。其中，复杂勒索软件攻击者利用先进的加密技术和复杂的攻击手段，针对美国关键基础设施、私营部门的薄弱环节，发动精准攻击，以获取高额经济利益，对美国网络安全构成严重威胁，成为了本次《行政令》的重点关注对象。

2. 国家行为体

美国长期将部分国家视为网络安全威胁来源，美国媒体曾宣称中国和俄罗斯利用美国人日常使用软件中的漏洞进行网络攻击。从《国际紧急经济权力法》（50 U.S.C. 1701 et seq.）等法律来看，美国政府有权对其认定的“敌对”国家采取经济制裁等措施，EO 14144更是明确指出“中国是对美国政府、私营部门和关键基础设施网络构成最活跃和最持久网络威胁的国家”。

三、EO 14144关键规则解读

作为全面增强国家网络安全的关键政策，EO 14144涵盖多维度策略，为联邦政府及相关机构规划了未来需执行的52项具体行动。我们梳理了本次《行政令》中的如下重点要求：

（一）面向联邦政府及机构的直接责任与行动

1. 构建数字身份体系应对网络欺诈和犯罪

“数字身份证件”是指由政府颁发的电子形式的、可重复使用的、密码学可验证的身份凭证。如前所述，美国数字身份基础设施建设相对滞后，导致网络犯罪分子易通过非法渠道购得被盗身份信息，基于此，EO 14144第5节建议联邦政府构建数字身份证件以打击网络犯罪和欺诈。

为支持这一政策，EO 14144提出以下要求：

（1）鼓励将数字身份证件用于公共福利计划

• 管理和预算办公室（Director of the Office of Management and Budget, OMB）和国家安全委员会（National Security Council）工作人员被建议考虑提供联邦拨款资金用于协助各州颁发用于数字身份验证的移动驾驶执照；
   

• 美国国家标准与技术研究院（National Institute of Standards and Technology, NIST）需发布相关实践指南，以促进远程数字身份验证的实施。

具体而言，联邦机构需确保上述行动符合下表中的原则要求：

表2 数字身份证件相关的合规原则

（2）启动欺诈预警试点计划

该试点计划将由财政部长（Secretary of the Treasury）与总务管理局局长（Administrator of the General Services Administration）协商开展，核心目的为在身份信息被用于公共福利计划的支付请求时，能够及时通过通知的方式提醒相关主体警惕可能的欺诈行为。同时，该计划还要求向执法机构报告可能发生的欺诈交易，从而在欺诈行为发生的早期阶段，为执法部门提供线索，以提高打击网络犯罪的效率。

2. 改善联邦系统的网络安全

相较于涵盖向零信任架构迈进、加速安全云服务迁移、实施数据加密与多因素身份验证等措施的EO 14028，此次发布的EO 14144第3节在此基础上，对于联邦系统的网络安全战略进行了深化和拓展，致力于提升网络安全标准，推动采用新技术和先进的安全实践来应对复杂威胁，强化云服务和空间系统的安全性。我们对两部行政命令的关键措施进行如下对比：

表3 EO 14028与EO 14144在系统网络安全方面的措施对比

3. 加强联邦通信安全

为提高联邦政府的通信安全性，EO 14144第4节从网络路由安全、域名系统安全、传输层安全、密钥管理等方面提出要求。具体而言：

（1）网络路由安全

当前利用边界网关协议（Border Gateway Protocol, BGP）传播的路由信息易受攻击和配置错误影响，为此，EO 14144要求FCEB需确保其互联网编号资源（如IP地址块）在区域互联网注册管理机构中注册，并在规定时间内发布路由起源授权以防止路由劫持。此外，EO 14144还要求供应商发布路由起源授权并实施路由来源验证。

（2）域名系统安全

加密域名系统（Encrypting Domain Name System，DNS）对保护信息保密性和通信完整性具有重要意义。EO 14144不仅要求联邦政府启用DNS，还将其作为政府采购要求，从而在广泛范围内增加政府和私营部门对于安全DNS的使用。

（3）传输层加密

要求政府通信（包括电子邮件以及语音、视频会议及即时消息等现代通信方式形式）在传输过程中必须加密，并在可行的情况下使用端到端加密，同时落实日志记录和归档要求。

（4）密钥管理

量子计算机具有强大的计算能力，可能会在短时间内破解现有的公钥密码，导致通信内容被轻易窃取和破解。为应对量子计算带来的风险，EO 14144指出，联邦政府考虑通过以下行动推动后量子加密（Post-Quantum Cryptography，PQC）的应用：

• CISA发布支持PQC的产品类别列表，并要求联邦机构在采购相关产品时优先选择支持PQC的产品，从采购源头推动技术的应用与普及。
   

• 强调国际合作，鼓励各国广泛采用由NIST标准化的PQC算法，达成国际间的技术共识与统一标准。
   

• 联邦机构需尽快支持传输层安全协议的新版本，以提升协议的安全性与适应性。

（二）针对私营部门的间接合规约束

1. 提高第三方软件供应链的透明度和安全性

EO 14144第2节指出，联邦政府以及关键基础设施在运行过程中，对软件供应商存在高度依赖，而软件的不安全状态致使联邦政府及关键基础设施系统极易遭受恶意网络事件的攻击。鉴于此，EO 14144建议相关机构在采购规划、来源选择、责任确定、安全合规评估、合同管理和供应商评估中将网络安全作为重要考虑因素。

EO 14144意图通过提高透明度使得软件供应商采用更加安全的软件开发方法来减少漏洞的数量和严重程度。具体而言：

（1）要求所有为联邦政府提供服务的软件供应商向CISA提供以下证明材料，以证明软件本身的安全性问题：

• 机器可读的安全软件开发证明；
   

• 用于验证上述证明的高级工件；
   

• 供应商的FCEB机构软件客户名单。

同时，明确将通过CISA的软件认证和工件存储库（Repository for Software Attestation and Artifacts，RSAA）对上述材料进行集中管理，从而实现对供应商安全声明真实性的验证。

（2）NIST需尽快制定关于如何安全、可靠地部署软件更新的详细指南，以抵御潜在威胁，更好地防范未来可能发生的网络事件；

（3）为更好地管理开源软件的使用，相关机构应为开源软件的安全评估、补丁管理及最佳实践提供意见。

不难看出，为了提供所需的证明材料并确保通过验证，EO 14144“倒逼”软件供应商在内部建立更严格的质量管理和安全管理流程，并且在准备证明材料时保持高度谨慎，这可能需要软件供应商投入大量资源进行内部审查和外部审计，以确保证明材料的真实性和有效性。

2. 明确针对消费品供应商的网络安全评估标准

为激励供应商制造更安全的产品以保护消费者免受恶意黑客的攻击，联邦政府为与其签约的供应商提出以下合规要求：

（1）遵循网络安全实践基线要求

供应商在履行与政府机构的合同，或开发、维护、支持提供给联邦政府的IT服务或产品时，需遵循NIST根据相关指导所确认的网络安全实践基线。

（2）携带美国网络信任标签

“消费者物联网产品”指主要供消费者使用而非企业或工业用途的物联网产品。为了帮助消费者更便捷地了解消费品是否满足网络安全标准，EO 14144要求联邦政府自2027年起仅允许购买带有网络信任标签的设备。联邦政府作为庞大的消费主体，其采购行为具有强大的市场导向作用。我们理解，当明确规定只采购带有网络信任标签的设备时，等于向市场释放出强烈信号，引导消费者更倾向于选择这类产品。鉴于此，供应商为了获得政府订单，以及在市场竞争中占据优势，就不得不努力使自身产品满足网络信任标签的要求，从而间接促使私营部门提升产品的网络安全标准。

3. 引导云服务提供商优化系统配置

如前所述，在系统安全上，EO 14144要求联邦机构协同工作，开发FedRAMP政策和实践，通过激励云服务提供商制定基线，促使云服务提供商自觉地根据政策导向来调整自身的安全策略和实践。

此外，在通信安全方面，EO 14144要求联邦政府实施加密管理，并特别强调应通过制定相关指南加强对云服务提供商访问令牌和密码密钥的安全管理，以确保向政府提供云服务的数据安全与通信安全。尽管上述要求尚未直接规定具体的技术措施或操作流程，但为云服务提供商构建了一个规范的安全框架，从而引导其优化系统配置。

（三）部署技术工具赋能网络安全

• 借助人工智能提高网络防御能力

EO 14144强调了人工智能在网络安全中的重要性，要求联邦政府加速人工智能开发和部署，探索利用人工智能技术改善关键基础设施网络安全的方法，加速人工智能与网络安全交叉领域的研究。我们将各联邦机构应采取的行动梳理如下：

表4 各联邦机构应采取的人工智能相关行动

可见，相较于监管人工智能技术，EO 14144将重心置于部署人工智能工具以及支持人工智能发展以提升整体网络安全防御水平。我们理解，人工智能作为一种先进技术工具，具备在海量数据处理、实时监测分析等方面的优势，能够及时识别和处理网络安全风险，弥补传统网络安全工具和技术的不足，提升网络安全防护的效率和准确性，从而帮助构建更全面、高效的网络安全防御体系。美国通过发布《行政令》的方式推动人工智能技术在网络安全领域的应用和发展，不仅能够在网络安全防护方面占据技术优势，同时也向市场释放出积极信号，鼓励各行业加大对人工智能在网络安全领域的研发投入，加速新技术、新算法的创新突破，进而带动网络安全产业的技术升级，提高美国在网络安全领域的核心竞争力。

四、中国出海企业可能面临的合规风险与应对策略

（一）具体业务场景中的合规难点

从适用范围上看，EO 14144中的规则要求明确适用于美国联邦政府及相关机构、联邦承包商以及与联邦政府存在特定业务关联的美国本土企业，但在复杂的国际贸易与投资环境下，从美国全方位维护“供应链安全”的角度看，若中国企业融入相关供应链体系之中，便可能受其监管。

如前文所述，本次发布的《行政令》对设备供应商、软件供应商、云服务提供商提出了一系列网络安全合规要求。对于积极拓展海外市场的中国企业而言，尤其是在设备制造、软件开发和云服务领域与美国存在业务往来的企业，应当重点关注是否落入下述场景。

• 场景一：存在产品供应关系

（1）对美国政府直接出口设备：当中国企业直接向美国联邦政府或其指定机构销售设备时，需满足最低网络安全实践标准相关的合规要求。例如，一家中国的通信设备制造商向美国联邦政府部门提供路由器等网络设备，产品需符合《行政令》中的最低网络安全实践标准、数据加密等方面的要求。

（2）间接为美国政府提供产品：即便中国企业并非直接与美国联邦政府交易，但若为美国企业提供零部件或原材料，而这些美国企业将最终产品销售给美国政府，中国企业同样可能受到影响。假设中国的一家软件开发企业为美国某知名电子设备企业供应软件，美国电子设备企业再将电子设备出售给美国联邦政府，此时《行政令》中的安全标准要求，可能会层层传导至中国的软件供应商，美国政府可能会质疑中国企业的开发过程是否安全、是否存在漏洞，要求提供详细的安全开发证明文件，以确保符合《行政令》的要求。这对中国企业的技术研发和管理提出了更高要求，增加了企业软件开发的复杂性和成本，同时也增加了中国企业进入美国市场的难度。

此外，许多美国联邦承包商为完成政府订单，会从全球采购零部件和服务，中国企业若为其提供中间产品或服务，也可能被相关规则波及。

• 场景二：涉及提供云服务

若一家中国云服务提供商为美国企业提供SaaS服务，如办公软件、客户关系管理软件等，同时，该美国企业承接了美国政府的数字化转型项目，涉及到美国政府数据的存储与分析，中国企业所提供的云服务便可能间接涉及美国政府，《行政令》可能要求该SaaS服务具备完善的数据加密功能，无论是数据在静止状态下的存储加密，还是在网络传输过程中的加密，都要达到较高的安全标准。此外中国云服务提供商还需要建立完善的密钥管理系统，确保密钥的生成、存储、分发和使用过程的安全性。

如上所述，从直接向美国政府供应设备，到在复杂供应链中间接提供产品，再到涉及提供云服务，中国出海企业在这些具体业务场景中，极易受到EO 14144的不利影响。

（二）潜在的多维度风险挑战

1. 技术标准适配与市场准入风险

EO 14144对网络安全相关技术标准提出了细致的要求，这些标准可能与国际通用标准或中国国内标准存在差异。这意味着中国出海企业若参与美国政府相关项目，或作为美国企业供应链的一环，将面临严格的技术审查，若中国企业的产品或服务所采用的技术标准不符合要求，可能导致无法进入美国市场。

2. 政治歧视风险

美国媒体称该行政令是拜登政府应对中国和俄罗斯威胁的“最后一项重大行动”，体现了美国在网络安全问题上存在明显针对中国的政治倾向。中国企业出海美国，即使满足相关行政令中的网络安全要求，也可能因政治因素受到不公平对待，被施加额外的安全审查。

3. 合规管理成本增加

为满足EO 14144的要求，中国出海企业需要投入更多资金和人力进行技术升级、安全体系建设以及合规审查。相关企业需要按照美国标准建立更严格的网络安全防护体系，定期进行漏洞检测和修复，这将增加企业的运营成本。同时，企业还需要配备专业的法务和合规团队，以应对美国不断变化的法规要求和审查程序，进一步加重企业负担。

4. 供应链中断风险

EO 14144可能迫使美国企业重新评估其供应链，进一步减少与中国企业的合作。中国出海企业若处于美国企业供应链的关键环节，可能因上游美国供应商中断合作，导致原材料、零部件供应不足，进而影响生产进度。同时，下游客户也可能因潜在压力，取消订单或延迟付款，影响中国企业资金链的稳定。

5. 国际合作受限

EO 14144若未来在提升网络安全防护能力上取得成效，其措施可能成为他国效仿的对象。鉴于美国政策中涵盖的政治意图，其他国家在借鉴政策条文时，可能会不同程度地照搬其中针对中国的不合理条款。这将导致中国出海企业在多个国家面临相似的政策限制，合规难度呈指数级增长。例如，企业可能在多个国家同时面临技术标准歧视等问题，极大压缩了海外市场空间。

（三）出海企业的应对之策

为应对上述风险与挑战，企业急需可行的合规措施。下文将围绕风险评估、差距分析、关注监管环境变化以及引入外部专家等维度，为企业提供应对策略。

1. 业务场景梳理与风险自查

全面梳理业务场景：企业应成立专门的风险评估小组，梳理所有涉及美国市场业务，通过绘制详细的业务流程图，明确各环节与美国联邦政府及相关机构、私营部门的关联程度。对于涉及美国政府业务的部分，详细标注数据流向、产品交付路径等关键信息。例如，若企业为美国联邦承包商提供零部件，需梳理从原材料采购到零部件生产、交付，再到最终产品销售的整个流程，评估每个环节可能面临的合规风险。

定期开展风险自查：建议企业定期（每季度）开展一次内部网络安全合规自查，梳理业务流程的相关环节，评估在数据处理、网络安全等方面是否符合相关要求。例如，针对涉及美国政府数据的云服务，重点检查数据加密算法强度、密钥管理的安全性。

2. 差距分析与合规整改

技术标准的本地化适配：企业内部组建由技术专家、法务人员构成的技术标准研究小组，并适时引入外部合规专家，将企业现有的网络安全技术标准与《行政令》相关要求进行逐项对比，形成差距分析表。在对比过程中，不仅关注技术标准的差异，还要分析实现标准适配所需的技术改造难度和成本。例如，对于数据加密算法，对比企业当前采用的算法与美国要求的算法在加密强度、密钥管理等方面的差异，预估升级算法所需的研发投入和时间周期。

制定详细的合规整改路线图：依据差距分析表，企业应在外部合规专家的指导下制定合规整改路线图，明确具体节点的优先级、时间节点以及责任人。将关键且差距较大的部分，设定为高优先级，通过调配核心技术力量与充足资金资源，组建专项整改小组快速完成整改。

3. 关注监管环境的变化与更新

设立专门岗位或安排专人负责关注美国网络安全政策的更新动态，实时监测美国政策法规变化以及行业动态，及时捕捉可能影响企业的风险信号。一旦发现《行政令》的相关规则出台，能迅速做出反应，评估对企业业务的影响程度。

4. 制定常态化的专家咨询机制

定期（每月）与外部合规专家开展至少一次沟通会议。在每次会议前，企业内部的法务团队与业务部门协同梳理近期在业务开展过程中遇到的相关合规疑问、潜在风险点，以及新出台政策法规解读的困惑等内容，形成详细的问题清单。会议期间，外部合规专家针对清单内容，结合美国最新的法律环境、政策走向以及行业内的实际案例提供解答与分析。对于复杂的合规问题，专家将提供详细的应对策略和操作指南。

鉴于美国网络安全政策，特别是《行政令》相关规则的复杂性与不确定性，其条款可能因政治局势、外交关系等因素而更新、变化。因此，上文所述合规建议，系经归纳总结形成的一般性合规策略，旨在为中国出海企业应对相关规则提供初步的方向性指引。需明确，由于企业的业务模式、技术架构、产品/服务类型各不相同，所面临的合规风险亦存在差异。因此，我们建议出海企业尽早引入专业的外部法律顾问，以针对具体业务需求寻求个性化的合规建议。

结语

此次发布的EO 14144绝非临时起意、仓促出台，而是经过了长期且缜密的规划与铺垫。早在拜登政府执政初期，就开展了一系列全面深入的评估与调研工作，传达出对网络安全态势的高度重视以及政策制定的方向。此外，过往发生的一系列网络安全事件，如美国多起关键基础设施遭受网络攻击也敲响了警钟，成为推动EO 14144出台的催化剂。

在这种背景下，EO 14144整合了美国前期多方面的研究成果与实践经验，对美国网络安全的各个关键环节进行了全面规范和升级。从软件供应链安全的源头把控，要求软件提供商提升安全性并提交相关证明；到联邦系统网络安全的全方位改进，采用先进的行业安全实践、强化云安全防护；再到通信安全的强化，实施强身份认证和加密措施等，EO 14144意图构建一个更为严密、高效的网络安全防护体系，为美国在复杂多变的网络空间中维护自身利益提供了政策依据和执行框架。

然而，EO 14144明确针对中国，充斥着强烈的政治色彩。EO 14144及拜登政府近期采取的行动对于中国出海企业而言，将可能造成一系列新的不利影响。因此，我们建议企业引入专业的网络安全合规团队作为外部法律顾问，针对特定业务需求，依据相关技术标准与安全要求评估并升级现有的网络安全措施。

值得注意的是，作为拜登执政的最后一部行政令，其未来充满变数，特朗普政府可能会对网络安全战略进行重新评估和调整。这意味着，EO 14144构建的网络安全框架以及相关措施，未来可能面临被推翻或大幅修改的局面。届时，美国网络安全政策走向何方，又会对全球网络安全格局以及中国出海企业产生怎样新的影响，亟待进一步观察，我们建议企业持续关注。