乍看之下,美国联邦通信委员会(Federal Communications Commission,简称FCC)近期对外国制造的消费级路由器实施的禁令,与美国根据“绝对决心行动”对委内瑞拉开展的网络行动似乎毫无关联,但两者都是今年3月发布的《2026年美国国家网络安全战略》的具体体现。

在这份仅五页的简明文件中,美国总统特朗普的政府勾勒美国网络安全的愿景,既强化进攻姿态,又构建更广泛的国内防御体系以抵御网络攻击。

要理解这一战略,须追溯自2003年《确保网络空间安全国家战略》以来美国网络战略的演变历程。它看似特朗普2018年网络战略的延续,又与前任拜登2023年的网络战略有所不同。但有理由认为,它汲取这两份文件中的理念,并进一步发展。

美国网络战略的演变

自2003年以来,所有美国网络战略的核心始终未变:防范针对美国关键基础设施的网络攻击;降低国家在网络攻击中的脆弱性;将网络攻击造成的损害及恢复时间降至最低。

为实现这些目标,历届美国政府都寻求与私人企业合作应对网络威胁,而非推动立法解决方案。事实上,在2018年之前,美国的网络安全态势可描述为防御性的,且以风险管理为导向。

自2003年战略起便已存在的威慑网络攻击概念,呼吁加强反情报工作,以点名并谴责“恶意行为者”。然而,这一威慑举措直到第一届特朗普政府时期才真正具备实质效力,它将网络空间视为地缘政治竞争的关键要素。

根据2018年战略,猛烈进攻被视为最有效的防御。《第13号国家安全总统备忘录》授权开展进攻性网络行动,以建立时任国家安全顾问博尔顿所称的针对恶意数码行为体的“威慑架构”。甚至拜登政府也保留这一对进攻能力的关注,将“破坏和瓦解威胁行为体”的方法作为网络战略的支柱之一。

拜登的2023年战略试图通过优先发展清洁能源来提升美国电网的韧性,并建立安全的电信产品供应链,在美国网络政策上留下自己的印记。它试图通过引入网络安全错误责任制来“塑造市场力量”,对私人领域采取更具干预性的立场。它也承诺“建立国际伙伴关系”,并详细阐述通过四方安全对话(Quad,由美国、澳大利亚、印度和日本组成的四边安全伙伴关系)等机制开展合作,以推进网络空间的共同目标。

然而,这一战略方向并未持续。特朗普的2026年战略保留前任战略的一些预测,但提出更具进攻性的解决方案。

更强大的进攻性武器库

拜登政府、第一届特朗普政府以及奥巴马政府所采纳的网络战略,都始于阐明数码经济和网络空间对美国人的重要性。2026版的网络战略则摒弃这一做法,转而直截了当承诺将“迅速、果断、主动地消除网络威胁”,为整份文件的其余部分定下基调。

有两个关键要素使得2026年战略比之前的版本更为激进。首先,它宣称美国“将不会把回应局限于‘网络’领域”。这一威胁超出常规制裁的范畴,可能包括外交、情报甚至军事手段,增加对所谓对手采取实弹反击,甚至先发制人打击的可能性。

其次,2026年战略呼吁私人企业在国家网络安全工作中发挥更大作用。虽然提到私人企业错误责任制,但将它纳入“简化”网络法规的章节,暗示更倾向于市场驱动的方法,而非拜登政府的做法。那句“释放私人领域力量”以“塑造对手行为”的令人不安的保证,指向一种利用私人企业攻击外国实体的姿态。

诚然,私人企业对数码对手进行“黑客反击”的想法目前尚属非法。然而,我们已可以看到私人企业,尤其是Anthropic和Palantir等人工智能公司,与美国军方合作,参与在委内瑞拉和伊朗的行动。由此得出的必然结论是,美国政府不再仅仅将私人企业视为国防领域的合作伙伴,同时也将它们视为进攻性工具。

美国堡垒

2026年战略虽未像2023年版本那样强调建立国际伙伴关系,但确实将重点放在一个方面:禁止使用来自对手的设备。

自2019年以来,美国联邦机构被禁止使用包括华为和中兴在内的五家中国企业的设备或服务。2021年,FCC更进一步将这些企业列入“受管制清单”,完全限制销售或进口这些企业的新设备,理由是它们对美国国家安全构成“不可接受的风险”。这份清单在2022年和2024年逐步扩大,新增中国移动等服务提供商。

从这一角度看,FCC3月23日对新款外国制造的消费级路由器实施禁令,虽属重大举措,但并非完全出人意料。FCC的公告指出,外国制造的路由器“直接涉及”由亚麻台风(Flax Typhoon)、伏特台风(Volt Typhoon)与盐台风(Salt Typhoon)等“高级持续性威胁(Advanced Persistent Threats)行为体”对美国基础设施发起的攻击。

人们还可以将禁令与《2025年国家安全战略》联系起来,它主张“美国绝不能在国防或经济所需的核心部件方面依赖任何外部势力”。

更大的问题在于,这项全面禁令是否会保持不变。虽然FCC曾于2025年12月宣布,对所有外国制造的无人机及零部件实施类似禁令,但随后于今年3月豁免四款非中国产机型。同样,路由器禁令可能是一项临时措施,而幕后调查仍在继续。或者,这项禁令也可能旨在对外国路由器公司施加压力,迫使它们在美国投资设厂。

尽管如此,2026年战略显然将美国的网络安全态势转向一个更加激进且孤立主义的方向。后续政府也许会选择缩减一些对硬件的禁令、强调与合作伙伴的合作,甚至对私人企业的使用设置一些护栏。然而,基于风险管理的防御性策略显然已成为过去。

作者是南洋理工大学拉惹勒南国际研究院的国防与战略研究院美国项目副研究员

原载研究院电子刊物《RSIS评论》

黄金顺译