5月11日，特朗普政府终于推出外界期待已久的网络安全行政命令。此份行政命令的内容并无太多出人意料之处——它的各版草稿已在华盛顿流传了一段时间，但它仍算是一个头脑清醒且充满实用主义色彩的文件。此份行政命令还是一个由特朗普所签发的行动任务列表，要求对美国当前的网络安全态势进行总结，并以45、90、120、180、240及365天为时间节点，进行相应的网络安全建设和项目评估。

特朗普政府的网络安全行政命令并未新增太多跨部门的协作流程，而是强调所有参与规划及开展网络安全工作的部门依照其既定的职能开展工作，这在某种程度上表明，白宫将是美国网络安全相关工作的最高组织者和协调者。由各职能部门准备的网络安全汇报材料，将在总统国土安全事务助理汤姆.波塞特（Tom Bossert）处进行汇总，如果汇报材料涉及军事事务，则总统国家安全事务助理麦克马斯特（H. R. McMaster）将军也将参与决策。但这份网络安全行政命令没有改变诸如2016年7月第41号总统政策指导文件《网络攻击事件协调》中规定的各部委单位职能，尽管第41号文件中甚至没有提到美国国防部是否应参与网络攻击事件的响应。而在之前几届政府在网络安全相关政策中都要提及的科技政策办公室（Office of Science and Technology Policy）也未在特朗普政府的网络安全行政命令中出现，而该办公室之前给外界留下的印象就是除了制订网络安全政策外别无他用。

特朗普政府的网络安全行政命令指出，联邦政府应通过采购策略来推动联邦政府信息技术的现代化建设，但它并未触碰联邦政府信息采购体系这个敏感之处——因为改变该体系就意味着需要修订数千页的美国联邦采购法案。同时，特朗普政府未来如何改造美国联邦政府当前碎片化且重复的信息技术采办过程也需要继续观察。

针对关键基础设施保护，这份网络安全行政命令采用了相当多磨棱两可的文字描述。它要求美国联邦政府在六个月时间里，确认各政府机构在支持关键基础设施网络安全建设方面的授权和能力，但却没有明确这些授权应如何使用。值得注意的是，“自愿（Voluntary）”不再出现于这份网络安全行政命令中，“隐私（Privacy）”也只出现了两次，显示特朗普政府不再像前几届政府那样迷恋“自愿参与”和“隐私保护”，但这显然会引来美国民间的持续抗议。如果要在这份网络安全行政命令中，总结一个可描述特朗普政府针对关键基础设施和网络安全建设目标的关键词，那应该是“强韧性（Resilience）”。“强韧性”就像“风险管理”的本意一样，强调既然无法阻止网络攻击的发生，无法将黑客拒之门外，但仍要致力于为不可避免的网络攻击及破坏做好更充分的准备。

特朗普政府还和之前的几届政府那样，期望找到能令“网络威慑”真正生效的手段，并要求在90天内由各职能部门共同提交一份如何实现网络威慑的报告。冷战结束后，美国国内已有十多年没有出现过与“威慑”这个议题相关、有影响力的新学说，而奥巴马政府在2011年推出的《网络空间国际战略》则严重落后于国际政经和技术态势的发展。有智库专家指出，美国应与具有共同价值观的盟友——如七国集团或北约国家——开展密切的协作，以制订保障网络空间稳定和互信、打击恶意行为的网络空间国际行为规范，并在国际法框架内定义在遭到网络攻击后可使用的一系列反制措施，而不是动辄以军事打击进行威胁。同时，美国还应加强与中国、俄罗斯等网络强国进行沟通，因为网络空间已成为国际关系的基本要素，而非一个孤立或外围的话题。

简评：

特朗普政府的网络安全行政命令要求美国联邦政府各部委机关的领导层为网络安全风险管理负总责，美国国家标准与技术学会（NIST）的框架文件则作为风险管理工作的框架文件。同时，该行政命令还要求对网络安全相关的各领域进行全面总结，如联邦政府信息技术架构的现代化建设、向信息技术通用设施的迁移、以及关键基础设施的支持等，并要求加强上市关键基础设施企业在遭遇网络攻击时的信息披露。美国国防部将负责评估美国军事系统及国防工业的网络安全风险，美国商务部部长和国土安全部部长则负责制订打击僵尸网络的流程及计划。该行政命令对网络空间威慑、国际合作和人才对外建设也有相应规定。

尽管特朗普政府的网络安全行政命令包含了众多期待已久的要点，但它并不完全是一个网络安全行动计划，而更像是一个计划的计划（Plan of Plans）。而这份行政命令的效果如何，至少也要等到90天后第一份部委报告出台才能看得更清楚。