白宮砍掉CISA 7億美元：24%預(yù)算蒸發(fā)

一份預(yù)算文件正在華盛頓引發(fā)連鎖反應(yīng)。美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）的年度撥款將從29億美元驟降至24億——精確數(shù)字是砍掉7.07億，幅度接近四分之一。更刺眼的是人員編制：3700個(gè)崗位縮到2600，1100人即將離開(kāi)這個(gè)成立僅6年的年輕機(jī)構(gòu)。

這不是簡(jiǎn)單的節(jié)流，而是一次 mission 重定義。被削減的板塊包括選舉安全、虛假信息應(yīng)對(duì)、外部協(xié)調(diào)，以及撥給州和地方選舉基礎(chǔ)設(shè)施的資金。剩下的14億美元被鎖死在"核心任務(wù)"上：保護(hù)聯(lián)邦民用系統(tǒng)、抵御國(guó)家級(jí)網(wǎng)絡(luò)威脅。換句話(huà)說(shuō)，CISA要從一個(gè)"大家長(zhǎng)"變回"自家保安"。

時(shí)間線(xiàn)：從擴(kuò)權(quán)到收縮的六年

2018年11月，CISA正式成立。這個(gè)脫胎于國(guó)土安全部（DHS）下屬部門(mén)的機(jī)構(gòu)，被賦予了前所未有的廣度：既管聯(lián)邦政府網(wǎng)絡(luò)的防火墻，也管選舉投票機(jī)的物理安全；既追蹤俄羅斯黑客的入侵痕跡，也監(jiān)測(cè)社交媒體上的謠言傳播。它的定位很模糊——技術(shù)部門(mén)？情報(bào)協(xié)調(diào)中心？還是某種新型公共產(chǎn)品？

模糊帶來(lái)了擴(kuò)張。到2024年，CISA的預(yù)算較成立初期已增長(zhǎng)超過(guò)60%，員工數(shù)從2500人膨脹到3700人。它的觸角伸向了州選舉辦公室、地方水務(wù)公司、甚至中小學(xué)的網(wǎng)絡(luò)安全培訓(xùn)。這種擴(kuò)權(quán)在2020年大選期間達(dá)到頂峰：CISA主導(dǎo)了"謠言控制"（Rumor Control）網(wǎng)站，直接回應(yīng)選舉欺詐指控，結(jié)果被卷入政治漩渦。

2025年1月，風(fēng)向突變。新政府上臺(tái)后，CISA首任局長(zhǎng)克里斯·克雷布斯（Chris Krebs）2018年設(shè)立的"外國(guó)虛假信息和操縱應(yīng)對(duì)"（MDM）團(tuán)隊(duì)被整體裁撤。該團(tuán)隊(duì)曾因標(biāo)記2020年選舉相關(guān)虛假信息而遭到保守派激烈批評(píng)。3月，DHS內(nèi)部審查啟動(dòng)，目標(biāo)直指"職能重疊"和"過(guò)度擴(kuò)張"。

4月7日，2027財(cái)年預(yù)算請(qǐng)求正式提交。7.07億美元的削減數(shù)字公開(kāi)，同時(shí)披露的還有人員裁撤方案：國(guó)際協(xié)調(diào)、利益相關(guān)方對(duì)接、風(fēng)險(xiǎn)管理三個(gè)部門(mén)首當(dāng)其沖，核心技術(shù)團(tuán)隊(duì)受影響較小。DHS在說(shuō)明文件中寫(xiě)道："選舉安全應(yīng)由州層面負(fù)責(zé)，聯(lián)邦政府的某些信息相關(guān)努力存在越權(quán)風(fēng)險(xiǎn)。"

被砍掉的三塊業(yè)務(wù)

選舉安全資金是第一個(gè)靶子。CISA此前向各州提供投票機(jī)安全檢測(cè)、選舉官員培訓(xùn)、投票系統(tǒng)漏洞掃描等服務(wù)。2024年，這部分支出約1.5億美元。新預(yù)算將其歸零，理由是"州級(jí)事務(wù)"。但一個(gè)細(xì)節(jié)被批評(píng)者反復(fù)提及：2020年大選后，CISA正是因積極介入選舉安全而被指責(zé)"政治化"，如今徹底退出，反而坐實(shí)了這種工具化邏輯——業(yè)務(wù)存在與否，取決于誰(shuí)掌權(quán)。

虛假信息應(yīng)對(duì)是第二個(gè)。MDM團(tuán)隊(duì)裁撤后，剩余的相關(guān)預(yù)算被清零。DHS的解釋很直接："打擊虛假信息的努力可能侵犯憲法第一修正案權(quán)利。"這呼應(yīng)了保守派長(zhǎng)期以來(lái)的指控——CISA與社交媒體平臺(tái)合作壓制特定政治言論。但技術(shù)層面有個(gè)尷尬事實(shí)：國(guó)家級(jí)網(wǎng)絡(luò)攻擊往往與信息操控配套出現(xiàn)，比如2016年民主黨郵件泄露后的定向放大。剝離這塊職能，意味著CISA只能看見(jiàn)"破門(mén)而入的黑客"，看不見(jiàn)"門(mén)外喊火的人"。

外部協(xié)調(diào)與利益相關(guān)方對(duì)接是第三個(gè)重災(zāi)區(qū)。這塊業(yè)務(wù)包括與私營(yíng)企業(yè)的威脅情報(bào)共享、對(duì)關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)商的合規(guī)指導(dǎo)、以及國(guó)際伙伴的聯(lián)合演練。預(yù)算文件顯示，相關(guān)崗位削減比例超過(guò)50%。DHS的替代方案是"自動(dòng)化和精簡(jiǎn)運(yùn)營(yíng)模式"——用平臺(tái)取代人際網(wǎng)絡(luò)，用標(biāo)準(zhǔn)流程取代定制化服務(wù)。

問(wèn)題在于，網(wǎng)絡(luò)威脅的響應(yīng)速度往往取決于信任關(guān)系建立的速度。一次勒索軟件攻擊中，企業(yè)是否愿意向政府開(kāi)放內(nèi)部日志，通常不取決于法律義務(wù)，而取決于有沒(méi)有一個(gè)打過(guò)交道、能直接撥通電話(huà)的CISA聯(lián)絡(luò)人。

保留下來(lái)的核心是什么

14億美元被明確標(biāo)注為"網(wǎng)絡(luò)安全活動(dòng)"資金。具體投向包括：聯(lián)邦民用網(wǎng)絡(luò)（.gov域名下的系統(tǒng)）的實(shí)時(shí)監(jiān)測(cè)、端點(diǎn)檢測(cè)與響應(yīng)（EDR）工具部署、以及針對(duì)國(guó)家級(jí)對(duì)手（主要是俄羅斯、中國(guó)、朝鮮、伊朗）的威脅追蹤。這部分預(yù)算實(shí)際上較2024年略有增長(zhǎng)，增幅約3%。

技術(shù)層面的優(yōu)先級(jí)也很清晰。預(yù)算文件強(qiáng)調(diào)"身份與訪(fǎng)問(wèn)管理"（IAM）和"零信任架構(gòu)"（ZTA）的加速落地——這是聯(lián)邦政府2021年行政令定下的方向，要求各機(jī)構(gòu)逐步淘汰基于網(wǎng)絡(luò)邊界的傳統(tǒng)安全模型，轉(zhuǎn)向"永不信任、持續(xù)驗(yàn)證"。CISA的角色是提供通用工具、制定基線(xiàn)標(biāo)準(zhǔn)、并監(jiān)督合規(guī)進(jìn)度。

人員結(jié)構(gòu)隨之調(diào)整。保留的2600人中，約1800人集中在網(wǎng)絡(luò)安全司（Cybersecurity Division）和國(guó)家風(fēng)險(xiǎn)管理中心（National Risk Management Center）的技術(shù)崗位。被裁撤的1100人主要來(lái)自利益相關(guān)方參與司（Stakeholder Engagement Division）和國(guó)際事務(wù)辦公室。這種結(jié)構(gòu)暗示了一種組織哲學(xué)：CISA應(yīng)該像NSA（國(guó)家安全局）那樣專(zhuān)注技術(shù)能力，而非像FEMA（聯(lián)邦應(yīng)急管理局）那樣扮演協(xié)調(diào)樞紐。

爭(zhēng)議：收縮是理性回歸還是戰(zhàn)略冒險(xiǎn)

批評(píng)者的聲音在預(yù)算發(fā)布后24小時(shí)內(nèi)集中涌現(xiàn)。約翰·班貝內(nèi)克（John Bambenek）的表態(tài)最具代表性。這位Bambenek咨詢(xún)公司的總裁在給SiliconANGLE的郵件中寫(xiě)道：「白宮似乎希望CISA只專(zhuān)注于保護(hù)聯(lián)邦政府的計(jì)算機(jī)系統(tǒng)，讓州政府、地方政府和私營(yíng)行業(yè)自生自滅。在國(guó)家威脅加劇的當(dāng)下，這意味著社會(huì)將獲得更少（或沒(méi)有）聯(lián)邦政府保護(hù)，以抵御敵對(duì)國(guó)家的攻擊。」

馬修·哈特曼（Matthew Hartman）的評(píng)論被原文截?cái)啵较蛎鞔_——這位Merlin集團(tuán)的首席戰(zhàn)略官將7.07億美元的削減描述為"直線(xiàn)式"（straight）削減，暗示其缺乏精細(xì)設(shè)計(jì)。Merlin集團(tuán)專(zhuān)注于網(wǎng)絡(luò)安全領(lǐng)域的投資，其立場(chǎng)傾向于認(rèn)為政府投入是市場(chǎng)的重要補(bǔ)充，而非替代。

支持方的邏輯則圍繞"有限政府"展開(kāi)。DHS的預(yù)算說(shuō)明多次出現(xiàn)"核心責(zé)任"（core responsibilities）和"越權(quán)"（overreach）的表述，這是典型的保守派治理話(huà)語(yǔ)。其隱含前提是：網(wǎng)絡(luò)安全存在清晰的公私邊界，聯(lián)邦政府的角色應(yīng)限于自身資產(chǎn)保護(hù)，而非構(gòu)建覆蓋全社會(huì)的防護(hù)網(wǎng)。選舉安全的州級(jí)歸屬、虛假信息的平臺(tái)自治、關(guān)鍵基礎(chǔ)設(shè)施的企業(yè)自負(fù)，都是這一邏輯的延伸。

但這種邊界在現(xiàn)實(shí)中難以維持。2021年Colonial Pipeline勒索軟件事件是一個(gè)參照：私營(yíng)管道運(yùn)營(yíng)商遭攻擊，導(dǎo)致東海岸燃油短缺，聯(lián)邦政府被迫介入?yún)f(xié)調(diào)。CISA的擴(kuò)張正是源于此類(lèi)事件的教訓(xùn)——網(wǎng)絡(luò)攻擊的連鎖效應(yīng)不承認(rèn)組織邊界。如今收縮，是否意味著接受"各掃門(mén)前雪"的風(fēng)險(xiǎn)？

國(guó)際參照：其他國(guó)家的選擇

英國(guó)的國(guó)家級(jí)網(wǎng)絡(luò)安全中心（NCSC）提供了一個(gè)對(duì)比樣本。該機(jī)構(gòu)隸屬于GCHQ（政府通信總部），人員約1000人，預(yù)算規(guī)模遠(yuǎn)小于CISA，但職能高度聚焦：技術(shù)威脅情報(bào)、關(guān)鍵基礎(chǔ)設(shè)施指導(dǎo)、重大事件響應(yīng)。它不涉足選舉管理或虛假信息，這些事務(wù)由選舉委員會(huì)和數(shù)字監(jiān)管局分別處理。這種"小而專(zhuān)"的模式被部分美國(guó)保守派視為理想模板。

但NCSC的成立背景不同：英國(guó)沒(méi)有聯(lián)邦制下的州權(quán)張力，且GCHQ的信號(hào)情報(bào)能力為NCSC提供了底層技術(shù)支撐。CISA從未擁有類(lèi)似的情報(bào)機(jī)構(gòu)母體，其技術(shù)能力很大程度上依賴(lài)與NSA的合作——而這種合作在2020年因"監(jiān)控爭(zhēng)議"受到限制。砍掉外部協(xié)調(diào)職能后，CISA能否維持足夠的技術(shù)輸入，是個(gè)未知數(shù)。

以色列的國(guó)家網(wǎng)絡(luò)局（INCD）則走向另一個(gè)極端。該機(jī)構(gòu)人員不足500，但擁有跨部門(mén)的協(xié)調(diào)權(quán)，可直接調(diào)動(dòng)國(guó)防軍8200部隊(duì)的技術(shù)資源。其模式是"小機(jī)構(gòu)、大網(wǎng)絡(luò)"——通過(guò)制度化的協(xié)作機(jī)制彌補(bǔ)自身規(guī)模不足。CISA的新架構(gòu)似乎反其道而行：強(qiáng)化內(nèi)部技術(shù)團(tuán)隊(duì)，削弱外部網(wǎng)絡(luò)建設(shè)。

三種模式，三種關(guān)于"國(guó)家在網(wǎng)絡(luò)空間角色"的答案。白宮的選擇，本質(zhì)上是將CISA從"以色列模式"推向"英國(guó)模式"——但砍掉了協(xié)調(diào)權(quán)，卻沒(méi)有獲得GCHQ式的情報(bào)后盾。

被裁撤的人去哪里

1100人的安置問(wèn)題尚未有明確方案。DHS提到"自愿離職激勵(lì)"和"內(nèi)部轉(zhuǎn)崗"，但規(guī)模有限。更具諷刺意味的是人才流向：被CISA裁撤的選舉安全專(zhuān)家、風(fēng)險(xiǎn)管理顧問(wèn)、國(guó)際協(xié)調(diào)官，恰恰是私營(yíng)部門(mén)和安全公司最急需的 profile。微軟、谷歌、CrowdStrike、Mandiant 等機(jī)構(gòu)過(guò)去五年持續(xù)從CISA挖角，看重的是其跨部門(mén)視野和政府關(guān)系網(wǎng)絡(luò)。

這種流失可能產(chǎn)生悖論效應(yīng)。CISA削減外部協(xié)調(diào)職能的初衷是"提升效率"，但失去這些崗位后，其與私營(yíng)部門(mén)的接口反而萎縮。企業(yè)遇到威脅時(shí)，能找到的對(duì)接窗口變少，最終可能被迫直接求助于FBI或NSA——而后者的介入方式往往更具強(qiáng)制性，且缺乏CISA式的技術(shù)支援屬性。

州和地方層面的替代方案同樣模糊。DHS聲稱(chēng)選舉安全"應(yīng)由州級(jí)負(fù)責(zé)"，但多數(shù)州的選舉辦公室預(yù)算不足百萬(wàn)美元，且缺乏專(zhuān)職網(wǎng)絡(luò)安全人員。2024年，CISA向各州提供了約400名"選舉安全顧問(wèn)"的嵌入式支持，新預(yù)算下這一數(shù)字將歸零。部分州可能轉(zhuǎn)向私營(yíng)承包商，但成本和質(zhì)量參差不齊；富裕州如加州、紐約或許能自建能力，貧困州則可能直接暴露于風(fēng)險(xiǎn)。

技術(shù)層面的連鎖反應(yīng)

預(yù)算削減還影響到幾個(gè)具體的技術(shù)項(xiàng)目。"自動(dòng)指標(biāo)共享"（AIS）平臺(tái)的運(yùn)營(yíng)資金被削減40%，這是一個(gè)允許聯(lián)邦機(jī)構(gòu)與私營(yíng)企業(yè)實(shí)時(shí)交換網(wǎng)絡(luò)威脅情報(bào)的基礎(chǔ)設(shè)施。DHS的解釋是"轉(zhuǎn)向更高效的自動(dòng)化工具"，但現(xiàn)有用戶(hù)擔(dān)心過(guò)渡期出現(xiàn)情報(bào)斷層。

"持續(xù)診斷與緩解"（CDM）項(xiàng)目的擴(kuò)展計(jì)劃也被推遲。該項(xiàng)目為聯(lián)邦機(jī)構(gòu)提供統(tǒng)一的資產(chǎn)盤(pán)點(diǎn)和漏洞管理能力，原定于2026年覆蓋全部CFO法案機(jī)構(gòu)（共24個(gè)大型聯(lián)邦部門(mén)）。新預(yù)算下，時(shí)間表可能延后至2028年，意味著部分機(jī)構(gòu)的"數(shù)字家底"將繼續(xù)處于模糊狀態(tài)。

更隱蔽的影響在于研發(fā)。CISA下屬的"網(wǎng)絡(luò)安全 Division"每年向大學(xué)、國(guó)家實(shí)驗(yàn)室和初創(chuàng)企業(yè)撥付約8000萬(wàn)美元的研究資金，用于探索量子安全加密、AI驅(qū)動(dòng)的威脅檢測(cè)等前沿方向。這部分預(yù)算未被明確削減，但被重新歸類(lèi)為"可競(jìng)爭(zhēng)性資金"——意味著需要通過(guò)更嚴(yán)格的行政審查，實(shí)際到位率可能下降。

這些技術(shù)項(xiàng)目的收縮，與保留的"核心網(wǎng)絡(luò)安全"預(yù)算形成微妙張力。14億美元被承諾用于"保護(hù)聯(lián)邦系統(tǒng)"，但系統(tǒng)保護(hù)的有效性很大程度上依賴(lài)于威脅情報(bào)的時(shí)效性和覆蓋范圍——而情報(bào)網(wǎng)絡(luò)正在被 dismantle。

政治周期與機(jī)構(gòu)記憶

CISA的歷史很短，但已經(jīng)歷兩次劇烈的方向調(diào)整。2018年成立時(shí)，它被設(shè)計(jì)為2016年大選教訓(xùn)的制度回應(yīng)——需要一個(gè)跨部門(mén)機(jī)構(gòu)來(lái)打破"情報(bào)機(jī)構(gòu)知道威脅但不告訴公眾，國(guó)土安全部想幫忙但沒(méi)有技術(shù)能力"的僵局。2020-2024年的擴(kuò)張，是對(duì)SolarWinds供應(yīng)鏈攻擊、Colonial Pipeline事件、以及Log4j漏洞的連鎖反應(yīng)。如今2025-2027年的收縮，則是新政府執(zhí)政理念的投射。

這種擺動(dòng)留下的是斷裂的機(jī)構(gòu)記憶。被裁撤的MDM團(tuán)隊(duì)積累了兩年的虛假信息分析方法論，選舉安全顧問(wèn)網(wǎng)絡(luò)建立了與50個(gè)州選舉官員的私人信任關(guān)系，國(guó)際協(xié)調(diào)辦公室培育了與"五眼聯(lián)盟"以外伙伴（如愛(ài)沙尼亞、以色列）的雙邊渠道。這些資產(chǎn)難以被"精簡(jiǎn)運(yùn)營(yíng)模式"替代，因?yàn)樗鼈兊谋举|(zhì)是人際關(guān)系和反復(fù)磨合后的默契。

一個(gè)細(xì)節(jié)被預(yù)算文件忽略：CISA在2024年發(fā)布的《國(guó)家網(wǎng)絡(luò)事件響應(yīng)計(jì)劃》（NCIRP）修訂版，明確將"虛假信息"列為網(wǎng)絡(luò)攻擊的伴隨威脅，要求跨部門(mén)協(xié)調(diào)應(yīng)對(duì)。新預(yù)算的方向與該文件的戰(zhàn)略判斷直接矛盾。是計(jì)劃過(guò)時(shí)了，還是預(yù)算政治壓倒了技術(shù)判斷？

企業(yè)的適應(yīng)策略

對(duì)于依賴(lài)CISA服務(wù)的私營(yíng)企業(yè)，預(yù)算削減意味著重新評(píng)估風(fēng)險(xiǎn)模型。關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)商（能源、金融、通信、水務(wù)）過(guò)去可以通過(guò)CISA獲得免費(fèi)的漏洞掃描、事件響應(yīng)支援和合規(guī)指導(dǎo)。新架構(gòu)下，這些服務(wù)可能被"市場(chǎng)化"——CISA提供標(biāo)準(zhǔn)和工具，但執(zhí)行成本由企業(yè)承擔(dān)。

這種轉(zhuǎn)變對(duì)中小企業(yè)影響尤甚。一家區(qū)域性水務(wù)公司原本可以依賴(lài)CISA的"區(qū)域網(wǎng)絡(luò)安全顧問(wèn)"獲得定制化建議，如今可能需要購(gòu)買(mǎi)商業(yè)安全服務(wù)，或加入行業(yè)信息共享組織（ISAC）作為替代。但I(xiàn)SAC的覆蓋不均衡：金融 sector 的FS-ISAC成熟高效，水務(wù) sector 的WaterISAC則資源有限，且主要依賴(lài)會(huì)員費(fèi)驅(qū)動(dòng)。

大型科技企業(yè)的心態(tài)更為復(fù)雜。一方面，它們歡迎CISA退出"虛假信息"領(lǐng)域——這減少了與政府就內(nèi)容審核進(jìn)行協(xié)調(diào)的政治風(fēng)險(xiǎn)。另一方面，威脅情報(bào)共享機(jī)制的弱化，意味著它們需要投入更多資源自建監(jiān)測(cè)能力，或直接與競(jìng)爭(zhēng)對(duì)手交換情報(bào)（這在反壟斷環(huán)境下存在法律障礙）。

微軟和谷歌的近期動(dòng)作具有指標(biāo)意義。兩家公司都在2024-2025年擴(kuò)大了"政府事務(wù)"團(tuán)隊(duì)中的前CISA雇員招聘，同時(shí)削減了與CISA的聯(lián)合項(xiàng)目參與。這是一種"對(duì)沖"策略：既獲取被裁撤的政府人才，又降低對(duì)不穩(wěn)定政策環(huán)境的依賴(lài)。

最后的數(shù)字

7.07億美元，24%的預(yù)算削減，1100個(gè)崗位消失。這些數(shù)字背后是一個(gè)關(guān)于政府角色的根本問(wèn)題：在網(wǎng)絡(luò)威脅無(wú)差別襲擊公共和私營(yíng)部門(mén)的現(xiàn)實(shí)中，"聯(lián)邦核心職責(zé)"的邊界應(yīng)該畫(huà)在哪里？

DHS的預(yù)算文件提供了一個(gè)答案，但留下了更多空白。它說(shuō)選舉安全是州級(jí)事務(wù)，卻沒(méi)解釋州級(jí)能力不足時(shí)怎么辦；它說(shuō)虛假信息應(yīng)對(duì)可能越權(quán)，卻沒(méi)界定何種程度的威脅情報(bào)共享是"技術(shù)"而非"言論"；它承諾"自動(dòng)化和精簡(jiǎn)"，卻沒(méi)展示替代人際信任網(wǎng)絡(luò)的具體方案。

約翰·班貝內(nèi)克的警告懸在空中：當(dāng)國(guó)家級(jí)攻擊者下一次瞄準(zhǔn)美國(guó)社會(huì)的基礎(chǔ)設(shè)施時(shí)，被裁撤的1100人中，是否有人本可以阻止或減緩災(zāi)難？這個(gè)問(wèn)題沒(méi)有寫(xiě)進(jìn)預(yù)算說(shuō)明，但會(huì)在某個(gè)凌晨三點(diǎn)的安全運(yùn)營(yíng)中心（SOC）里，被值班分析師重新想起。

2600人的CISA將于2027年10月1日正式運(yùn)作。那時(shí)距離2028年大選還有13個(gè)月，距離某個(gè)尚未命名的重大網(wǎng)絡(luò)事件還有多久？