白宮砍掉CISA 7億美元：24%預算蒸發

一份預算文件正在華盛頓引發連鎖反應。美國網絡安全與基礎設施安全局（CISA）的年度撥款將從29億美元驟降至24億——精確數字是砍掉7.07億，幅度接近四分之一。更刺眼的是人員編制：3700個崗位縮到2600，1100人即將離開這個成立僅6年的年輕機構。

這不是簡單的節流，而是一次 mission 重定義。被削減的板塊包括選舉安全、虛假信息應對、外部協調，以及撥給州和地方選舉基礎設施的資金。剩下的14億美元被鎖死在"核心任務"上：保護聯邦民用系統、抵御國家級網絡威脅。換句話說，CISA要從一個"大家長"變回"自家保安"。

時間線：從擴權到收縮的六年

2018年11月，CISA正式成立。這個脫胎于國土安全部（DHS）下屬部門的機構，被賦予了前所未有的廣度：既管聯邦政府網絡的防火墻，也管選舉投票機的物理安全；既追蹤俄羅斯黑客的入侵痕跡，也監測社交媒體上的謠言傳播。它的定位很模糊——技術部門？情報協調中心？還是某種新型公共產品？

模糊帶來了擴張。到2024年，CISA的預算較成立初期已增長超過60%，員工數從2500人膨脹到3700人。它的觸角伸向了州選舉辦公室、地方水務公司、甚至中小學的網絡安全培訓。這種擴權在2020年大選期間達到頂峰：CISA主導了"謠言控制"（Rumor Control）網站，直接回應選舉欺詐指控，結果被卷入政治漩渦。

2025年1月，風向突變。新政府上臺后，CISA首任局長克里斯·克雷布斯（Chris Krebs）2018年設立的"外國虛假信息和操縱應對"（MDM）團隊被整體裁撤。該團隊曾因標記2020年選舉相關虛假信息而遭到保守派激烈批評。3月，DHS內部審查啟動，目標直指"職能重疊"和"過度擴張"。

4月7日，2027財年預算請求正式提交。7.07億美元的削減數字公開，同時披露的還有人員裁撤方案：國際協調、利益相關方對接、風險管理三個部門首當其沖，核心技術團隊受影響較小。DHS在說明文件中寫道："選舉安全應由州層面負責，聯邦政府的某些信息相關努力存在越權風險。"

被砍掉的三塊業務

選舉安全資金是第一個靶子。CISA此前向各州提供投票機安全檢測、選舉官員培訓、投票系統漏洞掃描等服務。2024年，這部分支出約1.5億美元。新預算將其歸零，理由是"州級事務"。但一個細節被批評者反復提及：2020年大選后，CISA正是因積極介入選舉安全而被指責"政治化"，如今徹底退出，反而坐實了這種工具化邏輯——業務存在與否，取決于誰掌權。

虛假信息應對是第二個。MDM團隊裁撤后，剩余的相關預算被清零。DHS的解釋很直接："打擊虛假信息的努力可能侵犯憲法第一修正案權利。"這呼應了保守派長期以來的指控——CISA與社交媒體平臺合作壓制特定政治言論。但技術層面有個尷尬事實：國家級網絡攻擊往往與信息操控配套出現，比如2016年民主黨郵件泄露后的定向放大。剝離這塊職能，意味著CISA只能看見"破門而入的黑客"，看不見"門外喊火的人"。

外部協調與利益相關方對接是第三個重災區。這塊業務包括與私營企業的威脅情報共享、對關鍵基礎設施運營商的合規指導、以及國際伙伴的聯合演練。預算文件顯示，相關崗位削減比例超過50%。DHS的替代方案是"自動化和精簡運營模式"——用平臺取代人際網絡，用標準流程取代定制化服務。

問題在于，網絡威脅的響應速度往往取決于信任關系建立的速度。一次勒索軟件攻擊中，企業是否愿意向政府開放內部日志，通常不取決于法律義務，而取決于有沒有一個打過交道、能直接撥通電話的CISA聯絡人。

保留下來的核心是什么

14億美元被明確標注為"網絡安全活動"資金。具體投向包括：聯邦民用網絡（.gov域名下的系統）的實時監測、端點檢測與響應（EDR）工具部署、以及針對國家級對手（主要是俄羅斯、中國、朝鮮、伊朗）的威脅追蹤。這部分預算實際上較2024年略有增長，增幅約3%。

技術層面的優先級也很清晰。預算文件強調"身份與訪問管理"（IAM）和"零信任架構"（ZTA）的加速落地——這是聯邦政府2021年行政令定下的方向，要求各機構逐步淘汰基于網絡邊界的傳統安全模型，轉向"永不信任、持續驗證"。CISA的角色是提供通用工具、制定基線標準、并監督合規進度。

人員結構隨之調整。保留的2600人中，約1800人集中在網絡安全司（Cybersecurity Division）和國家風險管理中心（National Risk Management Center）的技術崗位。被裁撤的1100人主要來自利益相關方參與司（Stakeholder Engagement Division）和國際事務辦公室。這種結構暗示了一種組織哲學：CISA應該像NSA（國家安全局）那樣專注技術能力，而非像FEMA（聯邦應急管理局）那樣扮演協調樞紐。

爭議：收縮是理性回歸還是戰略冒險

批評者的聲音在預算發布后24小時內集中涌現。約翰·班貝內克（John Bambenek）的表態最具代表性。這位Bambenek咨詢公司的總裁在給SiliconANGLE的郵件中寫道：「白宮似乎希望CISA只專注于保護聯邦政府的計算機系統，讓州政府、地方政府和私營行業自生自滅。在國家威脅加劇的當下，這意味著社會將獲得更少（或沒有）聯邦政府保護，以抵御敵對國家的攻擊。」

馬修·哈特曼（Matthew Hartman）的評論被原文截斷，但方向明確——這位Merlin集團的首席戰略官將7.07億美元的削減描述為"直線式"（straight）削減，暗示其缺乏精細設計。Merlin集團專注于網絡安全領域的投資，其立場傾向于認為政府投入是市場的重要補充，而非替代。

支持方的邏輯則圍繞"有限政府"展開。DHS的預算說明多次出現"核心責任"（core responsibilities）和"越權"（overreach）的表述，這是典型的保守派治理話語。其隱含前提是：網絡安全存在清晰的公私邊界，聯邦政府的角色應限于自身資產保護，而非構建覆蓋全社會的防護網。選舉安全的州級歸屬、虛假信息的平臺自治、關鍵基礎設施的企業自負，都是這一邏輯的延伸。

但這種邊界在現實中難以維持。2021年Colonial Pipeline勒索軟件事件是一個參照：私營管道運營商遭攻擊，導致東海岸燃油短缺，聯邦政府被迫介入協調。CISA的擴張正是源于此類事件的教訓——網絡攻擊的連鎖效應不承認組織邊界。如今收縮，是否意味著接受"各掃門前雪"的風險？

國際參照：其他國家的選擇

英國的國家級網絡安全中心（NCSC）提供了一個對比樣本。該機構隸屬于GCHQ（政府通信總部），人員約1000人，預算規模遠小于CISA，但職能高度聚焦：技術威脅情報、關鍵基礎設施指導、重大事件響應。它不涉足選舉管理或虛假信息，這些事務由選舉委員會和數字監管局分別處理。這種"小而專"的模式被部分美國保守派視為理想模板。

但NCSC的成立背景不同：英國沒有聯邦制下的州權張力，且GCHQ的信號情報能力為NCSC提供了底層技術支撐。CISA從未擁有類似的情報機構母體，其技術能力很大程度上依賴與NSA的合作——而這種合作在2020年因"監控爭議"受到限制。砍掉外部協調職能后，CISA能否維持足夠的技術輸入，是個未知數。

以色列的國家網絡局（INCD）則走向另一個極端。該機構人員不足500，但擁有跨部門的協調權，可直接調動國防軍8200部隊的技術資源。其模式是"小機構、大網絡"——通過制度化的協作機制彌補自身規模不足。CISA的新架構似乎反其道而行：強化內部技術團隊，削弱外部網絡建設。

三種模式，三種關于"國家在網絡空間角色"的答案。白宮的選擇，本質上是將CISA從"以色列模式"推向"英國模式"——但砍掉了協調權，卻沒有獲得GCHQ式的情報后盾。

被裁撤的人去哪里

1100人的安置問題尚未有明確方案。DHS提到"自愿離職激勵"和"內部轉崗"，但規模有限。更具諷刺意味的是人才流向：被CISA裁撤的選舉安全專家、風險管理顧問、國際協調官，恰恰是私營部門和安全公司最急需的 profile。微軟、谷歌、CrowdStrike、Mandiant 等機構過去五年持續從CISA挖角，看重的是其跨部門視野和政府關系網絡。

這種流失可能產生悖論效應。CISA削減外部協調職能的初衷是"提升效率"，但失去這些崗位后，其與私營部門的接口反而萎縮。企業遇到威脅時，能找到的對接窗口變少，最終可能被迫直接求助于FBI或NSA——而后者的介入方式往往更具強制性，且缺乏CISA式的技術支援屬性。

州和地方層面的替代方案同樣模糊。DHS聲稱選舉安全"應由州級負責"，但多數州的選舉辦公室預算不足百萬美元，且缺乏專職網絡安全人員。2024年，CISA向各州提供了約400名"選舉安全顧問"的嵌入式支持，新預算下這一數字將歸零。部分州可能轉向私營承包商，但成本和質量參差不齊；富裕州如加州、紐約或許能自建能力，貧困州則可能直接暴露于風險。

技術層面的連鎖反應

預算削減還影響到幾個具體的技術項目。"自動指標共享"（AIS）平臺的運營資金被削減40%，這是一個允許聯邦機構與私營企業實時交換網絡威脅情報的基礎設施。DHS的解釋是"轉向更高效的自動化工具"，但現有用戶擔心過渡期出現情報斷層。

"持續診斷與緩解"（CDM）項目的擴展計劃也被推遲。該項目為聯邦機構提供統一的資產盤點和漏洞管理能力，原定于2026年覆蓋全部CFO法案機構（共24個大型聯邦部門）。新預算下，時間表可能延后至2028年，意味著部分機構的"數字家底"將繼續處于模糊狀態。

更隱蔽的影響在于研發。CISA下屬的"網絡安全 Division"每年向大學、國家實驗室和初創企業撥付約8000萬美元的研究資金，用于探索量子安全加密、AI驅動的威脅檢測等前沿方向。這部分預算未被明確削減，但被重新歸類為"可競爭性資金"——意味著需要通過更嚴格的行政審查，實際到位率可能下降。

這些技術項目的收縮，與保留的"核心網絡安全"預算形成微妙張力。14億美元被承諾用于"保護聯邦系統"，但系統保護的有效性很大程度上依賴于威脅情報的時效性和覆蓋范圍——而情報網絡正在被 dismantle。

政治周期與機構記憶

CISA的歷史很短，但已經歷兩次劇烈的方向調整。2018年成立時，它被設計為2016年大選教訓的制度回應——需要一個跨部門機構來打破"情報機構知道威脅但不告訴公眾，國土安全部想幫忙但沒有技術能力"的僵局。2020-2024年的擴張，是對SolarWinds供應鏈攻擊、Colonial Pipeline事件、以及Log4j漏洞的連鎖反應。如今2025-2027年的收縮，則是新政府執政理念的投射。

這種擺動留下的是斷裂的機構記憶。被裁撤的MDM團隊積累了兩年的虛假信息分析方法論，選舉安全顧問網絡建立了與50個州選舉官員的私人信任關系，國際協調辦公室培育了與"五眼聯盟"以外伙伴（如愛沙尼亞、以色列）的雙邊渠道。這些資產難以被"精簡運營模式"替代，因為它們的本質是人際關系和反復磨合后的默契。

一個細節被預算文件忽略：CISA在2024年發布的《國家網絡事件響應計劃》（NCIRP）修訂版，明確將"虛假信息"列為網絡攻擊的伴隨威脅，要求跨部門協調應對。新預算的方向與該文件的戰略判斷直接矛盾。是計劃過時了，還是預算政治壓倒了技術判斷？

企業的適應策略

對于依賴CISA服務的私營企業，預算削減意味著重新評估風險模型。關鍵基礎設施運營商（能源、金融、通信、水務）過去可以通過CISA獲得免費的漏洞掃描、事件響應支援和合規指導。新架構下，這些服務可能被"市場化"——CISA提供標準和工具，但執行成本由企業承擔。

這種轉變對中小企業影響尤甚。一家區域性水務公司原本可以依賴CISA的"區域網絡安全顧問"獲得定制化建議，如今可能需要購買商業安全服務，或加入行業信息共享組織（ISAC）作為替代。但ISAC的覆蓋不均衡：金融 sector 的FS-ISAC成熟高效，水務 sector 的WaterISAC則資源有限，且主要依賴會員費驅動。

大型科技企業的心態更為復雜。一方面，它們歡迎CISA退出"虛假信息"領域——這減少了與政府就內容審核進行協調的政治風險。另一方面，威脅情報共享機制的弱化，意味著它們需要投入更多資源自建監測能力，或直接與競爭對手交換情報（這在反壟斷環境下存在法律障礙）。

微軟和谷歌的近期動作具有指標意義。兩家公司都在2024-2025年擴大了"政府事務"團隊中的前CISA雇員招聘，同時削減了與CISA的聯合項目參與。這是一種"對沖"策略：既獲取被裁撤的政府人才，又降低對不穩定政策環境的依賴。

最后的數字

7.07億美元，24%的預算削減，1100個崗位消失。這些數字背后是一個關于政府角色的根本問題：在網絡威脅無差別襲擊公共和私營部門的現實中，"聯邦核心職責"的邊界應該畫在哪里？

DHS的預算文件提供了一個答案，但留下了更多空白。它說選舉安全是州級事務，卻沒解釋州級能力不足時怎么辦；它說虛假信息應對可能越權，卻沒界定何種程度的威脅情報共享是"技術"而非"言論"；它承諾"自動化和精簡"，卻沒展示替代人際信任網絡的具體方案。

約翰·班貝內克的警告懸在空中：當國家級攻擊者下一次瞄準美國社會的基礎設施時，被裁撤的1100人中，是否有人本可以阻止或減緩災難？這個問題沒有寫進預算說明，但會在某個凌晨三點的安全運營中心（SOC）里，被值班分析師重新想起。

2600人的CISA將于2027年10月1日正式運作。那時距離2028年大選還有13個月，距離某個尚未命名的重大網絡事件還有多久？