2023年3月，美白宫发布新版《国家网络安全战略》；5月，国防部向国会提交了《美国防部网络战略》；7月，白宫发布《国家网络安全战略实施计划》；8月，纽约州发布首个《纽约州网络安全战略》（以下简称“州战略”）。美密集发布网络安全战略文件，强调在国家、联邦机构、州政府层面加强政策指导，以提升网络弹性、改善网络安全。大国竞争背景下，此举将加剧中美网络空间战略博弈，深刻影响全球网络安全形势和大国竞争格局。

政策发布背景

美国认为，世界正进入愈发依赖数字化的新阶段，使软件和系统变得更加复杂、更易受到网络攻击，这将引发更广泛的恶意网络行为，增加网络安全系统性风险。

新兴技术增加网络安全风险。随着新兴网络技术的快速发展，互联网、软件和系统正变得越来越复杂。通过互联网能将个人、企业、社区和国家连接起来，使国际交流规模得以扩大。全球互联为美国企业和消费者创造价值的同时，也增加了关键系统的网络安全风险。原本对一个组织、行业或国家的网络攻击可以迅速蔓延到其他行业和地区，如俄罗斯2020年对乌克兰发动的网络攻击蔓延到美国，造成了数亿美元的损失。

恶意网络活动持续扩散。近年来，美国频发网络攻击事件，包括“太阳风”供应链攻击事件、“科洛尼尔输油管”攻击事件等。叠加乌克兰危机导致网络攻击风险进一步外溢，使美国政府办公系统、关键基础设施面临更多网络安全威胁。以往，外国攻击性黑客工具和服务仅由少数国家掌握，但如今已能广泛获取，使网络犯罪集团的威胁不断增加。

协调机制存在障碍。美国政府认为，当前终端用户承担了太多缓解网络风险的负担。个人、小企业、州政府和地方政府以及基础设施运营商的资源有限，且各种优先事项相互干扰，对维护国家网络安全造成隐患。美国整体网络弹性不能依赖于最小的组织机构，应要求能力最强、占位最优的行为体在确保数字生态系统的安全和弹性方面承担更多责任。

政策體系构成

美网络安全政策体系包括国家、联邦机构、州政府等层面。国家层面包括美白宫《国家网络安全战略》《国家网络安全战略实施计划》，联邦机构层面包括《美国防部网络战略》，州政府层面包括《纽约州网络安全战略》等。

国家层面：《国家网络安全战略》。2023年3月，美白宫发布新版《国家网络安全战略》（以下简称“国家战略”）。国家战略明确了网络安全战略支柱，统筹安排了国家层面的重点任务。一是加强关键基础设施网络防御。制定网络安全要求，扩大公私合作范围，整合联邦网络安全中心，优化事件响应流程，以提升网络防御现代化水平。二是打击网络威胁行为。整合政府能力，加强公私协作，实现情报共享和威胁检测，防止对手滥用基础设施，以打击网络犯罪。三是塑造市场力量。基于联邦采办制度强化问责，要求数据管理者、软件供应商承担安全责任，探索网络安全保险新方式，以提高网络弹性。四是投资未来弹性网络。制定网络空间人才政策，关注互联网、后量子、清洁能源领域网络安全，重振网络技术研发。五是构建国际伙伴关系。