美国对华网络安全战略转向与漏洞攻防体系升级：演进、动向与启示

文 | 中国信息安全测评中心 杨诗雨

自2025年特朗普第二次入主白宫以来，美国对华网络安全战略呈现出系统性、制度化重大转向，以“中国构成最活跃和最持久的网络威胁”为根本定位，围绕网络安全漏洞这一网络空间核心要素和重要战略资源展开全方位威胁叙事与行动部署。在政策层面，通过行政命令与立法倡议，填补漏洞治理技术空白、提升网络安全治理实效性；在组织层面，通过调整财政预算和重组网络安全机构，升级网络攻防作战力量、强化网络安全能力攻击性；在战术层面，通过整合科技巨头技术实力以及深化政府与私营部门合作，打造国家漏洞资源优势、推动对华网络部署针对性。据此，美国构建了一套多维度、体系化的国家网络攻击体系。

一、漏洞叙事

美国对华网络安全威胁叙事的构建，是一个与其对华战略认知升级同步推进且联合国际盟友协同塑造的系统性工程，通常始于对所谓“中国攻击意图”的预设立场，进而选取特定网络漏洞事件作为叙事载体，通过动员“五眼联盟”及其亚太盟友在漏洞溯源、情报共享与舆论引导上的协同配合，将预设立场包装为“国际共识”，最终完成对所谓的“中国威胁”的战略定论，为后续行动部署奠定基础。

（一）战略认知演进

美国网络安全战略演进与其对华政策调整始终紧密相连，随着不同历史时期美国政府战略需求和战略目标的演变，民主党与共和党对华政策逐步趋同与固化，并成为美国跨越政府更迭的持续性国策，对华战略定位日趋严峻，竞争强度逐级攀升。2025年，特朗普上台后将中国认定为美国在网络空间“最活跃和最持久的网络威胁”。美国两党在对华强硬立场上达成的高度共识，为更具攻击性的“全政府、全社会、全方位”应对中国政策铺平了道路。

20世纪80年代以来，美国对华网络安全战略基本思路为“接触”。2015年，奥巴马政府在《国防部网络战略》中首次把中国公开界定为“网络空间潜在对手”，并在2016年《国务院国际网络空间战略》中重点关注中国，美国对华威胁认知逐渐从潜在性风险转向确定性挑战。2017年，特朗普第一次上台执政后，在《国家网络空间战略》中正式将中国界定为“国家安全和网络安全的主要对手”，并首次将中国优先顺序置于俄罗斯之前，美国对华网络安全战略定位出现根本性转折，开启对华战略竞争时代。拜登政府时期，将中国进一步强化为美国“步步紧逼的挑战”，并在2023年《国家网络安全战略》中界定中国是“唯一有意图且具备经济、军事、技术和外交能力来重塑国际秩序的竞争对手”。2025年，特朗普重返白宫后，在《情报共同体年度威胁评估报告》中表示“中国最有能力威胁美国全球利益”，从军事、网络、经济、技术等8个方面分析了中国可能对美国构成的严峻挑战，并在总统行政令中强调了中国主要战略竞争对手的优先地位。

美国对华网络安全战略转向强硬，将中国塑造为一个持久且强大的“外部威胁”，并且在两党政府轮换中展现出高度连贯性，根本源头在于转移网络安全治理体系内部矛盾和结构性短板，并为持续扩张进攻性网络能力提供合法性。一是全面治理的协同困境。美国共和党与民主党、政府与国会，以及联邦与州和地方政府等，存在广泛的价值理念和利益分配斗争，尤其是在不同政党总统领导下，出现了较为频繁的网络安全机构撤销、合并以及职能部门增设等情况，制度内耗和部门纷争导致了经常性网络安全治理“失灵”；二是战略与实施的转化困境。两党在对华网络安全战略的制定和实施过程中共识与分歧并存，战略取向上是坚持“攻防兼备”还是追求“进攻优先”，执行准则上是强调“过程合规”还是注重“结果导向”，技术路线上是确保新技术“自身安全”还是利用新技术“赋能安全”，政策随政府更迭剧烈摇摆导致资源浪费与公信受损；三是公私合作的立场困境。美国利用行政和司法手段推动网络信息公私共享走向强制模式，但公私间在目标追求、价值理念、责任归属、技术私有化等方面仍存在内在冲突，导致公私合作时存在较大被动性，进而削弱了网络安全治理体系的基础和中坚力量。

（二）威胁叙事演进

美国对华网络安全威胁叙事，以特定网络漏洞攻击事件为策源，以攻击意图和攻击技术为路径，对内联动政府、企业、媒体等利益相关方形成“国内叙事联盟”，对外拉拢加拿大、澳大利亚、新西兰、英国、日本、韩国等国家构建“国际舆论同盟”，体系化加强对华网络安全虚假信息构造与国际威胁形象构建，强化对华战略围堵。

在国内层面，收割公众流量的媒体机构、追求财政预算的美国官僚体系和争取政府订单的军工复合企业形成了高度协同的利益联盟，在缺乏确凿证据的情况下，建立了体系化、相呼应的对华网络安全威胁指控。在国际层面，美国情报机构与“五眼联盟”国家紧密联动，并通过2024年北约《华盛顿峰会宣言》加强与日本、韩国在网络安全和虚假信息方面的合作，通过扩大国际联盟、强化多边协同的方式推动美国将深度伪造的“证据”塑造为国际社会认可的“既定事实”。近几年，美国联合国内外20余家情报与安全机构陆续炮制了7份对华联合网络安全咨询报告（CSA），将无国家背景支撑的网络攻击事件伪造为具有中国背景，将中国塑造为一个进行大规模监控、实施网络攻击并暗中培养黑客力量的国家，不但“在美国关键基础设施中内置后门工具、监控美国重要网络”，还“利用零日漏洞攻击国防工业基础机构”，甚至“豢养网络行为体以日本为跳板攻击日本和美国的相关企业”，美国以此呼吁国际合作伙伴“加强合作以检测威胁特征，并清除这些网络行为体”。

以“伏特台风”（Volt Typhoon）网络攻击事件为例，《纽约时报》等媒体在事件发生的第一时间争相报道，渲染中国网络攻击能力并指控为背后主使；时任共和党参议员詹姆斯·戴维·万斯（J.D. Vance）迅速发布公开声明、提交联名信，进一步强调中国网络攻击能力和毁灭性影响；微软等科技公司发布研究报告并在听证会上提供证词，对相关漏洞进行技术溯源，并将事件归因为“总部位于中国的国家支持的行为者”；“五眼联盟”成员发布联合网络安全公告，指控中国政府利用漏洞持续渗透并控制美国和其盟国的关键基础设施系统进行间谍行动；作为“台风”系列故事的延续，美国在近期炒作的“盐台风”（Salt Typhoon）报告中，进一步拉拢了捷克、芬兰、德国、意大利、日本、荷兰、波兰和西班牙等国网络安全机构共同背书。“台风”系列故事是美国《情报共同体年度威胁评估报告》中评估所谓的“中国威胁”的重要“论据”，并以此为基础，推动了对华网络安全威胁叙事的联盟化和北约亚太化，刻意营造了中美阵营网络安全对抗局面并大肆渲染“中国威胁论”，通过贬损抹黑中国国际形象，压缩中国在全球网络安全重大议题发展空间，进而转移国内治理矛盾、捆绑国际盟友及巩固网络霸权，破坏全球网络空间安全和稳定。

二、行动部署

目前，美国对华网络安全行动部署已形成体系化战略架构：战略目标上，将应对所谓“中国网络威胁”确立为核心优先事项；体制机制上，拓展地方政府网络自治权，推动漏洞威胁治理降本增效；资源配置上，加强网络攻击能力建设，强化印太地区军事力量和合作伙伴部署；技术路径上，聚焦人工智能前沿领域，强化国内共享和国际引领；组织架构上，深化机构权力忠诚导向，提升公私机构战略执行力与协同合作活力；战术战法上，巩固国家漏洞库战略优势，强化漏洞资源管控和网络行动能力外包，通过政策、组织和战术调整，全面赋能网络进攻能力建设，推动网络安全和漏洞攻防体系范式改革。

（一）政策新动向

2025年，美国通过系列行政命令重塑资源分配与技术路线，推动网络安全政策从“全面防御”转向“精准防御”，为网络资源向进攻端战略性倾斜奠定基础。截至2025年10月21日，特朗普第二任期共签署了210项行政命令、54份备忘录和103份公告文件。其中，网络技术相关行政令合计20项，网络安全相关行政令有3项，分别是《持续强化国家网络安全并修订13694号行政令和14144号行政令》《消除美国人工智能领导力障碍行政令》和《提升州和地方政府效率行政令》。

以上三项行政令在明确“中国网络威胁”优先事项的基础上，确立了网络安全资源配置、技术应用和治理价值等三重导向，赋能网络攻击能力建设：一是重新确定美国网络安全工作优先事项，即“抵御中国等针对美国的网络活动”；二是重新定义美国网络安全制裁范围，明确将应受经济制裁的犯罪行为者从“任何人”限制为“任何外国人”，强化针对外国网络活动的经济制裁，减少国内政治滥用；三是重新定位美国人工智能网络安全工作重点，致力于识别、发现、研究漏洞，填补当前美国漏洞治理在前沿技术领域的关键空白。建立人工智能威胁情报共享机制及适用于人工智能场景的事件响应计划，成立由国土安全部领导的人工智能信息共享与分析中心（AI-ISAC）。促进关键基础设施部门之间、联邦机构与私营部门之间的人工智能威胁信息共享和应急响应，增强整体威胁应对能力，并强化前沿技术漏洞的国际引领；四是重新构建网络安全防御权责关系，推出美国国家复原力战略，创建国家风险登记册机制，将联邦政府应对网络攻击等威胁事件的决策权下放至州和地方政府。将国家网络安全应急响应机制从试图应对所有可能危害的“全面治理”，优化为针对最可能发生的、特定的、高优先级风险的“风险导向”型策略；五是重新制定政府承包商审查要求，降低政府承包商安全软件开发实践合规性要求，完全取消用于打击网络犯罪和欺诈的数字身份认证要求，推动美国国家标准与技术研究院（NIST）组建公私联盟，提升私营部门网络行动能力和灵活性，推动施政重心从“过程合规”升级至“结果导向”。

（二）组织新动向

为巩固网络安全政策执行基础、消除网络安全战略落实障碍，特朗普在网络安全领域进行了组织全面改革，通过财政预算、机构重组和权力调整，提升美国针对性网络攻击能力、优化网络安全组织职能、提高联邦机构政府忠诚度。

在财政预算方面，调整网络安全整体预算和攻防两端预算是贯彻行政令优先事项的重要内容之一。根据美国白宫签署的《大美丽法案（OBBA）》和参议院审议通过的《2026财年国防授权法案（NDAA 2026）》，2026财年美国预计支出1万亿美元支持国防和国家安全优先事项，以强化网络进攻能力为关键支柱，两党在加速军事现代化、以应对与主要竞争对手潜在冲突这一根本需求上达成高度共识。地缘战略上，明确以印太地区为中心，通过对中国的综合威慑与强化联盟网络来对抗日益增长的影响力，包括加强前沿军事部署、深化与日本、菲律宾等伙伴的安全合作等。能力建设上，通过加大对人工智能网络工具、漏洞利用及进攻性网络武器的研发投入，将技术优势转化为非对称作战能力，旨在确保美军能够在冲突中穿透对手网络、破坏关键系统，从而构建可信且强大的网络威慑体系。资源配置上，削减约12亿美元的民用防御性网络安全预算，全面推动美国网络安全资源从全面防护转向主动进攻。

在机构重组方面，改革网络安全和基础设施安全局（CISA）是实施特朗普五个网络安全关键优先事项之一。CISA作为美国网络安全治理核心机构，依据特朗普签署的《2018年网络安全和基础设施安全局法案》成立，旨在整合并强化国家网络与关键基础设施安全防护能力；拜登政府时期，CISA网络安全生态治理使命职责大幅强化，特别是在漏洞治理领域构建了政策、资金、人才等全面系统性能力体系。2025年特朗普再次上任，CISA战略重心从“全面防御与强制合规”转向“职能收缩与资源重构”，职能定位更专注于应对地缘政治对手的关键基础设施防护，经历了“手术刀”式的政治审查和资源重组，包括解散所有网络安全咨询委员会（CSRB）、开展大规模裁员以及将网络安全专业人员强制调岗至移民执法等非相关领域，仅保留部分核心网络防御功能，剥离了选举安全、合作伙伴协调等敏感职能部门。CISA的机构震荡，导致全球网络安全基础设施、通用漏洞披露平台（CVE）项目资金几经“断供”，美国国家漏洞库（NVD）更新经常性滞后。CISA重组是特朗普政治清算的一部分，也是其“小政府”实践的重要内容，为后续进一步削减预算、推动职能向私营部门外包提供了基础。

在权力调整方面，依据忠诚度布局情报机构关键岗位是强化总统对国家安全与网络安全事务影响力的重要手段之一。特朗普强调“忠诚至上”，任命一批政治亲信执掌中央情报局、国家情报总监办公室等核心部门，对原国家安全局（NSA）局长蒂莫西·豪（Timothy Haugh）及其团队进行政治清洗，系统性撤换前任政府情报官员，并创设“局长倡议小组”（DIG）作为直接对总统负责的新机构。情报机构的人事任免和情报力量的统合调整，或将影响《漏洞公平裁决程序（VEP）》等跨部门协调机制的落实。VEP是美国政府通过购买等途径获取到漏洞后，用于判断是向公众披露漏洞以加强集体防御，还是将其保留用于进攻性网络行动的程序。此前，美国网络安全漏洞处置工作维持着CISA与NSA双轨并行的运作模式，CISA依据《漏洞披露计划（VDP）》进行漏洞威胁消控，NSA依据VEP进行漏洞军情使用。随着机构职能和人事调整，在政府能够有效掌控参与VEP的各情报机构立场时，VEP可能进一步转变为服务于单一进攻议程的“程序武器”。

（三）战术新动向

在政策立法导向与政府机构改革的双重驱动下，美国逐步建立起以漏洞为核心、公私合作为路径的网络空间战略体系。近五年，微软与谷歌两家企业在漏洞赏金计划上的累计投入已超过10亿元。值得关注的是，美国政府于2025年8月15日提出为私营部门申请“网络攻击授权”的立法提案，随后科技巨头相继采取实质性举措：微软公司于8月21日终止部分中国机构的漏洞披露合作计划；谷歌则于8月27日宣布组建网络安全特聘专家团队。9月10日，CISA发布国家漏洞库“战略升级计划”，一方面，联合私营部门对华“削盾铸矛”；另一方面，强化美国国家漏洞库战略、资源和生态价值，进而巩固美国在漏洞治理领域的全球领导地位。

对华“漏洞断供”，美国精心策划多年。微软将“SharePoint网络攻击事件”归因于中国，并修改其主动保护计划（MAPP）规则，限制中国安全企业获取漏洞信息，中国现网使用微软产品的系统防御窗口期从“黄金72小时”转变为“补丁发布当日”。对华“漏洞断供”是美国蓄谋已久的战略性手段。2013年，美国主导《瓦森纳协定》修订工作，与41个成员国联合进行“入侵软件”出口管制；2015年，美国商务部在《出口管理条例》中首次试图限制“漏洞出口”，遭到微软、谷歌等社会各界强烈反对，300多条意见一致认为这将对合法跨境网络安全工作带来“毁灭性”影响，并抑制国际网络安全研究发展；2017年，美国政府在《瓦森纳协定》中进行了暂时性妥协，明确出口限制不影响“漏洞披露”和“网络安全事件响应”工作；其后酝酿五年在《出口管理条例》中落实了“网络安全物项”管控，对中国政府和企业“图穷匕见”。如今，微软在“漏洞披露”中“拉黑”中国企业，实现关键漏洞对华“出口限制”，向美国政府递交“投名状”，通过捆绑商业技术和政治立场，剥夺中国话语权，将美国科技巨头的全球市场支配地位转化为排他性战略工具，实现对华科技领域进一步技术收紧和脱钩，意在降低我国网络安全防护能力，迫使我国在网络攻击面前从“预判布防”倒退至“亡羊补牢”的被动境地，使政企机构暴露在“看不见、防不住”的系统性风险之下，瓦解全球网络安全协同防线。

组建“网络佣兵”，从幕后走到台前。谷歌高调成立“网络破坏部队”，探索通过“合法且合乎伦理的网络破坏手段”跨境反击黑客，同时，美国正在推动的《2025年网络犯罪标记和报复授权法案》（HR 4988）将赋予这种行动以合法性。国家网络能力外包是美国长期坚持的战术性安排。“棱镜计划”以来，美国私营部门披着“国家安全例外”的隐秘外衣，主要通过私下提供数据、秘密预留后门等方式在幕后配合情报机构工作。当前，美国财政预算推行进攻主义，科技巨头为迎合政治正确、争取政策倾斜、获得政府订单，不惜牺牲技术中立性，将技术推向政治化和武器化，从技术供应商向“网攻雇佣兵”转变，科技巨头的顶级技术能力与资本逐利本性相结合将导致更激进、更频繁的攻击。这场由国家意志背书、由财政预算驱动的战略性转轨，表明美国网络进攻行动即将从情报机构幕后协作，升级为私营公司在法律授权下的台前亮相，从“暗战”模式升级为公开化、合法化、联盟化的“明争”格局。若该立法提案正式授权，通过国家财政预算与专项拨款进行网络安全资源战略性调配，推动国家级网络行动能力“外包”，在规避传统军事行动可能的法律与道德约束的情况下，更灵活、更隐蔽地在全球网络空间开展行动，尤其是印太地区等战略焦点区域，可能对我国构成持续且难以归因的“灰色地带”挑战，私营机构亦可凭借此“尚方宝剑”，以反击网络犯罪的“合法商业活动”之名，行跨境入侵、破坏他国网络系统之实，进而触发不可控的报复循环，产生侵蚀全球信任的负面效应，推高国家之间冲突的风险与烈度。

构建“漏洞优势”，依托国家漏洞库。一是强化国家漏洞库战略价值，美国全球漏洞治理领先地位，以科技先发优势为基础，以“CVE+NVD”协同生态模式巩固和强化，其中CVE作为漏洞字典库，是“关键性全球网络防御框架和全球网络防御基石”，主要用于标识漏洞，NVD作为漏洞资源库，是对CVE信息的扩充，主要用于评估漏洞威胁影响。2025年9月，CISA发布了《战略重点：面向网络安全未来的CVE质量提升路线图》，明确将漏洞治理理念从追求规模的“增长时代”全面转向注重实效的“质量时代”，通过提升“CVE+NVD”功能性以提升全球漏洞治理战略优势。二是强化国家漏洞库资源价值，2024年，CISA推出“漏洞数据丰富”（Vulnrichment）机制，旨在进一步提升NVD漏洞数据的应用价值，能够利用“漏洞利用预测评分系统（EPSS）”计算漏洞在野利用可能性，进而提升修复与应急响应的优先级和漏洞处置效率。2025年，CISA进一步推出“漏洞利用可能性”（LEV）计算模型，在EPSS的基础上能够更加精准地判断漏洞的威胁等级和利用价值，为进攻性漏洞利用提供决策依据。三是强化国家漏洞库生态价值，目前CISA依托“CVE编号管理机构”（CNA）计划，与40个国家484个漏洞赏金供应商、产品厂商、开源组织、计算机应急响应小组等建立了漏洞合作。其在计划中强调，将深化与国际组织、各国政府、学术界、漏洞工具提供商、数据消费者、安全研究人员及开源社区等的多方合作，突出美国无冲突、供应商中立、公开透明且负责任的全球合作形象和治理中心地位，推动构建覆盖全球的漏洞治理生态系统。

三、分析启示

当前，大国博弈的时代背景下，美国对华网络安全战略和行动愈发强硬。其通过政策指引、财政支持、组织调整以及公私合作等多方面改革布局，充分发挥国家漏洞平台战略资源优势，持续强化人工智能技术赋能攻防应用，着力构建一支涵盖政府机构与私营部门、在政治立场与行动导向上对总统保持高度忠诚的网络进攻力量，在加剧网络空间阵营对立的同时，对全球网络空间整体安全与稳定构成了严重威胁。我国应贯彻落实习近平总书记关于网络强国的重要思想，以总体国家安全观为指引，坚持统筹发展和安全，坚持系统思维和底线思维，精准识别并有效管控美方系统性战略围堵所带来的各类衍生风险，客观研判并积极借鉴并其在网络安全生态治理、漏洞管控、公私协作等领域的经验与方法，建立和完善具有中国特色、符合中国实际的网络安全治理体系，加速推动我国网络安全治理体系和能力现代化。

（一）积极构建网络空间命运共同体

积极打造国际网络治理对话平台，在网络安全领域践行全球发展倡议、全球安全倡议、全球文明倡议和全球治理倡议，深化网络安全国际合作，加强网络安全开放互信，凝聚协同治理理念共识，共同构建多边、公正、合理的全球网络安全治理体系，共同维护网络空间安全发展。

积极构建国际网络安全宣传矩阵，在网络安全领域共同倡导弘扬全人类共同价值，通过多层次、宽领域的对话机制深化互动理解，讲好中国故事、贡献中国方案，吸纳政产学研用多元主体参与共建，畅通并规范多元主体的诉求表达、利益协调、权益保障机制,形成休戚与共的网络安全利益共同体。

积极落实网络安全领域信任措施，构建均衡、有效、可持续的安全架构，建立常态化网络安全合作磋商机制、威胁信息共享与通报机制、关键信息基础设施防护互认机制等，推动形成责任共担、风险共控、成果共享的信任网络，增强网络空间行为规范的协调性与一致性，夯实国际网络互信机制建设。

（二）积极建设国家网络安全治理生态

积极完善国家网络安全顶层设计，建立以落实网络安全防御责任为主导的战略、政策、法律和标准体系，重点抓好国产基础软硬件产品漏洞分析和预警消控工作，为网络安全信息公私共享消除法律障碍，推动政府和私营机构在网络防御、应急响应、威胁共享等方面的实质性合作，筑牢网络安全防护屏障。

积极开展网络空间安全防御演练，强化网络空间的技术溯源与纵深防御能力，实现对攻击路径的精准还原和源头定位，落实关键漏洞威胁防御措施，优化网络安全资源配置策略，提高网络防御体系的监测预警、应急响应和快速恢复能力，形成统一协调的联防联控格局，全面提升应对网络攻击的遏制与反制水平。

积极争取关键技术国际话语权，推进关键核心技术攻关，突破网络安全技术壁垒，加强新兴技术领域基础研究、标准研制、成果转化和激励奖励，利用市场机制整合创新主体资源和力量，推动对新兴技术国际规则的前瞻研究、早期参与、认知同步和体系制定，以标准化工作引领科技创新、提升国际认可度。

（三）积极发展国家网络漏洞治理平台

积极促进国家漏洞库高质量发展，加快国家信息安全漏洞库（CNNVD）等国家级平台创新发展，打造国家漏洞资源等重要战略资源大循环体系，统筹推进漏洞威胁治理体系能力建设，深度整合产学研用优势资源力量，持续强化漏洞全生命周期闭环管控，全面提升我国漏洞治理体系的产业基础能力与可持续发展水平。

积极打造网络漏洞产业联盟新模式，探索网络安全漏洞治理工作理念、体制机制、技术资源融合发展新路径，推动组建跨行业漏洞共享与协同创新研究平台，制定统一的技术标准与协作流程，形成以国家级平台为枢纽、龙头企业为节点、中小微企业广泛参与的产融结合创新网络，以制度创新、技术赋能与生态优化为核心支柱，高效护航新质生产力发展。

积极引育留用网络安全高精尖人才，以系统观念统筹谋划网络安全人才储备，丰富网络安全人才激励要素，以物质和精神奖励相结合的方式汇聚资源、凝聚人才，拓宽渠道，探索构建网络安全人才寻找招募、培养选拔和录用管理体系，激发网络安全领域中坚力量，积极主动支撑和服务国家网络安全工作，打造富有活力和凝聚力的网络安全人才队伍。

（本文刊登于《中国信息安全》杂志2025年第11期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。