2026年3月6日，白宫发布特朗普第二任期首份国家级网络战略文件《特朗普总统的美国网络战略》（President Trump's Cyber Strategy for America），这是美国自2023年拜登政府发布《国家网络安全战略》以来，在网络安全领域的最新宏观战略表态。

这份仅七页的公开版网络战略文件围绕六大支柱展开：塑造对手行为、推动常识性监管、现代化联邦政府网络、保护关键基础设施、维持关键与新兴技术优势、建设网络人才与能力。从覆盖议题来看，这份文件触及当前网络安全治理的关键命题，涵盖“进攻性网络行动”、人工智能（AI）安全部署、“后量子密码学”、加密货币生态保护、网络空间供应链“去风险”以及网络人才储备等事项。在基调上，这份文件与此前美国历届网络战略不同的是，其进攻性姿态非常鲜明，且列出三项具体的军事与执法行动作为能力背书；对于网络监管工具，其态度则从拜登时期的“强化强制”转向“精简松绑”。

然而，在战略文本的雄心与现实政策实践之间，存在亟需深入审视的张力。战略文件发布的时间点恰处于美以联合打击伊朗后一周，且网络安全与基础设施安全局（CISA）因政府停摆而仅以三成多人员运转之际，对这份轻薄的战略写下意味深长的现实注脚。除“伊朗问题”暴露困境外，战略文件的“六大支柱”间还存在更多内在矛盾。

这份网络战略的发布时机本身就是一个值得解读的政策信号。就在一周前（2月28日），美以联手发动代号“史诗怒火”（Operation Epic Fury）的大规模对伊军事打击。战略文本随即将“支持一项横跨全球的行动以摧毁伊朗核基础设施”列为美国网络进攻能力的核心背书。这是美国官方首次在战略文件中将网络行动与特定军事行动如此直白地挂钩，其宣示意图明确：向对手证明美国的网络武库不是纸面能力，而是已经投入实战并取得战果的作战工具。

然而，伊方的反应恰恰构成了对这一“进攻性威慑”逻辑的实时压力测试。遭受打击后数小时内，伊朗即启动多域报复行动，网络空间是其中的关键战场。美国国土安全部（DHS）随即发布警告，称对伊打击“增加了威胁美国本土的可能性，包括网络攻击、暴力行为和仇恨犯罪”。事态的发展印证了这一判断：据称与伊朗情报部（MOIS）有关的黑客组织MuddyWater早在2月初即已渗透美国多家银行、机场和非营利机构网络，部署了兼具情报收集与基础设施破坏潜能的“Dindoor”后门程序；亲伊朗黑客组织联盟“网络伊斯兰抵抗力量”（Cyber Islamic Resistance）则宣布发起以美以为目标的联合网络行动，手段涵盖分布式拒绝服务攻击、数据清除和舆论操纵。

伊朗及亲伊势力的反击，揭示了这份战略的一个深层困境：在网络空间，进攻行动作为信号传递手段天然存在被误读的风险。同一次打击，攻击方视为“威慑警告”，对手却完全可能解读为“升级挑衅”，而攻击方几乎无法控制对手的解读方式。伊方的反应清楚地表明，后一种解读正在主导伊方决策。

在进攻端，随着常规军事能力在打击中被削弱，网络攻击作为低成本、难追溯且能制造超常规干扰的非对称手段，对伊朗方面的战略吸引力不降反升。这意味着美方进攻行动非但未能“塑造对手行为”使其收敛（这恰恰是支柱一核心目标），反而可能加速了伊朗向网络域转移报复重心的进程。而在防御端，承担关键基础设施保护职能的美国网络安全和基础设施安全局（CISA）正处于严重的能力收缩状态，这与战略文本中“美国网络力量无与伦比”的信心宣示形成了尖锐的反差。

伊朗问题只揭开了这份网络战略文件内生矛盾的冰山一角，事实证明，战略文件列出的六大支柱之间的矛盾之处还涵盖战略方向、原则实施、国内外规则等方面，下文将对此进一步展开。

战略文件“六大支柱”各自言之成理，但放入同期政策实践的坐标系中加以审视，不难发现其互相踩脚拆台的内在矛盾，这是特朗普政府试图同时贯彻进攻优先思路、兑现去监管承诺、护持技术优势并回应产业利益诉求时必然产生的张力。

一是“去监管”与“基础设施保护”相互拆台。支柱二将网络安全合规要求贬为“昂贵的清单”，承诺“精简数据和网络安全法规”以赋予私营部门“必要的敏捷性”。支柱四则要求“识别、优先排序并加固”美国关键基础设施及其供应链。二者在抽象层面似乎并行不悖。但在执行层面，强化网络安全基础设施所依赖的法律工具正被特朗普2.0政府系统性拆除。

2025年6月，特朗普政府发布第14306号行政令撤销了联邦承包商的软件安全声明要求，美国证券交易委员会（SEC）同月也撤回两项网络安全拟议规则；覆盖30万实体的《关键基础设施网络事件报告法》（CIRCIA）强制事件报告最终规则被推迟至2026年5月，距立法通过已逾四年；2015年《网络安全信息共享法案》一度到期两个月，企业间威胁共享的反垄断安全港保护在此期间全部失效。“自愿合规模式”在应对所谓“敌手国家”威胁时防护效力严重不足，而拜登时期正是基于这一判断提出的强制电信安全规则。网络安全基础设施保护离不开“强制性事件”报告、安全标准合规、信息共享法律授权，而这恰恰是特朗普2.0去监管议程的开刀对象，也折射特朗普团队内部“网络安全鹰派”与“去监管派”之间的碰撞。

二是“进攻优先”的网络安全原则侵蚀防御人才储备。支柱六称网络人才是“战略资产”、“值得巨大投资”。但特朗普政府已经着手缩减网络安全和基础设施安全局的资金与人员，且该部门整个第二任期均由频繁更替的代理局长领导。可见，特朗普团队将网络安全理解为“力量投射”的进攻性问题而不是“系统韧性”的防御性问题。同时，投资国家安全局和网络司令部主导的进攻能力比投资CISA主导的网络安全防御生态更符合宣示性政治逻辑，因为“进攻”的宣传成果更具备吸睛效应，而“防御”的价值只能体现在未知的应急管理时刻。

然而，特朗普政府抢抓网络安全进攻能力建设所需人才，却挤占了网络防御人才储备库。当防御平台被系统性削弱，进攻侧获得的资源优势并不能转化为整体安全改善。隶属于“民主防卫基金会”智库的美国“网络空间日光浴室委员会”（Cyberspace Solarium Commission）2025年度报告显示，其追踪的网络安全建议实施率从48%下降至35%，这是五年来首次出现倒退。

三是技术安全战略与实际政策脱节。支柱五要求“确保AI技术栈安全”、“保护知识产权优势”。但2025年12月特朗普政府又突然允许英伟达在附加25%关税条件下对华出口H200芯片，其性能约为拜登管制下特供芯片H20的六倍，直接扭转三轮出口管制升级的态势。DeepSeek以约560万美元训练成本匹配顶尖美国模型的事实，则从另一方向催生“稀缺催生技术创新、封锁加速算法训练”这一出口管制政策迷思。

同时，战略文件在加密货币领域同样存在矛盾，其首次承诺“支持加密货币安全”的同时，特朗普政府司法部却于2025年4月解散了加密货币执法部门，美国证券交易委员会也撤销对Coinbase等主要交易所的执法行动。支柱一承诺“铲除犯罪基础设施”的同时执法工具被系统性削弱，二者之间的张力不言自明。

四是“释放私营部门”的国际法张力。支柱一提出“释放私营部门，创造激励以识别和瓦解对手网络”。此前历届美国网络战略的公私合作均限于防御领域，2026版首次将私营部门定位为进攻性行动的参与者。对此，彭博社报道称业界已在探讨这一规则的法律红线，例如美国加州的一家网络安全公司CrowdStrike高管警告称，无组织无纪律的私人实体反击“将产生大量意想不到的后果”。

同时，支柱一的这一表述也与美国参与联合国既定网络规范存在直接冲突。2019年《关于网络空间促进实施负责任的国家行为》的政府专家组报告第13(c)条要求“国家不得允许其领土被用于网络不法行为”，2021年版报告进一步重申国家不得利用代理人实施不法行为。此外，根据国际法委员会（ILC）《国家责任条款》第8条，“创造激励”所暗示的国家引导可能使私企行为在法律上归属于国家，但相关激励机制、法律框架和规则却处于空白缺失。

五是AI加速部署与治理真空。战略承诺“快速采用和推广自主AI（agentic AI）”用于网络防御和破坏。这是美国国家级网络战略中首次出现这一术语并做出明确的部署承诺。然而治理框架远未就绪：美国国家标准技术研究所（NIST）关于AI智能体安全的信息征询截止日为3月9日，恰在战略发布三天之后；首批标准听证会排期在4月；而从NIST此前处理AI风险管理框架的经验来看，从启动到发布最终版本通常耗时两年以上。

在产业端，这一失衡问题更加显著。2026年思科调查显示，83%的组织计划部署自主AI智能体，仅29%认为自身具备安全准备。与此同时，特朗普上任首日即撤销了拜登长达110页的AI安全行政令，替代令中不含任何报告义务、红队测试要求或安全基线标准。自主智能体区别于传统网络工具的核心特征在于其适应性、持续性和行为边界的不可完全预定义性。在缺乏人类在环控制机制和交战规则的条件下，攻防双方的自主智能体交互将显著放大误判与非预期升级的风险。这与矛盾一形成首尾呼应：治理缺位并非仅存在于传统合规领域，它同样贯穿于最前沿的技术部署。而后者的后果远比前者更难逆转。

特朗普1.0在2018年发布的国家网络战略为40页，拜登政府2023年版则为39页，后者还分别于2023年7月、2024年5月配套发布了两版详细的实施计划，逐条列出了责任部门、时间规划与具体预期成果。相比之下，特朗普2.0的2026年版战略仅有七页正文，对于核心内容“六大支柱”均以一至两段文字概述。文件自身亦承认，后续将通过“配套政策工具”指导具体行动和资源配置，实际上等于承认该文本并非实操指南。

与典型的实操性战略文件相比，这份战略文件的语言风格显示出强烈的政治意涵。战略开篇的总统信函便强调美国拥有所谓“地球上最强大、最先进的军队——而且差距巨大”；战略正文中多次使用“最陡峭和最可怕的代价”“使对手失明且芒然”“让攻击美国成为一项危险的生意”等措辞。这些语言显然更适合面向国内外进行信号宣示。

而具体向谁宣示？这份战略的受众可基本划分为四类：国会、业界、对手与选民。一是面向国会争取预算和立法授权，本次战略发布之际正处于特朗普政府的网络安全预算主张受国会审视。包括CISA预算削减方案尚待国会最终确定，CIRCIA最终规则推迟至2026年5月，《网络安全信息共享法案》的长期重新授权也悬而未决。对此，一份高调宣示网络安全优先性的战略文件，或为政府在预算谈判中提供政治支撑。

二是面向产业界释放“去监管”信号，战略将“推动常识性监管”列为六大支柱之一，明确主张精简合规要求、减轻监管负担。向私营部门传递“本届政府将推动网络安全领域的监管松绑”的重要信号。

三是向对手传递“进攻决心”。此次战略文件将“塑造对手行为”置于六大支柱之首，且列举出三项具体进攻性行动作为背书，但如前文所述，“伊朗案例”表明这一信号传递的效用存在局限。

四是面向选民展示强硬姿态。同日发布的“反网络犯罪行政令”聚焦于保护老年人、儿童和普通家庭免受网络诈骗和性勒索，并援引大量损失数据和民调数据。这显然经过精心设计，用于向选民展示特朗普政府在网络安全方面的“强硬”和“体贴”并存。

由于本次《战略》只是一份宣示性文件，因此前期早已有一系列具体的政策动作。需对其进行梳理考察，才能进一步把握特朗普2.0网络战略的全局部署。

2025年1月16日，拜登在特朗普就职前4天签署了《加强和促进国家网络安全创新》行政令，基于2021年5月行政令进一步在安全软件认证、数字身份推广、后量子密码学过渡、联邦网络可见性和AI网络安全研究等领域确立政策框架，巩固其“强数字监管”政策遗产之余也给特朗普2.0使绊。

特朗普上任首日便发动“行政令攻势”，但并未指向拜登的网络安全监管工具箱，而首先在行政层面推动网络安全体系人事更迭与机构“瘦身”。特朗普在就职日便终止国土安全部所有咨询委员会的成员资格，直接导致网络安全审查委员会（Cyber Safety Review Board，CSRB）停摆。2025年4月，在极右翼人士劳拉·卢默（Laura Loomer）的“不忠诚官员名单”阴云下，特朗普政府又解除了美国网络司令部司令兼国家安全局局长蒂莫西·D·霍赫（Timothy D. Haugh）的职务。1个月后白宫又提出削减网络安全和基础设施安全局预算和人员，明确针对CISA在所谓“虚假信息和宣传”方面的工作以及对外联络部门，具体包括削减新财年17%预算，涉4.95亿美元的资金和千余个岗位。2025年7月，美国国务院改革又向成立仅三年的网络外交局（Bureau of Cyberspace and Digital Policy, CDP）“开刀”，解雇八名“双边和地区事务团队”工作人员中的五名，并将该局职能分拆至不同部门。

2025年6月6日，特朗普签署其第二任期首份聚焦网络安全的行政令《持续强化国家网络安全并修订第13694号和第14144号行政令》，对拜登和奥巴马时期两份行政令进行部分编辑，体现特朗普2.0网络安全治理雏形，即保留前期技术标准核心、纳入AI安全问题、削弱联邦机构（尤其是CISA）的审查和强制权力，整体上将监管模式从“政府验证”转向“自我规范”与“事后追责”的结合。

其中，行政令保留的内容一定程度上反映了两党共识，其共同特征是技术性强、政治敏感度低，无论哪个党执政都不太会反对。包括继续依托国家标准技术研究所推进安全软件开发框架，要求建立产业联合体制定实施指南；保留CISA在联邦网络空间中“主动搜寻入侵痕迹”的能力建设，以及制定终端防护技术标准；确定向新一代加密技术过渡的既定进程；保持联邦机构电邮与通信加密要求；保留物联网设备的安全认证标签计划等。

删除的内容则是美国两党分歧严重的领域，包括取消软件供应商向政府提交安全认证的强制性要求，这被视为对企业的监管负担；删除联邦机构部署防钓鱼身份验证的指令；以“打击福利欺诈”为由终止数字身份推广倡议，该计划被共和党视作政府对“公民身份”的过度介入；取消在采购合同中强制纳入抗量子加密产品的条款。概言之，凡是涉及对私营部门施加强制义务或扩展政府数字管理权限的条款，均被删除。

而行政令新增的内容则反映政策重心的转移，其中要求国防部、国土安全部和国家情报总监办公室在2025年11月前将“AI软件漏洞” 纳入常规网络安全风险管理体系；要求在一年内启动“规则即代码”（rules-as-code）试点项目；更新NIST标准文件的时间规划。

首份网络安全行政令出台后，特朗普2.0团队迎来首位获参议院确认的网络安全高官肖恩·凯恩克洛斯（Sean Cairncross），曾任共和党全国委员会首席运营官和千禧年挑战公司CEO的凯恩克洛斯并没有网络安全实务经验，也因此在听证会上遭到民主党参议员埃莉萨·斯洛特金（Elissa Slotkin）等人质疑。

但凯恩克洛斯正式上任后便迅速对战略定调，9月9日首次公开讲话中明确提出美国网络战略要从“承受攻击成本”转向“向对手施加成本”，这一表态也确实是此次战略文件的思想基础。2025年11月，凯恩克洛斯在阿斯彭网络安全峰会又发声称白宫将在2026年初发布新版国家网络战略，“它不会是一份冗长的文件”。随着2026年3月战略文件的正式出台，凯恩克洛斯也被事实印证系本次战略的重要推手之一。

美国网络战略与网络安全技术政策的制定，背后基本会有三股力量相互博弈、相互掣肘，其中网络安全机构希望尽可能封堵漏洞，市场商业团体希望获得更多准入豁口，而政府创新进程要求开放自主。对此，战略文本试图在宏观抽象层面满足所有承诺，这在操作层面必然面临“零和取舍”。上述战略支柱之间的五组矛盾，实际是这一同一结构性困境的不同面向，更多问题后续将在执行层面以政策取舍的形式暴露。从这个意义上讲，关注后续政府实施指令和预算分配等动向，比解读这一轻薄的战略文本本身更能窥探美国网络战略的真实取向。

这些政策取舍的暴露也反映出政策摇摆带来的累积成本将损耗美国网络战略的实施效力。每一次美国政党轮替带来的白宫易主，基本都会大修甚至推翻前任网络监管路径，并逐渐叠加更多转型成本。对企业而言，这种摇摆意味着无法建立稳定的合规预期，对此企业理性做法是“躺平式监管”，即进行低限度合规而非进行超前的网络建设。

与之形成对比的是中国在网络安全监管领域的渐进强化路径。2016年中国《网络安全法》确立基础性的网络安全制度框架，基于此2021年《数据安全法》和《个人信息保护法》分别对数据安全和个人信息保护进行专门立法；2024年的修订完善则在既有框架内进行调整和强化。由此，企业更能够基于可预期的监管趋势，对安全能力建设进行长期规划，而无需疲于应对监管转向并进行短期调整。

中美案例对比揭示网络空间监管的协调性、一致性本身就是重要的战略资产。特朗普政府2026年网络战略重视宣示性且存在多处内部矛盾，更折射出美国政治体制在应对需要长期一致投入的安全挑战时的结构性弊病。可以说，美国未来真正的网络战略将在宣示之后通过预算、人事、机构行动和立法博弈逐步浮出水面。而对于全球网络生态中的玩家而言，更需要突破战略文件的水面，潜入深海去关注真正决定网络安全水位的结构性因素。