网络安全机制是网络安全战略得以落实的重要保障，是有效提升网络安全能力的重要举措。美国建立健全了多种网络安全机制，扎实提高网络安全水平。一是建立严格的网络安全预警机制。美国政府要求每个联邦机构制定和实施信息安全计划，并规定至少每隔三年要执行一次独立的安全检查或审计。对于涉及高风险的网络系统和主要应用程序，检查和审计应当缩短周期。对各种网络安全应急计划还要经常进行演练和测试，以保证有效性和可行性，提高网络预警水平。二是建立网络威胁信息共享机制。2007 年10 月31 日，美国颁布《信息共享国家战略》，明确提出信息资源属于国家资产，并对联邦机构之间（含军政之间）、联邦与州和地方政府之间、公共部门与私营部门之间、与外国有关机构之间进行信息共享的方法进行了明确。2012 年12 月19 日，美国通过了《信息共享与信息安全国家战略》，明确提出情报部门、国防部、外交部、国土安全部、执法部门和私营部门团体之间要加强合作，共享信息资源。三是健全工业控制系统漏洞共享机制。2006 年5 月，美国建立工业控制系统漏洞发布机制，要求发现漏洞的行业或机构及时向美国计算机应急响应小组( Ｕ S-CERT) 汇报，US-CERT 及时进行处理和发布并录入国家漏洞库(NVD)。四是健全网络安全协同治理的利益协调机制。2010 年3 月24 日，美国修订《网络安全法案》， 要求政府及私营机构在网络安全领域加强信息共享，并在发生网络安全紧急情况时加强彼此协作。2013 年2 月12 日，美国签署《关于提高关键基础设施网络安全的行政命令》，提出各个部门要遵守相关政策和指令来协同解决网络安全问题；政府与私营机构应共享网络威胁信息； 国土安全部在国家网络安全治理中应考虑各方意见等。五是建立网络安全审查机制。2000 年，美国率先在国家安全系统中对采购的产品进行网络安全审查，随后对联邦政府云计算服务、国防供应链等出台了安全审查政策，实现了对国家安全系统、国防系统、联邦政府信息系统的全面网络安全审查。六是建立常态化的网络安全攻防演练机制。美国国土安全部分别在2006 年、2008 年和2010 年举办了三次“网络风暴”演习。2009 年l1 月，美国防部与“白狼”安全防务公司联合举行了“网络拂晓”网络战演习。美国金融机构也分别于2011 年11 月、2013 年6 月举办了“量子黎明”演习。美国防部与国土安全部、联邦调查局以及一些私营公司连续开展了四年的年度“网络卫士”演习等。七是建立军民网络融合发展保障机制。2007 年， 美国国防部启动了“国防工业重要企业网络安全和信息保护”计划，旨在利用国防网络力量或军方信息技术，来保护国防工业重要企业的信息网络。2011 年6 月，美国国防部和国土安全部启动国防工业联盟（DIB）网络试点项目，旨在情报机构与公司共享威胁信息，共同防御网络攻击。2010 年10 月，美国国防部和国土安全部共同签署合作协议，建立了跨部门的网络安全联合防御机制。八是建立共同应对网络威胁的国际合作机制。2010 年，美国和欧盟初步达成覆盖军、民领域的网络空间合作战略。2012 年，美军和日本、韩国等国家的军队加强了在网络空间的合作。2013 年，美国与日本政府达成协议，加强两国网络空间管理机构在网络威胁信息共享、国际网络安全政策协调合作。2015 年4 月，美日两国修改《日美防卫合作指针》，建立共同应对网络威胁的协调机制等。

    本文节选自《美国构筑网络安全顶层架构的主要做法及启示》