Xia Zilin / US Cyber Deterrence: Evaluation of Strategic Effect and Analysis of Impact
2017年7月5日联合国公布了名为“全球网络安全指数”(Global Cybersecurity Index)的调查报告。报告充分折射出美国所遵循的“网络威慑战略”所具有的两方面特点:一是拥有强大的技术、资金支持,二是缺乏国际合作的意愿和动力。网络威慑战略不仅是美国传统国际战略理论与网络安全问题结合的产物,也是分析特朗普任内美国网络安全政策的重要切入点。
美国网络威慑战略的形成
由于网络应用的普及性,非传统安全问题领域中的网络安全问题受到各国极大关注。而造成网络安全问题的主要威胁来自于网络攻击。网络攻击具有攻击隐蔽性强、方式灵活机动、难以确定攻击源头等特质。这些特质导致国家无法直接延续治理传统安全问题的逻辑与方法,对网络安全问题进行有效治理。随着网络技术的发展,国家经济、社会发展对于网络技术的依赖程度不断提高,网络安全威胁已经成为国际社会亟须解决的共同挑战。在此背景下,各国纷纷出台网络安全战略,寻求对于网络安全问题的解决路径。而美国凭借其在网络技术上的绝对优势、雄厚的综合国力,试图将传统国际关系理论中的“威慑战略”运用到网络安全治理领域,以维护自身安全及在国际网络空间的主导权。
威慑作为一种战略方式和手段,有着悠久的历史。在二战后,凭借世界头号强国的地位,以及核武器和核 技术的不断发展,美国的威慑逐渐从战略手段发展为成体系的战略理论。随着20 世纪50年代美国总统艾森豪威尔“大规模报复”战略的提出,以核威慑作为核心的传统威慑战略正式成为美国国家安全战略,威慑战略也就此成为冷战期间国际安全理论的主导理论。
冷战时期威慑战略基本内容可以总结为:美国通过确保“第二次核打击”能力作为威慑基础;通过政治、外交、军事等手段确保其威慑具有可信度;其目的是使被威慑的理性行为体基于核报复的灾难性后果,放弃对美国及其盟国进行核打击或常规打击,选择和平手段解决争端。
随着网络技术广泛运用于各个领域之中,网络安全问题开始大规模出现,对美国国家安全产生了重大的影响。美国是最早开始规划自身的网络安全政策的国家。作为对威慑理论研究和运用最为成熟的国家,美国最先开始考虑如何将传统威慑理论延续到网络安全治理领域,并逐步形成了其网络威慑战略。
美国网络威慑战略的主要内容
2006 年美国国防部发布 威
《慑行动联合作战概念》(Deterrence Operations Joint Operating Concept),认为传统威慑战略可以运用于后冷战时代的各种威胁。[1] 由此,在网络安全领域,为与美国网络政策对接,美国军方、学界以及社会舆论开始讨论网络威慑战略的可行性。讨论的问题重点是如何将威慑战略运用于网络空间,形成有效的威慑,从而保证安全。
经过多年讨论,美国各界在网络威慑理论上达成一定共识。在此基础上,美国政府和国防部分别于2011年5月和7月公布《网络空间国际战略 :互联网世界的繁荣、安全和开放》
[2]和《网络空间行动战略》[3]两份文件,明确宣布美国将采取威慑战略以维护自身网络安全。而美国网络威慑战略最终成型是在2015 年 12月奥巴马政府向国会提交的《网络空间战略》[4]文件。
在这份文件中,美国政府首先将网络安全定义为美国及其盟国在21
世纪所面对的重要安全问题之一,指出网络攻击和某些恶意网络活动,特别是由国家或有技术能力的非国家行为体实施、针对美国重要基础设施和重点产业,能够对美国国家安全和经济利益构成重大威胁的行为。这是美国推行网络威慑战略的根本原因和前提。
在文件第二部分确定了其网络威慑战略的目标。文件指出,美国政府将利用全部国家力量和手段威慑对美国国家安全及其切身利益构成重大威胁的网络攻击或其他恶意网络活动。威慑对象包括来自三个方面的威胁
: 一是通过破坏关键基础设施及其提供的基本服务从而可能造成生命损失的网络攻击。二是针对军事指挥控制、金融市场有序运行等,试图扰乱或者削弱支撑核心功能系统的网络攻击。三是侵害个人隐私、表达自由等核心价值观从而造成国家级威胁的网络活动。这三个方面的界定对网络攻击手段做了详细分类,成为美国网络威慑战略目标的判定标准。
文件指出,美国认识到了网络空间具有其特殊性,政府借鉴在反恐及其他领域的经验,将采取多元化的方法来制定网络威慑战略与战术,即利 用包括外交、信息、军事、经济、情报以及司法领域的国家力量,同时还将增强政府与互联网企业间的合作来增强美国公民、企业与政府的网络信息安全。这给美国政府利用军事手段维护网络安全提供了依据,同时给政府对相关企业、个人信息进行监控提供了借口。
由此,文件在明确了美网络威慑政策的基本逻辑和威慑目标后具体规划了威慑政策的基本内容,包括拒止型威慑(Deterrence by Denial)和成本加强型威慑(Deterrence by Cost Imposition)。
第一,拒止型威慑的目的在于使对手相信美国能够通过部署强大的网络防御力量、建立从破坏攻击中快速恢复的系统,从而降低其实施恶意行动的动力。
文件对美国网络拒止型威慑具体内容进行了部署:一是由国土安全部确认了需要保护的核心关键基础设施,政府政策和资源将会被优先用于确保这些基础设施不受网络攻击的侵害 二是扩大政府内部、
。政府与私营部门之间的信息共享机制,包括“国防工业基础网络安全和信息保障计划”(Defense Industrial Base Cybersecurity and Information Assurance Program),国土安全部“增强网络安全服务计划”(Enhanced Cybersecurity Services program),“关键基础设施信息保护计划”(Protected Critical Infrastructure Information program),同时还包括政府与私营部门合作的其他项目。三是加强美国国家安全重要机密情报的安全防护、减少内部威胁。一方面成立高级信息共享和安全防护指导委员会、安全防护执行局和国家内部威胁专案组,加强信息情报部门的管理,以防止类似“斯诺登事件”的情况再次发生;另一方面,针对受到攻击最多的政府类网站,加强了监控和定期的漏洞检查,强化了军方和军工企业的网络防护。
第二,成本加强型威慑旨在通过军事打击、经济制裁以及司法惩罚等手段威胁潜在的网络安全破坏者,使进行网络攻击或其他恶意网络活动的对手面临惩罚和高昂成本。这意味着美国在面对网络安全挑战时将利用包括军事手段在内的一切手段打击挑战者。
一是经济制裁手段。针对通过破 坏网络安全从而获取商业机密、知识产权以及技术秘密等信息并获利的行为,文件认为这也可以视同为对美国经济安全的破坏。因此,针对这类行为体,美国将采取经济制裁作为应对此类网络攻击的工具。同时,经济制裁不仅涉及实施网络攻击的个体,同时还针对支持、授权或者命令上述攻击的责任人。在2014 年 11月索尼公司事件后,美国认为朝鲜是此次网络攻击的幕后指使者,就借助网络安全的理由对朝鲜进行了经济制裁,可以说经济制裁作为网络威慑手段的一种已经在实际中被运用。
二是法律惩罚手段。法律惩罚手段指通过执法机关调查、起诉以及逮捕等司法手段打击对美国网络安全造成威胁的行为体。虽然网络环境给司法调查取证以及行动造成了困难,但是通过司法打击,的确能够使网络安全破坏者考虑这方面代价,从而降低攻击的意愿。同时利用传统的调查手段、司法机关介入等方式也会给网络安全“归因”问题的解决提供便利。比如,2017 年 7 月 25 日,美国众议院以绝对多数通过了新的制裁法案,制裁目标包括俄罗斯能源行业、军工企业、几家银行以及被美指控干预2016年美国总统大选的机构。该法案被视为美国首次对俄在2016 年大选中采取黑客攻击的行为给予惩罚,并以法案的形式予以确认。
三是军事打击手段。当网络防御、经济制裁、司法惩罚手段不足以威慑网络安全威胁者时,美国政府将准备使用包括军事在内的一切必要手段,对以美国为目标的网络攻击作出回应。在此背景下,2010年 10 月美国国防部成立了网络安全司令部(U.S. Cyber Command),以加强美军的网络 作战实力。同时,组建网络部队(The Cyber Mission Force),作为美国网络战的核心力量。
第三,除了拒止型威慑手段和成本增加型威慑手段,美国网络威慑战略还通过加强网络安全政策宣传、提升情报信息能力、增强相关问题的国际合作以及提升网络技术水平的方式支持网络威慑战略的整体运转。
美国网络威慑战略的影响
经过长时间的讨论、实践,美国最终出台了国家层面的网络威慑战略,虽然出台时日尚短,没有经历重大安全挑战的考验,但包括经济制裁、法律惩罚等方式开始运用于网络安全领域,说明该战略已经在发挥着实际作用。在网络信息领域处于主导地位的美国,将其冷战时期的威慑战略应用于网络安全,可谓是水到渠成,对于保护其国家安全必将产生重要作用。但是对于国际网络安全问题治理、相关问题的国际合作,尤其是与美国在网络问题上矛盾逐渐增多的中国来说,其网络威慑战略可能造成相应的挑战。一、美国网络威慑战略效果评估美国凭借强大的网络信息技术能力、丰富的技术专业人才储备以及信息资源,在网络信息领域具有绝对的主导地位。因此,在规划网络安全政策时不仅要以保护国家安全为目标,还要维持自身在国际网络信息领域的主导地位。这两方面目标可以作为评估美国网络威慑战略的标准。
在保护国家安全方面,美国考虑到网络空间特性对传统安全治理方式的影响,对网络威慑战略做出了相应的改进,以保证其威慑的有效性。改进的方式是不仅利用其网络技术实力
加强自身防御力量,而且综合利用军事、经济以及法律手段对潜在的网络安全威胁进行全方位的威慑。多元化的威慑以美国强大的综合国力作为支撑,将虚拟的网络安全问题延伸到政治、经济、法律以及军事领域,加强了威慑的可信度。在网络安全威慑目标的确认方面,美国网络威慑战略则采取了一种“模糊战略”,即在政策文件中详细描述了何种网络行为将被视为对美国网络安全利益的挑战,但是仍然保留解释、补充的权利和余地,以便应对网络安全问题发展快、复杂多变的情况,这使其网络威慑战略保持了一定的政策灵活性。更重要的是,美国网络威慑战略是美国将冷战时传统威慑战略延续到非传统安全问题领域的一次重要尝试,对于运用威慑战略打击恐怖主义威胁、宗教极端主义问题治理等非传统安全问题的政策制定都有重要的借鉴意义。
为维护在网络领域全球的主导地位,美国网络威慑战略的提出是国家在治理网络安全问题上的一次新尝试。网络安全问题在20 世纪90 年代被提出,在21世纪初引发国际社会的关注。它出现时间尚短,各国还没有比较完善的、成系统的网络安全应对战略,同时也没有历史经验作为参考,网络空间仍处于一种“无政府状态”的局面,严重挑战了各国国家安全。美国网络威慑战略首先对网络安全领域的相关概念进行了解释,并在此基础上规划其网络威慑战略。虽然这些概念的解释出于维护其国家安全以及网络空间主导地位的战略考量,但也是对现存网络空间治理理论的补充和创新,可以作为其他国家在规划自身网络政策时的参照。短时期内,美国在国际上处理网络安全问题中处 于优势地位并掌握在网络安全问题上的话语权与规则制定的主导权这一现实,难以改变。
所以,从维护国内网络安全以及维护国际网络领域主导地位的两方面看,美国现行的网络威慑战略能够基本满足其需要。二、美国网络威慑战略的影响作为目前在网络信息领域占据主导地位的美国,其网络威慑战略的提出对于国际网络问题治理,各国国家网络安全政策,尤其对中国的网络安全战略均会产生巨大的影响。
对于国际网络问题治理来说,美国网络威慑战略首先会引起其他国家对于网络安全问题的极大关注。但是,美国网络威慑战略无法在国际领域给其他国家的网络安全带来保障,甚至相反,还给其他国家的网络安全造成了威胁。尤其在“斯诺登事件”中爆出,包括英、德等美国盟国的网络安全都受到了美国的监视。为了维护自身的网络安全和国家安全,美国网络威慑战略出台后,特别是将军事手段作为维护网络安全的重要举措,可能引发各国就网络空间的新一轮军备竞赛,而不是通过合作的方式来解决网络安全问题。
而对于中国来说,美国网络威慑战略的出台将带来两方面挑战。首先,中国自身的网络技术实力虽然在快速发展,但是较美国而言仍然处于下风,如何提升自身的网络安全实力是当前需要着重考虑的问题。其次,美国网络空间政策突出威慑、进攻以及同盟手段,目标重点是可能对美国网络空间安全及其主导地位产生威胁的中国以及俄罗斯。
中国于 2016 年 11月通过了《网络安全法》,并于同年12月出台了首 部以合作为主题的《网络空间安全战略》,旨在构建习近平总书记提出的“网络空间命运共同体”,同时作为中国应对网络安全威胁以及推进全球互联网治理体系变革的指导战略。从内容上看,《网络空间安全战略》重申维护“网络空间主权”的重要性,与美国一向主张的“网络空间自由”存在冲突。当前国际上对于网络空间性质的定义也存在争议。从性质上看《网络空间安全战略》旨在维护中国网络空间安全,同时纠正国际互联网领域发展的“不平衡”,将在客观发展上挑战美国在网络领域的主导地位。这两方面的冲突必然成为未来中美两国在网络空间领域博弈的焦点。面对美国“网络威慑战略”所带来的巨大挑战,中国提出了《网络空间安全战略》进行应对,在国际网络安全领域发挥了一定的作用。未来一段时间内,其后续问题仍将考验中国网络战略制定者的智慧。
[1] Deterrence Operations Joint Operating Concept ,http://docplayer.net/21456702-Deterrence-operationsjoint-operating-concept-version-2-0.html.
[2] The White House,“International Strategy for Cyberspace: Prosperity,Security,and Openness in a Networked World”,May 2011, http://www.Whitehouse. gov/sites/default/files/rss_viewer/international_strategy_ for_cyberspace.pdf.
[3] Department of Defense,“Strategy for Operating in Cyberspace , July 2011, http:// dodcio.defense.gov/Portals/0/Documents/Cyber/ DoD%20Strategy%20for%20Operating%20in%20 Cyberspace%20July%202011.pdf.
[4] Report-on-Cyber-Deterrence-Policy-Final, http://1yxsm73j7aop3quc9y5ifaw3.wpengine.netdnacdn.com/wp-content/uploads/2015/12/Report-on-CyberDeterrence-Policy-Final.pdf.