网络空间威慑:报复是否可行?,本文主要内容关键词为:网络论文,空间论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
[中图分类号]D815 [文献标识码]A [文章编号]1006-9550(2012)07-0099-18
一、引言
作为现代社会赖以生存和发展的技术平台,网络空间日显重要。在过去的十年间,它近乎革命性地改变了人们的生活、工作、学习和娱乐方式,目前已成为支撑全球繁荣经济、活跃研究团体、强大军队、透明政府和自由社会的基础。放眼未来,无论是水电供应、交通管制、金融稳定还是国防安全都将越来越依赖于信息网络基础设施。正是在这一背景下,美、英等国相继宣布网络空间为重要的国家战略资产,要尽最大程度确保网络空间的繁荣与稳定;其他国家则趁势跟进,各种网空战略不断出台,网络空间日趋成为继陆、海、空和外太空之外国家角力的“第五战略空间”。①随着网络空间作为社会基础作用的日益加深和网络安全风险的不断显现,如何打造安全、可靠的网络空间已成为世界各国共同关注的安全隐忧。②不少国际关系文献和研究报告甚至指出,未来十年网络安全议题极有可能成为新的国际冲突形式和冲突内容。③展望未来,“网络威慑与报复战略”能否成为一项可供选择的安全学说,已引起社会各界和学界的广泛关注。
2011年5月16日,美国发布首份《网络空间国际战略》,宣称“美国将使用一切必要手段防御至关重要的网络资产,像对待其他任何威胁一样,对网络空间的敌对行为做出反应并保留诉诸武力之权利”,④这是迄今为止由一国政府发布的最为明确的“网络威慑与报复”声明;时隔不到两个月,美国国防部于2011年7月14日制定出台了该战略的详细实施纲要——《网络空间行动战略》,强调网络空间是与陆、海、空、太空并列的“行动领域”,美军的任务“在于有效慑止、击败针对美军网络系统的任何入侵和其他敌对行为”,⑤舆论界普遍认为此番声明标志着世界上最大的信息强国已然跨过网络战争的政策门槛,网络空间“威慑与报复”时代正式来临。作为对该战略的回应,2011年11月1日-2日,来自全球60多个国家和地区的700余名代表齐聚伦敦共议全球网络安全隐忧,虽未达成任何协议,但会议责成匈牙利和韩国分别承办2012年和2013年的网络空间大会作为后续议程。基于上述背景,本文拟对如下问题加以探讨:(1)报复性威慑能否适用于网络空间?(2)如果适用,网络空间威慑的基本原则和报复措施又将是怎样的?(3)网络空间威慑的报复效果应如何评估?
二、文献梳理:威慑战略是否具有网络适应性?
网络空间不同于陆、海、空以及外太空等传统战略空间。在网络空间中,由于网络的匿名性使得真实身份很容易被隐藏或伪造,同时又由于网络病毒武器的可传播性和轻易可获得性,任何一个国际关系行为体包括国家、组织和个人在内都有可能成为网络攻击者,不仅实施攻击的服务器和软件程序可通过中间途径(第三方)取得,⑥而且攻击路径和攻击目标极易隐匿,由此导致威慑目标和报复对象模糊不清。加之网络空间中民用目标和军用目标互联互通,很难加以区分,即使仅仅针对军事目标或政治目标的网络威慑与报复战略也极易导致附带财产损失和平民伤亡,进而引发人道主义危机。有鉴于此,面对网络时代的全新国际技术环境,威慑战略能否自我更新,从传统军事领域延伸适用于网络空间并发展成为“第三波威慑学说”,⑦目前尚不得而知,但争议却日趋激烈。
(一)美欧网络威慑论争:怀疑论与支持论
作为现代信息技术的发源地,美欧学者是最早关注网络安全并提出“网络威慑”概念的研究群体,其研究历程从提出理论构想到成为国家政策实践已近十个春秋。⑧按照研究旨趣和政策立场的不同,大体可分为怀疑论者和支持论者两大阵营。
怀疑论者认为,网络威慑威而不慑、威而难慑,基本上不可行或难见成效,主要基于以下三点理由:(1)归因难题。网络空间的匿名性使得网络攻击者的身份极难确认,即使确认了攻击者的身份,也会因物理主权疆界的存在而难以跨界取证。在此情形下,网络空间中的任何一个行为体都有可能成为攻击者且极易推卸责任或嫁祸第三方,以至于网络威慑常常处于有威慑能力而无威慑对象的尴尬境地。⑨(2)比例难题。基于报复原则的威慑学说依赖于威慑方能够给攻击方造成难以承受的报复损失,但根据罪恶与惩罚相匹配的国际法精神,报复所导致的损失在效果上应与攻击所造成的损失持平。然而,在网络攻击中由独行黑客所实施的小规模攻击有可能造成国家难以承受的大规模损失(如对电网、银行和交通设施的攻击),而由国家实施的大规模攻击也可能只是造成无关痛痒或不易察觉的影响(如国家情报机关实施的间谍窥探行为),这使得基于报复的网络威慑战略难以有效执行国际战争法则所要求的比例原则。⑩(3)区分难题。威慑依赖于对进攻行为和威胁来源的明确辨识,而在网络空间中不仅威胁难以及时侦测,即使侦测到了也难以区分这是网络间谍活动还是网络战争行为、是个人行为还是国家行为。(11)目前并不存在一部《网络空间法》或《网络战争法则》,对于什么样的行为才可算做是网络进攻行为缺乏明确判断标准,至于什么样的网络行为体才有权利进行反击报复、网络报复的受难者身份又将如何判定等问题更是定义不清。简言之,缺乏统一的网络术语界定和网络交战规则的缺失使得网络威慑难有成效。(12)
而支持论者则认为,网络威慑固然不会是完美的,但也绝不是毫无希望的,理由如下:(1)技术的进步将消除网络威胁的侦测难题和归因难题,因而对于一些网络攻击类型而言,网络威慑通过增加进攻成本和明确罪责责任是可以慑止或劝阻威胁的。(13)(2)威慑理念和报复手段在不断发展,当前网络威慑战略的失败可能只是证明度量网络冲突的现有威慑模型有问题而不是威慑本身不可取,因而随着新的网络威慑模型的构建和完善,威慑战略的网络适应性也会随之提高。(14)(3)即使不存在一部专门的《网络空间法》或《网络战争法则》,网络威慑与报复战略仍可诉诸战争权利,因为既存的国际战争法则(如圣雷莫交战法则和日内瓦公约体系等)可延伸适用于网络空间,(15)而一旦通过国际谈判各方缔结一项全球网络安全契约,网络威慑战略的实施就会获得法律基础。(16)
概言之,美欧学者的网络威慑研究未雨绸缪,尽显探索性和前瞻性,其研究焦点主要集中在两个主题上,即网络空间威慑的可行性与合法性。此外,印度、澳大利亚和以色列学者还关注了网络威慑战略的伦理维度;(17)而为了全面推进网络防御战略的实施,北约于2008年在爱沙尼亚设立了网络防御卓越中心合作组织(CCDCOE),其中网络威慑研究及相关政策设计是其工作的中心目标之一。(18)
(二)中国网络威慑研究:功能派与规约派
较之美欧学界,中国学界的网络威慑研究总体上怀疑多于支持,专门讨论尚不多见,而相关论述也多散见于各类媒体文章和信息技术专业领域。但总体而言,中国学界的网络威慑研究也可划分为两大阵营,即现实主义功能派和制度主义规约派。
现实主义功能派秉持安全至上和进攻主义原则,从一开始就深受国家干预理论和战略瘫痪学说的影响,强调网络威慑的能力建设,注重网络安全措施的实效性,认为政府和军方在网络安全防御中负有不可推卸的责任,是网络安全防御战略的主要组织者和实施者。(19)当前该派学说最具代表性的两种思潮就是“网络超限战”理论(20)与“网络非对称战争”思维,(21)前者强调威慑战略的效度依赖于拥有针对敌方网络基础设施和关键信息部门的进攻瘫痪能力,而后者则主张着力打造现代网军、开发网络进攻技术,以小慑大、以攻为守,以信息优势弥补常规劣势。
制度主义规约派则提出,最好的网络安全战略是制度规约而不是武力威慑;“网络威慑”尤其是“报复性威慑”概念的提出不仅无益,而且其危害不可估量,主要基于以下理由:(1)网络威慑的诸多概念如网络进攻、网络战争、网络犯罪和网络窥探等模糊不清,缺乏统一共识,以至于该战略的实施极易跨越网络战争的门槛并溢出到其他战略领域,最终演变成为一个诱发全面冲突的“危险性游戏”;(22)(2)网络威慑在实施过程中防护难、侦测难、归因难,很容易沦落为虚张声势的“网络马其诺防线”,不仅易造成安全错觉、贻误危机处理时机,且实施效果往往也难符其实;(23)(3)各大国争相发展报复性网络威慑能力不利于网络空间互信,容易诱发网络空间军备竞赛,网络空间的任何擦枪走火都有可能毒害国际关系其他领域的健康发展,从而不利于国家间关系的稳定。(24)基于上述主张,该阵营的研究焦点多集中在国际法和国际伦理对网络行为体的制度规约上,典型研究主题如“网络战的国际法应对”和“信息战的国家责任”等。(25)
总体而言,中国学界的网络威慑研究怀疑多于支持,并彰显两种战略设计理念:结果性逻辑与适当性逻辑。前者关注网络威慑与报复的政策实效性,凸显政策设计的工具理性;后者强调网络威慑与报复的合法性,体现政策设计的规范性。但无论是西方学者还是中国学者,双方均认为:网络空间不同于传统空间,传统威慑模型与网络空间缺乏直接关联,因而威慑战略本质上并不是一种可照搬于网络空间的安全策略,但这并不意味着威慑战略完全缺乏网络空间的适应性。随着网络空间技术的发展,网络军备竞赛和网络冲突在所难免,网络空间的独特技术特征决定了网络威慑与报复战略并非传统核威慑与常规威慑的简单翻版,而是威慑理论在新技术环境下的重塑和发展。
三、报复性网络威慑:惩罚的作用与机理
威慑作为一种防御战略,通常用来影响挑战者在冲突中对手段和目标的选择,其目的在于以非战的方式慑服或劝止对方,从而达致不战而屈人之兵。威慑的基本逻辑在于使对方顾及可能招致无法承受的报复或难以收到预期的攻击效果,而不敢贸然发动战争或采取其他攻击行为。因而,威慑通常可分为报复性威慑和劝止性威慑。诸如网络防火墙的建立和各种防毒杀毒软件的开发是一种典型的劝止性威慑,其目的不在于惩罚对方而在于使对方看不到进攻获利的希望而放弃攻击行为。该战略的优点在于强调网络威慑的盾牌效应,而不必考虑或刻意回避网络归因难题。但实践证明该战略劝止网络攻击的效用有限,主要原因在于网络攻击技术的发展总是先于和快于网络防御技术,一种用做网络攻击武器的病毒程序尚未被发现或尚未得到破解,该病毒的变种程序和升级版本即已肆虐网络空间。(26)正因如此,2011年5月美国政府借由《网络空间国际战略》的出台宣示其网络报复意愿,在一定程度上反映了世界上最大的信息强国已然对劝止性威慑信心不足;而2011年7月美军《网络空间行动战略》的出台则进一步划定美军可以“以物理报复震慑网络攻击”的防御红线,(27)此举标志着报复性威慑开始取代劝止性威慑正式登上网络防御舞台。
报复性威慑的基本逻辑如下:假定网络攻击者(无论是国家、组织机构还是个人)是具有成本/收益算计能力的工具理性行为体,只有当攻击收益大于攻击成本及其所招致的报复损失成本的时候,网络行为体才有可能发动网络攻击行为。在网络空间中,通过侵入对方系统窥探、盗取、篡改或阻断信息以获取信息优势,或仅仅是为了满足自身充当黑客入侵者的荣耀感,均可看做网络攻击收益(G);而在组织网络进攻过程中所支付的硬件成本和软件开发成本(C[,a])以及在网络进攻行为实施后为逃避对方惩罚而付出的隐匿成本(C[,f]),则可看做是网络进攻所付出的代价。当且仅当G>C[,a]+C[,f]时,攻击才是理性的。
假定网络行为体可能具有风险偏好、风险中性和风险规避三种属性特征,在不同的属性特征前提下它们会采取不同的网络攻击决策模式。
(一)风险偏好型网络攻击决策
所谓的风险偏好是指攻击者明知不同的选择会带来不同的损益结果,但它仍然坚持高风险、高收益的赌徒决策心理,以求冒险获胜或出奇致敌损伤。在网络空间中,此类风险偏好型攻击者不胜枚举,诸如网络财产偷盗者和网络恐怖主义集团等。(28)该类网络攻击决策的诱因在于攻击成本近乎为零、攻击后又可安然逃逸,而攻击收益却趋于无限大。以网络财产偷盗为例,其攻击收益在于网络财产的获得,而用于破解偷盗目标身份信息和密码信息的病毒攻击武器乃至钓鱼软件在网络空间中随处可觅,不仅下载方便、购买和开发成本低廉,而且稍加改造、升级和变种就可轻易躲避防火墙和其他安全软件的查杀,以致此类网络攻击极似物理空间中的毒品、走私犯罪,预期收益与一经抓获后所受到的严厉惩罚相比,发现概率和惩罚概率极低,让网络攻击者认为值得冒险一试。
简言之,该类网络攻击决策的模式为:当G(x)→∞而C[,a](x)+C[,f](x)→0时,无论将来会受到何种程度的惩罚,哪怕是受到类似美国军方所宣称的“物理报复”和灭顶之灾,实施网络攻击行为都将成为一种险中求胜或是孤注一掷的获益选择。此时,不管将惩罚的严厉性加大到何种程度,哪怕是不惜跨越网络战争的门槛都不足以威慑网络进攻,而唯有加大力度、集中资源和力量开发网络侦测手段,提高网络进攻的发现概率和惩罚概率方是增强威慑信度的可行之举。因为进攻成本(C)从另外一个角度此时也可看做是惩罚强度(S)与发现概率或惩罚概率(P)之乘积即C=P·S,当S趋于无效时可近似视为常量,剩下的唯有提高发现概率和惩罚概率(P)方能加大进攻者的成本和风险预估。此时,网络威慑的核心问题即是马丁·利比奇(Martin C.Libicki)和马修·韦克斯曼(Matthew C.Waxman)等学者所言的网络归因难题。(29)
(二)风险中性型网络攻击决策
所谓的风险中性是指进攻者在面临多种选择做出决策时,对各种选择可能招致的风险等同看待或一并漠视,最终只选择能够给己方带来最大收益或致敌最大损伤的行动方案。即在不考虑风险预期的前提下,如果进攻能够带来预期收益,则进攻是可取的。在网络空间中,此类进攻决策的偏好者主要为网络防御占优者和技术炫耀型黑客,有时在非对称性网络冲突中被逼入绝境或对获胜无望的一方也会做此选择,以求不问风险与敌决一死战。该类进攻决策的直接和根本动因在于利益最大化驱使。假定进攻者的纯收益(△g)为预期总收益(G)减去预期风险评估(R)和成本损失(C),则有△g=G-(R+C),由于预期风险评估对此类行为体而言常常被忽略为非决策影响因素,上述条件公式可进一步简化解读为△g=G-C是关键决策变量,此时网络威慑的核心问题是如何将预期收益△g最小化。
理论上至少有两种方式可供考量:其一,加大进攻者的研发、生产、组织和隐匿成本(C),但考虑到网络病毒武器的廉价可得和网络技术的外溢传播无门槛等特征,(30)单凭通过己方努力如铸造防火墙式的网络防波堤或对敌进行技术封锁等,试图竭力提高敌方的进攻成本往往难以达到预期效果。其二,降低进攻者的未来预期总收益(G),通常可行的方法是加强全民网络安全教育以增强全网用户风险防范意识、制定网络安全标准加强信息产品的监管和监控、升级网络安全认证并将公用网络与特殊网络区隔防护等,这些方法虽不能直接劝止网络攻击,但却会明显提高网络进攻的门槛并降低网络毁损的预期效果,从而间接影响进攻者的总体预期收益(G)和纯收益(△g)。在此情形下,劝止性威慑将担负起网络威慑的主要责任,而报复性威慑的效果并不明显。
(三)风险规避型网络攻击决策
所谓风险规避是指当攻击者面临多种选择时,会优先考虑招致报复损失最小、风险最为确定、结果最为可控的方案,而不是偏好于攻击收益最大化。攻击者之所以如此选择的原因在于畏惧惩罚、担忧附带损害所带来的道德风险或难以估测的未来前景。在网络空间中,由于国家、企业和组织机构行为体具有非同一般的网络依赖性、敏感性和脆弱性,且这些行为体负有不同于黑客个人和恐怖分子的道德责任,以至于在决策考量上整体安全忧虑胜于局部安全获益、长远谋划胜于眼前算计,其攻击决策的底线往往会优先考虑招致可能报复的损失程度和己方的承受能力,而不是一味追求可能的攻击收益或致敌损伤。
假定网络空间中的行为体均为风险规避型决策者,且其决策底线为实施攻击后确保己方安全的最低限度和可恢复能力(R[,0]),那么考虑到预期报复性损失成本(指因对方惩罚所导致的各种毁损、修复成本及附带风险,简记为C[,R])是其关键决策变量,则有:当G-C[,R]>0且C[,R]<R[,0]时,攻击决策才是理性可行的。也就是说,由风险规避型决策者所发动的一次完美网络攻击,不仅要考虑进攻要有利可图,更要考虑因挑衅所招致的报复性损失可能,此时理智的决策是绝对不可轻易逼近己方所设定的安全底线。一旦预估C[,R]逼近或将超越R[,0]时,无论预期收益(△g=G-C[,R])有多大,任何攻击决策都将不可取,因为进攻即意味着自我毁灭。此时,威慑战略的信度高度取决于以下两个因素:(1)威慑方有无报复性进攻能力并公开展示此种能力;(2)威慑方有无报复性进攻意愿以及恰当展示此种意愿,也就是通常威慑战略所强调的第二次打击能力及打击意愿。
综上所述,在不同的风险特征假定下,网络空间中的行为体因具有不同的风险嗜好和预期成本/收益算计而遵循不同的攻击决策模式,由此决定了针对不同类型的网络攻击也应采取不同的威慑战略,否则便会威而无慑、慑而不止。针对风险偏好型网络攻击,加大进攻发现概率和惩罚归因力度将是最为可取的政策;针对风险中性型攻击,降低预期收益可能会带来最优威慑效果,此时劝止性威慑胜于报复性威慑;而对于风险规避型攻击,威慑的效果理论上取决于报复惩罚的强度,与进攻发现概率和惩罚概率的关系并不十分明显,此时将有限的资源投入到进攻性网络武器的开发与第二次打击能力建设上,进而提高报复性惩罚的力度和意愿方是明智之策。
四、案例评估:网络空间威慑的信度与效度
假定威慑方普遍对威胁高度敏感且惧怕任何可能的大规模损伤,则一项威慑战略的实施往往会不计或漠视威慑成本(指因防御可能进攻而付出的人员训练、软硬件开发、战略执行、政策协调等诸多方面所产生的成本),(31)此时威慑战略的信度主要取决于两个因素:(1)威慑方有无威慑能力;(2)威慑方如何恰当地展示此种能力并使进攻方意识到一旦受到威胁,己方会毫不犹豫使用此种能力之意愿。而威慑的效度则决定于威慑战略的实施能否改变进攻方预期的目标和手段选择。具体而言,一项报复性威慑在效果上应能够影响进攻方的风险预估,而劝止性威慑则应立足改变进攻方的收益预期。基于工具理性分析模型,最有效率的威慑战略是对威慑目标进行决策类型细分,然后采取针对性威慑措施。但由于网络空间中的行为体为数众多且各类行为体之间缺乏同质性,譬如有国家发动或国家支持赞助的网络进攻,也有黑客个人、企业机构或恐怖组织施行的网络袭击,加之绝大部分网络行为体身份虚拟并无风险质押,因而一项网络威慑战略旨在吓阻或消除所有威胁是不可能的,评价一项网络威慑战略成功与否的最低标准应是看其是否有利于降低威胁发生的概率和风险强度。
以美国网络空间威慑为例,威慑效力的发挥首先在于明晰威胁的来源和攻击者的决策属性,但在不加区分或限于目前技术水平难以区分进攻者偏好的前提下,其威慑对象只能假定为任何一个可能的网络攻击者,此时威慑战略难以遵循目标对象细分原则而表现为整体综合威慑或模糊威慑,即威慑必须同时兼顾劝止和报复双重目标,威慑的信度取决于能力和意愿两个因素,而威慑的效度则依赖于惩罚概率、惩罚强度和抵御进攻风险的能力。
(一)美国网络空间威慑战略的信度
1.威慑能力
拥有能力并展示能力以此吓阻威胁,是威慑战略的精髓所在。为了加强威慑的可信性,近年来美国网络防御战略加速朝向多个方向演进:(1)能力建设。早在1992年7月美国公布的冷战后第一个《国防科学技术战略》就将发展信息攻击技术、掌握“制信息权”列为优先国防关注;1998年美国《国防报告》进一步确认了发展信息战和网络战装备的优先性;此后美国每年用于开发计算机病毒和软件攻击程序的开支都维持在100亿美元左右,占其国防开支的3%-4%;(32)2009年美国开始筹建网络司令部(USCYBERCOM),并于2010年10月正式运行,据估计,美国目前约有3000-5000名信息战专家,50000-70000名网络战士兵,如果再加上统计在外的电子战人员,美国网络部队人数约在88700人左右,此规模相当于七个101空降师,(33)从武器开发、机构建制、人员配备到政策协调,美国网络空间报复打击能力正逐步做强、做实和做大。(2)能力展示。为了显现美国网络报复能力,近年来美国官方会同盟友不断组织网络攻防演练,以其实战效果震慑潜在网络攻击者,最具代表性的就是由美国国土安全部(DHS)组织的两年一度的“网络风暴(Cyber Storm)”网络战演习和由国家安全局(NSA)主导的军事院校网络空间防御演习(CDX)。(34)2011年2月,据信美国会同以色列发动了旨在中止伊朗铀浓缩活动的“震网攻击(Stuxnet)”,(35)此举标志着美国开始以实战案例向世界各国宣示其网络攻击能力的震撼效果。(3)延伸报复。为了增强网络进攻的风险质押,近年来美国军界不断酝酿并开始推行一整套的“关联报复”战略,即报复并不局限于网络空间,有时甚至会牵涉到相关物理领域。2011年,美国防部宣称,“任何对美国至关重要的网络资产的虚拟进攻,如有必要美国将使用一切必要手段予以回击”。(36)这些回击的手段既包括经济制裁和技术封锁,也包括外交强制和司法诉讼,更包括与第三方交涉无效的情况下,由美国单独或会同盟国集体实行“外科手术式”越界打击乃至采取“先发制人”的预防性军事行动。为此,美国在总统之下特设白宫网络协调官(Cyber Czar)(37)这一职位,专司各部门、各领域和各项网络政策的协调统筹工作,其目的在于综合运用虚拟空间战略与实体空间战略,使两者完美搭配以收到最佳威慑之效果。
2.报复意愿
早在1997年,美国总统委员会就发布了一份关于基础设施保护的报告文件,其中列举了三项可用于网络空间的建议步骤:一是发表一份网络政策声明并建立国际共识;二是硬化保护目标并拒绝访问;三是分享情报信息并发出明确警告。(38)2008年,美国国际战略研究中心(CSIS)网络安全委员会在“为第44任总统提供的报告”中指出,“建议总统发表一份网络空间政策声明,该声明应明确指出网络空间是重要的国家资产,一旦受到威胁,美国将调用一切可用的国家力量和手段保护之”。(39)对此,美国参谋长联席会议副主席詹姆斯·卡特赖特(James Cartwright)更是明确表示:“美国将借助各军兵种组成的常规军事打击力量,一旦遭到具有破坏性的严重网络攻击,将使用常规军事力量给予还击,即以物理实体战争对付和摧毁进行虚拟攻击的敌对方。”(40)2011年,经由《网络空间国际战略》和《网络空间行动战略》两份政策文件的宣示,报复性网络威慑最终演变成为美国网络安全国策,其报复性惩罚意愿溢于言表。为此,美国一方面投入大量人力、物力和财力,全面加强网络威慑理论的探索和网络武器的研发工作;另一方面又积极推动国内国际立法,试图为美国网络报复战略的实施奠定法律依据。总体而言,威慑本质上是一种战争心理游戏,其直接目标在于左右或影响进攻方的观念、决策和行动,因而一项威慑战略的信度除了拥有并展示能力之外,更在于能否通过一定的信号表达(行动或言辞)传递己方坚定的报复意愿。就此而言,美国的网络威慑战略无论是从能力还是从意愿方面来讲,都具有越来越高的可信度。一旦实施,将会给网络空间及物理空间带来前所未有的影响。
(二)美国网络空间威慑战略的效度
假定理性决策是威慑战略的逻辑起点,那么对于一个进攻者来说,其决策逻辑必是一个合乎规则的收益/损失计算和推理过程,一般会有以下情形:其一,在预期收益既定的前提下,进攻风险越高、损失成本越大,则进攻的可能性越低。其二,在预期风险既定或不考虑预期风险的前提下,进攻收益越小、对方防御能力越强,则进攻的可能性越低。就此而言,美国网络威慑战略的效度取决于以下三个衡量尺度:(1)威慑的执行能否加大进攻风险;(2)威慑的实施能否提高进攻损失成本;(3)威慑的升级能否有效降低预期进攻收益。
1.惩罚概率
理性威慑论指出,对进攻者追究责任并实施惩戒,会起到威慑和警示潜在进攻行为的作用。2009年4月,美国战略司令部网络空间威慑工作小组指出:“归因是施加进攻成本的关键。”(41)为此,美国需要通过聚焦高科技情报和全源情报进行实时侦测,在危险来临之前远离危险并先发制人。凭借高尖端的归因判断技术和明确宣示的报复手段,美国不仅可以警告进攻者必须要为自己的行为付出代价,同时也可警示第三方不得为进攻者提供庇护,从而在可选择的政策合作框架内,那些危害美国及其盟友利益的网络进攻者在全球范围内将无所遁形。另一方面,考虑到网络归因并非纯粹的技术难题,推动制定相关网络法规并降低美国网络报复门槛,也是提高惩罚概率、加大进攻风险的可行途径。为此,自进入21世纪以来,美国相继制定了一系列网络空间政策、法规和条令,譬如2003年2月出台的《保护网络空间国家战略》、2008年1月颁布的《第54号国家安全总统令NSPD54》(又称“第23号国土安全总统令HSPD23”,即“国家网络安全综合计划CNCI”)、2009年5月核准的《网络空间政策审查评估——确保信息通信基础设施的安全性和可恢复性》等。除此以外,根据2011年12月12日美国国会讨论的《国防授权法案(NDAA)》,国会将授权国防部在总统指挥控制下可以为了保护美国及盟国利益在网络空间中展开军事攻击,但五角大楼的行动需要遵守武装冲突法和《战争权力决议案(WPR)》等法律制度和政策原则。
2.惩罚强度
对于风险规避者来说,惩罚强度的高低直接决定着其进攻的可行性,一旦惩罚强度超过进攻方预期的承受力,则进攻不仅是不可取反而是危险的。但从另外一个角度来讲,针对任何进攻行为也并非是惩罚强度越高越好。如果惩罚过重,潜在进攻者会考虑到一旦发动攻击自己将遭受到不成比例的报复性损失,此时犹如箭在弦上不得不发,进攻者就会绝望地选择更为严重的进攻性伤害,(42)进而限制网络冲突升级或降低网络损失风险则无望。因而,对于网络空间威慑而言,最优惩罚强度应使进攻者所付出的进攻损失成本与其进攻潜在收益在边际上相等,即随着进攻收益的递增,报复性惩罚的严厉性也应随之梯次递增,从而使其无法从进攻行为中获取边际收益。在此情形下,边际惩罚与边际损害须成正相关对应关系,方能起到限制进攻者选择更大伤害行为或限制网络冲突升级的震慑作用。仅就这一点而言,美国目前所实施的网络报复战略只是公开宣示“针对美国至关重要网络资产的进攻都将遭到包括实体战争在内的报复回击”,至于如何进行回击以及在何种程度上进行回击尚缺乏明晰的报复等级划分,如果只是简单化的宣示一项“进攻即遭报复”的战略,其威慑效果不仅是威而无慑,且因报复门槛过低而易于引发更大规模网络冲突。
3.抵御网络进攻风险的能力
功利主义的进攻决策模型揭示,是否有利可图是绝大部分网络冒险者发动进攻行为的首要动机。有鉴于此,美国国防部副部长威廉·林恩(William J.Lynn III)力主:“威慑战略应更多建立在使攻击者一无所获的基础上,而不是单纯依靠给攻击者造成损失的报复性手段。”(43)为此,美国需要不断增强网络系统防御及恢复能力,以便能够有效增加攻击者实施网络进攻的成本并充分降低进攻潜在收益,从而迫其最终放弃网络攻击企图。在这方面,美国既要立足自助防卫,更要借助联盟合作进行集体防御。首先,美国需要安排专门经费,投入专门人员、时间和精力进行全行业网络安全教育,譬如美国国土安全部规定,每年10月进行为期一个月的网络安全教育,由部长级阁僚亲自出席、主持、讲话和宣传。(44)其次,指定重点院校培养专门网络安全人才,通过助学金、奖学金以及军事招募等形式延揽网络安全精英。最后,加强国内国外的网络安全合作力度,如在国内构建“国家-企业-个人”三位一体的“网络防御伙伴关系计划”,(45)在国际上加强与盟友及利益相关者的接触与合作,到目前为止,美国已与英国、印度、澳大利亚、德国和加拿大等国(46)形成事实上的网络空间防御联盟,另与俄罗斯、中国等国正在展开网络空间对话。(47)
综上所述,美国网络空间威慑的效度在逻辑上取决于美国能否恰当地设置其报复战略的惩罚概率和惩罚强度,同时也依赖于美国能否有效地提高其自身及盟友的集体防御能力。若是满足或接近满足上述理论威慑条件,则可认定该战略可能会产生实际威慑效果。至于实际的威慑效果如何,则有赖于相关统计数据的证明和其他战略的有效配合。本文限于篇幅,不做详述。但须指出,一项网络威慑战略成功与否的衡量标准不在于吓阻或消除所有威胁,而在于能否降低威胁发生的概率和风险损失。
五、理性网络威慑模型:问题与前景
威慑理论通常盛行于核战略与常规战略领域,而如今随着全球信息技术的发展,威慑理论能否延伸适用于网络空间,目前学界和政策界尚争论不已。但有一点是明确的,即随着网络空间技术的发展,整个人类社会对网络基础设施的依赖将会越来越强,由网络冲突诱发国际关系危机乃至国际战争的可能性也越来越高。因此,关注并探讨网络威慑战略不仅有其内在的学术价值,更有其长远的政策意涵。显而易见,网络空间不同于传统战略空间,在网络空间中攻击一个网络站点是否比在物理领域中攻击一座军事设施更容易,其所造成的损失和影响是否更大或更小?网络空间中的多元行为体具有明显的身份非对称性和非同质性,这是否会导致其决策模式的差异?在不确定网络风险来源和网络攻击者的前提下,实施一项网络报复战略是否具有技术上的可行性和道义上的合法性?在什么情况下,网络威慑战略才能够成为一项可行的政策选择?这一切目前尚不得而知,但也为学术探索预留了充分的空间。
就此而言,本文所构建的理性网络威慑模型只是若干网络威慑模型中的一种,其逻辑起点是国际关系行为体的“理性工具人”假定,即处于国际关系背景下的每一个网络行为体,无论是威慑方还是进攻方都是以工具主义行事的且充满了理性算计能力。这一理论模型构建的主旨是寻求以认知简化的方式对纷繁芜杂的网络攻击行为进行决策类型划分,然后针对不同的网络攻击决策设计制定不同的政策解决方案。显见,这一模型构建有其优点,它有助于发现网络威胁的风险所在、进攻行为的作用机理以及有助于指导如何有效配置资源并制定执行针对性威慑措施,但这一威慑模型也存在明显的缺陷:
第一,该模型是建立在工具理性的逻辑基础之上,刻意回避和忽略了诸如规范、话语、情感、情绪以及心理活动等非理性因素对网络行为体攻击决策的影响,因而导致该威慑模型只能解释和理解部分行为体的网络攻击行为,不仅难以有效应对诸如网络恐怖集团、网络极端分子和个体心理扭曲攻击者,而且对于网络空间中的制度约束、话语说服和规范教化等积极冲突化解因素也重视不够。第二,作为一项战略研究,本模型重点强调了增强网络威慑能力和公开展示报复意愿的重要性,但任何一项网络威慑模型的设计都必然是国家整体安全战略的一个有机组成部分,因而一项网络威慑战略的成功与否不仅取决于国家在网络空间中的各项行动,同时也取决于国家在其他战略领域的有效配合,关于这一点,本文所提出的理性威慑模型忽略了不同战略领域与战略措施之间的关联性。在分析美国网络空间威慑战略时,忽视了美国的优势不仅体现在网络技术、装备和能力建设方面,还体现在常规力量的支撑作用方面,它们只有共同作用方能保证报复性网络威慑战略的成功实施。第三,一项威慑战略通常要求所威慑目标和所保护利益皆要清晰,就此而言,美国网络威慑战略所要保护的是美国至关重要的网络资产特别是美国关键的基础设施和军用网络系统,在此加以明确。但本文认为,在目前的技术条件下,美国网络空间威慑战略并不能够有效识别威胁来源和威胁性质,即网络归因始终是一个政策设计和执行难题并由此导致美国网络空间威慑的目标不够清晰。对此本文提出的解决方案是模糊威慑或综合威慑,即在无法确定攻击者是谁和攻击源来自何方的情况下,我们仍能假定攻击者具有风险偏好、风险中性和风险规避三种决策属性,以逻辑推断来制定政策解决方案。由此导致本文在论述报复性网络威慑时,有将威慑目标和报复对象模糊化和泛化之风险。
简言之,本文所构建的理性网络威慑模型是逻辑推定而不是现实威慑政策执行,是在考虑限于目前的技术条件和制度障碍难以进行有效归因的前提下,我们何以制定网络防御政策并设计政策解决方案。对此,本文依据工具理性假设和现实美国案例分析指出,不加类型区分且无针对性的网络威慑战略通常是威而不慑、威而难慑的,一国可以根据本国网络资产的重要程度来自主地厘清相应的报复和惩罚措施,但攻击者的风险偏好是其实施攻击行为的关键决策因素,因此即使攻击者的风险偏好不是一国所能清晰知晓和掌控的,正如他国的未来意图不可预测一样,我们仍能根据理论上的逻辑假定来制定整体网络安全策略,以确保网络空间中各类行为体都能够受到有效威慑,而不是笼统地采取“一刀切”威慑模式。
六 结论
有关网络空间威慑的政策论争及其学理空间,约瑟夫·奈(Joseph S.Nye)总结道:“犹如上世纪(指20世纪——笔者注)50年代苏联获得核武器之后,美国核威慑理论研究处于初始状态那样,当前网络威慑研究正蓬勃兴起。”(48)就此而言,本文主要总结了网络空间威慑的主要争议点和报复性网络威慑的可能性,以工具理性人假定和风险决策分析为理论基点构建了一种理性网络威慑模型,并以模型为基础粗略评估了美国现行网络空间威慑战略的信度和效度,最后文章认真检视了该理性威慑模型之于未来研究和政策解决的启发与不足之处。显而易见,成熟的网络威慑理论也许还要经过数年的研究和实践之后方能完善,但目前美国所实行的网络威慑战略在逻辑上已初步具备一定的信度和效度,值得各国战略界广泛关注。面对全新安全形势的发展,美军参谋长联席会议主席迈克尔·马伦(Michael Mullen)指出:“我们需要新的威慑理论模型……以阻止大量的新威胁……并紧跟新世纪挑战的步伐。”(49)透过上述分析,本文认为在网络空间方面,这种需求更为紧迫。
(由衷感谢《世界经济与政治》杂志匿名审稿专家对本文提出的宝贵修改建议。文中存在的错漏概由笔者负责。)
收稿日期:2012-04-05
修回日期:2012-06-11
注释:
①相关政策文件可参见Federal Ministry of the Interior,Cyber Security Strategy for Germany,February 2011,http://www.enisa.europa.eu/media/news-items/german-cyber-security-strategy-2011-1; French Network and Information Security Agency,Information Systems Defence and Security:France's Strategy,February 2011,http://www.ssi.gouv.fr/IMG/pdf/2011-02-15_Information_system_defence_and_security_ - _France_s_strategy.pdf; The Dutch Minister of Security and Justice,The National Cyber Security Strategy:Success through Cooperation,February 22,2011,http://www.enisa.europa.eu/media/news-items/dutch-cyber-security-strategy-2011; The White House,International Strategy for Cyberspace,May 16,2011,http://www.whitehouse.gov/sites/default/files/rss_viewer/international_strategy_for_cyberspace.pdf; Cabinet Office,The UK Cyber Security Strategy:Protecting and Promoting the UK in a Digital,November 2011,http://www.carlisle.army.mil/dime/documents/UK%20Cyber% 20Security% 20Strategy.pdf.
②详细总结参见Richard O.Hundley and Robert H.Anderson,"Emerging Challenge:Security and Safety in Cyberspace," IEEE Technology and Society Magazine,Vol.14,No.4,Winter 1995/1996,PP.19-28; Melissa E.Hathaway,"Cyber Security:An Economic and National Security Crisis," The Intelligencer:Journal of U.S.Intelligence Studies,Vol.16,No.2,2008,pp.31-36.
③相关文献可参考Michael Reilly,"How Long before All-Out Cyberwar?" New Scientist,No.2644,2008,pp.24-25; Athina Karatzogianni,Cyber-conflict and Global Politics,London:Routledge Taylor & Francis Group,2008; Richard A.Clarke and Robert K.Knake,Cyber War:The Next Threat to National Security and What to Do about It,New York:HarperCollins,2010.
④The White House,International Strategy for Cyberspace,May 16, 2011,http://www.whitehouse.gov/sites/default/files/rss_viewer/international_strategy_for_cyberspace.pdf.
⑤Department of Defense,Strategy for Operating in Cyberspace,July 2011,http://timemilitary.files.wordpress.com/2011/07/d20110714cyber.pdf.
⑥劫持第三方服务器或偷盗第三方身份发动网络攻击,是目前多数网络攻击者寻求以替罪羊方式免于对攻击事件负责的最寻常做法。譬如2011年11月,印度政府网络安全调查人员发现,印度国家信息中心的网络服务器被外国黑客浸透、劫持用以发动了对多个国家的网络攻击,其中包括对中国的攻击。另据中国官方公布的统计数字证实,2011年8月中国遭受他国网络攻击多达25万次,其中8%来自于印度,http://www.chinahacker.com/Article/list.asp? id=16916.
⑦有关网络空间威慑能否发展成为“第三波威慑”学说的讨论和争议,可参见Richard J.Harknett,"Information Warfare and Deterrence," Parameters,Vol.26,No.4,1996,pp.93-107; Martin Libicki,Cyberdeterrence and Cyberwar,Santa Monica:RAND,2009; The East-West Institute,Global Cyber Deterrence Views from China,the U.S.,Russia,India,and Norway,April 2010,http://www.ewi.info/system/files/CyberDeterrenceWeb.pdf; The Brookings Institution,Deterrence in Cyberspace:Debating the Right Strategy with Ralph Langner and Dmitri Alperovitch,September 20,2011,http://www.brookings.edu/~/media/Files/events/2011/0920_cyberdeterrence/20110920_cyber_defense.pdf.
⑧相关早期作品可参见Winn Schwartau,Information Warfare:Chaos on the Information Superhighway,New York:Thunder's Mouth Press,1994; David S.Alberts,Defensive Information Warfare,Washington,D.C.:NDU Press,1996; John Arquilla and David Ronfeldt,In Athena's Camp:Preparing for Conflict in the Information Age,Calif.:RAND,1997; Stephen Blank,"Can Information Warfare Be Deterred?" Defense Analysis,Vol.17,No.2,2001,pp.121-138.
⑨有关网络攻击归因难题的讨论,可参见Stephen Blank,"Can Information Warfare Be Deterred?" pp.121-138; Martin Libicki,Cyberdeterrence and Cyberwar,2009; Will Goodman,"Cyber Deterrence Tougher in Theory than in Practice?" Strategic Studies Quarterly,Vol.4,No.3,2010,pp.102-135.
⑩有关网络空间威慑比例难题的讨论,可参见Marco Roscini,"World Wide Warfare:Jus ad Bellum and the Use of Cyber Force," Max Planck Yearbook of United Nations Law,Vol.14,2010,pp.85-130; Jeffrey Hunker,"U.S.International Policy for Cybersecurity:Five Issues That Won't Go Away," Journal of National Security Law & Policy,Vol.4,No.1,2010,pp.197-216; Eric Sterner,"Retaliatory Deterrence in Cyberspace," Strategic Studies Quarterly,Vol.5,No.1,2011,pp.62-80.
(11)有关网络空间威慑的区分原则问题,相关讨论可参见Brian Grow,Keith Epstein and Chi-Chu Tschang,“The New E-spionage Threat," Business Week,April 21,2008,pp.32-41; Alexander Klimburg,"Mobilizing Cyber Power," Survival,Vol.53,No.1,2011,pp.41-60。
(12)有关网络空间威慑的法律门槛问题讨论,可参见Herbert S.Lin,"Offensive Cyber Operations and the Use of Force," Journal of National Security Law & Policy,Vol.4,No.1,2010,pp.63-86; David E.Graham,“Cyber Threats and the Law of War," Journal of National Security Law & Policy,Vol.4,No.1,2010,pp.87-102; James Lewis,The Cyber War Has Not Begun,http://csis.org/files/publication/100311_TheCyberWarHasNotBegun.pdf.
(13)有关网络空间威慑的技术进步论,可参见William J.Lynn III,"Defending a New Domain," Foreign affairs,Vol.89,No.5,2010,pp.97-198; Mark Young,"National Cyber Doctrine:The Missing Link in the Application of American Cyber Power," Journal of National Security Law and Policy,Vol.4,No.1,2010,pp.173-196; Richard J.Harknett,"Information Warfare and Deterrence," Parameters,Vol.26,No.4,1996,pp.93-107.
(14)有关威慑模型的网络适应性讨论,可参见Michael Mullen," From the Chairman:It's Time for a New Deterrence Model," Joint Force Quarterly,Vol.51,No.4,2008,pp.2-3; Matthew D.Crosston,"World Gone Cyber MAD:How Mutually Assured Debilitation Is the Best Hope for Cyber Deterrence," Strategic Studies Quarterly,Vol.5,No.1,2011,pp.100-116.
(15)有关现存国际战争法则的网络延伸适用性讨论,可参见Michael N.Schmitt,"Wired Warfare:Computer Network Attack and Jus in Bello," International Review of the Red Cross,Vol.84,No.846,2002,pp.365-399; Matthew Hoisington,"Cyber Warfare and the Use of Force:Giving Rise to the Right of Self-Defense," Boston College International and Comparative Law Review,Vol.32,No.2,2009,pp.439-455; Matthew C.Waxman,"Cyber-Attacks and the Use of Force:Back to the Future of Article 2(4)," Yale Journal of International Law,Vol.36,2011,pp.421-459.
(16)有关网络空间需要一部全球安全契约和战争法则的讨论,可参见Christian Czosseck and Kenneth Geers,eds.,The Virtual Battlefield:Perspectives on Cyber Warfare,Amsterdam:IOS Press,2009; John Grant,“Will There Be Cyber Security Legislation?" Journal of National Security Law & Policy,Vol.4,No.1,2010,pp.103-118; Rex Hughes,"A Treaty for Cyberspace," International Affairs,Vol.86,No.2,2010,pp.523-541; Charles J.Dunlap,Jr.,"Perspectives for Cyber Strategists on Law for Cyberwar," Strategic Studies Quarterly,Spring 2011,pp.82-99.
(17)相关文献可参见Andrew Liaropoulos,"War and Ethics in Cyberspace:Cyber-Conflict and Just War Theory," Proceedings of the 9th European Conference on Information Warfare and Security,UK:Academic Publishing,Ltd.,2010,pp.177-182; Patrick Allen and Chris Demchak,"The Palestinian-Israeli Cyberwar," Military Review,Vol.83,No.1,2003,pp.52-59.
(18)北约网络防御卓越中心合作组织(CCDCOE)全称“NATO Cooperative Cyber Defence Centre of Excellence", 网址:http://www.ccdcoe.org/.
(19)李国亭:《信息威慑的理论与对策》,载《国防大学学报(战略问题研究)》,2007年第1期,第21-23页;蒋一斌:《信息威慑及其在联合作战中的运用》,载《西安政治学院学报》,2011年第5期,第32-34页;唐岚:《网络实力“洗牌”:中国如何实现赶超》,载《人民论坛》,2011年第16期,第36-37页;刘增良:《怎样构建中国网络边防》,载《人民论坛》,2011年第16期,第38-39页;杨义先:《网络战制胜关键在哪》,载《人民论坛》,2011年第16期,第34-35页。
(20)乔良、王湘穗:《超限战》,北京:解放军文艺出版社2011年版。
(21)李国亭:《军事战略新命题——信息威慑》,载《国际技术经济研究》,2006年第3期,第11-15页。
(22)俞晓秋:《“网络威慑力”是个危险的游戏》,载《人民日报》,2011年7月25日第3版;人民论坛问卷调查中心:《网络战争公众认知状况调查》,载《人民论坛》,2011年第16期,第18-21页。
(23)梁逵:《网络威慑:威而难慑》,载《中国国防报》,2011年8月8日第3版;杨延波:《聚焦美军“网络威慑”战略》,载《中国国防报》,2012年1月9日第3版。
(24)黎弘:《丛林法则加剧网络战争风险》,载《人民论坛》,2011年第16期,第22-23页;沈逸:《美国网络战略“魔盒”搅乱世界》,载《人民论坛》,2011年第16期,第25-26页。
(25)刘正:《网络战的国际法应对》,载《山东社会科学》,2006年第3期,第139-141页;朱莉欣:《信息网络战的国际法问题研究》,载《河北法学》,2009年第1期,第51-53页;唐璐:《浅析以法律形式控制网络军备竞赛的必要性》,载《国防科技》,2010年第3期,第33-37页。
(26)相关论述可参见Thomas M.Chen and Jean-Marc Robert,"The Evolution of Viruses and Worms," in William W.S.Chen,ed.,Statistical Methods in Computer Security,Boca Raton:CRC Press,2004,pp.265-285; Stephen Korns,"Botnets Outmaneuvered," Armed Forces Journal,January 2009,pp.26-39.
(27)Department of Defense,Strategy for Operating in Cyberspace,July 2011,http://timemilitary.files.wordpress.com/2011/07/d20110714cyber.pdf.
(28)相关研究参见Tyler Moore,Richard Clayton and Ross Anderson,"The Economics of Online Crime," Journal of Economic Perspectives,Vol.23,No.3,2009,pp.3-20; Irving Lachow,"Cyber Terrorism:Menace or Myth," in Franklin Kramer,Stuart Starr and Larry Wentz,eds.,Cyberpower and National Security,Washington,D.C.:NDU Press,2009,pp.437-464.
(29)Martin Libicki,Cyberdeterrence and Cyberwar,Santa Monica:RAND,2009; Matthew C.Waxman,"Cyber-Attacks and the Use of Force:Back to the Future of Article 2(4)," pp.421-445.
(30)Stuart McClure,Joel Scambray and George Kurtz,Hacking Exposed:Network Security Secrets and Solutions,New York:McGraw-Hill Osborne Media,2005.
(31)当然,在现实中考虑到技术能力和经济压力绝少存在着漠视威慑成本的战略执行,譬如,很多国家之所以不开发核武器、不搞核威慑,在很大程度是受制于核武器开发的经济、技术和维护成本过高,以至于凭借己方的有限资源和能力难以承受。在这里,本文出于分析上的简洁和理论构造上的简约,以理想状态假定的形式刻意回避了威慑方有关威慑战略执行成本的考虑。
(32)高润浩:《美国的信息制胜战略》,载《解放军外国语学院学报》,2000年第3期,第100-109页。
(33)张文贵、彭博:《美国等西方国家加紧抢占网络空间制高点》,载《信息网络安全》,2010年第10期,第81页。
(34)张文贵、彭博:《美国等西方国家加紧抢占网络空间制高点》,载《信息网络安全》,2010年第10期,第81-82页。
(35)Mark Clayton,"How Stuxnet Cyber Weapon Targeted Iran Nuclear Plant," Christian Science Monitor,November 16,2010,http://www.csmonitor.com/USA/2010/1116/How-Stuxnet-cyber-weapon-targeted-Iran-nuclear-plant.
(36)Department of Defense,Strategy for Operating in Cyberspace,July 2011,http://timemilitary.files.wordpress.com/2011/07/d20110714cyber.pdf.
(37)Arik Hesseldahl,"White House Appoints Cybersecurity Czar," Businessweek,December 22,2009.
(38)President's Commission on Critical Infrastructure Protection,Critical Foundations:Protecting America's Infrastructures,October 1997,http://www.fas.org/sgp/library/pccip.pdf.
(39)Center for Strategic and International Studies,Securing Cyberspace for the 44th Presidency,Washington,D.C.,December 2008,http://csis.org/files/media/csis/pubs/081208_securingcyberspace_44.pdf.
(40)Jack Goldsmith,"General Cartwright on Offensive Cyber Weapons and Deterrence," November 8,2011,http://www.lawfareblog.com/2011/11/general-cartwright-on-offensive-cyber-weapons-and-deterrence/.
(41)Kevin R.Beeker,Robert F.Mills and Michael R.Grimaila,"Applying Deterrence in Cyberspace," 10 Journal,Vol.1,Issue 4,2010,p.25.
(42)譬如犯罪经济学指出,考虑到过重的刑罚如任何抢劫都要被判死刑,则会诱使抢劫者不仅谋财,更会使害命成为一种犯罪常态。此时,刑罚威慑的强度应与犯罪损伤程度按比例原则进行梯度匹配,方能有效防止理性犯罪伤害升级。相关论述可参见Gary S.Becker,"Crime and Punishment:An Economic Approach," Journal of Political Economy,Vol.76,No.2,1968,pp.169-217.
(43)William J.Lynn III,"Defending a New Domain," Foreign Affairs,Vol.89,No.5,2010,p.102.
(44)张文贵、彭博:《美国等西方国家加紧抢占网络空间制高点》,载《信息网络安全》,2010年第10期,第82页。
(45)Intelligence and National Security Alliance,Addressing Cyber Security through Public-Private Partnership:An Analysis of Existing Models,November 2009,http://www.insaonline.org/assets/files/CyberPaperNov09R3.pdf; Department of Homeland Security,Enabling Distributed Security in Cyberspace:Building a Healthy and Resilient Cyber Ecosystem with Automated Collective Action,March 23,2011,http://www.dhs.gov/xlibrary/assets/nppd-cyberecosystem-white-paper-03-23—2011.pdf.
(46)相关报道和分析可参见Myriam Dunn Cavelty,"Cyber-Allies:Strengths and Weaknesses of NATO's Cyberdefense Posture," IP Global Edition,Vol.12/13,2011,pp.11-158; Srijith K.Nair,The Case for an India-US Partnership in Cyber Security,July 14,2010,http://takshashila.org.in/wp-content/uploads/2010/03/TDD-Cy-berCollab-SKN-1.pdf.
(47)相关报道和分析可参见Franz-Stefan Gady and Greg Austin,Russia,The United States,and Cyber Diplomacy:Opening the Doors,June 2010,http://kmsl.isn.ethz.ch/serviceengine/Files/ISN/121211/ipublicationdocument_singledocument/892430ce-6adb-4c32-930a-b389396a6e12/en/USRussiaCyber_WEB.pdf; Kenneth Lieberthal and Peter W.Singer,Cybersecurity and U.S.- China Relations,February 2012,http://www.brookings.edu/~/media/Files/rc/papers/2012/0223_cybersecurity_china_us_lieberthal_singer/0223_cybersecurity_china_us_liebe-rthal_singer_pdf_english.pdf.
(48)Joseph S.Nye,Cyber Power,Belfer Center for Science and International Affairs,Harvard Kennedy School,May 2010,http://belfercenter.ksg.harvard.edu/files/cyber-power.pdf.
(49)Michael Mullen,"From the Chairman:It's Time for a New Deterrence Model," p.2.