近年来美国网络威慑理论研究述评_网络攻击论文

近年来美国网络威慑理论研究述评_网络攻击论文

近年美国网络威慑理论研究述评,本文主要内容关键词为:述评论文,美国论文,理论研究论文,近年论文,网络论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。

随着互联网技术高速发展,网络广泛运用于经济、社会与政治、军事领域,成为继海、陆、空、天之后的第五维空间,是世界各大国争夺的战略焦点之一。美国高度依赖网络,其面临的网络安全风险也随着网络技术的发展而不断增加。在这种情况下,美国理论界开始思考如何进行网络威慑理论构建,以及如何指导国家进行网络威慑力量建设、慑止他国对美国网络的攻击。

一、美国网络威慑理论研究兴起的背景及宗旨

“网络威慑”概念由詹姆斯·德·代元(James Der Derian)于1994年首次提出。①1995年,美军制定《后冷战时代的威慑实质》秘密文件,要求扩大威慑研究。②2006年美国国防部签发《威慑行动联合作战概念》(Deterrence Operations Joint Operating Concept),认为冷战时代的威慑理论可适用于后冷战时代的各种威胁。③由此,美国军方、智库等各界纷纷举行研讨会,发表文章,出版研究报告,为美国网络威慑战略出谋划策。目前,美国对网络威慑的讨论方兴未艾,其热度不亚于冷战时期的核威慑讨论,并成为美国第四波威慑理论研究的重点。④

从目前情况看,参与网络威慑理论讨论的有美国学者及政界和军界人士,其中智库(包括兰德公司、东西方中心、战略与国际研究中心等)扮演了重要角色,它们纷纷组织辩论会、出版论文集及专题研究报告。美军《战略研究季刊》(Strategic Studies Quarterly)在2010年和2011年连续两年为网络威慑研究开辟专栏,集中刊载学者对网络威慑理论的争论。专业学术期刊也登载了关于网络威慑具体问题的争论,如网络攻击与武装冲突的攻击问题等。⑤

任何理论研究都是为现实需要张本,美国的网络威慑理论研究也不例外,它从一开始就是为美国网络威慑战略服务的。正如前所述,美国军方希望扩大威慑领域以应对后冷战时代的各种威胁,美国理论界把威慑理论运用到网络领域正是顺应美国军方的要求,并为美国政府和军方准备实施网络威慑战略出谋划策。

经过多年的讨论,美国理论界、政界和军界对网络威慑的一些理论问题取得共识。在此基础上,美国政府和军方在2011年5月和7月先后公布《网络空间国际战略:互联网世界的繁荣、安全和开放》⑥和《网络空间行动战略》⑦,明确宣布美国要采取威慑手段应对敌对的网络行动,并保留诉诸武力的权力;美军应有效慑止、击败针对美军的网络攻击。这两个文件表明,美国开始正式高调实施网络威慑战略。

二、美国网络威慑理论研究中的争论焦点

美国对网络空间的依赖程度极高,加之网络安全的脆弱性,刺激了潜在对手对美国网络发起攻击的冲动,据称美国国防部网站每天都受到几万次的攻击、扫描、侦探等。在复兴威慑理论研究之际,美国理论界试图把网络威慑作为保护美国在网络空间安全与利益的手段,但就威慑理论可否适用于网络空间而论,美国理论界仍然存在分歧。一些学者认为,鉴于网络空间的“霍布斯状态”,以目前的技术,人们还不能完全确定网络攻击的来源。不知道谁是网络攻击的“幕后黑手”,美国就没有惩罚对象;不能惩罚攻击,就不能发挥威慑效果。⑧此外,发起报复会对无辜系统产生负面影响,代价是高昂的。⑨也有学者认为,从技术上讲“归因问题”确实存在一些困难,因为网络空间的特性确实给实施网络威慑战略提出了挑战,如果在理论上忽视网络攻击的地缘政治背景,无疑会扩大网络威慑的难度。但事实上,网络威慑在实践中实施比理论上证明更加容易,因为网络攻击最终与物理空间密不可分,那就是网络攻击总是发生在一定的时空背景下。⑩他们认为,在特定的国际关系背景下,攻击的时间可以为确定攻击源头提供线索。

威慑的本意就是通过显示或威胁使用强大实力使潜在对手确信改变现状的收益远远小于维持现状的获益,从而慑止对手的进攻行为。实际上,威慑就是采取决定性行为影响对手的决策。要想实现影响对手决策的目的,需要强化对手对美国实施报复行动(包括网络报复、常规报复、甚至核报复)威胁的感知。但如何向对手传递美国的决心与意志呢?理论界对此也存在分歧。有人认为,首先,美国要发展与展示其对威胁的探知能力,即使不是完美无缺的,但是只要这个能力足够良好,就可以让对手担心,一旦他们的行动被侦探到,美国的报复将是强有力的。(11)其次,美国要发展与展示反击能力。例如战略与国际研究中心成员、退役的参联会副主席卡特莱特(James Cartwright)在接受路透社采访时就明确表示,美国应该公开讨论发展网络攻击能力,并且试验这些能力,把网络攻击能力隐藏起来就不具备威慑效果,因为敌手不知道其存在,就没法起到吓唬作用。(12)第三,美国应该明确宣示性政策,并且要画一条清晰的“红线”,阐明美国网络威慑姿态,说明美国如何进行回应,以及为什么进行回应。如波托马克政策研究所(Potomac Institute for Policy Studies)的史密斯(David Smith)就认为,美国应该明确告诉世人,在其利益受到威胁时将进行何种回应,以及回应将包括何种手段。(13)

有些研究者并没有对上述观点提出明确反对意见,只是质疑其可行性。他们认为,发展探知能力就是发展“归因能力”。正如前述,“归因问题”目前还无法完全解决。展示反击能力而不使用它,可能失去威慑效果,而且一旦进行了展示,对手就有机会抵御这种威胁。(14)此外,网络武器是“一次性使用”(single use)的武器,其密码、漏洞会很快出现在网络上;(15)讨论、展示网络武器能力,并不能产生威慑效果,除非使用这些武器。而真正使用网络武器存在许多困难,因为当今的主要威胁是网络剥削(cyber-exploitation),如间谍活动、偷窃和复制,这些活动并没有违反国际法,不能根据国际法证明使用军力是正当的;而且讨论、展示网络攻击武器与能力,可能引发网络军备竞赛,让美国弄巧成拙;确定“红线”,则等于允许对手进行不越过“红线”的活动。(16)况且确立明确的网络威慑门槛是困难的。(17)

根据经典理论,威慑有两种手段,即惩罚威慑(deterrence by punishment)与拒止威慑(deterrence by denial)。(18)美国理论界对这两种威慑手段运用于网络空间也进行了讨论。美国防部网络问题协调员办公室高级政策顾问马尔可夫(Michael Markoff)认为,一套冗余战略在慑止对手对美国基础设施发起网络攻击中是有效的,这包括更好的防御及更好的弹性。(19)有学者则认为,使用网络武器进行攻击与报复,会产生极为严重的后果。普林斯顿大学伍德罗·威尔逊公共和国际事务学院核问题专家肯普(R.Scott Kemp)称:“网络武器似乎不会像核武器那样明显地造成大规模毁灭,但危及我们这个时代的一些最宝贵资产:现代社会赖以建立的信息存储与控制机制。”(20)甚至有学者认为,网络武器的威力等同于核武器。肯尼特·本尼迪克特(Kennette Benedict)指出,尽管恶意软件也许不会“立即造成广岛和长崎那种恐怖景象,但空中交通管制系统、电网、金融市场等重要基础设施出现故障所引起的混乱,可能会造成广泛的破坏、令人难以置信的困难乃至死亡”;用震网病毒攻击伊朗的核设施,旨在破坏伊朗制造原子弹进程,但具有讽刺意味的是,“在终结一个大规模毁灭时代的过程中,将开启一个新的大规模毁灭时代”。(21)也有人认为,以增加冗余的方式对慑止对手发起网络攻击可能会起作用,但是纯粹的拒止威慑手段是有局限性的。即使对手认为其攻击不一定会成功,但是如果觉得攻击成本较低,他们是不会被慑止的,他们仍会尝试发起网络攻击。

威慑的另外一个手段,即惩罚威慑可否适用于网络空间?有人主张美国必须对网络攻击行为进行报复。这一点可以从以色列的做法中吸取经验。长期以来,以色列通过不时地威胁和报复来自约旦、埃及和巴勒斯坦的袭击者,获得了控制冲突升级的行动空间,产生了于己有利的局势,因而带来了总体和平。这种“积极威慑”(active deterrence)就是实际使用武力与威胁使用武力相结合的典范,并收获了安全。(22)而有人则认为不应、也不可能对所有网络攻击进行报复。

规模与影响是考虑进行报复的绝对关键性因素。(23)位于华盛顿的“全球网络风险”(Global Cyber Risk)智库的创办人兼首席执行官韦斯特拜(Jody Westby)指出,在报复网络攻击之前,领导人一定要慎重,“美国受到感染的计算机比世界上任何国家都多”,一旦后门被激活,美国网络有可能被摧毁。(24)肯普更为谨慎地指出,由于美国高度依赖网络,一旦实施报复,不可避免地会引起对手进一步的网络报复。在这个过程中,美国的损失最大。因此,对于美国来说,“安全路径就是指导美国网络研究用于纯粹的防御应用”,他呼吁美国“单方面作出这种选择”。(25)

三、美国网络威慑理论的下一步研究重点

随着美国政府和军方正式公布实施网络威慑战略,而且偏重于报复威慑战略,美国理论界已经不再纠结于网络威慑是否可行、报复威慑是否可行等问题,而是更加关注如何更好地为美国网络威慑战略服务。因此,美国理论界下一步试图解决的是如下一些问题。

其一,既然美国政府和军方确定对网络攻击行为进行报复性惩罚,那么如何进行惩罚呢?除了一般的经济制裁外,报复性惩罚是集中于网络空间?还是可以动用常规军事甚至核力量进行报复?报复集中于网络空间是合理的。对网络依赖程度高的对手实施网络报复,可以“确保相互摧毁”,这种情况下的网络报复可信度高。但是,没有一个国家对网络的依赖程度像美国这样高,因此如何进行报复的问题就出现了。如果只进行网络报复,而不采用常规军力或核军力进行报复,其作用十分有限,因为非动能报复的影响要么不可预测,要么不如动能打击所产生的影响那样直接。对于那些很少依赖网络、但发起的网络攻击会给美国造成巨大破坏的国家,如朝鲜,美国是否可以用常规军力打击指定目标,或者策划敌对国的政权更迭?在极端情况下,美国可否采用核升级的方式威慑潜在对手,慑止其针对美国国家安全极为重要的资产与能力而实施毁灭性网络攻击?美国是否应该把对“关键基础设施”的网络攻击与核报复联系起来?(26)

其二,是否对对手的网络攻击采取报复,在很大程度上取决于网络攻击是否等同于武装攻击或使用了军力。多数学者认为,网络攻击无论从规模上还是影响上看是否等同于武力攻击还很难确定,毕竟相关国际法并没有对此进行界定,答案需要从政治、外交、战略考虑来寻求,而不是仅仅从抽象的国际法规则中寻求。(27)但他们把对战略指挥、控制、早期预警资产的网络攻击,视为特殊的武装攻击。(28)这种美国式的解释固然有助于威慑潜在对手,但是不排除潜在对手进行各种网络攻击,以试探美国实施报复的底线。这是美国所不能承受的。因此,需要修改国际法,尤其是《武装冲突法》。但是,国际社会在网络领域的相关概念如网络空间、网络攻击、网络战等的界定上都存在分歧,修改相关国际法存在很大困难。所以,美国理论界和政府试图用网络行为规范来修改、制定相关的国际法(29),尤其要解决一些相关概念的界定,并取得国际认同。美国理论界和政府正在与国际社会就此问题进行广泛讨论,并在一些问题上取得了一定共识。

其三,进行报复还要解决好相称问题。对手使用逻辑武器攻击美国,但是没有产生附带伤亡,美国使用报复手段打击行为体,是否恰当?尤其是使用常规军力与核军力会产生直接、大量的伤亡,这与国际法中的有关相称原则相冲突。即便有行为体使用网络武器摧毁了美国的核设施与化工厂,美国出于伦理方面的考虑,也不应该打击对手的化工厂和核电站;而若攻击行为体的银行账户,则可能引发全球金融危机。(30)网络攻击肯定会造成信息损失,甚至可能造成间接的社会损失。此外,合理的小型攻击也会产生严重后果。即便是出于无心之过,因为它们可以通过全球网络进行传播;相反,带有侵略意图的大规模进攻却可能产生适当的后果,尤其当这些攻击进行得很糟糕之时,或者防御方采取了适当措施把损失最小化之时。因此,在进行报复时不能简单地套用相称原则,更不能对此一刀切。相称问题是一个主观判断。(31)决策者在考虑攻击者意图、攻击后果、战略局势等情况下,最终会决定如何进行回应。(32)

其四,如何对不同行为体进行威慑。目前,几乎所有的网络威慑研究都集中于国家行为体,较少涉及如何威慑非国家行为体的问题。从理论上讲,网络威慑对非国家行为体、尤其是恐怖分子的作用是有限的。即使就讨论如何威慑国家行为体而言,美国理论界也没有区分不同网络实力的对手,而试图一劳永逸地用同样的网络实力威慑所有国家行为体。尽管小布什政府曾提出“量体裁衣式威慑”(tailored deterrence)概念,但对这一威慑概念的具体实施与贯彻还需要有针对性地进行研究,尤其是对于特定行为体要进行专门的威慑研究。(33)

注释:

①“Cyber-Deterrence”,Wired Magazine,September 1994,http://www.wired.com/wired/archive/2.09/cyber.deter_pr.html.(上网时间:2012年5月10日)

②参见:US Strategic Command,“Essentials of Post-Cold War Deterrence”, 1995, http://www.nukestrat.com/us/stratcom/SAGessentials.PDF.(上网时间:2012年5月10日)

③US Department of Defense,“Deterrence Operations Joint Operating Concept”, http://www.dtic.mil/futurejointwarfare/concepts/do_joc_v20.doc.(上网时间:2012年5月10日)

④Jeffrey W.Knopf,“The Fourth Wave in Deterrence Research”, Contemporary Security Policy, Vol.31, No.1,April 2010,pp.1-33.

⑤Matthew C.Waxmant,“Cyber-Attacks and the Use of Force: Back to the Future of Article 2(4)”, The Yale Journal of International Law,Vol.36, No.2,2011,pp.421-459.

⑥The White House,“International Strategy for Cyberspace:Prosperity,Security,and Openness in a Networked World”,May 2011, http://www.whitehouse.gov/sites/default/files/rss_viewer/international_strategy_for_cyberspace.pdf.(上网时间:2012年5月10日)

⑦Department of Defense,“Strategy for Operating in Cyberspace”, July 2011, http://timemilitary.files.wordpress.com/2011/07/ d20110714cyber.pdf.(上网时间:2012年5月10日)

⑧Adam Segal,“Can U.S.Deter Cyber War?”January 12,2012,http://thediplomat.com/flashpoints-blog/2012/01/12/can-u-s-deter-cyber-war/.(上网时间:2012年6月20日)

⑨Kevin L.McLaughlin,“Cyber Attack! Is a Counter Attack Warranted?” Information Security Journal,Vol.20,No.1,2011,p.62.

⑩The Brookings Institution,“Deterrence in Cyberspace:Debating the Right Strategy with Ralph Langner and Dmitri Alperovitch”,September 20,2011, p.12, http://www.brookings.edu/~/media/Files/ events/2011/0920_cyberdeterrence/20110920_cyber_defense.pdf.(上网时间:2012年5月10日)

(11)The Brookings Institution,“Deterrence in Cyberspace:Debating the Right Strategy with Ralph Langner and Dmitri Alperovitch”,September 20,2011, p.10, http://www.brookings.edu/~/media/Files/ events/2011/0920_cyberdeterrence/20110920_cyber_defense.pdf.(上网时间:2012年5月10日)

(12)Andrea Shalal-Esa,“Ex-U.S.general urges frank talk on cyber weapons”,November 6,2011, http://www.reuters.com/article/2011/11/06/us-cyber-cartwright-idUSTRE7A514C20111106.(上网时间:2012年6月20日)

(13)Andrea Shalal-Esa,“Ex-U.S.general urges frank talk on cyber weapons”, November 6,2011, http://www.reuters.com/article/2011/11/06/us-cyber-cartwright-idUSTRE7A514C20111106.(上网时间:2012年6月20日)

(14)反击能力的展示自然也包括“归因”技术的展示,攻击方有可能从中获悉其弱点,避开其侦探。参见:Jonathan Solomon,“Cyberdeterrence between Nation-States:Plausible Strategy or a Pipe Dream?” Strategic Studies Quarterly, spring 2011,p.8.

(15)Eric Talbot Jensen,“Cyber Deterrence”, May 19,2012,pp.16-17.http://papers.ssrn.com/so13/papers.cfm?abstract_id=2070438.(上网时间:2012年6月20日)

(16)Jack Goldsmith,“General Cartwright on Offensive Cyber Weapons and Deterrence”,November 8,2011,http://www.lawfareblog.com/2011/11/general-cartwright-on-offensive-cyber-weapons-anddeterrnce/.(上网时间:2012年6月21日)

(17)Jonathan Solomon,“Cyber deterrence between Nation-States: Plausible Strategy or a Pipe Dream?” Strategic Studies Quarterly,Spring2011,p.8.

(18)Glenn Snyder,Deterrence and Defense:Toward a Theory of National Security,Princeton University Press,1961,pp.3-16.

(19)“Overlapping defense essential to deter cyber attacks:Panel members”, November 8,2011,http://defensesystems.com/articles/2011/11/08/agg-cyber-defense-panel.aspx.(上网时间:2012年6月21日)

(20)R.Scott Kemp,“Cyberweapons: Bold steps in a digital? darkness?”Bulletin of the Atomic Scientists,June 7,2012,http://www.thebulletin.org/web-edition/op-eds/cyberweapons-bold-stepsdigital-darkness.(上网时间:2012年6月23日)

(21)“Bulletin of the Atomic Scientists Warns of Cyber Arms Race”, Bulletin of the Atomic Scientists,June 18,2012,http://www.infosecisland.com/blogview/21668-Bulletin-of-the-Atomic-Scientists-Warnsof-Cyber-Arms-Race.html.(上网时间:2012年6月23日)

(22)Eric Sterner,“Retaliatory Deterrence in Cyberspace”,Strategic Studies Quarterly,Spring 2011,p.70.阿尔莫格则使用的是“累积威慑”(cumulative deterrence)概念,参见:Doron Almog,“Cumulative Deterrence and the War on Terrorism”,Parameters,Vol.34,No.4, Winter 2004/2005,p.8.

(23)The Brookings Institution,“Deterrence in Cyberspace:Debating the Right Strategy with Ralph Langner and Dmitri Alperovitch”,September 20,2011,pp.7-9,http://www.brookings.edu/~/media/ Files/events/2011/0920_cyberdeterrence/20110920_cyber_defense.pdf.(上网时间:2012年5月10日)

(24)Mike Cronin, “U.S.Cyber Strategy:The Perils of Deterrence”.World Politics Review, June 10,2011,http://www.worldpoliticsreview.com/articles/9126/u-s-cyber-strategy-the-perils-of-deterrence.(上网时间:2012年6月23日)

(25)R.Scott Kemp,“Cyberweapons:Bold steps in a digital? darkness?” Bulletin of the Atomic Scientists,June 7,2012,http://www.thebulletin.org/web-edition/op-eds/cyberweapons-bold-stepsdigital-darkness.(上网时间:2012年6月23日)

(26)参见Jonathan Solomon,“Cyber deterrence between Nation States: Plausible Strategy or a Pipe Dream?” Strategic Studies Quarterly, Spring 2011,pp.13-14.

(27)James P.Farwell & Rafal Rohozinski,“Stuxnet and the Future of Cyber War”, Survival,Vol.53,No.1,2011,pp.30,34.

(28)Jonathan Solomon,“Cyber deterrence between Nation-States: Plausible Strategy or a Pipe Dream?” Strategic Studies Quarterly,Spring2011,pp.12-13.

(29)DHS,“Commerce seek voluntary cyber code of conduct”, October 5, 2011, http://www.federalnewsradio.com/?nid=473&sid=2578791;“Debating an International Cyber Code of Conduct”, March12, 2012, http://www.airforce-magazine.com/DRArchive/Pages/2012/March%202012/March%2023%202012/DebatinganInternationalCyberCodeofConduct.aspx.(上网时间:2012年6月23日)

(30)The Brookings Institution,“Deterrence in Cyberspace:Debating the Right Strategy with Ralph Langner and Dmitri Alperovitch”, September 20, 2011,pp.17-18, http://www.brookings.edu/~/media/ Files/events/2011/0920_cyberdeterrence/20110920_cyber_defense.pdf.(上网时间:2012年5月10日)

(31)James P.Farwell & Rafal Rohozinski,“Stuxnet and the Future of Cyber War”, Survival,Vol.53, No.1, 2011, p.33.

(32)Eric Sterner,“Retaliatory Deterrence in Cyberspace”,5trategic Studies Quarterly, Spring 2011, p.73.

(33)Eric Talbot Jensen, “Cyber Deterrence”,May 19,2012,pp.10-11, http://papers.ssrn.com/so13/papers.cfm?abstract_id=2070438.(上网时间:2012年6月20日)

标签:;  ;  ;  

近年来美国网络威慑理论研究述评_网络攻击论文
下载Doc文档

猜你喜欢