防务观察|美网络战略首提威慑，重回冷战式恐怖？

        4月23日，美国国防部长阿什顿·卡特在赴硅谷访问期间公布了新版《网络空间战略》。与2011年美国防部出台的首份《网络空间行动战略》相比，新版战略文件篇幅增加近2倍，内容更具体，观点也更加鲜明。其中最为引人关注的，是美国首次在官方文件中明确表态，要在网络空间保持威慑态势。

要动用力量工具

        美国防部提出，面临网络威胁的不断升级，必须制定并实施全面的网络威慑战略，对关键的国家和非国家行为体产生震慑效果，阻止针对美国利益实施网络攻击。

        在美国看来，网络威慑要获得成功，需要具备以下能力：响应——要使用恰当的力量工具，在美国所选择的时间、地点，以美国所选择的手段，针对那些破坏美国利益的网络攻击作出响应；拒止——国防部必须增强防御能力，以保护国防部网络，保护国家免受复杂网络攻击，并与其他机构、国际联盟与伙伴、私营部门合作，增强拒止威慑能力；恢复——保护网络系统免受所有攻击是不可能的，因此美国必须努力增强网络系统的弹性和冗余，以便在国防部网络受到攻击后继续运转。

        战略文件还特别提出，有些网络行动对国家安全构成严重威胁，但以军事手段响应并不恰当，这时就可采取外交、执法行动，或考虑实施经济制裁。前一时期美国司法部起诉5名中国人民解放军军官，就是要对中国的所谓“经济间谍活动”实施威慑。

冷战核威慑的启迪

        网络威慑在美国由来已久。早在2003年，小布什政府就在《确保网络安全国家战略》中提出，“谋求阻止、慑止和大量减少网络攻击”。2010年1月，时任国务卿希拉里在华盛顿发表讲话称，“任何国家、恐怖集团及其代理人都必须认识到，美国将保护自己的网络……参与网络攻击的国家或个人将面临严重后果与国际谴责”。这一讲话实质上就是一种威慑：如果你伤害了我们，你将承受更重的伤害。次月，美国前国家情报总监迈克·麦康奈尔为《华盛顿邮报》撰写题为《如何赢回我们正在输掉的网络战》的文章，认为要赢得网络战，就必须结合运用网络威慑与先发制人两种手段。前国土安全部部长米歇尔·切尔托夫此后不久也提出，政府应当制订类似于冷战时期核威慑那样的政策，“让所有人都懂得游戏规则”。

        2011年7月，美国防部发布《网络空间行动战略》，首次提出了在网络空间实施“积极防御”的概念。对于这个新词汇的含义，当时的国防部副部长威廉·林恩做出的解释是，美国将做好准备，反击网络敌对行动，而其压倒一切的重点就是威慑。2012年3月，美首任网络司令部司令基思·亚历山大在参加国会听证会时，阐述了美国要秉持网络威慑的基本立场。而就在本月1日，奥巴马又批准行政命令，对于参与攻击美银行、电力网络的黑客，可通过冻结资产等手段实施经济制裁。

        不过，这些讲话和文件均只强调运用威慑理念维护网络安全，而没有明确提出网络威慑的战略或政策。2013年1月，美国防部国防科学委员会发布的《弹性军事系统与高级网络威胁》报告，提出美国应“在网络时代保持威慑态势”。但是，这份报告的官方色彩毕竟有限。与之相比，刚刚出台的《网络空间战略》直接以国防部名义发布，对于如何实现网络威慑也指明了具体的方向与路径，显然具有更强的权威性和指导性。公开表示将威慑作为网络战略的关键部分，这在美国官方文件中还是第一次。

挥之不去的恐惧感

        美国是网络信息时代的领跑者。信息技术的发展和网络系统的普遍应用，刺激了美国经济的持续繁荣，也使美军长期享有远远超越其他国家军队的绝对优势。但网络是一柄双刃剑。美国作为高度网络化的国家，整个社会运转对网络的依存度大大超过全球平均水平，国家各种基础服务，如电力油气供应、水力供给、通信服务等，都通过计算机网络实现；金融系统利用网络在世界范围内转移资金，大多数公司把财务记录储存在计算机内；科学研究、交通运输、医疗卫生、人际交流乃至日常娱乐等，无不依赖于网络系统。这使得美国对网络威胁产生了极为强烈的恐惧感，“网络珍珠港”、“网络9·11”等耸人听闻的词汇时常在美国高官口中出现。

        然而，网络空间本身就是个易攻难守的新空间。网络空间覆盖全球，体系结构松散，节点设备众多，信息流动频繁，这给防御带来了极大的困难，而攻击者所要做的，却只是发现一个漏洞。与传统的隐形飞机、航空母舰等武器不同，网络武器的研发不需要大型基础设施和特殊原材料，只要有一台可以联接互联网的计算机和几个高水平的黑客。新出台的《网络空间战略》进一步指出，即使没有这样的技术水平，也可以在网络“黑市”上以低廉的价格购买恶意软件，或是雇佣一些专家去寻找敌人网络中的漏洞。因此，西方学者普遍认为，“在这种进攻为主的世界中，消极防御最终必然失败，威慑似乎是不可回避的选择。”

        回顾历史，威慑几乎是与人类战争同步出现的。不过，威慑受到高度重视，还是在核武器出现之后，而且是在美国得到了最充分的运用。冷战期间，美国政府先后出台的“大规模报复”、“相互确保摧毁”、“战略足够”、“有核选择”、“抵销”战略等，都是基于核威慑理论制定的。在美国看来，核威慑有效地防止了美苏两个核大国之间的军事冲突，也成功地保护了美国安全，是美实现全球战略的重要保障。

        在这种情况下，既然网络空间与人类社会的交融日益密切，在网络领域适用威慑理论，就自然而然地成为了美国的必然选择。

构想美好现实“骨感”

        网络威慑可以用低成本的手段防止高风险的威胁，达到“不战而屈人之兵”的效果，看似是完美的选择。然而，构想很美好，现实却是“骨感”的。美国虽然提出了网络威慑的构想，但要确保这种威慑有效，却面临着重重困难。不少学者认为，网络行为的匿名性和全球到达性、网络结构的松散性和相互关联性、网络技术的廉价性和易获取性，都大大削减了威慑在网络空间的效用。原网络司令部司令亚历山大曾悲观地表示，核威慑不能有效转移到网络战的新领域，“政府对于网络威胁的回应是否起到了威慑犯罪分子、恐怖集团和部分国家的作用，目前还不清楚。”

        概括起来，美国推动网络威慑面临“三难”。

        一，威慑对象难明确。在网络空间，如何判定威慑对象，或者说攻击的可能发起者，是一个难题。《网络空间战略》也承认，有能力发动网络攻击的行为体多种多样，既有网络技术发达的传统大国，也有伊朗、朝鲜这样的虽然网络技术相对落后但对美国充满敌意的国家，还有“伊斯兰国”这样的恐怖组织。由于网络空间可以匿名进入和开展行动，要找出攻击的真正来源并不容易。虽然这份报告宣称美国的溯源能力有巨大进步，但如何证明通过溯源追踪到的IP地址是真正的攻击来源，而不是攻击的跳板？即使能够证明攻击确实由这个IP地址发出，又如何判定坐在计算机前的人是什么身份，是国家政府组织、受政府或某些集团操纵的黑客、还是自由行动的个人？

        二，全面防御难实现。美国在《网络空间战略》中提出，要形成强大的防御能力，以实施拒止威慑。“拒止威慑”是威慑的主要方式之一，其基本原理是，使对手认为攻击行动无论如何也不能成功，或是为实现攻击要付出太大的成本，从而放弃行动。要实现拒止威慑，就要让对方相信，自己的防御无懈可击。但是，网络空间是由人建造的，所有的软件都是由人编写的，难免存在人为错误。据估计，平均每1000行计算机代码中就有15-50处错误。这意味着每个程序或操作系统都有错误存在，都有可乘之机，如何在这样的网络中实现全面的防御？

        三，威慑力量难展现。与真刀真枪的实战不同，威慑是心理意志的较量，就是要使潜在的对手产生足够的恐惧感和挫败感。但在网络空间，如何才能达到这样的效果？在传统的陆、海、空等物理空间，可以建造长城、碉堡，让对手觉得进攻成功无望；也可以打造航空母舰、重型轰炸机、坦克战车，让对手担心自己的进攻会遭到猛烈反击。但在网络空间，无论是进攻还是防御都是无形之力，没有办法展示。虽然美国表态，对于网络黑客活动可以采取经济制裁，对于严重的攻击也会以包括军事在内的多种手段报复，但是，哪些黑客行动会严重到采取经济制裁？在当前全球互联的大背景下，没有充分证据就挥动制裁大棒，难道不会让自身反受其害吗？尤其是司法起诉这种将国内法适用于外国军官的做法，是否太过蛮横？如果要动用美国最擅长的军事手段，未免就更加霸道，连西方学者也不禁质问，哪个国家会“因为字节而杀人”？