本文是《美国观察》栏目推出的第87篇文章。梳理美国《2023年国防部网络战略》出台的背景,分析并探讨该战略转向应对低烈度恶意网络行为,强化“一体化威慑”和调整国防部在维护网络安全中的作用等主要特征,以及对维护我国网络安全的启示。
2023年9月12日,在新美国安全中心关于新版《网络战略》活动的讲话上,美国助理国防部长约翰·普拉姆(John Plumb)谈到,网络威胁环境的显著变化是新版《网络战略》出台的主要原因。[1]
一是乌克兰危机为美军提供网络战经验。面对俄罗斯对乌克兰的网络行动,美国早在危机爆发前就派白宫最高网络安全官员访问北约,增加前往东欧的“前沿狩猎”(Hunt Forward)小组数量,从而加强美国及其盟友与乌克兰的网络防御能力。危机升级后,乌在美西方盟友援助下抵抗俄网络行动,并发动反击,一度令包括俄罗斯天然气工业银行、莫斯科信贷银行在内的2400个俄网站瘫痪。[2]此外,俄乌双方也大打舆论信息战以争夺话语权。
二是中国网络能力提升带来的“威胁”。新版《网络战略》将中国视为“步步紧逼的挑战”(Pacing Challenge),认为谋求网络空间优势地位是中国“战胜”美国的核心。一方面,美国担忧中国开展所谓“网络间谍”活动以“窃取技术机密”;另一方面,中国强大的网络能力及其对网络环境的塑造被视为对美国国土安全和海外利益的威胁。[3]
三是跨国犯罪组织及其支持国家对美国关键基础设施构成风险。近年来,美国国内频繁遭受黑客组织和勒索软件团伙的网络攻击。美国政府的多个机构与公司曾在2020年初的“太阳风”(SolarWinds)事件中遭受入侵。2021年5月7日,黑客组织“黑暗面”(Darkside)袭击美国科洛尼尔输油管道公司系统,迫使该公司支付500万美元赎金以恢复美国东岸的石油供应。美国认为这些行动背后通常有敌对国家资助,需要加以防范。
新版《网络战略》的主要特征与现实转向
21世纪以来,美国的网络威慑战略先后经历被动应对、主动防御、攻势主导和立体威慑四个阶段,实现从重防御到重进攻的战略调整。[4]不同于《2018年国防部网络战略》对先前的网络战略大幅调整以应对大国竞争,新版《网络战略》在多个领域都延续了特朗普政府时期的进攻性战略主张。不过,该战略在网络威慑理念、国防部捍卫网络安全的责任等方面也有较大改进,是对拜登政府以来的立体威慑阶段战略理念的进一步巩固和发展。新版《网络战略》承认了网络能力的局限性,并计划更好利用网络资源实施网络威慑,护持美国的网络霸权地位。这些主要特征,展现了美国网络战略的现实转向:[5]
(一)新版《网络战略》从预防“网络珍珠港事件”转向应对低烈度恶意网络行为。
长期以来,美国对突遭大规模网络攻击十分担忧。2012年10月11日,时任美国国防部长莱昂·帕内塔(Leon Panetta)发出警告,对美国关键基础设施的网络攻击可能会严重损害美国安全,其后果堪比二战时日军偷袭珍珠港。[6]这一警告随后被媒体大肆渲染为“网络珍珠港事件”的到来。尽管学界有观点批判“网络珍珠港事件”是虚假想象,[7]却难以消除美国政策制定者和公众对网络威胁的恐慌情绪。然而,这种大规模攻击发生的可能性极低,而且美国报复性威慑的可信性足以应对。与尚未发生的“网络珍珠港事件”相比,窃取知识产权、分布式拒绝服务攻击(DDoS)、间谍活动等恶意网络行为却频繁出现。这产生了原有威慑逻辑下的悖论:低于网络攻击门槛的恶意网络行为无法通过大规模网络攻击进行报复。若继续采取不对称的报复行为很可能会促使冲突升级,反而使网络威慑的可信性降低。
鉴于此,为应对较低烈度的恶意网络行为,美国国防部首先在《2018年国防部网络战略》中提出“前置防御”(Defend Forward)概念,表明美军将把网络防线推进至敌方前线,在遭受敌军网络攻击前进行防御。随后,“持续交战”(Persistent Engagement)于2019年正式成为美军实施网络威慑的战略理念。通过与竞争对手“持续交战”,美军将增加其行动成本,使其无法在网络空间采取有效行动,进而改变其网络政策,其实质是以攻代守,借助超过竞争对手的不对称优势捍卫美国的网络霸权地位。这些概念充分体现美军先发制人的军事理念。新版《网络战略》继承了这一军事理念,通过网络进攻手段创新使战略更加贴合现实。此外,该战略要求美军继续采取“前沿狩猎”(Hunt Forward)行动以增强网络延伸威慑。作为“前置防御”的升级版本,该行动由美国网络司令部向海外派遣网络作战部队,定期帮助美国的盟友与伙伴识别网络漏洞,从而提升其网络能力。
(二)新版《网络战略》从强调单独运用网络能力转向谋求发挥“一体化威慑”能力。
除了“网络珍珠港事件”的夸张想象,冷战时代的核威慑理论模型也曾在美国诸多政府执行的网络威慑战略中被奉为圭臬。依据核威慑理论,美国网络威慑需要构建强大的网络能力,并可信地威胁使用该能力。然而,网络威慑面临归因困难、存在“零日漏洞攻击”(Zero-Day Attack)和网络碎片化等问题,致使威慑效果受限。2020年后,美国网络战略与其他安全战略的配合愈加成熟,美国网络威慑战略在技术创新的推动下向体系化方向发展。美国网络空间日光浴室委员会(Cyberspace Solarium Commission,简称CSC)于2020年3月提出“分层网络威慑”(Layered Cyber Deterrence),以规则性威慑为基础,综合拒止和惩罚手段实现网络威慑,并辅之以跨域威慑。拜登执政后沿袭了这一战略思路,并提出“一体化威慑”概念,试图在“全政府”模式下利用新兴技术优势在更高维度、更大范围内针对竞争对手形成新的威慑体系和威慑能力。[8] “一体化威慑”包含常规、核、网络、空间、信息等多个领域。其中,网络领域作为高科技前沿,自然成为美军必须抢占的战略高地。
依据“一体化威慑”,网络领域以外的敌对行为甚至是传统军事冲突也能受到美国的网络威慑。网络威慑的非动能性和可逆性令其能够很好地充当防止危机升级的手段,表明美国在危机中所具有的利害关系,也能通过归因模糊来为竞争对手制造不确定性。[9]此外,乌克兰危机也证实,单独运用网络能力效果不佳,因为俄罗斯对乌克兰的网络行动并没有取得战略成效。在“一体化威慑”的指导下,新版《网络战略》基于现实对原有战略进行了调整,令其更具实用性。该战略明确承认,单独使用网络能力几乎不会产生威慑效果,反而是将其与其他国家权力工具配合使用最有效,由此产生的威慑效果远超单独使用各类工具之和。不过,由于网络威慑归因的不确定性有可能反噬攻击者自身,[10]因此,美国目前的网络威慑战略也有保持克制的一面。新版《网络战略》表示“国防部将继续密切关注对手的观点,并管控风险以防局势意外升级”。[11]
(三)新版《网络战略》中国防部在保护民用网络安全中的作用从全面覆盖转向选择性防御。
尽管美国政府多年来一直强调保护支撑美国军事优势的民用资产,但相较于《2018年国防部网络战略》,新版《网络战略》尝试降低对国防部在民用网络安全中作用的期望,使之更符合实际情况。
新版《网络战略》对公私合作的调整主要出于两方面考量。一方面,保护美国民用关键基础设施至关重要。发达国家往往对网络具有高度依赖性,一旦遭受网络攻击便会损失严重,并且这种网络攻击通常成本较低。新版《网络战略》将扩大国防部与私人企业之间的合作关系,通过提供资源、专长和情报提升私人企业的网络韧性。国防部也将利用私人企业的技术优势识别恶意网络活动,填补网络漏洞。包括谷歌、亚马逊等在内的私人企业就在保护乌克兰抵御俄罗斯网络入侵方面发挥了重要作用。
另一方面,美军并不适合保卫民用网络。新版《网络战略》宣布,国防部不会试图保护所有的私营部门网络,只在少数情况下受命保护民用关键基础设施。原因在于,美国国内根深蒂固的保守主义思想反对政府过度介入私人企业,国防部因而缺乏足够的立法授权网络部队,只对国防工业基地(DIB)具有明确防卫义务。因此,国防部将更多通过信息共享等非直接方式保卫私人企业的网络安全,把更多资源分配到“前置防御”等进攻性网络活动以期从源头上消除网络威胁。
新版《网络战略》对我国的启示
中美关系波动叠加新冠疫情影响,导致近年来两国间人文交流受到一定阻碍。但中美民间交往的纽带并未阻断,中美两国在诸如旅游、教育等领域上存在广泛交流基础,中美人文交流的改善存在深厚的现实基础。
在美国战略转向大国竞争的背景下,中国已成为美国网络威慑的首要目标。美国国防部新版《网络战略》发布后,受其指导的美国军方将延续先发制人的进攻性理念,基于现实主义调整和强化对中国的网络威慑。对此,笔者尝试提供几点我方回应的政策启示:
第一,加强网络能力建设以保护信息安全。在日益激烈的网络军事化态势下,加强网络能力建设求得自主性安全将成为长期目标。针对“前置防御”、“持续交战”等理念和行为,中国应结合自身特色和需要,着力发展自己的防御和避险机制,保护重要信息资源。
第二,重视网络技术发展与技术合作。长久以来,美国政府和军方对关键技术的研发和应用高度重视。同时,产业界在半导体芯片、操作程序上的优势也是美国网络霸权的重要组成部分。此外,美国与其盟友的技术合作和围绕技术治理的磋商较为频繁。中国应重视网络技术发展与合作,集中力量实现重难点技术攻关,实现创新型发展。
第三,增进战略互信以促进战略稳定。增强中美两国间的战略互信有助于避免误判,防止网络战走向无序化。从新版《网络战略》中可以看出,美国也试图为避免冲突划出红线。“持续交战”的高频度对抗即使是低烈度的,也有冲突升级的风险,“一体化威慑”中对不同工具的不当使用也可能激化矛盾,最终破坏两国的战略稳定。值得一提的是,中美双方已经开始通过沟通了解彼此意图。两国于9月22日就 2023 年国防部网络战略非机密摘要及相关网络问题举行工作级别会议,就一系列网络相关话题进行了实质性讨论。[12]
总而言之,针对新版《网络战略》带来的威胁,中国应加强网络建设以应对美军网络行动,强化技术发展引擎,提升应对突发风险和局势升级的能力,从而在网络博弈中更好地维护国家安全与发展利益。
编:赵书韫 审:孙成昊 (本文仅代表作者个人观点,与清华大学战略与安全研究中心立场无关。引用、转载请注明出处。)