編者按
近日,美國《紐約時報》資深記者David Sanger援引白宮消息源稱,美方已經決定對華實施網絡報復,以懲罰“竊取2000萬美國政府雇員信息”的黑客行為,但具體如何實施報復尚存爭議。一時間,各種有關報復手段的討論和建議甚囂塵上。對于報道中提及的報復手段之一——“攻破中國的防火墻”, 美國智庫外交關系委員會網絡問題專家史國力評估認為,這種報復方式“具有造成沖突急劇升級的風險“,是”不相稱的(disproportionate)反應”;美國陸軍戰爭學院教授Steve Metz從網絡戰的原則出發提出,要威懾網絡攻擊,必須展現同時在現實空間和網絡空間進行對稱和非對稱回應的能力;相較之下,戰略與國際研究中心(CSIS)權威網絡問題專家James A.Lewis的觀點更讓人警覺,他提出,美國已經擁有全世界最尖端的網絡攻擊能力,但因為對于攻擊能力的討論一直受到嚴格控制,導致美國在網絡空間的威懾力為“零”。這一觀點似乎暗示美國該“秀肌肉”了。
中美間一場網絡攻防戰即將上演?網絡軍事化和武器化風險離我們有多近,抑或有多遠?網絡空間還有規范的可能嗎?澎湃防務專欄“網絡超級大國”專題繼續推出系列文章和訪談,推進對相關問題的討論和認知。
有人害怕互聯網在未來將成為主戰場,但現階段看來這份憂慮恐怕有些杞人憂天。
克制是許多政府應對網絡攻擊的戰略出發點。盡管不斷有聲音呼吁對網絡攻擊做出反擊,但美國政府至今仍未在如何恰當回擊問題上作出決定,選擇仍然是有限的。正如《紐約時報》的大衛·桑格(David Sanger)寫道,“在一系列秘密會議上,政府官員們艱難地在各種選擇中挑選辦法:從很大程度上的象征性地回擊……到更重大的回擊——一些官員害怕這種回擊可能升級為兩國間的網絡沖突。”
處在“網絡和平期”
戰略性克制挑戰的是一種傳統的智慧。這種傳統看法將網絡空間的未來視為毫無章法的“叢林世界”,任何事情都可能發生,攻擊能力需要建立起來以遏止對手。恰恰是這種看法給《紐約時報》的報道定了基調。事實上,哪怕是一些最爭強好勝的國家都傾向于在網絡空間按負責任的方式行事,因為他們知道反之則會帶來難以收拾的嚴重后果。
那么政府為何選擇不回應網絡攻擊行動呢?根據我們的研究發現,盡管有大量的網絡攻擊行動發生,但這些典型的沖突中鮮有沖突升級過程的證據。事實上,我們或許正在親歷一個“網絡和平期”。政府在網絡空間執行任務作出了不同于大多數戰略領域的反應,這一事實與新聞媒體近期報道網絡攻擊行動時給人造成的印象有著天壤之別。這些報道說到網絡攻擊就像是新一輪猛攻的爆發以及網絡戰概念的水落石出。
面對網絡攻擊,政府選擇克制戰略主要基于以下兩個原因:一是克制戰略的運行機制,二是網絡規范的發展。
攻擊升級等于自殺
對手針對系統發動網絡攻擊后,美國及其他國家自然會“黑回來”,這種假定很容易產生。的確,許多私營公司在系統被黑后正在逐漸轉變成這種立場。但是,政府官員們要了解一些私營公司個人并不知悉的東西:官僚機構的內部運作是復雜而危險的;更不用說,在一個雙方完全沒有防護與邊界不明的領域,挑起一場升級式的回擊無異于戰略性的自尋死路。就此一條,我們看到了不少的克制。同樣,現實常見的狀況是,國與國之間將監視對方,有時甚至會敬佩對手的進展。
迄今,針對美國人事管理局(Office of Personnel Management)遭黑客攻擊一事,美國政府對于回擊方式保持克制。如果將作出某種回應的話,我們預計更可能是對犯罪分子單獨提起訴訟,而非針對對方國家。事實上,我們近期監控的網絡攻擊數據顯示,有78%的網絡行為都沒有受到反擊。而受到反擊與回應的事件中,17件(占15%)是以網絡回擊的方式出現——其中只有兩件發生了嚴重性的攻擊升級,另有7件案例(占6%)受到了常規性的回應。不回應是典型的回應方式,占壓倒性比例。
大國認可網絡規范
鮮有升級行動的另一個原因是,美國與其他國家力圖在網絡空間推行一套網絡規范。如同交通法規一樣,對事件運行以及限制在哪有基本認識造福所有人。當然,不免有人會違反,但首先是所有人都應該了解“行車”的基本規則。
中國與俄羅斯也愿意在某些規范之內行事,盡管同美國在哪些應當成為規范問題上尚有分歧。此外,俄羅斯與中國正積極參與到一些規范設置機制與流程中,例如,目前兩國都在協助非盈利組織互聯網名稱與數字地址分配機構(ICANN)的權利下放過程。兩國都意識到,基于規范的網絡活動框架對于管理全球連接性(global connectivity)的增長很重要。
盡管許多人會嘲諷利用規范約束網絡行為的可行性,但在控制大部分網絡行為者的基本行為方面,行為準則是卓有成效的。當然,離經叛道不受束縛的人永遠會存在。但只要清晰的網絡規范還在,離經叛道者永遠只會是極少數,也會被視為游離于規范之外。
對未來不宜太悲觀
以上來看,網絡空間的未來前景光明。盡管有人恐懼互聯網將在未來成為主要的威脅策源地,但這種危言聳聽有些輕率,且缺乏對網絡空間運行模式的基本了解。恐懼源自不了解。
網絡空間是可控的,可以變得安全,但這要求我們去了解它,搞清楚每一次網絡沖突中可能走向沖突升級的運行機制,掌握所有可能獲得的信息來源,而不是依賴其中一些。有了網絡規范和戰略克制的結合,哪怕是曾經非常出格的網絡攻擊者都可能展現出和平的網絡使用者形象,即便是遭到攻擊之時。
(Brandon Valeriano,英國格拉斯大學政治和國際安全高級講師;Ryan C. Maness,美國東北大學政治系訪問學者;兩人最新著作《網絡戰與網絡現實》(Cyber War versus Cyber Realities)2015年5月由牛津大學出版社出版。本文經作者授權發布,實習生步凡譯)
京公網安備 11010502049343號