美国网络安全的“强者逻辑”

　　南海地区冲突不断，越南请求美国提供军事援助，中美两国外交协商未果，事态急转直下。中美分别向对方发动了三轮网络攻击。这是作者假设的“南海演习”。
　　美国正面临一场“电子珍珠港”或“电子9.11”?网络战已经开始了?美国会输掉这场战争吗?网络战威胁是，不是被夸大了?今年以来，美国的政界、学界和媒体围绕上述问题展开热议，正反双方各执一词，但其根本目的只有一个，即更好地维护美国在网络空间的优势。
　　4月，《网络战：国家安全的下一个威胁及应对》一书的出版，更是让这场激烈的辩论持续升温。全书总结了20年来美国网络攻防方面的经验教训，勾画出一幅未来网络战战略的蓝图，强调要依照美国的利益和意愿来推动相关国际规则的出台。
　　该书的作者，布什政府网络安全顾问理查德·克拉克和美国对外关系委员会学者罗伯特·内克，一个是深谙美国网络安全政策的“资深前辈”，另一个则是“后起之秀”，这对“新老组合”所碰撞出来的火花，展现出一切以美国为中心、从美国视角看世界的“强者逻辑”，同时暗示着未来美国网络安全及网络战战略的走向将继续沿承这一思路。
　　
　　美国是网络战实力最弱的国家?
　　
　　在两位作者看来，网络战已经开始，一些国家如韩国等先后遭受过程度不一的网络攻击即是明证。作者特别指出：网络战后果很难估计且快速波及全球，虽然信息技术的发展赋予了一些组织和个人前所未有的强大能力，但真正有实力进行网络战的只有国家。
　　那么，如何衡量一个国家的网络战能力呢?作者提出了“三要素衡量法”，即综合考虑一国网络攻击能力、网络防御能力及对网络的依赖程度这三个因素。以此考量打分，美国：攻击8分，依赖度2分(此分数越低，其对网络的依赖度越高)，防御1分，总分11，俄罗斯：攻击7分，依赖度5分，防御4分，总分16，中国；攻击5分，依赖度4分，防御6分，总分15；伊朗：攻击4分，依赖度5分，防御3分，总分12；朝鲜：攻击2分，依赖度9分，防御7分，总分18。在作者眼中，美国竟然成了网络战实力最弱的国家，不仅比中俄脆弱，甚至不如朝鲜这样的国家。而且即便那些不具有网络战能力的国家或非国家行为体，也可以通过雇用黑客等手段将美国置于高度网络风险之中。
　　按照上述方法评估，作者得出结论：网络依赖度越低的国家，其在网络战中的优势越大。所谓的网络依赖度，指的不是接人宽带网的用户数或智能电话的拥有量，而是电力、铁路、输油管道及供应链等关键基础设施对网络化系统依赖的程度。以朝鲜为例，由于对网络依赖度低，所以针对它的大规模网络战攻击造成的损害就极低。一些对网络依赖度低的国家一旦对美国开展网络战必将造成有力打击，反过来美国的网络报复所造成的损失又微乎其微，对敌人来说。把高度依赖网络的美国作为攻击目标是一种极大的“诱惑”。
　　作者这种对网络战实力的排名方式，显然不能为多数国家认同。美国不仅在网络战的理念、战略、作战准则及作战样式等方面的研究早着先鞭，而且在网军和网络攻防能力建设方面更是占据绝对优势。5月21日。美国网络司令部正式全面启动，负责整合陆军网络指挥部、空军第24航空队、海军第10舰队和海军陆战队网络空间指挥部等各网络作战力量，打造了一支全球仅有的网络部队。片面强调网络依赖度带来的脆弱性，强调网络攻击的不对称性，不过是美国这个“网络上的国家”强烈的危机感和紧迫感的再次反映，同时也为美国进一步强化网络战实力提供了借口。
　　
　　中国被“南海演习”
　　
　　南海地区冲突不断，越南请求美国提供军事援助，中美两国外交协商未果，事态急转直下。中美分别向对方发动了三轮网络攻击，美方首先进入解放军内网，散布中国舰艇爆炸和沉没的假照片，意图打击士气，展现美军实力，阻止中国采取更多的军事行动；其次利用预先安装在中国电厂的“后门”，破坏湛江军港的电力控制系统，造成大范围停电；最后攻击中国防空网、军事命令控制素统及铁路、航空控制和银行等其他民用目标。中方则以同样方式予以还击，包括激浩早已隐藏在檀香山、圣迭戈和华盛顿电网中的逻辑炸弹，在国防部非保密网络散布以前从未出现过的蠕虫病毒，以及篡改纽约股票交易所等金融机构数据等。
　　这是作者用了不少笔墨假设的“南海演习”。这场南海“演习”引出发动或遭遇网络战时不得不面临一些重要问题，如如何实现威慑，要不要“首先使用”网络武器，要不要进行所谓的战前备战，克制原则能否继续使用，等等。通过逐一分析这些问题，作者建立了一个“严守要害、充分发挥美国优势”的攻击准则框架，这对正在急于早日出台网络战战略的美军方来说，无疑是一个很好的参考。如关于要不要“首先使用”网络武器的问题，作者指出，“演习”证明，如果不首先发动网络攻击抢占先机，你的网络能力会因对方的防御措施和攻击手段而降低。又如要不要进行战前战备。作者写道：“情报部门向目标国派遣特工搜集情报并为日后的行动做准备，这属于秘密行动的范畴，需要得到总统及两院情报委员会的认可。五角大楼则把这些行动称为战备，认为他人不需要知道。‘战场准备’一词变得非常灵活……这种灵活性也被用在网络战上。演习中，中美双方战前就相互在对方网络中安装了后门和逻辑炸弹。”因此，美国的网络战战略一是必须要考虑和确认敌人已经对我们的网络做了手脚，二是必须了解美国内哪些部门正在或已经进行了这种所谓的战备，明确授权和责任。再如对于是否要加以克制的问题，作者强调，美国目前的政策允许侵入外国银行系统搜集情报，但对修改系统数据则管理较严，需要获得授权，但其他国家未必像美国这样遵守克制原则。
　　
　　网络军控能实现吗
　　
　　历数了美国在网络空间的备种“劣势”后，作者也力求实现所谓的“网络空间的和平”，主张美国要重视审视对网络军控的立场。但他们也强调，目前若出台一个全面彻底的网络军控条约，不仅不现实而且会束缚美国的手脚。因此，当务之急是要“从有利于美国的角度，仔细选择条约限制的范围”，而不是只针对网络武器的拥有和研发。一些领域，如网络间谍、“首先使用”网络武器等，对美国来说非常必要且能从中获利，因此不能对其加以限制。而禁止袭击金融、航空等民用基础设施，禁止任何时候更改或破坏金融机构的数据和网络，禁止事先在对方系统中安装后门或逻辑炸弹等，则能降低美国面临的风险，应列入条约限制的范围。
　　作者建议制定一个“限制网络武器条约”(CWLT)，规定国家有责任确保境内互联网服务供应商(ISP)不向参与攻击的个人和设备提供服务。若该国做不到，则要把处理权转移给其他国家，并将此ISP列入黑名单，所有加入条约的国家将切断进出该ISP的网络流量，直到它同意遵守规定并阻止僵尸网络或其他明显的恶意软件。其他制裁手段还可以包括拒绝签证，限制其IT设备出口，限制进出该国的网络流量，或者短时间内切断该国网络与国际互联网的连接。
　　近年来，美国积极主张要尽快界定“网络空间负责任的国家行为”，明确国家在网络空间的责任和义务，如认为国家有责任控制流入和流j出国境的数据，有义务协助他国调查网络犯罪和网络攻击等。书中倡导的“国家网络空间义务”、“责任转移”等也是邈一系列主张的延伸。表面上看，美国的主张能够在一定程度上解决确定攻击源的难题，更快速有效地抒击网络攻击者。但其他国家要提高警惕，避免掉进美国的“陷阱”，避免美国“避免责任”，毕竟美国才是网络攻击的最大发源地。著名网络安全公司赛门铁克的《2008年互联网安全威胁报告》称，网络攻击源的数量美国居世界第一位，占世界总量的25％，位于美国的僵尸控制服务器数量居世界首位，占世界总量的33％。这样看来，美国的责任应该最大，可事实上，美国并没有很好地履行责任和义务，任由恶意数据进出。
　　网络空间的优势造成了美国巨大的脆弱性，但同时也给了它强大的发言权、话语权和规则制定权，国际空间网络规则的制定必然以美国为主导，这是现实，但其他国家并非无所作为，必须要据理力争，最大限度地维护国家的核心利益。
　　当然，《网络战》一书有着一定的积极意义。针对解决网络战这一垒新的问题，作者为各国应对网络安全威胁、开展国际合作提出了一些值得借鉴的想法。例如作者提出了“三位一体的网络防御”(defense triad)，以确保骨干网(backbone)、电厂和国防部这三个至关重要部门的安全，并列出了一些可行的办法，如在网络的关键点安装“深度数据包审查”cdeep--pazketinspecfion系统，预先捕捉攻击信号。又如建议成立。网络风险降低中心”或“国际专家组”，负责国际联络，接受各国“网络安全联络办公室”的报告并监督各国应对网络攻击的情况，等