张力
网络威慑:奥巴马网络安全战略的政治遗产
张力
张力 1967年出生。中国现代国际关系研究院院长助理兼信息与社会发展研究所所长,研究员,博士生导师,享受国务院特殊津贴专家。1998年-1999年曾作为访问学者赴美国乔治•华盛顿大学国际科技政策研究中心进修。从2000年起从事网络安全战略研究工作,参与了中国网络安全、网络外交与信息化等方面多项政策的咨询及决策。
奥巴马政府对网络安全的重视程度前所未有,网络威慑是其网络安全政策的核心。美国认为,要实施网络威慑,最大的依据就是美国在网络信息技术领域无可匹敌的技术实力,提出五大施策重点:强有力的政策宣告;有效的指挥与控制;坚固的网络防御;报复性反击;重视跨部门协作以及国际合作。这一网络威慑战略在国际社会面临着巨大争议,中国提出的构建网络空间命运共同体的倡议才符合这个时代的要求。
网络安全;网络威慑;网络防御
2014年6月14日,美国总统特别事务助理,白宫网络安全协调官迈克.丹尼尔在来华参加中美网络安全高级别对话机制会议期间,与中方学者就两国网络关系进行了交流。他认为,奥巴马在网络安全领域的三大目标已经顺利实现,第一大目标是提高了政府和私营企业的网络安全水平。第二大目标是实现了网络威慑,即通过威慑,使对手不敢在网络空间发起恶意行动。他称美国主要是通过提高溯源感知,增强网络攻防能力来实现这一目标。第三大目标是提高了网络突发事件响应能力。作为美国政府负责网络安全的高级官员,他的总结基本上代表了官方的立场。
八年来,奥巴马政府空前重视网络安全。他在任期间,首次全面评估了美国的网络政策和网络安全现状,随即从善如流,采纳了专家学者的政策建议,出台了多项网络安全重大举措。包括《网络空间国际战略》在内的系列战略文件的推出、网络司令部的建立、网络安全资源的整合、跨部门协作水平的提高、网络攻防能力的提升、政企间网络威胁信息的共享等都取得巨大进展。正如“网络沙皇”迈克•丹尼尔所言,本届政府确实完成了维护网络安全的主要目标。尤其值得一提的,是在发生“斯诺登事件”后,美国对内启动了国内监控改革,以兼顾反恐和保护公民的个人隐私为说辞,快速平息了国内的不满。对外则打出了ICANN改革这张牌,以发展双边网络安全合作为手段,很快扭转了在网络空间道义制高点上的被动局面。在双边层面,奥巴马政府与被其视为主要网络对手的中国间经历几度碰撞,但还是建立了双边高层对话机制并稳步推进。中美在涉网议题上,保持了美政府一直以来主张的“竞争性合作”关系;也为网络空间的双边合作树立了榜样。此外,奥巴马政府的网络空间战略还取得了一个令人瞩目的亮点,即2015年7月,美国与中国、俄罗斯等20个国家相互妥协,在联合国信息安全政府专家组框架下达成了最终框架文件,从而成为网络空间国际立法进程中的里程碑。
奥巴马上台伊始,在网络安全政策与战略领域有三个事件对其政策产生了深远影响:第一是以美国著名智库——国际战略研究中心网络安全专家詹姆斯•刘易斯为首的多位专家给新当选的奥巴马提交了一份加强美国网络安全的政策建议书,受到奥巴马高度重视;二是梅利莎•哈撒韦受委托对美国的网络安全进行了全面评估,并出台了网络空间政策评估报告。该报告的结论,在一定程度上促使奥巴马下决心改革美国网络安全机制,实施所谓的网络新政;三是美国国防大学“技术与国家安全政策中心”以及美国务院在2009年初完成了“网络威慑”项目研究工作。上述三件事情对奥巴马网络政策产生的影响立竿见影,2009年5月,奥巴马即开始着手调整美国的网络安全机制。时过境迁,回头总结,源自冷战时期的“核威慑”理念,网络威慑成为主导这八年美国网络安全战略与政策的核心理念。早在1994年,网络威慑的概念即在美国被提出。2003年出台的《保护网络空间安全国家战略》中提出了“谋求阻止、威慑和大量减少网络攻击”。2006年,时任美国国防部部长拉姆斯菲尔德在部署“网络威慑”研究工作时指出:“急需一个全面有力和表述清晰的网络实力(cyber power)理论,以阐述、解释和预测美国应如何最好地利用网络实力来维护国家安全利益。”可以说,“网络威慑”建立在了美国“网络实力”的理论基础上,成为奥巴马政府在网络空间最大的政治遗产。
美国认为,在当前技术飞速发展的条件下,美国仅凭网络防御难以彻底阻止网络攻击的发生,所以,美国不应该局限于防卫,最重要的是对攻击者施加心理威慑,以震慑敌人,使之不敢对美国发动网络袭击,或者能阻止大多数及较大规模的网络袭击为目标,其主旨是,应对越有力,吓阻越有效。同时,美国还主张网络威慑不能孤立于整体的国家安全政策之外,应该结合其他政治、经济、外交等手段一起实施。美国强调,在和平时期,要掌握可能发动网络袭击的国家或组织的动向,事先制定出威慑方案,如同在冷战时期威慑前苏联那样,充分收集对手网络行动的证据,事先揭露曝光并予以警告,迫使其自我约束,不得不收手。
当时美国设想的的网络威慑场景共有三个:
假想一,伊朗威胁或实际对美国发动网络攻击,以扩大它在中东地区的影响,迫使美国从波斯湾撤军,伊朗进而控制霍尔木兹海峡,并威胁沙特阿拉伯和以色列的利益与安全。
假想二,朝鲜对韩国发动网络攻击,瘫痪韩国的军事指挥系统;对美日发动网络攻击,削弱美国日本在朝鲜半岛的军事反应能力,延缓其军事行动,并为朝鲜增加谈判资本,扩大其在该地区的影响。
假想三,在东亚,一旦台海发生冲突,中国可能对美国、日本和台湾地区发动网络攻击,干扰美国、日本从空中和海上对这一地区采取的军事支援。
鉴于以上假设,美国认为,要实施网络威慑,最大的依据就是美国在网络信息技术领域无可匹敌的技术实力。此外,美国加大了对网络武器的研发力度。网络威慑战略提出后,美国几乎所有的军工巨头都开始加大与政府和军方在网络领域的合作,掀起了网络空间军备高潮。
在2009年出台的相关研究报告中,提出了五大施策重点:
第一,强有力的政策宣告。就是要大力宣传网络威慑战略,并且在美国国家安全战略中加以明确和强调,宣示美国将网络攻击视为潜在的战争行为,将会采取包括武力措施在内的一切手段加以应对。让潜在的对手意识到,对美国发动网络攻击,不仅无法达到目的,还可能付出无法承受的代价。美国还同时提出,在回应时要做到“适度、精确和对称”,避免其他国家指责美国反应过激,导致危机的扩散和升级。这也就导致了包括《网络空间国际战略》等一系列重大政策文件的陆续推出。2011年11月,美军出台《网络空间政策报告》,再度明确威慑的两大原则:逼迫敌方改变目的,增加敌方行动代价。
第二,有效的指挥与控制。即美国不仅要具备应对发生在本土的网络危机的能力,同时也要能应对发生在世界其他地区的网络危机,要具备同时应对两场大规模网络袭击的能力,这对美国涉网机构的指挥和控制系统提出了更高标准要求。例如,对美国国防部,如果同时发生多起网络战,其指挥和协调能力是否能满足需要?随后的数次网络风暴演习,以及包括国土安全部在内的诸多涉网部门力量资源的整合即是落实举措。
第三,坚固的网络防御。外界普遍认为,美国面对网络攻击十分脆弱。而美国担心这种认识将会削弱威慑对手的效果,所以八年来,奥巴马政府不遗余力,采取措施减少美国存在的网络安全漏洞和隐患,试图用“坚固的网络防御”使敌人知难而退。经过这些年的努力,至少在关键基础设施保护层面,取得重大进展。美方把加强网络空间态势感知,提高溯源能力作为实施网络威慑的关键。2011年底,美国对外宣称,网络溯源技术取得突破。
第四,报复性反击。美国视之为网络防御的重要组成部分。所谓的报复可以采用多种形式,既可以对敌人进行网络攻击,也可以通过外交、经济政治制裁手段,甚至可以采取军事打击。总的原则是针对网络攻击的发动者,采取各种手段予以坚决回击。继起诉中方五名军人后,2015年4月初,奥巴马签署总统令,宣布将对黑客予以制裁。随后,美方对俄罗斯、伊朗、叙利亚以及朝鲜的个人或组织也采取了制裁行动。同期,美国潜心打造的网络作战力量和网络武器初露峥嵘,美军网络作战能力实现了走向实战的重大转折。
第五,重视跨部门协作以及国际合作,尤其注重盟国间的网络安全合作。一方面,美国各涉网部门通力协作,共同搜集分享研判分析网络威胁情报,并且与决策部门保持密切沟通;另一方面,美国更重视与盟国的合作,协助改善盟友的网络安全状况,防止敌手通过对盟国发动网络攻击,来对美国施加压力。在美国推动下,北约也推进网络威慑战略,重点与英国、德国、法国等主要欧洲国家开展合作,并且吸引日本,韩国和印度等亚洲盟友参加,最终想在全球构筑网络威慑战略体系。应该说,在这一领域,美国得分不少。
总而言之,经过奥巴马政府八年的努力,美国网络威慑战略体系已经成型,与核、太空构成了新三位一体的综合威慑能力,为美国在信息时代维护其霸权地位提供了强有力的支撑。
美国的网络威慑战略自从出现以来,在国际社会一直面临着巨大争议。虽然越来越多的国家打造网络力量,研发网络武器,甚至也加入到了以美国为首的网络威慑阵营。但是以下事实不容否认:
其一,网络威慑加剧了全球网络空间的不稳定性,刺激了网络空间军备竞赛的发展。在美国的带动下,据称全球有超过60个国家正在筹建网络司令部。在中欧网络安全二轨对话中,荷兰称已经研发出了网络武器,德国通报称已经建立了网络作战部队等等。各国都嚷嚷着要“威慑”别人,不仅合作的愿望受到影响而降低,还导致网络空间爆发冲突的危险越来越大。这一发展势头,根本违背了网络空间稳定、和平的愿景。网络空间安全要得到保障,当前最需要的不是威慑,而是寻求早日达成维护网络空间稳定的共识。
其二,网络威慑的战略思维已经远远跟不上网络空间安全形势的发展。美国“网络沙皇”访华期间还举例指出,当前维护网络安全面临三大难题。难题之一,网络安全重大事件升级的危险越来越高,但是国际社会如何定义网络攻击?如何定义网络冲突,如何定义网络战都成为难题。难题之二,全球金融业遭受的网络攻击越来越严重,例如今年出现的孟加拉国中央银行遭遇网络攻击损失惨重,全球金融安全正面临严峻的网络安全威胁。第三,如何定义拒绝服务攻击?这种行为到底是网络攻击还是网络骚扰,需要各国讨论并达成共识,才能够采取措施予以制止。他认为随着物联网时代的到来,网络安全的防护面大幅度增加,而国家和企业的网络安全防护能力远远跟不上需要。当前,更加令人担心的,是种种迹象表明,网络安全形势持续恶化,网络攻击造成的损失在扩大,冲突的风险在扩大,需要网络空间各行为主体合作应对国家、犯罪团伙和各种组织乃至个人的网络攻击行为。简而言之,网络威慑并没有给网络空间带来和平稳定。需要的,是一种前所未有的相对安全、集体安全、共同安全、合作安全的新理念。
其三,虽然物联网、大数据时代的网络威慑与冷战时期的核威慑对于政策制订者来说有值得参考借鉴之处,但是两者更存在巨大差异。曾经有欧洲学者一针见血地指出:美国目前在全球碰壁的原因之一,是美国用18世纪的政治理念和体制越来越难以治理一个21世纪的世界。更何况这个世界正在因为网络空间的深化而发生着巨大的变迁。源于核威慑的网络威慑战略作为权宜之计可以行一时,但是在应对日新月异的网络威胁时却逐渐显得力不从心。2016年10月下旬美国遭遇大规模网络攻击导致大面积断网,以及近期美国、俄罗斯在网络问题上的“罗生门”都是例证。物联网时代最大的特征,就是万物互联,其背后是网络空间各行为主体的利益交织、命运相依、安全相关。对一个国家来说,走上了信息化的大道,就不再有绝对安全,而是需要一种全新的、开发的、合作的安全观,这才是大势所趋!正是鉴于这样的认识,中国不仅提出了新的安全观,而且把构建网络空间命运共同体作为中国向国际社会发出的倡议书。这是符合时代要求的呼声。
2016年11月9日,美国大选戏剧性地以共和党人特朗普的胜出而尘埃落定。美国的网络安全战略又到了一个新的十字路口。我们真心希望美国的战略家们能顺应网络空间的发展需要,顺应大数据、物联网的时代要求,收起动辄威慑制裁的大棒,以合作的态度、务实的精神,与网络空间各行为主体精诚合作,引领人类社会向新的维度迈进。
(责任编辑:钟宇欢)
Network Deterrence: The political legacy of Obama's network security strategy
ZHANG Li
The emphasis on network security has never been raised to such a high position. Network deterrence is the core of its network security policy. America holds the belief that it can implement network deterrence depended on its top technology strength in the field of network information technology. America puts forward five key policies: strong policy announcement, effective command and control, strong network defense, retaliation strike and pay attention to the cooperation between different departments and international cooperation. This network deterrence strategy is facing a huge controversy in international community. The proposal that China put forward to build the network space community of destiny is in line with the requirements of this era.
network security; network deterrence; network defense
G20
A