(中国国际问题研究院)
近年来,网络空间的“战略”意义日益突出。军事上,越来越多的国家将网络空间视为独立的“作战域”,加快建设网军,使之成为传统“军事战略”的重要组成部分。经济上,互联网经济迅速发展,互联网对实体经济影响越来越大。政治上,越来越多的国家出台网络安全战略,把网络空间视为战略空间,大国竞争日趋激烈。在此背景下,网络空间安全与稳定也成为一个重要问题,特别是网络攻击引发人们对核安全的担忧,网络攻击对核安全和战略稳定的潜在影响值得关注。
近年来,网络空间的“战略”意义日益突出。越来越多的国家将网络空间视为独立的“作战域”,加快建设网军,使之成为传统“军事战略”的重要组成部分。2016年7月,北约正式将网络空间确定为战场。2017年8月,特朗普政府把网络司令部升级为美军第10个联合作战司令部,地位与美国中央司令部等主要作战司令部持平。2018年2月27日,美国国家安全局局长兼网络司令部司令迈克尔·罗杰斯在参议院武装部队委员会作证时报告了美国网络司令部的几个最新进展,包括网络司令部被提升为一级联合作战司令部、即将在2018年9月前(最早6月)完成133支网络任务部队的建设、将开设新的综合网络中心和联合作战中心(ICC/JOC),并表示“在过去四年里,网络司令部已完成大量工作,实现了网络任务空间可作战化”。①“美国网络战部队的成就和愿景——罗杰斯在美国参议院武装部队委员会上的证词”。这表明美国网络作战部署已经逐步到位。许多其他国家也纷纷出台网络建军政策文件,大力加强网军建设,加大网络军备研发,建章立制,网络空间军事化趋势不可避免。在这方面,美国更是领先于其他国家。
在广义的大战略意义上,网络空间的战略意义也日益重要。经济上,互联网经济迅速发展,互联网对实体经济影响越来越大。腾讯研究院发布的《中国互联网+数字经济指数(2017)》报告显示,2016年中国数字经济总量占全国GDP总量的30.61%,成为国民经济的重要组成部分。①http://finance.sina.com.cn/roll/2017-04-20/doc-ifyepsra4826477.shtml.中国信息通信研究院发布的《中国数字经济发展白皮书(2017年)》也表明,2016年我国数字经济占GDP比重超过30%。②http://www.sohu.com/a/158157404_242827.2014年10月20日,波士顿咨询公司发布的《网络连接世界》报告显示,2010年互联网经济占英国GDP达8.3%,韩国为7.3%,中国为5.5%。③https://www.aliyun.com/zixun/content/2_6_56420.html.信息和通信技术不仅本身已经成为一种产业形态,而且渗透到传统行业,催生了新的生产方式,深刻改变着社会生产和生活的各个方面。美国咨询公司Gartner的数据显示,2017年全球网络安全产业规模达到 989.86 亿美元,较 2016年增长 7.9%, 2018年预计增长至 1060 亿美元。Gartner预测,2016年—2021年全球信息安全市场预计将以8.1%的复合年增长率增长,到2021年将达到1330.2亿美元。根据Gartner数据,2017年中国网络安全产业规模约为31.7亿美元,增速为15.7%。④FreeBuf.Gartner权威发布:全球网络安全产业规模发展情况及趋势预测[EB/OL].(2018-04-22).http://www.freebuf.com/articles/paper/167137.html.
政治上,越来越多的国家出台网络安全战略,把网络空间视为战略空间,大国竞争日趋激烈。国际电信联盟《2017年网络安全指数》报告显示,目前有70多个国家发布了网络安全战略,20多个国家正在制定过程中。⑤FreeBuf.Gartner权威发布:全球网络安全产业规模发展情况及趋势预测[EB/OL].(2018-04-22).http://www.freebuf.com/articles/paper/167137.html.乌克兰、中东和北非国家发生的“颜色革命”,俄罗斯被指干预2016年美国大选及其之后特朗普“通俄门”事件的持续发酵,以及最近的“剑桥分析”事件都表明,互联网对国内政治格局和国际关系的影响日益突出。可以说,国家安全和国际冲突的治理日益依赖网络空间,政治和军事对手现在通常使用、甚至滥用计算机来支持战略和战术目的。⑥Kenneth Geers.Sun Tzu and Cyber War[EB/OL].CCD COE.(2011-02-09).https://www.ccdcoe.org/sites/default/files/multimedia/pdf/Geers2011_SunTzuandCyberWar.pdf.
美国网络司令部网络战军官强调,“美国政府必须明白,信息是一种战略资源(即国家竞相争夺的资源)。信息资源不仅包括通信主干网(光缆网络、基站、交换器、微波链路、卫星链路以及物理组件,它们组成了通信基础设施),而且包括关键信息与通信技术行业,以及媒体和娱乐。”⑦Robert “Jake” Bebber.Treating Information as a Strategic Resource to Win the ‘Information War[J].Orbis, Summer ,2017,61(03):394-403.简言之,网络安全已从一门技术学科演变为一个战略和地缘政治概念⑧Kenneth Geers.Strategic Cyber Defense: Which Way Forward?[J].Journal of Homeland Security and Emergency Management, 2012, 9(01):1-12.,不仅网络空间的战略意义日益凸显,而且蕴含的军事、政治和战略风险也日益增加。
概念上,战略稳定是冷战时期的一个概念,通常与维护可生存下来的第二次核打击能力有关,包括危机稳定(即一方是否有首先发动打击的动机)和军备竞赛稳定(即一方是否认为自己在技术上超越对方)。冷战时期的战略稳定主要由使用核武器进行报复的能力来保证,即常说的“恐怖平衡”①Andrei Kokoshin.Ensuring Strategic Stability in the Past and Present: Theoretical and Applied Questions[M].Cambridge, MA: Belfer Center for Science and International Affairs, 2011.http://belfercenter.ksg.harvard.edu/files/Ensuring%20Strategic%20Stability%20by%20A.%20Kokoshin.pdf;Albert Wohlstetter.The Delicate Balance of Terror[EB/OL].Rand Corporation.(1958-10-06).http://www.rand.org/about/history/wohlstetter/P1472/P1472.html.,不需要同等数量或类型的弹头或运载系统。②Lawrence Freedman.The Evolution of Nuclear Strategy[M].Third Edition.New York: Palgrave MacMillan, 2003; Yao Yunzhu.Chinese Nuclear Policy and the Future of Minimum Deterrence[EB/OL].Strategic Insights 4.(2005-09).http://csis.org/files/media/csis/pubs/issuesinsights_v06n02.pdf.当然,这个概念也受到了挑战,许多专家认为它是过时的冷战遗物,仅侧重技术事务而牺牲了政治。③Nancy Gallagher.Re-thinking the Unthinkable: Arms Control in the Twenty-First Century[J].Nonproliferation Review, 2015,22(3-4):469-98.有人认为,除传统定义外,它还可以用来描述核大国之间没有冲突的状态,或者更为宽泛地说,是指以“和平与和谐的关系”为特点的全球秩序。④James Acton.Reclaiming Strategic Stability[M]//Elbridge A.Colby and Michael S.Gerson (eds).Strategic Stability: Contending Interpretations.Carlisle, PA: U.S.Army War College Press, 2013:117.简言之,战略稳定可以概括为大国间不可能发生战争的状态。⑤Thomas Fingar,Fan Jishe.Ties that Bind: Strategic Stability in the U.S.-China Relationship[J].The Washington Quarterly, 2013,36(04):125-138.
在网络空间战略性质日益突出的背景下,网络空间安全与稳定也成为一个重要问题,不容忽视。2017年2月,在慕尼黑安全会议上,荷兰政府支持海牙战略研究中心和美国东西方研究所共同发起了“全球网络空间稳定委员会”(Global Commission on the Stability of Cyberspace,GCSC),旨在支持与网络空间安全和稳定有关的政策和规范。⑥参见“The Commission”, https://cyberstability.org/about/.全球网络空间稳定委员会(Global Commission on the Stability of Cyberspace)在2017年2月慕尼黑安全会议正式亮相,目前由40多名知名网络空间领袖人物组成,来自将近20个国家。维护网络空间稳定全球委员会(简称“委员会”)的主要资助人荷兰政府,秘书处设在海牙战略研究中心和美国东西方研究所。徐培喜:“全球网络空间稳定委员会:一个国际平台的成立和一条国际规则的萌芽”,载于《信息安全与通信保密》,2018年第2期,第20页。技术上,负责域名管理和互联网地址分配的专业技术组织“互联网名称与数字地址分配机构”(ICANN)早在2002年5月就设立了安全和稳定咨询委员会((Security and Stability Advisory Committee, SSAC),负责互联网名称和地址分配系统的安全和稳定。⑦1998年成立。https://www.icann.org/groups/ssac; https://www.icann.org/resources/pages/ssac-role-2018-02-06-en.因此,互联网的稳定问题不仅早已进入技术社群的视野,也已引起战略和政策界的重视。
网络攻击引发了人们对核安全的担忧,网络攻击对核安全和战略稳定的潜在影响值得关注。一方面,网络技术正日益外溢到精确打击和核领域,提升了这些领域技术系统的性能。网络技术改善了精确打击,对许多目标都非常有效。另一方面,当核武器成为目标时,网络技术提供了摧毁这些力量的一种手段,无论是使用常规打击,还是使用核打击。
当然,即使在美国内部,对网络威胁的认知也存在差别。美国情报界把网络威胁的级别定得比全球恐怖主义还高,并警告灾难性网络攻击的潜在可能性。①James R.Clapper to the U.S.Senate Intelligence Committee (Washington, D.C.: U.S.Government Printing Office, March 12, 2013).然而,美国网络司令部头目基斯·亚历山大(Keith Alexander)评论说,在如何描述网络互动造成的“战略不稳定”和“如何加以应对”的问题上尚无共识。②Keith B.Alexander to the U.S.Senate Committee on Armed Services (Washington, D.C.: U.S.Government Printing Office, April 15, 2010), p.219.一方面,一些网络大国和网络强国着力发展网络军事力量,加速对网络和信息技术的军事利用;另一方面,现实世界中各国之间的竞争、冲突与合作也不可避免地渗透、映射到网络空间,成为网络空间战略不稳定的重要因素。
总体上,目前全球互联网运行平稳,网络空间基本稳定得以维护,迄今尚未发生全球互联网大规模崩溃的情况,已知的一些较为严重网络攻击也尚未产生战略性的大规模破坏。长期以来,西方政界和媒体一直宣扬和担忧“网络珍珠港”“网络9.11”的灾难性威胁,但此类事件均未发生,迄今的网络攻击也未造成人员的伤亡,使西方多年以来一直宣扬的“网络战争”陷于尴尬境地。然而,近年来发生和披露的一些重大网络攻击表明,网络威胁的严重程度仍然不容小觑,特别是对国家行为体构成的威胁,“震网”蠕虫病毒攻击更是引起了人们对核安全的高度重视和警惕。
在理论上和管理上,核设施和核武器作为最重要的基础设施和武器装备,享有最高级别的安全防护措施,包括采取物理隔离等,使其不易受到网络攻击的威胁。然而,“震网”蠕虫病毒攻击摧毁了伊朗将近20%的离心机,引起广泛担忧。2013年,美国防务科学委员会(DSB)和美国战略司令部司令表示担心美国的核指挥与控制系统容易受到复杂网络攻击的潜在影响。③Defense Science Board, “Resilient Military Systems and the Advanced Cyber Threat,” Department of Defense, January 2013, p.7; Senate Armed Services Committee, Hearing to Receive Testimony on U.S.Strategic Command and U.S.Cyber Command in Review of the Defense Authorization Request for Fiscal Year 2014 and the Future Years Defense Program (Washington, DC: U.S.Government Printing Office, 2013), p.10.美国最近发布的《核态势评估》调整了对战略稳定的定义,认为核能力与非核能力都是影响战略稳定的因素,后者包括先进的常规武器和新兴技术,特别是网络能力。今后,网络攻击对核安全的影响可能会更加突出。
技术上,核武器系统开发之初,计算机技术能力尚处于初期,较少考虑今天普遍存在的恶意网络漏洞。作为当前核战略基础的许多基础设施都早于数字技术在核指挥、控制和通信系统中的广泛应用。这样,网络技术的军事应用自然也带来了新问题,恶意行为体可能会利用漏洞渗入核武器系统,但受害国对此却毫无察觉。目标上,通信、数据的传输和存储都是网络攻击的重要对象。美国新版《核态势评估》也专门提到网络威胁对核指挥、控制和通信系统的影响(NC3)。①Office of the Secretary of Defense, Nuclear Posture Review, February 2018.
核设施和核武器实际上是一个复杂的系统工程,其中的很多节点都可能受到网络攻击。英国皇家国际事务研究所在报告中指出,这些节点包括指挥与控制中心之间的通信、从指挥站到导弹平台和导弹的通信、从导弹到路基和天基指挥与控制资产的遥测数据、来自天基系统的实时瞄准信息(包括来自全球导航系统的位置、导航和时间数据)、来自天基和空基以及路基传感器的实时天气信息、来自发射平台的位置信息(比如潜艇)、来自地面卫星接收站的实时瞄准信息。②Beyza Unal and Patricia Lewis, Cybersecurity of Nuclear Weapons Systems: Threats, Vulnerabilities and Consequences, Chatham House, January 2018.理论上,其中的任何一个节点都容易受到恶意集团或个人的网络攻击。
此外,管理漏洞、人为失误、系统失灵、设计漏洞以及供应链的敏感节点都是核武器系统常见的安全问题。数据操纵、数字干扰和网络欺骗等都会损害网络通信的完整性,导致决策中的不确定性上升。实际上,即使网络攻击本身无法破坏核武器系统或造成核安全事故,核系统受到网络攻击的事实也可能引发冲突升级。
当然,在现实中,核武器本身的存在也会限制网络空间造成战略不稳定的能力。迄今,网络战争尚未夺走一条生命。换言之,主要担心国家和公民生命安危的拥核国家可以忽视其对手在网络空间享有的相对优势。因此,尽管网络战争的风险可能很大,但尚未达到影响生存的地步。在远程网络攻击面前,核武器并没有那么脆弱。迄今,核国家毕竟是少数,而且对核武器的管理和控制都非常严格。国家在建设自身的核系统时极其谨慎,并且通常会给主要的指挥与控制系统很多考虑。鉴于发起核攻击需要多层授权,黑客劫持对美国核力量的控制来发起攻击的可能性是不可信的。例如,源于1970年代的民兵Ⅲ导弹,包括利用软盘上传指令的指挥中心,实际上也提供了一些防止网络攻击的保护。③Lesley Stahl.Who’s Minding the Nukes?” 60 Minutes[EB/OL].(2017-04-27).http://www.cbsnews.com/news/whos-minding-thenuclearweapons/.简言之,不宜夸大网络攻击对战略稳定的的冲击。
当前,大国关系变数增大,围绕国际秩序、国家利益的博弈加剧,维护良好国际关系,构建稳定网络关系,尤其需要加强沟通交流,建立互信,共同维护大国战略稳定。互信、共有价值和共同目标都可以加强战略稳定,但最重要的前提是都相信使用军事力量将导致不可接受的报复性损害。④Elbridge A.Colby ,Michael S.Gerson, eds.Strategic Stability: Contending Interpretations, Carlisle Barracks[M]PA: Strategic Studies Institute and U.S.Army War College Press, 2013.建立信任措施可加强国际和平与安全,能够加强国家间合作、透明度、可预测性和稳定性。各国自愿建立信任措施可促进相互信任,有助于通过提高可预见性和减少误解从而降低冲突风险。
当前,网络已无处不在,维护网络空间安全和战略稳定成为重要议题。中国、美国和俄罗斯等作为网络大国,更有必要开展多种形式的对话沟通,解决共同关心的紧迫问题,建立战略互信,为全球网络空间安全和战略稳定做出贡献。①周宏仁.共同构建网络空间命运共同体[J].信息安全与通信保密,2017(10):9.美西方有意与中国就网络空间战略稳定进行讨论。这是一个积极信号,中国可以因势利导,与之探讨有关概念和问题的内涵和外延、政策含义等,逐步建立信任,减少潜在冲突。美俄曾于2013年6月签订信息与通信技术(ICT)安全合作协定,并把冷战时期的核军控热线用于网络领域②The White House.U.S.-Russian Cooperation on Information and Communications Technology Security[EB/OL].http://www.whitehouse.gov/the-press-office/2013/06/17/fact-sheet-us-russian-cooperation-information-and-communications-technol., 2015年习近平主席访美期间,中美也建立了网络热线,这对维护网络空间战略稳定具有积极作用。今天,中美两国必须找到在网络领域合作的方式,以确保所有其他领域的战略稳定。③Steven M.Pierce.The United States and China in the Cyber Domain: Stop the Downward Spiral[M]//David Lai, John F.Troxell, Frederick J.Gellert, eds., Avoiding the Trap: U.S.Strategy and Policy for Competing in the Asia-Pacific Beyond the Rebalance.[s.l.]:Strategic Studies Institute and U.S.Army War College Press, 2018:245-246.这将有利于扩展和加强中美总体战略关系。在根本上,关系改善将不会终结恶意行动或者从网络领域中消除不法行为体,但将帮助防止网络空间中的分歧外溢到双边关系的其他部分,帮助双方更好地理解网络空间战略稳定(也就是和平)的内容。④Franz-Stefan Gady.China-US Relations in Cyberspace: A Half-Year Assessment[J].The Diplomat.(2016-06-16).https://thediplomat.com/2016/06/china-us-relations-in-cyberspace-a-half-year-assessment/.在中美、俄美关系都趋于复杂的背景下,加强战略沟通、推动建立信任措施更有必要,可以作为维护双边关系和网络空间战略稳定的重要一步。
核不扩散条约、核禁试条约等构成了维护战略稳定的基石,但与核武器等冲突武器不同,“网络武器”具有难以界定、难以发现、难以核查的特点,网络攻击也具有匿名性、溯源难的特征。因此,作为维护网络空间战略稳定的一种手段,无论是限制网络武器,还是规范网络攻击,传统的军控思路都难以直接用于网络空间。因此,亟需网络军控的新思路,以更好地维护网络空间的战略稳定。今后,中国可以倡导客体导向的网络军控思路,即目前限制那些目标不能成为网络攻击的对象。
虽然难以限制网络武器,但网络攻击的目标却相对明确可见。倘若网络武器是主体,那么网络攻击的目标和对象就是客体。在难以界定和限制网络武器这个主体的情况下,却可以对网络攻击的目标加以限制,规定哪些目标不能成为攻击的对象。近年来,许多国家都提出了保护关键(信息)基础设施的计划。关键(信息)基础设施不仅容易成为网络攻击的目标,而且国计民生至关重要,因此,它们理应成为各国重点保护的对象,也应成为客体导向的网络军控的着力点。简言之,中国可以着力倡导客体导向的网络空间新思路。
核设施理所当然是各国的重点防护对象,民用核设施更是首屈一指的关键基础设施。对此,美国学者提出,美国可以利用军控作为对冲新兴技术威胁的手段,特别是网络能力。例如,美国、俄罗斯和中国可以签署一份联合声明,与1990年美国和苏联关于未来核武器和太空武器谈判的声明类似,表明它们将不使用网络攻击针对对方的核指挥、控制和通信系统。当然,这种声明无法核查,但它们提供了对话和建立信任的机会,并且可能在危机期间减少不确定性和不稳定性。①Heather Williams.Strategic Stability, Uncertainty and the Future of Arms Control[J].Survival, 2018,60(02):45-54.简言之,通过构建网络规则,以规则促稳定仍是今后的重点。
俗话说,苍蝇不叮无缝的蛋。实际上,成功的网络攻击往往需要经过很多环节,以及许多客观条件的存在和配合,并非那么容易成功。换言之,恰恰是各个环节上漏洞的存在,包括认知漏洞、管理漏洞和技术漏洞等,才使得网络攻击得以成功,并造成网络紧张、冲突、升级和不稳定。因此,要维护网络安全和战略稳定,就需加强预防措施,防控各个薄弱节点。
首先,做好系统备份,制定应急预案。除日常核安全防护外,尤应强化网络系统的防护工作,及时做好系统备份。万一受到网络攻击,方可及时启动备用系统和应急预案,保持核设施的正常稳定运行,乃至保护核武器的安全。技术上,在自主可控系统研发方面,我国仍有较大差距和努力空间,信息和网络核心技术受制于人的局面短期内难以根本改变,政府采购过程中对于可信供应链的选择余地不大。因此,加速自主可控系统研发的必要性和紧迫性尤为突出。
其次,准确甄别网络事件后果和性质。网络攻击不仅需要很多环节,而且需要较长时间。在此过程中,作为核设施的管理方或受攻击方,对于任何环节出现的异常现象,均应予以高度重视,及时处理,包括更换计算机系统。鉴于迄今大部分网络攻击均未造成大规模破坏性后果,因此,尤应仔细辨别网络攻击的实际后果和可能影响,审慎判断事件性质,充分考虑,理性决策,避免仓促决策造成不必要的冲突升级和不适当的应对措施。
最后,加强和提升网络管理水平,管理漏洞往往是网络事件的重要诱因。虽然网络事件频繁发生,但人们网络安全和风险意识仍然薄弱。因此,网络教育和意识管理便成为首要环节。从制度上,需要设立专门机构,安排专职人员。目前,很多重大网络攻击都可归于内部人士的某种责任,甚至是“内鬼”有意为之。在很多情况下,正是内部人员知识的缺乏、意识的薄弱、工作的疏忽、管理的松懈造成了网络事件的多发、频发。简言之,提升网络管理水平也是加强网络安全、维护战略稳定的重要内容。