网络空间安全困境及治理机制构建*

鲁传颖

[内容提要] “斯诺登事件”对网络空间发展进程的最大影响就是加速了各国在网络安全领域的博弈，引发了网络军备竞赛，促使现阶段网络空间发展在一定程度上陷入安全困境。但客观来看，该事件虽然起到“催化剂”的作用，但网络空间安全困境背后更加深层次的原因在于网络技术的归因难、防御难等特点，网络产品与服务的军民两用性，以及国家与社会应用的广泛性和重要性。对于网络安全困境的研究不应只限于国际政治博弈层面，需要从技术、商业和政治等多个层次的逻辑进行分析，并在不同层次的议题中构建有针对性的治理机制。

2013年6月发生的“斯诺登事件”是国际网络安全发展史上的一个重要里程碑，它拉开了网络空间情报化和军事化的大幕，改变了网络安全发展进程，同时也引发了全球性的网络安全危机。①鲁传颖：“试析当前网络空间全球治理困境”，《现代国际关系》，2013年第9期，第44～47页。此后，各国政府加强了在网络空间的能力建设与战略博弈，对自身安全的关切远超以合作谋求共同安全的诉求，致使网络空间国际治理机制面临失灵，导致国际网络安全陷入困境。②Ben Buchanan, The Cybersecurity Dilemma: Hacking, Trust and Fear Between Nations, London: Oxford University Press, 2017, pp. 10-15.这背后更深层次的原因是网络安全技术、商业和政治安全逻辑在共同起作用，只有通过对这些不同层面影响因素的深入分析，并有针对性地构建治理机制，才能探索摆脱困境的解决之道。

一、国际网络安全困境加剧

“斯诺登事件”加剧了国际网络安全形势的恶化，网络领域中国家间的冲突此起彼伏，网络军备竞赛一触即发。与此同时，相应的网络空间治理机制陷入困境，现有的国际安全架构难以应对网络安全挑战，陷入了一种安全困境。从现象上来看，这种安全困境主要由三重困境叠加组成：一是国际网络安全内涵演变引发的大国在网络安全领域的博弈；二是失灵的网络空间国际治理机制无法应对危机管控和冲突升级；三是国际网络安全特性引发大国在网络空间开展的低烈度对抗。战略博弈、制度困境和冲突对抗这三重困境之间相互作用，最终导致了网络安全陷入安全困境。

第一，大国战略博弈态势加剧。网络安全的定义在“斯诺登事件”之后发生了根本性变化，从原本的网络安全(network security)、信息安全(information security)等拓展为网络空间安全(cyber security)，各国政府普遍将网络安全上升到综合安全(comprehensive security)层面。在此之前，国际社会对于网络安全的认知更多停留在网络犯罪、计算机网络安全和信息安全层面。“斯诺登事件”引发了国际社会对网络安全的大讨论， 逐渐改变了国际社会对网络安全的认知。[注]Joseph Nye Jr.,“Deterrence and Dissuasion in Cyberspace,” International Security, Vol.41, No.3, 2017, pp. 44-71.网络安全的内涵不断被扩充，大数据与国家安全、网络意识形态安全、网络战争、个人信息安全等新型的安全问题不断涌现在国际网络安全议程中。网络安全概念内涵和外延的拓展充分表明网络安全与政治、经济、文化、社会、军事等领域的安全交融度不断深化。中国政府发布的《国家网络空间安全战略》从网络渗透危害政治安全、网络攻击威胁经济安全、网络有害信息侵蚀文化安全、网络恐怖和违法犯罪破坏社会安全、网络空间的国际竞争方兴未艾等五个大的方面，对几十种网络安全威胁做了定义和描述。[注]国家互联网信息办公室：《国家网络空间安全战略》，2016年12月27日，http://www.cac.gov.cn/2016-12/27/c_1120195926.htm.(上网时间：2018年10月15日)从某种意义上讲，网络安全不仅仅是总体国家安全观的一个组成部分，它更进一步丰富了总体国家安全观的内涵，使其变得更加立体化。[注]总体国家安全观是由中国国家领导人在2014年4月15日在“中央国家安全委员会第一次全体会议上”提出，包括11个安全领域。网络安全的发展使得信息安全内涵更加丰富，与其他十个安全领域的关系密切相关，形成一种总体安全观处于顶层，其他十个安全领域处于中间，底层是分别与十个安全领域相连接的网络安全这样一个立体的安全观。

另一方面，随着全球信息化和智能化程度的不断增加，国家经济、金融、能源、交通运营所依赖的关键基础设施数量和重要性不断上升。在这一大的趋势下，网络安全成为事关政治、经济、文化、社会、军事等领域新的风险点，面对日益复杂的网络安全环境，国家倾向于提升网络能力来应对新任务、新挑战，包括军事、情报、执法和行政等领域的网络力量发展成为支撑国家战略和应对网络危机的重要手段。同时，网络安全成为大国战略竞争的重点领域。各主要大国纷纷将网络安全提升到战略层面。包括美国、中国、俄罗斯等在内的主要大国纷纷出台网络空间安全战略，重组网络安全治理架构，提升网络安全在国家议程中的重要性。美国政府早在2009年就制定了《网络安全政策评估》战略，将网络空间定义为继陆地、海洋、太空、外太空之外的第五战略空间。[注]The White House, “Cyberspace Policy Review: Assuring A Trusted and Resilient Information and Communications Infrastructure,” http://www.whitehouse.gov/assets/documents/Cyberspace_Policy_Review_final.pdf. (上网时间：2018年7月7日)中国政府在《国家网络空间安全战略》中指出，“网络空间安全事关人类共同利益，事关世界和平与发展，事关各国国家安全”。[注]国家互联网信息办公室：《国家网络空间安全战略》,2016年12月27日。俄罗斯明确提出要加强网络空间的军事力量。2016年版本的《信息安全学说》指出，信息领域在保障实现俄罗斯联邦的国家优先发展战略中起到重要的作用。[注]班婕、鲁传颖：“从‘联邦政府信息安全学说’看俄罗斯网络空间战略的调整”，《信息安全与通信保密》，2017年第2期，第81页。

大国在网络空间之中的竞争导致了两种不同的战略选择，一种是以美国及其部分盟友为代表，超越“防御”，积极发展进攻性网络力量，并开展网络威慑战略的行动，追求网络领域的绝对安全。“斯诺登事件”后，美国不仅没有放缓网络情报能力的构建，相反还进一步推动进攻性网络作战力量的建设。特朗普政府从机制上将网络司令部提升为战略作战司令部，在制度上废除了奥巴马政府制定的旨在约束网络行动的“第20号总统行政指令”，并高调宣布在阿富汗和伊拉克战场中开展进攻性网络行动，这些举动进一步加速了网络安全向军备竞赛方向的发展。[注]Joseph Nye Jr., “Deterrence and Dissuasion in Cyberspace,” pp. 44-71.另一种是以中国和俄罗斯为代表的，以积极防御来维护网络空间安全的战略。中国政府在《网络空间国际合作战略》中指出，“网络空间国防力量建设是中国国防和军队现代化建设的重要内容，遵循一贯的积极防御军事战略方针。中国将发挥军队在维护国家网络空间主权、安全和发展利益中的重要作用，加快网络空间力量建设，提高网络空间态势感知、网络防御、支援国家网络空间行动和参与国际合作的能力，遏控网络空间重大危机，保障国家网络安全，维护国家安全和社会稳定。”[注]中华人民共和国外交部、国家互联网信息办公室：《网络空间国际合作战略》，2017年3月1日，http://news.xinhuanet.com/politics/2017-03/01/c_1120552767.htm.(上网时间：2018年7月7日)俄罗斯在《信息安全学说》中指出，要在“战略上抑制和防止那些由于使用信息技术而产生的军事冲突。同时，完善俄罗斯联邦武装力量、其他军队、军队单位、机构的信息安全保障体系，其中包括信息斗争力量和手段”。[注]班婕、鲁传颖：“从‘联邦政府信息安全学说’看俄罗斯网络空间战略的调整”，第81页。据统计已经有100多个国家开始建立网络作战力量，军事安全已经成为网络空间治理中的重要议题。

第二，国际机制构建对抗性突出。网络安全概念的演进和国家战略博弈的加剧对国际网络安全治理机制构建带来了新的挑战。“斯诺登事件”后，国际社会曾短暂地试图在网络空间国际规则领域达成共识。2014年巴西召开了多利益攸关方大会(NetMundial)，共同商讨应对大规模网络监听、进攻性网络空间行动等国际治理机制。2014～2015年联合国信息安全政府专家组(UNGGE)就负责任国家行为准则、国际法在网络空间的适用和建立信任措施等网络规范达成共识。[注]United Nations, Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security, UN General Assembly Document A/70/174, July 22, 2015.然而，不久后多利益相关方大会就销声匿迹，2016～2017年的专家组由于各方在国家责任、反措施等方面的分歧最终未能发表共识报告，国际社会在构建网络安全国际治理机制上的努力陷入停滞。[注]美、俄两国专家组代表在会后发布的官方声明指出阻碍专家组达成共识的主要原因。参见Michele G. Markoff, “Explanation of Position at the Conclusion of the 2016-2017 UN Group of Governmental Experts (GGE) on Developments in the Field of Information and Telecommunications in the Context of International Security,” https://www.state.gov/s/cyberissues/releasesandremarks/272175.htm；“Response of the Special Representative of the President of the Russian Federation for International Cooperation on Information Security Andrey Krutskikh to TASS’ Question Concerning the State of International Dialogue in This Sphere,” http://www.mid.ru/en/foreign_policy/news/-/asset_publisher/cKNonkJE02Bw/content/id/2804288.(上网时间：2018年10月15日)

此外，治理机制构建的困境还体现在现有的规范未被认真落实。例如，在2015年信息安全政府专家组报告中提出，“各国就不攻击他国的关键基础设施达成共识。”但是类似于乌克兰电厂遭受攻击的事件却一再发生。报告还提到，“国家在使用信息技术时应遵守国家主权平等，以和平手段解决争端和不干涉内政的原则。”在实际中，很多国家的网络主权屡屡被破坏，干涉他国内政的情况屡有发生。特别是在处理网络冲突时，经常采取单边制裁的方式而非通过和平手段。[注]United Nations, Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security, UN General Assembly Document A/70/174, July 22, 2015.

国家之间的博弈是国际治理机制失灵的主要因素之一。这种博弈体现在不同阵营所支持的治理理念和政策上的分歧。发展中国家强调网络主权，坚持政府在网络空间治理的主要作用，以及联合国在国际规则制定中的主要地位。发达国家则强调网络自由，主张多利益攸关方治理模式，质疑联合国平台在网络安全治理领域的有效性。随着网络空间国际规则制定进程不断深入，发展中国家与发达国家之间的分歧也越来越难以在短期内弥合。这种阵营化的趋势又反过来加剧了发达国家和发展中国家在国际治理机制上的对抗。如美国与西方国家通过七国集团平台推广所谓“理念一致”国家同盟(Like-Minded States),“金砖国家”和上合组织则成为发展中国家推广治理理念和政策的主要平台。

治理机制失灵不仅使得国际层面的网络危机管控和争端解决等相关机制处于空白状态，也对一些重要的双边对话合作产生很大影响。如美俄网络工作组在“斯诺登事件”后中断工作，并且短期内难以恢复。中美网络安全工作组一度因为起诉中国军人事件而中断，虽然在中美两国领导人共同推动下，建立了中美打击网络犯罪及相关事项高级别联合对话机制，后升级为中美执法与网络安全对话，但对话机制主要聚焦在打击网络犯罪领域，不涉及到网络军事与规则制定等议题。[注]The White House, “Fact Sheet: President Xi Jinping’s State Visit to the United States,” https://www.whitehouse.gov/the-press-office/2015/09/25/fact-sheet-president-xi-jinpings-state-visit-united-states.(上网时间：2018年10月15日)因此，在缺乏危机管控和争端解决机制情况下，各国在网络领域的冲突易于升级，并且容易鼓励采取单边行动来进行反制，从而加剧了网络安全困境。

第三，低烈度冲突呈现常态化。在现有技术条件下，网络攻击相较于现实世界战争行为，具有暴力程度低、致命程度弱等特点。在军事学当中，暴力是指对人体的生理和心理所带来的伤害，人体是暴力的第一目标。网络武器和网络攻击的特性决定了其暴力程度远远低于传统武器和战争。其一，网络武器不像传统武器那样以直接杀伤人体为目标；其二，网络武器由于不直接攻击人体，因此很难对个人精神产生物理性伤害；其三，网络武器缺乏实体武器的象征属性，其隐蔽性和非展示性对抗使其与实战中的战机、炮弹等武器大有不同。[注][英]托马斯·里德著、徐龙第译：《网络战争:不会发生》，人民出版社，2017年，第58页。因此，多数的网络行动被认为低于战争门槛，是一种低烈度的冲突。因此，国家开展网络行动也许会危害其他国家的国家安全，但由于没有达到触发战争的状态，现有国际法难以对此做出有效约束和规范。因此，虽然各方对网络战的定义、内涵和影响还缺乏明确的共识，但在实践中网络战被认为是一种新型的特殊的作战方式。

网络攻击低暴力性和行动隐蔽性的特点使得各种形式的网络行动更加频繁，也引发了越来越多的网络冲突。无论是“棱镜计划”，还是“震网病毒”“索尼影业”“黑客干预大选”等事件都表明，国家在网络空间中的行动越来越频繁，手段、目标和动机也越来越多元，引发的冲突也愈发激烈。这一类网络行动并没有达到引发战争的程度，低于国际法所规定的战争门槛，但是冲突的形式又比纯粹的信号情报收集(signal intelligence)要激烈很多。因此，一些学者将这些网络行动界定为低烈度的网络冲突。[注]Trey Herr and Drew Herrick, “Understanding Military Cyber Operation” in Richard Harrison and Trey Herr eds.,Cyber Insecurity, Maryland: Rowman & Littlefield, 2016, p.216.表面上看，低烈度的网络冲突并不会对各国国家安全以及国际安全造成严重后果，但是高频度的低烈度冲突会产生从量变到质变的结果，最终在某一个触发点突破红线，从而引发激烈冲突危害国际安全。[注]Brandon Valeriano and Ryan C. Maness, Cyber War Versus Cyber Realities: Cyber Conflict in the International System, London: Oxford University Press, 2015, pp.20-23.如美国对于“黑客干预大选”所采取的激烈制裁手段表明，美国正在改变原先对于网络行动的认知，采取所谓的跨域制裁方式，对俄罗斯的实体和个人进行制裁，并且从外交上向俄罗斯施加压力，驱逐俄罗斯驻美外交官员，关闭其领事场所。这样低烈度的网络冲突应当是网络空间国际治理规则重点关注的领域。

二、安全困境加剧的原因

大国博弈、国际治理机制失灵和低烈度网络冲突不断等现象与国际网络安全困境之间互为因果，相互作用，形成了一个看似难以解决的系统性安全困境。要解开困局，就需要对现象背后的原因作进一步的深入分析。对网络安全的技术特点，网络产品和服务的属性展开研究，并在此基础上之上进一步分析国际网络安全的政治逻辑。

第一，网络的技术安全逻辑。技术一直是国际关系研究中的重要变量，科学技术的进步曾多次直接或间接地推动了国际关系的变革。从技术层面看，网络天然具有匿名性、开放性、不安全性等特点。匿名性、开放性与互联网架构有关，匿名性主要是指互联网用户的身份保持匿名，并且可以通过加密和代理等手段规避溯源；开放性是指全球的互联网通过统一的标准协议体系进行连接，接入互联网的设备互联互通；不安全性是指任何设备和系统都是由人设计，理论上说任何设备和系统中都存在着不同程度的错误，这些错误有可能被开发为漏洞从而被攻击。网络安全原本是指对计算机系统和设备的机密性(confidentiality)、完整性(integrity)和可获得性(availability)的破坏与防护。因此，各国的网络安全战略的两个重要目标是对网络数据和关键基础设施的保护。网络的技术特点导致了网络整体溯源难和防御难，由此形成的逻辑是网络安全有利于进攻方，理性的决策者会倾向于采取加强能力建设和资源投入的方式来保卫自身安全和获取战略竞争优势。这一技术逻辑对相关国家网络安全的战略选择和国际治理均产生直接影响。

网络技术的开放性和匿名性增加了溯源的难度。现有的网络安全调查取证技术难以查出高级持续性威胁(APT)真实的攻击者，难以对攻击者进行惩罚。溯源既是国际网络安全领域的核心技术，也是最具争议的领域。溯源旨在锁定攻击源头，从而为判定国际网络安全事件的性质、采取法律应对措施提供基本判断条件。[注]Martin Libicki,Cyberdeterrence and Cyberwar, Santa Monica: RAND Corporation, 2009.由于网络的匿名性和开放性，加上各种隐藏身份的技术，攻击者往往会对自己的行为和身份进行伪装，增加溯源的难度。在已发生的众多网络安全事件中，几乎都无法提供有力的证据来证明攻击源头。因此，国际社会难以在攻击者与被攻击者之间表明立场，并采取行动来惩罚攻击者。以“震网”事件为例，事件发生多年后才由于媒体的曝光为世人所知。开发病毒的美国与以色列情报机构对此未置可否。“震网”病毒及其变体后来也先后感染了全球多家发电厂，成为危害国家关键基础设施的重要威胁。尽管如此，没有任何机制能够促使国际社会对媒体曝光的始作俑者进行谴责或者制裁。[注]“Obama Ordered Wave of Cyber-attacks against Iran,” The New York Times, June 1, 2012, http://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of-cyberattacks-against-iran.html. (上网时间：2018年6月9日)乌克兰电厂被攻击，爱沙尼亚银行系统被攻击等类似事件仍然频发于国际性的网络安全事件中，进一步降低了国际社会对网络安全的信心。

从理论上而言网络安全漏洞是广泛存在。无论是连网的设备还是组成系统的代码主要都是通过人来编写。因此，错误是无法避免的，缺陷与生俱来，任何一种设备都无法做到绝对的安全，所有的连网设备都可能成为网络攻击的目标。特别是在信息化渗透度不断增加的情况下，国家面临着保护越来越多的关键基础设施这一重任。实际情况是，漏洞广泛存在于关键基础设施的系统当中，并且这些关键基础设施分散在不同的行业和企业中，政府对其进行保护的成本和压力极为巨大。例如，美国将关键基础设施分为17类，但其数量从未对外公布。若对其关键基础设施进行全面保护，所需耗费的人力、物力、财力之大可想而知，特别是很多关键基础设施的运营者是企业，企业拥有的资源有限，安全投入亦相对有限，在很多情况下也不愿意向外透露自己被网络攻击的信息。这种情况下，对于攻击者而言，这种攻击目标的广泛性和保护的非全面性给予其大量的攻击机会。同时，网络的匿名性导致的“敌明我暗”的网络空间存在方式增加了主动防御的难度。

第二，商业安全逻辑。商业是推动国际体系演变的重要动力。从国际安全的角度来看，商业和贸易是重要影响因素之一，如瓦森纳协议对于高科技出口的管制就是通过商贸来影响国际安全的重要机制。从国际网络安全角度来看，由于网络技术、产品和服务为军民两用程度越来越高，国家安全和政治正在逐步改变商业安全的逻辑，引起了关于“技术民族主义”的讨论。因此商业安全逻辑是导致国际网络安全困境的重要因素，只有认清其问题本质，并从供应链安全角度开展相应的国际治理工作才能有效缓解网络空间的困境。

从国际网络安全视角来看，网络产品的军民两用性开始逐步改变传统的商业逻辑基于竞争、开放和合作等理念。在网络领域，技术、产品和服务的军民两用性表现的更加明显，对传统商业逻辑的影响也更大。“斯诺登事件”就揭露出包括微软、谷歌、推特、脸谱、亚马逊等互联网企业与美国国家全局合作，在消费者和他国不知情的情况下向美国政府情报机构提供海量用户信息。[注]“NSA Prism Program Taps in to User Data of Apple, Google and others,” The Guardian, June 7, 2013, http://www.theguardian.com/world/2013/jun/06/us-tech-giants-nsa-data.(上网时间：2018年7月2日)不仅如此，包括美国国家安全局、网络战司令部在内的网络军事、情报机构都试图通过发现大型互联网企业服务与产品中存在的漏洞将其开发为网络行动的武器。因此，网络攻击的对象不再是军事网络和政府网络，民用关键基础设施也不可避免地成为攻击对象。

从网络产品和服务的军民两用性来看，大型互联网企业的商业活动难以保持商业中立。军事和安全部门也需要使用先进的互联网产品和服务来提升能力，如美国亚马逊公司就向美国多个军事和情报机构提供的云服务平台，增加美军的信息化水平。[注]“Amazon Collects Another US Intelligence Contract: Top Secret Military Computing,” The Sputnik News, June 1, 2018,https://sputniknews.com/military/201806011065023768-amazon-collects-another-us-intelligence-contract/.(上网时间：2018年7月2日)这种情况下，各国政府对于境外互联网企业提供的产品与服务缺乏信任。这会促使各国政府更加倾向于使用来自本国的企业所提供的设备和服务，以确保这些外国互联网企业不会与他国政府共谋危害本国网络安全。各国政府开始重新审视以美国企业为代表的跨国企业在境内商业活动的目的，普遍加强了对其他国家互联网企业的产品和服务的安全审查工作。另一方面，网络产品和服务的军民两用性也容易引起国家寻求对技术的垄断，从而破坏全球创新生态。美国政府近来通过扩大外国投资审查委员会(CFIUS)的权力，在芯片、人工智能等领域对与中国相关的投资、人员交流、科技合作等方面作出进一步限制。[注]The White House, “Remarks by President Trump at A Roundtable on The Foreign Investment Risk Review Modernization Act,” https://www.whitehouse.gov/briefings-statements/remarks-president-trump-roundtable-foreign-investment-risk-review-modernization-act-firrma/.(上网时间：2018年10月5日)这种做法无疑会提高创新成本，阻碍技术的发展，破坏全球创新体系。

第三，国际政治安全逻辑。冷战之后，国际政治安全主要是在权力政治与相互依赖两种理念之间博弈，在大国关系领域既有权力政治的博弈也有经济相互依赖的合作。[注]罗伯特·基欧、汉约瑟夫·奈著，门洪华译：《权力与相互依赖》，北京大学出版社，2012年。网络空间作为新疆域，规则体系尚未建立，维护安全主要取决于国家能力，这导致政治安全逻辑的天平更加偏向了权力政治的一端。[注]杨剑：《数字边疆的权力与财富》，上海人民出版社，2012年，第67～88页。国际网络安全具有进攻和防御的两面性，从进攻角度而言，网络安全为国家谋取安全优势打下基础，国家实力既是维护网络安全的必要条件，也是谋取更为广泛的安全优势的支柱。由此衍生出了霸权思想、绝对安全、单边主义、先发制人等权力政治的政治安全逻辑在网络空间逐渐流行。从防御角度讲，网络安全的威胁具有普遍性、跨国界等特点，客观上需要各国之间加强合作，共同应对威胁挑战。自由主义的相互依赖、集体安全、多边合作等理念是解决网络安全困境的重要方面。而“斯诺登事件”后，国家将关注的焦点聚焦在安全威胁上，由此导致现实主义的政治安全逻辑相较于自由主义更加受欢迎，推动了国际网络安全走向战略博弈、军备竞赛的方向。

国家还面临着网络安全作为一种非传统安全所带来的挑战。从传统安全角度看，安全主要是国家层面的事，实力是决定安全的最重要因素。由此可见，在军事战略、作战、科技等领域领先其他国家，就一定会比其他国家更加安全。但是网络安全作为一种非传统安全，网络安全与信息化程度之间呈现负相关，信息化程度越高，往往意味着依赖度更高，随之产生更大的“脆弱性”，面临的威胁也越多。尽管先进国家投入了大量的资源来维护网络安全，但由于连接到互联网中的设备多、关键基础设施多，其所面临的网络安全风险并未下降，甚至还在不断上升。这使得政府难以对自身的网络安全防御拥有足够信心，安全的威胁会持续存在。这些网络安全特点演变出的国际政治安全逻辑导致了各国在网络安全政策上的不透明，缺乏必要的接触，难以开展合作。

三、构建国际网络安全的治理机制

国际网络安全困境是由不同层次因素共同影响的结果，当前国际治理工作主要集中在国际政治博弈领域，未能触及导致困境的根本原因。今后国际网络安全的治理工作应重点针对技术、商业和政治安全等领域存在的问题加强治理机制的构建，从多边和双边等多种渠道加强合作，从而系统解决网络空间国际治理中的安全困境。

第一，溯源与防御的治理。从网络安全技术逻辑看，需解决溯源难和防御难的问题。溯源问题之所以关键，是因为它涉及到责任归属问题。由于缺乏客观中立的国际组织来对相应的网络安全事件进行调查，绝大多数涉及到国家的网络攻击最后都不了了之，这种现象会鼓励更多的网络攻击发生，扰乱国际网络安全秩序。有学者认为，应当在联合国层面建立相应的机构，专门就网络攻击的溯源问题开展工作，在网络攻击发生后开展相应的调查，一旦这样的国际机构成立，必将对攻击者产生极大的震慑作用，从而遏制网络攻击高发的态势。当前要做到这一点还存在一定的难度，主要原因是少数大国垄断了溯源技术，既不愿意与其他国家进行分享，也不愿意协助联合国层面开展溯源的能力建设。[注]Scott Warren and Martin Libicki, Getting to Yes with China in Cyberspace, California: RAND Corporation, 2016, p. 30.对此，国际社会应当有明确的态度，克服少数国家的阻碍，支持联合国在溯源方面开展相应的工作。

防御难的问题需要从建立完善的防御体系和更加安全的标准来提供解决方案。国际网络安全的发展也适用于“木桶效应”。[注]指在水桶中最短的那一块板决定了整个水桶的能够承载的水位，网络安全中薄弱的环节和国家决定了国际网络安全的整体水平。从产品层面来看，任何一个部件的短板都会影响整个产品的安全水平。因此，国际社会应当提高网络产品和服务的标准。从国家层面来看，防御性较弱的国家决定了整体的国际网络安全水平。这是由于网络安全具有跨国界性，防御性较弱的国家会成为网络攻击者。因此，解决网络安全防御难的问题不仅仅取决于单个国家保护能力的提升，更加依赖于全球总体网络安全防御能力的提升。应该鼓励各国建立更加完善的网络安全保护体系，并且在关键基础设施保护等方面开展合作。还需要将提升网络安全的能力建设作为治理的重要工作，提升发展中国家网络安全的保护水平。

第二，供应链安全的保障。网络安全军民两用性对传统商业逻辑的改变，正在引发对技术民族主义的担忧，需要从源头上解决国家安全的关切与正常商业逻辑的关系。这需要避免受到民族主义的影响，从更加专业的角度来探讨对网络技术军民两用性的国际治理，其中一个有益的视角就是从供应链安全角度来切入。技术民族主义主要表现为：只信任本国生产的产品，以国家安全名义排除使用其他国家的产品；通过保护国家安全为由阻碍来自其他国家正常的投资活动；利用垄断核心技术和产品的优势拒绝向他国出售相应的技术和产品，以此来产生威慑效应。目前，主要大国在网络安全政策上都有一定的技术民族主义趋势，美国特朗普政府尤为明显。先是禁止联邦政府使用俄罗斯卡巴斯基网络安全软件，后是针对中国加大了投资安全审查。

技术民族主义会对国际贸易造成扭曲，有损贸易的公平原则。同时，技术民族主义认为本国的产品和服务一定会比国外的产品和服务安全，这也是一种经不起推敲的安全观。正常情况下，安全取决于产品的质量和保障，而非生产者的国籍。只有在某些特定的情况下，才会出现危害国家安全的情况，如与一国的安全部门合作，刻意设置漏洞和后门来破坏其他国家的网络安全。加强供应链安全的国际治理工作是应对军民两用问题的有效解决方案。一是国际社会应当为网络设备和产品提供更加安全的标准体系。二是各国政府应该达成共识，不在民用网络安全产品中植入后门与漏洞。美国微软公司在“数字日内瓦公约”中就倡议政府“不以科技公司、私营部门或关键基础设施为攻击目标”。[注]Kate Conger, “Microsoft Calls for Establishment of a Digital Geneva Convention,” Tech Crunch, February 14, 2017.三是国家应当将重心放在网络安全和服务的审查上，而非以破坏贸易规则的形式来拒绝国外的产品和投资。国家应建立对网络安全设备和服务进行安全审查的能力，这样才能建立对产品和服务的信心，恢复对于企业信任的同时，对这些企业产生一定的震慑能力。如中国政府建立了《网络产品和服务安全审查办法》，以提高网络产品和服务安全可控水平，防范网络安全风险，维护国家安全。[注]国家互联网信息办公室：《网络产品和服务安全审查办法》，2017年5月2日，http://www.cac.gov.cn/2017-05/02/c_1120904567.htm.(上网时间：2018年7月2日)

第三，信任措施的建立。要通过建立信任措施，改变政治安全逻辑发展方向。技术逻辑与商业逻辑层面的治理会降低国家对威胁的感知，有助于推动政治安全逻辑的天平从权力政治向相互依赖转变。建立信任措施最初形成于冷战时期的军事联盟之间，目前该措施已扩大至包括军事和非军事的其他领域。联合国信息安全专家组一直将建立信任措施视为建立网络规范的重要任务。国际网络安全领域的建立信任措施包括稳定、合作和透明度三个层面的措施。稳定类的措施包括加强危机管控、冲突预防，建立热线等机制；合作类的措施包括应急响应层面的数据和信息共享、网络反恐、打击网络犯罪；透明度领域的措施包括网络战略、国防战略、组织架构、人员角色等信息。建立信任措施是各国分歧比较小的领域，难点在于如何落实。第四届专家组(2014～2015年)在前期成果的基础之上，提出了更高水平的建立信任措施，包括建立政策联络点、建立危机管控机制，分享有害信息和最佳实践，并且在双边、区域和多边层面建立技术、法律和外交合作机制，加强执法合作，加强计算机应急响应机构开展实质性的协调、演习、最佳实践等。[注]United Nations, Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security, UN General Assembly Document A/70/174, July22, 2015.

从当前网络空间的安全现状和面临的风险挑战来看，专家组提出的建立信任措施非常有针对性，有助于各国加强网络安全合作，避免危机升级，共同维护网络空间安全。但是各国是否能够采纳专家组的建议，还受到传统的国家间关系影响。从大国之间建立信任措施的实际效果来看，美欧在建立信任措施领域取得的成果最为丰硕；中俄之间也建立了一定程度的信任措施；中美之间建立了执法与网络安全对话，也在个别领域建立起信任措施。美俄之间由于俄罗斯接纳了斯诺登的避难请求而中断了网络安全工作组联络，并且随着“黑客干预大选”事件，双方之间的已有信任措施已完全中断，短期内美俄网络对话很难恢复。由此可见网络空间信任措施建立难，消失却很快。因此，从双边关系来看，如何建立较为长期、稳定的信任措施应是解决网络安全困境的重点工作，各方需要在此问题上取得共识，克服困难共同推进。○