过去五年美国网络空间发生持续变化,战略引入“持续交战”(Persistent Engagement)概念,继而发展为“前沿防御”(Defend Forward)战略,塑造出美国新国家网络战略——进攻型网络主权观。
“分层网络威慑”(Layered Cyber Deterrence)建立在过去五年美国网络安全战略架构基础之上,由网络空间日光浴委员会(Cyberspace Solarium Commission)于2020年3月11日正式提出,探讨了如何进一步确保美国在网络空间的利益。它借鉴了历史战略报告和研究,并增加了新的元素,为降低网络攻击的严重程度和频率提供了一个全面的蓝图。
网络空间日光浴委员会指出,有两个因素使这一战略与众不同:第一,网络威慑的层次化整合了多种威慑机制来改变对手的成本效益计算方式,它整合了国防部(DoD)的“前沿防御”概念,同时管理升级的风险。第二,分层网络威慑用“整个国家”的做法超越了以往试图扩大美国可用威慑能力的努力,该战略鼓励维护美国社会的一种合作、持久、互利的威慑姿态。
一、美国主动回应低于武装冲突阈值的网络攻击
(一)分层网络威慑强调“将保持和利用军事手段——及其他手段阻止各种级别的网络攻击”作为保护美国网络空间利益的重要支柱之一。网络空间已成为战略竞争空间,所有国家都在塑造保护自身利益、惩罚对手的能力。美国认为“一些国家在低于武装冲突阈值下来争夺利益,削弱美国的经济实力、政治意愿和军事实力,未来的突发事件和冲突必将涉及网络因素”。在这种环境下,美国必须“前沿防御”限制恶意对手实施低于武装冲突阈值的网络攻击,阻止攻击必要时可利用所有国家力量手段进行防御。“前沿防御”理念主张,若想破坏和扰乱正在进行的对手行动,美国必须主动发现、追击和抵抗对手的行动,并在没有武装冲突的情况下付出代价。这种态势向对手表明,美国政府将会积极应对网络攻击,即使是那些低于武装冲突阈值并未造成大规模物理损害和人员伤亡的网络攻击,美国将在符合国际法的条件下利用和使用所有手段。实施低于武装冲突阈值的网络行动包括对美国选举系统的网络攻击和窃取美国知识产权。为了应对这类行动,美国政府必须表现出施加成本的能力,同时建立明确的声明性政策,向对手国家释放关于网络空间攻击美国的后果和风险的信号。
(二)分层网络威慑激励美国公共私营部门合作,打击低于武装冲突阈值的攻击。迄今为止,美国在决定是否在网络空间进行低于武装冲突阈值的攻击时,还没有充分改变对手的成本效益计算方式。正如成本效益分析突显网络的便利性一样,风险平衡也存在类似的偏差。对手们不仅怀疑美国政府会因为关闭一座大城市的电力供应而采取报复行动,同时也怀疑美国政府对窃取知识产权、在关键基础设施中植入恶意软件以及网络干预选举做出反应的决心。他们知道可以实现自己的目标。国家和非国家行为体很清楚在当前环境下,私营部门每天都在出现新的漏洞,而政府和私营部门的应对措施将是不协调的,充其量是零星的。美国需要一个新的战略来捍卫其在网络空间的权益。由于该领域严重依赖于私营部门的网络,这一战略必须激励公共和私营部门的合作,并阻止对手在网络空间挟持美国为人质。该战略必须将非军事力量手段与防御机制相结合,以确保关键基础设施的安全,并依靠可靠的能力在国家选择的时间和地点通过网络和非网络军事行动施加成本,以在低于武装冲突阈值的前提下获胜。
(三)分层网络威慑建议重新评估和修订美军的常规交战规则(SROE)和常规武力使用规则(SRUF)。国防部作为下一次网络态势评估的一部分,应进行评估并提供必要的建议,对美军《常规交战规则》和《美军常规武力使用规则》进行修订,因为这些规则已有十多年的历史了。鉴于网络空间运营的独特运作方式,尤其是在低于使用武力的阈值以下,《常规交战规则》和《常规武力使用规则》必须与网络空间以及通过网络的行动相关。这项研究可以解决的具体问题包括:网络空间中不存在“公海”这一事实;需要符合当前的国防部结构和组织(例如,统一战役计划);就网络空间活动而言,将授予美国战略司令部的权限重新分配给美国网络司令部;《常规交战规则》和《常规武力使用规则》的默认和限制性性质的适用性,适用于高于或低于武装冲突阈值的网络空间中的行动;在网络空间根据补充规则划定地理战斗指挥部和职能战斗指挥部之间的权限;以及网络空间中领土、追索权和敌对意图等术语的定义。
(四)国会应该指示国防部将一个持续的评估过程制度化,并每年报告这些漏洞,以保持其执行关键计划的势头。2018年美国政府问责局(GAO)关于国防部迄今为止所做努力的报告得出结论称,为了“改善武器系统网络安全状况,国防部保持其发展和实施关键举措的势头至关重要”。令人担忧的是对美国核威慑力量的潜在网络威胁以及面临着各种网络威胁的核指挥、控制和通讯(NC3)系统和美国国家领导指挥能力(NLCC)的生存能力和弹性。这些威胁尤其令人震惊,因为它们可能破坏核威慑的稳定性,并为无意中的核战争创造条件。最大的风险在于,正是由于网络互动发生在武装冲突的阈值以下,网络风险和NC3的组合实际上可以降低该阈值。考虑到这一点,国会应指示国防部定期评估NC3系统和NLCC企业的每个部门是否遵守网络安全最佳做法、漏洞和危害证据。此外,这种分析不应该局限于技术渗透和漏洞,还应注意影响旨在歪曲决策制定的操作,同时使NC3系统保持适当的完整性。
二、美国加强网络归因能力建设
归因(attribution),是指识别网络事件的技术证据或分配网络事件的责任,其技术来源可能与负责人并不同。在网络空间中,国家最初掩盖攻击行为,并经常试图通过错误归因、错误标志和代理来掩盖信息来源。例如,在建立及时和准确的归因方面所面临的挑战,会使人们对网络攻击者的身份产生怀疑,从而削弱网络威慑以及应对方案的可信度。
(一)分层网络威慑改进归因分析和归因决定规则。对网络事件的准确及时的归因使美国领导人能够通过考虑采取适当的应对措施来制定最明智的决定,以保护国家,从而加强网络空间的问责制。国家情报总监办公室(ODNI)通过国土安全部(DHS)和联邦调查局(FBI)与私营部门合作来改善归因分析。这可以通过:(1)标准化国家情报总监办公室的归因指南和评估时间表来实现;(2)建立归因分析工作组(不常备但指定),其中应包括关键的私营部门分析和数据,以加快联邦政府的反应;(3)通过应用新兴技术和使数据源多样化以克服不断发展的技术挑战来提高分析能力;(4)编制和加强网络威胁情报集成中心(CTIIC),通过加强聚合和消除冲突实体来评估归因,进一步支持该建议。此外,国家安全委员会和国家网络主任(NCD)在与国家情报总监协商后,应制定一个归因决定规则,目的是澄清应基于归因以最低要求的置信度做出的可用响应。国家安全委员会应任命一个实体来实施该规则。即使网络事件缺乏高可信度的归因,规则也将使美国政府能够通过将归因级别与可交付使用的非军事国家权力手段相匹配来减少漏洞并采取适当的行动。必要时,美国政府必须乐于以适当的行动(即政策决定)做出回应,而无需表现出特定的置信度。
(二)美国国家情报总监办公室通过强化网络威胁情报整合中心(CTIIC)以促使整个政府了解影响美国的重大网络威胁方面发挥了关键作用,并可协助提供快速准确归因所需的分析和协调。在2015年建立CTIIC的总统备忘录中,CTIIC负责作为主要的联邦整合中心,对重大恶意网络行动进行溯源分析、生产和情报传播,以告知美国政府和私营部门的决策者。但是CTIIC需要有充足的资源来完成其整个任务,包括充足的资金、人力和分析资源,以充分支持联邦部门和机构的运作以及这些机构向私营部门和国际合作伙伴提供的情报产品。国会和行政部门应采取措施,确保联邦调查局有适当的资源来执行其网络任务,进行归因,加强整个政府的反威胁能力,并使其他机构的任务支持国家战略目标。
(三)在美国国务院内设立由助理国务卿领导的网络空间安全和新兴技术局(Bureau of Cyberspace Security and Emerging Technologies),将为这项工作带来领导和关注。美国及其合作伙伴可以使用增强的工具,包括网络能力建设、国际网络执法、制裁和贸易执法、归因能力以及建立信任措施,这些工具将作为向前防御中非武力工具的一部分,以增加对手成本,鼓励国家负责任的行为促进一个稳定的网络空间。
(四)分层网络威慑包括通过加强负责任的国家行为规范和加强非武力工具来塑造网络行为者的行为。尽管单边行动可以提供最大的短期灵活性,但基于规则的多边参与为减少网络攻击的可能性和有效性提供了更有效的手段,主要由三点原因:第一,规则改变了对手的决策。当恶意行动者知道违反规则的行为将面临一个由盟友和合作伙伴组成的全球社区而不是一小群个别国家的挑战时,他们预计不良行为可能会受到更严厉的惩罚。第二,由多个参与者实施的规范体系是一种相对划算的手段,可以为网络空间带来更大的稳定,因为它减轻了任何一个国家强化规范体系的负担。与活动相关的成本和努力,如情报收集和分析、归因和响应行动可以更有效地共享和开展联盟活动。第三,规范框架是有粘性的—— 一旦行为模式被设定,框架就很难被移除。因此,美国及其盟国将受益于率先制定规范议程。这三个关于有效性的论点并不是强调一个基于规则的系统是绝对正确的,而是强调它非常适合作为第一层威慑,由其他层加以补充。因此,最大限度地发挥规范和非武力治国工具的效力,将带来一个更加稳定和安全的网络空间。
三、总结
网络空间日光浴委员会由《2019财年国防授权法案》(NDAA)授权成立,以艾森豪威尔总统在冷战初期遏制苏联的日光浴项目为蓝本。NDAA规定这个机构设立的原因是“就防止美国在网络空间遭遇重大网络攻击的战略方法上达成共识”。委员会成员之一的美国参议员本·萨斯(Ben Sasse)表示:“我们缺少这样一个理论:可以界定我们何时、何地、要以什么样的方式开始攻防行动。但我们没有作战手册,现在是时候起草一份了。”
习近平总书记在2016年4月19日主持召开的网络安全和信息化工作座谈会上强调,维护网络安全“要树立正确的网络安全观”。网络安全是全球性挑战,没有哪个国家能够置身事外、独善其身,维护网络安全是国际社会的共同责任。各国应该携手努力,加强对话交流,有效管控分歧,推动制定各方普遍接受的网络空间国际规则,共同遏制信息技术滥用,反对网络监听和网络攻击,反对网络空间军备竞赛和网络恐怖主义,健全打击网络犯罪司法协助机制,共同维护网络空间和平安全。(曹伟)
(本文刊登于《中国信息安全》杂志2020年第4期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。