2021 年 6 月 28 日,英国智库国际战略研究所( IISS)发布了一份研究报告《网络能力与国家力量:净评估》,这份报告以相关国家的政府文件、开源材料及对相关领域专家的访谈作为研究素材,指出网络空间领域正不可避免地成为 21世纪国家间展现力量及开展竞争的关键而充满风险的一个新环境。它提出了一种评估网络力量的新方法,然后将其应用于 15 个国家。

一、国家网络能力的研究背景

随着技术的进步以及移动和计算设备在社会各个层面的普及,网络力量正成为任何国家实现国家安全的日益突出的推动力。由于所有国家都在一定程度上受到数字鸿沟的影响,作为依赖数字系统的经济、社会和政府的关键推动因素,网络安全应成为高度优先事项。当前,全球多个国家正在建设自己的国家网络安全能力,他们正在国家战略文件中定义网络安全的含义。概括而言,开展国家网络能力评估研究主要基于以下背景:

1.网络能力已经成为一种强大的国家力量的新工具

在过去的 20 年里, 网络能力已经成为一种强大的国家力量的新工具。除了像传统的间谍活动一样利用这种能力从彼此那里获取国家机密之外,各国还将它们用于一系列其他更具威胁性的目的。其中包括通过窃取知识产权来促进本国经济发展;威胁破坏他们视为对手的国家的金融机构、石油工业、核电站、电网和通信基础设施;在战时削弱和破坏军事能力;在适当的时候限制他国发展核武器的能力, 等等。当前,各国正在将网络能力纳入其国家投资战略、军事理论和计划,并加快其网络相关活动的速度。可以说,网络能力已经对国家实力产生了重要影响。

2.网络安全已成为国家安全进程不可分割的组成部分

根据国际电信联盟( ITU)的说法, 网络安全本身并不是目的;网络安全必须被理解为达到目的的一种手段。目标应该是建立信心和信任,即关键的信息基础设施将可靠地工作,并在受到攻击时继续支持国家利益。因此,国家网络安全战略的重点应该放在最有可能破坏社会重要功能的威胁上。数字化和信息社会不断发展,新的网络威胁不断出现。在这一进程中,网络安全必须成为国家安全进程不可分割的组成部分。各国需要了解其目前在网络安全方面的能力水平,同时确定需要加强网络安全的领域。

3.网络空间国际对抗日益加剧已带来严重风险

近年来,国与国之间的网络对抗日趋激烈。媒体披露的重大网络行动包括:美国和伊朗相互针对的行动;以色列和伊朗相互对抗;俄罗斯对阵爱沙尼亚、格鲁吉亚和乌克兰;其中,俄罗斯针对美国和英国民主进程的行动受到了相当大的关注,美国对总部位于圣彼得堡的组织的报复性行动也受到了相当大的关注。2020 年底俄罗斯针对美国的网络行动“太阳风黑客攻击”也很突出。与此同时,侦察和获取相关网络优势的国家网络行动则每秒钟都在发生,侦察或早期监控可能会被防御方误解为实际攻击,从而引发报复;插入的代码可能会发生故障,从而导致事故升级并极易失控。此外,网络空间已经成为有组织犯罪的主要领域。这些国与国之间的网络行动都可能带来最严重的风险。因此,各国正试图通过对保护性网络安全能力进行可委托投资,减轻网络威胁对其数字经济、关键国家基础设施和公民构成的风险。

4.各国正试图塑造、影响并在某些情况下控制互联网的未来设计和治理

网络空间已经成为 21世纪国家间治国和竞争的一个关键和危险的新环境。各国已经意识到,国家的经济繁荣、国家安全和地缘战略影响,在很大程度上取决于它们对网络风险的管理。因此,各国正试图塑造、影响并在某些情况下控制互联网的未来设计和治理。鉴于先进信息技术的领导地位将带来地缘战略、经济和安全优势,二十一世纪的国家认识到,只有当它们是数字超级大国时,它们才能成为超级大国。随着国家繁荣、安全和治国之道越来越依赖于网络空间,国家对网络力量的发展和使用变得至关重要。因此,开发一种客观的、全面的评估国家网络实力的方法变得尤其重要。

二、国家网络能力的研究进展

国家网络能力研究是近年来网络安全领域的一个新兴研究课题,到目前为止业界还没有形成一个能够衡量国家网络能力水平的商用国际标准。多个国家、国际组织、智库等对国家网络能力开展了多项定性和定量研究,开发了多种不同的评估指标和模型,涵盖的研究对象涉及全球数十个国家和地区。该领域的主要研究机构与成果:

1.经济学人智库和博斯艾伦汉密尔顿的网络力量指数(CPI)

该机构(英名缩写为 EIU)在 2011 年对 G20 国家中排名前 19 位开发了“网络力量指数”(CPI)。它的网络力量指数通过以下四个指标来衡量国家及其经济体抵御网络攻击的能力:( 1)法律和监管框架;(2)经济和社会背景;(3)技术基础设施;(4)行业应用。该指数在 评估 IT 基础设施时使用了若干量化指标,这一点值得注意,不过它对 政府主导的网络安全政策和能力的重视程度要低得多。该指数最大的 局限性在于仅限于 20 国集团(G20)成员国。英国、美国和澳大利亚 分别被列为最有能力的前三名国家(经济学人智库 2011)。而且, 与 下面贝尔弗的 NCPI 相比, CPI 并没有衡量进攻能力,主要集中在经济 和资源指标上,尽管这些指标对于理解发展网络力量的潜力很重要, 但并不能全面反映网络能力。

2.波托马克政策研究所的网络就绪指数 2.0(CRI2.0)

该机构在 2015 年发布网络就绪指数(CRI2.0),旨在为决策者提供一个评估能力的框架,以及实现全面网络就绪的途径。CRI2.0 由两个主要部分组成:第一,它客观地评估和衡量了各国对国家网络安全风险的就绪水平,以便向各国领导人通报为保护联系日益紧密的国家和潜在的国内生产总值增长所需采取的措施。第二,网络就绪指数 2.0将网络就绪的核心组成部分记录为各国遵循的可操作蓝图,并因此定义了对一个国家来说什么是“网络就绪”。这种全面的、比较的、基于经验的方法在七个基本要素中使用了超过 70 个独特的指标, 以识别业务就绪的活动,并确定以下类别的改进领域:( 1)国家战略、( 2)事件响应、( 3)网络犯罪和执法、(4)信息共享、( 5)研发投资、( 6)外交和贸易, 以及(7)防御和危机应对。由此产生的可操作的蓝图使一个国家能够更好地了解其互联网基础设施的依赖性和脆弱性,并评估其承诺和成熟度,以缩小其目前的网络安全态势和支持其数字未来所需的国家网络能力之间的差距。报告在对世界 20 多个国家进行深入分析的基础上,选择最具代表性的美、日、法等八个国家撰写网络就绪度报告并进行重点论述,是一本以国家为单位来衡量网络安全状况的实用性研究著作。

3.国际电信联盟的全球网络安全指数(GCI)

国际电信联盟( ITU)在 2015 年、 2017 年、 2019 年、 2021 年连续发布了全球网络安全指数(GCI)不断更新的版本。GCI 由 ITU 于 2015年首次推出,旨在衡量 193 个 ITU 成员国和巴勒斯坦国对网络安全的承诺,帮助它们确定需要改进的领域,并鼓励各国采取行动,从而提高对全球网络安全状况的认识。随着网络安全的发展和适应,衡量网络安全的方式也在不断变化,2021 年最新版密切关注最新变化。根据国际电联的全球网络安全议程(GCA)框架, GCI 确定了以下五大支柱:(1)法律;( 2)技术;(3)组织;(4)能力建设;( 5)合作措施, 并用 25 个指标来衡量上述国家在这 5 大领域的网络安全发展。它的主要优势是覆盖全球的国家和广泛的信息。该指数在政策和法律发展方面表现强劲,但在网络安全的军事和行动方面则要逊色得多。

4.贝尔弗中心研究团队的国家网络能力指数(NCPI)

贝尔弗中心在 2020 年发布了国家网络能力指数( NCPI),这是比当前现有指数更完整的网络力量衡量标准,提供了迄今为止最好的模型。它开发的国家网络能力指数(NCPI),衡量了政府的战略、防御和进攻能力、资源分配、私营部门、劳动力和非政府组织。NCPI 根据 7项国家目标衡量了 30 个国家的网络能力, 使用了 32 项意图指标和 27项能力指标,并从公开数据中收集了证据。NCPI 确定的 7 项国家目标:( 1)监视和监测国内团体;( 2)强化和加强国家网络防御;( 3)控制和操纵信息环境;(4)外国对国家安全的情报收集;( 5)商业利润或促进国内产业增长;(6)摧毁或削弱对手的基础设施和能力;(7)定义国际网络规范和技术标准。

根据 NCPI,最全面的网络力量是指一个国家:( 1)利用网络手段实现多个国家目标的意图;( 2)实现这些目标的能力。该团队提出了三个不同的指数。NCPI、网络意图指数(CII)和网络能力指数(CCI)。CII 和 CCI 都是独立的措施。NCPI 是 CII 和 CCI的结合。综合所有 7 项目标,NCPI 2020 最全面网络能力的国家排名前十名是:美国,中国,英国,俄罗斯,荷兰,法国,德国,加拿大,日本,澳大利亚。

5.国际战略研究所提出的定性评估方法

国际战略研究所( IISS)于 2021 年 6 月发布了对国家网络能力进行评估的一种新的方法。与上述基于指数的方法相比, IISS 的方法主要侧定于定性评估,它考察的维度更加广泛,分析了每个国家更广泛的网络生态系统。IISS 从 7 个方面来评估每个国家的网络能力:( 1)战略与学说;( 2)治理、指挥和控制;( 3)核心网络情报能力;(4)网络赋权与依赖;( 5)网络安全与弹性能力;( 6)网络空间事务的全球领导力;(7)进攻性网络能力。IISS 使用该方法对 15 个国家的网络能力进行排名,并将它们划分到三个能力梯队之中。该机构的评估对进攻性网络能力进行了深入的分析。

报告将 15 个国家划分为三个梯队。第一梯队:美国。报告称, 美国是唯一在网络空间军民两用方面具有重要全球影响力的国家;美国在信息和通信技术赋权方面保持明显优于所有其他国家;美国的进攻性网络行动能力比任何其他国家都更加发达。

第二梯队包括 7 个国家,包括美国的竞争对手中国和俄罗斯以及美国 5 个盟友澳大利亚、加拿大、英国、法国和以色列。其中,俄罗斯要加入第一梯队还需要大幅提高其网络安全,增加其在全球数字市场的份额,以及进一步开发最先进的进攻性军事网络工具;澳大利亚特点是仍在从“低基础”发展其网络能力;加拿大的特点是拥有“相对成熟的民间部门网络能力”, 但还需要加强进攻性网络能力;法国的特点是拥有“强大的战略”以及“高能力和创新性”网络实践;以色列的特点是拥有“充满活力的网络生态系统以及私营部门内相对高水平的准备和恢复能力”, 具有强大的进攻能力;英国的特点是“能力很强的网络国家”,拥有已证实的进攻能力,但受到网络人才短缺和网络投资较少的限制。

第三梯队包括 7 个国家,包括印度、伊朗、朝鲜、印度尼西亚、日本、马来西亚和越南。其中,印度在制定网络空间安全政策和学说方面进展缓慢,其进入第二梯队的最佳机会是“利用其巨大的数字工业潜力,并采用全社会方法来改善其网络安全”;伊朗广泛使用了较低级别的进攻性网络技术并取得了一些成功,但缺乏开发和部署先进进攻性网络能力所需的资源、人才和技术基础设施;朝鲜喜欢开展进攻性网络行动,但缺乏持续或复杂行动的能力,所使用的技术相对基本;日本拥有专注于信息和通信技术的国内公司,是最有可能进入第二梯队的国家。

三、军事网络能力的研究现状

1.军方拥有的网络能力是国家网络能力的一个组成部分

评估一个国家的军事网络能力是一个比较复杂的问题。一是,因为有一些国家(例如法国、新加坡和美国)是建立了高级别的军事指挥部和大量的专门部队结构,而即便就是这些国家,其在条令和部队结构方面,网络作战和信息作战之间的重叠也会增加复杂性。而另外一些国家(如以色列和英国)则是更严重地依赖将其军事和民事能力结合起来的结构。二是,因为许多可能用于军事目的的网络能力是民用的,而一些军用能力又可能用于非军事目的。在许多拥有网络攻击能力的国家,这些攻击资产主要存在于秘密机构或与军事有关的情报机构,而不是军队本身。

基于此,对军事网络能力的评估当前主要聚焦在军方拥有的那部分国家网络能力上,即为军事目的而设计的网络能力。但是,军方拥有的网络能力只是国家网络力量的一个组成部分,不能因此作为判断国家网络力量的全部依据。

2.军方拥有的网络能力的衡量指标

国际战略研究所( IISS)对如何衡量国家军事网络能力开展了相关研究,其研究成果在其发布的 2020 和 2021 年军力平衡报告中均有体现。

IISS 提出的军方拥有的网络能力的衡量指标有:( 1)战略和学说;(2)指挥和控制(包括情报、监视和侦察);( 3)网络授权与依赖;(4)网络安全与弹性;(5)网络空间的全球领导地位;(6)以及网络 胁迫的军事能力。与此同时,还要考虑网络能力被整合到国家战略和 军事行动结构中的程度,以及它们在指挥和控制、民间和军事当局以 及联盟内部的整合,研发以及人力也很重要。下表是以美国为例根据上述指标进行的评估测试。

表 1 军事网络能力

四、结 语

一个国家的网络安全能力可以理解为 21 世纪的战略能力。网络安全能力建设必须建立在对不同社会领域全面认识的基础上,以增强整体能力。衡量这一总体能力具有挑战性,比较各国的网络安全能力更具挑战性。这主要有两个原因。首先,有几种不同的网络安全指数可用,但它们并不衡量相同的能力。目前还没有一个单一的网络安全指数或方法可以依赖。第二,军事网络能力的具体细节、组织、学说和其他细节往往在公众视野中隐藏,使研究变得特别困难。

尽管如此,近年来国际上有越来越多的机构和组织在国家网络能力领域开展了有益的、具有借鉴意义的多项研究。我们希望能够有越来越多的中国学者加入到全球网安全研究的队伍中,将目光瞄准更多的国家和地区,在深入研究的基础上,为全球网络安全的治理贡献中国智慧,提供中国方案。

声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。