美国退役陆军少将约翰·戴维斯：网络空间负责任国家的行为准则

关注联合国信息安全政府专家组(UNGGE)的话题很重要，因为我们一定能够通过努力找到共同点，然而，这件事不能一蹴而就，因为分歧依然存在。

一、UNGGE做出的努力

2015年9月，习近平主席与奥巴马总统举行重要会晤，开启了双方讨论一些准则并达成共识的进程，而且，这些准则得到G7和G20峰会的支持。尽管存在不同意见，不易达成共识，但是，UNGGE的准则总体上是有效的。

1.各国“应当”遵守的准则

UNGGE认为，各国“应当”遵守的准则包括：通过合作的方式采取措施，提高使用信息通信技术（ICT）的稳定性和安全性；思考事件发生的背景、原因、后果、性质及严重程度；开展信息和其他方面的交流合作、相互协助，以应对犯罪和恐怖主义威胁；尊重人权、隐私权和言论自由权；保护关键基础设施；对就关键基础设施威胁提出的协助请求进行回应；确保供应链的完整性；报告ICT漏洞等。

2.各国“不应该”从事的行为

UNGGE认为，各国“不应该”从事的行为包括：有意允许任何人使用ICT在其境内开展不法行为；违背国际法，开展或有意支持蓄意破坏关键基础设施的ICT活动；开展或有意支持损害另一国家应急响应小组（CERT/CIRT）的活动或利用这些组织从事恶意行为；利用网络窃取知识产权谋取利益等。

二、新提议的5个准则

鉴于目前的状况，我提议网络空间负责任国家行为应遵守“5个准则”，目的是使各国在网络空间活动的技术、运营和政策层面达成深度共识；加强对网络活动积极且谨慎的监管；以更有效的方式让更多负责任的合作伙伴参与到工作中来；减少导致错误和风险升级的误解，降低风险，减少其发生的几率。

准则1：负责任国家应当就其在网络空间的做法及其原因方面的问题提高信息透明度

这一准则适用于执法和国土安全领域，特别是军事职能（非情报）方面。但是，一些保密行动，还无法期望达到完全透明，因此，我们希望有更高程度的透明，至少比现在透明，因为这些会给所有负责任的国家带来益处。现在，网络相关活动的保密级别不断降低。尽管我们不断在各种论坛上探讨，事实上，关于非情报话题，或关于犯罪话题，对威胁的追踪溯源已经不那么困难，方法也更有效。关于执法、安全领域之外的事情，我们希望能够增加其透明度，因为这些能够减少不确定性，降低出错的可能性，提高稳定性，甚至增强威慑力，这在之前是不存在的因素。网络的攻击方式也在不断改变，包括对美国政府的攻击也有所不同，因此，政府必须要与公司合作，应对网络攻击。我认为，如果提高信息的透明度，将会对整个网络空间运行带来非常大的好处。

准则2：负责任国家应当建立并执行标准化程序，以有效监督军事、执法和国土安全领域的网络作战

第二个准则再一次把情报排除在外，如果把情报考虑进来，则暂时难以达成共识，反而使事情变得更加复杂，因此，这方面的事情需要专门处理。这一准则有助于实现以下有效的风险管理评估和程序控制：第一，开展国内外政策监督，以便发现故意或非故意的网络活动实施带来的潜在影响。第二，开展技术监督，以验证对评估影响的信心度，既包括技术带来的收益与损失，也包括保证技术层面的评估。第三，开展运行监督，以验证控制的有效程度，主要是指挥控制链条的建立。第四，开展情报监督，以明确风险与收益，包括对情报活动收益与损失的分析，也要分析某种情报来源损失带来的影响。第五，开展法律监督，以促进各方遵守相关法律与法规。也就是说，需要关注一种新的网络技术能力是不是符合相关的国际法，这样的能力适用于什么样的目标，是不是符合其他国际规范，以及国内法律规范等。

准则3：负责任国家应当分享涉及共同利益的犯罪和恐怖主义网络威胁信息

负责任的国家应制定和实施信息共享计划，而且，信息共享计划必须超过原来UNGGE关于信息共享的规范，部分信息共享要自动化，且以标准化的格式展开，只有这样的信息共享才能适应犯罪和恐怖主义网络威胁的发展速度和规模，而手工操作则跟不上这个速度和规模。此外，应该将重点放在网络威胁感染指标和环境上，而不是放在涉及个人隐私信息、个人健康信息，也不能把知识产权或者其他监视隐私的政策作为重点。在网络威胁信息共享方面，应开展政府间合作，而且不应仅局限于政府间，也应扩展到外交部门、执法部门、国内安全部门、情报部门和军事部门。但是，仅仅有这些部门之间的合作还不够，政府和企业之间、企业和政府之间、企业和企业之间，也要开展信息交流合作。为什么我们要在这方面对负责任国家的行为进行规范呢？因为今天我们能够发现的网络活动种类太多，而且其中有很多活动掺杂了刑事犯罪和恐怖主义的因素，为了提高监测这些行为的准确率，我们需要像使用雷达一样降低信噪比。负责任的行为和良好的信息交流，有助于减少误解、误算、错误并防止升级，有助于各国有关部门的工作更加高效。

准则4：负责任国家应当鼓励和激励业界积极参与网络空间其他负责任行为准则的制定和实施

虽然网络安全企业拥有、运营并维护大部分网络空间，但是，迄今而至，关于负责任国家行为准则的讨论一直由政府承担，比方说UNGGE的讨论，现在仅仅是政府代表出席，而来自于业界的重要声音，迄今为止是缺失的。为什么业界的声音如此重要呢？因为业界能够把制定出来的准则变得更加实际，且更加易于实施。未来，大部分执法争执将会发生在国际层面。要制定和实现这些准则，实事求是地说，需要更多地倾听业界的声音，因此，我们希望业界能参与到准则的讨论中来，对当前的问题畅所欲言，包括强制性后门程序、对跨境数据流的限制、反黑客攻击和供应链风险管理等。同时，我们也看到，学术界和业界对于参与准则的讨论越来越感兴趣，包括澳大利亚战略政策研究所、卡耐基国际和平基金会、微软和赛门铁克等，都已经参与到准则和负责任行为的讨论中。

准则5：负责任国家不应雇用管理松散的第三方参与者和组织从事网络活动

第三方参与者和组织，包括代理人、皮包公司、技术研究公司、犯罪实体，甚至包括爱国黑客、打零工的网络工作者等。因为这些第三方的参与者和组织会增加整个网络活动的不确定性，降低网络活动的稳定性，因为不可能知道这些参与者的真正动机是什么，缺乏对其适当的监控，而且其行为有可能带来国与国之间的误判和矛盾升级。受到可疑动机驱使的行为，增加了追踪溯源中可能导致错误升级的几率。一个令人警醒的趋势是，因不作为或不结盟导致的错误风险或未经批准的行动正呈指数级增长，因此，从所有负责任国家的共同利益出发，应防范此类情况发生。

三、结语

对这五个准则，美国政府和越来越多的业界公司已经朝这个方向努力，或者已经在做，或者努力在做。自2012年以来，美国军方已就准则1和2采取了措施；2015年，美国国会通过法律对准则3和4予以支持；美国还增加了准则3和4的公私合作。所有负责任国家在准则5方面具有共同利益，就是要降低威胁和风险，因为一旦不负责任的第三方在网络空间的行为带来失误，其产生的后果需要各国共同去承担和应对。

（本文刊登于《中国信息安全》杂志2018年第9期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。