近日,美国西点军校大战略研究项目主任 Erica Borghard 教授和教官 Shawn W. Lonergan 少校在“外交关系委员会”上刊文,探索网络空间军控机制难以形成的原因。
冷战期间,当拥核的超级大国面临着不稳定性或不断升级的危机时,它们就会寻求军备控制机制(简称军控机制)。军控机制能够改变进攻性技术的军事化使用的激励;限制这些技术对国家造成的损害;并助力于国家内部甚至与对手国之间关系的稳定。但是随着一个愈加军事化的网络空间的形成,以及引发网络冲突的误判在不断增加的背景下,为什么国际上还没有形成完善的网络军控机制呢?
传统的军控机制难以运用于网络空间,主要是因为:一是难以准确评估一国在网络空间的相对实力;二是网络技术的军事影响力具有不稳定性;三是合规监测具有难度;四是执法面临挑战。
军控机制需要各国对于相互间的相对实力有一个基本的了解,这事达成战略稳定协议的前提。对于常规的军需品来说,例如核武器,是完全可以计算出一个国家拥有的弹头数量,并据此评估出相对的实力。网络空间难以评估出相对实力主要是因为:一方面,虚拟武器在理论上难以被摧毁,甚至还可轻易再生;另一方面,不同于核武器或坦克,网络武器往往是针对特定的目标制定特定的工具与路径,缺乏普遍的杀伤力。
相比之下,网络空间更容易衡量的是网络威胁者的技术手段——一种定性而非定量的能力评估。然而,使用相对的技术衡量来推动建立军控机制是不切实际的,主要是因为难以制定或执行限制技术或获取技术的协议,特别是政府还并不是唯一的技术所有者。
如果政府能够合理计算出技术变化带来的军事影响,军控机制还有可能形成。但是,网络领域技术创新的速度变化太为迅速,加大了评估的难度。在战术层面,网络攻击媒介和进攻能力正在不断地变化,这完全不同于核领域,后者的创新往往需要很长的时间表,因而也很容易被观察出来。核领域创新的滞后性给予各国充足的时间来调整武器控制协议,如可以通过情报计划打探对方实力来减少技术创新发展带来的不确定性。在网络空间,创新的开放性以及快速性给达成协议带来了极大的挑战,网络军控协议往往在墨水未干之际就已过时。
即便国家能够计算出相对实力并测量出技术创新对于军事的影响,网络军控也难以实现,因为政府很难杜绝欺骗。该问题包含两方面因素:是否能够测量出一个国家的“军火库”规模;是否能够对“军火库”进行持续的监控以确保其未来的合规性。
在网络空间确保合规往往需要协议参与国同意别国对其政府网络进行入侵式监测。由于恶意软件无处不在,这就意味着验证机制需要政府开放其所有的网络以供检测。一个国家允许另一个国家或任何外部行为者不受限制地访问其网络,这是不可思议的。这种访问将向外部方提供关于漏洞和潜在威胁的关键信息,很有可能违反其试图执行的协议。
评估合规手段中侵入性较小就是通过国家情报技术手段。在冷战期间,间谍往往能够通过卫星收集的图片来分析另一个国家的核发展情况。在网络空间利用国家情报技术手段的典型做法就是使用网络间谍收集另一个国家的内部网络信息。卫星收集是完全被动的一种方式,但从另一国政府获取敏感信息则不是。若一国发现另一方侵入其网络,往往难以辨别出是监控合规的常规间谍活动,还是进攻性网络行动。这可能引发该国以升级冲突的方式进行回应。因此,无法察觉意图可能会再次破坏军控协定所要创造的稳定性。
最后,即使上述障碍都能克服,军控协定的执行也难以实施,主要是因为:归因的困难以及实施相称的惩罚。一方面,若发生违规行为,国家必须非常准确地进行归因并坚决地公开归因进程,虽然归因技术已经取得明显进展,但是不是所有国家都具有同样的归因实力,或者说具有足够强大的自信来说服其他协约签订者在认定违规行为上达成一致。另一方面,执行一项军控协议需要进行适当地惩罚。但这里面存在几个问题:首先,迫害发生到被发现,中间存在明显的时间差,威慑的效应很有可能被这段时间差所稀释;其次,资源与访问限制也会限制一个国家在特定时间的反映能力,也就是说它可能不一定有效。第三,还存在一种潜在的解决方法就是利用国家权力中的非网络因素来惩罚军控协议的违规行为。然而,如果违规行为造成的仅仅是虚拟损害,那么就难以制定基于现实力量的有效响应机制。
这种对网络军控可行性的悲观看法并不意味着网络对手国之间没有合作的渠道。例如,积极建立信任建立措施(confidence building measures),对促进网络空间竞争对手之间的合作与沟通,实现稳定大有裨益。
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
