美國網絡威懾戰略效果評估及影響分析

夏子麟

2017年7月5日聯合國公布了名為“全球網絡安全指數”（Global Cybersecurity Index）的調查報告。報告充分折射出美國所遵循的“網絡威懾戰略”所具有的兩方面特點：一是擁有強大的技術、資金支持，二是缺乏國際合作的意愿和動力。網絡威懾戰略不僅是美國傳統國際戰略理論與網絡安全問題結合的產物，也是分析特朗普任內美國網絡安全政策的重要切入點。

DOI： 10.19422/j.cnki.ddsj.2017.08.008

美國網絡威懾戰略的形成

由于網絡應用的普及性，非傳統安全問題領域中的網絡安全問題受到各國極大關注。而造成網絡安全問題的主要威脅來自于網絡攻擊。網絡攻擊具有攻擊隱蔽性強、方式靈活機動、難以確定攻擊源頭等特質。這些特質導致國家無法直接延續治理傳統安全問題的邏輯與方法，對網絡安全問題進行有效治理。隨著網絡技術的發展，國家經濟、社會發展對于網絡技術的依賴程度不斷提高，網絡安全威脅已經成為國際社會亟須解決的共同挑戰。在此背景下，各國紛紛出臺網絡安全戰略，尋求對于網絡安全問題的解決路徑。而美國憑借其在網絡技術上的絕對優勢、雄厚的綜合國力，試圖將傳統國際關系理論中的“威懾戰略”運用到網絡安全治理領域，以維護自身安全及在國際網絡空間的主導權。

威懾作為一種戰略方式和手段，有著悠久的歷史。在二戰后，憑借世界頭號強國的地位，以及核武器和核技術的不斷發展，美國的威懾逐漸從戰略手段發展為成體系的戰略理論。隨著20世紀50年代美國總統艾森豪威爾“大規模報復”戰略的提出，以核威懾作為核心的傳統威懾戰略正式成為美國國家安全戰略，威懾戰略也就此成為冷戰期間國際安全理論的主導理論。

冷戰時期威懾戰略基本內容可以總結為：美國通過確?！暗诙魏舜驌簟蹦芰ψ鳛橥鼗A；通過政治、外交、軍事等手段確保其威懾具有可信度；其目的是使被威懾的理性行為體基于核報復的災難性后果，放棄對美國及其盟國進行核打擊或常規打擊，選擇和平手段解決爭端。

隨著網絡技術廣泛運用于各個領域之中，網絡安全問題開始大規模出現，對美國國家安全產生了重大的影響。美國是最早開始規劃自身的網絡安全政策的國家。作為對威懾理論研究和運用最為成熟的國家，美國最先開始考慮如何將傳統威懾理論延續到網絡安全治理領域，并逐步形成了其網絡威懾戰略。

美國網絡威懾戰略

的主要內容

2006年美國國防部發布《威懾行動聯合作戰概念》（Deterrence Operations Joint Operating Concept），認為傳統威懾戰略可以運用于后冷戰時代的各種威脅。[1] 由此，在網絡安全領域，為與美國網絡政策對接，美國軍方、學界以及社會輿論開始討論網絡威懾戰略的可行性。討論的問題重點是如何將威懾戰略運用于網絡空間，形成有效的威懾，從而保證安全。

經過多年討論，美國各界在網絡威懾理論上達成一定共識。在此基礎上，美國政府和國防部分別于2011年5月和7月公布《網絡空間國際戰略： 互聯網世界的繁榮、安全和開放》[2] 和《網絡空間行動戰略》[3] 兩份文件，明確宣布美國將采取威懾戰略以維護自身網絡安全。而美國網絡威懾戰略最終成型是在2015年12月奧巴馬政府向國會提交的《網絡空間戰略》[4] 文件。

在這份文件中，美國政府首先將網絡安全定義為美國及其盟國在21世紀所面對的重要安全問題之一，指出網絡攻擊和某些惡意網絡活動，特別是由國家或有技術能力的非國家行為體實施、針對美國重要基礎設施和重點產業，能夠對美國國家安全和經濟利益構成重大威脅的行為。這是美國推行網絡威懾戰略的根本原因和前提。

在文件第二部分確定了其網絡威懾戰略的目標。文件指出，美國政府將利用全部國家力量和手段威懾對美國國家安全及其切身利益構成重大威脅的網絡攻擊或其他惡意網絡活動。威懾對象包括來自三個方面的威脅：一是通過破壞關鍵基礎設施及其提供的基本服務從而可能造成生命損失的網絡攻擊。二是針對軍事指揮控制、金融市場有序運行等，試圖擾亂或者削弱支撐核心功能系統的網絡攻擊。三是侵害個人隱私、表達自由等核心價值觀從而造成國家級威脅的網絡活動。這三個方面的界定對網絡攻擊手段做了詳細分類，成為美國網絡威懾戰略目標的判定標準。

文件指出，美國認識到了網絡空間具有其特殊性，政府借鑒在反恐及其他領域的經驗，將采取多元化的方法來制定網絡威懾戰略與戰術，即利用包括外交、信息、軍事、經濟、情報以及司法領域的國家力量，同時還將增強政府與互聯網企業間的合作來增強美國公民、企業與政府的網絡信息安全。這給美國政府利用軍事手段維護網絡安全提供了依據，同時給政府對相關企業、個人信息進行監控提供了借口。

由此，文件在明確了美網絡威懾政策的基本邏輯和威懾目標后具體規劃了威懾政策的基本內容，包括拒止型威懾（Deterrence by Denial）和成本加強型威懾（Deterrence by Cost Imposition）。

第一，拒止型威懾的目的在于使對手相信美國能夠通過部署強大的網絡防御力量、建立從破壞攻擊中快速恢復的系統，從而降低其實施惡意行動的動力。

文件對美國網絡拒止型威懾具體內容進行了部署：一是由國土安全部確認了需要保護的核心關鍵基礎設施，政府政策和資源將會被優先用于確保這些基礎設施不受網絡攻擊的侵害。二是擴大政府內部、政府與私營部門之間的信息共享機制，包括“國防工業基礎網絡安全和信息保障計劃”（Defense Industrial Base Cybersecurity and Information Assurance Program），國土安全部“增強網絡安全服務計劃”（Enhanced Cybersecurity Services program），“關鍵基礎設施信息保護計劃”（Protected Critical Infrastructure Information program），同時還包括政府與私營部門合作的其他項目。三是加強美國國家安全重要機密情報的安全防護、減少內部威脅。一方面成立高級信息共享和安全防護指導委員會、安全防護執行局和國家內部威脅專案組，加強信息情報部門的管理，以防止類似“斯諾登事件”的情況再次發生；另一方面，針對受到攻擊最多的政府類網站，加強了監控和定期的漏洞檢查，強化了軍方和軍工企業的網絡防護。

第二，成本加強型威懾旨在通過軍事打擊、經濟制裁以及司法懲罰等手段威脅潛在的網絡安全破壞者，使進行網絡攻擊或其他惡意網絡活動的對手面臨懲罰和高昂成本。這意味著美國在面對網絡安全挑戰時將利用包括軍事手段在內的一切手段打擊挑戰者。

一是經濟制裁手段。針對通過破壞網絡安全從而獲取商業機密、知識產權以及技術秘密等信息并獲利的行為，文件認為這也可以視同為對美國經濟安全的破壞。因此，針對這類行為體，美國將采取經濟制裁作為應對此類網絡攻擊的工具。同時，經濟制裁不僅涉及實施網絡攻擊的個體，同時還針對支持、授權或者命令上述攻擊的責任人。在2014年11月索尼公司事件后，美國認為朝鮮是此次網絡攻擊的幕后指使者，就借助網絡安全的理由對朝鮮進行了經濟制裁，可以說經濟制裁作為網絡威懾手段的一種已經在實際中被運用。

二是法律懲罰手段。法律懲罰手段指通過執法機關調查、起訴以及逮捕等司法手段打擊對美國網絡安全造成威脅的行為體。雖然網絡環境給司法調查取證以及行動造成了困難，但是通過司法打擊，的確能夠使網絡安全破壞者考慮這方面代價，從而降低攻擊的意愿。同時利用傳統的調查手段、司法機關介入等方式也會給網絡安全“歸因”問題的解決提供便利。比如，2017年7月25日，美國眾議院以絕對多數通過了新的制裁法案，制裁目標包括俄羅斯能源行業、軍工企業、幾家銀行以及被美指控干預2016年美國總統大選的機構。該法案被視為美國首次對俄在2016年大選中采取黑客攻擊的行為給予懲罰，并以法案的形式予以確認。

三是軍事打擊手段。當網絡防御、經濟制裁、司法懲罰手段不足以威懾網絡安全威脅者時，美國政府將準備使用包括軍事在內的一切必要手段，對以美國為目標的網絡攻擊作出回應。在此背景下，2010年10月美國國防部成立了網絡安全司令部（U.S. Cyber Command），以加強美軍的網絡作戰實力。同時，組建網絡部隊（The Cyber Mission Force），作為美國網絡戰的核心力量。

第三，除了拒止型威懾手段和成本增加型威懾手段，美國網絡威懾戰略還通過加強網絡安全政策宣傳、提升情報信息能力、增強相關問題的國際合作以及提升網絡技術水平的方式支持網絡威懾戰略的整體運轉。

美國網絡威懾戰略的影響

經過長時間的討論、實踐，美國最終出臺了國家層面的網絡威懾戰略，雖然出臺時日尚短，沒有經歷重大安全挑戰的考驗，但包括經濟制裁、法律懲罰等方式開始運用于網絡安全領域，說明該戰略已經在發揮著實際作用。在網絡信息領域處于主導地位的美國，將其冷戰時期的威懾戰略應用于網絡安全，可謂是水到渠成，對于保護其國家安全必將產生重要作用。但是對于國際網絡安全問題治理、相關問題的國際合作，尤其是與美國在網絡問題上矛盾逐漸增多的中國來說，其網絡威懾戰略可能造成相應的挑戰。

一、美國網絡威懾戰略效果評估

美國憑借強大的網絡信息技術能力、豐富的技術專業人才儲備以及信息資源，在網絡信息領域具有絕對的主導地位。因此，在規劃網絡安全政策時不僅要以保護國家安全為目標，還要維持自身在國際網絡信息領域的主導地位。這兩方面目標可以作為評估美國網絡威懾戰略的標準。

在保護國家安全方面，美國考慮到網絡空間特性對傳統安全治理方式的影響，對網絡威懾戰略做出了相應的改進，以保證其威懾的有效性。改進的方式是不僅利用其網絡技術實力加強自身防御力量，而且綜合利用軍事、經濟以及法律手段對潛在的網絡安全威脅進行全方位的威懾。多元化的威懾以美國強大的綜合國力作為支撐，將虛擬的網絡安全問題延伸到政治、經濟、法律以及軍事領域，加強了威懾的可信度。在網絡安全威懾目標的確認方面，美國網絡威懾戰略則采取了一種“模糊戰略”，即在政策文件中詳細描述了何種網絡行為將被視為對美國網絡安全利益的挑戰，但是仍然保留解釋、補充的權利和余地，以便應對網絡安全問題發展快、復雜多變的情況，這使其網絡威懾戰略保持了一定的政策靈活性。更重要的是，美國網絡威懾戰略是美國將冷戰時傳統威懾戰略延續到非傳統安全問題領域的一次重要嘗試，對于運用威懾戰略打擊恐怖主義威脅、宗教極端主義問題治理等非傳統安全問題的政策制定都有重要的借鑒意義。

為維護在網絡領域全球的主導地位，美國網絡威懾戰略的提出是國家在治理網絡安全問題上的一次新嘗試。網絡安全問題在20世紀90年代被提出，在21世紀初引發國際社會的關注。它出現時間尚短，各國還沒有比較完善的、成系統的網絡安全應對戰略，同時也沒有歷史經驗作為參考，網絡空間仍處于一種“無政府狀態”的局面，嚴重挑戰了各國國家安全。美國網絡威懾戰略首先對網絡安全領域的相關概念進行了解釋，并在此基礎上規劃其網絡威懾戰略。雖然這些概念的解釋出于維護其國家安全以及網絡空間主導地位的戰略考量，但也是對現存網絡空間治理理論的補充和創新，可以作為其他國家在規劃自身網絡政策時的參照。短時期內，美國在國際上處理網絡安全問題中處于優勢地位并掌握在網絡安全問題上的話語權與規則制定的主導權這一現實，難以改變。

所以，從維護國內網絡安全以及維護國際網絡領域主導地位的兩方面看，美國現行的網絡威懾戰略能夠基本滿足其需要。

二、美國網絡威懾戰略的影響

作為目前在網絡信息領域占據主導地位的美國，其網絡威懾戰略的提出對于國際網絡問題治理，各國國家網絡安全政策，尤其對中國的網絡安全戰略均會產生巨大的影響。

對于國際網絡問題治理來說，美國網絡威懾戰略首先會引起其他國家對于網絡安全問題的極大關注。但是，美國網絡威懾戰略無法在國際領域給其他國家的網絡安全帶來保障，甚至相反，還給其他國家的網絡安全造成了威脅。尤其在“斯諾登事件”中爆出，包括英、德等美國盟國的網絡安全都受到了美國的監視。為了維護自身的網絡安全和國家安全，美國網絡威懾戰略出臺后，特別是將軍事手段作為維護網絡安全的重要舉措，可能引發各國就網絡空間的新一輪軍備競賽，而不是通過合作的方式來解決網絡安全問題。

而對于中國來說，美國網絡威懾戰略的出臺將帶來兩方面挑戰。首先，中國自身的網絡技術實力雖然在快速發展，但是較美國而言仍然處于下風，如何提升自身的網絡安全實力是當前需要著重考慮的問題。其次，美國網絡空間政策突出威懾、進攻以及同盟手段，目標重點是可能對美國網絡空間安全及其主導地位產生威脅的中國以及俄羅斯。

中國于2016年11月通過了《網絡安全法》，并于同年12月出臺了首部以合作為主題的《網絡空間安全戰略》，旨在構建習近平總書記提出的“網絡空間命運共同體”，同時作為中國應對網絡安全威脅以及推進全球互聯網治理體系變革的指導戰略。從內容上看，《網絡空間安全戰略》重申維護“網絡空間主權”的重要性，與美國一向主張的“網絡空間自由”存在沖突。當前國際上對于網絡空間性質的定義也存在爭議。從性質上看《網絡空間安全戰略》旨在維護中國網絡空間安全，同時糾正國際互聯網領域發展的“不平衡”，將在客觀發展上挑戰美國在網絡領域的主導地位。這兩方面的沖突必然成為未來中美兩國在網絡空間領域博弈的焦點。面對美國“網絡威懾戰略”所帶來的巨大挑戰，中國提出了《網絡空間安全戰略》進行應對，在國際網絡安全領域發揮了一定的作用。未來一段時間內，其后續問題仍將考驗中國網絡戰略制定者的智慧。

（作者單位：國際關系學院國際政治系）

（責任編輯：徐海娜）

[1] Deterrence Operations Joint Operating Concept ，http：//docplayer.net/21456702-Deterrence-operations-joint-operating-concept-version-2-0.html.

[2] The White House，“International Strategy for Cyberspace： Prosperity，Security，and Openness in a Networked World”，May 2011， http：//www.Whitehouse.gov/sites/default/files/rss_viewer/international_strategy_for_cyberspace.pdf.

[3] Department of Defense，“Strategy for Operating in Cyberspace”， July 2011， http：//dodcio.defense.gov/Portals/0/Documents/Cyber/DoD%20Strategy%20for%20Operating%20in%20Cyberspace%20July%202011.pdf.

[4] Report-on-Cyber-Deterrence-Policy-Final， http：//1yxsm73j7aop3quc9y5ifaw3.wpengine.netdna-cdn.com/wp-content/uploads/2015/12/Report-on-Cyber-Deterrence-Policy-Final.pdf.