引用本文:徐纬地.缘木求鱼:以网络威慑求网络军事/战略稳定[J].信息安全与通信保密,2020(9):2-10.

摘 要

基于冷战时期美苏核军控的经验,美国现在又祭起“威慑”法宝,期待靠网络威慑来对付“武装冲突法门槛”之下的网络安全威胁,并达成新的网络空间军事/战略稳定。与昔日的“核威慑”相比,美国今天的“网络威慑”已有很大变化:对象拓宽,方式拓展,重点落在态势感知和网络攻击溯源上。就结果而言,有的可能奏效,有的不会奏效。如果说当年的核威慑催生了美苏战略稳定的话,今天要靠网络威慑达成网络空间军事/战略稳定,注定不会成功。

关键词:威慑;网络威慑;网络空间;网络空间军事/战略稳定

内容目录:

0 引 言

1 威慑的含义和逻辑

1.1 威慑,源自核武器巨大的毁伤效应

1.2 核威慑与美苏冷战战略稳定

1.3 威慑逻辑的有效性和局限性

2 相比核威慑,美国的网络空间威慑已有很大不同

2.1 网络威慑,威慑谁?

2.2 网络威慑,如何威慑?

2.3 在网络威慑中,网络更多是保护对象而非威慑手段

2.4 当前美国网络威慑的关键环节:网络攻击溯源

3 网络威慑与网络空间军事∕战略稳定

3.1 网络威慑难奏效,毒化大国关系,加剧网络空间动荡

3.2 网络威慑加剧网络空间力量对比失衡,损害国际关系稳定

3.3 网络空间军事/战略稳定能否建成,关键在于稳定的机制性框架——一套共同接受的网络空间国际行为准则

0 引言

威慑是西方军事理论和实践在第二次世界大战后的重要发展,对世界安全局势影响甚大。冷战后期,美苏构建了全球战略稳定,相互核威慑在其中发挥了重要作用。在讨论网络军事∕战略稳定时,美国一些人再次挥舞起威慑旗帜,期待能够靠网络威慑达成像当年核威慑一样的成效。在21世纪,网络威慑是否能再次发挥作用,催生新的网络空间军事∕战略稳定?从目前情况看,答案应该是否定的。

1 威慑的含义和逻辑

为了厘清美国的网络威慑,有必要刨一刨威慑概念的老根。

1.1 威慑,源自核武器巨大的毁伤效应

1945年,美军在日本的广岛和长崎投下两枚原子弹,其巨大的毁伤效应震惊了世界。但在美国军政界最初看来,核武器不过是威力更大的炸弹而已,使用核武器与使用其他武器没什么本质不同。朝鲜战争的实践,一方面促使美国政府选择了靠核武器“大规模报复”来对抗苏联,另一方面也让美国战略研究界有识之士敏锐地看到了核武器的巨大影响和局限性。基于核武器的巨大毁伤力和心理震撼效应,他们提出了核威慑概念。威慑,其基本含义是针对被威慑方可能采取的危害行为发出威胁,给对方一个超出预期成本的前景,使之放弃军事行动。与传统军事进攻和防御作战不同,威慑是要在对方采取行动之前影响其决策,阻止其行动。如托马斯·谢林所言,威慑是基于武力讨价还价的“强制性外交”。威慑的本质,说白了,就是威慑方以武力为要挟,扣住被威慑方较大的利益,迫使后者在较小利益上妥协让步,否则就让被威慑方“损失更大”。威慑与军事进攻与防御紧密相关,但它更多是冲突发生前的较量。冲突爆发也就标志着威慑的失败。

美国战略学者提出了威慑成功的关键要素。亨利·基辛格认为,“威慑需要兼具以下的因素:有力量、有使用力量的意志和潜在的侵略者估计到这两点。”还有人将威慑的要素表述为:力量、可信度和信息传递。为了增加威慑可信度,美苏都竭力争取力量优势。在他们看来, 弱势方无法威慑强者。由此造成双方核武库竞相扩张,最后达到可以消灭对方数十次的荒唐程度。

在冷战的实践中,美国感到动辄挥舞核大棒来威慑对手的效果并不那么理想。并非所有军事斗争都是冲突双方的最后生死较量。一旦爆发冲突,就要以核武器毁灭对方,嘴上可以这样说,实践上这不仅做不到,反倒使自己陷入两难。于是美国战略决策者和研究者又进一步提出分级威慑。但越南战争证明,威慑的逐步升级,也正是失败的逐步升级。

1.2 核威慑与美苏冷战战略稳定

源自核武器的威慑逻辑贯穿了整个冷战时期的美苏关系。1949年苏联爆炸原子弹后,核威慑就不再是单向作用了。1962年的古巴导弹危机凸显了美苏相互威慑局面,也使双方看到, 持续的军备竞赛,最终可能把双方拖入一场共同毁灭的核战争。经过10年的谈判,美苏两个核超级大国,基于双方核武库和欧洲的常规力量平衡,于1970年代初达成了以核力量为中心的美苏冷战战略稳定。双方在口头上都不放弃“首先使用核武器”的战略选择,也都害怕对方首先使用核武器;都准备在“最后时刻”首先使用核武器,也都知道自己无法靠首次攻击一举摧毁对方的核武器,躲不开对方的核报复;因此都不敢贸然首先使用核武器。美苏在“相互都承认对方能毁灭自己,也都不想被毁灭”的基础上,达成了妥协:承诺克制战略武器发展,都不发展反导武器;为避免触动对方的核心利益,在欧洲连常规冲突都不能打。确保相互摧毁,带来了恐怖的和平和恐怖的稳定。

1.3 威慑逻辑的有效性和局限性

威慑作为一种国际战略博弈现象,无疑是存在的。在合适的条件下,威慑可以生效。但是, 战后的历史也一再证明,纵使威慑方有军事力量优势、有使用武力的决心(或曰可信度),也将使用力量的决心明确告知对方,仍不能确保其威慑成功。美国威慑理论家都是从威慑一方来解释威慑的效用机理,但这是不够的。威慑是否生效不仅要看威慑方,还要看被威慑方。换言之,威慑并非单方面现象,其成败取决于双方互动的结果。

倘若威慑方真的能使被威慑方看到“超出预期前景的后果”,威慑确有可能生效。问题是前者是否真的了解后者?“预期前景”是否真的不可接受?若被威慑方认为自己的行动目标高于一切时,威慑肯定不奏效。威慑方若不能准确把握对方战略脉搏,威慑就很难成功。故威慑始终有失败的风险。越战后,五角大楼讲威慑,都要加一句:如果威慑失败,就要打败对手。现在,当美军说到威慑时,他们心里想的,更多是威慑失败后的军事作战行动。

威慑理论最大的问题在于可信度和有效性:究竟什么样的后果才是对方“不可承受”的?威慑三要素中的“信息传递”显然解决不了这个问题。冷战时期,美国规定了核威慑指标:消灭对手20%~25%的人口,摧毁对手50%的工业。美国的核能力能确保达到这个水平,苏联就不敢对美发动先发制人的核打击了?这里究竟有多少客观依据?为何19%和45%还不够,20%~25% 和 50% 就够了?这个威慑有效指标是美国自己标定的,也许用来判断美国才更合适。西方文化看重生命,因此丧命多成为最严重的威慑后果。但有些民族认为,还有比生命更重要的。老子有言:民不畏死,奈何以死惧之?

美苏相互确保摧毁的核威慑,虽然逻辑上有严重缺陷,但在实际上的确起到了慑止对方先发制人核打击的稳定效应。与此同时,威慑理论和战略却在战后局部战争中经历了一次又一次失败。

2 相比核威慑,美国的网络空间威慑已有很大不同

也许是因为核威慑支撑了美苏冷战战略稳定,很多人一提到战略稳定都会联想到核武器,想到威慑。面对今天大量的网络空间安全问题,美国网络专家提出“网络威慑”并最终成为美国政府的战略。在讨论网络空间军事∕战略稳定时,美国“网络威慑”战略也再次成为议题。

2.1 网络威慑,威慑谁?

美国所说的网络威慑行动,是指通过影响对手的计算,让对手相信其可能行动(网络攻击或网络入侵)的预期代价将大大高于其预期受益。而美国所认定的网络威慑对象,则是中国、俄罗斯、伊朗、朝鲜,以及网络空间大量的非国家行为体。

美国网络威慑的对象范围已经大为拓展,主要可分为三类:一是中国、俄罗斯这样近乎势均力敌的大国对手;二是美国所谓的“流氓国家”,即伊朗和朝鲜;三是所有可能对美国发动网络攻击的非国家行为体。

美国国防部认为,由于美军军事作战高度依赖其国家关键基础设施,“像中国和俄罗斯这样的大国,有可能通过威胁美国的网络基础设施,挫败美军的军事行动;像伊朗和朝鲜这样的中等国家,将来也可能通过市场采购的网络攻击手段给美国国家关键基础设施造成巨大损害”。而那些敌视美国的非国家行为体,也都在对美国进行持续网络攻击,其累计后果效应惊人。这都是美国不能容忍的,因此也是美军网络威慑的对象。

上述第三类威慑对象就使美国网络威慑的作用范围扩大到了近乎没边的程度。如果说,主权国家还有可能被威慑的话,对网络空间那些海量非国家行为体,网络威慑作用不大。因为它们没有什么利益可以被美国扣住拿来讨价还价,美国也很难精准地对它们实施惩罚、强加成本。早在9·11恐怖袭击事件发生前,曾有美国防务学者指出:对恐怖分子无法实施有效威慑。从实际情况看,美国主要是通过制裁相关主权国家来打击与美作对的网络空间非国家行为体。

2.2 网络威慑,如何威慑?

按照美国网络安全官员和网络安全专家、学者的说法,现在大致有以下几种类型的网络威慑途径和机制。

第一类是“报复性威慑”(Deterrence by cost imposition),即通过强加成本来实施威慑。也有人说得更直白,称之为“惩罚性威慑”(Deterrence by punishment)。所谓“强加成本”即进行报复和惩罚,这与核威慑是相通的。

第二类是“拒止性威慑”(Deterrence by denial),即加强自身防御,提高攻击者的技术难度,降低其攻击成效。这种拒止性威慑,不需要考虑对手的情况,实际上就是普遍性的网络防御措施。把网络防御也纳入网络威慑机制,意味着网络威慑概念的大大扩展,也使网络威慑概念变得更加模糊。如果什么都可以算做威慑,那威慑最终也一定什么都不是。

第三类是“纠缠性威慑”(Deterrence by entanglement),即通过与攻击者利益纠缠,使后者难下攻击决心,来劝阻对手的网络攻击。这也是美国网络威慑概念的新扩展,主要是针对中国和俄罗斯这样的大国。随着美国对华对俄政策调整,这一威慑类型似乎已不再列入美国政府的政策选项。

美国著名防务学者约瑟夫·奈认为,还有第四类“规范性禁忌威慑”(Deterrence by normative taboos),即通过建立规范禁忌来约束潜在的网络攻击者。但目前尚未看到美国官方文件接受这一说法。

上述四种网络威慑分类,也正是网络威慑途径的分类。

2.3 在网络威慑中,网络更多是保护对象而非威慑手段

与冷战时期的核威慑相比,今天美国的网络威慑核心逻辑并未改变,但网络威慑手段和作用方式上已大不相同。

与核威慑相比,美国的网络威慑手段更加宽泛,也更加含糊。根据核威慑战略,以及后来各种发展了的威慑理论,“X威慑”中的X,指的是威慑手段。核威慑,就是以核武器来威慑;常规威慑,则是以常规手段来威慑。但当今美国的网络威慑战略,“网络”虽然也可算手段,但却更多指要保护的对象。白宫2015年6月颁布的《网络威慑政策报告》明确说,“美国政府的政策是利用所有的国家力量工具来威慑对美国及其重大利益构成严重威胁的网络攻击和其他恶意网络活动。”该报告传递的信息是:别动我美国的网络空间!谁敢动我的网络空间“奶酪”,特别是我的关键基础设施(NCI),我将用一切可能手段来报复。简言之,核威慑是“以核”来威慑,网络威慑是“为网络”而威慑。就美国而言,这样调整可摆脱对某一手段的过度依赖,选择范围更大、更灵活了。作为军事战略的一部分,美国的网络威慑始终与军事作战行动紧密相关。如果说核威慑与核作战在逻辑上结合紧密,实践上却不得不脱节的话,这里却因为威慑手段的模糊、宽泛和灵活,网络威慑与网络军事作战的关联可比核威慑与核作战的实践关联要紧密得多。

按照网络威慑的逻辑,但凡是国家安全重要领域,但凡是美国重要安全利益之所在,都可相应提出一个“XX威慑”:太空威慑、海洋威慑、金融威慑、电力威慑、交通威慑、生物威慑……威慑概念的扩展,一方面反映出美国军事思想不拘一格;另一方面也暴露其随意性和不严谨。目前看来,美国防务界的确有把“威慑”泛化,用作万能工具的倾向。

值得注意的是,当五角大楼就某个防务问题强调“威慑”时,往往也是其没啥好办法的时候。正是因为“威慑”的含义非常宽泛而含糊,凡遇到棘手的问题,美国都可先用“威慑”来应对。中国泥瓦工有句行话:“齐不齐,一把泥”。在美国的军事理论中,威慑恰似一团柔软灵活的“对策泥”,美国安全防务之墙哪里出现缺漏,都可以先糊上一把“威慑”,暂时抹平。目前,最令美国困扰的,是“武装冲突法门槛”之下的网络攻击。因为没有开战,美国只好在“网络威慑”旗帜下应对这些问题。一旦美国下决心要动武了,也就不用“威慑”了。

关于网络威慑手段,现阶段美国主要是靠制裁措施,其中美方尤为津津乐道的方式,就是其“点名羞辱”(Naming and shaming)的威慑。

2.4 当前美国网络威慑的关键环节:网络攻击溯源

美国的网络威慑,目前主要用于应对“武装冲突法门槛”之下的网络攻击,而其中关键是美国网络攻击溯源能力进展。“由于网络空间的匿名特性,国家和非国家团体都有可能实施恶意网络活动,溯源是使网络威慑战略有效的一个基本要素。”美方强调其网络溯源技术取得重大突破,可实现即时溯源,旨在给外界一个印象:任何针对美国的网络攻击,美国都能马上发现并追查到攻击者。

第一,美国网络溯源能力确有进展,但还做不到即时溯源。遭遇网络攻击,当然可能成功溯源,但这需要时间。考虑到网络空间的复杂性,遭到网络攻击马上就溯源到攻击者本人,这种可能性并不高。硬要这样做,很容易产生误判。历史表明,美国对其在国际军事安全上犯误判,一直不在乎,也常常不承认。有时甚至以“犯错误”为借口, 冒险进行战略试探。

第二,美国网络攻击溯源能力进展,并非完全靠网络技术突破。而是网络技术结合人力情报、历史资料分析等综合溯源的结果。但美方却尽量将这些归因于网络技术突破,夸大自己的技术进展,就是要让外界盲目迷信崇拜美国网络攻击溯源能力,同时给潜在对手施加巨大心理压力:“我网络技术领先,攻击溯源能力超强,我说谁是网络攻击源,那就是谁。”这才是美国希望达成的网络威慑效应。倘若对手不在乎美国的网络威慑,这一招就不灵了。

第三,更重要的是,美国的网络攻击溯源,无论是技术溯源还是人力情报溯源,是一定要溯到对方的网络系统中去的。换言之,网络攻击溯源与网络情报侦察活动,并没有什么根本区别。如果别人在美国网络中获取数据信息,美国政客和媒体多称之为“网络攻击”;但美国在别人网络系统中采取的同样行动,他们便称之为“网络攻击溯源”。从这个意义上讲,美国的网络威慑,本身就是造成网络空间不稳定的根源之一。

由此看来,美国网络威慑的关键在网络空间态势感知。随着信息网络技术的发展,在“发现即摧毁”的未来军事斗争中,态势感知的重要性超过了打击手段上升到了第一位。这也是美国网络威慑值得重视之处。

3 网络威慑与网络空间军事/战略稳定

尽管核威慑理论在逻辑上存在扭曲和漏洞,但威慑作为国际安全现象是存在的。其历史作用也不可否认:美苏相互核威慑促成了冷战时期的美苏核战略稳定。问题是,今天还能靠网络威慑达成网络空间军事∕战略稳定么?

3.1 网络威慑难奏效,毒化大国关系,加剧网络空间动荡

网络威慑能发挥一定作用,但其作用和成效却并不简单。就美国网络威慑的三类对象来说,对主权国家的网络威慑,在某些条件下或许可产生一些效应,但也并总是如此。2019年6月,美国《纽约时报》披露,美国早在2012年就在俄罗斯的电网中植入了病毒程序,可随时发起网络攻击。美国总统特朗普在推特上斥之为“叛国”,从侧面印证了该报报道有一定可信度。值得注意的是,俄方的反应令人玩味:起初只表示有这种可能性,既没否认此事,也没因此火冒三丈。两天后,俄罗斯对美发出警告:如果美国一些机构在没有通知美国总统的情况下对俄罗斯发动网络攻击,那么俄美之间可能会爆发网络战争。如果说,美国披露这一信息意在网络威慑的话,那么俄方的第一反应可解读为:这算什么?又能怎样?然后告诉美国:这很危险。美方也承认,“点名羞辱”目前对俄罗斯的确不起作用。由于美国不清楚俄罗斯领导人有哪些具体的安全关切,也就不好有效威慑。即便是对朝鲜,美国也很难照搬冷战时期的威慑做法。很难想象美国一边要通过威慑把朝鲜定位为“流氓国家”,一边又要力求通过谈判使朝鲜弃核。

美国与中国、俄罗斯的利益关系,与冷战时期的美苏关系已经大不相同。美国与中俄不仅有战略利益分歧和对立,也有重要的平行和共同利益。在现实世界是这样,在网络空间也是如此。如前所述,威慑,就是以武力相威胁,扣住对方大的利益以求其在较小利益上做出让步,以达到自己单方面安全的目的。因此,美国不断强调对中国和俄罗斯的网络威慑,只能毒化美国对华和对俄关系,使中美、俄美网络安全关系中的敌对成分不断增加,很难走向更多合作。这种做法还将迫使中国和俄罗斯采取反威慑措施,其结果可能使世界重新陷入冷战对峙甚至军事冲突。这样下去,何来网络空间军事∕战略稳定?

3.2 网络威慑加剧网络空间力量对比失衡,损害国际关系稳定

脱离系统,无所谓稳定。系统的稳定关键在其抗扰动能力。而这一能力不仅源于系统内部的力的平衡,还源于能够维持系统平衡的内在机制。关于系统稳定,大致有三种状态:稳态、亚稳态和失稳态。在稳态下,源于内部结构和功能的平衡,国际关系体系可以相对平稳运行较长时期;国际关系体系在更多情况下处于亚稳态,大大小小的安全危机时有发生,但国际体系仍能磕磕绊绊地前行;至于失稳态,则是系统崩溃或重大结构改变的时期,就国际关系体系而言,是战争或巨大的动荡。军事∕战略稳定作为国际关系特殊现象,只有当主要角色之间不仅形成了力量平衡,而且构建了相应制度机制来维持平衡等一系列条件得到满足的情况下才会出现。

冷战时期美苏所以能够达成战略稳定,并非源于美国单方面的对苏核威慑,而是源于美苏之间的核相互威慑——“相互确保摧毁”。在这里,威慑的平衡,恐怖的平衡,才是达成稳定的关键。首先是因为美苏在战略核力量上已经形成了大致平衡,在常规力量方面也以欧洲为中心形成了平衡,战略稳定的所有执行规则,都是建立在双方共同承认这一力量平衡,都尊重和维护这一平衡这样一个基础之上的。

就当前和今后一个时期的网络空间而言,美国的网络威慑,即便有效,也只能维护美国(或者还加上西方国家)在网络空间和现实世界的利益,与国际稳定并没有什么直接关系。事实上,美国所奉行的网络威慑战略,目的只是为了维护美国的网络安全,保持美国的网络军事优势。凭借其网络攻击溯源能力优势,美国希望实现“你不能攻击我,但我可以攻击你”的局面,故其作用更多是加剧网络空间的失衡,而非促进平衡和稳定。网络空间能否像冷战时期那样形成双边或多边的相互威慑?目前来看,即便有着这种现象,也是模糊不定的,无法像当年美苏核相互威慑那样清晰明确,起不到稳定作用。

值得注意的是,战略稳定或曰军事稳定,从来都不是某个单一领域就能建成的。即便是1970 年代初达成的美苏冷战战略稳定,也不仅仅是核战略稳定。这样说过分强调核武器的作用。如果没有欧洲的常规稳定,东西方边界的稳定,仅靠核均势也很难建成战略稳定。今天要建立网络空间军事∕战略稳定,必然与核、外空和常规领域分不开。美国讲网络威慑,绕不开其对核力量平衡的侵蚀性影响,也不利于欧洲(尤其是东欧)和东亚(特别是台湾问题)的安全稳定。如果相关各方不能在这些问题上达成妥协,也不可能有什么网络空间军事∕战略稳定。尤其应当注意的是,美国的网络威慑,更多是对其他领域的力量对比稳定起蚕食作用。

3.3 网络空间军事∕战略稳定能否建成,关键在于稳定的机制性框架——一套共同接受的网络空间国际行为准则

从历史看,军事/战略稳定构建,达成一个共同接受的机制性框架是关键。这个即执行框架通常表现为一系列有约束力的双边或多边条约或协定,相互承诺都不做一些破坏稳定的事。如美苏在1972年及以后数年达成的一系列军控条约,其中最引人注意的是《反弹道导弹条约》。如今若要构建网络空间军事/战略稳定,相关的限制可能表现为限制攻击国家关键基础设施,可能涉及ICT产品供应链的约束,以及对网络空间军事行动的制约,……具体措施规定落实在何处目前尚不清晰,有待各方谈判。但这种约束和承诺的实质,是相互尊重和承认对方的核心战略利益,包括上述实体空间的战略利益。如果只要对方尊重自己的战略利益,同时却不承认不尊重对方的战略利益,这个军事/战略稳定肯定是建不起来的。就此而言,看不到美国单方面的网络威慑能有什么作用。可以说,今天谁要想通过威慑来实现网络空间军事/战略稳定,无异于“缘木求鱼”。

作者简介

徐纬地(1956—),男,硕士,前国防大学战略研究所研究员(已退休),主要研究方向为国家安全、军事战略问题、朝鲜半岛、网络安全和军用人工智能。

选自《信息安全与通信保密》2020年第9期(为便于排版,已省去原文参考文献)

声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。