英国学者评析当前国际网络能力支持机制的方法和机制

编者按：英国皇家联合军种国防研究所研究员约瑟夫·贾内基撰文，提出国际网络能力支持的概念，分析国家网络危机的临时国际网络支持案例，研究网络能力支持的新兴国家和国际机制，并概述实施网络能力支持的重要考虑因素。

文章提出，随着国际网络支持受到越来越多的关注和资助，按活动类型或预期结果划分政策领域非常重要；国际“网络能力支持”的概念是一个区别于“网络能力建设”的政策领域，涵盖直接提供网络安全产品和服务，包括部署快速响应团队，产生直接的执行性影响，旨在推进短期至中期目标；“网络能力支持”通常是短于1年的短期部署，可在中短期内加强合作伙伴的网络安全弹性和保护，而“网络能力建设”通常是超过1年的中长期部署，可长期开发和可持续地建设受援国自身的能力；“网络能力支持”涉及执行性、响应性和动态性支持，如提供网络安全服务和产品，而“网络能力建设”则涉及间接性、战略性和常态性支持，如国家评估、战略制定、宣传活动、培训教育等；“网络能力支持”的政策工具示例包括快速反应团队和机制、追捕行动等，“网络能力建设”的政策工具示例包括网络安全能力成熟度模型、国家网络风险评估、网络防御演习等；虽然“网络能力支持”和“网络能力建设”存在特征差异，但两者的总体战略目标均是改善和支持合作伙伴的网络弹性。

文章分析了乌克兰和哥斯达黎加两个案例。在乌克兰方面，在俄乌战争前，有多个参与者在乌克兰开展网络能力建设，如欧盟、美国、爱沙尼亚、法国、英国和德国，重点关注网络犯罪、网络卫生和意识建设等领域；在俄乌战争爆发前夕，部分参与者开展了网络能力支持，部署了有针对性的服务来提高乌克兰系统的弹性，如美国网络司令部开展的“前出狩猎”行动；俄乌战争爆发后，网络支持成为对乌克兰更广泛援助的一部分，如“信息技术联盟”“乌克兰网络计划”“塔林机制”等。在哥斯达黎加方面，在该国因遭受网络攻击而进入紧急状态后，西班牙提供了反勒索软件工具许可证并派遣了一支政府技术团队，以色列提供了网络威胁情报，美国派遣了一支联邦调查局技术团队并针对攻击者发布悬赏信息，微软、思科等公司提供了免费工具和技术援助，上述举措对哥斯达黎加的网络事件恢复产生了直接影响。

文章概述了当前存在的网络能力支持机制和计划。从组织方式上看，澳大利亚的“区域网络危机响应小组”（R-CCRT）、美国的“网络空间、数字连接和相关技术”（CDT）以及“前出狩猎行动”（HFO）是国家性机制，而欧盟的“网络快速响应小组”（CRRT）和“网络储备”、北约的“虚拟网络事件响应能力”（VCISC）、英国的乌克兰网络计划（UCP）、乌克兰国防联络小组（UDCG）的“信息技术联盟”、“塔林机制”和“反勒索软件倡议-事件响应”（CRI-IR）是跨国性机制；从职责范围上来，CRI-IR、北约VCISC和欧盟“网络储备”基于成员资格提供支持，UCP、“塔林机制”、“信息技术联盟”和澳大利亚R-CCRT聚焦特定地理区域提供支持，美国CDT和HFO以及欧盟CRRT基于政府优先或机会事项提供支持；在激活门槛方面，北约VCISC、欧盟“网络储备”、欧盟CRRT、澳大利亚R-CCRT和CRI-IR响应门槛是重大、大规模的危机、紧急情况或严重事件，“信息技术联盟”、UCP和“塔林机制”部署门槛是俄罗斯对乌克兰的大规模网络攻击，CRI-IR的激活门槛仅限于针对政府或关键民生部门的勒索软件攻击，美国HFO和CDT部署门槛由美国网络司令部和美国务院决定；在私营部门参与方面，美国CDT、英国UCP将私营部门公司用作实施合作伙伴，欧盟“网络储备”、“塔林机制”将私营部门视为机制合作伙伴，美国HFO、欧盟CRRT未整合私营部门，澳大利亚R-CCRT、“信息技术联盟”、北约VCISC、CRI-IR整合情况不明。

文章概述了在对齐协调、有利环境、监测和测量方面实施网络能力支持的考虑因素。在对齐协调方面，由多元化、多利益相关方的参与者需要了解激励措施并进行定期沟通、协调和去冲突，需采取全面的方法并确保网络能力支持和网络能力建设活动相互补充，并考虑如何使与志同道合的合作伙伴合作活动具有凝聚力和互补性。在有利环境方面，网络能力支持计划需要具备人员支持、流程指导和技术资源能力，参与者需要基于国内法和国际法考虑其行动的合法性。在监测与测量方面，网络能力支持机制的成功取决于如何对其进行监控、衡量和评估，实施者和资助者需要监督和获取实施影响的数据以及评估框架。文章认为，建立和维护网络能力支持机制非常复杂，参与者最急需考虑的问题是创建可衡量的战略价值案例、确定私营部门参与的机制和方式以及制定全面的国际网络支持方法。

文章总结称，近年来，大规模的国家网络事件屡见不鲜，国际社会在大多数情况下临时采取措施作出反应；不同的政策工具有助于实现不同的结果和影响目标，在更广泛的国际网络支持中，网络能力支持是一个区别于网络能力建设的政策领域；多个国家和国际行为体已开始创建和扩展网络能力支持机制，其中许多新兴举措都前景光明；新的网络能力支持机制的建立开始更加明确提供支持的方式、方向和协同方；制定明确的战略目标、考虑多方利益相关方合作以及制定全面的国际网络支持方法是有效实施网络能力支持的关键；对网络能力支持资金和采购机制的研究将有助于确保新兴机制的效率，应在各种大型国家网络事件中进行深入分析，以确定网络能力支持的策略性和操作性最佳实践。

奇安网情局编译有关情况，供读者参考。

国际网络支持创新：

网络能力支持方法与机制比较

摘要：本文提出了国际网络能力支持（CCS）的概念，以描述一个政策领域，涵盖直接提供网络安全产品和服务，包括部署快速响应团队，产生直接的执行性影响，旨在推进短期至中期目标。本文研究了国家网络危机的说明性案例研究，这些案例研究表明了部署CCS的必要性、提供CCS的新方法以及应指导CCS如何实施的考虑因素。

最近大规模国家网络事件的增多表明，国际能力在危机情况下的支持需求十分明显。迄今为止，应对措施都是临时性的，在提供国际网络支持时利用危机条件来缩短通常缓慢的决策过程。随着这些事件变得司空见惯，人们正在制定提供快速能力响应的正式机制。本文借鉴了乌克兰和哥斯达黎加的高层案例研究，讨论了这些观点。

危机外的能力支持也显著增加，例如通过“前出狩猎行动”（HFO）中的人员部署。各国和国际组织在寻求建立CCS机制时，需要考虑其战略目标、实施、部署和退出的门槛以及活动范围。观察和学习现有方法至关重要。

参与者在实施CCS机制时面临的挑战包括与合作伙伴协调活动、创造有利且合法的环境以及监测、衡量和评估举措。根据这些，本报告建议参与者创建战略性价值案例，仔细考虑如何将多个利益相关者纳入CCS机制，并采取全面的国际网络支持方法。

关键词：国际网络支持 网络能力 网络能力建设 国家网络危机

01

引言

近年来，国家性大规模网络事件数量令人担忧。黑山、哥斯达黎加、瓦努阿图、乌克兰和阿尔巴尼亚都遭受了网络攻击的严重影响；政府系统瘫痪，关键服务交付延迟或被拒绝。各国和大型科技公司采取的网络危机应对措施试图减轻这些事件的程度和影响。到目前为止，这种支持是以敏捷和临时的方式提供的，几乎没有建立正式机制。例如，法国、美国和微软已经对多起国家事件迅速部署了团队。

当参与者建立正式机制来提供国家网络危机响应时，他们面临着各种挑战、权衡和选择。谁应该提供支持？在哪里提供支持？支持应该包括什么？应该如何组织？支持是安全、外交、发展还是人道主义事务？部署和撤出的门槛是什么？还需要考虑如何在危机外实施能力的提供，建立一种有凝聚力的国际CCS方法。

本文认为，国际CCS机制前景光明，但进展缓慢。此外，本文还认为，各国政府和国际组织制定的新框架应更多地借鉴近期事件的经验教训，尤其是涉及多个实施者的情况。即使是资源最丰富的参与者，扩大和延长支持范围的能力也有限，而且企业是否会继续提供援助仍不确定，例如在乌克兰。

本文首先简要介绍了国家网络危机中现有的临时国际网络支持案例，重点研究了乌克兰和哥斯达黎加。然后，本文重点介绍了CCS的新兴国家和国际机制。最后，本文指出了政府在创建和实施CCS机制时的重要影响，并以政策相关的形式概述了优先考虑事项。

什么是网络能力支持？

本文使用“网络能力支持”（CCS）一词来描述涉及直接提供产品、服务或其他网络安全解决方案（包括快速危机响应）的政策领域，这些产品、服务或其他网络安全解决方案具有直接的执行性影响，可促进短期至中期目标的实现。例如，CCS 包括购买许可证、部署/签约事件响应者以及提供/购买可操作的网络威胁情报（CTI）。建立安全运营中心、进行国家网络成熟度审查或评估现有立法等活动不属于此范围；这些活动更符合网络能力建设（CCB）。

CCB是国际网络支持中一个成熟的政策领域。人们尝试从CCB的角度来理解应对国家网络危机的国际支持，并将能力的直接提供纳入CCB框架。不“重新发明轮子”的愿望值得称赞，但不应期望CCB框架和术语适合所有情况。旨在在受援国内部创造内生能力的政策应与向受援国提供或部署能力的政策区分开来。前者包括可持续的长期活动，而后者涉及执行性、响应性和动态性支持，包括在危机情况下。表一概述了CCS和CCB间的其他区别特征。

表一：CCS和CCB的区别特征

其他将CCS系统化为政策领域的尝试将其描述为“网络防御援助”、“部署的网络防御”和“网络安全支持部署”。本文避开了这些概念，试图避免使用军事语言，并将CCS假定为CCB的一个独立但互补的合作伙伴，尽管它承认需要进一步讨论和协调理解和术语。

本文预计会有批评意见，认为CCB足以涵盖所有国际网络支持，而CCS则没有必要。虽然这种情绪可以理解，但讨论和重新评估政策方法还是很有价值的。随着国际网络支持受到越来越多的关注和资助，按活动类型或预期结果划分政策领域非常重要。虽然CCB和CCS项目活动可能在某些地方重叠，但表一概述了一套合理的标准，用于划分能力建设和能力提供。此外，CCB的预期结果是开发和可持续地建设受援国自身的能力，这与CCS的结果并不相同，CCS涉及提供或购买援助以实现立即改善受援国网络安全的操作目标。可以承认这些差异，但不要损害共同的总体战略目标：改善和支持合作伙伴的网络弹性。

本文主要关注CCS的民用部分，并完全引用开源材料。与相关政策制定者进行初步数据收集将有助于进一步研究新兴的CCS机制。

02

两个案例研究：乌克兰和哥斯达黎加

本节讨论最近两个快速应对国际网络危机的案例研究，以证明这些活动日益增长的重要性和必要性，以及它们对临时流程的使用。

（一）案例研究：俄罗斯针对乌克兰的持续网络攻击

俄罗斯针对乌克兰的网络行动在俄乌战争爆发前就开始扩大规模，并在整个战争期间持续进行。那段时期的报告表明，俄罗斯从复杂的长期网络行动转向情报收集和不太复杂的破坏性战术。乌克兰关键基础设施受到了重大影响，例如2024年对电信公司Kyivstar的攻击。

在俄乌战争爆发前，有多个参与者在乌克兰开展网络能力建设（CCB）。这些参与者包括欧盟、美国、爱沙尼亚、法国、英国和德国，重点关注网络犯罪、网络卫生和意识建设等领域。随着战争的可能性越来越大，一些参与者开展了网络能力支持（CCS），部署了有针对性的服务来提高乌克兰系统的弹性。关于这些活动的公开信息有限；然而，美国网络司令部的“前出狩猎行动”（HFO）已公开披露。HFO涉及部署人员与当地同行一起在合作伙伴网络上搜寻威胁。乌克兰高级网络安全官员对此次对乌克兰的任务（2021年12月至2022年2月）表示赞赏，其中包括发现90个恶意软件样本。

战争爆发后，网络支持成为对乌克兰更广泛援助的一部分。关于对乌克兰国防部和武装部队的支持信息有限；一个显著的例外是“IT联盟”，它是拉姆施泰因模式的一部分。

关于各国和私营公司开展的非军事网络能力支持（CCS）活动的公开信息较多。在外国政府中，英国在入侵后不久率先建立了“乌克兰网络计划”（UCP），此后一直欢迎其他国际捐助方提供资金以扩大活动。UCP利用网络安全提供商提供事件响应、分布式拒绝服务（DDoS）保护、防火墙和取证功能。作为人道主义援助，德国已向乌克兰能源部门提供网络安全硬件。微软、谷歌和其他私营公司提供了各种许可证、工具和技术援助。其他国际参与者也开展了网络能力支持（CCS），一般做法是向乌克兰提供临时网络援助。

协调乌克兰网络能力支持（CCS）的努力始于私营部门的“网络防御援助合作组织”（CDAC）。CDAC是一个由网络安全和技术公司组成的志愿者团体，成立于2022年3月，旨在最大限度地降低重复风险并简化援助流程。各国政府在建立类似结构方面进展较慢，“塔林机制”于2023年12月宣布成立，拉姆施泰因格式“信息技术（IT）联盟”于2024年2 月正式成立。“塔林机制”的三个工作时间线——“短期（支持）、中期（建设）和长期（维持）”——意味着除CCB之外，还涵盖CCS类型的活动，其对“维护和加强”乌克兰网络弹性的承诺也是如此。如果这种解释是正确的，那么“塔林机制”协调的是CCS和CCB活动的混合。

本文认为，对乌克兰的CCS包括快速部署的活动，这些活动旨在直接提供网络安全产品或服务，对短期至中期目标产生直接的执行性影响。例如，美国网络司令部的“前出狩猎行动”（HFO）部署人员提供威胁搜寻服务，英国“乌克兰网络计划”（UCP）购买产品和服务以提高乌克兰系统的弹性。相比之下，CCB计划（例如美国国际开发署的“关键基础设施网络安全”项目）虽然意义重大，但具有长期的、主要是战略性的目标，即发展乌克兰自身的能力。将这两组活动（CCB和CCS）归入一个单一的政策框架内，需要对资金和采购等流程采取类似的方法，这使得很难适当地响应捐助方的目标和受援方的需求。

（二）案例研究：针对哥斯达黎加的勒索软件攻击

“我们决心通过网络攻击推翻政府……”

——勒索软件组织Conti

2022年春季，哥斯达黎加遭受了一系列网络攻击，导致该国总统宣布国家进入紧急状态，并宣布该国“处于战争状态”。从4月17日开始，勒索软件组织Conti迅速发动了连续攻击，影响了29个政府机构。这些攻击在5月初有所减弱，但新的攻击（现在由Hive勒索软件组织发起）于5月31日开始，目标是哥斯达黎加社会保障基金。

Conti和Hive发起的活动扰乱了关键服务的提供。哥斯达黎加财政部用于申报税收和海关的数字系统被关闭。一些社会保障基金服务也受到影响，在最初的24小时内影响了估计4871次医疗预约。截至2022年6月，哥斯达黎加政府的响应成本超过2400万美元，贸易中断造成的经济损失估计每天为3800万美元。

哥斯达黎加政府在应对攻击的首批行动之一中，向西班牙、美国和以色列寻求建议和支持。西班牙与哥斯达黎加曾有协议，西班牙向哥斯达黎加提供了10万个反勒索软件工具许可证，并派遣了一支政府技术团队。以色列通过谅解备忘录 （MoU）巩固了双边网络关系，并提供了网络威胁情报（CTI）。美国派遣了一支联邦调查局（FBI）技术团队，并悬赏1000万美元，以获取有关Conti领导层的信息。微软和思科提供了免费工具，微软还提供了未指定的额外技术援助。本报告认为，这些支持工作属于网络能力支持（CCS）。

据作者所知，没有任何向哥斯达黎加提供CCS的行为者制定了开展此类活动的具体政策。此外，没有事先的决策过程来确定美国、西班牙和以色列（以及私营部门）是否是适当且合法的响应者。也没有至少在公开场合设定门槛来确定触发援助请求的原因。据推测，一旦他们参与其中，支持行为者就会消除其活动的冲突，但这并不确定。同样不清楚的是他们如何确定何时撤回支持——美国继续在2023年推出新举措，尽管这些举措的重点是能力建设。美国是否有意将其活动从提供能力转变为在哥斯达黎加建设能力？

网络能力支持（CCS）向哥斯达黎加提供的支持受到了欢迎，并产生了影响。哥斯达黎加总统查韦斯表示，他有“2500万个理由感谢”网络安全支持。一次引人注目的攻击也激励了其他拉丁美洲国家，许多国家随后制定了国家网络安全战略——从2020年的12个增加到2024年的20多个。

虽然个别国家做好了准备，但将国际网络能力支持（CCS）正规化的措施进展得比较缓慢。Conti在袭击哥斯达黎加期间发出的警告应该会鼓励这些进程，“哥斯达黎加的情况是针对整个国家的全球网络攻击的测试版。”

03

新兴方法

本节概述并考虑了现有的、新兴的或拟议的协调和实施网络能力支持（CCS）的机制和计划。为简洁起见，不包括“网络防御援助合作组织”（CDAC）等私营部门主导的举措。本节支持以下论点：现有和新兴的CCS机制正在取得良好进展，但需要考虑各种问题并整合最佳实践。

表二概述了具有开源信息的CCS机制和计划。

表二：网络能力支持（CCS）机制和计划概述

（一）组织

了解机制的组织方式是了解其扩散以及其预期和实际能力的关键。澳大利亚的“区域网络危机响应小组”（R-CCRT）和美国的“网络空间、数字连接和相关技术”（CDT）以及“前出狩猎行动”（HFO）是国家性机制，而欧盟的“网络快速响应小组”（CRRT）和“网络储备”、北约的“虚拟网络事件响应能力”（VCISC）、乌克兰国防联络小组（UDCG）的“信息技术联盟”、“塔林机制”和“反勒索软件倡议-事件响应”（CRI-IR）是跨国性机制。英国的乌克兰网络计划（UCP）最初是一个国家性计划，但表面上已成为一个跨国资助的机制（见表二）。

1、跨国性

欧盟的“网络快速响应小组”（CRRT）是一个有限成员机制，由常任和轮值联合主席协调；联合主席国立陶宛是常任主席国。CRRT的响应团队应该由来自多个成员国的专家组成，但实际实现这一目标的频率尚不确定。“信息技术联盟”和“塔林机制”都是十国倡议，后者表示还涉及科技公司和非政府组织。前者由爱沙尼亚和卢森堡领导，后者在基辅设有由爱沙尼亚运营的前台，在波兰设有后台。

欧盟“网络储备”的总体规模尚不明确，主要是因为该储备还在开发中，不过初步迹象表明，该储备将从一批私人事件响应者那里获得欧盟资助的援助。虽然预计资金细节尚不清楚，但可能超过1亿欧元。

英国的“乌克兰网络计划”（UCP）是作为一项国家倡议发起的，并于2023年6月获得了国际合作伙伴的额外资助，从而成为跨国项目。

目前，“反勒索软件倡议-事件响应”（CRI-IR）和北约的“虚拟网络事件响应能力”（VCISC）过于不透明，无法对其组织得出结论。

2、国家性

美国的“网络空间、数字连接和相关技术”（CDT）与美国网络司令部的“前出狩猎行动”（HFO）、美国联邦调查局的部署以及美国国际开发署的网络能力建设（CCB）共同运作，是美国对国际网络支持日益全面的举措的一部分。鉴于此，CDT资金的授权取决于美国国务卿在一年内进行的“紧急援助能力审查”。澳大利亚的“区域网络危机响应小组”（R-CCRT）符合该国的立场，即网络响应可以是一种人道主义活动，并以其现有网络能力建设（CCB）的区域重点为基础。美国和澳大利亚政府为新的网络能力支持（CCS）机制拨出的大量资金表明其越来越关注政策领域（见表二）。

（二）职责范围

协调机制和计划的政策制定者试图阐明明确的职责范围，以避免任务蔓延。

所列倡议的职责范围可按成员资格、地理位置和优先/机会标准进行分组（见表三）。“反勒索软件倡议-事件响应”（CRI-IR）、北约的“虚拟网络事件响应能力”（VCISC）和欧盟的“网络储备”提供基于成员资格的支持，这些支持可能通过多国机构进行调解。“乌克兰网络计划”（UCP）、“塔林机制”和“信息技术联盟”以及澳大利亚的“区域网络危机响应小组”（R-CCRT）都有地理重点——前三个是乌克兰，最后一个是太平洋岛屿和东南亚。最后，美国“网络空间、数字连接和相关技术”（CDT）和“前出狩猎行动”（HFO）的职责范围较宽松，每个都由政府优先事项决定。例如，CDT表示其活动旨在“推进稳定和安全的网络空间”和“支持和加强民主价值观和人权”。欧盟的“网络快速响应小组”（CRRT）表面上关注欧盟成员国和组织，但实际上它支持莫桑比克和摩尔多瓦等国家。

表三：机制范围概览

（三）门槛

影响部署特定机制的门槛的因素包括事件的规模、攻击的类型和政治决策。

重大、大规模的危机、紧急情况或严重事件是北约“虚拟网络事件响应能力”（VCISC）、欧盟“网络储备”和“网络快速响应小组”（CRRT）、澳大利亚“区域网络危机响应小组”（R-CCRT）和“反勒索软件倡议-事件响应”（CRI-IR）的响应门槛。然而，这些机制都没有准确定义这意味着什么。鉴于它们是计划，而不是可复制的机制，“信息技术联盟”、“乌克兰网络计划”（UCP）和“塔林机制”没有为进一步部署提供门槛，但每个机制都源于俄罗斯对乌克兰的大规模网络攻击。

“反勒索软件倡议-事件响应”（CRI-IR）激活的门槛仅限于针对政府或生命线部门的勒索软件攻击。

美国“前出狩猎行动”（HFO）和“网络空间、数字连接和相关技术”（CDT）并未公开部署门槛。相反，它们的启动分别由美国网络司令部和美国务卿自行决定。

退出门槛不太严格，而且非常敏感；公开定义支持限制可能会鼓励对手或破坏与合作伙伴的关系。因此，除“信息技术联盟”外，所有机制都避免设定硬性限制。“信息技术联盟”为其活动设定了6年期限；这可能是对国内压力的回应，尽管没有公开说明原因。

（四）私营部门的参与

表二中的机制考虑了如何纳入私营公司；表四提供了高层概述。

美国的“网络空间、数字连接和相关技术”（CDT）和英国的“乌克兰网络计划”（UCP）采用的一种方法就是利用私营部门公司作为实施合作伙伴。在这种方法下，公司将网络能力支持（CCS）付诸实施。欧盟“网络储备”也表示将使用私营部门实施，并将维护一份值得信赖的供应商名单。“塔林机制”更进一步，将捐助国的科技公司和非政府组织称为机制参与者，尽管它没有明确这意味着什么。据作者所知，美国“前出狩猎行动”（HFO）从未整合过私营部门的供应。据称，欧盟的“网络快速响应小组”（CRRT）原本打算这样做，但因保密和责任问题而受阻。

澳大利亚的“区域网络危机响应小组”（R-CCRT）承诺借鉴行业经验。作者认为这涉及承包私营部门实施，尽管这一点尚未公开澄清。“信息技术联盟”和北约“虚拟网络事件响应能力”（VCISC）承诺提供的能力（IT基础设施和国家缓解措施）意味着私营部门交付，尽管这一点同样尚未得到证实。最后，“反勒索软件倡议”（CRI）寻求将私营部门纳入其更广泛的举措中；然而，他们在“反勒索软件倡议-事件响应”（CRI-IR）承诺中的作用尚未公开讨论。

表四：私营部门的作用

04

网络能力支持的实施

本节概述了网络能力支持（CCS）规定的主题问题和机制的优先考虑事项。这些内容以单词或短语进行总结，以促进政策制定者采用。

本节支持以下观点：新兴的CCS机制前景光明，关键考虑因素正在凸显。有意创建或改进CCS供品的参与者应借鉴志同道合的合作伙伴的现有努力。

（一）对齐协调

冲突消除。表二中列出的机制间存在重复点。例如，巴布亚新几内亚是“反勒索软件倡议”（CRI）成员，并受到澳大利亚“区域网络危机响应小组”（R-CCRT）的覆盖。如果巴布亚新几内亚发生严重事件，谁来应对？随着越来越多的机制出现，尤其是那些没有地理限制的机制，存在进一步重复的风险。虽然消除机制冲突的努力似乎是可取的，但重叠覆盖可以减轻一种机制超负荷的风险。然而，管理这些重叠将很困难。参与者希望应对最严重和具有战略意义的事件；因此，他们可能会受到激励，在某些情况下竞争提供能力，但在其他情况下供应不足。大型科技公司参与CCS使情况更加复杂；例如，微软已经对哥斯达黎加、乌克兰、阿尔巴尼亚等国的全国性事件做出了响应。由多元化、多利益相关方的参与者提供CCS需要了解激励措施并进行定期沟通、协调和去冲突。协调多种利益相关方活动的努力将不可避免地遇到重大困难，正如网络能力建设（CCB）所证明的那样，但这不应该阻止参与者进行尝试。

除管理利益相关方间的重复外，实施CCS的参与者还需要考虑如何围绕正在进行的CCB来组织活动。本文主张CCS涵盖提供能力的活动，特别是在重大事件发生前、发生期间和发生后立即提供能力。在CCS干预的任何阶段，都可能存在先前、正在进行或计划中的CCB。虽然CCS和CCB具有不同的预期结果，但它们不应孤立地进行，而应尽可能结合起来。提供广泛国际网络支持的参与者面临的挑战是采取全面的方法并确保CCS和CCB活动互补。

凝聚力。实施CCS的参与者应考虑如何与志同道合的合作伙伴合作，以确保他们的努力具有凝聚力和互补性。多成员CCS机制汇集资源，鼓励规模经济，并可以简化信息共享和援助请求等流程。它们还需要协作设定目标；例如，“反勒索软件倡议-事件响应”（CRI-IR）的战略目标是减轻勒索软件的影响。由于参与者持有不同的观点，设定和坚持这些目标可能会很困难。例如，一些参与者主张降低提供CCS的门槛，而另一些参与者则优先考虑归因而不是补救，而组建联合团队可能会很棘手，因为信任隔阂阻碍了信息共享。这些对多成员机制的考虑在一定程度上在运行国家机制的政府中得到重现。实现凝聚力说起来容易做起来难，而且不一定总是可能或可取的。

（二）有利环境

可以做什么。无论是国家机制还是跨国机制，都要求行为者或团体在人员、流程和技术间划分某些能力。

• 实施人员可以是资助方的直接雇员，如美国网络司令部的“前出狩猎”行动（HFO），也可以是合同工。所需人员不仅仅是部署工具和服务的技术人员；CCS项目还需要强大的项目和利益相关者管理。为了维持常设机制，捐助方可能需要一个秘书处，如“塔林机制”所示。

• 清晰而有针对性的流程对于CCS机制的成功至关重要。对于快速响应尤其如此，内部流程可以激活全天候待命的团队。或者，如果利用私营部门的部署，可以通过聘用安排来提供快速响应能力，即向公司支付一定费用，以确保响应人员随时待命。

• 提供CCS的技术资源可以由参与者直接持有或创建，也可以从行业中获取，例如“ 乌克兰网络计划”（UCP）购买取证能力。

鉴于机制可能需要处理日益复杂的事件，以及同时发生的多起事件，因此它们需要具有可扩展性。本文指出，在资源最丰富的国家外，不太可能实现足够的能力来扩大CCS规模，但在多国机制中则更为可行。然而，更现实的方法可能是设计一个整合私营部门交付的多利益相关方机制，尽管这引发了以下问题：公司是否可以合法提供这种支持，负责人和股东是否认为这是值得的，以及公司是否与国家和国际组织有共同的价值观和目标。另一方面，没有私营部门，CCS机制是否可行？虽然国家内部CCS机制在制定战略方向方面可能面临的挑战较少，但整合多利益相关方执行伙伴对于实现全面覆盖可能至关重要。

利用私营部门提供的服务（尤其是快速响应）的机制取决于有效的资金和采购流程。参与者应考虑其现有流程是否合适——例如，是否有足够的资金来提供能力，以及采购流程是否适合在其他国际支持活动方面经验不足的网络安全提供商。希望捐助者和研究人员能够对资金和采购问题进行进一步分析。

应该做什么。实施CCS的参与者需要考虑其行动的合法性。国内法和国际法在确定合法性方面具有决定性作用。例如，一些国家的宪法禁止或限制外国安全援助，国际法则对援助请求提出了考虑。在有限的地理或国家范围内提供CCS的参与者可以通过与合作伙伴预先达成谅解备忘录来解决这些问题，尽管这需要长期而复杂的谈判。对于针对性较弱的机制，需要付出大量努力来预测数据共享、分类、采购和资金规则等法律问题。

（三）监测与测量

理由。CCS机制的成功取决于如何对其进行监控、衡量和评估。捐助者需要了解活动的价值案例，以及这些活动的实施是否能带来足够的投资回报。表二中列出的机制的所有参与者都没有发布有关这些考虑的信息，但对网络能力建设（CCB）的类似想法表明这是一种考虑。评估价值案例的一部分涉及参与者决定CCS的战略优先事项，例如人道主义、安全、商业或影响力优先事项。例如，北约的“虚拟网络事件响应能力”（VCISC）专注于盟友间的国家缓解；澳大利亚的“区域网络危机响应小组”（R-CCRT）支持区域合作伙伴，大概是为了建立影响力；而美国的“网络空间、数字连接和相关技术”（CDT）则整合了一些商业优先事项。此外，那些确定价值的人应该预料到道德风险的问题：创建或提供CCS是否会抑制为避免大规模事件而开展的国家网络安全准备？从这个问题来看，一些参与者可能会决定对援助施加条件，尽管这可能会影响与合作伙伴的关系。更糟糕的是，这些机制的存在是否会激励对手开展触发响应的攻击？提供CCS的资源压力是否会将资源转移到其他地方？

挑战与回应。监测和衡量政策机制是一项长期挑战。为了监测机制，实施者和资助者需要监督和获取实施影响的数据以及评估框架。虽然监测和衡量并不容易，但本文断言，对于CCS来说，这样做是可能的，同时承认某些指标（例如攻击次数）比其他指标（例如威慑对手）更清晰。

许多CCS活动的数据丰富性为监测可知或可计算的影响提供了宝贵的机会。例如，提供基于云的恶意软件分析工具可能涉及实施者在产品改进周期中接收有关接收者工具使用情况的信息。同样，事件响应服务将涉及实施者收集恶意软件样本等数据。如果将相关的可计算信息作为活动评估框架的一部分捕获和提交，则可以有效地衡量和评估CCS项目。然而，对于担心恶意行为者未经授权访问的接收者来说，收集和泄露数据可能是不可接受的。

评估CCS影响还依赖于基于较小或较不透明的数据集的主观或定性判断。例如，评估旨在拒绝或阻止对手的CCS活动依赖于对对手的看法和反应的理解。做出这种判断的需要并不是什么新鲜事；开发CCS机制的参与者应该考虑现有外交、国防和安全政策的评估方法。

（四）网络能力支持机制的考虑因素

建立和维护CCS机制非常复杂。本文认为，参与者最急需考虑的问题是创建可衡量的战略价值案例、确定多方利益相关者参与CCS以及制定全面的国际网络支持方法。

可衡量的战略价值案例。与其他国际支持活动一样，CCS在捐助方中没有单一的战略价值案例。目前，机制的战略目标包括发展和人道主义支持、安全和外交。战略目标决定了参与者对CCS的提供，因为它们影响潜在合作伙伴、合格资金、负责的内部机构、扩展能力以及提供和退出的门槛等因素。参与者根据这些战略目标衡量和评估CCS活动的能力将决定机制是否在中期得到维持。虽然CCS机制现在似乎正在迅速普及，但不能保证这种情况会持续下去或它们会带来好处。

多利益相关方。本文重点关注各国和国际组织提供的CCS，并主要将私营部门视为执行交付伙伴。然而，乌克兰的“网络防御援助合作组织”（CDAC）和微软等公司在多起国家网络事件中提供的CCS类型活动表明，私营部门行为者是独立的战略性CCS参与者。在此背景下，国家和国际CCS机制必须考虑如何、何时以及以何种方式与私营部门合作。例如，“塔林机制”表面上整合了私营部门，但这种参与的性质尚不清楚。它是否像“全球网络专业知识论坛”等网络能力建设（CCB）举措一样，拥有完全的私营部门成员？私营部门参与CCS机制的性质和程度对于确定其优先事项、能力和扩展能力具有决定性作用。本文建议寻求建立或改进CCS机制的行为者投入大量精力考虑私营部门的参与。

全面的国际网络支持方法。CCS机制主要由已经参与某种国际网络支持活动的参与者开发。对于某些参与者而言，这些机制是全新的，而对于其他参与者而言，这些机制则基于以前的临时流程或源自其他政策领域，例如人道主义支持或军事援助。虽然本报告欢迎更多地关注CCS类功能，但强烈建议确保对CCS（尤其是紧急支持）的关注不会挤占其他国际网络支持。如上所述，CCS不应以牺牲CCB（长期、可持续的干预措施，旨在建设受援国的内部能力）为代价。将资源投入到响应能力提供似乎可以满足更紧迫的需求，但这可能不是应对基础挑战的最有效方法。最终，CCB和CCS都无法涵盖国际网络支持的所有方面。参与者应利用各种工具，涵盖一系列国际网络支持活动，这些活动的优先次序和部署均基于其战略目标。

05

结论

近年来，大规模的国家网络事件屡见不鲜。国际社会对此作出了重大反应，而且大多数情况下都是临时采取的。新CCS机制的建立开始更加明确参与者打算如何、在何处以及与谁一起提供支持。

本文认为，多个国家和国际行为体已开始创建和扩展CCS机制，其中许多新兴举措都前景光明。本文分析了现有和拟议的机制，以确定影响CCS提供的因素，并提倡实施CCS的行为体考虑这些和其他已确定的经验教训。此外，本文还认为，制定明确的战略目标、考虑多方利益相关方合作以及制定全面的国际网络支持方法是有效实施CCS的关键。

为提出这些论点，本文提出了CCS作为一个政策领域，并在更广泛的国际网络支持中将其与CCB区分开来。虽然本文承认这种重新概念化需要进一步讨论，但它坚持认为，不同的政策工具有助于实现不同的结果和影响目标。

本文第二部分概述了乌克兰和哥斯达黎加国家网络事件的案例研究，以及实施CCS的参与者的临时响应。第三部分随后分析了新兴、现有和拟议的CCS机制，以确定影响其组织、范围、门槛、活动和私营部门参与的要点。最后，第四部分概述了在对齐协调、有利环境、监测和测量方面实施CCS的考虑因素；它还提出了参与者需要考虑的紧急要点。

关于这一主题的进一步研究应考察CCS机制的战略价值案例如何影响其实施以及决定多方利益相关者参与的因素。作为重新评估国际网络支持努力的一部分，以政策为重点的研究创建活动类型将非常有价值。此外，对CCS资金和采购机制的研究将有助于确保新兴机制的效率。最后，应在各种大型国家网络事件中对CCS进行比较深入分析，以确定策略性和操作性最佳实践。

声明：本文来自网络空间安全军民融合创新中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。