编者按:英国智库皇家联合三军研究所近日发表题为《重新思考多极世界中的网络威慑》的文章,围绕如何阻止严重影响国家安全和社会稳定的网络攻击事件再次发生的主题,评析了当前五种主流网络威慑观点,并提出三项推进累积式和定制式网络威慑措施的建议。
文章称,网络空间已成为扰乱对手、保护国家安全、开展间谍活动以及为未来冲突创造条件的舞台,网络空间的地缘政治紧张局势正在升级,重新评估网络领域如何支持更广泛的威慑战略成为迫切需要;网络空间威慑的有效性在学者和实践者中仍然存在争议,威慑措施是否有效地降低了网络事件的发生频率、规模和严重程度仍不清楚;西方国家已逐步寻求通过制定政策、框架、演习、制裁、行动和公开的网络归因声明来加强网络威慑战略,但要求进一步加强威慑的呼声日益高涨,推动因素包括网络空间冲突的加剧、网络攻击规模的扩大、某些威胁行为体的长期预先部署以及加强跨领域和跨政府部门整合的必要性;尽管网络威慑的实施和衡量颇具挑战性,但它仍然是国家实现国防和国家安全利益目标的关键组成部分;网络威慑传统上侧重于利用网络效应进行威慑,但鉴于网络与更广泛的地缘政治之间的关系,有必要将这一概念扩展至运用政府所有手段来威慑恶意网络活动,包括外交、经济和军事手段;威慑应被理解为一系列预防和应对措施的连续统一体,网络威慑必须成为综合跨域战略的一部分。
文章称,当前关于网络威慑主要有五种主流观点。一是将网络威慑类比为核威慑。该观点认为,相互保证摧毁的逻辑在特定条件下可以应用于网络攻击,有必要向对手明确发出红线信号并发展一套能够形成威慑的报复能力。该观点将网络能力与核能力进行比较存在政策和概念风险,因为网络能力的破坏力和短暂效果无法与核武器相提并论。二是网络威慑怀疑论。该观点认为,威慑理论被错误地应用于网络空间,其根源在于网络空间历史上被安全化为军事领域;网络活动历史上通常与间谍和情报活动联系在一起,而低强度、持续性的网络攻击不需要严格的威慑。该观点忽视了网络威慑,会使政策响应陷入瘫痪,导致与当前威慑措施的政治意愿和必要性脱节。三是持续交战。该观点认为,网络空间是对手间持续互动的领域,因此网络行动会随着时间的推移产生成本并塑造行为,网络空间并非克制和反应的领域,因此威慑不能成为实现国家利益的核心战略。该观点通过应对低于武装冲突门槛的恶意网络活动,阻止其产生战略层面的累积影响,同时减少了对特定恶意网络行动的临时反应。四是韧性胜过威慑。该观点否定了威慑的核心地位,主张各国应优先考虑网络韧性,通过拒止实施威慑。该观点同几乎把负担完全转嫁给防御者及其第三方,让攻击者逍遥法外并更加大胆,无法回应施加代价的政治意愿。五是跨域威慑。该观点认为网络攻击可以通过报复性威胁或其他领域的全方位行动来遏制,从而增强威慑态势的可信度和灵活性。该观点要求各国政府加强以综合方式管理升级和误判风险,同时评估各种手段的优缺点、可信度、有效性和相称性。
文章称,思考一种累积式和定制式的跨域威慑方法应该成为政府工作的重中之重,该方法的主要组成部分包括五个方面:一是跨域式威慑寻求利用政府所有手段遏制恶意网络活动;二是累积式威慑既反映战役的持续效果,也承认网络是更广泛的跨域综合战役的一个要素;三是迭代式威慑通过不断尝试和汲取经验教训来调整战略;四是定制式威慑能够对效果和效力进行更有针对性的评估;五是灰色区域导向式威慑旨在根据各国的国际义务,最大限度地发挥灰色地带的优势。
文章称,网络活动可区分为低中高三个层次。低影响网络活动对网络或服务本身的直接干扰极小或没有但仍具有战略意义,例如通过预先部署渗透技术和设备并为日后破坏行为埋下伏笔,有效地实施仅限于针对此类网络活动的威慑机制可能很困难,因为政府的威慑反应往往仅限于点名批评、警告以及发现和修补受损网络;中影响网络活动持续存在且低于武装冲突门槛,其影响和归因尚不明确,网络威慑在此中间地带潜力最大,可以通过平衡模糊性、信号传递和定制对策来更有效地塑造对手行为;高影响网络活动会造成巨大的动能冲击,如经济混乱、人员伤亡等,并直接威胁国家安全,受影响的国家可能需要根据网络攻击的具体情况及其更广泛的背景来进行定性,从而采取特殊的反应或威慑措施。文章称,可基于对特定行为体的潜在影响和、潜在效力、背景依赖性以及潜在弊端,根据累积威慑观点提出并评估先发制人和被动应对的“菜单”。
文章提出三项构成遏制恶意网络活动的累积式和定制式措施的建议:一是务实地应对网络威胁。政策制定者和国防利益相关方应谨慎行事,不能过分夸大假设性“重大事件”网络事件的重要性,要审视各机构现有的危机应对部门以了解网络和非网络防范、响应和沟通策略间的关联和学习机会,并考虑采取更具针对性、更贴近具体情况的行动方式以务实地界定网络威胁并调整威慑措施。二是形成关于网络效应红线的共识。西方国家需要考虑是否能够确定哪些网络行动可能构成战争行为,并了解政治意愿和地缘战略背景两个决定性因素间的关系,思考如何才能更可信地发出红线信号并保持必要的作战和战略模糊性,以便根据具体情况考虑入侵行动。三是打破惯性并考虑采取全方位的威慑应对措施。作为更广泛威慑行动的一部分,可以利用一系列选项并采取行动,以亮明更坚定的红线,包括对低于门槛的入侵采取更迅速、及时和相称的行动,以及在经济、外交甚至秘密领域采取补充措施。
文章总结称,当前是评估网络在当代威慑战略中作用的一个至关重要且紧迫的时机;应该采取跨域威慑来减少敌对国家支持的网络活动,该方法应支持制定定制式和累积式的威慑战略,从而利用网络及其他领域的多种杠杆,帮助各国制定针对特定行为体的战略,并逐渐了解对抗对手的有效性或收益;跨域威慑可以促使西方国有政府合作制定针对特定行为体的威慑框架,并更有针对性地制定联合威慑战略;需要广泛汲取网络威慑的不同观点,并结合传统威慑,促进建立一个更加整合、务实的框架,形成适应当今威胁环境的、针对特定行为体的可操作的威慑。
奇安网情局编译有关情况,供读者参考。
重新思考多极世界中的网络威慑
内容摘要
网络空间的地缘政治紧张局势正在升级。迫切需要重新评估网络领域如何支持更广泛的威慑战略。然而,网络空间威慑的有效性在学者和实践者中仍然存在争议。尽管针对关键国家基础设施(CNI)的恶意网络活动持续增加,对西方国家的国家安全构成越来越大的风险,但威慑措施是否有效地降低了这些事件的发生频率、规模和严重程度仍不清楚。
尽管尚未发生“灾难性的全国性网络攻击”,但持续的低级别网络攻击活动已将西方一系列网络基础设施(CNI)和行业作为目标。这种趋势可能会被“未实现且不明确的恐吓”所掩盖,导致政策制定者无法应对不断变化的威胁。
本文平衡了目前普遍存在的对网络威慑可行性的怀疑,以及日益增长的政治需求,即对恶意行为体施加网络和非网络后果。本文探讨了这样一个问题:如果国家网络行动导致了第一类网络事件(英国国家网络安全中心将其定义为“导致英国基本服务持续中断或影响英国国家安全的网络攻击”),并持续威胁生命安全,那么英国及其盟友该如何阻止行为体再次尝试入侵?
本文认为,网络威慑必须成为综合跨域战略的一部分。威慑应被理解为一系列预防和应对措施的连续统一体——累积式、迭代式、定制式和灰色地带导向式——借鉴众多案例研究的经验教训。本文特别探讨了网络行动“预先部署”对破坏性或毁灭性攻击的影响。
主要建议:
采用务实的网络威胁框架,整合跨部门危机应对的经验教训,制定针对具体行为体的定制威慑战略。
平衡战略模糊性和可信信号——特别是在确定网络行动的红线以及何时跨越红线可能构成国际法规定的威胁或使用武力。
打破惯性,考虑采取全方位的威慑应对措施——包括对低于门槛的入侵采取更迅速、及时和相称的行动,以及在经济、外交甚至秘密领域采取补充措施。
此项分析基于快速证据评估和专家咨询。英国皇家联合三军研究所的第二篇研究论文将探讨如何构建不同威慑方法在不同案件类型和威胁行为体中的有效性。该论文还将深入研究具体案例。
1►
介绍
在2025年5月举行的北约网络冲突会议(CyCon)上,美国国家安全局高级网络战略师艾米丽·戈德曼进一步阐述了美国遏制恶意网络活动的新方法。她传达的信息非常明确:“我们不会被动应对对手的最后举动,而是要主动出击,在对手采取行动之前限制他们的选择。打断、挫败他们的战略,使其在任何地缘政治条件下都难以取胜。我们需要掌握并保持主动权,而不是放弃主动权。”此次讲话表明,美国政府决心从“克制”和“威胁采取行动”转向更主动的策略。这体现了当前竞争激烈的威胁形势,网络空间已成为扰乱对手、保护国家安全、开展间谍活动以及为未来冲突创造条件的舞台。
美国并非唯一一个在态势上不断演变的国家。2025年6月,英国发布了《战略防务评估》(SDR)。这份十年一度的文件为英国国防未来几年的优先事项设定了愿景,并同样改变了其叙事:“转向战备状态,以遏制威胁并加强欧洲-大西洋地区的安全”。在实践中,这意味着制定一项切实可行的威慑计划,该计划在制度和操作上“设计一体化”。这还意味着一种转变:从针对网络领域的专属方法,转向拟议的网络与电磁司令部(CyberEM),其目的是支持在该领域采取更积极主动的立场并确保跨领域的一致性。
这种发展并非毫无道理。西方各国政府已逐步寻求通过制定政策、框架、演习、制裁、行动和公开的网络归因声明来加强网络威慑战略。然而,要求进一步加强威慑的呼声日益高涨。推动这一势头的因素包括网络空间冲突的加剧,以及人们日益认识到加强跨领域和跨政府部门整合的必要性。这也反映了日益多极化和竞争加剧的地缘政治格局。至关重要的是,网络攻击的规模以及某些威胁行为体的长期预先部署——包括公开和隐性的国家活动——进一步将网络威胁推到了西方各国政府国家安全议程的首位。
“网络威慑”传统上侧重于利用网络效应进行威慑。如今,鉴于网络与更广泛的地缘政治之间的关系,有必要将这一概念扩展至运用政府所有手段(外交、经济、军事)对恶意网络活动进行威慑。
然而,网络空间威慑的可行性和有效性长期以来一直受到学者和实践者的质疑。因此,学术界对于如何就战略展开对话也存在分歧,更不用说评判其有效性了。某些观点强调,网络威慑的目的之一是随着时间的推移,显著减少国家发动的攻击性网络事件的数量。然而,衡量有效性具有挑战性:很难令人信服地确定威慑措施与特定结果之间的因果关系。即使威慑策略——例如点名羞辱、制裁(例如扣押资产和旅行禁令)或基于效果的行动——成为国家工具箱的一部分,也并不一定意味着威慑的“3C”(能力、可信度和沟通)已经得到实施或有效。
尽管网络威慑的实施和衡量颇具挑战性,但它仍然是国家实现国防和国家安全利益目标的关键组成部分。显然,需要从政策角度来区分“未实现且不明确的恐吓”与需要以定制式和系统化的方式进行威慑的令人担忧的具体网络威胁。鉴于一些国家支持的行为体针对一系列关键国家基础设施(CNI)开展军事和情报网络攻击的案例,这一点尤为重要。
这项研究的下一阶段——即将发表于第二篇英国皇家联合三军研究所(RUSI)的论文中——将评估长期内威慑干预措施的累积影响和效果。本文第一篇论文考虑了一系列情况,包括:实施网络效应是更广泛的响应工具包的一部分;反复试验是该过程的一部分;网络效应被置于更广泛的威胁之中(包括有意和非有意的威胁,以及动能和非动能威胁);该方法的目标是持续限制恶意网络行为(减缓、降低、缩小和限制敌方行动的空间)。这项研究的结果表明,需要一种将胁迫(迫使对手采取特定行动)和威慑(劝阻对手参与特定活动)相结合的方法。因此,本文主张采取累积式和定制式的方式来威慑恶意网络活动,利用所有可用的政府工具来应对未达到武装冲突门槛的网络和非网络威胁。需要进一步研究来确定此类威慑战略的具体模式。第二篇英国皇家联合三军研究所的研究论文将对此进行更详细的探讨,包括方法、机遇和潜在风险。
为了重振本文的讨论,作者探讨了一个假设性问题:如果一次国家网络攻击导致了持续威胁生命的第一类网络事件,英国及其盟友该如何阻止再次发生此类事件?根据英国国家网络安全中心的网络事件分类框架,一级事件的定义是“导致英国基本服务持续中断或影响英国国家安全,从而造成严重经济或社会后果,甚至人员伤亡的网络攻击”。虽然本文并未提供全面或规范性的答案,但它确实提出了一些建议,以促进进一步的政策研究。这个问题旨在“打破惯性”,使利益相关者能够重新构想潜在的全新或修订的网络威慑框架。
作者的研究分为三个阶段:首先对文献进行快速证据评估,然后对迄今为止网络威慑争论的现状进行基线分析;最后与八位专家进行两轮磋商,以验证数据并收集补充数据。这些专家包括来自美国和英国的学者、行业人士和前政策实践者,代表了网络威慑争论的各界人士。
本文分为三个部分。第一部分为研究问题的回应提供了基础。它概述了迄今为止网络威慑争论的总体背景,并提出了跨领域研究该主题的关键要素。第二部分回应了核心问题,并展示了如何在更广泛的威慑行动背景下将网络威慑的后果重新定义为一系列行动和影响。最后一部分为对威慑战略感兴趣的政策制定者和利益相关者提出了建议,并强调了未来研究的挑战和机遇。
2►
迄今为止的网络威慑争论
(一)网络威慑的五种观点
有必要简要评估有助于弥合网络威慑“言行”差距的概念贡献和挑战。探索这些概念有助于缩小差距。过去几年,政策和学术文献中至少出现了五种主要思想流派:
核威慑与网络威慑的类比
网络威慑怀疑论者
持续交战
韧性胜过威慑
跨域威慑
这些并非正式的“思想流派”,也并非互相排斥。然而,理解这些思想流派(包括其局限性)至关重要,这样才能避免落入政策陷阱,并评估如何有效地整合累积式和定制式的方法来威慑恶意网络活动。
1、核威慑与网络威慑的类比
第一种网络威慑学派试图将核威慑的概念移植到网络领域。这种威慑方法的支持者认为,相互保证摧毁的逻辑在特定条件下可以应用于网络攻击。原则上,针对关键国家基础设施(CNI)的网络攻击可能足够严重,达到迫使一国以压倒性网络(或对等物)力量作出反应的程度。这种观点的支持者认为,当威慑能够绝对有效地阻止某种行动时,它才是有效的。该学派还认为,有必要向对手明确发出红线信号,并发展一套能够形成威慑的报复能力。
然而,将网络能力与核能力进行比较存在政策和概念风险。网络能力的破坏力远不及热核武器。因此,这引发了人们对网络能力是否能像核武器一样产生可信的报复威胁的质疑。此外,网络能力具有独特的短暂性(如果漏洞被修复,它们的效用就会降低,甚至完全失效)。因此,很难像一个国家展示其核资产那样,实质性地展示网络能力。
2、网络威慑怀疑论者
第二种学派质疑是否有可能威慑国家主导的网络行动及其他网络空间恶意活动。这些怀疑论者认为,威慑理论被错误地应用于网络空间,其根源在于网络空间历史上被安全化为军事领域。他们认为,间谍活动和情报活动(而非军事征服)的类比更适合网络空间。因此,这种思路限制或排除了对惩罚性威慑进行传统解读的范围。虽然低强度、持续性的网络攻击普遍存在,但这些攻击尚未达到武装冲突的门槛,而且根据该学派的观点,这些攻击通常不需要严格的威慑。
怀疑论者指出,一些关于威慑的假设——例如能够发出精确的门槛信号,并迅速归因和展示可信的报复——在网络空间关键系统的防御中往往缺失。因此,对手可以利用门槛的模糊性,测试门槛以下活动的底线,即使这在技术上会破坏法律并损害主权——尤其是在尚未发生构成使用武力的网络攻击,也尚未根据国际法对该门槛达成共识的情况下。此外,网络空间使得代理机制变得模糊,尤其是将网络行动正式和/或默许地外包给代理人。
然而,忽视网络威慑也于事无补。它会使政策响应陷入瘫痪,导致与当前威慑措施的政治意愿和必要性脱节。此外,鉴于威胁形势的不断演变、近期备受瞩目的网络行动案例研究(即敌对国家行为体的长期预先部署)以及技术能力的提升(即更快、更精准的归因),或许存在基于当前形势引入有效威慑措施的新机遇。
3、持续交战
第三种——也是较新的——思想流派主张持续交战。这种方法基于这样的论点:网络空间是对手之间持续互动的领域,因此,网络行动会随着时间的推移产生成本并塑造行为。美国国防部2018年网络防御战略引入了持续交战的概念。该战略认为,美国网络司令部有能力和责任与对手交战,制造持续摩擦力并削弱对手的能力,从而通过累积效应遏制恶意行动。
作为威慑的替代方案,持续交战的支持者认为,网络空间并非克制和反应的领域,因此威慑不能成为实现国家利益的核心战略。这些支持者引发了一场关于持续交战是否是一种更好的竞争范式的辩论——这种范式注重互动而非仅仅着眼于升级。在这方面,他们认为持续交战旨在抑制而非阻止效果远不及武装攻击的恶意活动的累积影响。
尽管支持者将持续交战定义为有别于威慑,但思考这一思想流派如何丰富这场辩论仍然有益。他们认为,常规威慑战略仍然适用于可能导致第一类事件(或相当于武装袭击的后果)的网络行动,因为国家有权以常规武力予以回应。因此,在他们看来,“持续交战”通过应对低于阈值的恶意网络活动,补充了这场辩论。
以下是两点贡献。首先,持续交战假设随着时间的推移,非武装冲突的行动能够产生战略层面的累积影响。这与本文对累积式威慑的观点相似——尽管持续交战与威慑有所区别。其次,持续交战意味着减少对特定恶意网络行动的临时反应,而是提出一种基于战役的方法——这强调了信号传递和成本施加的迭代性和可能的互动性。一些人认为,鉴于升级风险,此类活动应谨慎调整。
4、韧性胜过威慑
另一种观点则完全否定了威慑的核心地位。相反,该学派主张各国应优先考虑网络韧性。该学派认为,与其试图阻止攻击——在持续探测和渗透的环境中,这是一个不切实际的目标——不如专注于构建(并维护)能够吸收、适应攻击并从攻击中恢复的系统,并将干扰降至最低。支持者认为,韧性可以降低网络攻击的吸引力,因为它可以阻止攻击者获得他们想要的攻击效果——实际上,这是一种通过拒止进行威慑的形式。可以采取一系列措施来提高韧性,包括(但不限于):网络隔离;组织准备;安全备份;快速事件响应能力。
然而,如果仅仅采用这种框架,就会几乎把负担完全转嫁给防御者及其第三方,让攻击者逍遥法外。纯粹以韧性为重点的方法可能会让攻击者更加大胆,因为他们认为他们的行动不会带来任何政治或战略代价。除了拒止轻松访问系统或部署能力之外,它也没有回应施加代价的政治意愿。
5、跨域威慑
第五种思想流派——跨域威慑——认为网络威慑并非一项独立的挑战,而是更广泛的国家工具箱的一部分,涉及多个领域(即军事、经济和外交)。这种观点认为,网络攻击可以通过报复性威胁或其他领域的行动来遏制。这些行动可能包括常规军事打击、制裁或法律起诉。通过将应对选项扩展到网络空间之外,跨域威慑增强了威慑态势的可信度和灵活性。它承认“以网制网”的应对措施存在局限性,尤其是在对手能力不对称且网络空间存在漏洞的情况下,因此主张采取全方位应对措施,让恶意行为体付出代价。
跨域威慑虽然可以增强国家向对手发出信号并承担预期成本的灵活性,但它也要求在将威慑战略应用于政府其他领域(例如太空、经济政策和外交)时,必须具备一定程度的协调性和意向性,这仍然是政策制定者面临的最大挑战之一。全方位看待网络威慑,要求各国政府加强以综合方式管理升级和误判风险的能力,这既包括跨政府机构的合作,也包括与私营部门的合作。跨域威慑还需要:了解不同胁迫手段的优缺点;仔细评估这些工具(及其各自的优缺点)的组合如何影响威慑和胁迫的可信度和有效性;并审慎评估相称性和各国对国际义务的遵守情况。
(二)网络威慑的综合观点
尽管面临挑战,正如接下来的章节所示,思考一种累积式和定制式的跨域威慑方法应该成为政府工作的重中之重。一些国家越来越积极地主张采取类似的方法,但这并不意味着它已经实现。此外,如果要遏制俄罗斯、伊朗、朝鲜等对手在网络空间的行动,从言论到行动还需要付出更多努力。图1概述了关键组成部分。
图 1:跨域威慑网络导向观点的关键组成部分
(三)重新评估网络威慑:威慑效力的等级
尽管关于网络威慑的五种主流观点反映出一种旷日持久且支离破碎的讨论,但对可信、务实和谨慎行动的政策意愿依然强烈。
鼓励政策制定者考虑采取以累积式威慑为基础的方法,并以两项分析演习为基础。
第一,根据现有案例的经验教训,将网络威慑视为一系列预防和响应措施(从低影响措施到高影响措施)。第二,将网络破坏置于更广泛的非网络破坏范围(例如自然灾害),以了解网络破坏相对于其他灾难性破坏的系统性影响。第二项演习有助于适当校准应对和行动的准备程度。在这种方法下,网络问题不再被特定视角所看待,而是国家间更广泛的外交和战略合作的一部分。理想的结果是政策制定者能够将威慑工具作为“定制”的累积式行动的一部分来运用。也就是说,如果长期威慑行动能够针对特定国家和行为体进行定制,则可以实现优化。
两次演习都基于一个前提:政治意愿和背景可以说是威慑机制选择和态势变化的最决定性因素。表1展示了迄今为止网络行动的简化图谱,包括低影响、中影响和高影响示例。
首先,存在低影响的案例——对网络或服务本身的直接干扰极小或没有,但仍具有战略意义。一个关键的例子是“预先部署”:广义上,指允许一国渗透并在技术和设备中站稳脚跟,然后日后实施破坏行为的行为。在网络安全领域,预先部署还包括在不激活有效载荷的情况下安装恶意软件或在数字系统中引入漏洞的行为。与包含某种形式数据泄露的网络间谍活动不同,预先部署是指在不暴露活动和/或渗透者意图的情况下保持访问。虽然预先部署可能是更大影响活动的前奏,但有效地实施仅限于针对其网络行动的威慑机制可能很困难。诸如识别和修复对手利用的脆弱接入点之类的活动,可能是一种暂时的拒绝访问策略。然而,这些不足以改变行为并阻止对手寻找其他接入点。
据报道,西方和非西方政府都参与了预先部署活动。虽然严格衡量对数据或网络的实际干扰和破坏,预先部署是低影响的,但其对研究和政策的更广泛影响值得关注。首先,如果大规模或在高度关键领域实施预先部署一旦被发现,就会发出信号。对手能力的展示会对目标国家产生潜在的心理影响。持续进行预先部署可能会增强并巩固对网络脆弱性的不确定性认知。其次,谴责对手行为的公共传播策略效果有限,甚至可能相互矛盾。一方面,公众谴责表明了对行为的不满和不可接受,这可以作为报复的理由。另一方面,公开羞辱可能会立即产生负面影响,进一步壮大对手的气势,尤其是在此类行为仅被视为“不可接受”的情况下,在国际法下并不违法(尽管在国内法下可能违法)。即便如此,如果对预先部署日益增长的集体不满有助于划定更可信的红线,那么短期的士气提升对目标国来说或许是一个可以接受的权衡。
另一个极端是高影响案例——“严重灾难性攻击”,即网络攻击造成巨大的动能冲击:经济混乱和/或大量人员伤亡,并直接威胁国家安全。需要强调的是,根据经验,网络攻击似乎不太可能产生与灾难性动能攻击同等的冲击力——至少目前如此。即使大规模网络攻击已经影响到关键的社会系统,也应该能够补救(尽管不一定能立即补救)。符合第一类规定的事件,其规模、影响和性质存在很大差异。受影响的国家可能会将相当于常规打击的网络攻击视为高于或低于门槛,具体取决于攻击的具体情况及其更广泛的背景。因此,可以设想一个非常严重的事件——例如,对生命构成无可辩驳的威胁——以至于政府可能选择或感到被迫将其视为跨越门槛事件。
介于两极之间的是中影响的情况。这类网络活动持续存在,且低于门槛,其影响和归因尚不明确。在这种情况下,重振网络威慑的潜力最大。各国不应为“潜伏”的极端情况做准备,而应针对这种中间地带制定适应性威慑战略。在这种中间地带,模糊性、信号传递和定制对策之间的平衡,或许能更有效地塑造对手的行为。
表 1:网络行动范围和威慑影响
关注中间地带,可以避免对假设的“重大事件”进行无益的框架构建,同时发挥两个重要作用。首先,可以根据行动(及其影响)的严重程度进行划分,并客观地与非网络行动进行比较。例如,勒索软件威胁造成了巨大的经济影响,但其本身的影响仍然有限,不足以构成战争行为。这就引出了第二点:可以基于对特定行为体的潜在影响和有效性、背景依赖性以及弊端,根据累积威慑观点提出并评估先发制人和被动应对的“菜单”。根据跨域方法,该措施应同时包含网络和非网络选项。政策制定者还应考虑表2中的问题——这些问题并非详尽无遗。
表2:先发制人和被动应对措施菜单
重要的是,由于中间地带的网络入侵低于门槛,“一次性”应对(无论是发出信号还是采取行动)可能与威胁的关联性不佳。相反,网络威慑应该依赖于“战役”。这与持续交战方式非常相似。然而,与持续交战方式不同的是,它注重整体而非军事,因为它涵盖了外交、经济和信息等多种选项。
3►
主要建议
在项目初期,我们提出了以下最紧迫的建议。这些建议构成了采取累积式和定制式措施遏制恶意网络活动的基础。
(一)务实地应对网络威胁
首先,政策制定者和国防利益相关方应谨慎行事,切勿过分夸大假设性“重大事件”网络事件的重要性。对意外关键服务中断(例如2025年西班牙和葡萄牙的停电)的狂热好奇,可能会助长这种倾向。虽然这类叙事具有一种“虚构变成现实”的吸引力,但它们并不一定有助于推进网络威慑的务实实施。
其次,政策制定者可以审视各机构现有的危机应对部门(即应对自然灾害或“传统”动能效应的部门),以了解网络和非网络防范、响应和沟通策略之间的关联和/或学习机会。这样做或许能让他们更好地在更均衡的框架内定位网络事件的经济、社会和政治影响,从而更恰当地调整对网络事件及其影响(无论有意或无意)的认知和机构应对措施。这或许还能凸显将网络效应与灰色地带的其他干扰因素整合在一起的机会。
第三,为了务实地界定网络威胁并调整威慑措施,政策制定者应考虑采取更具针对性、更贴近具体情况的行动方式。这包括在现有的更广泛的国家和地区框架之外,制定针对具体行为体的威慑战略。这种“定制式威慑”或许能够更好地校准那些不利于威慑的影响、衡量和效力的文化、区域和环境因素。此外,采取这种“定制式威慑”方法或许能够更好地校准威慑机制的“有效期”或预期使用频率(即威慑机制能够产生多大影响以及持续多长时间)。虽然各国可能已经在私下和公开场合进行量身定制,但如果没有及时清晰地传播,其“传达信号”效应就会受到限制。
在该研究项目的后续阶段,英国皇家联合三军研究所将致力于支持网络威胁的务实框架,具体目标是将这些威胁映射到一系列威慑选项中。
(二)努力就网络效应的有意义的红线达成一致
从规模来看,灾难性的网络事件(目前)不太可能达到武装冲突的门槛。但是,如果各国认真对待网络威慑,就需要了解两个可以说是决定性的因素之间的关系:政治意愿和地缘战略背景。一般来说,各国不会频繁地发出信号或援引网络行动跨越门槛的说法,但政治意愿和地缘战略背景可能是做出这一决定的最关键因素。例如,哥斯达黎加因网络事件首次宣布进入紧急状态,但从未正式公开表示过Conti组织与俄罗斯有关联。相比之下,阿尔巴尼亚是第一个因网络攻击而断绝外交关系(这次是与伊朗)的国家——这是一个更具政治意义的举动,因为它表明国家间关系中出现了不可接受的行为,并且高度反映了两国之间日益紧张的关系。另一个例子是伊朗决定将2019年针对其一个情报部门的网络攻击归咎于美国。这一归咎决定是美国和伊朗在霍尔木兹海峡紧张局势加剧的大背景下做出的,这再次表明背景和政治意愿至关重要。然而,就其本身而言,在这种背景下的网络行动与升级管控战略而非威慑战略更为相似。这进一步表明,有必要更广泛地重新思考网络在威慑中的作用。将网络作为升级管控工具与动能或其他经济和外交威慑手段结合起来,可能在威慑灰色地带的混合威胁方面带来改变游戏规则的因素。
志同道合的西方国家已明确表示,网络行动可能构成战争行为,但对于网络行动的门槛以及哪些行动会违反该门槛,存在着明显的模糊性。关于国际法如何适用于网络空间的解读也日益增多,但可能仍不足以客观地塑造习惯国际法。这种模糊性可以理解,反映了一种务实的愿望,即避免不必要的升级和束缚自身力量。然而,这也破坏了对网络入侵程度的明确信号形成,即该程度将(或可能)构成与常规打击相当的战争行为。
在政治和环境对强力威慑措施的意愿不确定的情况下,缺乏门槛划分会显著减少威慑的选择及其有效性。志同道合的西方国家应该思考如何才能更可信地发出红线信号,同时保持必要的作战和战略模糊性,以便根据具体情况考虑入侵行动。作者认为,模糊性本身可能具有威慑作用,并且可能是保持环境灵活性(包括降级灵活性)的战略必要性。然而,模糊性也可能削弱一个国家发出可信信号的能力。
此外,志同道合的西方国家的政策制定者和战略家应该考虑,是否有可能且有必要明确哪些行动构成威胁使用网络武力。例如,在某些情况下,预先部署到某个关键系统中可能构成武力威胁,并违反《联合国宪章》。
(三)打破惯性,考虑所有选择
本文强调,存在大量低于门槛的中等水平网络入侵活动。然而,此类活动构成国家安全风险和社会危害。政策制定者和战略家应考虑是否有机会表明意图并迅速应对目前无法得到响应或数月后才会得到响应的入侵行为。可以理解的是,对中等水平事件做出快速而坚定的反应可能难以与盟国迅速协调。尽管如此,作为更广泛威慑行动的一部分,或许有机会利用一系列选项并采取行动,以表明更坚定的红线。
此外,应当指出,威慑可能需要威胁至少相当于、但理想情况下更甚于威胁或实际入侵的程度。在2025年巴黎Pall Mall峰会上,美国国家安全委员会的一名成员提出了对参与商业攻击性网络行业的敌对行为者使用致命武力的可能性。虽然这一评论引起了恐慌,但致命武力已被用于国内和国际行动,以打击恐怖主义和海盗等低于门槛的威胁。毫无疑问,从后勤角度来看,对俄罗斯臭名昭著的网络犯罪集团Evil Corp发动无人机袭击将比对也门胡塞武装分子等发动袭击更困难,也更令人毛骨悚然。然而,即使挑衅性入侵低于门槛,也可以考虑何时以及如何使用“大棒”或秘密行动来实施威慑。
4►
结论
尽管专家们对网络威慑的看法仍存在分歧,一些人甚至完全拒绝这一概念,但本文主张采取跨域威慑来减少敌对国家支持的网络活动。它借鉴了外交和金融等多种手段。正在进行的政策研究和对话不应被“未实现且不明确的恐吓”所掩盖,因为这可能会掩盖威胁形势的重大转变——一些行为体正在更隐蔽、更复杂、更大规模地进行预先部署——而应借鉴并推进对以网络为导向的跨域威慑观点的实际理解。
研究结果还认识到,西方主要国家在应对网络空间敌对活动方面,有政治意愿采取更加强硬的措施。历史上,网络活动通常与间谍和情报活动联系在一起,因此被认为超出了传统威慑战略的范围。如今,鉴于应对现有地缘政治威胁的紧迫性、对建立新的欧洲防务和安全架构的推动,以及近期网络空间政治和战略对手活动日益增多的例证,评估网络在当代威慑战略中的作用正是一个至关重要且紧迫的时机。
跨域方法应支持制定定制式和累积式的威慑战略。这种方法利用网络及其他领域的多种杠杆,可以帮助各国制定针对特定行为体的战略——因此,这些战略可以根据对手的战略文化进行更细致的制定,并根据具体指标评估其有效性和执行情况——并随着时间的推移反映对抗对手的有效性或收益。这样做可以促使志同道合的政府合作制定针对特定行为体的威慑框架,并更有针对性地制定联合威慑战略。此类战略将包括针对网络的干预措施(即联合归因、取缔和/或网络行动,以阻止、削弱和破坏对手的能力)。然而,孤立地开展这些措施是不够的。英国皇家联合三军研究所将进一步研究评估更广泛的干预措施。
综上所述,这种分层策略或许有助于抑制一些低于门槛的恶意网络活动,同时也为更有力地应对严重入侵奠定基础。为了推进这一议程,我们提出了两个工作流,旨在建立一个可供政策制定者使用的通用网络威慑框架。
首先,基于本文阐述的网络行动及其影响,通过一系列真实和假设的案例研究,将有助于理解累积式威慑。其次,正如本文所强调的,关于网络威慑的多个非正式思想流派之间都有值得分享的经验教训。需要将对网络威慑持有不同观点的利益相关者和专家聚集在一起,并与传统威慑战略家进行创造性合作,从而促进建立一个更加整合、务实的框架。为此,我们将开展针对性研究工作,以弥合这一差距——从“网络威慑”的语义和概念僵局转向适应当今威胁环境的、针对特定行为体的可操作的威慑。
关于作者:
路易丝·玛丽·胡雷尔:英国皇家联合三军研究所网络与科技团队的研究员,工作重点是网络外交、科技供应链安全、网络溯源、网络安全公司在治国方略中的作用以及网络能力建设,其同时领导着英国皇家联合三军研究所的负责任网络行为伙伴关系项目。
加雷斯·莫特:英国皇家联合三军研究所网络与技术团队的研究员。他的研究兴趣包括治理与网络空间、点对点技术的挑战(及前景)、网络风险格局的发展以及微观和宏观层面的网络安全战略的演变。
声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
