编者按
瑞士日内瓦安全政策中心学者加兹门德·胡斯卡伊撰文,追溯全球网络空间进攻行动的扩散路径,分析上述动态可能造成的误判和升级风险,考察国际政策和法律方面的缺陷,并提出通过全球合作缓解网络空间攻击行动日益扩散所带来风险的建议。
文章称,过去十年,网络空间进攻性行动的迅速扩张重塑了国际安全格局;曾经仅限于少数几个大国的此类能力,如今已扩展到数十个国家以及相关非国家行为体,反映出网络空间进攻能力在整个国际体系中日益普遍,其背后是各国出于威慑、防御、胁迫、间谍活动和政治信号传递等各种国家利益的驱动; 网络空间攻击的准入门槛低于动能领域,这意味着网络空间进攻行动的扩散实际上使各方实力更加均衡,国家行动体甚至网络犯罪组织都能通过网络活动挑战甚至破坏大国的活动和系统;近年来发生的重大网络安全事件凸显网络空间使常规能力有限的行为体能够跨越国界投射影响力,并挑战既有的序位体系;全球大国已将网络空间提升为大国竞争的核心领域,并将进攻性网络能力融入其战略理论,中等国家也不断增强自身能力,导致全球网络空间竞争日趋激烈,进攻性能力日益被视为国家治理中不可或缺的杠杆;上述演变不仅限于单个国家,还延伸至寻求调整其理论和结构的集体安全机构,例如北约已正式将网络空间视为作战域并开始将美国“前沿防御”理论集体版付诸实施;大国正在利用网络手段在武装攻击的门槛下实施胁迫,中等国家则利用进攻行性网络行动来弥补其常规军事力量的不足;各国越来越多地将进攻性网络选项融入到曾经以防御为主导的战略中,“持续交战”和“前沿防御”正在塑造各国网络安全战略主题词;基于欺骗和先发制人的行动日益被接受,进一步模糊了传统的升级阶梯,并使战略信号传递变得更加复杂。
文章称,全球进攻性网络行动的兴起模糊了和平与冲突的界限,并因引入不确定性、缩短决策周期以及增加误判风险而使威慑更加复杂;进攻性网络行动融合了匿名性、决策时间缩短以及对武力使用或武装攻击界限的模糊化,从而导致增加误判和事态升级的风险;网络空间威慑虽然并非唯一依赖于感知和不确定性的领域,但在归因存在争议且缺乏“红线”情况下,威慑行动更难有效实施;大多数国家网络活动处于“灰色地带”,使得国家和非国家行为体能够在不触发正式防御承诺的情况下开展入侵、虚假信息散布和低烈度破坏等活动;虽然迄今为止未发生局势升级螺旋式上升的情况,但反复发生的低烈度行动可能会引发针锋相对的报复,上述报复可能失控并侵蚀战略稳定,例如错误归因、信息不透明、危机中错误决策都可能造成局势升级;当前军民高度相互依存,大规模网络入侵事件很可能对公共福祉造成远超军事目标的危害;网络空间进攻性行动若不加以约束可能成为“系统性风险放大器”,使得网络空间极易遭受意外冲突。
文章称,网络空间进攻性行动的扩散速度超过了法律和政策的发展速度,加剧了战略上的模糊性;由于大多数国家很少宣布应对门槛或公开承认其进攻能力,该领域普遍存在“战略沉默”;由于缺乏明确的“红线”,各国对边界的解读可能存在差异,旨在从事间谍活动的行动可能被视为升级冲突的准备步骤;当前国际法律体系根植于《联合国宪章》和传统的武装冲突法,难以涵盖网络空间进攻性行动以及整个网络空间,造成了持续存在的法律灰色地带;联合国和各区域组织为明确负责任的行为所做的努力收效甚微,且成果不具约束力;归因和问责机制存在盲点,目前尚无国际论坛裁定国家责任或实施制裁;法律上不明确性成为一种结构脆弱性,各国在侵略、门槛或问责等概念上缺乏共识,上述差距既源于战略上的不信任反过来又加剧了这种不信任,使国际社会缺乏可靠的危机管理机制。
文章称,网络空间进攻性行动的加速扩散,使得促进负责任的国家行为成为维护战略稳定和降低风险的当务之急;国际社会正努力应对持续存在的模糊性、缺乏明确的界限以及局势迅速升级的风险,而务实的信任建议措施、增强的对话和能力建设措施则成为合作安全不可或缺的要素;信任建立措施可以在局势高度紧张时期发挥关键的缓解作用,例如通报重大网络安全事件、建立网络安全“热线”以及开展联合危机管理演习;军事对话必须适应网络空间的现实,利用可信的沟通渠道来促进相互理解、化解冲突和澄清意图,尤其是在危机时期;通过自愿性非约束性协议或正式条约,将负责任的国家行为规范纳入国际努力,可以强化相互预期,明确允许的行为,并减少网络空间行动模糊性;将上述原则转化为具体行动,需要建立能够弥合政治分歧并落实共同规范的全球合作机制。
文章指出六条全球合作建议,包括:一是在协调一致的法律框架和清晰的操作规范基础上开展合作;二是充分发挥区域组织的合作平台作用;三是利用1.5轨道外交连接正式谈判和非正式专家参与;四是通过投资于强大机构和广泛参与来促进合作;五是通过清晰的决策流程、定期的信息交流以及可监测的信任建立措施促进自愿性规范实践;六是保持合作的灵活性以迅速应对新威胁。
奇安网情局编译有关情况,供读者参考。
对进攻性网络空间行动的全球政策视角
一
介绍
过去十年,网络空间进攻性行动迅速扩张,重塑了国际安全格局。曾经仅限于少数几个大国的此类能力,如今已扩展到数十个国家以及一些非国家行为体,这反映出网络空间进攻能力在整个国际体系中日益普遍。这种扩散模糊了和平与冲突的界限,并因引入不确定性、缩短决策周期以及增加误判风险而使威慑更加复杂。
在地缘政治竞争日益激烈的当下,了解如何管控网络空间进攻能力的全球扩散对于维护战略稳定和防止网络空间危机升级至关重要。因此,本政策简报探讨各国如何在维护网络空间稳定和国际规范的同时,降低误判和升级的风险。本简报认为,提高透明度、加强法律和规范框架以及促进多方利益相关者的务实合作,有助于巩固网络空间稳定。本简报首先追溯了网络空间进攻行动的扩散路径,分析了升级动态,考察了政策和法律方面的不足,最后提出了全球合作建议。
二
全球范围内网络进攻性行动的兴起
到2019年,至少有40个国家具备发动网络攻击的能力,比2011年增加了四倍。这种扩散远远超出了最初的网络“强国”范围,其背后是各国出于威慑、防御、胁迫、间谍活动和政治信号传递等各种国家利益的驱动。
网络空间攻击的准入门槛低于动能领域,这意味着网络空间进攻行动的扩散实际上使各方实力更加均衡。伊朗或朝鲜等国家,甚至组织严密的勒索软件组织,都能对大国的活动和系统构成挑战,甚至造成破坏,其影响远超其传统手段。例如,朝鲜2017年的WannaCry勒索软件攻击瘫痪了欧洲的医疗和交通系统;伊朗2022年对阿尔巴尼亚政府网络的网络攻击导致阿尔巴尼亚政府暂时中止了与伊朗的外交关系。
同样,2021年SolarWinds供应链入侵事件,虽然被归咎于俄罗斯情报体系中一个相对较小的团体,却在没有实际军事冲突的情况下给美国造成了战略损失。这些案例凸显了网络空间如何使常规能力有限的行为体能够跨越国界投射影响力,并挑战既有的序位体系。此类行动的激增引发了关于其对国际安全系统性影响的更广泛的问题。
为了考察这种扩散在实践中的表现形式,有必要考察各大国如何将进攻性网络能力融入其战略理论。有的大国战略理论如今已将进攻性网络空间行动作为其大战略的支柱,并将网络空间提升为大国竞争的核心领域。弱势行为体能力的增强与大国投入的结合,使得网络空间成为一个竞争异常激烈的环境。在这种环境下,进攻性能力日益被视为国家治理中不可或缺的杠杆。这种演变不仅限于单个国家,也延伸至寻求调整其理论和结构的集体安全机构。
北约2016年后的改革体现了进攻性网络力量的扩散。在华沙峰会承认网络空间为作战领域后,北约于2017年在欧洲盟军最高司令部设立了网络空间作战中心(COC)。该中心于2023年达到初始作战能力,旨在提供全天候态势感知能力,其运作方式类似于美国的“持续交战”作战框架。
2018年北约布鲁塞尔峰会授权指挥官使用“盟国自愿提供的自主网络效应”,从而开始将美国“前沿防御”理论的集体版本付诸实施。该理论是一种主动防御策略,旨在从源头上发现并打击敌对网络活动,而不是被动地等待其入侵国家网络。这一理论是更广泛的“持续交战”作战理念的一部分,该理念强调与对手持续互动,通过持续接触来影响其行为并使其付出代价。其总体目标是在威胁入侵北约系统之前采取行动。
北约主要成员国已建立具备防御和进攻能力的专门机构,例如英国的国家网络部队和德国的网络与信息域军。然而,决策门槛和法律权限仍然不透明,而对可利用的零日漏洞(即攻击者在开发者安装补丁之前可以利用的未知软件缺陷)的竞争可能导致类似军备竞赛的行为。因此,较小的北约盟国可以通过例如公私合作的恶意软件工程伙伴关系等方式调整战略并投资于可扩展的进攻能力,尽管此类发展更多地受到联盟层面规范和自愿贡献的指导,而非正式的标准化协议。
在主要网络强国中,俄罗斯将破坏性恶意软件(例如传播范围远远超出最初目标的NotPetya行动)与黑客攻击和数据泄露活动相结合,在后者活动中,窃取的数据被有策略地发布以影响政治进程。这些活动通常与传统攻击相协调,以保持战略上的模糊性。
俄罗斯等大国日益表明,网络手段能够在不构成《联合国宪章》第五十一条所规定的“武装攻击”的门槛下,发挥胁迫作用。该条款承认国家固有的自卫权,从而使传统的威慑策略变得复杂。网络空间间谍活动在所有技术先进国家中由来已久,而且与传统间谍活动一样,不受国际法的约束。除了这些主要行为体之外,越来越多的中等规模国家也在效仿类似模式,根据自身区域情况调整进攻能力。
中等规模的行动者也呈现出类似的轨迹。伊朗利用网络空间进攻行动来弥补其常规军事力量的不足,威胁海湾地区的能源基础设施;印度2018年成立的国防网络局表明其采取了面向外部的姿态,旨在加强对周边地区以外的威慑;而朝鲜尽管资源严重受限,却通过勒索软件和政治攻击展现了其全球影响力。霍伊鲁尼萨等人的研究(《网络战和国家安全》)似乎再次印证了一种模式:伊朗、以色列和朝鲜等国家——据称在“震网”行动的背景下也包括美国——越来越多地将进攻性网络选项融入到曾经以防御为主导的战略中。这一趋势促成了此类做法的扩散和常态化。对各国网络安全战略的比较调查也同样凸显了各国政府如何经常借鉴美国、英国、澳大利亚和新加坡等被视为领先国家的措辞和结构选择。
例如,法国早在2011年的国家战略中就明确提出要成为“网络防御世界强国”,并跻身“主要国家核心圈”。德国在2012年公开确认其拥有进攻性网络能力,但并未提供任何关于其使用的信息。这种“复制粘贴”政策概念的趋势表明,理论语言正在更广泛地传播,诸如“持续交战”和“前沿防御”等前瞻性作战姿态的呼应正在塑造战略词汇。基于欺骗和先发制人的行动日益被接受,进一步模糊了传统的升级阶梯,并使战略信号传递变得更加复杂。
在东南亚,新兴的军事网络部队和初步的区域协调造成了以进攻为主导的安全困境,这加深了不信任,并增加了网络空间相关危机意外升级的可能性。
美国外交关系委员会的“网络行动追踪器”显示,所有地区的网络事件都在稳步上升,涵盖间谍活动、破坏活动、数据销毁和出于政治动机的干扰。这种趋势凸显了对话和透明度对于降低危机升级风险的重要性。
三
误判和升级的风险
网络空间进攻行动融合了匿名性、决策时间缩短以及对武力使用或武装攻击界限的模糊化。这些特点可能会增加误判和事态升级的风险,因为网络空间的威慑虽然并非唯一依赖于感知和不确定性的领域,但在归因存在争议且“红线”很少明确划定的情况下,威慑行动更难有效实施。
根据近期研究,大多数国家活动发生在所谓的“灰色地带”——一个介于和平与战争之间的竞争领域,在这个领域内,胁迫行为故意保持模糊性,且低于《联合国宪章》第五十一条规定的“武装攻击”的门槛。这使得国家和非国家行为体能够在不触发正式防御承诺的情况下进行入侵、虚假信息散布和低烈度破坏活动。虽然迄今为止局势升级螺旋式上升的情况仍然罕见,但反复发生的低烈度行动可能会引发针锋相对的报复,在某些情况下,这种报复可能会失控并侵蚀战略稳定。
归因的不确定性可能会使国家应对措施复杂化:混淆视听、代理人以及司法管辖权的转移都可能误导报复行动,削弱威慑力。虽然因错误归因而导致的局势升级并不常见,但危机中时间紧迫可能会迫使领导人过早采取行动,从而导致偶发但严重的冲突。
2010年的“震网”事件凸显了隐蔽网络空间行动固有的风险:其最初归因的模糊性以及意外的全球传播加剧了人们对局势升级的担忧,并促使许多国家加快发展进攻性网络理论和能力。后续的取证工作表明,该行动的目标非常明确:破坏伊朗的铀浓缩离心机。该事件表明,当网络空间行动保密时,其他国家很容易误解其目的。这种误解会加剧竞争,尤其是在军事理论将秘密植入网络代码的行为解读为准备未来攻击的情况下。
尽管这些案例凸显了信息不透明如何可能加剧事态升级,但有研究表明,有限的信号传递和偶尔的约束机制可以缓解事态升级的风险,即便技术能力不断增强——尽管信息不透明仍然占据主导地位。
尽管存在一定的约束,但由于缺乏普遍接受的网络攻击或武力使用定义,以及相关法律法规的不透明性,每个行为体都会根据自身的战略视角来解读其意图和合法性。军民之间高度的相互依存关系,使得大规模入侵事件很可能对公共福祉造成远超军事目标的危害。北约评估指出,军队越来越依赖民用网络,例如后勤、能源和通信网络,而这些网络的漏洞很容易跨领域扩散。因此,针对军事指挥控制系统的网络攻击可能会引发医院、交通或金融系统的瘫痪,这凸显了社会韧性与军事战备密不可分的重要性。
这些全球性挑战也出现在区域层面。对拉丁美洲的比较研究表明,薄弱的立法监督和不透明的情报权限会加剧事态升级的风险,尤其是在进攻性网络部队缺乏文职控制的情况下。因此,学者们建议开展能力建设活动,并实施以快速沟通和更清晰的法律框架为重点的信任建立措施。
总之,若不加以约束,网络空间进攻性行动可能成为“系统性风险放大器”。模糊性和共同规范的缓慢制订使得网络空间极易遭受意外冲突。降低这种风险需要务实地建立信任、设立热线、进行事件通报,并重启旨在提高透明度和相互克制的对话。然而,尽管这些行动风险日益受到重视,但旨在规范国家在网络空间行为的法律和政策框架却未能跟上步伐。
四
政策盲点和法律模糊性
网络空间进攻性行动的扩散速度超过了法律和政策的发展速度,加剧了战略上的模糊性。由于大多数国家很少宣布应对阈值或公开承认其进攻能力,该领域普遍存在战略沉默。少数国家,特别是几个“五眼联盟”成员国,已开始有限地公开披露其进攻能力,但不确定性依然存在。由于缺乏明确的“红线”,各国对边界的解读可能存在差异,尽管不常见,但旨在从事间谍活动的行动可能被视为升级冲突的准备步骤。
国际法律体系难以适应网络环境。现行法律根植于《联合国宪章》和传统的武装冲突法,难以涵盖网络空间进攻性行动以及整个网络空间。许多行动并未达到“武装攻击”的门槛,其涉及的是破坏或数据窃取,而非实际的侵略行为。这造成了持续存在的法律灰色地带。在这种法律真空下,俄罗斯等国不断挑战混合战争的极限,并利用对手在特定行为是否应采取强力回应方面的犹豫不决。从医院到卫星服务等各种关键基础设施共享同一网络,因此即使是目标明确的行动也可能造成平民伤亡。
为明确负责任的行为所做的努力收效甚微,且成果不具约束力。联合国政府专家组和不限成员名额工作组(OEWG)发布了自愿性规范,但大国之间的竞争和优先事项的分歧阻碍了具有约束力的条约的达成。因此,辩论分裂为两派:一派敦促全面落实现有规范,另一派则要求制定新的法律规则,导致各种理论杂乱无章,缺乏普遍执行。欧洲安全与合作组织(欧安组织)和东南亚国家联盟(东盟)等区域机构正在试点信任建立措施,但尽管欧安组织成员国几乎普遍接受这些措施,东盟和其他地区的参与度和授权仍然参差不齐。
归因和问责机制存在更多盲点。尽管将重大攻击归咎于特定肇事者的情况日益普遍,但目前尚无国际论坛裁定国家责任或实施制裁。在点名批评失效的情况下,报复措施仍然缺乏系统性。一项在中等强国中逐渐获得支持的提议是设立一个联合国网络事件仲裁小组,但该小组仍处于概念阶段,尚需获得广泛的政治支持才能裁定责任并确定补救措施。
法律上的不明确性是一种结构性脆弱性。各国在侵略、门槛或问责等概念上缺乏共识,比较研究表明,这些差距既源于战略上的不信任,又加剧了这种不信任,使国际社会缺乏可靠的危机管理机制。因此,汇聚形成“行动规则”、明确归因程序以及加强信任措施对于减少不稳定和预防未来危机仍然至关重要。基于这些差距,下一步合乎逻辑的做法是确定各国如何才能从识别脆弱性转向促进负责任的行为以减轻这些脆弱性。
五
迈向负责任的国家行为
网络空间进攻性行动的加速扩散,使得促进负责任的国家行为成为维护战略稳定和降低风险的当务之急。国际社会正努力应对持续存在的模糊性、缺乏明确的界限以及局势迅速升级的风险,而务实的信任建议措施、增强的对话和能力建设措施则成为合作安全不可或缺的要素。
近期多边讨论,例如开放式工作组第十届实质性会议,强调网络威胁具有跨国性,需要采取集体而非单边应对措施。各代表团强调,能力建设、知识共享和事件管理等合作措施对于降低风险至关重要。此外,学术研究也强调了全社会参与方法的重要性,包括区域知识转移、公私合作以及与技术社区的互动,这些都是构建具有韧性的网络安全能力的关键。
在实践中应用这些原则,实现负责任的国家行为的具体步骤包括落实信任建立措施,例如重大网络安全事件通报、建立网络安全“热线”以及开展联合危机管理演习,这些措施可以在局势高度紧张时期发挥关键的缓解作用。建立涵盖外交、技术和业务代表的联络点(POC)名录有助于快速沟通并明确意图。然而,开放式工作组第十届会议指出,信任建立措施的实施“较为低调”,116个国家的联络点名录启用情况不一。因此,联络点机制实施不力以及信息交换门槛不一致凸显了制定更清晰的指导方针和定期开展情景演习以检验和完善相关程序的必要性。
军事对话必须适应网络空间的现实,利用可信的沟通渠道来促进相互理解、化解冲突和澄清意图,尤其是在危机时期。包括欧安组织、东盟和非洲联盟在内的区域组织可以作为1.5轨和2轨对话的召集者,使战略竞争对手能够分享最佳实践、展现克制并建立合作习惯。这些多边机制对于交流经验教训、阐明新兴威胁以及提升网络韧性至关重要。
通过自愿性非约束性协议,或最终通过正式条约,将负责任的国家行为规范纳入国际努力,可以强化相互预期,明确允许的行为,并减少网络空间行动中的模糊性。虽然对于具有约束力的法律机制的共识仍然模糊不清,但在自愿性规范制定和信任建立措施实施方面取得的渐进进展,对于减少误判和支持合作危机管理至关重要。最终,正是对话、定期信息交流和相互克制的制度化,才能使各国减轻进攻性网络空间行动带来的风险,并维持一个更加稳定和可预测的国际网络环境。将这些原则转化为具体行动,需要建立能够弥合政治分歧并落实共同规范的全球合作机制。
六
关于全球合作的建议
有效的全球合作对于缓解网络空间攻击行动日益扩散所带来的风险仍然至关重要。任何单一国家、部门或地区都无法独自应对跨境网络威胁的复杂性;因此,集体安全需要协调一致的多方利益相关者应对措施,将政府、产业界、学术界和民间社会联系起来。具备1.5轨道机制召集能力、能够连接官方和非官方渠道的机构,在将政策建议转化为切实可行的解决方案方面具有得天独厚的优势。它们可以通过举办与会从业人员感兴趣的主题对话活动来实现这一目标,而这些从业人员随后可以将获得的见解带回国家政策制定过程中。
首先,合作应以协调一致的法律框架和清晰的操作规范为基础。在开放式工作组第十届实质性会议上,各代表团强调能力建设和知识共享对于应对网络威胁至关重要,同时,关于应优先实施已达成共识的规范还是制定新规范的争论仍在继续。法律趋同方面的进展仍然有限,凸显了将自愿承诺转化为具体、可执行标准的挑战。
其次,区域组织可以发挥合作平台的作用。欧安组织、东盟和非盟已经帮助其成员国交流最佳实践,试点信任建立措施,并在战略竞争对手之间培养合作习惯。例如,欧安组织于2016年建立了网络安全联络点目录,以改善事件沟通;东盟则在其国防部长扩大会议框架下试点开展了联合网络能力建设演习。
他们的实际项目涵盖了从联合危机模拟到共享标准化事件通知模板等一系列活动,这些模板以“结构化威胁信息表达/可信自动化指标信息交换”(STIX/TAXII)等通用数据格式传输。这些开放的技术标准能够实现组织网络安全系统之间网络威胁数据的自动化和机器可读交换,从而在具备此类系统的情况下提高态势感知和协调能力。这表明,采取适度的、针对特定区域的措施可以降低升级风险并增强集体意识。促进区域对话、设计试点项目以及确保经验教训在各区域间共享至关重要。
第三,1.5轨道外交(汇集政府官员和独立专家的半官方对话)仍然是正式谈判和非正式专家参与之间至关重要的桥梁。当条约谈判陷入僵局时,结合外交、技术和学术视角的圆桌会议和情景演练有助于识别新兴风险,改进预先通报方法,并建立信任。将这些平台扩展到服务不足的地区,将确保相关见解能够反馈到官方论坛和危机管理渠道。
第四,旨在构建未来能力的合作必须投资于强大的组织和广泛的参与。扩大培训项目和促进发展中国家之间的知识共享(南南合作)可以增加能够在不同环境下实践网络规范和事件响应程序的从业人员数量。连接新兴和成熟网络强国的进阶课程和从业人员网络应包含多元视角,以确保政策解决方案具有全球适用性。
第五,将自愿性规范付诸实践需要清晰的决策流程、定期的信息交流以及可监测的信任建立措施。比较各国做法可以突出实施差距,并支持共同设计适用于新兴技术的新兴信任建立措施,例如抗量子加密和人工智能入侵检测。
最后,合作必须保持足够的灵活性,以便迅速应对新的威胁。小型工作组和临时联盟可以将各国政府和非国家行为体聚集在一起,共同应对新出现的风险和快速的技术变革。召开短期会议、委托开展未来风险研究以及在正式谈判前对政策理念进行实践检验,将有助于确保合作进展顺利进行。
简而言之,防止网络空间进攻行动造成不稳定的最佳途径是遵循建立在共同理解与合作基础上的战略。这包括就国际法和自愿性规范的适用达成更清晰的共识,开展区域试点项目,定期进行1.5轨对话,在各领域开展广泛的能力建设,以及及时采纳已商定的做法。这些措施共同有助于构建合作稳定的国际网络环境。
作者简介
加兹门德·胡斯卡伊:日内瓦安全政策中心(GCSP)全球网络与安全政策项目负责人,该项目致力于通过高管培训、外交对话和政策研究促进国际合作。曾领导联合国安全信息协调工作,并曾指导瑞典武装部队的网络情报工作。
声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
