遏制网络战争难上加难

    网络时代的安全威胁也许和以前大为不同，也许从来不会有固定的模式。这意味着，网络时代的战略威慑不再具有一劳永逸的方式。

    各国对“网络珍珠港”的担忧最早出现在20世纪90年代。过去20年来，决策者一直担心黑客可能炸毁油管、污染水源、开启泄洪闸、袭击空中交通控制系统以制造撞机事件。

    这样的灾难尚未发生，但其可能性无法排除。2014年，黑客成功毁坏了德国一座钢铁厂的高炉。因此，网络安全问题的核心再简单不过：我们能否遏制这样的破坏行动？

    有人说，“遏制”在虚拟世界并不一定有效，因为威胁来源和涉及的众多国家与非国家行为体，身份难以确定。我们往往无法搞清，谁用谁的资产搞破坏？这种行为要持续多久？

    跟踪袭击来源的确很难。反观核材料追踪技术，虽然其远非完美，但当下只有9个国家合法拥有核武器；各国核材料的同位素标识为外界掌握；非国家参与者的进入壁垒很高。

    网络世界则全然不同。区区几行代码，就可以成为任何国家与非国家行为体以小博大的利器。有经验的攻击者，往往将“大本营”隐藏在若干远程服务器的虚假地址之后。

    当下，各国情报人员虽然可以破解目标在众多服务器之间的“跳转”（hops）策略，但这需要时间。比方说，外界曾普遍认为，2014年，从摩根大通窃取7600万客户地址的嫌犯来自俄罗斯，但此后一年多，美国司法部才公开承认，住在莫斯科和特拉维夫的两名以色列人和一名美国人领导的网络犯罪组织，才是真正的罪魁祸首。

    我们也要看到，及时、高质量的威胁追踪既困难又昂贵，但并不是不可能的。不仅政府在提高这方面的能力，很多私营企业也加入进来，降低了政府被迫公开敏感来源的成本。其实，类似的很多情况都只是程度问题——技术的发展提高了跟踪取证能力，威慑的强度也随之增加。

    此外，分析人士在评估网络威胁时，不应局限于传统的惩戒和防卫，也需要关注以经济联系和既定规范对其加以震慑。

    经济联系可以改变某些可能成为潜在对手的大国的成本-效益考量。例如，袭击美国电网可能导致经济大国经济受损，但这对朝鲜不起作用——后者与全球经济的关系非常微弱。同理，经济联系对非国家参与者能产生多大影响，目前也不清楚。有些参与者可能像寄生虫那样，“宿主”被袭击便会受影响，还有些可能根本不在乎这样的后果。

    从规范的角度说，主要国家一致认为，网络战争应受武装冲突规则的约束，重点之一就是区分军事和民用目标。联合国派出的一个专家小组更是建议，将民用目标完全排除在网络攻击之外，这一规范在不久前举行的20国集团峰会上获得认可。

    迄今为止，各国尚未更多地发动网络攻击的原因，恰恰是无法确定其对平民的损害程度，后果难以预料。这些潜在规范遏制了美国在打击“伊斯兰国”时祭出网络武器；俄罗斯在对格鲁吉亚和乌克兰实施的军事行动中，网络战手段的应用也相当有限。

    网络威胁的内在结构不断变化，且受到技术进步影响，创新速度远超此前的核武器。比如，改善追踪取证技术就可以提高惩罚机制的作用，而改善加密技术有助于强化防卫能力。因此，目前进攻方相对于防御方的优势，很可能随时间流逝而逐渐发生变化。

    与核时代不同，就网络时代的威慑而言，并不存在一劳永逸的方法。与之相对应，网络时代的威胁也许和从前大不同，也许从来不会有固定的模式。

    （作者是哈佛大学教授，著名国际关系学者）

    ▋新加坡《联合早报》

［美］约瑟夫·奈