美国网络战政策变迁及其启示
2015-03-26张克成
张克成
(吉林大学行政学院,吉林 长春130012)
信息时代,影响国家安全的因素日益增多,网络信息安全已经成为国家权力的重要组成部分。约瑟夫·奈指出:“信息作用的上升,对传统的从资源的角度界定国家权力的做法产生了影响。在18世纪,欧洲均势体系中,领土、人口和农业是步兵的基础,因而也是至关重要的权力资源。在19世纪,工业能力成为这种权力资源。而在21世纪,被笼统称为信息技术的东西很可能是最为重要的权力资源。”[1]加之信息与网络所具有的虚拟性、不可控性和跨国性,网络与信息对国家安全的影响日益明显。
一、美国网络战思想的提出
信息技术在军事领域应用的逐渐深入,直接推动了军事技术的革命,“军事技术革命直接导致武器装备的革命,战争的需求,科技的带动,使武器装备不断出现巨大的飞跃。新型武器装备投入战场后,就会对传统的战术、编制和战法提出挑战。”[2]于是,信息时代战争的新形式——网络战——应运而生。
1988年美国康奈尔大学计算机系研究生罗伯特·莫里斯制造出了震惊世界的蠕虫病毒,该病毒共造成6000多所大学的计算机和8500部军用计算机瘫痪,直接导致国防部6000部计算机无法正常运转,造成的损失达到上亿美元。这次计算机病毒事件向人们展示了网络战争的基本方式和战争效能,使人们认识到网络战争造成损失的严重性。
据统计:“美国被入侵的政府网站涵盖了国防部、国务院、能源部、国土安全部等多个政府部门,非法入侵事件每年能达到几万起,其中国防部最为严重,仅2005年就达1500多次,美国海军陆战队受网络攻击的频率甚至可以用毫秒计算”[3],2010年6月5日,美国国家安全局局长亚历山大指出,五角大楼系统每小时遭到25万次外来探测,一天多达600万次。[4]如此众多的网络攻击事件,使美国进一步认识到网络信息安全的重要性和利用计算机作为网络攻击作战工具的便捷性,网络战思想由此产生。
1998年10月美国参谋战联席会议发布了《联合信息行动条令》,提出“实施信息战中的网络攻击”概念。2002年美国前总统布什签署了《国家安全第16号》命令,指出美国要根据当前网络发展现状制定网络战战略,同年,美国首次提出以网络为中心的新型作战模式。2005年3月美国国防部公布了《国防战略报告》将网络空间和海、陆、空、太空定义为维持美国安全的五大战略空间,并据此提出了网络战的概念。所谓的“网络战”主要是指:“为干扰、破坏敌方网络信息系统的使用效能并保证己方网络信息系统正常运行而采取的综合性网络攻防行动。”[5]从这个定义可以看出,美国的网络战是通过运用网络技术能力达成甚至强化干扰、破坏信息安全基础设施的国家军事行动,使其在短时间内瘫痪,进而丧失联络和指挥功能,为实施精确定点打击创造条件。
根据网络战的作战强度和进攻等级,美国的网络战又可以划分为三个等级:“第一个等级是通过无线电干扰、破坏甚至控制敌方的军用电子系统;第二个等级是通过发动小规模的互联网攻击,来策应、支援常规的战争行动,或者进行警告;第三个等级是全面的网络战争。目前大量的网络系统存在安全上的弱点,这非常容易被敌方利用,从而攻入关键的系统,例如控制电厂、精炼厂、民用通信的网络以及金融机构和其他基础设施的控制网络。”[6]
尽管美国提出网络战已20年有余,网络战的作用和影响也被美国政府和社会逐渐认同,但是一些专家和学者在理论上对网络战却持不同的态度。目前关于网络战的争论形成了典型的二元对立特征,一些专家认为网络战是未来战争的主要形式。美国白宫网络安全顾问理查德·A·克拉克针对美国的网络安全现状说到:“美国的银行系统和电力网络极易受到网络攻击。”另一派学者认为网络战的作用并没有人们想象中的那样明显。乔治敦大学莫罗佐夫教授认为“网络核弹”和“网络战争”的手法完全就是科学意义上幻想,并没有实质上的军事意义。
2009年受美国空军委托,兰德公司发布了一份关于网络战的研究报告。在这份报告中,兰德公司的专家们认为网络战的最后结果是有限的,并不是全方位的全面战争,主要表现在以下三个方面[7]:
第一,网络战的攻击对象和攻击范围有限,效果不明显。该报告认为,网络战攻击对象的必要前提就是对方的计算机系统存在安全隐患,这种隐患可以是计算系统的“后门”程序、存在的漏洞以及缺陷。几乎所有的网络黑客攻击针对的都是上述问题。但是,一旦对方计算机系统遭受攻击之后,就能马上弥补该漏洞的缺陷,导致网络攻击的效果大打折扣。即便是在最好的状况下,对方计算机系统受到了网络攻击,也只是暂时性的迷惑对方军事系统的操作人员,不具有长久性。美国自身的军事指挥系统也依赖计算机体系,很难保障己方计算机系统及计算机网络不存在任何安全漏洞,如果贸然发动网络攻击,那么很有可能引火烧身,导致己方的计算机系统及其网络受到攻击。因此,网络战的效果是有限的。
第二,网络对战争很难起到决定性作用。报告认为,到目前为止,并没有发生一场全球意义上的网络战争,也没有人知道网络战的破坏性究竟能达到何种程度,美国的损失也就几亿美元。进一步来讲,即便把对方的民间基础设施作为网络战的攻击对象,并把军事攻击结合起来对地方进行军事打击,但是摧毁的只是计算机系统和计算机本身,对方的军事人员及有生力量仍旧存在,仍可以发动实在空间的战争,因此,网络很难对战争起到决定性作用。
第三,报告认为美国政府和美国空军把网络战作为发展的优先方向是错误的,这种进攻方式只能起到骚扰作用,不能彻底让对方放弃武力。而对方也有能力采用这种办法对美国进行攻击。但是网络战这种方式不是不可以发展,但是不能作为优先方向,需要适当的投入和引导。当美国真正遭受到大规模的网络攻击时,对其进行适当的警告是可以的。因此,在目前的态势下,着重发展防御性的网络政策才是重点,认清网络防御的目标、体系机构、政策和行动。
二、美国网络战政策的变迁
自1994年西方七国首长会议以来,美国利用其在网络信息优势,以“网络战”的形式逐步推行“信息霸权”,以维护其在全球诸领域的主导地位。其网络战的发展主要经历以下三个阶段:
(一)防御性网络战政策
1992年2月,美国前总统布什在国情咨文中提出信息高速公路建设的计划,计划用20年的时间建设美国国家信息基础结构,并把其作为美国支持和发展的重点产业,目的是建立以因特网为雏形的“信息高速公路”,使所有的美国人更加方便的获取信息,自此开始,美国一直处于世界网络战的前沿。
2000年,克林顿总统颁布《信息系统国家保护计划》,在这个文件中强调了对信息基础设施保护的重要性,并详细列举了有可能对网络信息基础设施构成威胁的六大因素:主权国家、经济竞争者、网络犯罪、网络恐怖主义、黑客和系统内部人员。在这个报告中,把国家的网络安全战略视为国家安全战略的重要组成部分。按照这个要求,对新建和正在运行的网络战信息系统实施风险评估和等级认证,“针对信息系统的安全类别和等级,实行等级保护,并定期通过安全测试和风险评估,由联邦机构的高级官员基于安全控制的有效性和残余风险值决定是否授权该信息系统投入运行。这些风险评的方法,逐渐成为全球信息系统安全评估的模式。”[8]从这可以看出,在克林顿政府时代不是强调网络攻击能力的主动提升,而是强调对网络攻击的被动防御。因此,从这个角度来看,克林顿政府时期网络战政策的重点在于“全面防御”。
(二)攻防结合的网络战政策
小布什上台以后,美国国防部网站被攻击的次数明显上升,9·11事件以后,恐怖分子把美国的计算机系统作为攻击目标,对关键的政府部门的网络攻击有增无减。在此背景下,2003年2月14日小布什政府公布了《国家网络安全战略》的报告,在这个报告中提出了三个具体的网络战的目标,一是要切实减少针对美国关键的网络信息基础设施的攻击;二是要降低美国对网络攻击反应的脆弱性;三是要确保美国在遭受网络攻击时尽可能地在最短时间内恢复,并使这种攻击达到最小化。这份报告显示了小布什政府对网络安全的忠实和担心。2008年小布什允许美军主动发起网络战,同时还赋予国防部更大的网络战反制权,要求美军具备进入任何公开或者封闭的计算机系统的能力,以隐蔽或者窃取信息的形式潜伏在对方的计算机内部,逐渐提升美军对计算机网络战武器的攻击能力。“在软杀伤网络战武器方面,美军已经研制出2000多种计算机病毒武器,如‘蠕虫’程序、‘特洛伊木马’程序、‘逻辑炸弹’、‘陷阱门’等。在硬杀伤网络战武器方面,美国正在发展或已开发出电磁脉冲弹、次声波武器、激光反卫星武器、动能拦截弹和高功率微波武器,可对别国网络的物理载体进行攻击。”[9]除此之外,小布什政府还积极组建网络“黑客部队”,该部队随时可以发动针对任何国家的网络攻击,破坏他国的军队指挥或者银行系统,使其瘫痪,进而对其实行控制。在小布什政府执政初期,承接了克林政府对网络战的态度与做法,继续强化军队的网络攻击能力和网络攻击方式,由原来单纯的网络防御政策转向了攻防兼备的网络战政策。
(三)进攻性网络战政策
奥巴马上台以后,美国所面临的网络攻击数量和攻击频率并没有减少,美国国务院承认有兆兆字节的信息因遭受网络攻击而丢失,“国防部丢失的信息等同于国会图书馆纸质文件、图书所载信息的2倍”[10],国防部网络所遭受的攻击每天也以千次来计算,网络存在着前所未有的完全隐患。
在此状况下,2009年3月奥巴马政府针对小布什时期提出的国家网络安全综合倡议进行了评估,发布了《国家网络综合安全倡议:法律授权和政策考虑》的评估报告,该报告详细分析了信息化时代网络战的法律与政策问题,认为美国政府要高度关注针对网络信息关键基础设施的攻击,提升针对这些设施的防御能力。“保护国防部太空和网络空间等设施在内的关键基础设施,增强其大规模杀伤性武器、太空和网络空间的攻击能力,使侵略者必须对其行为负责,并使其无法做到在新领域内部被发现或使用新代理人。”[11]在此背景下,奥巴马政府削减了对传统武器的财政投入,增加了网络攻击武器的投入,并于2009年6月23日成立了“网站司令部”,2010年,网络战正式成为美国空军司令部的教学科目。2013年,美国表示将新增40支网络战部队,其中13支队伍的任务就是实施网络攻击。根据对美国防务专家乔尔·哈丁的评估,“目前美军共有3000-5000名信息战专家,5万-7万名士兵涉足网络战。如果加上原有的电子战人员,美军的网战部队人数应越过 8 万人。”[12]
众所周知,美国一直谋求掌控全球网络空间发展治理和安全规则机制的话语权。到目前为止,全球大部分互联网资源和关键基础设施都由美国掌控,全球13台根服务器,有10台在美国,美国还拥有包括IP地址分配等诸多源头服务的控制权,任何国家和地区的互联网支干线的通信,都必须经过美国的互联网高速公路的主干线。[13]美国利用上述优势,企图形成全球网络控制体系,进一步巩固其网络空间霸权,推广其普世价值的目的昭然若揭。
三、美国网络战政策对中国的启示
美国网络战政策对中国的借鉴意义是不言而喻的,据中国互联网信息中心(CNNIC)的统计,至2013年12月,中国网民数量达到6.18亿,比2012年底增加5358万人,网民人数从2008年起稳居世界第一位,互联网普及率达到45.8%[14],中国已成为世界第一网络大国,特别是在“棱镜门”事件爆发后,如何维护网络信息安全,适应大数据时代的网络治理,实现网络信息安全治理的现代化,“避免中美间的网络军备竞赛和‘自我预言’的大国悲剧”已成为亟待需要解决的问题。[15]
首先,重视网络信息安全产业。2012年,信息安全产业规模达到216.40亿元,比2011年增长20.9%。预计2015年,中国信息安全产业规模将达到385.59亿元,未来三年的年均复合增长率为21.2%。[16]在市场需求趋势方面,网络信息安全行业发展的核心驱动力是“问题就是机会”,目前全球网络威胁有增无减,网络罪犯愈发趋于专业化,手段愈发多样化,行为愈发组织化,目的愈发商业化,造成的损失也随着范围的扩散而快速增多。面对此形势,网络信息安全成了人们的迫切需求。因此,把网络信息安全战略提升至国家安全或者网络战争的高度,“要加快制定中国的网络信息安全战略,既要包括战略目标的清晰、组织机构的高效、专业人员的高技能等,又要有具体的实施步骤、部门的配合、信息资源的共享和跨国合作,”[17]把网络信息安全战略提高到国家安全战略的高度,维护网络信息安全。
其次,发展网络信息技术,提高防御能力。从目前中国信息产业的格局来看,中国基本上处于世界网络信息技术产业链的上游,核心技术对国外的依赖较为严重,存在着所谓的“三大黑洞”:“一是用外国制造的芯片,二是用外国的操作系统和数据管理系统;三是用外国的网管软件。”[18]为此要加大对网络信息安全产业的投入,支持计算机芯片、操作系统和数据库管理和网管软件的研发,缩小中国与世界先进国家的网络信息安全技术的差距,在自身的网络安全体系以及网络威胁出现后,要主动出击,强化我国网络蓝军的网络作战能力,提高网络信息安全的防御能力。
再次,参与网络空间规则制订,提高网络空间话语权。网络的无国界性决定了网络信息安全必须通过国际合作和紧密配合才能有效解决。中国应携手其他国家共同构建促进全球平等的国际互联网新秩序,参与网络高端技术标准的制定工作,提高对网络信息安全的国际法律法规的影响力,从立法层面维护中国网络信息安全。正如国务院新闻办发表的《中国互联网状况》白皮书所言:“中国主张发挥联合国在国际互联网管理中的作用。支持建立一个在联合国框架下的、全球范围内经过民主程序产生的、权威的、公正的互联网国际管理机构。”[19]
[1] (美)约瑟夫·奈.理解国际冲突:历史与理论(第七版)[M].张小明,译.上海:上海世纪出版集团,2009:305.
[2] 张召忠.怎样才能打赢信息化战争[M].北京:世界知识出版社,2004:105.
[3,5] 倪海宁.美军“网络战”理论和实践[J].国际信息资料,2008(7):14.
[4] 中国新闻网.美网军司令:黑客每天刺探五角大楼600万次[EB/OL].[2010-06-05].环球网:http://world.huanqiu.com/roll/2010-06/843765.html.[2014-09-11].
[6,7] 佚名.美网军发展致命进攻能力[EB/OL][2009-02-20].珠海市国家保密局:http://www.zhbmj.gov.cn/zhxx/rdgz/200903/t20090331_77818.html.[2014-09-28].
[8] 赵衍.国家信息安全战略中的互联网因素—基于美国的实证研究[D].上海:上海外国语大学,2011:35-37.
[9] 陈宝国.美国国家网络安全战略解析[J].信息网络安全,2010(6):66.
[10] 程群.奥巴马政府的网络安全战略分析[J].现代国际关系,2010(1):8.
[11] 唐笑虹.2010年世界重要安全文件汇编[M].北京:时事出版社,2011:99.
[12] 赵衍.国家信息安全战略中的互联网因素—基于美国的实证研究[D].上海:上海外国语大学,2011:36.
[13] 一娴.斯诺登事件与中美网络博弈[EB/OL].[2013-07-07].爱思想:http://www.aisixiang.com/data/65455.html.[2014-08-07].
[14] 佚名.第33次中国互联网络发展统计报告[EB/OL].[2014-03-05].中国互联网络信息中心:http://www.cnnic.net.cn/hlwfzyj/hlwxzbg/hlwtjbg/201403/t20140305_46240.htm.[2014-07-06].
[15] 颜琳,陈侠.美国网络安全逻辑与中国防御性网络安全战略的建构[J].湖南师范大学社会科学学报,2014(4):34.
[16] 赛迪网.2012年信息安全产业发展回顾与展望[EB/OL].[2013-02-04].中国计算机安全:http://www.infosec.org.cn/news/news_view.php?newsid=16578.[2014-09-03].
[17] 唐小松.加拿大网络安全战略评析[J].国际问题研究,2014(3):103.
[18] 蔡翠红.美国国家信息安全战略[M].上海:学林出版社,2009:242.
[19] 阚道远.美国“网络自由”战略评析[J].现代国际关系,2011(8):23.