李 艳

北京电子科技学院，北京市 100070

引言

2020 年3 月11 日，美国网络空间日光浴委员发布了名为《明日警示》的研究报告，提出了帮助美国应对当前网络安全战略困境的战略新路径——分层网络威慑战略。 分层网络威慑战略涵盖了塑造行为、获益拒止和施加成本三个战略威慑层次，旨在通过调整对手攻击美国的成本收益预期，确保美国在网络空间的核心国家利益。 在结合传统威慑机制的基础上，分层威慑战略聚焦于拒止型威慑并融合了“向前防御”的概念，提出了六项政策支柱及一揽子政策建议作为支撑。 这些政策支柱和政策建议的提出，切中了美国当前网络安全治理的痛点难题，在一定程度上回应了在理论和实践层面困扰美国已久的危而不慑、危而难慑等网络威慑战略实施困境，对我国分析研判美国网络威慑战略的走向具有重大的研究价值。

1 分层网络威慑战略提出的现实背景

1.1 现有的政府组织架构难以适应网络安全治理需求

由于网络空间治理议题兼具技术属性和政策属性，严峻的网络安全形势和动态快速迭代的技术更新决定了政府组织结构需及时进行调整才能有效达成网络空间的治理目标。 然而美国现有的政府组织结构并未按照网络空间国家防御所需的反应速度和灵活度进行设计，已严重影响了网络防御行动的效率。 僵化的官僚机制、复杂过时的法律规则严重滞后于网络技术的发展，难以有效回应复杂的网络安全治理需求。 此外，资源投入不足和专业人才缺失也成为美国联邦政府网络安全能力建设的掣肘因素。

1.2 碎片化的网络生态体系难以有效抵御网络风险

网络安全生态的维系有赖于公共和私营部门的互信与协调。 一方面，由于绝大部分驱动美国经济发展、技术创新和军事行动支撑的关键基础设施都为私营部门运营和实施，单靠政府单方行动难以有效防御并减少重大网络攻击的影响。另一方面，为弥合市场力量的不足，美国政府还必须探索立法、规则、行政行动及公私投资以提升网络安全生态的安全基线。 然而当前美国无论是在政府部门还是私营部门都存在反应迟缓、缺乏协作等问题。 由于在共同利益和风险管理责任方面的理解存在认知差异，美国企业往往不愿意让政府使用私人的商业网络；而出于道德风险的考量，联邦政府也极少在州和地方政府层面的商业基础设施或关键系统方面进行网络安全投资。 系统有效的公私部门协同合作机制的缺失使当前美国的网络生态体系身陷碎片化困境，难以形成整体性治理合力。

1.3 危而不慑、危而难慑的战略实施困境

作为美国第四波威慑理论研究的重点，网络威慑战略源自冷战时期的核威慑理论，由于威慑信号传递机制、网络威胁的归因溯源、网络空间国际法则适用、威慑效果评估等现实难题无法有效解决[1]，导致其在战略实施过程中危而不慑、危而难慑，威慑力发挥的效度和信度大打折扣。虽然美国已经综合运用了包括刑事指控、经济制裁以及发展网络和非网络的军事能力多重权力工具手段执行更具进攻性的跨域威慑，但是针对美国的网络攻击仍在持续增长。 当前美国面临的最主要的网络安全威胁并不是业内专家反复提及的“数字珍珠港”事件，而是竞争对手和非法行为组织可以以一种不易引发明显报复且成本低廉的方式实施低于武装冲突阈值的网络行动，其典型案例包括针对美国的选举基础设施的攻击和知识产权窃取。

2 分层网络威慑战略的体系构成

分层网络威慑战略的核心思想是通过调整对手攻击美国的成本收益预期，有效减少重大网络攻击的概率和影响。 从战略体系构成的角度进行分析，分层网络威慑战略涵盖了塑造行为、获益拒止和施加成本三个战略威慑层次。 为保障战略的落地实施，报告还一并提出了6 项政策支柱作为支撑。 其中政府组织结构改革为整个战略的基础政策支柱，其余5 项为三个战略威慑层次的支撑政策支柱。 (见图1 分层网络威慑战略体系构成图)

2.1 分层威慑战略的基础政策支柱：政府组织结构改革

由于既有的政府结构和司法管辖边界影响到网络政策的制定进程，美国政府亟待进行全面迅速的改革来确保其在网络安全领域的领先领导地位。 在顶层设计层面，报告建议行政部门应发布新版国家网络战略以彰显分层网络威慑战略中提出的关键框架要素。 针对当前联邦政府网络安全监管工作高度分散化、权威性不足的难题，报告建议国会应设立有关网络安全的众议院常设委员会和参议院特别委员会。 聚焦于整个国家层面的网络安全战略和政策协调工作，国会应在总统行政办公室下设由参议院任命的国家网络主任职务。 国家网络主任将担任总统网络安全和相关新兴技术问题的顾问，同时一并承担美国网络安全问题的首席代表和发言人角色。为保护关键基础设施的国家韧性，整合联邦政府、州和地方以及私营部门的网络安全工作，报告建议应加大对网络安全和关键基础设施安全局的投入，授予其足够的权力来完成任务。 报告还建议应通过立法和政策实施促进网络安全人才培养工作，强化联邦政府内部网络安全人才多样化建设和人才储备工作。

2.2 塑造行为层及其政策支柱

国际规范是网络空间行为塑造的基础框架。特朗普政府非常重视利用国际网络威慑联盟来强化对战略对手的集体威慑，早在2018 年发布的《美国国家网络战略》中就提及与“志同道合”国家建立威慑联盟发起国际网络威慑的倡议。[2]塑造行为层强调美国政府必须联合盟友和合作伙伴的力量，维护与强化契合美国价值观和利益的网络空间负责任行为规范，通过构建激励约束机制的方式形塑对手的决策行为。

塑造行为层的政策支柱是强化规则建设和非军事化工具。 美国可协同盟国和合作伙伴联合运用执法行动、制裁、外交、信息共享、集体溯源等多种非军事化工具手段打造美国主导的多边网络规则体系，通过能力共建、风险共担、集体施压、联合惩戒的方式阻止对手利用网络行动侵蚀美国的国家利益，增强网络安全战略的威慑效力。 为推动国际规则支持和反映美国的国家利益和价值观，国会应在网络空间安全和新兴技术局下设助理国务卿专职负责网络空间国际规则建章立制方面的协调工作。 此外，行政当局应积极有效参与相关信息和通信技术标准国际论坛，国会应采取措施加强网络空间执法行动的双边合作和国际协调工作。

2.3 获益拒止层及其政策支柱

获益拒止层建议加强政府与私营部门之间的有效合作，通过建立公私部门协同式的态势感知和联合行动体系对竞争对手实施获益拒止，保护美国在网络空间的利益。 其具体政策支柱包括强化国家韧性、重塑更安全的网络生态、加强与私营部门的网络安全合作三个层面。

2.3.1 强化国家韧性

韧性是指面对重大网络攻击时能够有效抵御并快速恢复的能力。 作为分层网络威慑战略的基础要素，国家韧性建设对于拒止竞争对手通过攻击行动实现战略目标非常关键。 国家韧性的强化高度依赖于美国政府及私营机构准确辨别、评估和消减关键基础设施所有要素风险的能力。 首先，美国应明确网络安全与基础设施安全局及专门行业评估机构在识别、评估和管理国家和特定行业风险方面的责任并给予充分的资源支持。 其次，美国政府应具备必要的权力、能力和资源，以便在必要时提供有意义的应急响应和恢复援助。 在经济安全领域，国会应指导行政分支联合私营部门开发并保持经济计划的连续性，确保在遭遇重大网络攻击时关键经济职能的可持续性。 报告建议将网络危难状态编撰入法，并通过网络响应和恢复基金提供专项资源支持关键基础设施遭受攻击后的技术援助和事故应对工作。 第三，聚焦于选举安全和民主韧性建设，美国应进一步完善选举协助委员会的框架并强化资金支持，提高联邦数字选举基础设施的网络安全保障能力，确保各州尽可能广泛地使用可进行选民验证、选举后审计及纸质选票的投票系统。 为建立应对恶意信息攻击的社会韧性，美国政府还应推进数据素养、公民教育和公共意识相关工作。

2.3.2 重塑更安全的网络生态

安全的网络生态系统有利于降低对手网络攻击的概率。 囿于市场压力，当前美国科技公司缺乏在产品全生命周期进行安全管理的内生驱动力，把巨大的安全成本和风险成本转移给终端用户，导致网络生态系统的脆弱性显著增加。 为改变这种现状，报告提出了五个方面的具体建议措施。 第一，激励技术市场研发更安全的技术。美国政府应通过竞争性招投标机制资助设立专门的第三方机构进行国家网络安全认证和标识管理工作，并通过专项立法激励从事软件产品和服务的“最终商品装配商”对因未能及时修补代码缺陷或已知漏洞造成的损害承担相关责任。第二，激励用户和组织优化网络安全行为实践。报告认为由于美国政府和市场对当前网络攻击的性质和范围缺乏明确的认识，因此无法衡量网络安全最佳实践和标准的有效性，制定有针对性的激励政策。 为满足政策制定者所需，国会应建立网络统计局收集和提供关于网络安全和网络生态的统计数据。 以此为基础，美国可通过开发网络安全保险产品认证来塑造市场力量激励市场主体改变行为。 第三，充分开发利用信息通信技术的规模经济效应提高网络生态系统的安全属性。 可采用合作开发云安全认证的方式形成统一的安全控制基线，通过建立安全可靠的云计算服务环境鼓励政府、企业向云计算平台迁移。第四，减少对不可信信息通信技术的严重依赖。美国应确定对国家和经济安全至关重要的行业和技术，并在产业战略和供应链风险管理层面采取措施减少脆弱性。 第五，加强国家系统数据安全。 国会应推动国家层面的数据安全和隐私保护立法，建立清晰一致的法律和技术框架对收集、使用和共享用户数据的行为进行规范。

2.3.3 加强与私营部门的网络安全合作

为应对日益增长的网络威胁，美国政府需重塑与私营部门的合作方式，与私营部门共同承担网络空间安全的防御责任。 由于网络空间大部分关键资产、部门和实体都由私营部门掌管或运营，网络防御的有效性在很大程度上将主要取决于私有网络和基础设施的所有者和运营商的努力。 政府在安全防御领域承担的角色应是发挥支撑和促进作用，而不是主要参与者。 网络空间的集体防御要求公共和私营部门在真正共享态势感知的地方开展工作，利用各自独特的比较优势进行共同防御。

2.4 施加成本层及其政策支柱

施加成本层指美国政府应充分利用其能力频谱上的所有国家权力工具，通过迅速有效的网络应对措施来向对手施加成本，从源头有效防御恶意网络攻击，减少低于武装冲突阈值的网络攻击活动。 一方面，美国应建立明确的宣示性政策，向敌对国家释放可信的威胁信号阐明在网络空间攻击美国会产生的代价和风险。 另一方面，美国应拥有在网络空间“持续接触”的能力，以迫使从事恶意网络攻击的对手付出代价。 第三，成本施加层要求美国政府强化以军事力量做出反应的能力，这种能力的关键方面是确保关键武器攻击系统在网络空间的安全和韧性。

施加成本层的政策支柱是保留和运用军事权力工具。 尽管军事权力工具作为实现“向前防御”战略理念的关键要素并不能替代其他权力工具的使用，应对对手的网络攻击需要综合协调使用各种国家权力工具。 但在网络空间已成为大国战略博弈载体的背景下，为了实现支持“向前防御”的战略理念、确保威慑的信服力以及在威慑战略失败时能进行有效回应并确保获胜，美国必须保持可随时待命和富有韧性的军事能力。

3 分层网络威慑战略与传统网络威慑战略的联系和区别

在借鉴过往网络威慑战略相关研究成果的基础上，分层网络威慑战略添加了重要的新元素，丰富和深化了传统网络威慑战略理论，旨在为降低网络攻击的严重程度和频率提供更为全面的综合性战略蓝图。

首先，分层网络威慑整合了多种威慑机制来改变竞争对手网络攻击行为的成本效益计算。在结合传统拒止型威慑、成本施加型威慑机制的基础上，为适应网络空间治理的特殊需要，分层威慑战略强调要强化网络空间负责任国家行为规范，通过推行美国主张的网络空间国际规则达成美国利益最大化。 究其本质，这些战略主张延续了特朗普政府“美国优先”的执政理念，旨在通过塑造行为规范减少美国在国际网络空间治理成本，为确保美国在网络安全领域核心利益营造有利的国际环境。[3]此外，分层威慑战略聚焦于拒止型威慑，强调应采取加强国家韧性和公私合作的方式来提高网络空间的防御能力，通过改变竞争发生的生态系统来阻止对手在网络空间攻击美国利益。

其次，分层威慑战略强调要加强公私部门协作以有效应对网络威胁。 日趋严峻复杂的网络安全形势决定了单凭政府之力无法有效应对恶意网络攻击行为，政府必须充分利用其在外交、经济、军事、执法和情报搜集方面的非对称优势为私营部门精准赋能，通过合作共享实现双赢。分层威慑战略鼓励采取合作、持久、互利的威慑战略观来保护美国社会，有效扩大了威慑的深度。 为加强与私营部门的网络安全合作，报告提出了相关的政策建议。 首先，美国政府应优化对私营部门网络防御行动的支持计划。 受限于资源条件和能力因素，联邦政府应首先提供必要的资源帮助私营部门对系统性关键基础设施进行防御。 此外，国会应建立和资助联合协作环境，加强网络威胁的综合态势感知能力建设。 第三，美国政府应统筹改进其分散化的网络防御规划及行动，将政府的防御行动与私营部门进行有效整合。

最后，分层网络威慑战略融合了2018 年国防部提出的“向前防御”的战略理念，将其整合为更具综合性的国家战略框架。 传统威慑战略在阻止可能会升级为武装攻击水平的网络攻击方面具有一定优势，但在阻止低于武装冲突水平门槛之下的日常恶意攻击行为方面存在着效力真空地带。 美国必须从对已经发生的恶意为做出被动反应转变为积极主动关注、追踪和反击对手低于武装冲突阈值下的恶意网络攻击行为，并施加成本改变对手行为。 区别于国防部侧重于运用军事手段以施加威慑成本、缺少可信的威慑信号传达机制等战略特性，报告将“向前防御”整合扩展为更为综合的“攻防结合式”的国家战略框架。 这意味着“向前防御”的理念将在符合国际法的前提下，渗入日常竞争、恶意网络活动和危机冲突不同级别的情境中，需要在国家层面上综合运用包括军事化手段和法律、金融法规、外交、教育在内的各种非军事化国家权力工具来保卫网络空间。 与此同时，报告仍将保留和运用军事权力工具作为施加成本层的政策支柱，认为美国应增强网络任务部队的能力建设以回应在规模和范围层面的网络战任务需求，同时必须确保常规军事系统和核武器系统的网络安全和韧性。 这些建设措施延续了特朗普政府信奉“实力政治”、推崇“网络威慑实战化”的一贯强硬做法[4]，预期将会进一步加剧网络空间的军备竞赛。

4 结论

在对传统威慑战略架构进行改良的基础上，分层网络威慑战略聚焦于治理现实难题提出了综合性的改革举措。 报告构建了全国性的战略框架，拟聚合多重国家权力工具应对美国面临的网络威胁。 此外，报告通过渲染外部的网络安全威胁进一步论证了网络威慑战略的正当性，提出的相关行动举措也极具进攻性和对抗性。 作为综合性的网络威慑战略蓝图，报告对我国分析研判美国网络威慑战略的走向具有重大的研究价值。