支持网络治理的国家（再定义网络威慑）

再定义网络威慑：

私营部门对国家网络威慑战略的贡献

作者：Eugenio Lilli，爱尔兰都柏林大学克林顿美国研究中心讲师。

编译：钱靓（国政学人编译员，上海外国语大学）

来源：Eugenio Lilli (2021) Redefining deterrence in cyberspace: Private sector contribution to national strategies of cyber deterrence,Contemporary Security Policy, 42:2, 163-188, DOI: 10.1080/13523260.2021.1882812

导读

在地缘政治的压力下，网络空间中的竞争与冲突也更加重要。由于互联网空间多方参与的复杂性，网络威慑的政治作用不仅在于主权国家或政府，非国家行为体的参与也能起到重要影响。但是，非国家行为体，尤其是私营部门在国家实施网络威慑战略中的地位和价值还没有系统的探讨；本文关注私营部门，揭示了美国网络威慑战略中私营部门曾经起到的作用。

本文探讨了私营部门对国家网络威慑战略的贡献的性质和可取性。首先提出了一个网络威慑概念的变体，称为RCDC威慑，它同时具有限制性、全面性、动态性和补充性，并运用RCDC威慑来确定和分析可以从私营部门的贡献中获益最多的网络威慑的具体领域。最后，对私人贡献可能产生的潜在安全、法律和道德问题提出了警告。

然后，文章没有对这些复杂的问题提供明确的答案，而是在最后提出了进一步研究的途径。第一，如何有效地衡量私营部门贡献的有效性？第二，是否有解决文中指出的安全、法律和道德问题的实际方法？第三，其他国家是否适用本文结论？

编译

01

引言

通常，网络威慑的定义有两层：第一，网络空间内的或通过网络空间发生的恶意活动产生的威慑；第二，利用网络空间和信息通信技术（ICT）在其他领域（如陆地、海洋、空中和太空）实现威慑。对网络威慑的现有文献的研究主题可以分为四种。第一，研究“威慑”相关理论对网络空间的适用性：网络空间的独特性质是否允许将威慑的逻辑、理论和实践从更传统的陆地、空中、海洋和太空直接转换过来？第二，进攻和防御之间的平衡：网络空间在本质上是一个以进攻为主还是以防御为主的环境？第三，网络拒止（cyber denial）：在何种程度上，拒止、保留和恢复的政策有助于网络威慑？第四，网络规范、网络制度和网络污名化的潜在作用：这些因素如何影响网络空间的个人和集体行为？

对网络威慑的效力有截然不同的观点。有研究认为，由于一些原因，特别是网络空间的特殊性，网络威慑战略的价值有限，甚至没有价值。但也有研究与之相反，认为传统威慑的新形式——网络威慑将成为网络领域的有效战略。但绝大多数文献都集中在国家行为体的作用上，几乎排除了非国家行为体在阻止网络空间恶意活动中可能发挥的作用。并且，已有文献尚未对对私营部门在国家网络威慑的贡献领域进行全面阐述。

事实上，网络不是一个以国家为中心的空间。首先，私营部门才是ICT突破性研究和开发的单位。其次，私营部门提供了网络空间的人才库和技能储备。最重要的是，与陆地、海洋、空中和太空领域不同，网络空间的大部分基础设施通常由私营部门拥有或运营。因此，本文旨在通过研究私营部门作为国家网络威慑战略合作者的作用，探究该作用与威慑理论之间的联系，分析私营部门的贡献可以为国家战略发挥作用的领域。一方面，私营部门的参与有益于实现网络威慑国家战略；另一方面，私营部门的参与也将带来挑战。本文希望，能够更有组织和系统的探讨私营部门的非国家行为者对国家网络威慑战略的贡献的性质和可取性，从而帮助决策者在决策时使公私合作的网络威慑利益最大化，并避免其潜在弊端。

02 网络威慑：再定义

本文的网络威慑是一种旨在劝阻其他行为者在网络空间或通过网络空间进行恶意活动的战略，不涉及利用ICT、网络空间以阻止其他领域的活动的行为。此外，本文承认，传统威慑的概念仍然可以在一定程度上有效地应用于网络领域。本文提出，网络威慑应该是有限的（Restrictive）、全面的（Comprehensive）、动态的（Dynamic）和补充的（Complemental）（RCDC）。

有限性。网络威慑是一种意在塑造或限制网络恶意活动频率、程度的战略（限制性，restrictive），而不是旨在任何时候阻止所有攻击（绝对性，absolute）。这种战略并非总是成功；但因为能够在攻击者的成本-效益计算时增加考虑因素，因而很有用，尤其在防止某一特定网络威胁——分布式拒绝服务攻击（Distributed Denial of Service attacks，DDoS） 。但在防御高级持续性威胁时（Advanced Persistent Threats，APTs） 却不那么有效。相比于防范DDoS，这也允许防御者将更多时间对抗APT。因此，网络威慑不总是需要绝对性才能有效。

全面性。保密问题、归属问题、合法性问题、可靠性问题和核查问题都是网络威慑的障碍。因此，任何单一的威慑手段都无法顾及网络空间的复杂性，而具备全面威慑手段的战略更有可能取得成效。首先，网络威慑力的定义需要更加完善，不仅需要包括DDoS和APT两种传统威慑方式，还需要增加纠缠（entanglement）和规范（norm）的方式，这也将符合战略理性的两个层面——工具理性（instrumental rationality）和规范理性（normative rationality）：传统方式和新方式的效用分别符合工具理性、规范理性的特点。其次，网络威慑应该依靠于在陆、海、空和太空等其他作战领域采取的威慑措施，因此网络威慑可以动用一切国家力量。

动态性。网络空间的特点是不断快速变化，技术创新、规范的演变给网络威慑研究带来新特征。ICT的突破可能打破防御和进攻之间的平衡，为进攻者和防御者带来新的机会。动态的网络威慑通过持续监测网络、更新防御措施、改善情报共享、修补漏洞和更新应急计划来应对技术革新。网络空间中可被接受的规范也发生变化，可被接受的网络行为规范在未来可能不再被接受，尤其是可能会因为未来社会交往（social interaction）方式的迭代而改变。因此，动态性要求有助于积极塑造网络空间规范演变的措施，即能够对不断快速变化的环境做出反应和适应。

补充性。如果把威慑看作是对其他形式的战略的补充，威慑的效果会更好。其中一种形式是强制外交（compellence），威胁对方改变自身行为，尤其是在威慑失败、威慑的利害关系没有改变的情况下。因此，在网络空间，强硬地划分“威慑”与“强制”似乎更不合适了，因为在恶意活动时防御和攻击总是同时发生。另一种形式是使用武力。即使只是在威胁使用武力的情况下，行为者也可以真正地使用，提高威慑的信服力，显示威慑者将威慑转为实际威胁的意愿和能力。此外，还可以用合作、拉拢和讨价还价等非胁迫性策略来影响对方行为。最后，威慑的概念是建立在行为者会理性地思考和行动的假设上，但是事实并非总是如此；正因如此，网络威慑更应该作为补充性战略，而非独立的战略，对其他强制性和非强制性战略进行补充。

03 私营部门的贡献领域

概念厘清：

私营部门：国民经济中不受国家控制的部分，由个人和组织经营以获取利润，包括科技公司、网络安全公司以及关键基础设施的所有者和经营者；

恶意网络活动：任何试图破坏或损害信息和通信系统，或由这些系统控制的实体/虚拟基础设施，或信息本身的保密性、完整性或可用性的非法活动，但不包括通过ICT编造或传播宣传和虚假信息。

第一，私营部门可以通过向政府机构提供服务、硬件和软件以及分享信息，为国家的网络威慑战略做出贡献。拒止威慑在于通过加强防御和提高恢复能力，使攻击者无法从特定行为中获得预期的利益：加强防御包括在威胁成功前阻止入侵；增强恢复力包括提高系统和网络防御系统被破坏时的承受能力和快速恢复能力。以此，私营部门有助于国防和国土安全。通过与私营部门的公司签订合同，政府可以快速获得ICT研究、开发方面的最新进展。例如美国国防部于2008年通过JEDI合同授权微软将国防部的数据传输至单一的云环境，美国政府于2019年授权雷神技术公司帮助保护.gov域名。为了促进与私营部门的这种接触和合作，美国政府已经新建立相关部门，如国防创新部门和In-Q-Tel。其次，私营部门有助于情报共享，共享威胁指标和防御措施、提供必要的背景、相关性和优先级评定，例如IBM的IBM X-Force Exchange平台。美国政府也建立信息共享和分析的中心和组织以促进情报共享。此外，美国非营利组织InfraGard也与美国情报部门FBI有合作。

第二，私营部门有助于主动网络防御和网络归属，这也可以成为私营部门贡献的重点领域。主动网络防御包括蜜罐（Honeypot，侦测或抵御未经授权操作或者是黑客攻击的陷阱）、信标（Beacon，放置在网页或电子邮件上的文件对象以监测用户的行为）、利用远程桌面软件监视、强制关闭服务器等。其中，利用远程桌面软件监视、强制关闭服务器两项措施属于攻击的反黑技术。私营部门可以和政府一起、或独立地参与积极网络防御，比如微软公司的数字犯罪部门（Microsoft Digital Crimes Unit，DCU）就是与政府部分合作和独立运作同时存在的例子。事实上，相比于政府行动受到程序要求和地理管辖的限制，私营部门可以更快地应对网络威胁。

第三，由于存在政治、经济和战略上的相互渗透，私营部门可以通过网络纠缠（entanglement）达到威慑。网络恶意活动同时会给攻击者和防御者带来严重的代价，因此纠缠型威胁取决于双方在互利中的共同利益，也取决于攻击者对自己的行为所产生的代价的接受程度。而私营部门可以促进互利的国际规范达成协议；同样，在相互依存、特别是经济性质的依存关系下，可以通过经济制裁、抵制和撤资来提高跨领域威慑的信服力。比如2017年的“NotPetya”网络攻击事件，美国将该事件归咎于俄罗斯政府，其原本的目标锁定为乌克兰，但由于网络依存度高，这是迄今为止代价最大的网络攻击，说明恶意网络活动可能会产生巨大的、不加区别的后果；另一个例子是关于ICT供应链的，即2019年美国政府对华为在其国内使用禁令和实体禁令的双重制裁。由此可见，私人行为者对正常运作的网络空间的明显依赖、在网络攻击前的明显脆弱性使私营部门成为纠缠型威慑效果的利益方。有意识的私人行为者可以发展出一种个人或集体的自我约束意识，而一些大型ICT公司已经公开承诺不使用可能破坏网络空间安全的攻击性网络技术，甚至限制政府相关行为，游说政府不要从事可能对国内公司、更广泛的国民经济以及在某些情况下甚至对国家安全产生意外负面后果的网络活动。最后，私营部门的贡献也有助于制裁、抵制和撤资等跨领域威慑战略的实现，如谷歌在2010年停止它在中国的服务。

第四，私营部门的规范（norm）企业家精神指导行为者采取最适当的威慑战略。规范是对适当行为的期望，而破坏规范会对行为者的软实力造成损害，且这种损害在声誉、外交、经济，甚至军事制裁上，都会超出了恶意活动的预期收益。私营部门通过有约束力的正式协议（如《2001布达佩斯宣言》）或双边/多边的信任措施激励行为者遵守这些规定，发挥规范的作用并促进规范的内部化，积极塑造网络空间中的规范改革。私营部门可以有三种形式发挥作用：一是支持非营利性组织和研究中心活动（如网络和平研究所的建立，Cyber Peace Institute），二是与国家和民间社会代表共同提出多利益攸关方倡议（如《网络空间信任和安全巴黎倡议》），三是建立行业主导的规范程序（如签署《网络安全技术协议（Cybersecurity Tech Accord）。

04 安全性、合法性和道德问题

第一，可能会对国防和国土安全问题产生严重影响，尤其是对受雇处理政府敏感通信或机密信息的私人承包商来说。比如2019年HackerOne报告，由于网络漏洞，客户数据被提供给未经授权的人员使用，其中可能包括美国国防部。此外，私营部门可能滥用这些信息以谋取私利，因为企业最终要对股东负责，而不是对公民负责；也有少量公司出现拥有巨大政治影响力却很少承担公共责任的情况。

第二，限制了私营部门对情报共享的意愿：其一，情报共享可能会引起违反国内反垄断和隐私法律的问题；其二，安全漏洞的公开披露可能会损害企业的声誉；其三，担心因没有实施某些安全措施而被罚款，导致与执法部门的关系紧张。比如艾克非Equifax机构曾因2017年的数据泄露被罚款超过5.75亿美元。此外，保持对竞争对手优势地位的市场因素也可能成为情报共享的阻碍。

第三，反黑技术可能违反法令法规。反黑技术不仅目前在美国国内是违法的，且在跨国的网络活动中可能违反外国法律。此外，反黑技术会严重破坏网络空间的稳定，导致网络活动的错误归属和附带损害，即损害无辜者的利益。最后，还可能使得事件风险升级，私营部门通过滥用黑客技术不正当竞争，达到非法目的。

第四，网络归属的争议问题。私人调查的结果可能与政府的调查结果相矛盾；其次，私营部门可能意外妨碍正在进行的执法、间谍或军事行动，例如卡巴斯基实验室（Kaspersky Lab）在2018年曝光了美国主导的持续反恐行动的关键网络环节。此外，追逐包括媒体曝光量和宣传效果的商业利益可能会导致私营部门调查仓促、说法不准确和归属认定错误。

第五，私营部门在为包括外国政府在内的全球客户提供服务方面具有商业利益，因此可能不愿意被认为是某一特定政府的分支机构，如美国禁止了卡巴斯基实验室的产品运用于美国联邦网络中；也有很多私营部门依赖于全球供应链，比如华为，从而会犹豫执行可能有损自身经济的制裁。

第六，在规范制定上政府和私营部门可能有不同的观点或议程，比如FBI希望执法部门能够越过设备加密的倡议被很多私营企业反对。此外，私营部门和政府官员可能拥护不同的价值体系，比如推特平台禁止美国情报机构访问其平台的数据分析。

05

结论

网络威慑是一种RCDC威慑，是一种同时具有限制性、全面性、动态性和补充性的威慑形式，这符合网络环境的特异性特征。本文应用RCDC威慑来确定和分析私营部门的贡献可能有益的网络威慑领域，包括加强防御和提高恢复力、参与成本控制、建立战略相互依存关系，以及促进适当的行为规范。私营部门能够提供独特的先进技术、高技能的人力资本和关键的资金，而其知名度和影响力可以超越国界，赋予网络活动更多的灵活性和速度。但也存在对国家安全的威胁、昂贵的诉讼和罚款、对民主政治产生不适当影响的风险，以及为私人利益而滥用的风险。

词汇整理

拒止威慑 deterrence by denial

分布式拒绝服务攻击 Distributed Denial of Service attacks，DDoS

防御高级持续性威胁 Advanced Persistent Threats，APTs

工具理性 instrumental rationality

规范理性 normative rationality

审校 | 闫一苇 姚寰宇

排版 | 吴梦婷 彭凌懿

文章观点不代表本平台观点，本平台评译分享的文章均出于专业学习之用, 不以任何盈利为目的，内容主要呈现对原文的介绍，原文内容请通过各高校购买的数据库自行下载。

,