【编者按】:“棱镜”的曝光,令美国颇为尴尬,不止因为棱镜项目本身,而是美国对包括中国在内的各国互联网目标进行监控的事变得世人皆知。此前,美国试图通过舆论将中国塑造成互联网安全公敌,而将自身定位为受害者和正义者,由此在网络空间战中抢占话语主导权和道义制高点。但正如安全专家肖新光(江海客)所说,棱镜事件爆发,让这个所谓制高点在一夜之间荡然无存。在安全专家潘柱廷看来,我国应当清晰的表达出我们的战略态度:我国具有强大的网络战能力和足够的网络威慑力,我国不会首先发起网络战攻击,我国力主维护网络空间的和平环境。
战略表象——美国和西方国家谈中国黑客色变
谈网络空间安全战略,中美之间的对比是回避不了的。
近年来,中国黑客和来自中国的黑客攻击成为了美国和西方国家常常挂在嘴边的话题。美国各级官员和政客,各种媒体都会不断地说这个话题。每年春天在美国旧金山举办的全世界最大规模的信息安全大会RSA大会,近年来中国黑客都成为演讲者嘴边的时髦词汇。中国黑客如何如何厉害,中国网军如何如何强大,一再被渲染。2013年夏,中国国家主席习近平访问美国,美国总统奥巴马设置的双方会谈的第一话题就是网络攻击问题。
而谈这个话题绝不仅仅是谈谈小黑客的攻击,而是涉及国家安全的话题。而涉及国家安全的最终底线和最高表达方式就是可能的“战争”,也就是所谓的“网络战”。而我们谁也不希望出现的大规模网络战真正打响之前,网络战是以网络战威慑存在的。这是谈网络空间国家安全问题中回避不了的关键话题。#p#
问题和差距——中国的网络战能力相比美国,是差距越来越大了。
为什么这么判断呢?
对比两方的能力,不能仅仅看谁叫苦叫的欢?而要看双方真正做了什么。我只简单谈两个理由。
第一个理由,不要仅仅看美国总叫嚷受到了攻击;其实中国被攻击和窃取的事件也不少,只是很少拿出来讲。坊间传说的很过传闻就已经足够震撼了。说多说少并不重要。
第二个理由,看看美国最近做过什么。
真实发生在中东的震网病毒和火焰病毒。坊间都传说与美国密切相关。这些可是真实的对工业控制系统等关键基础设施的攻击啊。如果这些被说成无法证实,那么可以看看被美国官方证实报道的网络风暴网络战演习。这个演习已经分别在2006年、2008年、2010年举办了三次,而且参加的联邦机构和技术公司越来越多。我本来认为2012年会有的下一次网络风暴演习并没有举行,我预计在2013年下半年到2014年上半年一定会举行。而美国在国防预算中所增加的网络安全预算一定也会进一步增强其网络战实力。
那么,你认为我国和其他国家的网络战能力,距离这样一个具有网络战实战经验,以及定期举办国家级网络战演习的美国,差距是不是越来越大呢?#p#
基本原理——网络战能力与核战能力类似,具有很强的威慑性
《孙子兵法》中谈到作战的最高境界是不战而屈人之兵;《墨子》中也记载过墨子用游说的方法阻止过楚惠王攻打宋国。而到了战国之后,这样的例子就很鲜见了。而到了二战以后,随着核武器的出现,由于核武器的互相毁灭同归于尽的效果,从而形成了美国和前苏联之间的核威慑制衡,达到了不战的效果。
而由于现今信息系统的全面渗透,国家的政治、军事、经济、社会生活等一切都高度信息化。在这样的背景下,网络战所产生的摧毁和影响完全可以与核弹相比。而且,网络战也与核战一样,几乎无法区分军事对象和民用设施。
有人说,美国对信息的依赖程度要大大高于我国,我国的广大农村还远远没有信息化。所以,美国会更怕网络战,更容易被网络战摧毁。这种观点是一种自娱性的误导:我国的国家价值是密集与城镇的,是密集于那些高信息化程度的地区的;如果这些高度信息化的地区被网络战摧毁,其影响与美国所面临的潜在威胁是一样严重的。
基本原理——战略威慑三条件
不管是核威慑还是网络战威慑,其基本条件是类似的这三个:
第一,要具有在受到第一轮打击下生存下来的能力,并保有足够的报复力量。
第二,在受到打击后,能够集中足够的报复力量摧毁攻击者。(当然前提是确实能够搞清楚是谁攻击的你。这点在核威胁上比较容易,在判断网络威胁上有点难度)。
第三,要通过适当的形式,宣示出来你具有前述能力(生存和报复性摧毁能力)。
美国在落实战略威慑三条件上做得非常到位。
第一,网络风暴演习展示和演练了其抗攻击能力;
第二,震网病毒和火焰病毒展示了其攻击力和破坏力,而且告诉你,我可能已经将攻击能力潜伏好了;
第三,通过上述动作真实地展示了其能力。而且,通过美国白宫在2009年发布的《网络空间政策评估》和2011《网络空间国际战略》,清晰地通过国家战略的形式表达出来这种决心和态度。并且,提出不仅仅具有受到打击后的报复能力,还明确提出了认为和感觉遇到威胁会采用先发制人的攻击。#p#
战略决策——我国要大大方方地搞网络战的战略威慑
而我国在网络战的战略威慑上做得非常非常不到位。在面对网络威胁的质疑和中国威胁论等等这些论调,太过低调和回避。而且,让人感觉军事、外交、经济等方面思想不统一,态度不坚决。而美国在发布《网络空间国际战略》的时候是代表外交、法务、经济、军事、国土安全等方面的高管共同出席并发布的。
我国应当清晰的表达出我们的战略态度:我国具有强大的网络战能力和足够的网络威慑力,我国不会首先发起网络战攻击,我国力主维护网络空间的和平环境。
战略行动——我国需要搞国家级的网络战防御演习
网络战的战略威慑能力不是说出来的,而必须是做出来的。而训练、演练、展示这种威慑力,一个最有效果的方式就是定期举行“国家级网络战防御演习”(也就是学习美国的网络风暴演习)。这里的两个关键字要注意:
国家级:国家的一些关键基础设施部门要逐步加入;军队、公安、情报等强力机构一定会参加;同时也应当学习美国,邀请民营机构参加。
防御:这个演习是一个防御演习。当然,其中自然蕴含着对于攻击能力的展示。但是“防御”就是一个战略态度。
国家级网络战防御演习不需要一次就搞得很大很全面。美国的网络风暴演习也是逐步扩大规模的。这要逐步提升即可。演习的有无最最重要。#p#
战略表象——为什么将中美的事儿说得这么高调?
在国际政治关系中,高调和低调都是技巧和手段,决定性的因素还是各国的实力以及联盟关系。
如果将中美双边关系简单地归结为经济、军事和情报等。在经济上,中美是合作为主的,而且还有很大的合作空间,这使得中美关系大大区别于冷战时期的美苏关系。而在军事和情报上,两国的关系是对抗大于合作的,说得缓和点可以说双方是较劲的。比如现在的美国要重返亚太,以及其在钓鱼岛和南海争端中所持的态度,就非常说明美国的立场。
网络空间安全,与经济、军事和情报都非常相关。从经济的角度看,两国共同建立平稳的网络空间国际秩序对双方是都有利的,双方有合作面。而在另一方面,各自培育网络战威慑能力也自然而然。
问题和差距——我们在第二世界,而且周围对手比朋友多
借用国际关系中三个世界的划分方法,我们可以把网络空间中的国家也划为三个世界。
中国应当在第二集团中,而且周围的国家大部分是一家独大的美国的盟友。这就是我们国家面临的客观环境。
而随着中国在信息化上的快速发展,而且又由于中国具有最大规模的网民数量,使得中国成为了一个能够在技术、市场价值、应用环境、军事化能力等综合起来最能够挑战美国领导地位的力量。就如同这幅互联网星空图所表达出来的态势:
这幅互联网星空图中的每一个圆圈表示一个网站,圆圈大小表示网站的点击量,网站之间的距离表示网站之间的关联密切程度。其中浅蓝色圆圈是美国的网站,而左下角的稍稍可以挑战美国网站群的土黄色圆圈就是中国网站。这种态势是客观的反应。低调也没有用。#p#
战略行动——示弱和示强都需要
除了需要通过展示网络战的战略威慑能力来示强,还需要充分示弱。具体说就是要适度并有效地展示:
1)公布我国遭受黑客攻击的情况。每年CNCERT/CC都公布我国互联网遭受攻击的情况,这些数据需要给予更多的宣传和警示。
2)适当公布我国的关键机构敏感机构被国外间谍组织攻击和渗透的情况。
3)适当公布我国商业机构遭到商业间谍渗透的情况。比如,我国在外的重大国际招投标项目中,多次发生商业机密失窃的情况。
4)研究和发布美国等国家发展网络战能力的情况。让更广泛的群体了解这种威胁的客观存在,说明网络战防御能力和威慑能力的必要性。
其实我们不是要示弱,而是清晰地认识到我们真正的弱。从而能够采取恰当的战略定位、决策和行动。
再次重申战略决策和战略行动的建议:
清晰地表达出我国的战略态度:我国具有强大的网络战能力和足够的网络威慑力,我国不会首先发起网络战攻击,我国力主维护网络空间的和平环境。
一定要通过定期举行的“国家级网络战防御演习”来训练、演练、展示这种网络战的战略威慑力。
