如何控制全球网络军备竞赛？

全球即将迎来一场网络战。美国网络司令部(US Cyber Command)今年11月开始运作。北约(Nato)已将网络安全列为其新战略的优先任务之一。英国国防参谋长最近表示，提升网络战能力是英国当前的一项重大优先任务。我们知道，中国已针对西方展开广泛的网络间谍攻击。那么，我们怎样才能控制住一场日益扩大的网络军备竞赛呢?

我们可能已在爱沙尼亚和格鲁吉亚看到了网络战的雏形，发动者可能是俄罗斯。但我们很难确切知道内情，这不仅仅是因为这些攻击往往无法追踪，还因为我们对于网络战没有明确的定义。

2007年爱沙尼亚遭受到的网络攻击算是网络战吗?经追查，攻击是由一位住在塔林的年轻俄罗斯男子发起的，不牵扯其他任何人。某种来源未知、可能针对伊朗核设施的病毒算吗?源自中国境内、但未明确受到中国政府指使的间谍活动算吗?除了此类问题，人们还必须考虑更多基本的问题，例如，如何定义网络战的开始和终结。如果连网络安全专家也无法回答这些问题，那么我们就很难指望政策制定者来回答了。

我们可以设定评判标准。如果仅仅是开发针对他国的数字武器，那显然并非一种战争行为。利用网络攻击来暗中窥探他国是一个“灰色地带”;而某国侵入他国信息网络、只为看看自己是否有能力这样做，则是一个“更加灰色的地带”。侵入这类网络并留下一扇后门，甚至是埋下逻辑炸弹以备后用，评判起来要比上述例子更为困难——然而，美中两国目前正在互相采取此类行动。

如果某国故意破坏他国经济又该当如何呢?就像维基解密(WikiLeaks)曝光的一份电报所显示的那样，中共一政治局常委曾在2010年1月与谷歌(Google)作对。给出定义和评判规则很难，这不仅仅是因为战争工具已经改变，还因为网络空间让这些工具落入更广泛人群手中。以前，只有军队才拥有武器。如今，任何一个拥有足够多电脑技能的人都能兴风作浪。

此外还有更多的基本问题。当某国在常规冲突中受到攻击时，各种军事和民事机构会对此做出反应。其法律框架取决于两点：攻击者和动机。但当你在互联网上受到攻击时，这两点你恰恰无法确定。我们不知道，攻击格鲁吉亚的是俄罗斯政府，还是只是一些居住在俄罗斯的黑客。尽管存在大量猜测，但我们不知道Stuxnet病毒的起源和目标。我们甚至不知道去年7月4日针对美国和韩国电脑的攻击是源自朝鲜、中国、英国还是佛罗里达。

如果你不知道这些，那你很容易搞错，很容易出于错误的理由对错误的对象实施报复。这意味着，局面很容易失控。因此，尽管各国发展攻击性和防御性网络战能力是正当的，我们现在仍需考虑如何控制网络战的风险。

首先是在全球网络指挥部之间开通热线，就像各国核指挥部间的热线一样。这至少会让各国政府有机会互相沟通，而不是臆测攻击到底来自哪里。更为困难但更为重要的是，签署新的网络战条约。这些条约可以规定“不首先使用”的政策，将没有设定目标的武器列为非法，或要求这些武器在战争结束时自毁。《日内瓦公约》(The Geneva Conventions)也需要与时俱进、重新修订。

我们很难禁止网络武器的使用，因此对网络武器囤积和战术进行限制是合乎逻辑的最终诉求。例如，可把国际银行业宣示为网络战禁区。无论具体细节如何，我们都亟需此类协定。执行工作将会困难重重，但我们没理由因此就不去尝试。要逆转目前上演的网络军备竞赛，现在还为时不晚。否则，迟早会引起大麻烦：可能因一位低级军官的鲁莽行为而起，可能由一位非政府背景行动者引发，也可能就是一场意外。如果受攻击国家实施报复，我们可能就真的处在一场网络战之中了。

本文作者着有《超越恐惧：在乱世中理性思考安全问题》(Beyond Fear: Thinking Sensibly about Security in an Uncertain World)一书

译者/梁艳裳