觀點 | 國家網絡能力的研究進展
2021 年 6 月 28 日,英國智庫國際戰略研究所( IISS)發布了一份研究報告《網絡能力與國家力量:凈評估》,這份報告以相關國家的政府文件、開源材料及對相關領域專家的訪談作為研究素材,指出網絡空間領域正不可避免地成為 21世紀國家間展現力量及開展競爭的關鍵而充滿風險的一個新環境。它提出了一種評估網絡力量的新方法,然后將其應用于 15 個國家。
一、國家網絡能力的研究背景
隨著技術的進步以及移動和計算設備在社會各個層面的普及,網絡力量正成為任何國家實現國家安全的日益突出的推動力。由于所有國家都在一定程度上受到數字鴻溝的影響,作為依賴數字系統的經濟、社會和政府的關鍵推動因素,網絡安全應成為高度優先事項。當前,全球多個國家正在建設自己的國家網絡安全能力,他們正在國家戰略文件中定義網絡安全的含義。概括而言,開展國家網絡能力評估研究主要基于以下背景:
1.網絡能力已經成為一種強大的國家力量的新工具
在過去的 20 年里, 網絡能力已經成為一種強大的國家力量的新工具。除了像傳統的間諜活動一樣利用這種能力從彼此那里獲取國家機密之外,各國還將它們用于一系列其他更具威脅性的目的。其中包括通過竊取知識產權來促進本國經濟發展;威脅破壞他們視為對手的國家的金融機構、石油工業、核電站、電網和通信基礎設施;在戰時削弱和破壞軍事能力;在適當的時候限制他國發展核武器的能力, 等等。當前,各國正在將網絡能力納入其國家投資戰略、軍事理論和計劃,并加快其網絡相關活動的速度。可以說,網絡能力已經對國家實力產生了重要影響。
2.網絡安全已成為國家安全進程不可分割的組成部分
根據國際電信聯盟( ITU)的說法, 網絡安全本身并不是目的;網絡安全必須被理解為達到目的的一種手段。目標應該是建立信心和信任,即關鍵的信息基礎設施將可靠地工作,并在受到攻擊時繼續支持國家利益。因此,國家網絡安全戰略的重點應該放在最有可能破壞社會重要功能的威脅上。數字化和信息社會不斷發展,新的網絡威脅不斷出現。在這一進程中,網絡安全必須成為國家安全進程不可分割的組成部分。各國需要了解其目前在網絡安全方面的能力水平,同時確定需要加強網絡安全的領域。
3.網絡空間國際對抗日益加劇已帶來嚴重風險
近年來,國與國之間的網絡對抗日趨激烈。媒體披露的重大網絡行動包括:美國和伊朗相互針對的行動;以色列和伊朗相互對抗;俄羅斯對陣愛沙尼亞、格魯吉亞和烏克蘭;其中,俄羅斯針對美國和英國民主進程的行動受到了相當大的關注,美國對總部位于圣彼得堡的組織的報復性行動也受到了相當大的關注。2020 年底俄羅斯針對美國的網絡行動“太陽風黑客攻擊”也很突出。與此同時,偵察和獲取相關網絡優勢的國家網絡行動則每秒鐘都在發生,偵察或早期監控可能會被防御方誤解為實際攻擊,從而引發報復;插入的代碼可能會發生故障,從而導致事故升級并極易失控。此外,網絡空間已經成為有組織犯罪的主要領域。這些國與國之間的網絡行動都可能帶來最嚴重的風險。因此,各國正試圖通過對保護性網絡安全能力進行可委托投資,減輕網絡威脅對其數字經濟、關鍵國家基礎設施和公民構成的風險。
4.各國正試圖塑造、影響并在某些情況下控制互聯網的未來設計和治理
網絡空間已經成為 21世紀國家間治國和競爭的一個關鍵和危險的新環境。各國已經意識到,國家的經濟繁榮、國家安全和地緣戰略影響,在很大程度上取決于它們對網絡風險的管理。因此,各國正試圖塑造、影響并在某些情況下控制互聯網的未來設計和治理。鑒于先進信息技術的領導地位將帶來地緣戰略、經濟和安全優勢,二十一世紀的國家認識到,只有當它們是數字超級大國時,它們才能成為超級大國。隨著國家繁榮、安全和治國之道越來越依賴于網絡空間,國家對網絡力量的發展和使用變得至關重要。因此,開發一種客觀的、全面的評估國家網絡實力的方法變得尤其重要。
二、國家網絡能力的研究進展
國家網絡能力研究是近年來網絡安全領域的一個新興研究課題,到目前為止業界還沒有形成一個能夠衡量國家網絡能力水平的商用國際標準。多個國家、國際組織、智庫等對國家網絡能力開展了多項定性和定量研究,開發了多種不同的評估指標和模型,涵蓋的研究對象涉及全球數十個國家和地區。該領域的主要研究機構與成果:
1.經濟學人智庫和博斯艾倫漢密爾頓的網絡力量指數(CPI)
該機構(英名縮寫為 EIU)在 2011 年對 G20 國家中排名前 19 位開發了“網絡力量指數”(CPI)。它的網絡力量指數通過以下四個指標來衡量國家及其經濟體抵御網絡攻擊的能力:( 1)法律和監管框架;(2)經濟和社會背景;(3)技術基礎設施;(4)行業應用。該指數在 評估 IT 基礎設施時使用了若干量化指標,這一點值得注意,不過它對 政府主導的網絡安全政策和能力的重視程度要低得多。該指數最大的 局限性在于僅限于 20 國集團(G20)成員國。英國、美國和澳大利亞 分別被列為最有能力的前三名國家(經濟學人智庫 2011)。而且, 與 下面貝爾弗的 NCPI 相比, CPI 并沒有衡量進攻能力,主要集中在經濟 和資源指標上,盡管這些指標對于理解發展網絡力量的潛力很重要, 但并不能全面反映網絡能力。
2.波托馬克政策研究所的網絡就緒指數 2.0(CRI2.0)
該機構在 2015 年發布網絡就緒指數(CRI2.0),旨在為決策者提供一個評估能力的框架,以及實現全面網絡就緒的途徑。CRI2.0 由兩個主要部分組成:第一,它客觀地評估和衡量了各國對國家網絡安全風險的就緒水平,以便向各國領導人通報為保護聯系日益緊密的國家和潛在的國內生產總值增長所需采取的措施。第二,網絡就緒指數 2.0將網絡就緒的核心組成部分記錄為各國遵循的可操作藍圖,并因此定義了對一個國家來說什么是“網絡就緒”。這種全面的、比較的、基于經驗的方法在七個基本要素中使用了超過 70 個獨特的指標, 以識別業務就緒的活動,并確定以下類別的改進領域:( 1)國家戰略、( 2)事件響應、( 3)網絡犯罪和執法、(4)信息共享、( 5)研發投資、( 6)外交和貿易, 以及(7)防御和危機應對。由此產生的可操作的藍圖使一個國家能夠更好地了解其互聯網基礎設施的依賴性和脆弱性,并評估其承諾和成熟度,以縮小其目前的網絡安全態勢和支持其數字未來所需的國家網絡能力之間的差距。報告在對世界 20 多個國家進行深入分析的基礎上,選擇最具代表性的美、日、法等八個國家撰寫網絡就緒度報告并進行重點論述,是一本以國家為單位來衡量網絡安全狀況的實用性研究著作。
3.國際電信聯盟的全球網絡安全指數(GCI)
國際電信聯盟( ITU)在 2015 年、 2017 年、 2019 年、 2021 年連續發布了全球網絡安全指數(GCI)不斷更新的版本。GCI 由 ITU 于 2015年首次推出,旨在衡量 193 個 ITU 成員國和巴勒斯坦國對網絡安全的承諾,幫助它們確定需要改進的領域,并鼓勵各國采取行動,從而提高對全球網絡安全狀況的認識。隨著網絡安全的發展和適應,衡量網絡安全的方式也在不斷變化,2021 年最新版密切關注最新變化。根據國際電聯的全球網絡安全議程(GCA)框架, GCI 確定了以下五大支柱:(1)法律;( 2)技術;(3)組織;(4)能力建設;( 5)合作措施, 并用 25 個指標來衡量上述國家在這 5 大領域的網絡安全發展。它的主要優勢是覆蓋全球的國家和廣泛的信息。該指數在政策和法律發展方面表現強勁,但在網絡安全的軍事和行動方面則要遜色得多。
4.貝爾弗中心研究團隊的國家網絡能力指數(NCPI)
貝爾弗中心在 2020 年發布了國家網絡能力指數( NCPI),這是比當前現有指數更完整的網絡力量衡量標準,提供了迄今為止最好的模型。它開發的國家網絡能力指數(NCPI),衡量了政府的戰略、防御和進攻能力、資源分配、私營部門、勞動力和非政府組織。NCPI 根據 7項國家目標衡量了 30 個國家的網絡能力, 使用了 32 項意圖指標和 27項能力指標,并從公開數據中收集了證據。NCPI 確定的 7 項國家目標:( 1)監視和監測國內團體;( 2)強化和加強國家網絡防御;( 3)控制和操縱信息環境;(4)外國對國家安全的情報收集;( 5)商業利潤或促進國內產業增長;(6)摧毀或削弱對手的基礎設施和能力;(7)定義國際網絡規范和技術標準。
根據 NCPI,最全面的網絡力量是指一個國家:( 1)利用網絡手段實現多個國家目標的意圖;( 2)實現這些目標的能力。該團隊提出了三個不同的指數。NCPI、網絡意圖指數(CII)和網絡能力指數(CCI)。CII 和 CCI 都是獨立的措施。NCPI 是 CII 和 CCI的結合。綜合所有 7 項目標,NCPI 2020 最全面網絡能力的國家排名前十名是:美國,中國,英國,俄羅斯,荷蘭,法國,德國,加拿大,日本,澳大利亞。
5.國際戰略研究所提出的定性評估方法
國際戰略研究所( IISS)于 2021 年 6 月發布了對國家網絡能力進行評估的一種新的方法。與上述基于指數的方法相比, IISS 的方法主要側定于定性評估,它考察的維度更加廣泛,分析了每個國家更廣泛的網絡生態系統。IISS 從 7 個方面來評估每個國家的網絡能力:( 1)戰略與學說;( 2)治理、指揮和控制;( 3)核心網絡情報能力;(4)網絡賦權與依賴;( 5)網絡安全與彈性能力;( 6)網絡空間事務的全球領導力;(7)進攻性網絡能力。IISS 使用該方法對 15 個國家的網絡能力進行排名,并將它們劃分到三個能力梯隊之中。該機構的評估對進攻性網絡能力進行了深入的分析。
報告將 15 個國家劃分為三個梯隊。第一梯隊:美國。報告稱, 美國是唯一在網絡空間軍民兩用方面具有重要全球影響力的國家;美國在信息和通信技術賦權方面保持明顯優于所有其他國家;美國的進攻性網絡行動能力比任何其他國家都更加發達。
第二梯隊包括 7 個國家,包括美國的競爭對手中國和俄羅斯以及美國 5 個盟友澳大利亞、加拿大、英國、法國和以色列。其中,俄羅斯要加入第一梯隊還需要大幅提高其網絡安全,增加其在全球數字市場的份額,以及進一步開發最先進的進攻性軍事網絡工具;澳大利亞特點是仍在從“低基礎”發展其網絡能力;加拿大的特點是擁有“相對成熟的民間部門網絡能力”, 但還需要加強進攻性網絡能力;法國的特點是擁有“強大的戰略”以及“高能力和創新性”網絡實踐;以色列的特點是擁有“充滿活力的網絡生態系統以及私營部門內相對高水平的準備和恢復能力”, 具有強大的進攻能力;英國的特點是“能力很強的網絡國家”,擁有已證實的進攻能力,但受到網絡人才短缺和網絡投資較少的限制。
第三梯隊包括 7 個國家,包括印度、伊朗、朝鮮、印度尼西亞、日本、馬來西亞和越南。其中,印度在制定網絡空間安全政策和學說方面進展緩慢,其進入第二梯隊的最佳機會是“利用其巨大的數字工業潛力,并采用全社會方法來改善其網絡安全”;伊朗廣泛使用了較低級別的進攻性網絡技術并取得了一些成功,但缺乏開發和部署先進進攻性網絡能力所需的資源、人才和技術基礎設施;朝鮮喜歡開展進攻性網絡行動,但缺乏持續或復雜行動的能力,所使用的技術相對基本;日本擁有專注于信息和通信技術的國內公司,是最有可能進入第二梯隊的國家。
三、軍事網絡能力的研究現狀
1.軍方擁有的網絡能力是國家網絡能力的一個組成部分
評估一個國家的軍事網絡能力是一個比較復雜的問題。一是,因為有一些國家(例如法國、新加坡和美國)是建立了高級別的軍事指揮部和大量的專門部隊結構,而即便就是這些國家,其在條令和部隊結構方面,網絡作戰和信息作戰之間的重疊也會增加復雜性。而另外一些國家(如以色列和英國)則是更嚴重地依賴將其軍事和民事能力結合起來的結構。二是,因為許多可能用于軍事目的的網絡能力是民用的,而一些軍用能力又可能用于非軍事目的。在許多擁有網絡攻擊能力的國家,這些攻擊資產主要存在于秘密機構或與軍事有關的情報機構,而不是軍隊本身。
基于此,對軍事網絡能力的評估當前主要聚焦在軍方擁有的那部分國家網絡能力上,即為軍事目的而設計的網絡能力。但是,軍方擁有的網絡能力只是國家網絡力量的一個組成部分,不能因此作為判斷國家網絡力量的全部依據。
2.軍方擁有的網絡能力的衡量指標
國際戰略研究所( IISS)對如何衡量國家軍事網絡能力開展了相關研究,其研究成果在其發布的 2020 和 2021 年軍力平衡報告中均有體現。
IISS 提出的軍方擁有的網絡能力的衡量指標有:( 1)戰略和學說;(2)指揮和控制(包括情報、監視和偵察);( 3)網絡授權與依賴;(4)網絡安全與彈性;(5)網絡空間的全球領導地位;(6)以及網絡 脅迫的軍事能力。與此同時,還要考慮網絡能力被整合到國家戰略和 軍事行動結構中的程度,以及它們在指揮和控制、民間和軍事當局以 及聯盟內部的整合,研發以及人力也很重要。下表是以美國為例根據上述指標進行的評估測試。
表 1 軍事網絡能力
四、結 語
一個國家的網絡安全能力可以理解為 21 世紀的戰略能力。網絡安全能力建設必須建立在對不同社會領域全面認識的基礎上,以增強整體能力。衡量這一總體能力具有挑戰性,比較各國的網絡安全能力更具挑戰性。這主要有兩個原因。首先,有幾種不同的網絡安全指數可用,但它們并不衡量相同的能力。目前還沒有一個單一的網絡安全指數或方法可以依賴。第二,軍事網絡能力的具體細節、組織、學說和其他細節往往在公眾視野中隱藏,使研究變得特別困難。
盡管如此,近年來國際上有越來越多的機構和組織在國家網絡能力領域開展了有益的、具有借鑒意義的多項研究。我們希望能夠有越來越多的中國學者加入到全球網安全研究的隊伍中,將目光瞄準更多的國家和地區,在深入研究的基礎上,為全球網絡安全的治理貢獻中國智慧,提供中國方案。
