國際網絡攻擊溯源機制的必要性和可行性探析

溯源（attribution）是解決網絡攻擊的起點，通過指出并懲罰真正的攻擊者以震懾其他潛在罪犯，阻止未來可能發生的攻擊。伴隨國家間網絡空間博弈的日趨激烈，一些國家越來越傾向于使用強大的網絡攻擊溯源能力塑造國際敘事，渲染放大網絡威脅，為其采取起訴、制裁等單邊措施提供托詞。“點名羞辱”（namingand shaming）已成為部分國家解決網絡爭端的慣用方式，既有悖于和平方法解決國際爭端的原則，也在一定程度上激化了國家間的不信任，進而遠離了溯源的本來目的。鑒于此，一些學者和研究機構都在嘗試探索建立國際性溯源機制，以期形成一套獨立、權威、專業的溯源標準和流程，但相關進展緩慢，所面對的障礙和挑戰不容樂觀。

一、網絡攻擊溯源的進展及其作用

網絡攻擊的最大吸引力在于攻擊者可對所作所為進行抵賴（deniability），網絡攻防兩端的角力仿佛一場貓鼠游戲，是隱藏和揭露兩種技術之間的比拼。為更好地應對網絡威脅，政府與安全企業都在不斷推進溯源技術發展，美歐還把“公開溯源”（public attribution）作為一項政策手段，以期形成震懾。從客觀上看，技術層面的溯源趨于成熟和標準化，但是，如何將網絡攻擊歸因于國家或某個政府部門卻非易事，也是當前爭議與分歧最集中的一大難點。

（一）溯源并非簡單的技術問題

美國網絡安全專家赫伯特·林（Herbert Lin）把網絡溯源分為三個層次，即追蹤到某臺機器、追蹤到敲擊鍵盤發動行動的明確個人、確定最終要為行為承擔責任的某一方。2018 年 9 月，美國國家情報總監辦公室發布的《網絡溯源指南》（A Guide to Cyber Attribution）備忘錄指出，“所有行動都會留下痕跡”，溯源分析就是使用這些信息，結合對之前已知惡意入侵事件及所有工具和手段的了解，嘗試追溯攻擊源頭。歸納起來，溯源就是先要了解攻擊是怎么發生，其次分析攻擊的來龍去脈和確定攻擊者的身份，即事件是什么，最后確定誰應對攻擊負責，評估攻擊的原因、嚴重性及恰當的應對方式，即回答是誰和為什么。由此可見，技術只是溯源的基礎，目前主流的“鉆石”模型、MICTIC 框架（Malware，Infrastructure，Control Server，Telemetry，Intelligence，Cui Bono）和 ATT&CK 框架（AdversarialTactics，Techniques，and Common Knowledge）在獲取攻擊者的工具、技巧和流程（TTPs）、攻擊者可能犯的錯誤等技術細節上日趨成熟和標準化，為準確溯源提供了有力依據。

然而，僅憑技術取證或溯源僅停留在技術層面，解決不了“確定責任方”的問題。一方面，確定攻擊者仍需要可靠的人力情報、信號情報，以及歷史和地緣政治背景的支撐。而且，由于網絡沖突涉及國家的政治利害，能否準確發現及如何指出攻擊者還需國家高層領導決斷，評估損失并決定采取何種處置措施（即所謂政治溯源）。另一方面，對攻擊者的追責更是一個復雜的法律問題。國際法上追究國家責任有兩個前提條件，一是此行為能被定性為違反國際義務的國際不法行為，二是能將此行為歸因于國家（受國家指揮或控制），技術和政治層面的溯源都無法滿足上述條件。正如網絡安全公司集群打擊（Crowdstrike）創始人德米特里·阿爾帕羅維奇（Dmitri Aplerovitch）所言，溯源（明確誰負責）現已基本解決，但是，“公開溯源”（即當知道誰負責后要做什么）還是一個有待解決的問題，它需要揭露有關惡意網絡行為的信息至某臺機器、明確的入侵者及（或）最終要為行為負責的人。

總之，準確的網絡攻擊溯源考驗的是溯源方調動全源（all source）資源和力量的能力，也考驗決策者的決斷力及對國際法的運用能力，攻擊手法、基礎設施、惡意軟件或意圖等各個因素單獨分析都不能決定責任方。《網絡戰不會發生》（Cyber War Will Not Take Place）一書的作者托馬斯·里德（Thomas Rid）把溯源視為“一門藝術”，稱之為一個微妙的、多層次的系統工程。或者可以說，網絡攻擊溯源已經成為一個帶有技術因素的政治問題。

（二）公開“點名”日益成為一個政策選項

美國奉行網絡威懾戰略，主張“沒有溯源，攻擊者就不會受到威懾。如果沒有適當的行動約束惡意攻擊行為，安全現狀就不會改變”。2012年，時任美國國防部長帕內塔指出，軍方“在解決網絡威懾問題上取得重大進展，即克服了找出攻擊源頭的困難”，并號稱“潛在的敵人應知道美國有能力定位他們，讓他們為損害美國利益的行為付出代價”。2013 年年初，網絡安全公司曼迪昂特（Mandiant）發布 APT1 報告，在美國政界、媒體和學界掀起了“中國網絡威脅論”的炒作浪潮。之后數年中，美國及其盟友、歐盟等相繼指出，朝鮮黑客組織 Lazarus 策動了 2014 年對索尼娛樂公司的網絡攻擊和 2017 年“想哭”勒索病毒攻擊；指責俄羅斯在 2015 年、2016 年發動網絡攻擊造成烏克蘭大面積斷電，散布 NotPetya 病毒，在 2016 年美國大選期間攻擊希拉里郵箱和民主黨全國委員會以及利用網絡破壞法國、德國大選等。2020 年 3 月，美國網絡空間日光浴委員會報告建議，理念相近國家組成“全球共同體”，對惡意網絡行為進行“集體溯源”，在確保懲罰效力的同時相對降低各自的成本。2021 年 7 月，美國糾集五眼聯盟國家、歐盟等國家和地區指稱所謂中國政府黑客攻擊了微軟 Exchange 服務器。這些所謂的公開溯源得以讓美國等西方掌握了議題設置的主動權，既能抬高與被“點名”國家談判的要價，又主導了國際規則進程朝符合其理念和利益的方向發展，之前單純的“羞辱”也逐步升級為讓實施攻擊者承擔后果、付出代價。美國及其盟友通過 G20 共同聲明、G7《網絡空間負責任國家行為宣言》（Declaration on ResponsibleStates Behavior in Cyberspace）、27 國《關于在網絡空間促進負責任的國家行為的聯合聲明》（JointStatement on Advancing Responsible State Behaviorin Cyberspace）等，宣稱一國在遵守國際法前提下有權自主認定攻擊源并可自行采取反制措施，甚至可以動用自衛權。歐盟于 2019 年正式發布“關于針對威脅歐盟及其成員國網絡攻擊的限制性措施”的政策框架（網絡外交工具箱）后，相繼憑借己方證據對所謂的中俄國家黑客發起制裁。德國于 2021 年 3 月發布的網絡空間國際法適用立場文件也明確主張，“溯源是一項特權”，它沒有法律義務公布溯源過程和證據。這些言行帶來了溯源的普遍濫用，但是并沒有緩解網絡空間的不安全狀態。

（三）溯源的信譽存疑

2015 年，聯合國信息安全政府專家組（UNGGE）達成的最終報告提出，“各國必須按照國際法對歸咎于它們的國際不法行為履行國際義務。但是，如果跡象表明通信技術活動由某國發起或源自其領土或信通技術基礎設施，可能這件事本身并不足以將此活動歸咎于該國”，因此“須經證實后才能對國家組織和實施不法行為提出指控”。

事實上，對網絡溯源結果的證實卻未形成共識和一定之規。一方面，網絡溯源的準確性和公正性難以保障。溯源的過程、數據的多寡、證據的準確、證據鏈的力度、溯源人員的水平等都會影響溯源的質量和可信度。不斷發展的攻擊手法還會增大技術溯源的難度，如一些以刪除數據為目的的攻擊能刪除取證所需的日志數據，高級惡意軟件會在取證前消失，攻擊者會造成網絡基礎設施短時延誤取證時機等。此外，先入為主、預判、偏見及心理和政治傾向亦都有可能影響溯源。如政府可能出于特定的政治目的影響溯源結果，甚至可能在調查尚未完成時對一些攻擊源進行推斷和譴責。另一方面，溯源過程天然的保密性也使其缺乏透明度和說服力。為保護敏感信息來源和調查方法，溯源方通常不愿公開分享可作為證據的情報信息和手段，結果公布后也無法或不愿提供全面的證據。因此，缺乏統一嚴格的溯源標準和多邊參與的分析框架，往往導致溯源調查方各說各話。

值得注意的是，企業的溯源能力和意愿持續高漲，在普遍推高溯源水平的同時，也帶來一些問題。例如，有的企業會受經濟利益驅動，在調查網絡攻擊事件時傾向于主動、盡早發布結果，以突顯其技術實力吸引眼球，從而可能會片面選擇相關證據，或盲目否定競爭對手的結論，或與政府密切捆綁并迎合屈從政治權威，導致溯源結論難以服眾。政府也會更頻繁地假手企業發布溯源報告，用這些公開結果回應有關網絡事件，繼續隱藏敏感的情報源和手段，減輕政府作出溯源判斷的責任，這種模糊性策略對外交的好處顯而易見。

二、國際溯源機制的可行性探索

面對目前網絡攻擊溯源存在公正性難以保障、未形成系統完整的方法及缺乏統一標準等不足，也為了努力解決法律溯源的難題，一些機構與學者開始嘗試針對國際溯源機制的目的、原則、組成和工作流程等形成了若干方案，提供了有益的參考。

（一）汲取傳統領域的經驗與做法

《塔林手冊》（Tallinn Manual）主編邁克爾·施密特（Michael Schmitt）參與了一項有關國際溯源機制的研究，強調事實調查是法律和政治訴求的基礎。國際法之所以能有效適用于國際關系的任何領域，取決于其形成了法律規范的互動、事實調查程序（確定違反情況并把責任歸因于國家或非國家）和后續措施（包括羞辱、在外交或仲裁平臺上的控訴、制裁和反措施等）的閉環。他認為，這一鏈條上每個結點的合法性是其后一個結點合法性的前提條件，指責和響應的合法性取決于法律條款和溯源程序的合法性。因此，確保程序合法性的國際溯源機制才能為法律層面的追責奠定基礎，而其他領域的經驗提供了很好的思路。

與追查網絡攻擊元兇類似，國際民航法、國際勞工法和軍控領域等傳統國際法的事實調查（fact finding）機制和核查機制（verificationmechanism）在查驗簽約國是否履行義務、查找事件責任方等方面發揮了重要作用。如國際原子能機構（IAEA）下的保障監督協定和附加議定書（Additional Protocol for Verification of NuclearSafeguards）、禁止化學武器組織（OPCW）和全面禁止核試驗條約（CTBT）下的技術秘書處等都有類似的調查、技術核查職能。其主要手段包括定期調查、從監控點和現場設備收集數據、收集和分析文件、技術數據、樣本和訪談等，既增大了違約事實被發現的可能性，發揮有力震懾，還為各國提供了拒絕無理指證的方法，例如《化學武器公約》（Chemical Weapons Convention）的“挑戰調查”、IAEA 的特別調查等。這些調查或審查機制還配合了譴責和制裁的國際法律和政治程序，確保調查結果得以認可和使用，尤其成為國際軍控機制穩定不可或缺的環節。

（二）相關探索積極展開

2017 年 6 月，美國智庫蘭德公司發布報告《無國家溯源：有關網絡空間的國際責任》（StatelessAttribution：Toward International Accountability inCyberspace），建議國際社會盡快組建一個獨立、可信、權威且透明的“全球網絡溯源聯盟”（GlobalCyber Attribution Consortium）。同年，微軟發布《從概念到行動：推動網絡安全準則進程》（FromArticulation to Implementation: Enabling Progress onCybersecurity Norms）報告，以此作為推進其倡導的“數字日內瓦公約”的一個重要環節。微軟在報告中設計了一套全球網絡安全規范框架，包涵攻擊性規范、防御性規范和業界規范三類行為規范，并提出了如何使這些規范得以落實到國家實踐、公共政策和法律中的建議。為了核查各方是否遵守和履行網絡安全規范，微軟倡議建立一個由政府和私企共同參與的機制，決定誰來負責舉證，證據確信要達到的程度以及呈現的證據是否符合標準等，以支持技術溯源并采取嚴格的同業互查，從而解決全球互聯互通、匿名及缺乏可追蹤性使追溯網絡攻擊極其困難等問題。此外，大西洋理事會追蹤達到武裝沖突的網絡攻擊的“多邊溯源與仲裁理事會”、俄羅斯智庫解決政府層面網絡沖突的獨立國際網絡法庭或仲裁機制等方案也相繼問世。佐治亞理工大學近來也圍繞如何建立跨國溯源機制（transnational attributioninstitution）這一中立的全球性平臺、開展公開網絡溯源等問題組織了國際專家會議。

關于國際溯源機制的探討近年來得到了更多官方或準官方的關注。2019 年，休伊特基金會（Hewlett）、萬事達和微軟共同資助成立網絡和平研究所（Cyber Peace Institute）。執行、促進和協調“對復雜網絡攻擊的集體分析、研究和調查”是該所的一大努力方向。該所現已在記錄、追蹤和分析網絡攻擊及其后續的問責等方面獲得了大量成果，例如梳理了針對醫療系統網絡攻擊、俄烏沖突發生后烏克蘭關鍵基礎設施和民用目標遭遇網絡攻擊的時間線等。荷蘭外交部繼支持“網絡空間穩定全球委員會”后，又與耶路撒冷希伯來大學 Federmann 網絡安全研究中心聯合資助一項國際研究項目，探討建立國際溯源機制的可能性和方案，自 2020 年以來組織了多次研討。

（三）需要重點解決的問題

現有的方案著重解決各方對現有溯源程序及結果等的詬病，嘗試在 4 個方面有所突破。

1.獨立性問題

主要有兩種不同的設想，一種是要通過成員的去政府化實現機制的去政治化，獨立于政府之外運作，將政治影響降至最低，確保溯源不被國家意愿所左右。如果政府自愿為溯源提供信息，機制的成員有權衡量其情報價值并選擇是否采納。另一種則主張應由政府和私企共同組成，因為溯源本身具有“潛在的地緣政治重要性”，吸納包括聯合國安理會五常在內的主要國家，可以緩解“政府不愿授權一個獨立機構來發現政治上如此重要并可能引發緊張局勢的信息的顧慮”。

2.權威性問題

主要取決于成員的專業性、代表性及機制運作的透明性。現有各方案普遍認同要吸納技術專家和研究政策、法律及國際關系的專業人士。前者主要負責技術評估，可包括網絡安全和信息技術公司，互聯網工程任務組（IETF）、電氣和電子工程師協會（IEEE）、互聯網協會及技術社群等。后者則負責調查監管和政策反饋。通過承諾聽取全球不同領域專家的意見、公開分析框架以確保溯源結論的客觀性和透明度、堅持公布真實信息、結論可進行同業互查等，機制構建起自身的信譽和可信度。

3.溯源流程問題

包括調查的啟動、證據的搜集和評估、攻擊后果評估以及通報和公布等多個環節。國際溯源機制啟動調查應滿足兩大前提：受害方提出調查請求和特定的觸發條件。但是，各方案基本都同意限于分析“重大”網絡攻擊，至于何為“重大”，機制可依據攻擊影響的系統和人口數量、經濟及名譽損失、調查所需經費和時間、技術能力等形成可量化的評判標準，判定網絡事件的性質，再經內部投票決定是否啟動調查。證據的搜集要征得受害方同意，并嚴格限定特定數據的訪問時限和知悉范圍，確保敏感數據不外泄，還要明確哪些數據應被納入評估。溯源結論要采取一致同意原則，將關鍵發現通知相關方，給予其一定時間進行響應后再發表公開聲明或發布報告。

4.溯源結果的效力問題

為避免引發爭議，國際溯源機制僅聚焦于技術分析和溯源證據，而不會開展作證、執法等其他后續行動，其結論也僅作為他人采取行動的依據和基礎，提供的只是事實描述而非呈堂證供。

三、國際溯源機制的障礙與前景

獨立的國際溯源機制可增加溯源的合法性、公正性和可信度，對國家背景網絡攻擊的泛濫將形成一定的束縛，有利于改善網絡空間的不安全，減少不確定性。提出上述方案的專家或機構期望能夠找到辦法，結合國家機關收集和分析的證據及各公共和私營網絡安全技術專家做出權威可靠的溯源結果。國際溯源機制對于中小國家還頗具吸引力，例如對于那些意圖問責攻擊但獨立技術和情報能力有限的國家來說，國際溯源機制是有用的。中小國家也常常因缺少回應惡意網絡行動的適當有效的外交、經濟、技術或軍事手段，而更傾向于動員他國或國際支持。國際溯源機制還會激勵更多的集體溯源，更大范圍的譴責和多邊響應比單個國家的措施更能推動問責。當國際溯源機制與網絡制裁機制形成聯動時，可發揮重要作用。

但是，溯源本身的復雜性和敏感性使建立國際溯源機制的進展不會一帆風順，距離真正組建還將面臨諸多困難。首先是對政府情報資源的利用問題。溯源分析所需信息的機密性會增大證據獲取的難度，能否實現政府和私營部門情報信息的相互印證和補充，能否避免過多使用政府提供數據引發的獨立性問題，還有由此衍生出來的隱私和重要數據及來源保護的問題。機制中能否及如何分析相關技術，尤其是核心技術也是一大考驗。其次是資金來源問題。若請求聯合國提供資金支持，在人員組成的選擇上恐因此受制于人，溯源結果亦可能受到資助方的影響。再次是機制的激勵問題。無論政府部門還是私企，都存在加入機制的動機問題。例如，比起技術能力有限、動員集體溯源國際支持能力不足的國家，具有強大網絡能力的國家對建立一個網絡安全事件溯源機制的興趣更低。最后是結果的使用問題。國際溯源機制一旦形成并公布結論，就會直接成為各方對所謂責任方開展問責或制裁的依據，被指控方能否及如何自辯或自證清白。此外，機制本身是一個等級分明的組織機構還是一個網絡化的、更為松散的組織形式、參與國家有限、溯源過程的透明度、溯源的效率問題（如確定網絡攻擊責任方需耗時數周、數月甚或數年去分析和取證）等亦是各種國際溯源機制設想未來要解決的問題。

盡管仍處于探索過程，設計構建國際溯源機制對解決國家間的網絡爭端、促進網絡空間負責任的國家行為規范的落地實施有著不可忽略的積極作用，也能在一定程度上避免出現能力強大的國家“一言堂”、借此挾持話語進行無限施壓的現象。為了確保不會淪為一些國家推行霸權的工具，未來的國際溯源機制既要汲取聯合國及各種政府間機制的經驗教訓，也要遵循網絡空間的規律和特點，充分調動各利益相關方的智慧與意愿。