“网络战”、“网络空间行动”或者是“网络防御”已经成为网络空间中不得不加以重视的新趋势与研究领域。据不完全统计，全球已经有140多个国家正在发展网络作战力量，美国、俄罗斯、欧盟等主要大国纷纷把网络军事准备上升到国家战略层面，网络战司令部升级、作战部队扩编、网络部队形成作战能力正在成为各国普遍追求的目标。另一方面，网络武器泄漏并且被制作成勒索病毒，关键基础设施遭受攻击的案例越来越多，网络军备竞赛已经悄然打响，网络空间军事化已经不再是担忧而已。

面对这种形式的发展，中国政府在《网络空间国际合作战略》中明确提出，“网络空间国防力量建设是中国国防和军队现代化建设的重要内容，遵循一贯的积极防御军事战略方针。”另一方面，战略也提出“网络空间加强军备、强化威慑的倾向不利于国际安全与战略互信。中国致力于推动各方切实遵守和平解决争端、不使用或威胁使用武力等国际关系基本准则，建立磋商与调停机制，预防和避免冲突，防止网络空间成为新的战场。”在加强网络空间国防力量建设之外，也向我们提出了另一项非常重要的议程，就是反对网络空间军事化、反对以威慑为基础的网络战略。但我们也要看到，以美国为代表的网络强国并不理会中方的良苦用心，相反，在推动网络空间军事化、制定网络威慑战略方面的步伐在不断加大。

本次专题栏目聚焦网络武器战和网络武器扩撒，将分四次为您呈现《何谓网络战争》、《美、印、日等国 “网络战部队”发展状况》、《美国如何发明网络战》、《网络武器及其扩散所带来的风险》四篇文章。从中您将发现国际社会在这一领域存在的巨大认知差异，这种差异不仅加大了治理的难度，也在客观上加剧了国际社会在网络冲突领域面临的风险。

今天为您带来的是专题第一篇——《何谓网络战争》。

【摘要】卡尔·冯·克劳塞维茨的战争概念到目前仍是最简洁、最基本的。中国古代将军和哲学家孙子在20世纪90年代关于信息战争的讨论中经常出现，但他是以铿锵有力的警句而非系统的思想闻名，相比而言，克劳塞维茨则提供了一个更为连贯一致和精致的概念。尽管在许多方面存在局限性，但他的概念和理念仍是研究“武力使用”的专业人士和专家所需掌握的核心要素。

一、战争的三个标准

克劳塞维茨确定了三个主要标准，任何攻击性或防御性行动要成为战争行为，都必须满足所有三个标准，但事实上过去的网络攻击都不能同时满足这些标准。

一是战争的暴力性。克劳塞维茨在《战争论》的首页写道，“战争是迫使敌人服从我们的意志的暴力行为”。简言之，所有战争都是暴力性的。如果一个行为不具有潜在的暴力性，那么它就不是战争行为，也不是武装袭击。在此情况下，使用该词就有了比喻的意味，如针对肥胖或癌症的“战争”。在克劳塞维茨的思想中，暴力是所有战争的要义。敌对双方将试图把暴力升级到极致，除非被摩擦、无法估量的东西以及政治驯服。

二是战争的工具性。战争行为常常是工具性的，而要成为工具，就必须有手段和目的：物理性暴力或武力威胁是手段；迫使敌人接受冒犯者的意志是目的。克劳塞维茨认为，这样定义“有理论上的必要性”。要达到战争目的，就必须使对手无防御之力。用克劳塞维茨的话说，战争中的敌对双方都把暴力用作工具，塑造对方的行为，给对方以行动的律令。对手段的工具性使用发生在战术、作战、战略和政治等层次上。预期目标的层级越高，就越难实现。正如克劳塞维茨所言，“目的就是政治意图，手段就是战争；没有目的，就永远不能理解手段。”

三是战争的政治性。战争行为常常是政治性的。战争的目的是使敌人丧失防御能力，但这可能使指挥官甚至战略家暂时无视战争的更大目的。在现实世界中，战争的更大目的往往是政治目的，即“战争只是政治通过其他手段的延续”。无论政治实体的组成形式如何，政治性都必须具有意图和意愿，并且必须将之明确表达出来。一方的意愿必须在对抗期间的某个点上传递给敌方，暴力行为及其更大的政治意图还必须在对抗期间的某个点上被追溯到其中一方，历史上还没有哪场战争没有源头。

战争行动的关键要素仍是武力行为。在大多数武装对抗中，使用武力都显而易见，但网络战争却完全不同。在网络战争中，使用武力可能是一个远为复杂和间接的因果链条，最终才导致暴力和人员伤亡。一个经常被援引的场景是在发生政治危机的情况下（比如台湾海峡），中国对美国本土发起网络攻击。在此情况下，把按下按钮的某个人与受到伤害的另一个人联系起来的因果链条是间接的、延时的，充满偶然性。这类场景不仅已经引起广泛的混乱，而且还有一个重大缺陷：即使它并不是科幻小说，也仍属虚构。如果战争具有暴力性、工具性和政治性，那么严格来说，并没有符合这些标准的网络攻击。

二、“网络战争”的三个案例

1、俄罗斯

迄今，最具暴力性的“网络”攻击可能是西伯利亚的管道爆炸，如果这确实发生过的话。据说美国1982年的一次秘密行动利用非法操纵的软件造成了俄罗斯乌连戈伊-苏尔古特-车里雅宾斯克管道的大爆炸。该管道项目需要先进的控制系统，但苏联的运营者不得不在自由市场上购买计算机。俄罗斯管道当局试图从美国获得必要的数据采集与监控系统（SCADA）软件，但遭到拒绝。于是，俄罗斯试图从加拿大的一家公司获得该软件。据说中情局成功地在最终安装在西伯利亚的控制系统中植入了恶意代码。控制泵、涡轮、阀门的代码被编入程序，正常运行了一段时间，然后“重新设置了泵速和阀蝶，以产生远超管道接头和焊缝所能承受的压力”。1982年6月，被非法操纵的阀门可能造成了“纪念碑式”的爆炸和火灾，甚至从空中都能看到。据说美国空军把这次爆炸等级定为三千吨，相当于一个小型核装置。

但是，这个故事有三个问题。

一是俄罗斯的消息来源。雷德的著作2004年出版时，瓦西里·波切林采夫对此事予以否认。他是秋明地区的前克格勃负责人，所谓的爆炸应该就发生在这里。他推测，雷德指的可能是发生在当年4月而非6月的一次爆炸，由于冻土层的土壤解冻而造成管道移位，进而造成爆炸，但没人受伤。尽管在20世纪80年代初苏联有定期的事故和管道爆炸的报道，但1982年没有媒体报道能予以证实。后来，俄罗斯也无任何消息来源提及此事。1990年，苏联仍然存在，时任国家技术委员会副主席的尼古拉·布鲁斯尼琴中将出版了《开放和间谍》一书，有关“计算机间谍”的内容讨论了前些年苏联情报部门发现的一些设备。如果发生过管道攻击，那么就有理由假设他知道此事，即使不提及这个例子，至少也会提及硬件破坏的可能性，但他没有这么做。

二是当时可用的技术。尚不确定“逻辑炸弹”在1982年能否很容易地被隐藏起来。30年以后回头看，要分析工业控制系统中暗遭修改的软件非常困难，甚至不可能。但是，当时的技术要简单得多。在1982年，要检测所有可能输入所产生的每个输出是可以实现的。换言之，测试软件的缺陷可能相当容易。据估计，即使利用当时的技术，回归测试也用不了一天的时间就能完成。总之，“隐藏”恶意软件在当时要困难得多。

三是即便中情局解密了所谓的“告别档案”以后，该档案也未证实发生过这次爆炸。如果发生过爆炸，也不清楚是否造成了人员伤亡。有关此事的证据是如此之少和可疑，因此不能算作“逻辑炸弹”获得成功的和经过证实的案例。

2、爱沙尼亚

另一个例子是2007年4月下旬对爱沙尼亚的线上攻击。背后的故事早在事件发生之前的两周就开始了，整个俄罗斯情绪高昂，纪念对纳粹德国的胜利。时不凑巧，塔林当局决定把两米高的士兵铜像，也就是俄罗斯二战时期的无名士兵纪念碑，从首都市中心迁到郊区。这让爱沙尼亚讲俄语的居民以及邻国俄罗斯感到震惊。4月26日和27日，塔林发生街头暴力骚乱，致使1300人被捕，100受伤，1人死亡。

街头骚乱还伴随着网上骚乱。网络攻击从4月27日深夜开始。爱沙尼亚经历了当时最严重的分布式拒绝服务攻击，它们来自被劫持的计算机，数量高达8.5万台，攻击持续时间长达三个星期，直到5月19日。5月9日，攻击达到峰值，爱沙尼亚的58家网站立即瘫痪，最大银行汉莎银行的线上服务中断90分钟，第二天又中断2个小时。这些线上抗议对商业、政府和社会的影响确实引人注目，但终究较小。这次事件的唯一长期后果是，爱沙尼亚政府成功地让北约在塔林建立了一个永久性的机构——合作网络防御示范中心（CCD COE）。

这个故事有几件事值得注意。谁是幕后的攻击者仍不清楚。爱沙尼亚国防部长以及该国的高级外交官都将矛头指向克里姆林宫，但他们无法搜集证据，并收回了早先的声明，即使爱沙尼亚有能力把参与此次攻击的一些计算机的IP地址追踪到俄罗斯政府，大西洋联盟和欧洲委员会的专家也不能确认俄罗斯在此次行动中的印记，而俄罗斯官员表示有关指控“没有根据”。

米克尔·塔米特是爱沙尼亚国防部负责信息与通信技术的一名官员，他把发起攻击之前的那段时间形容为“集结僵尸网络，就像集结军队一样”。时任爱沙尼亚总理的安德鲁斯·安西普问道，“封锁主权国家的港口或机场与封锁政府机构和报纸的网站之间有什么区别吗？”这当然是一个反问。然而，答案很简单：与海上封锁不同，仅仅“封锁”网站并不具有暴力性，甚至也不具有潜在的暴力性；与海上封锁不同，分布式拒绝服务攻击只是一种非定向的抗议行为；与舰船挡路不同，网络攻击仍是匿名的，没有政治支持。

3、格鲁吉亚

一年后发生了第三起重大事件，背景是2008年8月俄罗斯联邦和格鲁吉亚之间的地面战争。这次短暂的武装冲突由南奥塞梯的领土争端引发。 8月7日，格鲁吉亚军队对挑衅作出反应，攻击南奥塞梯的分裂势力。一天后，俄罗斯作出军事回应。然而，对格鲁吉亚网站的计算机攻击在7月29日就已慢慢开始；随军事冲突而来的则是主要的网络攻击，两者都始于8月8日。独立的网络攻击与常规的军事行动同步发生，这可能还是首次。

对格鲁吉亚的网络攻击包括三种不同的类型。一是该国的一些重要网站遭“篡改”，如格鲁吉亚国家银行和外交部的网站。最恶劣的是把希特勒和格鲁吉亚总统萨卡什维利的肖像并列在一起的拼贴画。二是对格鲁吉亚公共和私营部门网站的拒绝服务攻击，包括政府、议会、新闻媒体、最大商业银行的网站，以及其他较小的网站。这种线上猛攻平均持续约2小时15分钟，最长达到6小时。三是散布恶意软件，以增强攻击者队伍和攻击数量。各种俄语论坛都帮助散布可以使公众采取行动的脚本，均以格鲁吉亚政府网站为优先目标。

这段插曲的影响也相当轻微。第一，尽管国际舆论、格鲁吉亚政府和匿名黑客都有好战言辞，但这些攻击并非暴力性的。格鲁吉亚应对网络攻击远不像爱沙尼亚那么脆弱，其网络接入相对较低，几乎没有什么重要服务连网。除使格鲁吉亚政府的许多网站暂时不能访问外，整个事件影响很小。第二，这次攻击只有最低限度的工具性。格鲁吉亚国家银行下令所有分支机构停止10天提供电子服务。攻击造成的主要损害在于限制了格鲁吉亚政府国际通讯的能力，使一个小国的声音在关键时刻不能被外界听到。即便如此，其效用也有限，因为格鲁吉亚外交部在谷歌公司的许可下，在Blogger上开设了博客。第三，这次攻击并非真的具有政治性质。格鲁吉亚政府也指责克里姆林宫，但俄罗斯再次予以否认。北约后来发布了一份有关格鲁吉亚攻击的报告，认为“没有什么真凭实据能证明谁是这些分布式拒绝服务攻击的幕后黑手”。

伴随爱沙尼亚的街头抗议和格鲁吉亚短暂的军事行动，这些网络混战都创下了先例。也许这类攻击的新颖性是它们引起公众高度关注以及随之而来的好战言辞的主要原因。同样的观察可能也适用于另一类“网络战争”，即间谍行动。早期的一个例子是“月光迷宫”，即1999年发现的一起高度机密的网络间谍事件。入侵在1998年3月就已开始，持续了近两年。美国军事设施的地图被拷贝，硬件设计和其他敏感信息也是如此。美国国防部把攻击追踪到俄罗斯的计算机，但同样没有暴力性，目标不明确，也没有政治上的溯源。

三、网络攻击的三种类型

在过去的十几年中，网络攻击一直在稳步上升，一些攻击的复杂性也已达到新的高度。就此而言，“震网”攻击确实是一起改变游戏规则的事件。尽管有这些趋势，但“网络战争”中的“战争”终究与针对肥胖的“战争”（而非二战）有更多的共同点。它的比喻性价值多于描述性价值，现在我们需要回归经典术语并理解网络攻击到底是什么。

无论攻击行为是否涉及计算机，都可能具有犯罪或政治性质。如果沿着光谱对攻击行为进行分组，那么其范围将从普通犯罪一直延伸到常规战争。政治暴力则居于这个光谱中有些混乱的中间位置，既非普通的犯罪，也非一般的战争。这个中间部分可分为三段：颠覆活动、间谍活动和破坏活动。网络攻击趋于该光谱的犯罪一端。如果战争的定义恰当，那么迄今尚无已知的网络“战争”行为。这并不意味着不存在政治性的网络攻击，但所有已知的政治性网络攻击均属于颠覆活动、间谍活动或破坏活动。