防止网络战的规范性方法

2017-03-27

近年来发生的数起间谍案，引起人们对网络空间冲突的日益关注。这其中，包括俄罗斯利用网络干预让2016年美国大选有利于唐纳德·特朗普，2015年匿名网络攻击导致乌克兰电力系统中断，以及“Stuxnet”蠕虫病毒摧毁伊朗上千台离心机。在上月举行的慕尼黑安全会议上，荷兰外交部长伯特·昆德斯宣布成立一个新的非政府“全球网络空间稳定委员会”，作为对联合国政府专家组（GGE）的补充。

联合国专家组曾在2010年、2013年和2015年提出报告，帮助制定网络安全谈判议程。最近这一期报告还确立了一套规范，并获得联合国大会通过。虽然取得初步成果，但专家组仍有局限性。其成员只是联合国秘书长的技术顾问，并不是被充分授权的国家谈判代表。虽然专家组成员从原来的15人增加到25人，但多数国家仍然没有发言权。

而专家组背后更大的问题是：这些规范真能制约国家行为吗？

多数专家都同意，制定一个全球性网络空间条约，目前在政治上是不可能的（虽然俄罗斯和中国已经在联合国提出此类建议）。不过，除了正式条约，对国家的规范性约束还包括行为准则、国家的传统实践，以及群体对合理行为的普遍期待（它形成普通法）。在范围上，这类约束可以有全球、多边、双边等多种形式。那么，对于规范性政策工具的有效性，历史又能告诉我们什么呢？

广岛核爆炸之后的十年时间里，战术核武器被普遍当作“常规”武器，美军将核炮、核地雷和核防空武器纳入其军力部署。1954和1955年，参谋长联席会议主席对德怀特·艾森豪威尔总统说，要想守住越南奠边府和台湾附近岛屿，需要使用核武器（艾森豪威尔拒绝了这一建议）。

随着时间的推移，不使用核武器变成了非正式的规范，情况就此发生改变。诺贝尔经济学奖得主托马斯•谢林认为，不使用核武器这一规范的确立，是过去70年军备控制领域最重要的内容，它对决策者产生了抑制作用。但是，像朝鲜这种新的核国家，谁也不能保证它能意识到违反禁忌是得不偿失的。

同样的，第一次世界大战后，在战争中使用有毒气体成为禁忌。1925年的《日内瓦议定书》规定禁止使用化学武器和生物武器，上世纪70年代达成的两项条约禁止生产和储存这类武器，不要说使用，就连私藏这类武器也要付出代价。

《生物武器公约》有关核查的规定并不严格（只要求主动向联合国安理会报告）。因此，这条戒律未能防止苏联在上世纪70年代继续拥有并发展生物武器。《化学武器公约》同样没能阻止萨达姆·侯赛因或巴沙尔·阿萨德使用化学武器去对付本国公民。

尽管如此，这两项条约还是会塑造其他人对此等行为的看法。这种看法让2003年对伊拉克的进入和2014年国际上要求解除叙利亚大部分武装具有正当性。《生物武器公约》得到173个国家的批准，想发展生物武器的国家必须暗中行事，如果被抓到把柄，它们面临的将是国际上的广泛谴责。

规范性戒律也许同样适用于网络，虽然在网络空间里，武器和非武器之间的区别取决于你的意图，而且禁止设计、拥有甚至间谍式植入特定计算机程序非常之难，更谈不上可靠性。从这个意义上说，防止网络冲突，不能像从冷战时期发展起来的核军控，包括详细的条约和面面俱到的核查议定书。

对网络战进行规范性控制的更有效方法，或许是确立一个禁忌，它不是针对武器，而是针对攻击的目标。美国主张把《武装冲突法》（LOAC）的观念用于网络空间，也就是说禁止蓄意攻击平民。为此，美国建议各国不是承诺“不首先使用”网络武器，而是应当承诺在和平时期不针对民用设施使用网络武器。

该规范方案已经被联合国专家组接受。通过采取建立信任的措施，例如承诺给予司法协助，以及不干涉“计算机安全应急响应小组”（CSIRTs）的工作，这一禁忌将被强化。

专家组2015年7月提交的报告，重点在于限制对民用目标的攻击，而不是禁止特定的代码。2015年9月美国总统巴拉克·奥巴马与中国国家主席习近平举行首脑会晤时，两位领导人同意成立一个专家委员会，来研究专家组的提议。其后，专家组的报告获得G20领导人支持，并提交给了联合国大会。

对乌克兰电力系统的攻击发生在2015年12月，就在专家组提交报告后不久。而在2016年，俄罗斯并没有把美国大选当作应该受保护的民用设施。对网络武器进行规范化控制依然是一个缓慢的、如今看来并不完备的过程。

全文翻译自：《报业辛迪加》（Project Syndicate）。原文标题A Normative Approach to Preventing Cyberwarfare（2017-03-13）