阿里·莱维特:如何将核领域的经验应用到网络安全领域
2018-02-05 17:09:09
  • 0
  • 0
  • 2

来源:信息安全与通信保密杂志社

文/Cismag 

本文选自《信息安全与通信保密》2018年第二期

阿里·莱维特(Ariel (Eli) Levite)

卡内基国际和平基金会核政策项目非常驻高级研究员,加入卡内基之前,他是以色列原子能委员会主要政策副总干事(2002-2007),也是以色列军控和地区安全部际指导委员会成员,还是费舍兄弟航空和空间战略研究所的董事会成员。

记者

在核领域,人们用了前20 年(上世纪50 年代到70 年代)才建立了核的基本规则以及行为准则,最终在70 年代末,签订了核协议。现在对于网络安全议题来说,也正好经历了头30 年,而且面临一些相似的问题。作为核专家,核议题的哪些经验可以借鉴到网络安全议题?

阿里

第一个相似的方面是,核问题和网络安全问题都是对国际社会很敏感而重要的。在过去冷战期间,核武器以及核战争的前景,在当时也是最重要的被定义的国际问题。这些与现在网络安全问题所面临的大环境相似。所以我们看到,网络安全现在也是如此,像当年的核一样,网络不仅是武器和途径,它现在已经与当前的国际关系紧密的绑定在一起。

当我们今天来看网络安全问题时,它不仅像当年的核问题一样,只是牵扯美国和苏联两个国家,(当然两者还是作为非常主导的力量参与其中,黑客干预美国大选的影响力还在美国广泛的蔓延)而且还涉及很多不同的国家,而且非国家的企业和商业也在日渐显示他们的重要性。

第二个相似的方面是,核技术是两用的技术,一方面是军事应用,另一方面是民事和能源应用。在上世纪70年代晚期,将民用核能作为主要能源的希望开始减弱。而这两点,和今天的网络安全领域非常相似。而且在网络安全领域,也是有着两用性,民用网络的“能量”一直发展得非常快,尤其是数字化经济的飞速发展,这比军事方面的应用要快得多。所以,现在我们讨论要为网络安全领域的基本规则和行为规范建立一些国际通用的标准和环境,其实压力比当年关于核的讨论要大得多。

所以总结一下,网络安全议题方面的挑战,可以说是大于核方面的,主要是我们上面提到的更多的国际力量参与进来,以及科技本身(尤其是在民用方面)迅猛发展,而且会牵涉非国家的大型商业公司,我们所面临的民用网络力量的压力也更大,因为较于民用和军用的两种力量来说,民用更强。

最后,如果按照核领域的做法,建立一个类似国际原子能机构(IAEA)的组织给网络安全的话,是解决不了问题的,因为IAEA 是政府性的组织。从某种程度上,ICANN 的设立以及改革,给予我们如何与多个参与方共同建立起网络空间的一部分。所以这些使得建立规则的难度和必要性增加。

记者

联合国信息安全政府专家组的代表(UNGGE),对于网络安全规则已经进行了长达7 年的谈判。2017 年夏天,UNGGE 第一次没有达成阶段性预期的文件。您怎么看待UNGGE 的谈判?

阿里

坦率地说,就我个人而言,我从来没有相信UNGGE 会产生成效性的结果,所以我对此一点也不吃惊。如果能达成什么成果的话,也是很难执行的,联合国框架下的裁军谈判会议,或者NPT 审查会议,都给出了例证。

上世纪60 年代,有很多国家说,一开始不想签署和批准《核不扩散条约》(NPT)。大多数最终都是放松下来的,但是只有在商定“不扩散核武器条约”将拥有和获得大量双重用途的核技术,以及5 个确定核国家承诺最终解除武装之后,才是合法的。 而且国际原子能机构被重新配置成去监测和促进核发展,但是这仅仅是为了和平目的基础上。今天许多人仍然对于当时的《核不扩散条约》的讨价还价感到不满。我想我们在网络安全领域面临的逻辑是类似的。

今天谁会同意这种不公平的安排? 哪些重要的国家会同意网络武器的发展? 谁相信网络技术及其应用可以通过核技术的方式进行验证? 所有这些问题的答案是非常少的。 所以我们面前的任务是制定一个网络方面的制度。

记者

在核领域,我们认为主要参与者是主权国家,但是在网络安全空间,目前不同的国家对于“主权”这个概念存在着不同的争议。那么在制定规则时,会有更多的困难。您怎么看待这件事?

阿里

在上世纪60 年代,美苏争霸的影响力占据全球,很大程度上,他们的意志影响着全球其他国家。所以为政府的核力量设立原则的《核不扩散条约》,自动就在联合国5 大常任理事国和其他国家之间做了带有歧视性的安排。但是对我来说,这不仅仅是核领域,整个60 年代的国际形势都是如此。到了现在,这种带有歧视性的安排,在当今的国际形势下,在更多的参与者中上演。现在美国霸主实力在减退,拥有核的其他8 个国家,就在做新一轮的较量。所以我的观点是,即使在核领域,国际秩序或者规则的设立和实行,都更加困难,甚至是走入僵局,变得不可能。更不用说是网络安全领域了,这个领域比核领域还要复杂。

但是积极的方面是,国际社会已经形成广泛的共识,应该一起努力,在网络安全领域有所作为。人们担心没有稳定的因素会引发一个网络混乱的时代,对安全,稳定和福利产生所有伴随的后果,这有助于激励各国和其他国家共同尝试有意义的事情。 失败的后果是非常可怕的风险。应对全球气候变化,有意思的是,一方面,这个议题涉及到190 多个国家,很明显,世界需要这些国家共同合作,但很难有人当领头羊,如果美国站出来想和法国扮演领头羊的角色,那么中国可能也会参与进来。为什么呢?因为这个全球性的挑战实在是太大了。但是即使如此复杂,每个国家都已经意识到,应对全球气候变化非常重要,如果环境变得复杂且失去规则,那么每个国家都会受到负面影响。

这可能需要一段时间,但最终在网络空间中,就像在自然环境中一样,我们必然会看到日益增长的合作,因为实现一个规则较少的世界,更可能在每个人身上发生。

记者

所以政府之间的合作,应该发挥一种模范作用吗?

阿里

我想政府间的合作,的确应该成为一种启示和模范。我们决不应该放弃努力使集体的利益获得胜利。 即使在气候,网络甚至核(如JCPOA 或朝鲜)方面,我们最初都是在严重的危机中蹒跚而行,而单靠这些危机的人却使我们的生活复杂化,危及我们的共同未来。

记者

在军事领域,上世纪40 年代日本广岛和长崎的悲剧,已经向世人展示了核武器的破坏力,但是在网络安全领域,网络武器的杀伤力有些模糊不定,我们在网络安全领域可以预知最坏的情况吗?

阿里

当年日本的情况是非常戏剧性的,以至于最后每个人都意识到,我们不想再要核武器。在网络安全领域,每个人都害怕发生毁灭性的打击,但是很多人相信,人们可以使用网络武器产生更加地方化、暂时性、可逆转而且有限的效应。这样的结果就是,我们会总是受到小型的网络袭击,因为人们会认为这种非毁灭性的打击,有一定合理性,同时,这种毁灭性的打击还没出现,人们的担忧也就还没有出现。所以我的观点之一:好消息是我们还不会遇到毁灭性的打击,坏消息是我们会持续不断地遇到小型网络袭击,这已经成为我们有目共睹的事实。

我的第二观点是,网络和核之间的类比在扩散问题上也被打破了。 世界在防止核武器落入恐怖分子和最鲁莽的政权手中是非常成功的。虽然后者中能够获得核武器的极少数人在使用上受到很大限制。 在网络领域,情况并非如此,我们不仅可以观察到双重使用网络能力,以及攻击性网络工具及其武器化和就业的惊人扩散。 因此,防范中小型网络攻击可能更加困难,实际上也不可能考虑传统形式的网络军备控制。

记者

所以从某种意义上,核武器的先进性以及已有的毁灭性,帮助我们去制定规则和约束自己。而这一点网络武器是不太具备的。

阿里

让我们记住,60 年代到80 年代之间有一段时期,重要的领导人相信可以把核战争控制在一定范围内。 所谓的核武器“战术”就是为了实现这个概念而发展起来的。 值得庆幸的是,在核领域,这种想法现在似乎只留在俄罗斯和巴基斯坦。 在网络空间中情况并非如此,因此我更加乐观地认为,我们可以制定有意义的规则来管理网络战争,获得普遍的收益,并有效地加以执行。 网络武器不仅可以被证明是有效的,而且也可以是合法的,也许是比动力武器更好(和免费)的武器,特别是在战争情况下。

记者

关于网络武器的定义,现在一直是模糊的,有时它的范围很广,有时很窄。对于核武器来说,前20 到30 年也是这样吗?

阿里

相似和不同都有。举个例子,人们直到1945 年在日本用了核武器。但是对于核威胁这个说法,人们却一直都在使用。所以人们发现,其实可以将“核武器”用于很多不会产生实际爆炸的目的,比如“核威胁”可以用于团结盟友、离间敌人、威慑敌人,而且也可以说服国民,拥有核武器可以保证国家安全。这与在网络安全领域的初期,是非常相似的。很多人都相信,网络力量有多种多样的使用,侦查、威慑、威逼、报复等等,它不必产生毁灭性的效果,但是可以仍然非常受用。但是没有人进行毁灭性的攻击,我不认为这仅仅只是一个巧合。

记者

那网络武器的定义是否应该更清晰呢?

阿里

我想这是很困难的。有一个原因是,很多网络方面专家的工作,在一定程度上和我们传统的情报工作很接近。尽管有些任务的目标是不同的,但是很多工具可以分享使用。所以这种定义很难。

记者

在您的理解中,网络战是什么样呢?

阿里

在网络领域以及相关的硬件、软件和人力资源的问题,是持续增长和演化的。信息和通信技术,可以被用于多方面和平和强制性目的,以及提供创造合法与非法财富的渠道。单从国家内部冲突的背景来看,成千上万的类比可以在网络武器和传统武器中去划分和分析。网络武器的能力和计划存在,而且正在发展为更大规模混合武器军事活动中去使用。网络行动可以被指挥去制造大规模的中断,间接造成重大的人员伤亡。

网络武器可能在军事、政治和道德上,扩展吸引在精确制导导弹上的逻辑和功能。鉴于目标和效果,网络武器在目标和效果方面提供了精确的潜力,尽管许多参与者在实践中可能非常难以实现。 它们涉及对交付服务人员的生命造成最小风险,甚至可能造成的平民伤亡也比最仔细设计和执行的动力攻击更少。由于这些属性,网络武器可能进一步降低使用武力的门槛。同时,有效使用网络武器需要复杂的情报,监视和侦察以及时间敏感的战斗损伤评估。 与精确制导导弹一样,网络武器是否能够实现更大的战略性政治军事目标也值得怀疑。 从这一切来看,网络武器是否会增加对军事冲突的威慑作用或使冲突更可能发生这是基本问题。

记者

网络冲突的效果是什么呢?

阿里

网络武器在武装冲突下的对抗灰色地带可能是独一无二的。爱沙尼亚遭受的网络攻击,美国领导的Stuxnet 对伊朗离心机的袭击,伊朗2012 年对沙特阿美公司台式计算机的破坏性攻击, 2011 年到2013 年对美国银行的拒绝服务攻击,以及2014 年朝鲜对索尼影业,所有的例子都是在战争之外的各种诡秘的强制网络行动。

也就是说,网络能力也会产生对战争(和恐怖主义)至关重要的影响。现在网络能力不可或缺地使现代军队的大部分通信、侦察、指挥和控制以及作战职能成为可能。网络对于军方来说比其他任何先前的技术都要多,大大提高了国家和军队的防御和进攻能力。同时,这也使得它们以前所未有的方式容易受到破坏。

网络武器与其有利的潜力相辅相成,也可以是具有自身破坏性的。 像早期的电子战形式一样,它们可以盲目欺骗,贬低甚至破坏对手的通讯、侦察系统、导航、指挥和控制以及武器的瞄准和操作。 网络武器对基础设施和物理系统的影响可能比传统电子战大得多。 大国已经利用这种攻击性的网络能力,但在网络时代却没有直接互相卷入战斗。 因此,没有经验基础或类比来评估网络运营有效和无效之间的动态竞争,如何在近距离同行之间的实战中发挥作用。

记者

核领域与网络安全领域,最大的不同是什么?

阿里

我的理解是两者具有很多相似性,我们上面提到的历史性变革,以及两者所带来的两难局面。现在网络安全面临的很多问题,和上世纪70-80 年代核领域所面临的问题是相似的。

最大的不同是,网络力量在民用经济上使用的集中性,而且情报工作、国家安全和军队的功能也与之密不可分。而且网络的使用,使得犯罪在通信方面,是全球性的。这一点和核能有着天壤之别。

记者

对于网络领域来说,专家们应该在哪些方面更多去关注呢?

阿里

有两个方面。 一是要争取有关政府承诺不进行预谋网络攻击和其他相关活动,这些活动可能造成广泛的痛苦,破坏国际体系动态稳定。 第二个优先事项是尽量减少网络行动中通过网络行为进行的无意计算错误和升级的可能性。

记者

在网络空间,您认为国家和非国家的两部分,应该划定的基本红线是什么呢?

阿里

对于政府来说,最大的责任是给网络供应链合作重新制定框架,以及强化电子通信设施方面的互信。这个框架不仅仅是给政府,而且是给商业的部分。

为了在各国获得安全,国土安全、治安职能、商业应用信息合法要求和他们采取行动之间取得平衡,可能会严重破坏对信息通信系统和集成电路的信任。 并在这个过程中阻碍商业发展和数字经济的传播。

为了实现这一目标,必须制定一些道路规则,政府和企业应该做什么,不应该做什么,如何激励好的行为,惩罚坏的行为,监督遵守情况。 中国和美国(欧洲有重要的潜在贡献)必须在这里牵头,并鼓励他们的龙头企业也参与其中。

记者

但是现在在网络安全领域和商业产业领域,全球是不平衡的,美国在这方面的能力占据全球领先地位,而其他国家则相对弱一些。

阿里

我认为你所说的美国全球领先地位在下降。现在的情况是,技术本身在不同国家广泛传播和应用。所以这个差距在减小。我们可以排名,美国是第一,那么中国是第二,而且在紧追不舍,俄罗斯、一些欧洲国家、韩国和新加坡在这个方面也非常活跃。至于以色列,我的家乡,相比美国和中国,它只是一个小国,但是已经看到了数字经济和网络科技中的军事机会,所以也在变强。

记者

您是否认为,数字经济和网络安全两者存在着冲突?

阿里

两者之间确实存在着明显的紧张关系,也存在协同和互补性。 但是,在这些领域中,可能存在更大的紧张关系。例如商业利益和隐私问题。在从数字经济中获得商业利益和这种依赖为严重犯罪创造了机会。而在军事和情报竞争中,各个大国之间存在利用网络相互窥探和造成损害的能力,而且各国非国家行为体的能力越来越强,造成了一切势力的痛苦和破坏。


 
最新文章
相关阅读