网络战的新现实 （2）

使用武力？

美国有关网络战的大多数讨论都集中在防御概念上，但“奥运”行动已经清楚表明美国和以色列将用网络武器发动攻击。

美国此前已经表示其网络战略将遵循国际法。联合国宪章中禁止“以武力威胁或诉诸武力干预一个国家的领土完整或政治独立”。第51条明确规定“如果联合国成员国受到武装攻击，个人的固有权利或集体防御权不应受到任何损害”。

但何为“武力”并没有明确界定。没有任何国际法对使用软件编码是否等同于使用武力进行定义。网络专家赫伯特·林(Herbert Lin)认为该术语几乎肯定包括造成人员或财产不可逆损失的常规武器攻击，但不包括不具有同样后果的经济和政治行为(例如制裁)。按照这种观点，只有构成人员或财产损失，“Stuxnet”才能被视为“使用武力”，但“Stuxnet”并没有造成人员伤亡，而伊朗方面也没有声称遭受物理不可逆损害。

但美国政府显然将“奥运”行动视为使用武力。该计划的战略目标不仅是为了推迟伊朗开发核武器的进度，也是为了阻止以色列对德黑兰核机构进行武装打击。布什和奥巴马当局都强烈赞同应当阻止伊朗的核武器项目。中情局前局长迈克尔·海顿(Michael Hayden)曾指出：这是采用网络攻击实现物理摧毁的首次重要行动。无论他人如何评价，但我认为摧毁伊朗的离心机系统值得大书特书——这绝对是对重要基础设施的一次攻击。

这意味着奥巴马政府接受了布什政府在事关国家安全威胁上应先发制人的政策，愿意与“盟国”采取一致行动，限制无赖国家的大规模杀伤性武器，即使这种做法越权——包括美国2011年网络战略中的相关规定。

很显然，“奥运”项目的目的是为了给关键基础设施造成永久破坏，其行动性质和战略意图都强烈暗示，白宫和国防部都将此次行动视作一种武力使用。

从法律角度而言，白宫是否超越了宪法的授权权限？因为根据宪法或1973年的《战争权力决议案》，只有国会才有权宣战。因此很难将“奥运”行动界定为一种战争行为。美国法律将战争定义为两个国家或两股军事力量之间的武装冲突，而无论宣战与否。重要的是，伊朗也不认为使用“Stuxnet”就构成作战行为。

《战争权力决议案》提出了一个更微妙的问题。只有当“美国武装力量卷入战争或环境明确显示即将进入战争状态时”，该决议案才适用。除了军事手段外，一国还能如何使用武力？操作“Stuxnet”的非军事人员是否符合作战人员的定义，“奥运项目”有没有超出该决议案的范围？可能的结论是，它是一项秘密行动，但并未触犯法律。

鉴于目标是摧毁敌人的重要作战能力，这种为了规避上述决议案规定或国会宣战权的做法是否适用于现代的珍珠港袭击？利比亚的空战可能为政策思维提供一些线索。奥巴马政府认为“美国的行动不涉及与地方的持续作战或主动交火，也不会派出地面部队”，因此无需取得国会的行动授权。同样，“Stuxnet”也不牵涉与敌军的武装作战或交火(未来的焦点可能集中在武装力量的定义上)。这种网络武器无需军人发射火箭炮，投掷炸弹或实施射击，因此使用者通常不被视为作战人员。

如果伊朗决定还击，那怎么办？这将如何改变白宫继续行动的权限？“Stuxnet”是一种“发后即忘”的武器。尽管代码可以设定为攻击一个特定目标，但在实际操作过程中，一旦发射就无法控制其后果或打击目标。事实上，根据桑格的报道，美国官员对于“Stuxnet”在网络上的失控非常不满。网络作战环境是随机的。网络武器的副作用带来了更多挑战。我们必须跳出伊朗的框架进行思考。如果国会希望总统终止一项无法终止的行动，那该怎么办？“奥运”项目从侧面提出了这一问题。

是否使用武力则提出了另外一些问题。“奥运”计划涉及一种作战模式。这种模式是否将网络武器作为一种武力使用？答案并不确定。网络攻击所造成损害的不确定性可能要求重新定义战争。

意图对于确定是否使用武力也非常重要。公开报道显示，对纳塔兹铀浓缩设备所造成的所有损害都是暂时的和可修复的，但这并非原本的意图。如果有人在伦敦或纽约上空投掷了一颗未能爆炸的炸弹，那怎么办？这是否一种武力使用，或者是否一种战争行为？确定本来的意图可能并不容易，但在法律上可进行客观推定。未爆炸的炸弹易于理解，但它和一个未成功的网络蠕虫之间有多大的差别？这些问题需要讨论，并纳入未来的战略考量。

最后，联合国宪章第51条是否能为“奥运”计划正名？对于第51条或其他国际公约来说，新技术的含义仍不明确。面临核威胁的以色列对此深感困扰。华盛顿担心以色列的安全，但更担心一旦伊朗获得核武器后，中东的武器竞赛可能导致区域不稳定。

　战略含义

国家对恶意软件的使用改变了网络攻击的现实。历史告诉我们，一旦武器技术可行，国家就会使用它们。今天，全球正面临着危险的科技竞赛，其特点是快速发展的致命武器。

克劳塞维茨(Clausewitz)认为战争中的优势在于防御。网络则完全颠覆了这一观点。一种网络安全工具可能需要数百万行编码和一个复杂的事件跟踪和识别系统，而恶意软件的要求则低得多。计算机的编码可以快速变化，防御工具却很难跟上其速度。编码可以具有很强的针对性。它可以利用社会和技术参数。它可在数秒内让一个网络防御软件失效。它可攻陷一个耗时数年开发的系统。

但设计一个作为弹头的编码同样需要高度的专业经验和超强的情报能力，而通常只有国家才拥有这些经验和能力。我们认为，恶意软件不是一种广域武器，只能用于攻击特定目标，达到特定效果。

“奥运”计划使恶意软件具备了重要的战略意义。“Stuxnet”致力于摧毁特定目标，但更重要的是揭示了战争的政治性。实现战略性政治目标并不一定需要消灭敌人。

未来的网络武器将主要用于限制对手的操作、协同能力，使对方的指挥官忽视自己所取得的成果。“Stuxnet”成功地制造了混乱。桑格在报告中指出，伊朗开始对自己的设施产生怀疑。他引用说，其目的“是打乱伊朗的科学思维”，“使他们觉得自己愚不可及”。

从理论上说，搅乱对手指挥官或首席执行官或政府官员的意识，使其对自己的控制能力失去信心，抑制其控制权，这有助于打击对手实现目标的能力。公开的信息显示，“Stuxnet”确实延缓了伊朗的核进程。

摧毁资产是网络武器的众多潜在目标之一。未来的网络武器可能中断通信系统，阻断敌军协同指挥海空陆军的能力，减缓敌方集中或部署军力的速度。聪明的战略不是消灭敌军，而是瘫痪其指挥和控制系统，使其丧失作战能力。

一个不利的进展是华盛顿和以色列泄漏了有关“奥运”计划的信息。应对网络入侵首先需要确定入侵者。

最后，需要指出的是，“奥运”计划所用的工具与网络犯罪分子的工具并无很大的区别。这将使得致力于预防网络犯罪的国际公约陷入更加困难的境地。

国与国之间的网络攻防，无论是否满足常规的使用武力或战争行为定义，都将成为一种新的现实，需要新的战略考量。有关“奥运”项目的探讨表明美国和其他国家应当就是否使用网络武器进行开诚布公的交流。所有国家，包括民间组织和政府机构，都必须制定应对这些新现实的战略。

　　原文标题：The New Reality of Cyber War