中美网络-核稳定报告|威胁:值得特别关注的四类情景及后果

《关于中美建立网络-核指挥、控制与通信系统稳定性的报告》项目组
2021-04-13 14:55
来源:澎湃新闻

【编者按】

在信息时代,网络攻击已成为核武器面临的重大风险来源,网络稳定因而也成为当前国际安全领域最具前瞻性和战略性的议题之一。作为有核战略能力的网络大国,中美目前在网络空间的分歧有扩大的趋势,但双方仍有对话与合作的利益基础。上海国际问题研究院与卡内基国际和平研究院于2017年启动了中美网络与核稳定联合研究项目,重点探讨核国家之间达成某种共识和协定的可能性。

中美两国专家在数年时间里广泛探讨了他们认为可能将两国引向极不可取方向的互动态势,也清楚认识到,在两国内部和两国之间的网络与NC3互动确实带来了难以解决且极度严峻的挑战,但这项研究充分表明,中美在避免武装冲突及冲突升级为核冲突方面有足够大的共同利益,因此有可能彼此合作,以达成降低网络对NC3系统(Nuclear C3,即核指挥、控制与通信系统)的威胁这一共同目标。

该联合研究项目的成果——《关于中美建立网络-核指挥、控制与通信系统(Cyber-Nuclear C3)稳定性的报告》将由中美双方同步以中英文版本发布。澎湃新闻(www.thepaper.cn)与上海国际问题研究院合作,陆续刊发报告全文。

正是在上述背景下,两国都担心对方军队会采取可能威胁NC3的网络行动。以下三种场景尤其值得关注:

首先,在常规对抗之前可能会在网络空间采取早期的预防性甚或先发制人行动,而这种行动可能会在无意中对核资产及核指挥与控制基础设施产生影响。其次,在常规冲突爆发后可能出现网络攻击,其目的可能是为了防止出现核升级,但可能会在无意中导致核升级。第三,网络行动的巨大威胁,会造成对方对核力量安全性、生存性和可靠性的强烈焦虑,从而触发更高的警戒状态和其他防御措施。这些都可能会导致事故和失误,或者被对方误解为具有进攻意图的行为。这三种场景都可能产生意想不到的可怕后果。

有充足的理由认为,国家(尤其是拥有核武器的国家)可能会针对某个对手的NC3实施网络行动。通过网络行动,国家可以得到有价值的情报、及时提供有关核攻击(或非核攻击)的早期预警,以及确保对方并未准备发起此类攻击。事实上,具有极高精度的情报,还可以判别核预警(在被对方探量到的情况下)是更具防御性还是更具攻击性。

一些国家还可能认为网络行动有助于慑止对手使用核武器。以可被探查到的方式对对手的NC3实施网络侵入,或者在事后有意披露相关信息,对手对于其自身系统可用性(availability)、完整性(integrity)和机密性(confidentiality)的信心可能被削弱。即使因网络行动而暴露出来的漏洞得以被修复,受影响一方仍会担心,还有其他漏洞存在或是有可能被发现和利用。由此,该方可能被劝止采取威胁性措施。

在极端的情况下,网络行动也会削弱对手使用其核武器的能力。如果仅在战术层面采取行动,那么与对核武器系统的核或常规攻击相比,以网络行动对系统实施降级所带来的升级风险较低。

用以攻击NC3的网络能力与收集相关情报的能力在很大程度上是互通的。从内部对系统进行深度侦察是实施攻击的必要前提,正如一位经验丰富的网络操作人员所说,“当你进入系统,你就成功了”,接下来很多事情都可能发生。

由此带来的问题是,对此类网络入侵行动背后的动机很难准确解读。网络工具的设计者和操作者几乎不可能对工具的效果有百分百的把握,更不可能充分认识到这些工具将如何影响接收方的认知。目标国核设备的操作者和领导者对入侵动机的评估可能更加不确定。他们可能想立即知道:这些结果是源自自然发生的技术故障、灾难或事故,还是有敌意的攻击?如果是后者,是谁实际上(不仅仅是表面上的)发起了攻击,是谁授权此次行动,哪些系统受到了影响以及受到何种影响,攻击的目的是什么,以及对方是否意在制造更大的损伤?即使是旷日持久的调查也很少能就上述问题给出确定的答案。

双方都无法充分认识到网络攻击能力的使用对被攻击的核心系统和辅助系统有何影响,更不用说对攻击者并不知晓但实际波及到的那些参与核支援任务的系统有何影响(考虑到核系统的高度机密性,后一种情况非常可能出现)。如果像一些人所认为的那样,两国在探查和正确溯源网络行动的能力方面存在明显的不对称性,那么决策制定的合理性和质量就会受到更多复杂因素的制约。

进一步加剧上述不确定性的另一个因素是,两国开发和运用网络能力与核力量的各机构之间在信息、行动管理、政策监督和决策制定等领域的深入整合方面可能存在差异。如本报告第一部分所述,网络操作者可能并不充分了解,更不用说理解和把握对手复杂而高度机密的NC3。因此,他们也无法准确告知领导人其所建议或实施的网络行动可能有何后果。

中美两国核力量在架构和理论方面的差异也影响到各自指挥与控制系统的脆弱性,这些脆弱性反过来又会影响中美是否有意愿以及如何攻击对方NC3,以及各自如何防范这些威胁。

如果中国认为美国正寻求针对中国核威慑的“主动抑制发射”(left of launch)网络能力,[1]那么中国可能把任何对其系统的网络入侵视为美国对其核威慑力量的蓄意攻击,即使其无法确定网络入侵背后的实际源头和意图。中国甚至可能感受到必须实施网络侦察的压力,以试图了解美国可能有何计划。同样,如果这种侦察活动被美国探查到,美国官员对其威胁性和侵犯性的看法可能会高于中方的实际意图。最后,中美核力量与核理论的巨大差异也阻碍了双方准确理解对方的NC3。双方可能都无法很好地理解对方的NC3是如何与常规力量相结合的。这些都增大了网络行动在无意间影响到极具敏感性系统的风险。

对中美间网络实力平衡的不同看法可能会加剧这些风险。中国专家似乎坚信,在中美网络冲突中,中国在双方网络冲突中将是实力较弱和较有限的一方。这种看法可能会让中国更加担忧自己是否有能力监测、溯源或挫败美国对其NC3的潜在入侵。中国核力量当前的扩充和多样化可以增强中国的二次打击能力,这将有利于增强稳定性。但另一方面,如果新的核力量最终导致其更易遭受网络渗透,那么这些新力量非但不能让中国领导人放心,反而会增加他们的焦虑感。

中国官员认为,美国同行理解中国在这个问题上的普遍看法,即其规模小得多的核武库并不适宜对美国实施率先打击。不管中国的网络攻击是否会减缓或阻碍美国的核行动,这一点都是勿庸置疑的。中国的网络操作者则进一步假定,美国能够充分认知到,中国无意抵消美国的核威慑。因此,他们可能会低估网络侦察及其他活动会无意中引发升级风险的可能性。而如果美国防务分析人士并不像中方那样认为中国在网络空间上要弱得多(或是真的奉行不首先使用核武器政策),这种风险就更大了。鉴于美国分析人士认为中国在网络空间及其他领域的行为都具有挑衅性,如果美国在其NC3中探查到中国的网络行为,就会将其视为严重威胁。

核与非核设施的日益整合是不稳定和冲突升级的另一个潜在来源。[2]未来几年,随着美国投入巨资以提高其总体指挥和控制能力,美国将很可能对以往各军种独自拥有和运用的能力加以整合。至少NC3的部分功能将很可能被纳入多领域指挥和控制体系(Multi Domain Command and Control)。美国国防部已经开始就建立“全域联合指挥和控制”(Joint All-Domain Command & Control, JADC2)而做出广泛努力,据报道该体系将连接和整合所有军种和所有作战领域的传感器和通信系统。虽然这一概念仍处于开发阶段,国防部官员已表示它将与NC3“相互交织”。[3]这引起了人们的担忧,即对手将更加难以将核与非核的C3能力区分开来。这种情况在今天的中国可能已经比较普遍。美方猜想,中国的常规导弹与核导弹可能已经在共用一个指挥和控制系统。一个普遍认同的看法是,火箭军(原第二炮兵)具有双重职能。至少包括超视距雷达在内的一些中国早期预警装备,可能用于核操作与非核操作。

现在不可能确切地预知这种常规与核的整合对于中美网络-核态势有何影响。但值得担忧的是,美国各军种、核与网络指挥机关以及文职官员对于这种发展趋势会如何影响中国对威胁的认知可能没有清晰的了解,更谈不上充分的感知。同样,他们的中国同行可能也没有完全意识到中国现有的联合指挥和控制会如何影响美国的看法与计划制定。另外一个需要关注的问题是,网络当中节点越多,潜在的网络漏洞就越多,就越难以准确地判定对手旨在破坏何种能力。与此同时,两国还都越来越依赖于卫星等多用途设施,来同时为常规和核力量提供通信和早期预警支持。

总之,网络行动可能因多种方式引发问题。即使是最复杂、最有针对性的网络行动也可能产生意想不到的影响,包括扩散到其他系统并造成附带损害。[4]潜在的、不可预见的连锁反应并不局限于技术系统,破坏数据或系统、引发对核力量控制的不确定感,同样可能造成决策者思维上的混乱和不稳定。遭受网络入侵行为的一方面临着实时评估网络入侵来源、意图、影响和含义的巨大挑战。区分技术故障和网络攻击也是一项耗时的工作,可靠的溯源耗时更久。因此,在高度的战略不信任的背景下,危机或冲突中影响核系统的任何网络事件,都可能引发焦虑、困惑与恐慌,相关当局也将面临极大的决策压力。

本研究的主要目的并非探讨所有可能的情况,也不希望仅限于描述“问题”。我们试图提出减少和管控风险的实用建议,以服务于双方在战略稳定方面的共同利益。以此为目的,我们希望针对那些在NC3内外部的(有意或无意的)网络行动,找出可能导致军备竞赛、危机升级甚至核冲突的几类场景。针对这些场景也许可以设想出无数种变化,但我们的目标是更为简洁地找出最具不稳定性的因素,进而明确指出中美两国都希望降低的、最令人担忧的不稳定风险,之后回归我们的主要目的,即探索降低此类风险的可行方法。

(一)NC3的功能

在确定要关注哪些场景时,清楚界定任何NC3架构都可以提供的基本功能是非常有益的。[5]根据我们的理解,这些功能包括:

1、保证在任何时候对所有核力量和战略行动进行有效监管和专属控制;

2、在所有场景下为决策、规划和行动提供支持;

3、对即将到来的攻击及时发出预警;

4、为各指挥层级提供态势感知;

5、确保系统与国家指挥机关之间有效且安全的通信联络;

6、依要求适应和支持所有的维护、升级、安全和保证操作;

7、抵御所有的破坏和颠覆行为,维护指挥层级之间以及跨指挥层级的信息与指令的可靠传输;

8、维持与核武器的敏感性相称的高标准安全、安保和保密。

数字安全事件(或攻击)通常被归类为会影响“AIC三要素”的事件,后者即硬件、软件、网络以及数据的可用性(availability)、完整性(integrity)、机密性(confidentiality)。本报告聚焦影响NC3组件、产品和服务之可用性、完整性和机密性三要素的网络事件,探究其可能造成的潜在影响。这些事件包括以下一种或多种情况(并不互斥):

1、国家指挥中枢、早期预警系统与NC3其他部分之间的通信,或是NC3与作战单元之间的通信被切断或扰乱,削弱上述机构对最高指挥当局指令的反应能力和可信度;

2、数据的保密性(可能在所有级别)受到破坏,从而扭曲决策并将核力量置于危险境地;

3、用于预警、决策制定、响应以及操作控制的数据之完整性(可能在所有级别)受到破坏和操纵,从而削弱态势感知、破坏警报与响应进程。

4、运载机制或平台瘫痪或被破坏;

5、对系统与程序的可靠性乃至整个核武库的信任出现动摇,导致高度紧张,影响战略和战术层面的选择与应对;

6、在发现对这些系统的攻击后,针对嫌疑攻击者发起或对等或升级的报复或回应;

7、对自身安全度的高估(如果攻击未被发现,或攻击被提前发现并化解)。

(二)需特别关注的四种具体情景

如前所论,蓄意削弱、瘫痪和(或)破坏NC3的网络行为毫无疑问会带来严重的甚至是极为严峻的风险。网络间谍活动和网络攻击之间的模糊界限、网络攻击潜在的传染和连锁效应(即超出预定的攻击或破坏目标),以及持续存在的对于侵入者及其意图的不确定性,使网络行动极易在无意中引发不稳定。这里有四种情景值得特别讨论:

第一种情景涉及旨在收集对手NC3核心部分相关数据及核心部分所储存数据的网络间谍活动。一旦间谍活动被发现,目标国可能会认为,对手在己方NC3建立据点,侦查和提取信息,这些是对方即将向武装冲突升级、甚至可能攻击已方核力量的前奏。

第二种情景同样涉及网络间谍活动,不同在于其对象是两用系统或为NC3提供支持或与其关联的其他环节,而这种关联有可能是并没有被网络行动发起者(或是网络行动对象国政府)充分认识到的。潜在目标包括:两用C3系统,特别是早期预警设施、电力供应或其他提供支持的辅助系统。虽然其敏感性低于第一种情景,但这种行动同样可被视作即将进行攻击、特别是对核力量进行攻击的征兆和准备工作。

第三种情景涉及的是针对两用(此处指常规和战略)NC3的网络攻击,或是针对为NC3提供支持或与其相关联的系统进行攻击、但并无意影响系统核功能的网络攻击。潜在目标可能包括:两用C3系统,特别是早期预警设施、电力供应或其他辅助系统。无论网络行动实施者意图如何,此类行动都可能影响到目标国的核运作,或者至少目标国会解读认为有此意图。

第四种需要探讨的情况是,有时一方既对另一方意图有严重猜疑,又对己方NC3在网络攻击中的脆弱性高度担忧,两者相结合导致反应过度和危机升级。技术故障、对事件的误判或是人为失误都可能被认为是网络攻击(或至少在短期内如此认为),或是触发导弹攻击即将到来的错误预警。随着人工智能算法被应用到NC3中,这种情景发生的可能性正在增加。各国因担忧其核力量的脆弱性而采取措施,但这可能反而加大危机不稳定性的风险,相关的例子包括“预警发射”或将发射权预先赋予地区指挥机构。

(三)针对NC3的(实际发生或所察觉到的)网络行动的潜在后果

网络行动可对美、中或二者一起直接制造战略影响,其影响可能是正面的,也可能是负面的。不管行动是否真实发生,对网络行动的担心和预期都可能产生战略影响。同样,如果中国或美国误以为行动是针对他们的,或者对正在发生的事件或行动做出误判,战略后果都可能随之产生。

网络行动的显著特征使上述所有这些场景都有可能发生。所察觉到的网络行动的目标方可能对此不以为意,但鉴于核安全与安保的极端重要性,这种可能性相对较低。因此,此处重点关注的是,如目标方感到不得不采取反制措施将产生什么后果。

当然,此类行动也有可能阻止对手做出可能导致冲突升级的反应。正是这种可能性促使处于敌对状态的竞争对手制造出本文所涉及的威胁,也使我们难以说服他们完全排除此类行为。此外,由于实施威慑的个人和机构都意在防止出现战争(及战争发生时的升级),很难使之愿意放弃他们认为可能需要依赖的能力。为了鼓励他们在实施此类活动时尽力保持克制,并使他们在确实投入此类活动时保持极度审慎,充分理解此类行动所带来的风险就非常有必要。另外,行动的潜在后果可能将大大超过他们认为能够从威慑中获得的益处。

由上述情景引发的后果有四大类在战略上尤其令人担忧:

1.核冲突。如目标国观察到针对其NC3的(无论是真实的还是误判的)网络攻击,并断定必须立即使用自己的核武器以防之后丧失使用核武器的能力,就可能引发这一后果。将早期预警和通信系统的故障错误解读为“攻击即将发生”,会引发同样的情况。

2.无意地或意外地使用核武器。在系统故障情况下,失效的NC3会阻止指挥官撤回对使用核武器的预先授权、更改可能引发升级的指令、制止未授权使用核武器的行为。如流氓行为体能够接触到NC3或核力量,也可能导致这些后果。

3.危机升级可能以多种方式发生。网络行动的影响可能会在无意中从非核目标传播到NC3目标。网络行动背后的意图可能被错误地归因或理解,并产生错误认知,即一国的核力量正受到攻击或对手已对本国发射核武器。技术故障和人为失误可能被误认为是对手网络行动所造成的影响,但事实上这只是失误、事故或故障。最后,在关键系统或信息并未被破坏的情况下对其失去信心,或者反过来,对已受破坏的系统或信息仍然盲目信任,都可能影响决策。

4.长期不稳定性影响。其中最有可能的是军备竞赛和随之而来的危机不稳定,此外可能在对NC3丧失信心时为弥补不足而采取行动的压力,如采取预先授权使用核武器、将人工智能纳入分析和决策体系等行动。而最不利的影响可能来自于对己方核威慑可靠性失去信心。

在我们看来,中美在短期内可以应对解决的最重要风险是那些因疏忽或在无意中制造的影响,尽管这并非两国网络-核稳定面临的最大挑战。由于第三方行为体可能制造混乱和加剧危机、溯源难题和双方溯源能力不对称、攻击者和目标国预先或实时评估网络行动影响面临固有困难等因素,这些风险出现的可能性更高,纠偏难度也更大。[6]

(本文为报告第三章“网络-核威胁:需要特别关注的场景”,现标题为编者所拟。)

上研院-卡内基中美网络-核稳定报告课题组成员

阿里·莱维特  卡内基国际和平研究院核政策项目与网络政策倡议非常驻高级研究员

潘可为  卡内基国际和平研究院副总裁,肯·奥利维尔和安吉拉·诺梅里尼讲席研究员,主管技术与国际事务项目、核政策项目

鲁传颖  上海国际问题研究院网络空间国际治理研究中心秘书长,研究员

吕晶华  卡内基国际和平研究院网络政策倡议访问学者

李彬  清华大学国际关系学系教授,曾任卡内基国际和平基金会核政策项目和亚洲项目高级研究员

许蔓舒  上海国际问题研究院网络空间国际治理研究中心研究员

杨帆  厦门大学法学院网络空间国际法研究中心副主任

注释

[1]译注:“主动抑制发射”战略最初是由美国陆军和海军将领在2014年的备忘录中提出,他们希望国防部高层能对“弹道导弹防御”(BMD)战略进行调整,不再单纯地依赖拦截弹进行防御。简单地说,“主动抑制发射”是指在敌方发射前击败威胁的能力,包括非动能能力、激光武器甚至网络攻击武器。

[2] James M. Acton, “Escalation through Entanglement: How the Vulnerability of Command-and-Control Systems Raises the Risk of an Inadvertent Nuclear War,” International Security, vol. 43, no. 1 (Summer 2018): 56-99.

[3] Colin Clark, “Nuclear C3 Goes All Domain: Gen. Hyten,” Breaking Defense, February 20, 2020, https://breakingdefense.com/2020/02/nuclear-c3-goes-all-domain-gen-hyten/.

[4]在网络空间的背景下,评估一项进攻行动的复杂性的关键指标是机密性、合理的可否认性、准确性,有保证的效果及其及时性,以及避免附带损害。

[5] See also John R. Harvey, “U.S. Nuclear Command and Control for the 21st Century” NAPSNet Special Reports, May 24, 2019, https://nautilus.org/napsnet/napsnet-special-reports/u-s-nuclear-command-and-control-for-the-21st- century/.

[6]这里提到的三个原因,即网络空间的第三方行为体、溯源难题、攻击者和目标对网络行动的评估能力,在本报告的其他部分有具体阐述。

    责任编辑:朱郑勇
    校对:丁晓