2018年美國國防部網路戰略：「防禦推進」

更多全球網路安全資訊盡在E安全官網www.easyaq.com

美國國防部（DOD）發布的「2018年網路戰略文件」引起了公眾的廣泛關注，特別是其中提到的「防禦推進」概念。

下面，本文結合最近頒布的 NDAA（即〈國防授權法案〉）與近期第20號總統政策令（ PPD-20 ）中的變化對這一概念進行解讀。

答案是否定的。上周頒布的「網路戰略」文件共有兩份。

以下提到的美國「國家網路戰略」

其一為美國「國家網路戰略」。「國家網路戰略」文件本身也很有意思，特別是其中以令人意外的強烈語氣談到國際法的重要性以及網路活動的"規範"事宜，但本文主要面向同樣於上周正式亮相的美國「國防部2018年網路戰略」這份文件。實際上，目前這份完整的國防部文件尚未完全公布，但其中已經有約6頁內容以官方「摘要」的形式公開，而這也成為今天文章的主要方向。

可以想見，在聯合部隊背景下的網路領域行動方面存在著大量值得討論的議題。總結來講，文件當然會要求各部隊有效利用網路領域的各類能力，包括進攻能力，從而支持「全方位對抗」。在這方面，並沒有什麼值得以新聞形式解讀的內容。相反，更有趣的段落是摘要中提到了三項不同的行動概念為:

• 情報收集

• 戰場準備（也可以稱其為戰場空間準備）

• 防禦「推進」思路

「我們將開展網路空間行動，藉以收集情報並準備軍事網路能力，從而在發生危機或衝突時加以利用。我們將以防禦推進的方式從源頭上破壞或制止惡意網路活動，包括各類低於武裝衝突水平的活動。」（原文中用下劃線進行強調）

以下為進一步剖析

a.收集情報：

這句起首語已經非常明確地闡述了美國國防部資產有時會參與網路活動以獲取情報這一「不是秘密的秘密。」具體的參與理由可能基於傳統戰爭考量因素、特定網路能力、領導意圖與動機或者任何其它情報內容需求（無論是否涉及網路活動）。簡而言之，這部分並沒有太多值得討論的意義。

b.戰場準備：

第一句的後半部分明確指出應準備在發生危機或衝突時使用的軍事網路能力，這與前半部分所提到的情報收集目標明顯有所不同。這至少反映出文件認為人們對於「戰場準備」應該已經比較熟悉（在動能領域，這一概念包括軍方在敵對方行動之前可能採取的一系列活動，旨在最大限度在首次交鋒開始後取得成功），並要求在網路層面進行類似的準備。

關於準備的具體內容，可能包括侵入潛在敵對方的系統，從而確保未來必要時能夠藉此實現顛覆或破壞性影響。

c. 題外話：注意戰場準備行動與風險保持戰略之間的模糊界限

本文強調一個重要但卻經常被忽視的網路行動概念類別——大部分人可能難以區分網路領域的戰場準備與「風險保持」行動。

有時候，建立起指向潛在敵對方系統的連接這一目標（甚至是唯一目標），能夠通過向對方明確表達我方有能力攻破其防禦體系並破壞其有價值資產以加強我方的威懾態勢（也就是「風險保持」）。

當然，實現風險保持行動的必要條件，在於令敵對方最終意識到——或者至少強烈懷疑——我方已經滲透至其相關係統當中。在這種情況下，根據定義，敵對方往往會得到通知並開展清理行動。因此，請不要輕易暴露，以免我方希望獲取的高價值訪問內容受到加密，這也成為收集情報、戰場準備或者二者相結合目標的成功前提。

另一方面，敵對方實際上可能無法持續清理我方入侵，或者至少無法以充分的確定性判斷是否仍存在風險保持問題（決策者可能會因此感到焦慮，疑惑我方是否能夠以類似的方式獲得更多訪問許可權）。

但目前最重要的一點在於，針對同一系統的戰場準備與風險保持兩種行動在敵對方看起來往往並無區別。對方是否能夠發現這些行動，從而支持我們的風險保持目標？或者，這是否意味著我方應當保持隱蔽，從而逐步完成戰場準備工作？（這些問題來自我方屬於防守態勢的場景，特別是考慮到伊朗黑客已經開始入侵美國的工業控制系統）。

而且至少在所討論的目標系統具有潛在情報價值的情況下，我們還應補充強調，防守方還需要考慮到相關活動僅僅屬於間諜問題的可能性。也許入侵者並沒有特定的行動計劃，或者打算視後續情況進行不同行動模式間的轉換。

其中顯然存在著極大的誤解性風險。但目前最重要的一點在於，以上所有舉動已經成為民族國家在網路空間內實施武裝攻擊或者使用武力的重要方式。在我看來，摘要中提到的「準備」這一說法，特別是其中的「危機」字樣，應當涵蓋戰場準備與風險保持行動。

d. 防禦推進以及NDAA

下面我們來看看媒體最為關注的這部分內容：「我們將以防禦推進的方式從源頭上破壞或制止惡意網路活動，包括各類低於武裝衝突水平的活動。」

這裡的「防禦推進」是什麼意思？摘要當中並未提供具體定義。但可以想像，完整的版本應該是指某些「通過網路實現的，旨在破壞、挫敗及阻止外國行動方通過網路手段對美國國防、關鍵基礎設施等造成損害之行為的行動」。不過除了猜測之外，我們也有必要從上下文當中收集一些支持性信息。

• 首先，「防禦推進」明顯涉及美國網路之外的行動，也就是所謂「推進」的部分（有人可能認為，「防禦推進」的說法只是為了對侵略性做出進一步強調，而將同樣立足自身網路之外實施的「主動防禦」換了個稱呼）。

• 其次，正如 Dave Weinstein 在自己的論著摘要當中所指出，「防禦推進」明確考慮到了不屬於武裝衝突範疇的國防部網路活動。結合摘要中已經就戰場準備與情報收集做出了明確闡述，這裡我們得出的結論是，防禦推進屬於應對外部網路產生破壞性甚至是顛覆性影響的行動，具體包括敵對方自有系統或者敵對方已經或者正在計劃用於實施衝突行動的第三國中點系統。

這一解讀與最近頒的 John S. McCain 國防授權法案第1642節內容高度一致。

首先，NDAA 附帶的會議報告已經清楚表明，美國國會正努力消除國防部在利用網路能力應對各類惡意網路活動——特別是俄羅斯2016年信息干預行為——時的疑惑情緒。

其次，第1642節中明確授權美國國防部「可在外國網路空間中採取適當規模的行動以實現擾亂、挫敗及威懾等目的」，從而「應對網路空間中指向美國政府或民眾的主動、系統及持續的攻擊行動，特別是各類試圖影響美國選舉及民主政治進程的行動。」這裡提到的攻擊方明顯是指俄羅斯、中國、朝鮮或伊朗。

同一節中還做出明確規定，稱此類行動應被視為「傳統軍事活動」（除了第50章內容提出的對秘密行動的法定定義之外，NDAA在其它部分實際上做出了語氣強化與範圍擴展）。

當然，在明確強調國防部有權在這類特定情況下採取行動之後，美國國會似乎也在無意之間對國防部在其它情況下採取行動的權力提出了質疑，無法從摘要當中看出「防禦推進」指令的作用僅限於 第1624節 中提及的情況，抑或是更為廣泛。如果更為廣泛，那麼美國網路司令部與其它國防部機構遲早會就以下兩個核心問題展開爭論。

• 其一，行動部門是否有權在未經立法授權的情況下開展活動（至少就目前來看，未來的國防事務將不可避免地面臨一部分低於武裝衝突門檻的狀況）？

• 其二，如果答案是肯定的，那麼 第1624條 授權是否反而構成了負面影響，即表達出國會反對在其它情況下使用類似權力的傾向，從而將行動部門置於 Jackson 大法官提出的「第3類」弱勢地位？對於這個問題，我的初步結論是，國會應該只是希望通過第1624節提及的場景讓其觀點變得更為清晰且無可爭議，而並不是為了暗中限制行動部門在網路外防禦工作中的活動許可權。

三、這份摘要與原有 PPD-20 中機構間審查制度的撤銷有何關係？

目前無明確的答案，但問題本身可能相當重要。換言之：其中的核心問題不在於美國網路司令部是否應該執行防禦推進任務，而是其在特定情況下應該通過怎樣的流程遵循法案要求採取行動。

根據相關報道，PPD-20 要求行動機構必須接受大量機構間審查，而後方可執行網路外行動——包括入侵併非明確敵對方的第三國系統。

眾所周知，特朗普最近已經撤銷了其中一部分審查要求。雖然審查制度不太可能被徹底消除，但這畢竟是一种放寬趨勢。這種變化將把最終決策權從美國總統手中移交給指揮官。根據目前已經發布的各類公開報道，還無法確定美國網路司令部司令保羅·卡納森是否獲得這類行動唯一決策權的時間點是否會延後。

總而言之，美國監管的韁繩已經鬆動，但目前尚不明確其到底在行動部門的垂直或水平層面能夠鬆動到何種程度。恐怕很難評估摘要當中提出的、將「防禦推進」作為一種行動類別的實際重要程度。

四、「防禦推進」是否有可能僅限於針對政府自身網路的威脅？

這就是摘要給我們提出的一個有趣謎題。此次公布的摘要一直在不遺餘力地強調防禦推進模式是應對美國國防部自身網路所面臨威脅問題的選項之一，但相比之下，其並沒有明確而充分地提及美國國防部是否將藉此捍衛私有網路：

我們將以防禦推進的方式阻止或緩解針對國防部的網路空間行動，我們將通過合作加強國防部、DCI 與 DIB 網路及系統的網路安全與彈性水平。

這種對比可能是無意之舉，因為摘要的下一句中提到了搶先、挫敗與阻止針對關鍵基礎設施的、已經上升至重大網路事件水平的惡意活動。需要確認的是,此份戰略文件的完整版中是否真的以這種方式對防禦推進行動做出了限制?

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！