网络空间对国家安全的威胁

与海、陆、空、太空等其他领域相比，网络空间的独特属性决定网络安全问题也具有无可比拟的特点：（1）网络攻击可以无视地缘因素和传统的国家边界，从遥远的地方对目标瞬时发动攻击，而不必与敌人直接对峙；（2）互联网具有极强的隐蔽性，发动者可以藏身任何有网络的地方发动攻击，而不留下任何痕迹；（3）它的打击目标更广，一国的基础设施、金融和银行业、物流和运输系统、国家数据中心等这些传统军事打击很难凑效的目标都在网络攻击的“火力”之下，它可以给国家经济运行和社会稳定带来极大的破坏和损失，却不致造成重大的人员伤亡和流血冲突；（4）由于对国家军事安全的威胁很可能来自民用领域，因此保护网络空间的民用设施安全对维护国家军事安全具有重要意义；（5）网络武器（如病毒）一旦发明出来，极容易扩散和复制，因此发动网络攻击的门槛相对于发动武装冲突而言要低得多。

基于上述特征，网络空间对一个国家安全的威胁是有不同表现的。一种普遍的观点是将对网络安全的威胁笼统地归结为“网络战”，但这种概括并不能细致地描述网络空间对国家安全威胁的不同类型，也不利于国家做出政策判断和回应。美国信息安全专家和作家布鲁斯·施奈尔（Bruce Schneier）按照网络安全威胁从低到高的顺序将其划分为：网络恶意破坏，例如对网站的黑客攻击；网络犯罪，包括知识产权的窃取、通过DDOS攻击进行勒索、盗取身份信息的欺诈行为等；网络恐怖主义，例如入侵计算机控制系统导致撞机、核燃料泄漏等恐怖事件；网络战，例如通过计算机系统对敌对国家发起破坏性的攻击，尤其是对通信系统的攻击。^[9]　但是，从近年来的事实看，这种划分忽视了网络间谍和网络颠覆活动对国家安全的威胁。与施奈尔的分类不同，也有学者按照威胁的不同来源和程度将网络安全划分为个人行为的黑客攻击、非国家行为体的网络犯罪和恐怖主义活动以及国家行为体所支持的网络战。^[10]

值得注意的是，不论是哪一种方式，这些划分之间的区别和界限都不是绝对的。例如，当网络攻击发生时，因为使用工具的相似，我们很难区分一个事件是一般的恶意破坏还是一次网络犯罪或恐怖主义。由于网络攻击的模糊性和难以追踪，我们也很难判断一次黑客攻击是否有恐怖组织或国家支持的背景。但是，这并不是否认区分的意义，正相反，对网络空间不同种类的威胁进行划分，有着很重要的政策意义。首先，它有助于决策者区分哪些攻击的破坏力和严重性会威胁到国家安全，哪些攻击只是一般的骚扰和破坏，而不必提升到国家安全的层面。其次，从动机上看，有必要区分对国家安全的恶意攻击和由于个人疏忽而导致的问题。最后，对攻击来源的区分也有助于政府做出恰当的应对，比如对于一个少年由于无知而发起的对政府网站的攻击就不必要全国动员。正如施奈尔所言：“正如不是每一次射击都是战争行为一样，也不是每一次成功的网络攻击都必然是网络战，无论它的后果多么致命。例如对国家电网的网络攻击可能是一场网络战，也可能是一次恐怖主义活动、网络犯罪或者仅仅是一次无知的破坏。网络攻击的性质究竟是什么，最终取决于网络攻击者的动机以及当时的具体情况。”^[11]

借鉴以上两种区分方式，我们可以从黑客攻击、有组织网络犯罪、网络恐怖主义以及国家支持的网络战这四个方面来分析网络空间对国家安全的威胁。一般来说，从个人到非国家行为体再到国家行为体，它们对国家安全的威胁程度是逐渐增加的。

（一）黑客攻击

黑客攻击，即黑客破解或破坏计算机程序、系统从而危及网络安全，是网络攻击中最常见的现象。其攻击手段可分为非破坏性攻击和破坏性攻击两类。前者的目标通常是为了扰乱系统的运行，并不盗窃系统资料，攻击手段包括拒绝服务攻击或信息炸弹；后者是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的。一般来说，黑客攻击通常也会在其他形式的网络攻击中出现。从已有的案例看，黑客发动非破坏性攻击的主要目的或动机之一是表达抗议和不满。

黑客发动破坏性攻击，其动机不尽相同，有的是出于商业竞争，有的可能则仅仅是为了好玩儿。2002年以来，包括索尼、谷歌、社交网站Linked in等多家公司遭到黑客入侵，客户资料泄露。2011年6月8日，美国花旗银行证实，黑客入侵了该行的网上银行客户账户，查阅或拷贝了大约21万份北美地区银行卡客户的信息。通常，那些仅为了表达不满而未造成破坏性的黑客攻击，并不构成对国家安全的威胁；而那些窃取商业机密、扰乱国家政治经济秩序的黑客攻击虽然会在不同程度上危害国家经济或社会安全，但对国家安全的威胁程度等级并不高。

（二）有组织的网络犯罪

有组织的网络犯罪是指犯罪分子借助计算机技术，在互联网平台上进行的有组织犯罪活动。互联网作为个人、政治和商业活动的平台以及金融、知识产权交易的重要媒介，自然会被犯罪分子所利用。与传统的有组织犯罪有所不同，有组织的网络犯罪活动既包括借助互联网而进行的传统犯罪活动，诸如洗钱、贩卖人口和贩毒等，也包括互联网所独有的犯罪行为，诸如窃取重要信息和进行金融诈骗等。

互联网技术和软件的广泛传播，再加上网络所具有的快捷、隐蔽和超越地缘等特征，为有组织犯罪提供了绝好的组织工具和诱人的收益目标。根据全球网络安全公司赛门铁克发布的《全球互联网安全威胁报告》提供的情况，网络犯罪分子最常用的技术工具是垃圾软件、钓鱼软件、木马病毒等。他们可以利用发送垃圾邮件传播病毒和木马，盗窃和倒卖个人信息并从中牟利。2007年，互联网新增的恶意攻击软件多达70万个。另一项重要的攻击途径是僵尸网络（botdots），它可以被用来散布垃圾邮件和恶意软件，可以作为钓鱼软件欺骗客户上钩，也可用于大规模的拒绝服务攻击。所有这一切都给犯罪分子带来丰厚的利润。仅2007年美国联邦调查局监控到的一次僵尸网络活动，造成的损失就超过2000亿美元。^[12]

2011年5月，欧盟刑警组织发布了《有组织犯罪威胁评估》半年报告。报告称，除信用卡欺诈、音视频盗版等高技术互联网犯罪，互联网的广泛使用同样为非法药物的合成、提取和流转提供了支持。此外，互联网还被广泛用于人口贩卖、濒危物种走私等非法交易，成为犯罪人员洗钱和通信的工具。欧盟刑警组织主管罗布·温赖特表示，相比纯粹基于计算机的犯罪，有组织犯罪“转战”互联网的数量激增，互联网犯罪成为“主流”。^[13]

目前，网络犯罪已经成为一个全球性问题，其跨国性、高科技和隐蔽性等特征都给国家安全带来前所未有的挑战。这些威胁主要集中于非传统安全领域。借助互联网，有组织犯罪行为的策划和组织通常跨越国界，并有着很强的技术能力作为支持，无论犯罪分子身处何处，只要动一动鼠标就可能在全球掀起一场网络风暴。据2010年英国国家安全战略报告的统计，网络犯罪每年给全球造成的经济损失估计达1万亿美元。^[14]

为了防范网络犯罪给国家带来巨大的危害，打击网络犯罪已被各国纳入国家安全战略统筹考虑。治理这个问题既需要国家之间也需要不同部门之间，例如安全部门与技术部门的合作。2011年7月成立的全球性非营利组织国际网络安全保护联盟（ICSPA）就是跨国合作的一个很好尝试。

（三）网络恐怖主义

2000年2月，英国《反恐怖主义法案》第一次以官方的方式明确提出“网络恐怖主义”的概念。它将黑客作为打击对象，但限定只有影响到政府或者社会利益的黑客行动才算是网络恐怖主义。实际上，要理解网络恐怖主义，必须认识到它包含的两层含义：一是针对信息及计算机系统、程序和数据发起的恐怖袭击；二是以计算机和互联网为工具进行的恐怖主义活动，通过制造暴力和对公共设施的毁灭或破坏来制造恐怖气氛，从而达到一定的政治目的。换言之，网络恐怖主义不仅包括制造恐怖气氛的网络攻击，也包括借助网络实现的传统恐怖主义活动。

就第一层含义而言，网络攻击的隐蔽性和力量的不对称清楚表明了大国实力的局限性，即无论大国的军事实力多么强大，在不知“敌人”在哪里的情况下，只能进行被动防御。从这个角度来说，网络攻击先天就具备恐怖主义的特质。

网络攻击还具有传统恐怖主义活动所没有的有利条件：（1）它可以通过网络远程控制对目标设施的通信和控制系统发动攻击，从而避免亲临现场的各种障碍和危险；（2）它的攻击范围更广，不仅可以对设施本身发动攻击，而且可以对设施的控制系统造成潜在的破坏，因此，相对于传统恐怖活动在时间和空间上的局限性，网络攻击能够带来的心理冲击面更广；（3）它更有利于隐藏攻击者的身份，甚至可以利用技术手段提供非真实的攻击来源；（4）它所需的成本和费用更低，不必花费大量金钱去购买武器，恐怖组织可以用更低的代价获得相同的收益；（5）网络恐怖主义可以是非致命性的，它可以通过干扰正常的秩序和恐吓来换取政治目的，但却不必付出平民的伤亡和流血的代价。但是，也有观点认为，这些所谓的“有利条件”对恐怖主义组织来说没有多大的吸引力，因为他们更喜欢“血腥”的视觉冲击，而且他们也暂时不具备发动网络攻击的技术能力。^[15]

就目前的形势而言，网络恐怖主义活动主要是集中于第二个层面，即通过黑客攻击和低级别犯罪等手段，借助互联网的形式组织发起恐怖主义活动。例如，臭名昭著的网络圣战者尤尼斯·特索利（Younis Tsouli）（自诩为“圣战战士詹姆士·邦德”），其活动方式就是利用黑客技术入侵和破坏他人的计算机系统以散播恐怖攻击的视频文件，并且利用信用卡诈骗的非法所得建立圣战者网站。通过这些网络攻击和犯罪手段，特索利所经营的网站成为世界上最重要的极端主义网站之一，为成千上万的圣战者提供了相互交流的场所。

除了将网络空间作为通信和交流的媒介之外，恐怖组织还利用网络空间进行理念宣讲、人员招募和激进化培训等活动。2007年5月，沙特内政部称，圣战者招募人员有80%是通过网络完成的。英国内政部称“正在和伊斯兰极端分子打一场秘密网络战”。^[16]此外，网络空间还更多地被用作恐怖组织自我激进化的平台，荷兰情报部门就将互联网称之为极端分子激进化的“涡轮增压器”。对于相互独立的恐怖组织“细胞”来说，虽然彼此没有任何网络沟通或等级结构，但却可以随时自我发动，由点成面，最终形成大规模的恐怖袭击。人们担心，一旦恐怖组织通过互联网完成培训和自我激进化，网络空间就有可能成为未来一个新的战场。正如美国军事战略家史蒂芬·梅斯（Steven Metz）所说：“如果信息领域仍是一块未治理的空间，暴乱分子必定会试图赢得这场‘观念的战斗’；20世纪的战争是为了夺取国家的领土，当代的斗争则是对网络这块无管制空间的争夺。”^[17]

（四）国家参与的网络战

国家参与的网络战对国家安全威胁的程度最高，主要涉及传统的军事安全领域，它既可以独立存在，也可以是当代战争中的一部分。网络战的主体既包括国家行为体，也包括以不同方式参与其中的非国家行为体；它可以发生在国家行为体之间，也可以发生在国家行为体与非国家行为体之间。在网络战中，精准或相称的武力使用是极为困难的；它的攻击目标既可以是军事、工业或民用设施，也可以是机房里的一台服务器。与其他战争方式相比，网络战可以实现政治或战略目的而不必诉诸武力；攻击力与国家实力没有必然联系，实力较弱的一方同样可能赢得战争；攻击者可以凭借假IP地址或者国外服务器完全隐身，至少在短期内难以追查其来源；军事与民用、实体与虚拟等领域之间的边界弱化，国家或非国家行为体、抑或是代理人都可以参与其中。^[18]

根据网络战对国家安全的威胁程度，由高至低主要表现为直接军事威胁、间接军事威胁、网络间谍和信息战。其中，信息战属于网络空间中“没有硝烟的战争”，它的宗旨是对敌人造成干扰和破坏，而不是直接造成破坏，因此也被称为“软网络战”。网络战对国家安全最大的威胁是对军事设施的直接打击。由于军队的武器系统、通信系统和情报系统都日益依赖信息和网络通信技术的发展，因此一旦这些领域的网络系统遭到攻击，国家的军事力量就会被直接削弱，甚至面临部分或全部瘫痪的风险。在2008年俄罗斯与格鲁吉亚的战争中，人们认为俄罗斯就配合其军事攻势发动了一场网络战。

在网络攻击中，国家的金融、能源和交通系统——这些重要的民用部门也成为对象被攻击的。由于军事安全严重依赖这些部门的运转，因此对它们的破坏可以对国家军事安全带来间接的冲击。有记载的最早的一次网络攻击事例是在冷战时期。里根政府在1982年批准了一项针对苏联西伯利亚输油管线数据采集和监视控制系统的网络攻击。据里根总统当时的空军部长托马斯·里德回忆，在此次攻击中，美国对苏联输油管道控制水泵、水轮机和阀门的软件系统进行了重新编程，重设了水泵的速度和阀门设置，最终导致管线接口压力过大而崩溃。^[19]2010年伊朗所遭受的“震网”病毒攻击，据分析就是美国或者以色列对伊朗军事实力的一次间接打击。

网络间谍是国家所从事的最常见的一种网络战，其表现是一国利用互联网在有价值的网络系统中植入恶意软件，从而以最小的成本从敌方获取自己所需要的信息和情报。网络间谍的攻击对象并不限于政府部门，军工企业、商业公司以及非政府组织都有可能成为网络间谍获取情报的对象。与普通间谍不同的是，网络间谍的破坏力更大。一旦植入目标系统的“木马”或“后门”在某个特殊的时期同时被激活，例如政治局势紧张或是常规战争爆发，这些情报的价值很可能超过千军万马，对国家安全带来巨大的威胁。

信息战是基于信息操控的一种软网络战，也是心理战的重要组成部分，它旨在通过信息披露来影响敌方的思想和行为。这种活动与外交领域的“公共外交”（旨在改变目标国公众的看法）有相似的方面。自20世纪90年代起，随着网络媒体的逐渐增多，网络信息战的使用也越来越常见。网络信息战与网络攻击的区别在于：前者的攻击手段是普通人可以辨识的信息，后者则是只有计算机专家们才能看懂的代码。美国对信息战非常重视，在伊拉克战争中对基地组织就发起了信息战。