网络战的响应策略

　　未来的政府将不得不考虑发布新的政策：何种级别的网络攻击可被视作战争行为，以及采取何种军事应对才是适当的？——罗伯特•盖茨（Robert Gates），国防部长，2008 1

　　一旦一个国家在网络上受到其他国家的攻击，他在采取一个明确的威慑时，总会给自己留有小小的余地。毕竟也许每个国家都不希望自己背水一战，他们希望能找到风险更小或副作用更少的办法来维持网络上相对和平的关系。

　　决策者们在决定报复行动时，如果他们的决定没有事先作好预案，那么他们就要考虑一个万全之策。这样的对峙在多大程度上能公开？什么时候开始？国家应该如何处置那些也许为其他国家效劳的黑客？反击其他国家的攻击行为应采取何种尺度？不会招致报复的可选择方案会多有效？本章将解答这些问题，然后从攻击者的角度来审视这些威慑并简要探讨一下如何传达讯息。这些都是从这一章和前两章的概要内容中总结出来的。

　　再次必须牢记的是，即使还有其他考虑也必须介于直截了当的攻击和报复之间——这样才能真正地体现“威慑”的含义。

　　一、被攻击者应该批露受到网络攻击吗?

　　一次（网络）攻击可以被感知的可能性等于一次攻击造成的影响可以被感知的可能性乘以这些影响明显是网络攻击造成的可能性（而不是由于失误、意外或设计问题）。这两个因素都应该非常可靠。电脑网络非法利用（CNE）很少不经过调查研究就能看出来。讹误也许直到一个系统正在做的和这个系统应该做到的产生差异时才会被发现。有时也许甚至连破坏都难以被发现；例如，如果一个传感器没有记录，这是因为没有东西要报告呢，还是有什么人篡改了报告信道呢？如果不是人而是机器或其他程序进程造成了这样的后果，它们的错误也许只有在它们自己再次做出不正确的行为时才会被发现。

　　通常，全面披露是最好的策略。这对政府来说很容易做到，因此很难相信信息控制会比全面披露要好2，如果因该事件对有关人员进行处罚则会使政府的形象更差。如果被攻击者正打算采取明显的应对——不论是否采取报复行为（比如使用法律、外交或是经济上的手段），公开披露都是必要的。要给公众一个机会去了解回击的目的。顺便说一句，向公众披露隐秘的报复可能也是必要的3：因为虽然报复者不希望公开披露而导致在怎样还击的问题上扯皮，但并不意味着攻击者（报复的对象）也会采取同样的做法（他们会立即向公众披露我们的秘密行动并开始报复），因此最好在报复行动被披露之前就找到报复的理由。

　　然而沉默有时候也是必要的。披露也许会暴露出目标系统安全的薄弱，增加公众的不信任感并使之成为再次攻击的对象4。那些证明受到攻击的证据很可能会披露有关系统安全的敏感信息。

　　二、什么时候公布对攻击的推定？

　　如果目标没有按原来的攻击过程继续攻击以获得想要的结果，这就设置了一个“为什么不（这样做）”的难题并鼓励自由撰稿人在该事件模糊不清的地方进行虚构（也许是他们的自发行为）。信息披露也许迫使目标政府宣布“抓到了元凶”。但如果对攻击过程的推定缺乏证据，攻击者也许就可以指责他们诽谤。

　　一旦已经披露了对攻击的推定，潜在的报复者就不得不承受公众要求报复和其他人（通常是外国人）要求不报复的压力。两者都会削弱政府基于最佳战略利益采取行动的能力5。标准的以色列做法是：“在我们选择的时间和地点”，这就在人民相信调查结果不是捏造的情况下，成功地确定了报复的时间。以色列在对物理攻击和挑衅作出应对时再三地证明了这一点。但在网络里还没有这样的先例。因此，如果缺乏这样的可信性，在公布推定和进行报复之间的间隔越久，攻击者对即将而来的还击进行准备的时间就越长6。如果报复行动被推迟，第三方（例如狂热的爱国者）可能会接手这个事件（无论如何他们都会这么做，甚至就在事件刚发生之后）。随着第三方的报复，被攻击者开始有些失去对事件的控制，但这样的话攻击者就不能通过威胁要反报复以避免付出一些代价了。

　　三、网络报复应该明显吗？

　　在网络上，被攻击者可以反击攻击者，没有一方需要比另一方更加聪明（除了双方的安全机构）。如果不是公开的或者针对公众的意图并不明显的攻击，对此进行秘密报复需要更加敏锐的洞察力。种种迹象表明最近发生的事件就属于这类不适于公布或公开讨论的攻击。秘密报复就避免了必须对哪些情况可以披露进行抉择。

　　雇人来秘密攻击的国家不得不约束那些正渴望报复的人员。报复仍然会把被攻击者的不快传达给攻击者的领导层，并且能改变随后的形势，阻止进一步受到攻击。进一步来说，攻击者作为报复的牺牲品，将会处于随之而来的公众要求进行反报复的压力下，并因此他们会得出结论：在报复后终止行动比继续下去更明智。

　　无论如何，秘密报复也许更加诱人，特别是如果报复者感到没必要确证攻击者的罪行时——毕竟，攻击者知道谁开了第一枪，不是吗？但一个威胁就是，如果情报机构或执法机构不需要担心如何为针对别人的行动进行辩护，那么这种情况下原本的国家权威机构（即拥有报复权的机构）就没什么权力了。而且当证据不怎么经得起推敲时，那些执行机构也许会就此宣布他们对攻击的推定是正确的。此外，一个秘密报复的决定会把某些应该打击的目标排除在名单之外（例如电厂），或使这些目标受到的打击无足轻重（这就没法把不快的感觉传达给对方）。而其余的攻击目标，也许另一方的情报和执法机构认为重要，但不会大规模影响公众。最后，整个战略停留在攻击者不会主动混淆视听上：即把赌注压在发起攻击的国家（按照推断）会在最初的位置发动攻击。

　　讽刺的是，诱人之处还不止以上几点:针对秘密攻击可以进行秘密地回击，甚至是当对最初攻击来源的推定不确定的时候。知道最开始情况的攻击者将非常清楚为什么会受到报复并由此获得线索。但一个无辜受到攻击的当事方就不知道为什么受到这样的攻击，因此也就会给双方关系造成损害。

　　但这样的小聪明会带来反效果。如果攻击者了解到针对第三国的报复，这就获得了一条有价值的信息——是谁攻击了第三国——并将从中获益匪浅。告知第三国是谁开始了这一切看上去很傻，但攻击者也许会淡化自己的角色，并建议报复的双方都反应升级并采取卑鄙的手段来对付彼此。攻击国要么不承认是始作俑者，但会散步各种暗示，这很容易让无辜的受害者了解到是谁攻击了他（当你明确地知道你在找什么，那么想找到些什么就很容易）；要么攻击国会勒索唯恐自己行为会被揭发给无辜受害者的报复者。

　　此外，第三国没人知道谁是始作俑者的假设也许是错误的；我们也很清楚两个没有一点共同点的国家就因为厌恶美国而互换情报7。也许最初的攻击在攻击之前并不是秘密，又或许真实情况在事情发生后立即就被披露。这样的披露也许别有用心（也许知情者害怕报复，又或是害怕受到误解），或这仅仅是反映了保密的国际性难题。

　　最后，报复者也许会过高估计自己保密的能力。一个遭受无故报复的国家也许不知道是谁做的，但他们的怀疑也许会影响与报复国间的关系——并且如果他们不知道为何报复者这样做的原因，可能比知道报复者的动机更使他们生气。

　　四、晚报复比不报复更好吗？

　　（对攻击的）推定也许需要几个月或者几年的时间（这在网络上是非常现实的；洛克比空难从发生到最后法庭定罪也要花上十几年的时间）。

　　在美国，成功的犯罪指控需要组织大量经过宪法和习惯法检验的证据（“确凿无疑”）。毕竟，决定报复可以从情报信息中得到通知，并不需要绝对的确认。然而，如果调查者不知道是谁做的，也许他们也不会知道这个事件是犯罪事件还是军事事件，抑或是情报事件。因此在犯罪权威和情报权威之间的管辖权冲突也正如美国法律的大致情况一样，进一步拖延了对网络攻击的推定8。其他的问题也必须解决。例如找出黑客所在国的合作者就要取决于攻击是否是犯罪事件。如果真有合谋者，那么还不如这仅仅只是犯罪事件。无论如何，如果攻击是国家发动的并特意要掩盖自己的身份，那么这种攻击可能被看作犯罪事件，也可能不是。从这个角度来看，网络攻击类似于恐怖袭击，但又明显与军事袭击有所不同。

　　如果报复要等待如此之久，那么威慑手段还能称其为威慑吗？网络威慑类似于对犯罪进行惩罚而产生的威慑。对犯罪的最终惩罚被视作公正之举；当然最终惩罚是否会产生威慑就是另外一个问题了。因为对犯罪进行审判的系统已经有几百年的历史了，没人会质疑国家执法必严、违法必究的意愿。在网络里，还没有看到采取报复的先例9，因此这个原则还没有经过验证，也许还会受到质疑。直到报复真正出现之前，所谓的威慑就缺乏信用。如果攻击有胁迫的意味，那么这种胁迫就会存在很长时间。那么从攻击者的角度来看，也许就没有停止攻击的理由。他们无法分辨被攻击者到底是缺乏威慑手段还是在花时间准备报复。缺乏意愿、缺乏能力和缺乏借口都是没有反应的原因。

　　在报复的时机来临之前，也许会有很多变数。攻击国也许和被攻击国处于关系良好的阶段（正如2001年利比亚面对西方时的情况）。报复也许会损害这种被攻击国需要进行衡量的关系。也许攻击国的政权下台了（自动的或是其他情况），继任者接管政权，就可以成功地（当然，即使是非正式的攻击，也不一定有把握）否认先前的行动。无论什么政体，如果拖得时间太长，攻击者也许会认为报复不过是一个借口——特别是此后没有新的攻击10。留案底是犯罪事件中通常采取的方式，并且在犯罪事件要比网络事件中（或是通常所认为的不存在政府权威的领域，就像国与国之间的交易）对惩罚的合法性进行的激烈争论要少得多。因此，推迟威慑基本上等同于否决威慑。

　　五、对国家默许的自由黑客进行报复

　　以举国之力对付闲散攻击是否合理（“犯罪容忍”理论）？这并没有一个固定的答案。一个国家故意容留网络攻击者并保护他们不受法律制裁，那么对这个国家进行报复时，就没必要同情（制衡的问题暂不考虑）11。

　　毕竟，从战略角度而言，如果事实上的攻击者受利益驱使，但没有得到“攻击国”直接的命令，那么报复行动明智吗？到底要如何去做？

　　不予报复意味着被攻击者对那些选择利用自由黑客实施网络攻击但并不直接发布命令的国家毫无威慑手段。唯一值得安慰的是这些自由黑客并不会实施有组织的那种攻击——如果是有组织攻击，那么就会对被攻击国提出某些特殊要求，因而对被攻击国的军事和政治产生严重后果（煽动攻击可能不算在列）。

　　如果毫不犹豫地“有仇必报”，这并不令人感到意外，但也是有问题的。如果被攻击国希望建立或执行一套报复或威胁的全球规范并照此执行，那么就必须建立攻击国政府和报复国政府之间的联系。单单从披露攻击源头和攻击手段获得的那点情报事实还不够（除非公众先入为主地支持被攻击国）。当攻击者是自由黑客时，相信攻击国会放弃如此攻击或防止自己代他们应付更大的困难。这种假装清白的逻辑（见下）也许会加重被攻击国对自己的怀疑，因此什么时候报复就取决于要同时找出黑客和他们与政府之间的相互联系。

　　假定报复行为会迫使攻击者的政府结束自由黑客们的行动12。如果自由黑客们是受指使的并且政府资助这样的行动，那么这个假定很可能比较贴近事实。如果双方的联系比较松散，那么惩罚（即报复）后就不一定会使攻击停止。切断对自由黑客的资助或单方面阻止他们和采用起诉等手段阻止他们有很大的不同。很难证明针对明显乐意这么做但不愿起诉（黑客）或甚至其他国家已经认定攻击者来自这个国家（这种联系相当紧密以至于政府知道是谁做的，知道他们在哪，但阻止其他人对他们采取行动）的政府进行报复是正当的。可以对个人发起起诉的政府（特别是第三世界）发现，如果被告很有影响，那么就会变成一个政治难题以至于无法下手。一个局外人很难区分“不会起诉”和“不能起诉”之间的差别，这很难证明。也许没有什么报复手段可以有效终止或妨碍自由黑客与各类客户之间的联系。

　　尽管如此，如果进行报复，攻击者的政府也许会把信任问题丢给竭尽所能阻止黑客的报复国。但是一个处于报复威胁下的政府怎样才能证明自己在全力追踪黑客呢？他们必须转交所有被攻击国要求披露的有关记录吗？如果被指控的国家缺乏找出黑客的技术能力，该国政府是否会被迫允许被攻击国的全权委托人员在自己国境内进行调查吗13？如果那些无赖雇员（特别是与情报部门有联系的人员）受到调查，他们“工作”的哪些部分会合法地向调查者隐瞒？

　　报复行动会促使那些国家努力追查黑客吗？或者他们是否注意到双方受到的伤害并不平等：你积极地攻击我们是因为我们没能被动防护所有地方不受攻击？攻击者会因此找到系统的弱点吗？如果随后进行报复，攻击者是否会认为这是罪有应得还是采取反击呢？攻击者的政府也许会确信唯一可以缓解自己压力的办法就是进行反报复（讽刺的是，这反过来证明报复是正当的），并且希望报复者因此感到与其惩罚攻击者的政府，不如对自由黑客穷追不舍以限制他们的行动——虽然成功的可能性很小。更坏的是，在报复之后，初始的黑客们也许会罩上英雄的光环——他们打击了一个国家，而且他们后来受到的严肃处理又反证初始的攻击是正确的。黎巴嫩真主党从2006年对抗以色列后就在黎巴嫩声名鹊起，甚至由于他们绑架以色列士兵引起了局外人的反感，但在黎巴嫩人心中这却不过是外人的偏见14。

　　有鉴于此，如果报复者要找的是一个可以终止攻击但并不这么做的国家，那么报复行动的原则就从司法层面（惩罚是对犯罪的合理结果）转移到了实用主义层面（惩罚有利于让其他利益相关方进行调解）。这个实用主义的观点并不能让第三方很好地了解情况，除非能证明这等同于国际组织的重大失误。这比“不要（让别人）做你能做到的事情”层次更高。基于这个原因，实用主义的报复也许更适于秘密行动。

　　六、怎样报复电脑网络非法利用（CNE）？

　　不管电脑网络非法利用和网络攻击有什么区别，美国政府对据推测是中国实施的计算机入侵（这在美国法律上属于非法行为）毫无疑问非常恼火。这种间谍行为也许仅仅是令人恼火的一个原因。大规模非法入侵（根据窃取的数字和资料推导其规模），他们明显的抵赖（例如对国防部网络入侵的追查15），以及这些行为造成的混乱都使事情变得更糟。

　　报复性网络攻击可以用于阻止或至少给这样的电脑网络非法利用制造障碍吗？任何对这种行为的处罚都得不偿失。即使推定是正确的并且如果报复既打击了元凶又没有动用一切可能的网络武器，其中的风险也让人望而却步。

　　第一个障碍是：如何确切地表达这类行为中什么地方是令人厌恶的——这是否是间谍行为？它的规模？它有多恶劣？造成混乱了吗？一个次要障碍是，对未来的形势及第三方而言，能否把一件令人厌恶的行为实例变成一项广泛原则，即如何定义恶劣或混乱程度？最简单的办法就是把电脑网络非法利用定义为“令人厌恶的”，但这又似乎与法理性原则不一致（即“法不责众”）。

　　第二个障碍是需要作出应对的范围。在一个有几千万台计算机存在潜在攻击意图的世界里，而且没有一个重要的网络可以独善其身，一个不能确定应对范围的政策是很难执行的。但是何种级别的行为应该受到控告？许多对窃取信息的价值评估倾向于衡量造成了多大的损失；例如，某项研究的智力资产损失。然而对攻击者而言，1百万条价值1美元的信息，比不上价值1百万美元的信息；其他人（甚至是竞争者）从中获得的利益，比不上受害者100万次1美元的损失。“生成这些信息花费多少成本”的规则也许可以用数字进行还原，但仍然没有意义。均衡需要惩罚能够反映实际的损失，而不仅仅是可见的损失。在一个需要细致入微的领域，有多少不可见的行为（不能被衡量）可以根据可见的行为（可以被衡量）推导出来？这是有疑问的。

　　第三个障碍是：如何得知一个报复行动对一个讨厌的国家的行为产生影响？面对压力，元凶也许（1）没有任何异常（宣布什么都没做、做了一点或是把该事件搁置从而造成种种猜测）；（2）发誓虽然做了但种种原因停止了；（3）发誓放弃原主张并不会再犯，或（4）发誓放弃原主张但实际上继续在做。

　　元凶说的话将会部分地以他希望何种报复标准是合适的（例如，电脑网络非法利用是不合法的吗？）以及他希望保持何种名声（例如，合作的、懊悔挑衅的还是不屈服的）为依据。如果报复（包括产生的影响和报复者）是公开的，元凶要求提供证据并不会给他造成什么损失，报复者就要冒提供证据来源和取证方法的风险。

　　元凶会怎样做将取决于什么可以逃脱（这依次与他们认为被攻击国对攻击的推定能力有多强和消除蛛丝马迹有多彻底有关）。如果元凶外聘一些天才的业余人士来进行间谍活动并因他们的所作所为陷入麻烦，也许他们就会内部处理。相反如果成功发现攻击者与政府官员之间有联系，那么就有可能是被指使的。元凶可能寻求一种不同于被抓住的人使用过的工作方式（MO）；他们也许会剔除没价值的目标，最好悄悄地收割有价值的目标。他们通常也倾向于收拾惹麻烦的人并可能不会太明目张胆。因此报复行动唯一的长期作用也许是规劝元凶（1）对这个国家决策者关注的东西打起十二万分的精神,(2)分析什么是他们未来的行动所需要的，以及（3）使自己更加专业。

　　七、威慑应该惠及朋友吗？

　　一个“强大的报复者”应该为一个“弱小的被攻击者”进行报复吗16？2007年，爱沙尼亚在受到多次网络攻击后，希望北约认定（这被视为理所当然）俄罗斯的网络攻击触发了盟友间的集体防御条款；北约拒绝了17。同意（姑且认为是应对是同样方式）是否意味着在技术和执行上提供支持？

　　论证有利于带来思想上的亲近感。一个强大的报复者也许有能力进行网络报复，而这正是弱小的被攻击者所缺乏的。由于缺乏基本的抵御手段，弱小的被攻击者也许更加容易受到攻击。网络威慑应该消除攻击者对其他同盟国施加的压力。

　　尽管技术问题使延伸威慑饱受争议。不仅如此，犯罪推定和战斗损失问题也会给延伸威慑带来质疑。也许弱小的被攻击者让强大的报复者深入自己的系统（虽然没有国家会信任其他国家的情报人员）。也许损害非常明显（比如在爱沙尼亚发生的）。此外，当得知攻击了什么以及是谁攻击的，强大的报复者将不得不相信弱小的被攻击者的话（“为很么对我们的系统这么认真？你不信任我们吗？”）。2007年，爱沙尼亚归罪于俄罗斯，他就扮演了可信和诚实（即使还没有被确切证实）的受害者角色。在外交史上，一个国家捏造或夸大证据以暗示一个传统的敌人实施了一次莫须有的攻击并因此造成了不确定是否越线的伤害并不是没有先例的。即使强大的报复者以应有的细致和需求来审视这些证据，谁知道证明清白的证据是否已经无权使用了呢？

　　对等的报复是另一项挑战，除非弱小的被攻击者把整个事件都寄托在强大的报复者身上。只要任一名被攻击者不希望打击，那么他们都会避免直接冲突，因为这是明显合乎对攻击的自然反应的。追踪同样的目标也许需要一方或双方分享他们的遭遇，有时双方都可能回避这件事。此外，一方笨拙的攻击也许会向元凶发出某种方式（例如有必要阻止另一方有预谋的攻击）的预警。

　　延伸威慑也可以采用不暴露身份的方式——为什么不呢？如果攻击者确信不管谁攻击谁，后果将是任何人都会发动攻击，而不是只有一个特定对象（参看上文对第三方的讨论），这样网络威慑就奏效了。因此，如果一些国家因另一些国家受到攻击而有意实施报复，这就不必暗示谁是真正的报复者——除非只有一个国家扮演报复者的角色（如果那个被攻击者明显不是），这就能同时建立一个广泛的威慑。

　　有个警告：如果初始攻击的类别和影响不是那种明显可以感知的，随之而来的报复会可能使攻击者感觉被攻击者摆脱不了干系——即使他没有亲自实施报复。被攻击者向第三方披露足够的信息也足以引发足够正当的反报复。如果被攻击者同样考虑这么多，他就会保持沉默，甚至是对他的朋友。

　　最后，对延伸防御也有一些话要说。例如，2008年，格鲁吉亚利用大容量光纤连接和熟练的系统管理员，把自己的网站的宿主变换到美国的服务器上，以规避DDOS攻击18。虽然格鲁吉亚的自然地理使得他容易受到俄罗斯的攻击，但他的网络地理却和他与美国的友谊相称。即使其他没有与美国结盟的国家受到攻击，美国也仍然可以到那里帮助他。这种战术性的手段仍足以使攻击者确信他们达不到战略上的目标。

　　然而，DDOS攻击已经过气了，从这个漏洞衍生出新的攻击却依然有威胁。此外，有个小小的前提事实就是一个小国不可能防御他们的网络免遭一个大国可以采取的这类攻击。逐行研究一下（代码）可以发现，小国网络上运行的代码并不比大国网络上运行的逊色。事实上，在某些方面，由于小一些的网络不会太复杂以及由于个人信任关系更容易分辨和监控，对它进行防御也就比大的网络更容易。因此，驱使1948年建立北约的集体行动的基本原则在接近同样地位的网络中还没有出现。

　　八、威慑政策应该清晰吗？

　　每个人心中都很清楚直接针对美国(或任何类似装备的国家)的敌对和伤害行为都会给他们带来不幸。是否发动确凿的敌对行为完全是次要的。作为范例，当然这只是一个假设（事实上未必会如此）。一个流氓国家在主要的网络上散播别有用心的信息来唆使一些美国人破坏运输系统。数千人死亡。美国毫无疑问会设法报复。攻击者就会尖叫：“不公平！”因为使用的是潜在要求破坏的信息，没人明确地要求这样做，这种攻击美国不能报复。任何公正的人都会嘲笑这样的抗议。在网络中也是如此：敌对倾向，违法行为以及随之造成的伤害足以进行正当的报复，不管是不是网络攻击，本质上全部包含在内。

　　保持威慑，那么每个攻击者就必定认为任何敌对攻击都会招致报复。但没有一个正常的国家会保证在受到网络攻击后将采取报复，因为对犯罪进行推定非常困难。这就是为什么一个明确的威慑策略也许弊大于利。事实是，一项将采取报复的声明更加可信，因为美国不会对一次赤裸裸的攻击无动于衷。尽管如此，如果经受过检验，拥有随时反击的能力加上声明，要比其他类型的威慑更可信（例如威胁进行空中打击）。担心失去相关信用会迫使国家进行反击甚至当形势仍不明朗时也是如此。如果强力的质疑被消除，论证机构（情报和执法机构）也许对提供心理上的保证更感兴趣。战略机构也许不关心在网络中或从这里发生了什么，但他们会痛苦的认识到，威慑的信用也是执政能力相对独立的一部分——因此这并不是个好建议。

　　任何声明都将使潜在的攻击者扪心自问：这是为什么？为什么是现在？也许他们会认为声明不过是被攻击者国内官僚政治的产物。但如果潜在的攻击者推断发表的声明是在虚张声势，那么他们也许会得出结论,发布国已经发现（1）他的网络防御不再值得信任，或是（2）在网络攻击中的损失要比猜测中更大。如果曾发誓网络攻击一定招致网络报复，攻击者也许就开始怀疑网络上没有动静是不是报复已经被取消了。

　　一项明确政策的可选方案有：等待容易推定的攻击、温和的报复以及如果这些报复攻击成功，反证它们是正当的。其他人可以从这类行为中推导出一种威慑政策。等待满意的犯罪推定和可信的战损评估（确认报复的能力）的好处是，当报复措施被公布，就不会在犯罪推定和战损评估的存在性证明上颇费周章了。而且会划下一条界限。如果没立即进行反报复，但形势也没有缓和，并且防御继续作为一种屏障——也许那里又数度交锋——因此普遍会采取网络威慑作为自己的政策。

　　相反，一次性反击不会形成定势。那些预谋攻击也许被设计成无法被抓到并且可以抵御报复。由于某种惯例被认为是软弱且无用的，而另一些则被认为是强烈且严重，那么报复者的行动就可以被预知。此外，虽然报复成功造成威慑，由于攻击者试图采取足以应对口头威胁（一项明晰的声明）的行动（进行小规模不明显的攻击），反报复或事态升级将把参与者拖入网络战或更糟的形势。在等待合适借口的期间，报复者也仅能作出威慑姿态。讽刺的是，如果目的是要建立一项威慑政策，就没必要采取报复来迫使另一方停止攻击。但如果不这么做，当威慑政策生效时，事实上并不能产生威慑。

　　美国对模糊的威慑政策并不外行。美国希望让中国大陆明白收复台湾也许会立即引发一场与美国的战争。但美国也希望有些问题留给台湾衡量，例如是否真的会履行援助，以免台湾仗着有美国保证然后宣布独立，这就会迫使美国与中国直接对峙。同样，美国也不会明确当苏联对欧洲发动常规攻击时是否使用核武器作为回应。在这两个例子里，模糊威慑迄今为止都在生效——这就是说，至少在第一个例子里还没有失效。

　　附录B探讨了一个模型，对明确性和暗示性威慑姿态的代价和优势进行比较，当然这也取决于采取不同姿态对国家攻击、被攻击者应对失误和犯罪推定错误的可能性与结果（成果评估）产生的不同影响。

　　八、漠不关心可以挫败攻击者的战略吗？

　　如果网络攻击是被迫采取的，那么要挫败攻击者的战略也许就是什么都不做19。这也许会传达网络攻击没构成伤害甚至（如果效果不明显）不值得记录的讯号。如果网络攻击用来刺激被攻击者采取行动，那么什么都不做明显更好。相反，一个强烈的反应也许告诉攻击者，他们的网络攻击造成了相当的伤害，足以让被攻击者冒险阻止受到进一步的损害。一个攻击者听到痛苦的悲鸣后，也许会推断出已经很接近自己的目的了——只要继续进行网络攻击。如果个人系统遭到攻击，漠不关心标明政府没有感觉到他有责任去制止甚至是缓解软弱的系统所有者的痛苦。漠不关心也进一步宣布，（1）如果你继续攻击我们，那只会获得欺凌弱小的名声；（2）我们太强大以至于没有注意或毫不关心（总之，这只是其他人的问题）。

　　攻击者怎样应对被攻击者的漠不关心取决于攻击是否是他最好的刺激手段。如果这样，一再地作出反应似乎是因为（给对手）造成的印象不太深刻，因此可能是效用不彰的。攻击者可能放弃，并始终否认（如果有必要的话）真相、身份或攻击的意图。如果攻击者有更好的刺激手段，他们会试着发动并观察是否会产生影响。在后一种情况下，被攻击者的漠不关心策略也许会带来反效果，如果事态变得必须对此作出应对，暗示报复能力已经准备就绪并有意这么做就要提上日程了。

　　维持漠不关心的状态（如果攻击已经被披露）需要无视政治上要求行动的呼声——这也许仅仅需要一点勇气。网络攻击很少造成人身伤害或设施破坏，因此要求行动的呼声不会带来血腥恐怖袭击那样的情感共鸣。如果被攻击的系统是私人的（这肯定会给生活带来混乱），那么是受害者自己没用的意见会进一步让政府认为没必要作出行动。

　　九、对峙但不报复

　　高度关注并对攻击进行推定，最低程度可以让系统管理者产生鲜明的印象，何种潜在攻击需要注意哪些源头以及这些源头发出了什么信息。如果不采取进一步的行动，所有报复的风险和复杂性就可以避免。不幸的是，好处也就只有这些。

　　一些网络攻击的动机似乎想避人耳目。如果攻击者认为是被攻击者先发动攻击，公开就有助于清除误会。单方面公开也许会让攻击者紧密约束自己的无赖行为。攻击意味着可以提升攻击者对被攻击者的影响力，如果被公布于众，那么就会产生反效果。如果攻击旨在让第三方卷入，那么同样也就更有效力。如果动机不强，又很害怕被披露出来，那么攻击者就会有开始惹祸上身的觉悟。

　　然而没有后顾之忧的话，攻击者也许会否认并继续避免面对中立方认可的不利证据。也许被攻击者被迫拒绝交出证据（因此会让以前的证据陷入质疑），或是争论的来源和调查手段。在这样的情况下，攻击者也许发现另一个持续攻击的正当理由。如果意图造成的后果严重，例如强行或尝试伤害武装部队，那会很棘手，仅仅只是披露就会引起临时的困难。如果敌意很强烈以至于全力攻击，仅仅是口头应对似乎也做不了什么。总的来说，如果公布于众就足够了，就没必要冒进一步的风险。

　　被攻击国有其他的方式来表达不满。如果攻击国合作，那么起诉个人的办法比较好（举个例子，因为这是一个无赖攻击者）20。个人——甚至是官方作出含蓄的暗示要求他这么做——也许会被阻止并不会再有下次；更高级别的也是如此。攻击手段也许被详细描绘出来。如果攻击国基于某种原因设置障碍，他们的不合作也为被攻击国提供了让其他国家确信攻击者刻意隐瞒了什么的机会21。进展有多困难是一个公开的问题。在这个问题上，继续让攻击者贴上坏的标签有哪些好处？是否确信世界上大多数国家会对此关注并一致反对攻击者吗？或者被攻击者是否会被认为是一个倒霉的不断拼凑虚构故事的博取同情者？获得盟友的能力将直接影响外交或经济上作出反应的功效。即使是美国，单边制裁对制裁者造成的伤害也大于被制裁者。

　　限制攻击者对网络的利用也许是一种美好的愿望，但迫使世界上各个实体驱逐攻击者可能根本不会发生，并且也许会带来反效果（例如，如果孤立让攻击者破罐破摔）22。一个更容易驾驭的办法是让世界上各个实体共同构建因特网和通讯信道，而攻击者在其中处于没有任何权利的地位（例如，他的路由线路非常零碎，他的信息技术公司无法接到生意，与第三方通讯的交叉流动不顺畅）。

　　在决定是否在问题上施加压力或劝说其他人帮助施加压力时，要时刻牢记在网络里，一个既定国家在另一个国家行为中的立场只是他在面对另一个国家所表现出来的各种姿态中的一个方面。一个国家是否选择向另一个国家施加压力以表达不满取决于他向对方是否还有所求。以中美关系为例。美国同时希望得到中国帮助以使朝鲜局势不失控、人民币价值处于合理水平、购买美国短期国债以及减少碳排放。如果美国还希望把“在网络上放规矩点”也加到这个清单上并且不会被拒绝（“我们会规矩的”），也许就要决定放弃一些本来可以相互妥协的事情。是否要把更多东西放到桌面上（换言之，做更多中国希望美国做的事情）或是削减美国的期望？如果美国希望达到所有的目的，而美国的盟友们也有各自完全不同的打算，能指望他们都加入进来对中国施加压力吗？由于某些国家在其他事务上的合作无关紧要（比如说俄罗斯——只是作为讨论——他没有购买这么多的美国短期国债），那美国就可以在议程里提升要求对方在网络上表现良好的优先度。由于更有希望施加压力，交涉中就会显现出优势。

　　最后，如果攻击者是和美国很不一样的国家（例如伊朗），美国希望他在网络上表现良好仅仅是驯服他别桀骜不驯的棍子之一（但甚至是伊朗，美国对他也有很高的影响力）。如果所有的国家真诚地立誓希望在网络上有一个好的环境，并且发现相互间都有兴趣禁止网络破坏而不管破坏的来源，这样的算计就没必要了。毕竟，大国希望他们在这点上都能合格，甚至他们对另一方施加压力时也是如此。

　　十、攻击者的观点

　　无论在被攻击者的看法里一项网络威慑政策的信用度如何，对攻击者而言都足以约束自己的网络攻击——在推测这样的政策会做什么后。要衡量一项明确的威慑政策有没有效，一个攻击国要把攻击会不会造成反击的可能性都计算在内。问题就是——这有多可靠以及有多严重？

　　任何一个国家策划攻击时，希望衡量的不止是立即成功的几率，也有可能避免惩罚的几率。这些几率取决于被攻击者将采取以下行动的可能性（或是第三国没兴趣阻止网络攻击）：

　　1、 察觉攻击；

　　2、 带着可以提出指控的信心，正确地找出攻击者；

　　3、 判断这些攻击越过了哪些界限；

　　4、 反击；

　　5、 造成真正的痛苦。

　　在威慑生效之前，以上5点必须全部做到。否则被攻击者遭到反击的几率依次表现在：

　　1、 报复是否能造成足够的伤害以引起攻击者的注意；

　　2、 有多害怕反报复；

　　3、 多大程度上支配目标能维持“行动-反应”的循环（特别是面对第三方的时候）。

　　因此，有关系的是被攻击者的辩论能力（这也有助于在混乱的事态中让第三方行动）、报复的能力（评估攻击者自己的弱点和防御）以及自己总体的态度（例如，即使犯罪推定和寻找元凶中出现错误都要斗争到底）。记住，一个精明的攻击者已经把预期的报复水平纳入算计之内，并且无论如何已经攻击了。被攻击者做或说的任何事情都在这样的预判中衡量过了。既然在网络上态度和能力都不能被直接验证，攻击者只有根据言辞来判断。言辞是态度的暗示；但以言辞来指导行动具有缺陷。

　　最后，指出攻击者并编排报复也许会使他继续攻击而不管这样做会收益递减。如果真正的攻击者让被攻击国的领导层对犯罪推定产生质疑，那么领导层就会重新考虑继续反击的决定（这也是是否占领道德制高点的问题）。现在假定一个非零的预先怀疑在被攻击者的心中产生并用贝叶斯定理的逻辑来推理。如果被攻击者是正确的，攻击者也许在重新思考网络攻击和退出的逻辑性后，对报复作出（超出预期的）应对。如果被攻击者不正确，惩罚受到误导，真正（逃脱惩罚）的攻击者就没理由后退，而假定的攻击者因为最初什么都没做也不能后退。

　　因此，如果在着手报复之后攻击还在继续，基于后验原则，那么所谓的推定正确就不大可能了（因为有影响是两个可能性中唯一一个），同时基于后验原则，所谓的推定不正确也是自然的（因为如果真正的攻击者没有受到影响，那么对未来攻击不会产生可辨识的影响是到目前为止最有可能的可能性）。这个可能性的指针摇摆着指向错误。报复失败会造成大量分歧，也许因此动摇了被攻击者依靠自己力量进行犯罪推定的信心。如果这个逻辑是完善的，攻击者的策略就是行动——尽管初始攻击没什么可以利用的23。既然攻击者知道真正的证据所在，他可以假装进行一次有限公开的调查。期间攻击仍在继续。

　　十一、结束的讯号

　　威慑是一种讯号24。它向潜在的攻击者传递一种信息：攻击会遭到报复，对此不能容忍。威慑国这样做是希望攻击者在盘算发动攻击时，先衡量一下攻击的结果。但网络是非常杂乱无序的；攻击者和被攻击者都不能确定什么事会发生或谁是有责任的25。

　　以色列人和巴勒斯坦人之间的互动就是讯号很容易丢失的一个实例。理论上，以色列人的政策是对恐怖主义行动立即采取报复。通常这对巴勒斯坦人是个讯号（特别是“哈马斯”）：恐怖主义代价高昂。与网络攻击相比较，以色列对待恐怖主义曾经是相当直接的。犯罪推定非常简单：凶手几乎总是一个巴勒斯坦人，并且甚至如果不是，无论如何他们都对此表示赞赏。战损评估（BDA）很明显。建立一条界限——以命相抵——很明显也很容易衡量：有人受伤了吗？报复由杀死“哈马斯” （或者是“法塔赫”，“伊斯兰圣战”组织，诸如此类）的领导人或关键的好战分子构成。但报复的循环就不特别清白了。讽刺的是，有一个难题，以色列人相信报复能（事实上也如此）让这些组织放下武器。如果以色列发现一个反击的机会，就会很乐意这么做，不管这样的打击是否可以贴上巴勒斯坦人先发动攻击的标签——因此不管是否另有隐情，反对者们就会以此为攻讦的靶子（如果对攻击的推定经不起推敲）。进而“哈马斯”发现在加沙-以色列交界发射导弹可以造成相当血腥的伤害。由于不会对每次攻击都作出反应（大多数都没有采取行动26），以色列不得不适当反击一下以免被人认为是无动于衷的。对此没有一个确切的数字定义（例如一天攻击了10次就采取报复），但有一个主观多变的界限。一旦“哈马斯”的攻击“幸运”得手就进行报复并造成巨大伤害（例如，打击幼儿园），那么威慑政策就会变成一场“俄罗斯轮盘赌”。最终，以色列厌烦了，于是在2009年1月进行还击，但导弹和反击之间缺乏合乎常规的联系以至于让人怀疑有不可告人的动机——对这类事件而言，所有情况都不能含糊27。

　　由于网络的杂乱无序，因此在核领域适用的易于理解的东西和微妙的讯号（起码被认为是）在新媒介中就很难辨别。没有明确的讯号，就很难区分威慑和侵略。因为推定非常困难，所以只有带有攻击者特征的讯号是明确的——这种讯号既不含糊又带有明显的关联（例如，防空计算机在偷袭前突然黑屏几分钟）。在和平时期，推定需要有一个几乎不惧威慑的对手。

　　因此美国（或是任何有这种麻烦的国家）要有威慑政策吗？最好的回答也许是禅宗式的：没有一个国家需要制定威慑政策，但也没有一个国家能免遭报复。没有一个攻击者会认为成功的攻击却没有得到回应是由于被攻击国缺乏能力（不能推定或推定后不能发动打击），或者他们的威胁不过是虚张声势。每个攻击者都害怕如果攻击非常出色，那么报复很快就要来了。如果打算进行网络威慑，就必须制定一项政策以免听天由命。

　　虽然衡量报复最重要的因素是攻击推定，但紧接着需要考虑的是攻击的影响是否公开。如果攻击是公开的，相应地报复由每个人都可以观察到的事实决定。在网络上是否或怎样应对反映出一个国家在竞技场中希望显露出的姿态。如果攻击是秘密的，保住颜面也许不是问题——竞争只在两个国家的领导层之间展开。在这样的情况下，一个哲学目标就是在不丢脸的情况下向对立的领导层表达不满和决心，这可能是从混乱和潜在的危险境地中脱身的办法中最不坏的那种。

　　作者：马丁•C•理贝基（Martin C. Libicki）