美国这份“国防部网络战略”与之前的“国家网络战略”是不是一回事？

美国国防部（DOD）发布的“2018年网络战略文件”引起了公众的广泛关注，特别是其中提到的“防御推进”概念。

下面，本文结合最近颁布的 NDAA（即〈国防授权法案〉）与近期第20号总统政策令（ PPD-20 ）中的变化对这一概念进行解读。

一、美国这份“国防部网络战略”与之前的“国家网络战略”是不是一回事？

答案是否定的。上周颁布的“网络战略”文件共有两份。

以下提到的美国“国家网络战略”

其一为美国“国家网络战略”。“国家网络战略”文件本身也很有意思，特别是其中以令人意外的强烈语气谈到国际法的重要性以及网络活动的"规范"事宜，但本文主要面向同样于上周正式亮相的美国“国防部2018年网络战略”这份文件。实际上，目前这份完整的国防部文件尚未完全公布，但其中已经有约6页内容以官方“摘要”的形式公开，而这也成为今天文章的主要方向。

二、这份“摘要”就军方在网络领域的作用做出了哪些值得关注的描述？

可以想见，在联合部队背景下的网络领域行动方面存在着大量值得讨论的议题。总结来讲，文件当然会要求各部队有效利用网络领域的各类能力，包括进攻能力，从而支持“全方位对抗”。在这方面，并没有什么值得以新闻形式解读的内容。相反，更有趣的段落是摘要中提到了三项不同的行动概念为:

情报收集

战场准备（也可以称其为战场空间准备）

防御“推进”思路

第1页中的核心内容：

“我们将开展网络空间行动，借以收集情报并准备军事网络能力，从而在发生危机或冲突时加以利用。我们将以防御推进的方式从源头上破坏或制止恶意网络活动，包括各类低于武装冲突水平的活动。”（原文中用下划线进行强调）

以下为进一步剖析

a.收集情报：

这句起首语已经非常明确地阐述了美国国防部资产有时会参与网络活动以获取情报这一“不是秘密的秘密。”具体的参与理由可能基于传统战争考量因素、特定网络能力、领导意图与动机或者任何其它情报内容需求（无论是否涉及网络活动）。简而言之，这部分并没有太多值得讨论的意义。

b.战场准备：

第一句的后半部分明确指出应准备在发生危机或冲突时使用的军事网络能力，这与前半部分所提到的情报收集目标明显有所不同。这至少反映出文件认为人们对于“战场准备”应该已经比较熟悉（在动能领域，这一概念包括军方在敌对方行动之前可能采取的一系列活动，旨在最大限度在首次交锋开始后取得成功），并要求在网络层面进行类似的准备。

关于准备的具体内容，可能包括侵入潜在敌对方的系统，从而确保未来必要时能够借此实现颠覆或破坏性影响。

c. 题外话：注意战场准备行动与风险保持战略之间的模糊界限

本文强调一个重要但却经常被忽视的网络行动概念类别——大部分人可能难以区分网络领域的战场准备与“风险保持”行动。

有时候，建立起指向潜在敌对方系统的连接这一目标（甚至是唯一目标），能够通过向对方明确表达我方有能力攻破其防御体系并破坏其有价值资产以加强我方的威慑态势（也就是“风险保持”）。

当然，实现风险保持行动的必要条件，在于令敌对方最终意识到——或者至少强烈怀疑——我方已经渗透至其相关系统当中。在这种情况下，根据定义，敌对方往往会得到通知并开展清理行动。因此，请不要轻易暴露，以免我方希望获取的高价值访问内容受到加密，这也成为收集情报、战场准备或者二者相结合目标的成功前提。

另一方面，敌对方实际上可能无法持续清理我方入侵，或者至少无法以充分的确定性判断是否仍存在风险保持问题（决策者可能会因此感到焦虑，疑惑我方是否能够以类似的方式获得更多访问权限）。

但目前最重要的一点在于，针对同一系统的战场准备与风险保持两种行动在敌对方看起来往往并无区别。对方是否能够发现这些行动，从而支持我们的风险保持目标？或者，这是否意味着我方应当保持隐蔽，从而逐步完成战场准备工作？（这些问题来自我方属于防守态势的场景，特别是考虑到伊朗黑客已经开始入侵美国的工业控制系统）。

而且至少在所讨论的目标系统具有潜在情报价值的情况下，我们还应补充强调，防守方还需要考虑到相关活动仅仅属于间谍问题的可能性。也许入侵者并没有特定的行动计划，或者打算视后续情况进行不同行动模式间的转换。

其中显然存在着极大的误解性风险。但目前最重要的一点在于，以上所有举动已经成为民族国家在网络空间内实施武装攻击或者使用武力的重要方式。在我看来，摘要中提到的“准备”这一说法，特别是其中的“危机”字样，应当涵盖战场准备与风险保持行动。

d. 防御推进以及NDAA

下面我们来看看媒体最为关注的这部分内容：“我们将以防御推进的方式从源头上破坏或制止恶意网络活动，包括各类低于武装冲突水平的活动。”

这里的“防御推进”是什么意思？摘要当中并未提供具体定义。但可以想象，完整的版本应该是指某些“通过网络实现的，旨在破坏、挫败及阻止外国行动方通过网络手段对美国国防、关键基础设施等造成损害之行为的行动”。不过除了猜测之外，我们也有必要从上下文当中收集一些支持性信息。

首先，“防御推进”明显涉及美国网络之外的行动，也就是所谓“推进”的部分（有人可能认为，「防御推进」的说法只是为了对侵略性做出进一步强调，而将同样立足自身网络之外实施的「主动防御」换了个称呼）。

其次，正如 Dave Weinstein 在自己的论著摘要当中所指出，“防御推进”明确考虑到了不属于武装冲突范畴的国防部网络活动。结合摘要中已经就战场准备与情报收集做出了明确阐述，这里我们得出的结论是，防御推进属于应对外部网络产生破坏性甚至是颠覆性影响的行动，具体包括敌对方自有系统或者敌对方已经或者正在计划用于实施冲突行动的第三国中点系统。

这一解读与最近颁的 John S. McCain 国防授权法案第1642节内容高度一致。

首先，NDAA 附带的会议报告已经清楚表明，美国国会正努力消除国防部在利用网络能力应对各类恶意网络活动——特别是俄罗斯2016年信息干预行为——时的疑惑情绪。

其次，第1642节中明确授权美国国防部“可在外国网络空间中采取适当规模的行动以实现扰乱、挫败及威慑等目的”，从而“应对网络空间中指向美国政府或民众的主动、系统及持续的攻击行动，特别是各类试图影响美国选举及民主政治进程的行动。”这里提到的攻击方明显是指俄罗斯、中国、朝鲜或伊朗。

同一节中还做出明确规定，称此类行动应被视为“传统军事活动”（除了第50章内容提出的对秘密行动的法定定义之外，NDAA在其它部分实际上做出了语气强化与范围扩展）。

当然，在明确强调国防部有权在这类特定情况下采取行动之后，美国国会似乎也在无意之间对国防部在其它情况下采取行动的权力提出了质疑，无法从摘要当中看出“防御推进”指令的作用仅限于 第1624节 中提及的情况，抑或是更为广泛。如果更为广泛，那么美国网络司令部与其它国防部机构迟早会就以下两个核心问题展开争论。

其一，行动部门是否有权在未经立法授权的情况下开展活动（至少就目前来看，未来的国防事务将不可避免地面临一部分低于武装冲突门槛的状况）？

其二，如果答案是肯定的，那么 第1624条 授权是否反而构成了负面影响，即表达出国会反对在其它情况下使用类似权力的倾向，从而将行动部门置于 Jackson 大法官提出的“第3类”弱势地位？对于这个问题，我的初步结论是，国会应该只是希望通过第1624节提及的场景让其观点变得更为清晰且无可争议，而并不是为了暗中限制行动部门在网络外防御工作中的活动权限。

三、这份摘要与原有 PPD-20 中机构间审查制度的撤销有何关系？

目前无明确的答案，但问题本身可能相当重要。换言之：其中的核心问题不在于美国网络司令部是否应该执行防御推进任务，而是其在特定情况下应该通过怎样的流程遵循法案要求采取行动。

根据相关报道，PPD-20 要求行动机构必须接受大量机构间审查，而后方可执行网络外行动——包括入侵并非明确敌对方的第三国系统。

众所周知，特朗普最近已经撤销了其中一部分审查要求。虽然审查制度不太可能被彻底消除，但这毕竟是一种放宽趋势。这种变化将把最终决策权从美国总统手中移交给指挥官。根据目前已经发布的各类公开报道，还无法确定美国网络司令部司令保罗·卡纳森是否获得这类行动唯一决策权的时间点是否会延后。

总而言之，美国监管的缰绳已经松动，但目前尚不明确其到底在行动部门的垂直或水平层面能够松动到何种程度。恐怕很难评估摘要当中提出的、将“防御推进”作为一种行动类别的实际重要程度。

四、“防御推进”是否有可能仅限于针对政府自身网络的威胁？

这就是摘要给我们提出的一个有趣谜题。此次公布的摘要一直在不遗余力地强调防御推进模式是应对美国国防部自身网络所面临威胁问题的选项之一，但相比之下，其并没有明确而充分地提及美国国防部是否将借此捍卫私有网络：

我们将以防御推进的方式阻止或缓解针对国防部的网络空间行动，我们将通过合作加强国防部、DCI 与 DIB 网络及系统的网络安全与弹性水平。

这种对比可能是无意之举，因为摘要的下一句中提到了抢先、挫败与阻止针对关键基础设施的、已经上升至重大网络事件水平的恶意活动。需要确认的是,此份战略文件的完整版中是否真的以这种方式对防御推进行动做出了限制?