信息鏈和供應(yīng)鏈的優(yōu)勢(shì)引發(fā)的濫用焦慮

美國(guó)是信息技術(shù)的本土，擁有先發(fā)優(yōu)勢(shì)和強(qiáng)大產(chǎn)業(yè)能力，并助動(dòng)了其安全優(yōu)勢(shì)的形成。這種優(yōu)勢(shì)在供應(yīng)鏈、信息鏈上均十分明顯。從供應(yīng)鏈上來看，美方基本占據(jù)供應(yīng)鏈上游的核心技術(shù)地帶，大量國(guó)際知名產(chǎn)品和服務(wù)品牌也為美方企業(yè)所有，從而使美方在供應(yīng)鏈的品牌無形資產(chǎn)、整體設(shè)計(jì)、核心軟硬件系統(tǒng)等高溢價(jià)部分中占有絕對(duì)優(yōu)勢(shì)。而發(fā)展中國(guó)家則成為大量低利潤(rùn)代工廠和重要消費(fèi)市場(chǎng)。這其中的“剪刀差”，不僅形成了美國(guó)商業(yè)公司的高額利潤(rùn)，也是美國(guó)向世界收割的國(guó)家紅利。從信息鏈上來看，在全球信息流動(dòng)中，通過美國(guó)互聯(lián)網(wǎng)公司提供的優(yōu)質(zhì)、免費(fèi)、富有創(chuàng)造力的產(chǎn)品與服務(wù)，全球數(shù)據(jù)主動(dòng)向美國(guó)匯集，美國(guó)成為全球數(shù)據(jù)的中心。

對(duì)于供應(yīng)鏈和信息鏈下游國(guó)家來說，由于核心芯片是難以驗(yàn)證的黑箱，大型操作系統(tǒng)和軟件規(guī)模超出了安全分析能力，而全民信息單向向美方流動(dòng)，都注定無法不引發(fā)各國(guó)的安全恐慌。而同時(shí)美國(guó)在國(guó)家安全作業(yè)中濫用供應(yīng)鏈和信息鏈的做法加速了這種恐慌。

居于供應(yīng)鏈頂層的國(guó)家，無疑對(duì)于技術(shù)標(biāo)準(zhǔn)和全球技術(shù)應(yīng)用導(dǎo)向等有更強(qiáng)的影響能力，如早在2007年，密碼學(xué)家Niels Ferguson和Dan Shumow就質(zhì)疑2006年被納入NIST SP800-90標(biāo)準(zhǔn)的Dual_EC_DRBG算法可能潛伏著一個(gè)后門，但如果不是斯諾登曝光的印證，這種質(zhì)疑有可能永遠(yuǎn)石沉大海。密碼學(xué)家Mattew Green在《A Few Thoughts on Cryptographic Engineering》一文做了如下的概括：“NSA每年花費(fèi)2億5千萬美元，做了下面這樣的事情：篡改標(biāo)準(zhǔn)以削弱密碼系統(tǒng)。對(duì)標(biāo)準(zhǔn)委員會(huì)施加影響以弱化協(xié)議。同軟硬件開發(fā)商合作以削弱加密算法和隨機(jī)數(shù)生成算法的強(qiáng)度……”

從信息鏈角度來看，美國(guó)企業(yè)在這種數(shù)據(jù)采集、匯聚過程中，通過加密手段實(shí)現(xiàn)對(duì)各國(guó)政府合法監(jiān)聽權(quán)的OTT（Over The Top，指通過互聯(lián)網(wǎng)向用戶提供各種應(yīng)用服務(wù)——觀察者網(wǎng)注），但又通過棱鏡等系統(tǒng)的接口為美國(guó)安全機(jī)構(gòu)提供了對(duì)這些數(shù)據(jù)的獨(dú)家使用能力，而對(duì)其他國(guó)家正常的安全協(xié)查訴求響應(yīng)遲緩或置之不理。其事實(shí)上形成了強(qiáng)化美國(guó)的單邊能力優(yōu)勢(shì)，弱化他國(guó)安全能力的效果。

作為超級(jí)大國(guó)，美國(guó)在網(wǎng)絡(luò)空間的任務(wù)不是制造麻煩，不是散播焦慮

網(wǎng)絡(luò)情報(bào)和攻擊作業(yè)能力引發(fā)的失衡焦慮

大國(guó)間、地緣利益競(jìng)合者之間持續(xù)的信息獲取是國(guó)家關(guān)系的常態(tài)，而全球無死角的信息情報(bào)獲取能力，是支撐美國(guó)全球利益的基石。需要看到的是，美方依靠情報(bào)作業(yè)能力進(jìn)行信息獲取與美方本身擁有的供應(yīng)鏈、信息鏈的優(yōu)勢(shì)有一定關(guān)系，但兩者并不是一回事。美方在網(wǎng)絡(luò)空間安全領(lǐng)域的情報(bào)作業(yè)依靠成建制的網(wǎng)絡(luò)攻擊團(tuán)隊(duì)、龐大的支撐工程體系與制式化的攻擊裝備庫(kù)、強(qiáng)大的漏洞采集和分析挖掘能力以及關(guān)聯(lián)資源儲(chǔ)備、還包括系統(tǒng)化的作業(yè)規(guī)程和手冊(cè)，這些形成了系統(tǒng)化能力，具有裝備體系覆蓋全場(chǎng)景、漏洞利用工具和惡意代碼載荷覆蓋全平臺(tái)、持久化能力覆蓋全環(huán)節(jié)的特點(diǎn)。而這種覆蓋能力，足以引發(fā)全球用戶“一切均不可信”的安全焦慮。

在一些媒體報(bào)道方程式攻擊中，將美方在高價(jià)值目標(biāo)中針對(duì)硬盤固件實(shí)現(xiàn)攻擊持久化的植入，解讀為美國(guó)出品的硬盤都帶有后門，這固然是一種誤解，但也不能不說一個(gè)國(guó)家的攻擊能力強(qiáng)大到了只能猜測(cè)和想象的程度，就不可能不引發(fā)恐慌，從而導(dǎo)致其被全面妖魔化。

網(wǎng)絡(luò)攻擊能力輸出引發(fā)的“網(wǎng)絡(luò)軍備擴(kuò)散”焦慮

美國(guó)在攻防兩端都擁有無以倫比的國(guó)家能力和產(chǎn)業(yè)能力。作為“風(fēng)暴演習(xí)”、“Red Team”等機(jī)制的創(chuàng)造者，美國(guó)已經(jīng)形成了以對(duì)抗博弈為導(dǎo)向的安全防御能力和對(duì)安全防護(hù)的檢驗(yàn)?zāi)芰Α６诖酥?，美?guó)企業(yè)和機(jī)構(gòu)主導(dǎo)開源或商用的攻擊工具也起到了很關(guān)鍵的作用，這種持續(xù)的攻擊測(cè)試與合理部署的安全產(chǎn)品、強(qiáng)化的配置策略、有效的管理能力結(jié)合，構(gòu)成了美國(guó)信息化的高水準(zhǔn)安全保障。而站在其他國(guó)家角度，商業(yè)滲透攻擊測(cè)試平臺(tái)，一方面同樣可以成為高效檢驗(yàn)系統(tǒng)安全的有利工具；但對(duì)于缺少足夠的安全預(yù)算、難以承擔(dān)更多安全成本的國(guó)家、行業(yè)和機(jī)構(gòu)來說，這種攻擊工具所封裝的完整的Kill Chain能力，將會(huì)成為一場(chǎng)噩夢(mèng)。

中國(guó)安全廠商安天在5月27日發(fā)布的《一例針對(duì)中方機(jī)構(gòu)的準(zhǔn)APT攻擊分析》報(bào)告中，披露有中國(guó)用戶遭遇了使用Cobalt Strike商用攻擊平臺(tái)的攻擊，而Cobalt Strike平臺(tái)的作者Raphael Mudge就曾參與美國(guó)國(guó)防部Red Team的項(xiàng)目開發(fā)。類似攻擊平臺(tái)的攻擊能力，已經(jīng)超出了大部分用戶的防御水準(zhǔn)。鑒于網(wǎng)絡(luò)攻擊技術(shù)存在極低的復(fù)制成本的特點(diǎn)，當(dāng)前已經(jīng)存在嚴(yán)峻的網(wǎng)絡(luò)軍備擴(kuò)散風(fēng)險(xiǎn)。

超級(jí)大國(guó)在網(wǎng)絡(luò)空間的國(guó)際義務(wù)

美國(guó)今日的優(yōu)勢(shì)是其地理地緣、頂層設(shè)計(jì)、戰(zhàn)略執(zhí)行和國(guó)民奮斗等綜合因素的結(jié)果，是需要尊重的既定事實(shí)。但美國(guó)作為全球領(lǐng)跑的國(guó)家，也需要承擔(dān)更大的責(zé)任和國(guó)際義務(wù)。能力與優(yōu)勢(shì)的過度使用，同樣是領(lǐng)跑者自己的陷阱，就像美國(guó)依托互聯(lián)網(wǎng)廠商的全面數(shù)據(jù)獲取，憑借“棱鏡”、“碼頭”、“主干道”等系統(tǒng)組合使用，堪稱開啟了情報(bào)作業(yè)的上帝模式。但這些信息曝光后，無疑重挫了世界各國(guó)對(duì)美國(guó)產(chǎn)品與服務(wù)的信任。中國(guó)出現(xiàn)的去IOE呼聲（去IOE，阿里巴巴提出的概念。其本意是，在阿里巴巴的IT架構(gòu)中，去掉IBM的小型機(jī)、Oracle數(shù)據(jù)庫(kù)、EMC存儲(chǔ)設(shè)備，代之以自己在開源軟件基礎(chǔ)上開發(fā)的系統(tǒng)——觀察者網(wǎng)注），盡管看起來有些生硬，但不能不說這是重大的安全恐慌下的必然反彈。

美國(guó)的焦慮從某種程度上并非絕對(duì)不能理解：網(wǎng)絡(luò)空間是第五空間，網(wǎng)絡(luò)技術(shù)對(duì)實(shí)體世界的影響越來越大，超級(jí)大國(guó)對(duì)原有規(guī)則的不適應(yīng)會(huì)造成戰(zhàn)略焦慮，渴望以某種形式實(shí)質(zhì)性壟斷新規(guī)，來自其他領(lǐng)域如實(shí)體經(jīng)濟(jì)領(lǐng)域相對(duì)疲軟的態(tài)勢(shì)，也會(huì)進(jìn)一步加劇和主張這種焦慮。但從國(guó)際體系以及其他國(guó)家的視角來看，這不能導(dǎo)出超級(jí)大國(guó)有權(quán)在網(wǎng)絡(luò)空間采取單邊行動(dòng)的結(jié)論。

單向威懾的本質(zhì)其實(shí)是“訛詐”，基于可信相互（可以不對(duì)等）毀傷的制衡才可能導(dǎo)致戰(zhàn)略平衡，一個(gè)有助于和平穩(wěn)定的世界不應(yīng)基于簡(jiǎn)單的贏者通吃模式。美方在鞏固自身優(yōu)勢(shì)的同時(shí)，同樣需要考慮的是，對(duì)全球其他國(guó)家能否做出不在情報(bào)作業(yè)中濫用供應(yīng)鏈和信息鏈優(yōu)勢(shì)的承諾；能否合理控制自身網(wǎng)絡(luò)軍備發(fā)展的速度和規(guī)模；并對(duì)網(wǎng)絡(luò)領(lǐng)域可能的軍備擴(kuò)散，進(jìn)行有效的干預(yù)和控制。在這些領(lǐng)域中，如果美國(guó)沒有先邁出一步的態(tài)度，居于高度恐慌中的其他國(guó)家，很難再做出更多讓步。

作為超級(jí)大國(guó)，或許美國(guó)的自信不應(yīng)只來自“能夠絕對(duì)打贏網(wǎng)絡(luò)戰(zhàn)爭(zhēng)”，更應(yīng)來自“對(duì)他國(guó)有效釋放安全保證、對(duì)自己進(jìn)行能力約束”。畢竟前者只能恫嚇弱者，后者才能讓他人感到善意。

本文系觀察者網(wǎng)獨(dú)家稿件，文章內(nèi)容純屬作者個(gè)人觀點(diǎn)，不代表平臺(tái)觀點(diǎn)，未經(jīng)授權(quán)，不得轉(zhuǎn)載，否則將追究法律責(zé)任。關(guān)注觀察者網(wǎng)微信guanchacn，每日閱讀趣味文章。