0０ 引　言

　　軍備本身不是目的，它只是保衛(wèi)國家安全的一種方法；同樣地,，軍備控制是達成同一目標的另一種方法,。網(wǎng)絡(luò)武器和網(wǎng)絡(luò)攻擊的出現(xiàn)， 刺激產(chǎn)生了新的軍備競賽,。長期以來,，學(xué)者將網(wǎng)絡(luò)武器與核武器進行類比，但在擴散性方面,， 網(wǎng)絡(luò)武器展現(xiàn)出更嚴重的安全威脅,。目前，世界公認的擁核國家有 9 個。早在 2013 年,，聯(lián)合國裁軍研究所的調(diào)查顯示,，已有 47 個國家組建了網(wǎng)絡(luò)戰(zhàn)部隊，組建非軍方網(wǎng)絡(luò)安全機構(gòu)的國家達到了 67 個,。越來越多的國家卷入網(wǎng)絡(luò)軍備競賽,，導(dǎo)致網(wǎng)絡(luò)武器泛濫。2021 年 3 月,，英國政府發(fā)布聲明稱,，在面臨“可能產(chǎn)生與生化物武器相當影響的新興技術(shù)攻擊”時，英國將保留使用核武器的權(quán)力,。媒體援引英國政府內(nèi)部人士說法,，網(wǎng)絡(luò)攻擊屬于可能觸發(fā)英國核打擊的“新興技術(shù)”。4 月,，伊朗納坦茲地下核設(shè)施發(fā)生爆炸,。據(jù)以色列媒體稱，以色列摩薩德對伊朗納坦茲核設(shè)施進行的網(wǎng)絡(luò)攻擊導(dǎo)致核設(shè)施斷電,。這標志著網(wǎng)絡(luò)虛擬空間與現(xiàn)實空間的戰(zhàn)爭壁壘被徹底擊穿,，網(wǎng)絡(luò)軍控已迫在眉睫。

　　01 已有網(wǎng)絡(luò)軍控實踐面臨挑戰(zhàn)

　　網(wǎng)絡(luò)空間戰(zhàn)略穩(wěn)定性至少包括危機穩(wěn)定性和軍備競賽穩(wěn)定性,。其中,，危機穩(wěn)定性可通過限制可能被誤解的網(wǎng)絡(luò)行動、為對方了解自己的網(wǎng)絡(luò)行動提供便利等建立信任措施予以實現(xiàn),。與之相比,，軍備競賽穩(wěn)定性能夠從根本上削弱網(wǎng)絡(luò)戰(zhàn)風(fēng)險，更能決定網(wǎng)絡(luò)空間的長遠穩(wěn)定,。國際網(wǎng)絡(luò)軍控始于20 世紀90 年代,，最初稱為“信息戰(zhàn)軍備控制”，俄羅斯是初期相關(guān)倡議的主要發(fā)起者,。在 2009 年奧巴馬就任美國總統(tǒng)之前,， 美對國際網(wǎng)絡(luò)軍控始終持消極態(tài)度，直接阻礙了其發(fā)展,。在多邊領(lǐng)域,，美國于 2009 年 10 月首次做出決定不再反對聯(lián)合國大會“探討以可能方式強化全球?qū)用嫘畔踩钡臎Q議。2010 年7 月,，美,、俄、中等 15 個國家的網(wǎng)絡(luò)安全專家與外交官員,，向聯(lián)合國秘書長遞交一系列建議,， 呼吁各國展開更有效合作,，就“制定信息與通信技術(shù)應(yīng)用準則、國家在武裝沖突中使用信息與通信技術(shù)的影響及其應(yīng)對措施”等進行探討,。這些建議雖無強制約束力,，卻是世界主要國家首次就網(wǎng)絡(luò)沖突問題達成共識，具有明顯的標志性意義 ,。國際網(wǎng)絡(luò)軍控被提上議事日程已有10 余年時間,，受到重視的程度不斷提升。但是,， 網(wǎng)絡(luò)空間有諸多與傳統(tǒng)領(lǐng)域截然不同的新特點,， 直接阻礙了針對網(wǎng)絡(luò)武器的國際軍控進程，導(dǎo)致至今尚未達成任何重要條約,。其面臨的挑戰(zhàn)主要包括以下幾個方面,。

　　1.1　網(wǎng)絡(luò)攻擊模糊的破壞能力削弱軍控共識

　　20 世紀 40 年代核武器在日本廣島和長崎的使用，已經(jīng)向世界展示了核武器的破壞力,。核武器的先進性以及毀滅性,，促使各國共同制定規(guī)則和約束戰(zhàn)爭行為。但是在網(wǎng)絡(luò)安全領(lǐng)域,， 網(wǎng)絡(luò)武器的殺傷力有些模糊不定,。部分學(xué)者認為，網(wǎng)絡(luò)武器具備堪比核武器的破壞潛力,，但這種毀滅性的打擊還沒出現(xiàn),，普遍的網(wǎng)絡(luò)軍控共識也就難以形成。同時,，網(wǎng)絡(luò)軍控的基本概念界定不清,。為監(jiān)管武器發(fā)展與使用，國際網(wǎng)絡(luò)軍控必須明確什么是網(wǎng)絡(luò)武器,、什么樣的網(wǎng)絡(luò)攻擊屬于戰(zhàn)爭行為，但相關(guān)概念的界定存在諸多爭議,。更為危險的是,，部分國家相信，可以使用網(wǎng)絡(luò)武器產(chǎn)生局部化,、暫時性,、可逆轉(zhuǎn)而且有限的破壞效應(yīng)，并借此實現(xiàn)網(wǎng)絡(luò)空間的軍事優(yōu)勢地位,，導(dǎo)致的結(jié)果就是網(wǎng)絡(luò)攻擊的泛在化,。

　　1.2　網(wǎng)絡(luò)武器研發(fā)及使用主體超越國家范疇

　　核武器的原料稀缺度和工藝復(fù)雜度，保障了限制核武器擴散的實效,。但在網(wǎng)絡(luò)空間,，網(wǎng)絡(luò)攻防技術(shù)研發(fā)已經(jīng)高度產(chǎn)業(yè)化,，武器化的網(wǎng)絡(luò)工具正以驚人的速度擴散?；鹧酃?2020 年4 月發(fā)布漏洞管理報告,，總結(jié)了過去 7 年全球零日漏洞的利用情況，指出零日漏洞的使用正在變得越來越商品化,，大量國家支持的行為體從私營公司購買零日漏洞,，開展攻擊活動，預(yù)測未來此類活動數(shù)量還會持續(xù)增加,。網(wǎng)絡(luò)空間行為主體多元,，行動目的多樣，很難確定一國政府在其中的角色,，對于源自該國的網(wǎng)絡(luò)攻擊難以判定是有意為之,、刻意默許還是監(jiān)察不力， 也就無法基于傳統(tǒng)軍控條約對其追責(zé),。此外,，網(wǎng)絡(luò)設(shè)備軍民共用特點突出，軍隊往往與民間混用網(wǎng)絡(luò)設(shè)施,、通信節(jié)點和軟硬件,，界定國家發(fā)動的網(wǎng)絡(luò)軍事行動尤其困難。從近年看,，地緣沖突出現(xiàn)時,，網(wǎng)絡(luò)攻擊數(shù)量同步抬升已成必然規(guī)律。其中,，固然有沖突國家將現(xiàn)實矛盾延伸到網(wǎng)絡(luò)空間的原因,，但是大量民眾、網(wǎng)絡(luò)犯罪組織乃至網(wǎng)絡(luò)恐怖勢力在國家網(wǎng)絡(luò)沖突掩護下的趁亂入局也不容忽視,。多樣化的行為主體,， 帶來不可控的網(wǎng)絡(luò)攻擊泛濫及網(wǎng)絡(luò)武器擴散， 能夠?qū)⒕植康牡鼐墰_突迅速擴大為全球范圍的網(wǎng)絡(luò)安全威脅,。

　　1.3　網(wǎng)絡(luò)軍控缺少供監(jiān)督核查的具體標的

　　軍備控制要行之有效,，除形成條約外，還要保證其可核查性,?！逗瞬粩U散條約》《化學(xué)武器公約》《生物武器公約》對大規(guī)模殺傷性武器及其原料的存在進行了一些嚴格的限制?？v觀傳統(tǒng)的軍備控制條約,，其規(guī)范的對象都是看得見摸得著的武器，確保能夠通過核查實現(xiàn)監(jiān)督程序,。但在網(wǎng)絡(luò)空間,，網(wǎng)絡(luò)武器是能夠輕易存貯,、復(fù)制、刪除的代碼,，其研發(fā),、使用、擴散極為隱秘,，幾乎沒有國家對其網(wǎng)絡(luò)武器信息進行主動披露,。如果針對網(wǎng)絡(luò)武器設(shè)計軍控規(guī)則，軍控的核查監(jiān)督將面臨巨大障礙,。即使是在網(wǎng)絡(luò)武器已被使用的情況下,，雖然網(wǎng)絡(luò)溯源技術(shù)層出不窮，但由于各類反制技術(shù)頻繁出現(xiàn),，攻擊源頭,、攻擊動因和攻擊路徑仍難以查明。目前在網(wǎng)絡(luò)入侵中廣泛使用的僵尸網(wǎng)絡(luò),，不僅可以隱匿黑客的電腦 IP 地址,，而且可以將該地址映射到其他電腦上，實施核查監(jiān)督將面臨重重障礙,。

　　0２ 基于漏洞管理的網(wǎng)絡(luò)軍控條件趨于成熟

　　2010 年曝光的“震網(wǎng)”病毒,，具有不同于普通黑客攻擊、針對工業(yè)基礎(chǔ)設(shè)施的物理破壞能力,，其能力生成的關(guān)鍵在于對多個零日漏洞的綜合運用,。長期以來，個別國家借網(wǎng)絡(luò)偵察名義對其網(wǎng)絡(luò)攻擊行為進行辯護,，雖然網(wǎng)絡(luò)偵察與網(wǎng)絡(luò)攻擊不易區(qū)分,，但兩者工作原理都高度依賴對系統(tǒng)漏洞的挖掘和利用。相較于隱秘的網(wǎng)絡(luò)武器,，漏洞是更加公開的存在,，卻是打造高破壞性網(wǎng)絡(luò)武器的關(guān)鍵。因此,，漏洞管理或?qū)⒃杏W(wǎng)絡(luò)軍控的雛形,。

　　2.1　各國公認漏洞管理是網(wǎng)絡(luò)安全的關(guān)鍵

　　軍控協(xié)議的達成需要基于廣泛的國家共識。目前,，各國已普遍認識到漏洞武器化正對國家安全、經(jīng)濟發(fā)展和隱私保護帶來嚴峻挑戰(zhàn),。即使是長期對全球網(wǎng)絡(luò)軍控持消極態(tài)度的美國,，也一直將漏洞管理作為網(wǎng)絡(luò)安全戰(zhàn)略的重要內(nèi)容， 持續(xù)投入力量建立開放靈活的漏洞收集,、發(fā)布等機制,。特朗普當選后,，美國政府更是將漏洞管理作為網(wǎng)絡(luò)安全政策的優(yōu)先項。2018 年 11 月,， 美國白宮網(wǎng)站發(fā)布報告《美國聯(lián)邦政府漏洞公平裁決政策和程序》,，將“漏洞公平裁決程序” 由“秘密”轉(zhuǎn)為“公開”，主要規(guī)制對象是“新發(fā)現(xiàn)且未公開”的漏洞,，以平衡“情報收集”“調(diào)查事項”和“信息安全保障”三方面的影響 ,。

　　2.2　全球及國家層面漏洞披露平臺日益成熟

　　必要的信息獲取是軍控措施可持續(xù)的基礎(chǔ)。目前,，漏洞披露已經(jīng)具備成熟的國際化平臺,， 如面向全球黑客的 CVE、ExploitDB 等漏洞披露平臺,。此外,，中、美,、俄,、英多國都建立了國家級的漏洞披露平臺。以中國國家信息安全漏洞共享平臺為例,，通過集合國家政府部門,、重要信息系統(tǒng)用戶、運營商,、主要安全廠商,、軟件廠商、科研機構(gòu),、公共互聯(lián)網(wǎng)用戶等多類型力量,，共同建立了軟件安全漏洞統(tǒng)一收集驗證、預(yù)警發(fā)布及應(yīng)急處理體系,。雖然各類平臺的信息時效及透明度參差不齊,，但仍提供了漏洞信息共享共用的必要支撐，未來可基于此拓展形成必要的網(wǎng)絡(luò)軍控信息平臺,。而且,，從漏洞管理的政策和實踐看，各主要國家在漏洞發(fā)現(xiàn),、報送,、評估等程序上基本具有一致性。

　　2.3　漏洞的自殺傷效應(yīng)初步顯現(xiàn)

　　軍備與安全的作用并不總是正單調(diào)關(guān)系 ,。研究,、儲存、部署或者使用過多的火力強大的武器會出現(xiàn)自殺傷效應(yīng),，這種武器作用的逆序是促使多數(shù)國家停止擴大軍備,、轉(zhuǎn)而實施軍控的內(nèi)在動因,。在互聯(lián)網(wǎng)時代，漏洞被視為國家級戰(zhàn)略資源,，一個國家對漏洞的儲量甚至被視為網(wǎng)絡(luò)空間戰(zhàn)力的重要標準,。長期以來，國家行為體具有隱藏新發(fā)現(xiàn)漏洞的傾向,，導(dǎo)致漏洞的披露和修補被延遲,，為網(wǎng)絡(luò)犯罪或網(wǎng)絡(luò)恐怖活動發(fā)現(xiàn)并利用這些漏洞提供了更長的時間窗口，從而觸發(fā)漏洞的自殺傷效應(yīng),。目前,，美國在漏洞領(lǐng)域占據(jù)領(lǐng)先地位，2013 年斯諾登事件揭露美國政府利用其掌握的漏洞資源在全球網(wǎng)絡(luò)空間從事情報搜集,。2014 年爆發(fā)“心臟滴血” 漏洞攻擊,，媒體報道美國國家安全局兩年前已知曉該漏洞，并且定期利用該漏洞獲取重要情報 ,。2016 年,，美國國家安全局“永恒之藍” 等網(wǎng)絡(luò)工具被竊取，隨后全球爆發(fā)基于該工具的網(wǎng)絡(luò)勒索病毒,，美國亦未能幸免,，導(dǎo)致美國囤積漏洞的行為備受質(zhì)疑。由此可見,，雖然漏洞自殺傷效應(yīng)的全面顯現(xiàn)仍需較長時間,，但其影響已初步顯現(xiàn)。

　　0３ 構(gòu)建基于漏洞管理的網(wǎng)絡(luò)軍控理論框架

　　由于網(wǎng)絡(luò)空間的特殊屬性,，其軍備競賽較為隱秘,，傳統(tǒng)的軍控理論及實踐難以直接應(yīng)用到網(wǎng)絡(luò)空間。構(gòu)建基于漏洞的網(wǎng)絡(luò)軍控體系,， 需要大量的理論創(chuàng)新和實踐探索,。作為這一理論框架的基礎(chǔ)，需要對三個基本問題進行澄清,。

　　3.1　確定監(jiān)督核查的具體標的

　　漏洞管理涉及國家政府部門,、重要信息系統(tǒng)用戶、運營商,、主要安全廠商等多類主體,。因此，基于漏洞的網(wǎng)絡(luò)軍控,，不能涵蓋各類漏洞,， 由此導(dǎo)致國家行為與非國家行為、軍事行為與商業(yè)行為、重大安全行為與普通安全行為混淆,。網(wǎng)絡(luò)軍控應(yīng)針對可能導(dǎo)致關(guān)鍵基礎(chǔ)設(shè)施受損等重大網(wǎng)絡(luò)安全威脅的漏洞，如通用漏洞評分系統(tǒng)判定的分值高于 7 的漏洞,。2021 年初披露的Treck 公司軟件存在的漏洞 CVE-2020-25066,、CVE-2020-27337，遠程攻擊者可利用這些漏洞 實施DoS 攻擊,，對數(shù)百萬物聯(lián)網(wǎng)設(shè)備造成影響,。這類漏洞對于網(wǎng)絡(luò)武器的價值，類似核生化原料對核武器,、生化武器的價值,，必須成為未來網(wǎng)絡(luò)軍控的重點。在 2015 年《瓦森納協(xié)定》的新出口限制禁令中,，美國將軟件漏洞視為潛在的武器進行限制和監(jiān)管,，規(guī)定在未經(jīng)特別許可的情況下，禁止在美國,、英國,、加拿大、澳大利亞和新西蘭等國之外銷售零日漏洞技術(shù)及相關(guān)產(chǎn)品 ,。由于新出口限制禁令的目的是保持對漏洞的壟斷和利用優(yōu)勢,，因此該禁令并沒有推動全球范圍的網(wǎng)絡(luò)軍控，但是其將軟件漏洞視為軍控標的做法具有開創(chuàng)性,。

　　3.2　界定戰(zhàn)爭企圖的漏洞行為

　　對戰(zhàn)爭企圖的預(yù)判是觸發(fā)軍控行為的重要依據(jù),。軍控行為大體包括兩種途徑：一是對軍備的量進行控制，包括數(shù)量和質(zhì)量的控制,；二是對軍備的使用進行控制,。即使是對同一軍控領(lǐng)域，不同國家的側(cè)重點也常常存在差異,。如在核軍控方面,，部分國家強調(diào)不使用核武器， 其他國家則通過研發(fā)戰(zhàn)術(shù)核武器方式降低使用門檻,，同時強調(diào)核武器不擴散,。無論其側(cè)重點如何，究其本質(zhì)始終是對戰(zhàn)爭應(yīng)對的“端口前 置”,，對蘊含戰(zhàn)爭企圖的征兆性行為進行扼阻,。網(wǎng)絡(luò)空間是基于“比特流”的數(shù)字化空間，網(wǎng) 絡(luò)空間戰(zhàn)場無聲無息,、沒有硝煙,，數(shù)據(jù)以接近“光 速”流動，戰(zhàn)場形勢瞬息萬變，偵攻行動轉(zhuǎn)換迅速,，網(wǎng)絡(luò)空間作戰(zhàn)是以接近“光速”進行的 “秒殺”作戰(zhàn),。因此，網(wǎng)絡(luò)空間的戰(zhàn)爭意圖判定,， 必須充分“前移”,，定位在網(wǎng)絡(luò)武器的研發(fā)階段， 即漏洞的武器化階段,。任何試圖對漏洞進行武器化的行為,，無論其行為主體，無論其是否針對具體目標,，都應(yīng)視為網(wǎng)絡(luò)戰(zhàn)爭企圖,。這是觸發(fā)網(wǎng)絡(luò)軍控的最低標準，也是防范網(wǎng)絡(luò)戰(zhàn)爭的 最高準則,。

　　3.3　制定網(wǎng)絡(luò)軍控的發(fā)展路線

　　對軍備的量進行控制包括透明,、不擴散、限制,、凍結(jié),、裁減、禁止,，其控制強度逐步增強,。對軍備使用的控制措施包括不使用、負面安全保證,、限制使用,、限制部署、降低戒備,、建立信任措施等,，其控制強度逐步減弱。歷史上,，化學(xué)裁軍的線路是分兩步,，先對化學(xué)武器的使用進行控制，再對化學(xué)武器的量進行控制,。美,、蘇（俄羅斯）之間核裁軍的線路則是兼顧對核武器的使用和數(shù)量進行限制?？紤]到網(wǎng)絡(luò)武器的特殊性,，必須采取與化學(xué)武器、核武器不同的軍控路線,。當前,，國家及非國家行為體對網(wǎng)絡(luò)武器的使用已經(jīng)趨于常態(tài),，短時間內(nèi)難以遏制，而漏洞的武器化正是引發(fā)并維持這一現(xiàn)狀的重要驅(qū)動,。因此,，網(wǎng)絡(luò)軍控應(yīng)首先從控制數(shù)量開始，通過限制網(wǎng)絡(luò)武器的產(chǎn)生及擴散,， 對網(wǎng)絡(luò)武器濫用這一勢頭釜底抽薪,，進而逐步實現(xiàn)對網(wǎng)絡(luò)武器使用的限制。生化,、核、網(wǎng)絡(luò)領(lǐng)域的軍控路線對比如圖 1 所示,。

　　圖 1 生化,、核、網(wǎng)絡(luò)領(lǐng)域的軍控路線對比

　　0４ 結(jié)　語

　　有學(xué)者認為,，網(wǎng)絡(luò)安全議題方面的挑戰(zhàn),， 可以說是大于核方面的[9]。網(wǎng)絡(luò)軍控的體系建立,， 將比核軍控面臨更多挑戰(zhàn),，構(gòu)建網(wǎng)絡(luò)軍控特色理論、突破當前網(wǎng)絡(luò)軍控困境只是邁出第一步,。

　　未來,，必須用好傳統(tǒng)軍控公約、組織架構(gòu)等現(xiàn)有存量,，同時立足網(wǎng)絡(luò)空間的特點和規(guī)律,，積極拓展網(wǎng)絡(luò)軍控增量。經(jīng)過多年實踐,，聯(lián)合國已建立完整的軍控審議,、談判與監(jiān)督機制，應(yīng)繼續(xù)推動聯(lián)合國主導(dǎo),、各國平等參與的網(wǎng)絡(luò)軍控規(guī)則制定,，推動國際網(wǎng)絡(luò)軍控加速邁入正軌。鑒于網(wǎng)絡(luò)空間行為主體多元,，應(yīng)將非政府組織,、行業(yè)代表性機構(gòu)等納入，打造多層次的網(wǎng)絡(luò)安全與軍備控制力量結(jié)構(gòu),。此外,，各國應(yīng)更加理性看待網(wǎng)絡(luò)軍備擴張的逆序。由于網(wǎng)絡(luò)空間的無國界,，網(wǎng)絡(luò)戰(zhàn)無論由誰挑起,，最終都沒有勝利者。在網(wǎng)絡(luò)空間國際立法嚴重滯后的現(xiàn)狀下， 為避免網(wǎng)絡(luò)空間陷入“一切人反對一切人”的霍布斯式戰(zhàn)爭狀態(tài) ,，即使當前沒有條件立刻實現(xiàn)多邊條約式的網(wǎng)絡(luò)軍控,，也應(yīng)考慮以更加主動公開的姿態(tài)加強嚴重漏洞的預(yù)警性信息發(fā)布，克制將漏洞武器化的傾向,，治理國內(nèi)濫用漏洞的網(wǎng)絡(luò)黑產(chǎn),，實行自我克制式的單邊網(wǎng)絡(luò)軍控。