管制網路武器，難如管制人心！

【Comment】

網路管制協議有三個關鍵字：和平時期、不率先使用、基礎設施（發電站、銀行系統、手機網絡及醫院）。

但，大規模竊取知識產權，盜取數百萬政府僱員的個人數據，似乎無關。

除了關鍵「基礎設施」外，還有關鍵「商業設施」。我猜可能有其他分類，如關鍵「環境設施」、關鍵「情感設施」等等等等。

結論是，為戰爭一旦爆發，繼續發展技術備用。為備用，必須測試，為了戰時有效，必須先期部署。

那不就講完了！

管制，核心一直都是監管與懲罰。

如果沒辦法監管與懲罰，管制就只能成為政治宣言。

中美開展首個網絡武器控制談判○紐約時報(2015.09.20)

華盛頓——據參與談判的官員透露，美國和中國正在討論首個網絡空間軍備控制協議，雙方共同承諾，在和平時期不首先使用網絡武器破壞另一方的關鍵基礎設施。

此類協議可以制約針對發電站、銀行系統、手機網絡及醫院的攻擊，但目前中國被指在美國實施的大部分攻擊行為，都不在該協議的制約範圍內——至少在協議最初版本中是這樣——比如大規模竊取知識產權，盜取數百萬政府僱員的個人數據。

中美雙方在最近幾周進行緊急談判，以便在中國國家主席習近平周四抵達華盛頓進行國事訪問時，宣布達成協議。奧巴馬總統在周三暗示雙方正在進行談判，他在商業圓桌會議(Business Roundtable)上表示，網絡攻擊數量的不斷增加「可能成為峰會的最重要話題之一」，他想藉此了解「我們和中國能否圍繞一個談判進程達成統一」，而這一進程最終會「將很多其他國家包括在內」。

但一名參與討論的高級政府官員提醒，奧巴馬和習近平最初發表的聲明可能不會「具體、詳細地提及」禁止對關鍵基礎設施發動攻擊的內容，而是對一個聯合國工作組最近採用的行為準則表達一種較為「一般性的支持」。

任何國家都不應該允許「有意破壞關鍵基礎設施，或通過其他方式影響為公眾提供服務的關鍵基礎設施的使用和運營」的行動，這是聯合國有關網絡空間行為準則的文件的關鍵原則之一。 美國談判代表的目標是讓中國領導人在與華盛頓達成的雙邊協議中接受聯合國行為準則規定的原則。

但據知情官員透露，談判達成的協議似乎不可能直接解決最緊急的問題，即源自中國的網絡攻擊。由於談論的是尚在進行中的談判，這些官員要求匿名。

大多數攻擊專注於間諜活動和盜取知識產權。而正在討論中的規定，不會讓美國政府人事管理辦公室(Office of Personnel Management)的220萬份個人安全文件免遭盜取，美國國家情報總監小詹姆斯·R·克拉珀(James R. Clapper Jr.)最近對國會表示，這不構成「攻擊」行為，因為這是在收集情報——美國也這麼做。

正在談判中的協議似乎也不會涉及使用工具竊取知識產權的問題，去年控告中國人民解放軍五名軍官的起訴書顯示，中國軍方經常實施此類活動，以幫助國企發展。目前尚不清楚這些規定會不會禁止去年針對索尼電影娛樂公司(Sony Pictures Entertainment)的那種攻擊行動，美國將此事歸咎於朝鮮。索尼公司70%的電腦系統在該襲擊中癱瘓。

絕大多數情況下，索尼不會是這個國家「關鍵基礎設施」的一部分，儘管國土安全部(Department of Homeland Security)的確將「電影製片公司」與體育館、博物館及會議中心一起歸入關鍵「商業設施」行列。

但任何對和平時期網絡攻擊行動加以限制的協議都將是一個開始。前五角大樓、國務院官員維克拉姆·J·辛格(Vikram J.Singh)表示，「這是網絡攻擊首次被當作像核武器、化學武器及生物武器一樣需要進行管制的軍事能力。」辛格目前是美國進步中心(Center for American Progress)主管國家安全事務的副主任。

在奧巴馬政府內部，制定「一系列行為規範」來限制網絡攻擊的努力，是和約翰·F·肯尼迪(John F. Kennedy)總統與蘇聯在1963年達成的首個重要核條約相提並論的，該條約禁止在大氣層進行核試驗，它沒有阻止核武器的研發，甚至沒有終止地下試驗——這種試驗此後持續進行了數十年，但那是首次為預防環境災難做出的努力。同樣，眼下的協議將是全球兩個最大經濟體首次試圖預防網絡武器的使用所帶來的災難性後果。

因為對美國權力的研究而為人所知的哈佛大學教授小約瑟夫·S·奈(Joseph S. Nye Jr.)表示，網絡攻擊武器的「不首先使用」原則，在各種國際論壇上已經「醞釀了一段時間」。「這會促使大家自制，」奈說，但他還表示，問題在於「如何證實，如果不能得到證實，那它的意義何在？」

正是由於這個問題，有關網絡空間軍備控制的協議會比更為人所知的核武器協議複雜得多。

從冷戰時期一直到今天，核武器始終掌握在政府手中，這意味着它們的數量通常會得到統計，去向會受到監視。網絡武器很多時候也是國家開發的——其中以美國、俄羅斯、中國及伊朗等國技術最為成熟，但犯罪集團及青少年也會掌握網絡武器，他們都不會就條約進行談判。

而且，大家通常都很清楚常規攻擊的源頭；導彈的軌跡可以通過雷達或衛星追蹤。奧巴馬在上周指出網絡攻擊很難追蹤，因此也很難阻止此類攻擊，或理直氣壯地進行報復。

之前也曾有過讓習近平及其他中國高層官員着手解決網絡攻擊問題的努力，但基本上都以失敗告終。2013年奧巴馬與習近平在加利福尼亞州陽光之鄉舉行峰會時，在這個問題上花了大量時間。但甚至在那次會議之後，中國仍然否認中國軍方參與攻擊行動的說法，稱他們本身是美國網絡攻擊行動的受害者。

這種說法並非完全站不住腳：愛德華·J·斯諾登(Edward J. Snowden)公布的機密文件顯示，美國國家安全局(National Security Agency)用一套複雜的方法進入了中國電信巨頭華為的系統，但美國堅稱這是為了開展國家安全監控項目，而不是為了盜取知識產權。

官員們表示，中國最近的網絡安全活動可追溯至幾個事件。

美國政府人事管理辦公室電腦系統遭入侵，而且在大約一年的時間裡未被察覺，追蹤發現攻擊源自中國，一名官員表示，證據已經交給中國官員。今年8月，奧巴馬的國家安全顧問蘇珊·E·賴斯(Susan E. Rice)前往北京與習近平及其他官員會面，並利用此行對中國加壓，表示可能會施加新制定的經濟制裁舉措。奧巴馬在最近的兩次講話中提到了這種可能性，稱只有與習近平取得進展，他才會放棄制裁舉措。

上周，負責國家安全事務的中共高級特使孟建柱來到華盛頓，與賴斯、幾名美國情報官員及美國聯邦調查局(Federal Bureau of Investigation)局長詹姆斯·B·科米(James B. Comey)會面。會議主題是提出某種協議——哪怕措辭模糊也好，以便讓奧巴馬和習近平能在周五宣布協議。

限制網絡武器的協議對美國也會構成問題。美國對新一代武器的投入達到了數十億美元，至少在對伊朗位於納坦茲的核濃縮設施開展網絡攻擊的這個著名實例中，美國使用了網絡武器。

任何限制和平時期在外國電腦網絡中安插「信標」或「嵌入裝置」的規定，都會讓美國的網絡戰士感到擔憂；這些是能夠監控外國電腦系統運行的代碼，它們在決定如何開展秘密攻擊或戰時攻擊方面，能夠發揮至關重要的作用。中國曾利用類似的技術擾亂美國網絡，時常令五角大樓及情報機構感到驚恐。

對外關係委員會(Council on Foreign Relations)的高級研究員羅伯特·K·克納克(Robert K. Knake)表示，「出台禁止『準備戰場』的規定是令人期待的事情之一。」克納克之前曾在奧巴馬政府網絡安全辦公室工作。

奧巴馬在擔任總統期間甚少提及美國網絡武器的發展，但最近幾日開始談論這個話題。周三，他在商業圓桌會議上表示，「如果我們想要進行攻擊，很多國家會遭遇重大問題。」

國際首例 美中協議管制網軍攻擊○自由(2015.09.21)

承平時期不攻擊基礎設施

〔編譯管淑平／綜合報導〕在中國國家主席習近平即將訪問美國之際，美國和中國正磋商可能是全球第一份網路武器管制協議，兩國承諾在承平時期不率先使用網路武器癱瘓對方重要基礎設施。紐約時報十九日報導，雙方最近幾週正加緊談判，希望在習近平訪問華府時正式宣布。

首次比照核生化武器管制

根據最初版協議內容，協議是針對攻擊電廠、銀行系統、行動電話網路和醫院，而非針對中國網路攻擊的最迫切問題，也是最常被美國指控的中國攻擊目標，包括盜取智慧財產和網路竊密。不過，這類限制承平時期網路攻擊行為的協議是個開始。前五角大廈、國務院官員，現任智庫「美國進步中心」國際安全事務副主席辛格（Vikram Singh）說：「這會是首次將網路視為軍事實力看待，必須比照核子、化學和生物武器般管理。」

一名參與磋商的高層官員也提醒，歐巴馬和習近平宣布的初步聲明，或許也不會「具體、詳細提到」禁止攻擊重要基礎設施，而比較會是「通泛性的支持」近日聯合國工作小組採納的一份行為準則。

曼迪亞（Mandiant）、趨勢科技（Trend Micro Inc.）和Cylance三家網路安全公司則指出，中國駭客攻擊行動最近幾個月似已趨於緩和。路透指出，或許是因為美中磋商網路安全問題而有所收斂。

聯合國網路行為準則的重要原則之一，是任何國家都不應允許「刻意損害重要基礎設施，或癱瘓提供公眾服務之基礎設施的使用和運作」。美方談判人員的目標，是要讓中國領導人在美中雙邊協議中接受聯合國這些原則。

美國總統歐巴馬十六日在「商業圓桌組織」的談話，就暗示美中正在磋商這項議題。他說，美中峰會上，與日俱增的網路攻擊「可能會是一大議題」，他的目的是要看看「我們和中國能否在磋商過程攜手並進」，最終「把許多其他國家帶進來」。

預估25日歐習會正式宣布

上週中共中央政法委員會書記孟建柱訪問華府，與白宮國家安全顧問賴絲、聯邦調查局局長柯米等官員會談，焦點就包括提出某種字句含糊的協議，由歐巴馬和習近平在廿五日宣布。

在歐巴馬政府內部，設計一套限制網路攻擊的「行為規範」，一直被拿來與一九六三年美國甘迺迪政府和蘇聯簽訂首份禁止核武試驗條約相提並論。當年該份條約未能阻止核武發展或遏止地下核試爆，卻是首次努力避免造成環境災難；這次全球兩大經濟體也是首次努力防範網路武器最具災難的用途。

研究美國國力著稱的哈佛大學教授奈伊（Joseph S. Nye）說，「不率先使用」此一準則概念「醞釀一段時日了」，「這可能帶來一些自制」。但他也強調，問題在於「你如何檢證，若無法被檢證，它的價值又在何處？」

。