对“网络珍珠港”的担忧最早出现在20世纪90年代。过去20年来，决策者一直担心黑客可能炸毁油管、污染水源、开启泄洪闸和袭击空中交通控制系统以制造撞机事件。2012年，时任美国国防部长帕内塔警告说，黑客有能力“关闭美国大部分地区的电网”。

这样的灾难性情景尚未发生，但其可能性显然不能排除。黑客去年毁坏了一座德国钢铁厂的高炉，这相对来说没有那么严重。因此，安全问题再简单不过：我们能否遏制这样的破坏行动？

有人说遏制在网络世界并非有效策略，因为袭击的来源和所涉及的许多国家与非国家参与者，身份难以确定。我们往往无法确定，能用谁的资产冒险和这样做可以持续多久。

确定袭击来源的确是个难题。如果没有回邮地址，我们该怎么报复？核追踪技术远非完美，但只有九个国家拥有核武器；其核材料的同位素标识都明确地为外界掌握；而非国家参与者的进入壁垒很高。

网络世界却全然不同。几行创造出来（或在所谓的“暗网”上购买）的代码，就可以成为任何国家与非国家参与者的武器。有经验的攻击者，可以将起始点隐藏在若干远程服务器的虚假标志之后。

鉴证人员虽然可以处理众多服务器之间的“跳转”（hops），但这往往需要时间。比方说，外界普遍认为，2014年从摩根大通窃取7600万客户地址的袭击是俄罗斯的杰作。但2015年，美国司法部确定，分别住在莫斯科和特拉维夫的两名以色列人和一名美国人所领导的先进犯罪组织，才是真正的肇事者。

追究责任是个程度上的问题。尽管有许多虚假标识，同时很难获取被法庭所接受的及时、高质量鉴证，但现有的追踪水平足以遏制犯罪行为。

例如，在2014年针对索尼影业的袭击事件中，美国最初试图避免公开说明用何种方法确定朝鲜为肇事者，外界也因此普遍表示质疑。数周后，媒体根据“泄密”的报道透露，美国有能力侵入朝鲜网络。外界的质疑声逐渐消失了，但代价却是敏感情报来源被公开了。

及时、高质量的来源追踪往往既困难又昂贵，但却不是不可能的。不仅政府在提高这方面的能力，很多私营企业也加入，而它们的加入减低了政府被迫公开敏感来源的代价。很多情况都只是程度问题，技术的发展提高了跟踪取证能力，威慑的强度也可能会增加。

此外，分析人士在评估网络威慑时，不应局限于传统的惩戒和防卫手法，也需要关注以经济联系和既定规范来进行震慑。

经济的联系可以改变中国等大国的成本效益考量。例如，袭击美国电网可能导致中国经济受损的后果。这对朝鲜这样的国家或许不起作用，因为它与全球经济的关系非常微弱。经济联系对非国家参与者能产生多大影响，目前还不清楚。有些可能像寄生虫那样，宿主被袭击便会受到影响；而有些可能根本不在乎这样的后果。

从规范来说，主要国家一致认为，网络战争应受武装冲突规则的约束，即区分军事和民用目标和成比例的后果。去年7月，联合国政府专家小组建议，将民用目标排除在网络袭击之外，这一规定刚刚在上个月举行的20国集团峰会上通过。

有人指出，战争迄今为止尚未更多地使用网络武器的原因之一，恰恰是因为无法确定对平民目标的损害程度，和后果难以预料。这些规范或许遏制了美国在攻击伊拉克和利比亚空防力量时使用网络武器。而俄罗斯在对格鲁吉亚和乌克兰发动的“混合型”战争中，网络手段的应用也相对有限。

网络威慑可变因素之间关系不断变化，且受到技术和学习能力的影响，创新速度远超此前的核武器。比如，改善追踪取证技术可以提高惩罚机制的作用；而改善加密防御技术可以强化防卫力量。因此，目前进攻相对于防御的优势，很可能会随时间的流逝而逐渐发生变化。

网络学习能力也同样重要。随着国家和组织更深入地了解互联网对其经济福祉的重要性，网络战争的成本效益衡量也可能会发生变化，正如时间改变了对核战争代价的理解一样。

与核时代不同，在网络时代的威慑问题上，并不存在一劳永逸的方法。抑或我们只是过去过于简单景象的囚犯？毕竟，在核惩罚因太过严厉而缺乏可信度时，美国采取了灵活策略，在遏制苏联入侵西欧的行动中加入了“核拒止”元素。另外，尽管美国从未同意“不首先使用核武器”的正式规范，这一观念最终还是慢慢形成了，至少在主要核武器国家中是如此。网络时代的威慑也许可能和以前不一样，但也许从来就没有固定的模式。

作者Joseph S. Nye是哈佛大学教授，著有《美国世纪是否结束了？》（Is the American Century Over？）一书。

英文原题：Can Cyber Warfare Be Deterred?

版权所有：Project Syndicate, 2015.