美国战略界做出网络安全趋势新判断

自俄乌冲突吸引全球网络攻防火力以来，美国国内网络安全态势相对平稳，针对各行业的勒索软件攻击虽然司空见惯，但未再出现影响经济社会运转的重大网络安全事件。美国战略界“贪天之功以为己有”，自以为美国采取的网络安全举措奏效，对美国的网络安全威胁、网络防御能力甚至网络战威胁的判断做出了较大调整。

第一，下调对俄罗斯网络攻击实力的评估。俄罗斯的网络攻击能力曾让美国高度担忧。2023年前，美国国家情报总监办公室（ODNI）历次发布的威胁评估报告认为，俄罗斯具备瘫痪美国关键基础设施的网络攻击能力，位列各国对美国网络威胁的第一位。美国智库哈佛大学贝尔弗科学与国际事务研究中心（Harvard University's Belfer Center for Science and International Affairs）在 2020 年、2022 年连续发布的网络实力评估认为，俄罗斯网络攻击实力仅次于美国。但是，自俄乌冲突以来，俄罗斯未能对美国援乌的**装备实施成功的网络攻击，也未能对美国、乌克兰的关键基础设施进行实质性的网络攻击破坏。俄罗斯未能延续此前的网络攻击战绩，让美国战略界不再把俄罗斯视为美国最严峻的网络安全威胁。例如，美国智库战略与国际问题研究中心（CSIS）高级副总裁詹姆斯·刘易斯（James A.Lewis）在德国国际与安全事务研究所（Stiftung Wissenschaft und Politik）于 2023 年 4 月 17 日发表的文章《俄罗斯对乌克兰战争中的网络行动：迄今为止的用途、局限性和经验教训》中指出，“俄罗斯无法通过网络攻击扰乱美国金融、能源、交通和政府服务、决策”“俄乌网络战最大的经验就是俄罗斯的网络战能力没有我们想象的那样强”。美国政府在网络攻防方面对俄罗斯的态度也同样发生变化。2023 年 2 月 6 日，美国国家情报总监办公室发布《2023 年度威胁评估报告》，下调了俄罗斯对美国网络威胁的评估等级。2023年 10 月 17 日，谷歌公司旗下网络安全企业曼迪昂特（Mandiant）首席执行官凯文·曼迪亚（KevinMandia）在谷歌公共部门论坛上讲话时称，俄罗斯作为对美国最具威胁的网络攻击方的地位已经被取代。

第二，提振对抵御大国网络攻击的信心。美国在乌克兰构建的网络防御体系经过一年多的大国网络攻防检验，并未出现重大纰漏。这让美国网络安全界对美国在乌克兰推行的网络防御模式信心倍增，认为美国在大国网络攻防下实现全社会网络韧性、经济社会免遭动荡的目标不再遥不可及。2023 年 3 月 16 日，美国参议院国土安全和政府事务委员会听证会认为，美国构建的政企联合网络防御体系十分有效，大国即便对美国发动网络攻击，也需要击败所有网络安全企业和政府网络防御力量，才能实现网络攻击目标。美国还认为，网络防御能力相对薄弱的国家也可以凭借这套网络防御体系抵御大国网络攻击。2023年 8 月 9 日，美国网络安全和基础设施安全局（CISA）局长珍·伊斯特利（Jen Easterly）在该局网站上刊文称，这套网络防御体系具备在野蛮网络攻击环境下保障经济社会基本稳定以及从网络攻击中快速恢复网络运营的能力，展现了“网络韧性的力量”，防御效果“令人印象深刻”，其他国家应汲取这套网络防御体系的成功经验。2023 年 3 月至 9 月，美国国务院、国土安全部在哥斯达黎加等拉丁美洲国家遭受大国网络攻防影响的地区推行这套网络防御体系。2023 年 9 月 28 日，美国国土安全部部长亚历杭德罗·马约卡斯（Alejandro N.Mayorkas）在西半球网络会议上对拉丁美洲国家领导人表示，这套网络防御体系为全球提供了实现网络韧性的新模式。

第三，减少对网络冲突向网络战升级的忌惮。在俄乌冲突中，网络战并未影响战争走势或构成系统性国家安全风险，这使美国战略界、网络安全界认为美国能够承受网络冲突升级的后果。2023 年 7 月 28 日，美国**部负责网络政策的副助理部长欧阳沅（Mieke Eoyang）承认，网络攻击在破坏性上与传统武器相比存在难以克服的局限性，并表示“网络战争不存在蘑菇云”。2023年 9 月 12 日，美国**部发布的新版《2023 年**部网络战略》（2023 DOD Cyber Strategy），集中反映了美国在管控网络冲突问题上的立场变化。新版网络战略不再提及美国奉行多年的“网络威慑”策略，明确指出“单独使用网络攻击不会有任何战略作用”。2023 年 9 月 25 日，战略的起草者之一、大西洋理事会（The Atlantic Council）研究员艾默生·布鲁金（Emerson T. Brooking）在网站 War on the Rocks 刊文称，网络冲突不会导致国家间冲突升级，美国可以放心推行“网络现实主义”，在国家利益需要时动用网络攻击而不需担心网络攻击带来不可接受的副作用。