显然，威胁正在加剧，美国的应对战略却并不清晰。威慑必须被视为应对方法之一，但与华盛顿驾轻就熟的核威慑相比，网络威慑（cyber-deterrence）的形式并不完全一致。核打击是个单一事件，核威慑的目标则是防止其发生。相较之下，网络攻击次数众多且持续不断，对它们的威慑更像面对普通犯罪时的做法那样，目标在于将其限制在一定范围之内。在制止犯罪的问题上，于逮捕和判刑之外，无论是法律、规范的教育效果，还是社区巡逻和社区警察的日常活动，都发挥了重要作用。道理很简单，威慑犯罪并不需要蘑菇云这样的威胁。

尽管如此，惩罚在网络威慑中仍起着重要作用。美国政府已公开表示，它将用自己选择的武器和与其利益所受伤害相称的武力来应对网络攻击。尽管十年前警告就已发出， “网络珍珠港”事件目前尚未出现。美国是否将网络攻击视为武装攻击取决于其作用后果，这也让那些处在灰色地带的网络行动有了漏洞可钻，2016年美国总统大选期间俄罗斯发起的网络攻击便是典例。

尽管俄罗斯等国最近发起的网络行动似乎主要是间谍活动，但拜登政府却抱怨说它们的规模与持续时间都超出了正常的间谍活动范围。这便是为什么网络空间的威慑不仅需要惩罚，还需要防御和“纠缠”（entanglement），前者要求系统足够坚固和有弹性，以阻拦攻击或让攻击者畏难放弃，后者要求在与潜在对手建立广泛联系从而一荣俱荣一损俱损。当然，这些方法单独使用都有局限。尽管如此，惩罚性威胁与防御性遏制的结合仍会影响各种力量对成本收益的考量。

在改善境内网络的防御系统之外，近年来华盛顿还接受了美国网络战司令部称之为“向前防御”（defend forward）和“持续交锋”（persistent engagement）的战略概念，通过主动发起小规模网络进攻行为尽可能降低敌对国网络攻击的威胁。一些报道认为，这些做法降低了俄罗斯对美国2018年与2020年大选的影响。但进入和破坏对手的网络本身也会带来冲突升级的风险，必须谨慎处之。

“住在玻璃房子里的人不该扔石头”

即便美国兼具网络战的防御和进攻能力，但由于自由市场与开放社会，在网络攻击和干涉行动面前依然显得脆弱。“我觉得至少可以想想那句老话，住在玻璃房子里的人不该扔石头”。在2015年国会举行的对美网络攻击听证会上，时任美国国家情报总监的詹姆斯·克拉珀（James Clapper）如此评论道。他正确地指出，尽管美国人可能最擅长扔石头，但他们自己却住在玻璃房子里。这一现实让美国对制定网络安全规范特别感兴趣，毕竟它们可以减少在网络空间“扔石头”的行为。

尽管网络军控条约的谈判将极为困难，因为条款的落实很难验证。但网络空间相关的外交活动却并非不可能。事实上，发展网络规范的国际合作已经持续了二十多年。1998年，俄罗斯首次提议制定联合国条约，以禁止电子武器和信息武器。美国拒绝了这一提议，认为该领域的条约难以最终落实，因为一行代码是否为武器最终取决于用户的意图。相反地，美国同意由联合国秘书长任命一个包括15名成员（后来扩大到25人）的政府专家小组来制定网络空间的“通行规则”。该专家组于2004年首次举行会议。

自那时起，已有六个类似小组召开会议并发表了四份报告，建立了一个广泛的规范框架，并获得了联合国大会的认可。它们的工作加强了以下共识：国际法在网络空间同样适用，对维护网络空间的和平与稳定至关重要。除了努力解决复杂的国际法问题外，2015年发布的报告还引入了11项自愿的、不具约束力的规范内容，其中最重要的包括回应他国合理的援助请求，禁止攻击民用基础设施和干扰大型网络攻击发生后的计算机应急响应团队，以及避免他人在领土范围内使用网络工具发动不法行为。

该报告曾被视为突破性进展，但在2017年遭遇了挫折，因专家组未能就国际法律问题达成一致，该年度并未形成共识性报告。在俄罗斯的建议下，联合国决议通过成立不限额专家工作组来补充现有体系，它向所有国家开放，非国家主体也被纳入其中，包括数十家私营公司、民间社会组织、学者和技术专家。2021年初，新的专家组发布了一份详尽——尽管有些乏味——的报告，它重申了2015年的规范内容，以及国际法与网络空间的密切关联。去年6月，第六个专家组也完成了工作，并发布了一份报告，为2015年首次引入的11项规范增加了重要细节。中、俄两国正在敦促相关条约的签署，但更可能发生的是这些规范内容本身的逐渐演变。

在联合国方面的进展之外，许多论坛也在讨论网络规范，其中包括网络空间稳定全球委员会（Global Commission on the Stability of Cyberspace）。该组织于2017年由一家荷兰智库发起，并受到荷兰政府的大力支持，由爱沙尼亚、印度和美国共同主持，成员包括来自16个国家的前政府官员、公民社会专家和学者，我也是其中之一。

它提出了8项规范以解决既有联合国指南的不足。其中最重要的是呼吁保护互联网的“公共核心”基础设施不受攻击，并禁止对选举系统的干扰。它还呼吁各国不应使用网络工具干扰供应链，不应未经主机允许便将僵尸网络植入其他机器以控制它们；应建立透明的流程，让各国可以据此来判断是否要披露在他人编码中发现的缺陷和漏洞；应鼓励各国在发现网络安全漏洞时应及时修补，而非囤积起来以待将来可能的应用；应通过法律法规等手段改善“网络卫生”（cyber hygiene）状况；通过将私营企业的“反向黑入”（hack back）定性为非法活动，来阻止私人企业或个人在受到攻击后自发组织的报复性行为。

当然，与开发复杂的网络防御系统相比，这些努力没那么耀眼，所需成本也更低廉，但在管控在线恶性行动的问题上，它们将发挥至关重要的作用。我们还可以为网络空间构想并提出更多、更深入的规范，但现在真正重要的问题并非规范的多少，而是它们的实践路径和它们是否能以及何时改变国家行为。