从俄乌冲突看网络战的发展与迷思

网络战具备的成本低、效果大、难溯源等特点使其成为混合战争时代的首选和前战。在当今国际形势日益复杂的环境下，大国战略竞争加剧进一步增加了网络战先行的可能性。此次俄乌冲突是人类历史上首次两个高度信息化、数字化的国家间爆发热战，在军事冲突的背后，同样值得关注的是双方在网络战场的大量攻防活动。

综合学者研究，本文将网络战定义为国际关系行为体基于政治目的，通过网络空间或利用网络相关的技术手段对其他国际关系行为体物质或认知层面造成破坏的行为。其中包括网络技术战和网络认知战两种类型。网络技术战是行为者通过网络活动干扰、操作、破坏与其政治军事行动相关的物质世界的目标。主要包括拒绝服务（Denial of Service，DoS）攻击、分布 式 拒 绝 服 务（Distributed Denial of Service，DDoS）攻击、恶意代码攻击或以其他方式破坏基础设施和军事目标。网络认知战是行为者以社会媒体网络为载体、以开源情报伪装欺骗为核心，改变目标国民众的自我认知，摧毁其民族认同，改变目标人群思维方式以及行为方式。网络技术战同时可以配合网络认知战的开展，通过对敌方物质能力的破坏，打击民众对政府的信任度。

此次俄乌网络战从 2022 年 1 月 13 日开始，双方以技术战和认知战的形式在网络空间不断博弈。但俄乌网络战场的事态变化却有两点与战前普遍预测相悖：一是俄罗斯对乌克兰的网络打击能力不如预期；二是网络战与军事活动的配合不如预期。目前，有不少学者开始关注网络战，但缺乏以问题为导向的相关研究。因此，本文致力于以此次俄乌冲突为突破口，通过对上述两个问题的回答解释新时期网络战的变化与发展。

1.1　俄罗斯网络战的应用

俄罗斯曾多次将网络战应用于军事行动中，并形成了成熟的网络作战体系，这也是为何专家起初认为此次网络战将达到前所未有的水平。自 2008 年的俄格战争以来，俄罗斯在 2014 年克里米亚冲突和 2022 年俄乌冲突中均使用了大规模网络攻击手段。

1.1.1　俄罗斯网络战应用历史

武装冲突中网络攻击的使用源于 2008 年的俄格战争。这是人类第一次于正在进行的军事行动中使用大规模的网络攻击。2008 年 7 月 19日，在俄格战争爆发的几周前，格鲁吉亚总统的官方网站遭受 DDoS 攻击离线了近 24 小时。2008 年 8 月，俄罗斯武装部队进入格鲁吉亚，此后格鲁吉亚总统府官网、格鲁吉亚政府官网、格鲁吉亚外交部官网等重要网站和非格鲁吉亚但对格鲁吉亚友好的媒体网站论坛均遭到攻击；8 月 9 日，格鲁吉亚最大的商业银行 TBC 银行遭到袭击；8 月中旬，格鲁吉亚互联网流量的关键部分被路由至俄罗斯和土耳其的服务器。

2014 年俄乌关于克里米亚冲突事件中，双方运用了一系列网络打击手段，其目标包括俄罗斯和乌克兰的机构、媒体及连接设备。所采用的攻击手段包括 DDoS 攻击、网站损毁、恶意软件（例如，Black Energy、Snake、Operation Armageddon、X-Agent 等软件）、宣传和虚假信息。造成的效果包括目标网站无法访问、信息窃取、乌克兰多家电厂遭攻击导致停电数小时、损毁计算机设备、进行意识形态宣传和传递虚假信息等。

1.1.2　2022 年俄乌冲突网络战应用

2022 年俄乌冲突是人类进入数字信息时代后的第一次大规模战争，网络战激烈程度前所未有。此次网络战大致可根据俄乌军事冲突时间划分为预备期、闪电战时期与军事僵持期 3个阶段。

自 2022 年 1 月 13 日开始，俄罗斯就已采用 WhisperGate 恶意软件对乌克兰多个组织的网站和服务器造成破坏。媒体报道称，正式开战前从 1 月 14 日至 2 月 24 日，先是乌克兰的外交部、教育部、内政部、能源部等 70 多个政府网站遭到来自俄罗斯的 DDoS 网络攻击而关闭，继而国防部、安全局、武装部队、金融机构等多处网站和 App 因攻击而瘫痪，数百台机器的数据被擦除 。同时，关于俄罗斯是否会对乌克兰开战的舆论战已在 1 月份打响。

2022 年 2 月 24 日到 4 月中旬是闪电战时期，军事冲突爆发初期，俄乌双方爆发了大量网络攻防战，数量多，强度大，并在一定程度上体现了网络行动与政治军事行动相协调的能力。先期俄方占据绝对优势与先手位置，但短时间内未对乌方造成实际打击，在西方政府和组织参与网络战后，双方逐步进入僵持。在网络技术战方面，2 月 23 日，乌克兰国防部和其他机构的 600 多个网站、计算机遭遇恶意软件与 DDoS 攻击；2 月 24 日—26 日，乌克兰多家电信运营商网络中断，境内无线和有线连接受限，政府临时切断了互联网，俄罗斯约 1 亿台设备遭 DDoS 攻击，导致电视台无法访问；2 月26 日在全球最大的政治性黑客组织“匿名者”的大规模攻击下，俄罗斯的克里姆林宫、国防部、外交部等政府网站无法访问；3 月 1 日—3 日，“匿名者”组织宣布攻击俄罗斯主流媒体、航天局等，宣称将切断俄罗斯对间谍卫星的控制。随后，黑客扬言掌握了国际著名的反病毒软件——俄罗斯的卡巴斯基的源代码。在网络认知战方面，“蛇岛事件”“乌克兰父亲为抗击俄罗斯告别女儿”等短视频刷屏社交媒体，双方以网络为媒介，展开高频次的舆论博弈。

俄军从基辅撤军后，双方逐步进入军事僵持期。在网络战方面，俄乌双方同样进入了僵持期。在此期间，俄方的网络攻击依旧主要针对乌克兰的政府和公共机构。乌方的网络攻击主要由“匿名者组织”“IT 军”等黑客组织发动，其中包括 6 月 10 日，“匿名者组织”入侵了俄方国防贸易机构，并泄露了有关莫斯科无人驾驶 飞 机（Unmanned Aerial Vehicle，UAV） 计 划和战术的各种机密信息。在认知战层面，双方在扎波罗热核电站、克里米亚大桥等事件中均试图建立起自己的叙述。

1.2　俄罗斯网络战的变化

1.2.1　早期俄罗斯网络战的特征

俄格战争中俄罗斯的网络攻击类型主要集中于战时的网络认知战，大多为网站污损攻击或针对金融和政府职能部门网站的信息泄密攻击，意在打击民众对政府的信任，塑造俄军正义形象。但总体来说，此次网络战缺少与其地面作战部队的配合，整体战术尚显稚嫩。同时，由于 2008 年格鲁吉亚没有高度依赖信息技术，网络攻击对国家没有严重的不利影响。但克里姆林宫仍然设法掩盖了部分信息渠道，并建立了关于俄罗斯—格鲁吉亚战争的叙述 。

在 2014 年克里米亚冲突中，网络战对乌克兰的政治、经济、社会造成了明显影响和破坏。在政治层面，俄罗斯的网络战起到了控制舆论、维持孤立以及削弱乌克兰民众信心的作用。在社会层面，东乌克兰和克里米亚的人们几乎完全与外界隔绝。例如，在 2015 年 12 月停电期间，乌克兰电力供应商的呼叫中心遭到 DDoS 攻击。该呼叫中心被虚假电话淹没，无法接听因停电而打来的合法电话。这种情况使乌克兰人认为，乌克兰的能源供应者没有为这种性质的事件做好准备 。

自此，网络战峥嵘初露，它展现出了一定的影响力和破坏力，并形成了一定的网络协同作战体系，即预先在社交媒体发布虚假信息或宣传，并对计算机进行 DoS 攻击。杂糅了情报战、认知战、网信空间战的“混合战争”的形态逐渐成为信息化时代的战争方式。

1.2.2　2022 年俄乌网络战的变化

2022年俄乌网络战相较于此前两次网络战，表现出了参与方更多元、认知战更激烈、破坏性更强 3 个重要特征。

第一，网络攻击的主体更加多元。从攻击实施者的类型来看，网络攻击主要由黑客组织发动，但更具破坏性的攻击依旧是由民族国家行为者实施的。网络攻击行为者多元化、个体化和国际化使得网络战变得更加复杂，攻防平衡出现变化。双方需要动用更多资源监测来自不同国家和个体的频繁网络攻击。

第二，网络认知战交锋更加激烈。此次俄乌网络认知战显示了新兴网络传媒，尤其是社交媒体的特殊作用。包括深度伪造、社交机器人、计算机视觉等人工智能技术的广泛应用，又进一步翻新“认知战”样式，助推“认知战”向海量化、多元化、精准化发展。例如美国就利用社交机器人在推特等社交媒体上制造标签，迅速扩大声量，甚至形成以一批机器人账号助推一个机器人账号成为意见领袖的集团化网络，并以此引导国际社会对俄乌冲突的认知。

第三，网络战的破坏性更强，更具针对性。俄乌冲突中新技术和新理念投入了网络战场，使网络战更具暴力性。俄乌双方可以通过网络战的形式对敌方信息系统以及基础设施造成更严重且更具针对性的打击。首先，恶意软件 Wiper 被大量使用，这些攻击主要是针对公共机构、金融和能源公司以及电信提供商部署的，其目的可能是扰乱人们的日常生活，以及他们获得重要服务的机会。相较于其余形式的攻击，Wiper 更具破坏性且难以恢复。2022 年 2 月 24 日，俄罗斯针对 Viasat 的攻击就使用了名为 AcidRain 的Wiper 恶意软件。此次袭击影响了乌克兰境内大多数的合法 Viasat 网络用户以及包括德国、法国、意大利、匈牙利、希腊和波兰等欧洲国家在内的大量固定宽带服务用户。袭击发生近一个月后，欧洲仍有数千台风力涡轮机处于离线状态。其次，网络攻击更加针对民用关键基础设施。此次冲突中网络攻击主要针对公共管理部门和部分金融机构，此外，对电信和互联网服务提供商的网络攻击对平民有直接影响，其目的主要是破坏敌方包括通信在内的基础设施，或公开、损毁隐私数据，以此打击民众对于政府的信任度，具有强政治目的。最后，俄乌网络冲突的影响超越了国界，存在溢出效应。除交战双方外，法国、德国等北约成员国及亚美尼亚、白俄罗斯等其他地区国家均遭受过网络攻击影响。

1.3　网络战的迷思

俄乌冲突以来，双方在网络层面进行了大量的对抗和博弈，但网络战场的事态变化却有两点与战前普遍预测相悖：一是俄罗斯对乌克兰的网络打击能力不如预期；二是网络战与军事活动的配合不如预期。

十多年以来，军事指挥官和外部专家为网络战的展开绘制了蓝图：所有网络服务被击垮，电力、燃气、金融、食物等供给能力被破坏，军队的指挥体系被击穿，后防补给缺位，在网络战的掩护下，优势方将一路高歌猛进。同时，由于在此前的冲突中，俄罗斯展现了强大的网络攻击能力，在 2014 年克里米亚加入俄罗斯后，乌克兰被外界视为俄罗斯网络武器的试验场，因此，不少分析人士认为俄乌间的网络战将是壮观而短暂的——结果会以俄罗斯速胜结束。

但 事 实 上， 虽 然 在 过 去 几 个 月 中 基 辅 遭受过几次重大网络攻击，但没有一次接近实现Viasat 黑客攻击事件对乌克兰造成的破坏。相反，乌克兰成功地与俄罗斯黑客作战，使其陷入停顿。甚至在西方舆论战的攻势下，以及由于受到推特、脸书等西方科技公司的制裁，俄罗斯在网络认知战中始终处于被动地位。

此外，在长期的实践中，网络战始终未能与动能军事行动产生默契配合。佐治亚理工学院的纳迪亚·科斯秋克（Nadiya Kostyuk）在针对 2014 年克里米亚冲突的研究中就佐证了俄罗斯的网络战与军事行动之间，网络战与网络战之间缺乏有效配合。在 2022 年的俄乌冲突中，网络行动同样既没有取代也没有显著补充常规作战活动 。

2.1　基于现实发展的解释

从俄乌双方在网络战场的表现来解释这一迷思是最直接的答案。

2.1.1　俄罗斯方面准备不足

有分析认为，此次俄罗斯不如预期的网络战场表现，与其准备不足有关。普京是在俄罗斯坦克越过边境前大约两个月才向他的核心圈子发出他打算入侵乌克兰的预先通知。入侵乌克兰的决定是在最高一级做出的，并没有渗透到指挥链中，直到部署重大网络攻击为时已晚。在宣传领域，直到 2 月，俄罗斯在乌克兰和美国的宣传流量才飙升，但尚未使俄罗斯在国际层面建立起对于此次冲突的正当叙事，伴随着军事行动的开展，认知域的战斗已落入下风。此后，国际主流社交平台对于俄罗斯的封禁举措更使其无处发声。

2.1.2　舆论战范式的改变

舆论战超越了传统宣传和民众动员，转为更加复杂的认知战和混合战。社交媒体的强度和即时性正在制造一种新的“战争迷雾”。在这种迷雾中，包括虚假信息在内的各种信息互相纠缠，澄清与混淆几乎处于同等程度。信息战、认知战、舆论战和网络战深度融合，谁掌握了新时代的社会网络战范式，谁就能获得军事实力外的非对称优势。相较于俄罗斯的“宏大叙事”，乌克兰总统泽连斯基则更善于通过社交媒体的展演进行“差异叙事”，抢占“道德制高点”。同时，网民碎片式的“个人叙事”更是成为此次博弈中的新变数。借用社交平台短视频传播的碎片化、重复化和直观化特征，西方可以通过制造“戈培尔效应”，开展“舆论造假”，煽动乌克兰对俄仇恨情绪，渲染乌克兰民众对战争的恐惧，挑起国际社会的反俄情绪。

2.1.3　乌克兰成熟的应急响应能力

反观乌克兰方面，在长期的网络攻防战中，乌克兰形成了成熟的应急响应能力。在网络层面，北约盟国为打击在线攻击和保护关键基础设施提供了援助。2021 年年底，华盛顿派遣了美国网络司令部的官员，在预期的俄罗斯入侵之前加强关键系统。同样，私营部门和非政府组织也一直在提供帮助。在线上线下结合的领域，乌克兰还拥有出色的故障转移和持续作战的能力。如果电子邮件无法使用，政府可以迅速采用智能手机软件以及短彩信传递信息指挥行动。当铁路网络的 IT 系统成为攻击目标时，政府将转向使用模拟通信系统。

2.1.4　西方对乌克兰的支援

微软、谷歌等西方科技公司和“匿名者”这样的民间组织跨越国界参与了这场网络战争，使得乌克兰网络攻防能力得到了巨大提升。例如，微软在冲突开始之前就进行了早期干预。早在 1 月份，该公司就发现乌克兰系统内被植入了破坏性的恶意软件。在 2 月 24 日 Viasat 攻击发生后，俄罗斯并未得到预期的收益，基辅在短短几天内就从卫星提供商 SpaceX 的星链获得了替代服务 。

2.2　内部打击活动的三难困境

从理论出发，网络战作为一种内部打击活动所具有的三难困境才是其无法成为传统冲突的直接替代或补充的原因。

尽管网络战具有持久、秘密、远程操作和成本低廉的优势，但在实际操作中，网络战很难成为传统冲突的直接替代或补充，其及时性、准确性和完成度难以在瞬息万变的战场上与军事活动实现完美配合。因此，相较于直接动能攻击，网络战更多是以内部打击的方式支撑其军事活动。在目前的战争冲突中，受到国际舆论约束，动能作战的打击对象主要是敌方军队武装、国防设施和重要战略目标，而非民用设施。而网络战则将其打击对象对准了民众——通过对基础设施的破坏、关键信息的掠夺和网络认知战、舆论战造成国民对政府的不信任，使民众丧失抵抗意志。相较于高成本的针对性军事打击，网络战具有的持续攻击、远程操作、分散攻击的独特优势更适合其进行动态、持续和长久的入侵，潜移默化间对敌方内部造成毁灭性打击。

但同时，内部打击活动的三难困境影响了网络战的效用。所谓三难困境是指：首先，网络行动速度有限，因为攻击者需要在寻找和开发利用漏洞之后建立访问通道并力图不被目标发现；其次，网络行动强度有限，目标系统的价值越高，其保密措施越严密，就越难以被利用；最后，网络行动的控制有限，攻击者的控制和入侵通常是暂时和局部的，目标系统往往能对攻击做出应急响应，使网络行动无法达到预期效果。上述 3 种变量相互制约，改善一方，也会在其余方面造成损失。双方网络攻防能力的差距越大，3 种变量相互制约的作用力越强。此外，军民不分的参与主体使得网络战缺乏组织性。尽管网络战大多由民族国家号召发起，但网络攻击的实施者更多是黑客民间团体。军民不分的多元性参与主体虽然使网络战更加持续、隐蔽和难以防御，但也导致网络战行为同动能作战间缺乏协调配合。参战的黑客民间团体多数情况下只是与一方具有相同的理念或受到国家政府资助，但并不受其管辖调配。甚至同一黑客团体内部也存在不同的派系和理念分歧。

俄乌网络战是第一场高度信息化国家间爆发的热战，令人惊讶的是，无论在传统冲突层面还是在网络战层面，俄乌冲突都为观察者们建立了与主流预期相悖的叙事。综合前面对于网络战发展和迷思的研究，可以对我国网络安全发展提出如下启示。

第一，网络战成为混合战争时代的首选和前战。本次俄罗斯发动的军事打击以高频的网络攻击作为军事行动前奏，破坏敌对国关键信息系统窃取情报，甚至瘫痪交通、能源、金融等关键基础设施。混合战争常态化使现代战争形态进一步向战场外拓展。在当今国际形势日益复杂的环境下，大国战略竞争加剧进一步增加了网络战先行的可能性，只有时刻保持警惕与防御态势，才能在未来可能发生的世界级网络战中占得先机。

第二，关键基础设施成为网络战的主战场。军政网络安全，物联网安全，能源、通信、金融、交通等关键基础设施安全，都应是国家重点关注领域。从攻击手段不难看出，密码安全技术、网络边界防御、高级可持续性威胁对抗、抗 DDoS、主动防御、数据防护、反钓鱼技术等或将成为未来行业重点发展的技术领域。此外，类似于重保支持、合规检测、渗透测试、技术人才培养等也是未来的重点发展领域 。

第三，需要建立健全的安全保障和应急响应体系。在面对网络攻击时如何调配资源进行防御，以及在网络系统不可靠甚至崩溃的情况下，如何进行故障转移和灵活应变及持续行动都需要进行提前设计。建立从官方到民间，从政府到企业，多层次、多元化的网络安全保障体系。重视网络安全教育和人才培养工作，藏兵于民，准备好一个可以随时加入网络战场的“预备役部队”。

第四，警惕网络战争的跨域升级。网络战场并没有国界、海洋的保护，代码将以光速在互联网世界传播，网络战的参与者可以来自不同国家，网络病毒或网络骚乱也可以扩散波及其余国家。

第五，注重日常中的网络战场。网络战场的宣传与叙事之争是漫长、持久的。网络影响力行动可以微观定位个人，并向他们提供与其先前信念产生共鸣的定制信息。社交媒体中不仅包括虚假信息和错误信息，还包括战略性地用于目标受众的真实信息。网络战不同于寻常战争，它是具有高隐匿性的持续性颠覆活动，渗透活动无处不在，宣传和破坏都是网络安全工作者需要关注的领域。

相较于此前俄格冲突和克里米亚冲突中爆发的网络战争，2022 年俄乌网络战表现出了参与方更多元、认知战更激烈、破坏性更强 3 个重要特征。但同时也带来了俄罗斯对乌克兰的网络打击能力不如预期和网战与军事活动的配合不如预期这两点迷思。从现实角度来看，俄罗斯自身准备不足与其新时期舆论战和认知战的能力不足，以及乌克兰自身成熟的应急响应能力和西方对于乌克兰网络攻防能力的支持似乎能很好地解释这一问题。从理论出发，网络战作为一种内部分化与打击活动所具有的三难困境才是其无法成为传统冲突的直接替代或补充的原因。但正是现实实践中产生的与主流预期相悖的叙事，为更好地理解网络战，发展网络安全提供了诸多启示。

虽然注意到可以从理论的视角来解释网络战为何难以成为现实冲突的直接替代和补充，但本文依旧是对俄乌网络冲突的观察式分析，缺少跳出单个事例无偏的因果性分析，也尚未建立起专业性的分析框架。在网络斗争日益激烈的今天，理应跳出传统的、简单的叙事分析，从更高的层次、更广的角度来认识网络战，建立起属于网络斗争的理论范式。