對(duì)我們來說不成問題的問題�,對(duì)蘭德公司來說全都是問題����。為這些問題尋找答案的過程,以及由此帶來的思考����,或許比答案本身更重要����。
31GFM DI和“部隊(duì)結(jié)構(gòu)信息”
2006 年6月����, 五角大樓批準(zhǔn)“******力量管理數(shù)據(jù)倡議”(G FM D I)——通過制定一套標(biāo)準(zhǔn)和協(xié)議,將此前分散各處的“部隊(duì)結(jié)構(gòu)信息”(force structure information)和相關(guān)系統(tǒng)以虛擬方式聚合在一起����,并以統(tǒng)一的標(biāo)準(zhǔn)和格式呈現(xiàn)給授權(quán)用戶,以實(shí)現(xiàn)信息共享����、提高效率和節(jié)約成本等多種管理目標(biāo)�。
GFM DI可以被看作一個(gè)“大型分布式聚合性”信息系統(tǒng)���,這個(gè)系統(tǒng)不是“建”出來的�,而是“連”出來的。它不是一個(gè)數(shù)據(jù)庫,自己基本不生成、存儲(chǔ)信息,而是眾多原本分散的數(shù)據(jù)庫的入口�,這有點(diǎn)像搜索引擎�,規(guī)模大����,覆蓋面廣,信息的提供和使用者分散各地,只是靠網(wǎng)絡(luò)才聚合在一起。而所謂“部隊(duì)結(jié)構(gòu)信息”����,包括兵力���、兵種����、人員����、武器裝備,以及它們的組織方式����、構(gòu)成和變動(dòng)情況����。為推行這個(gè)項(xiàng)目,美軍在國防部����、情報(bào)界、參謀長聯(lián)席會(huì)議、陸海空軍和海軍陸戰(zhàn)隊(duì)七大部門架設(shè)了“組織服務(wù)器”(orgserver)�,其授權(quán)用戶的范圍甚至包括了白宮�、國務(wù)院���、各州州長辦公室等非軍事部門����。
綜合這些情況,我們可以把GFM DI約略地比作美軍的“網(wǎng)絡(luò)花名冊”或拓?fù)鋱D,它和日常的計(jì)劃���、管理工作緊密結(jié)合,并已成為其信息基礎(chǔ)設(shè)施的一部分���。不同之處在于,它是動(dòng)態(tài)維護(hù)和更新���、雙向甚至多向運(yùn)行的,獲得授權(quán)的用戶通過搜索機(jī)構(gòu)���、單位、組織甚至個(gè)人的名稱,可以很方便地獲取其位置和狀態(tài)等信息���,還可通過標(biāo)注方式向系統(tǒng)中添加內(nèi)容。
五角大樓高度評(píng)價(jià)GFM DI的成效:它使美軍的“力量構(gòu)成——組織、架構(gòu)信息”******以一種統(tǒng)一的���、標(biāo)準(zhǔn)化的格式“可見、可得、可知”�,兼具全景和細(xì)節(jié)優(yōu)勢�,為決策和管理提供了極大便利���。與此同時(shí)���,五角大樓也意識(shí)到它存在著顯而易見的缺點(diǎn):因?yàn)樾畔碓椿静簧婷?��,GFM DI目前在美軍的非涉密網(wǎng)NIPRNET上運(yùn)行�。NIPRNET本身有用戶名���、密碼和驗(yàn)證機(jī)制等接入控制措施����,但它和互聯(lián)網(wǎng)有十多個(gè)接口,沒有物理隔離���,故此,美國的敵人和對(duì)手也可能從中獲益——從以往的零敲碎打到現(xiàn)在的一覽無余����、細(xì)致入微���。
蘭德的學(xué)究式探討
眾所周知����,互聯(lián)網(wǎng)的前身是美軍的阿帕網(wǎng)����,其設(shè)計(jì)思路是確保在核戰(zhàn)后傳統(tǒng)通訊手段全毀的前提下信息仍可送達(dá)目標(biāo),基本沒考慮保密���。GFM DI的情況與此不同,美軍參聯(lián)會(huì)在2007年4月編制的《GFM DI——行動(dòng)概念》中專門討論了它的保密問題���,并提出了一些原則性要求。
按照一般理解�,這是一個(gè)不成問題的問題�,要解決也很簡單:涉軍信息天然敏感����,而軍方手握定密權(quán)�,給GFM DI定上密,直接轉(zhuǎn)成涉密網(wǎng)運(yùn)行不就完了嘛!(也就是從NIPRNET移到SIPRNET,這兩個(gè)原本生僻的名詞因?yàn)椤熬S基揭秘”事件而知名度大漲)
這是人們相當(dāng)熟悉的一種定密方式(毋寧說是一種習(xí)慣做法�,蘭德則稱之為定密的“缺省模式”并有相關(guān)批評(píng))——拿不準(zhǔn)的時(shí)候����,先保起來再說,可定可不定的時(shí)候����,定上再說����。往大里講����,這是以******安全為重,往小里說���,至少不用承擔(dān)泄密風(fēng)險(xiǎn)。
但是五角大樓不知道腦子一根筋���、缺根弦還是錢多了燒的,非要立課題讓一幫軍外人士去刨根問底����,簡單的問題就這么復(fù)雜化了�。于是���,就有了蘭德公司歷史上少有的保密專題報(bào)告《什么應(yīng)該定密�?》,以及該公司在報(bào)告中提出的“定密四原則”���。******人們看到,大名鼎鼎的蘭德并沒有拿出什么讓人眼前一亮的方案來�,人們對(duì)情況的了解似乎多了一些�,但問題并沒有得到解決�,******還是要軍方自己拿主意���。
對(duì)于GFM DI該不該定密這個(gè)不是問題的問題���,蘭德公司國防研究院的學(xué)究們煞有介事地設(shè)計(jì)了一套研究思路:先發(fā)掘出具有普遍意義的定密原則����,然后把GFM DI當(dāng)麻雀解剖。換言之����,先造出一把尺子���,然后用它來量體裁衣(也可能是削足適履)�。蘭德認(rèn)為����,GFM DI在美軍的信息系統(tǒng)中或許地位不那么突出,但它反映出的問題帶有普遍性。因此����,他們的結(jié)論不限于G F MDI系統(tǒng)的管理者和用戶�,同時(shí)也對(duì)其他領(lǐng)域的決策者和管理人員具有參考價(jià)值���。在他們看來���,問題可以歸結(jié)為一點(diǎn):信息�,以及由多種不同信息來源聚合而成的信息系統(tǒng),是否應(yīng)該定密?依據(jù)什么定密���?
蘭德給出的“定密四原則”
是:
1.定密必須減少敵人或?qū)κ肢@取信息的數(shù)量。
蘭德認(rèn)為,定密是減少對(duì)手獲取特定信息的一種手段���,但不能一定了事�,需要判斷和驗(yàn)證其效果;除非定密能達(dá)到或有助于達(dá)到這一效果,否則就不該定密;如果信息沒定密對(duì)手也無法獲得���,或者,即使定了密對(duì)手也能獲得,定密行為就沒有必要���;對(duì)敵人或?qū)κ忠颜莆盏男畔⒍埽泻o益���。
2.對(duì)手獲取特定信息后會(huì)改變對(duì)美軍的了解和認(rèn)知���;一旦這些信息被對(duì)手掌握����,他們將更接近而不是遠(yuǎn)離事實(shí)真相���。
針對(duì)這一點(diǎn)����,蘭德集中討論了公開信息資源的問題,并認(rèn)為,定密須排除已公開或泄露的信息����,排除對(duì)手可能從其他渠道����、包括合法渠道獲取的信息�。它舉例說,《簡氏防務(wù)周刊》所提供的美軍結(jié)構(gòu)信息,有時(shí)甚至超過GFM DI的水平���。
3.這些足以改變對(duì)手認(rèn)知的信息,***終影響到或上升為對(duì)手的決策。
獲取具體信息是提升認(rèn)知水平的前提����,但是對(duì)決策來說,更重要的是認(rèn)知水平而非具體信息���。假設(shè)對(duì)手已對(duì)某一事實(shí)形成基本判斷,那么額外獲得的信息的價(jià)值將降低�,因?yàn)樗痪邆洹鞍l(fā)現(xiàn)”的意義���,***多是進(jìn)一步驗(yàn)證其原有判斷����。
4.對(duì)手在上述條件下所作的決策�,危害美國的******安全。
蘭德舉了一個(gè)反證:冷戰(zhàn)年代���,蘇聯(lián)對(duì)美國真實(shí)軍力、規(guī)模和配置的認(rèn)知���,所形成的心理上的確定性,是促成******“相對(duì)穩(wěn)定”的“冷和平”的因素之一���。在這個(gè)例子中,蘇聯(lián)獲取美國軍事信息���、包括涉密軍事信息的后果,反倒維護(hù)了美國整體的******安全和利益�。
蘭德公司的基本結(jié)論是:只有同時(shí)滿足上述四條����,定密行為才屬必要����。坦白說,蘭德的“定密四原則”并沒有令人茅塞頓開之處�,讀后不禁讓人有幾分失望���。分析起來大致有幾個(gè)原因,一是美國人的實(shí)證思維����,注重探究事理���、過程分析且用語平實(shí)�,不追求出語驚人的效果����。******的羅伯特·漢森間諜案調(diào)查報(bào)告,在這方面表現(xiàn)得也非常突出�。二是保密和定密在很大程度上是一個(gè)實(shí)踐�、操作����、主觀選擇和決策問題���,其基礎(chǔ)理論并不復(fù)雜���,全看你是不是照著去做���,或者能不能做得到����,單純在概念和文字上玩不出太多花樣���。在現(xiàn)實(shí)中�,保密之所以復(fù)雜,是因?yàn)樵谠S多情況下它首先體現(xiàn)為政治�、政策�、機(jī)制等問題�,而不是專業(yè)、理論問題�。蘭德公司在報(bào)告中承認(rèn),他們對(duì)文獻(xiàn)資料進(jìn)行了一番搜檢的結(jié)果是����,迄今為止���,從專業(yè)角度集中探討保密和定密基本規(guī)律及理論的著作�,這么多年下來只有一本艾爾文·奎斯特未完成的《定密信息原理》�。而蘭德報(bào)告本身,在許多關(guān)鍵點(diǎn)上承繼了該書的觀點(diǎn),延續(xù)了它的生命力�,并將其延伸到冷戰(zhàn)后網(wǎng)絡(luò)時(shí)代的背景之下�。第三����,將上述四條提升到原則的高度,確實(shí)有些勉強(qiáng),好在真正足以作為原則提出的觀點(diǎn)���,就隱藏在報(bào)告的論證過程之中,這在一定程度上彌補(bǔ)了缺憾。
成本—收益分析
通觀蘭德報(bào)告,其核心觀點(diǎn)其實(shí)是:保密在任何情況下都是有成本的���,除非必要,否則就不該定密;對(duì)決策者來說���,成本和收益都是必須考慮的因素,定密之前必須作成本—收益分析?!皞鹘y(tǒng)定密”主要考慮保密的好處����,致力于避免敵人或?qū)κ肢@知我方信息以造成損害����,并由此構(gòu)筑了泄密—損害的邏輯鏈條。換言之,傳統(tǒng)的定密心理和行為邏輯是:如果不對(duì)某條信息定密,******安全將受到損害。蘭德公司則認(rèn)為���,這種邏輯本身就值得懷疑,在此必須追問:如果不定密,******安全將如何遭受損害����,將遭受何種損害?其潛臺(tái)詞是����,僅僅因?yàn)槟硹l信息有用或者可能在安全上比較敏感����,并不能得出敵人會(huì)從中獲益的結(jié)論����;知道敵人對(duì)某條或某些信息感興趣,還不足以證明敵人獲知這些信息將損害美國的******安全�。在蘭德看來�,保密的好處和壞處都很明顯(用美國信息安全監(jiān)督辦公室的話來說就是����,保密是一把雙刃
劍),在作出定密決定之前���,有幾個(gè)步驟不可省略,“定密四原則”的價(jià)值和實(shí)踐意義或在于此�。
站在旁觀者的角度看�,“定密四原則”主要從敵人或?qū)κ值慕嵌葋砜紤]定密問題,僅涉及定密的必要條件;而定密的充分條件是����,在必要條件具備時(shí)�,還要進(jìn)行成本—收益衡量����。也就是說,即使必要條件具備,仍要考慮定密的得失利弊——除了定密本身的成本—收益之外,還要比較定密和不定密兩種情形——只有在定密的成本(包括管理成本和機(jī)會(huì)成本)不大于不定密的成本時(shí)���,定密才是正當(dāng)?shù)摹H绻懿荒軒砻鞔_的益處,即使定密的成本是零���,也不應(yīng)定密����,而在現(xiàn)實(shí)中,定密的成本從來不可能是零���。類似的論述,直接否定了保密的“天然合理性”���。
蘭德公司在此舉出的例證是,它的過往研究表明���,在社會(huì)生活中被廣泛使用的、有關(guān)******關(guān)鍵基礎(chǔ)設(shè)施的地理信息數(shù)據(jù)�,其實(shí)很少被恐怖分子利用——理由很簡單�,即使沒有這些數(shù)據(jù)����,他們有太多的方式和途徑策劃一次成功的襲擊、達(dá)到同樣的目的�。在這種情況下����,定密的綜合社會(huì)成本����,大于其收益。這是“9·11”之后蘭德公司在其出具的研究報(bào)告中反對(duì)對(duì)基礎(chǔ)地理信息定密的主要理由——不是不打擊���、限制恐怖活動(dòng),而是在某些情況下�,依靠保密來限制恐怖活動(dòng)是不恰當(dāng)?shù)?,至少是“不?jīng)濟(jì)”的���。
回到GFM DI該不該定密的問題����,蘭德認(rèn)為���,對(duì)那些有能力突破NIPRNET的大國對(duì)手來說�,它們會(huì)因此增加對(duì)美軍的了解和認(rèn)知,但不會(huì)藉此來攻擊美軍,因?yàn)槟菍⒚芭c美國展開總體戰(zhàn)的危險(xiǎn),得不償失——美國的******安全以實(shí)力為基礎(chǔ)����,而不是以保密為基礎(chǔ)�;保密是維護(hù)******安全的手段�,但保密不等于******安全。而對(duì)不具備突破NIPRNET能力的對(duì)手來說,給GFM DI定密、把它轉(zhuǎn)移到SIPRNET上運(yùn)行沒有意義。
這樣的判斷不一定正確或符合實(shí)際,但它有助于深化我們對(duì)問題的認(rèn)識(shí)。至于GFM DI該不該定密的問題����,它產(chǎn)生于“******存在”的美軍在追求信息化的進(jìn)程中遭遇的保密瓶頸����,產(chǎn)生于扁平化管理�、分散使用和保密要求之間的矛盾沖突。在網(wǎng)絡(luò)時(shí)代����,聚合起來的信息不只是向上流動(dòng)提供給決策者掌握整體情況�,還要滿足各級(jí)單位包括基層應(yīng)用的目的����,這是網(wǎng)絡(luò)中心的網(wǎng)狀結(jié)構(gòu)與傳統(tǒng)體制的金字塔結(jié)構(gòu)的顯著區(qū)別。我們常說信息時(shí)代構(gòu)成挑戰(zhàn),這也是其中之一�。具體到專業(yè)問題上����,蘭德的這份報(bào)告涉及大型分布式聚合性信息系統(tǒng)和信息共享環(huán)境下如何保密的問題,多種來源的資料匯編����、綜合后的保密問題���,以及上傳、標(biāo)注信息如何防止泄密的問題等等,也具備一定的參考價(jià)值����。******報(bào)告一下蘭德給美軍的建議:整體上GFM DI不應(yīng)該定密�,但某些環(huán)節(jié)的安全隱患值得關(guān)切���。
