认知战和网络安全存在怎样的内在联系？元战略摘编最新研究《网络安全在认知战中的作用》，探索网络安全框架的构建。研究指出，应结合网络安全能力制定认知战防御策略。当前，认知战激发新的网络攻击手段，在认知战领域采用网络安全概念，有助于认知领域能力和弹性的快速建设。

根据“2022年全球和平指数”（2022 Global Peace Index）报告，在过去15年里，70%的国家和平程度有所下降。言论、两极分化、社会分裂、暴力示威和冲突影响着全球社会。从表面上看，以上根本目的在于破坏大众对信息和政治进程的信任。在未来十年内，错误信息和虚假信息可能构成比激烈冲突或大规模杀伤性武器更严重的威胁。与此同时，网络攻击在全球风险排名中始终位居前10位，其重大影响凸显了在全球范围内提高网络安全防护水平的必要性。

1

关键概念术语之间的联系

作为研究网络安全与认知战之间关系的第一步，考虑相关术语非常重要。术语会因其来源或发布时间的不同而有所变化，但在语义上并不相互排斥，例如虚假信息、外国信息操纵和干扰（Foreign Information Manipulation and Interference，FIMI）。这表明有必要采用跨学科的方法和视角来审视这些语义重合之处。常规战争正在向网络空间和信息空间扩展，预计FIMI将在其中发挥重要作用。

01 错误信息（Misinformation）

是指没有恶意的虚假或误导性信息，尽管其影响可能仍然有害。

02 虚假信息（Disinformation）

为获取经济利益或故意欺骗公众而制造、提供和传播的可核实的虚假或误导性信息，并可能对公众造成伤害。公共危害包括对民主政治和政策制定过程的威胁，以及对保护欧盟公民健康、环境或安全等公益事业的威胁。

03 外国信息操纵和干扰（FIMI）

威胁或可能对价值观、程序和政治进程产生负面影响的行为模式。这种活动具有操纵性质，以蓄意和协调的方式进行。此类活动的行为者可以是国家或非国家行为者，包括其境内外的代理人。

04 认知战（CogWar）

认知战的出现是多种技术进步融合的产物，也是信息和技术可用性和获取途径增加的结果。认知战试图改变和塑造人类思考、反应和决策的方式，从而将众所周知的战争方法提升到一个新的水平。认知战的出现充满了安全挑战，因为它具有侵入性、侵扰性和隐蔽性，其目标是利用认知焦点来扰乱、破坏、影响或修改人类的决策。认知战代表着各种先进技术与人为因素和系统的融合，如人工智能（Al）、机器学习（ML）、信息通信技术（ICT）、神经科学、生物技术和人类增强技术，北约的对手正在21世纪的战场上蓄意使用这些技术。认知战在经济、地缘政治、社会、文化和威胁人类决策等各个层面对全球防务和安全构成了重大风险。

根据上述定义，错误信息和虚假信息之间有许多相似之处，而外国信息操纵和干扰与认知战之间也有许多相似之处。根据欧洲对外行动局（EEAS）关于外国信息操纵和干扰（FIMI）的第一份报告和EEAS战略传播（STRATCOM）活动报告，错误信息和虚假信息都被定义为虚假内容，但虚假信息的区别在于故意制造和分享虚假信息。该报告还指出，FIMI的特点是具有蓄意性质和协调方式，也具有与认知战相同的行为者、意图和特征。北约科学技术组织（STO）人为因素与医学（HFM）探索小组（ET）更深入地描述了认知战，并强调其依赖于人为因素和技术，如信息通信技术、人工智能、神经科学、生物技术和人类增强技术。

研究者认为，认知战的重点是改变目标人群的思维方式，进而改变他们的行动方式，即利用舆论武器影响公共和政府政策，破坏公共机构的稳定。此外，研究者指出网络战起源于心理战（PSYOP）和信息战，网络战严重依赖于新的信息通信技术、社交媒体平台、网络技术（如机器人），尤其是人工智能。虚假信息和复杂的心理操纵技术是认知战的主要特征。

网络安全的定义也在不断演变，以反映其无处不在、普遍存在和快速发展的性质。最新的ISO/IEC TS 27100:2020标准将网络安全定义为“保护人民、社会、组织和国家免受网络风险的影响，将网络风险控制在可承受的水平”。网络风险被定义为“不确定性对网络空间实体目标的影响，其中网络风险与威胁利用网络空间漏洞从而对网络空间实体造成伤害的可能性有关”。反过来，网络空间被定义为“由网络、服务、系统、人员、流程、组织以及驻留在数字环境中或穿越数字环境的事物组成的一个相互关联的数字环境”。

2

用网络安全表示和理解FIMI威胁

FIMI防御者社区内跨学科合作的一个典型案例是“虚假信息分析和风险管理”（Disinformation Analysis & Risk Management，DISARM）框架的创建，该框架旨在代表已知FIMI对抗行为的知识库和分类法，以及针对这些行为的防御措施，其灵感来自MITRE ATT&CK。MITRE ATT&CK是网络安全领域的网络对抗行为知识库和模型。这两个框架都是开源的，旨在通过共享威胁情报数据、进行分析和协调有效行动，分别对抗网络威胁和FIMI威胁。DISARM红色框架代表了事件创建者FIMI行为的战术、技术和程序（TTP），而DISARM蓝色框架则描述了潜在的应对方案。

在研究乌克兰危机中的认知战行动时，可以识别出多种FIMI威胁的案例，DISARM框架可以揭示这些案例。根据欧洲安全与合作机构（EEAS）关于FIMI威胁的第一份报告，乌克兰危机占该报告中观察到事件的60%。主要参与者使用了大量技术，其中最突出的技术在DISARM框架中概述如下：

开发基于图像和视频的内容

（T0086、T0087）

冒充合法实体（T0099）

削弱对手（T0066）

使用正式外交渠道（T0110）

伪造图像和视频内容被用来通过重构事件、败坏对手的形象或降低对手的行动能力以及抹黑可信来源以歪曲事实。为了扩大受众范围，这些内容被翻译成多种语言。观察到的事件至少涉及30种语言，其中16种是欧盟语言。正式外交渠道被用来传递内容，通过重构事件背景来歪曲事实，并贬低对手。然后，通过跨多个群体和平台交叉发布放大和传播伪造的内容，从而将其传播到目标受众中的新社区或新的目标受众。乌克兰危机中的认知战行动旨在：

- 驳回指控

- 扭曲叙事和扭曲框架

- 通过“寻找替罪羊”来转移注意力，并把责任推给不同行为者或叙述者

- 用挫败感威胁和恐吓对手

- 分裂是为了制造冲突冲突，并扩大群体内部分歧

FIMI威胁利用了网络安全技术基础设施，特别是在内容创建、放大和传播的初始阶段。事实上，特定的网络攻击可被视为FIMI事件的前兆，反之亦然，这进一步支持了DISARM和ATT&CK框架的结合使用。例如，网络攻击可用于获取信息，这些信息随后可能成为信息行动中制造虚假内容的基础。同样，窃取选民登记数据可以支持和发展特定叙事，而获取个人电子邮件地址则可用于传播内容。此外，还可以通过创建虚假账户、破坏现有账户合法性、黑客攻击网站来显示虚假内容。

认知战激发新的网络攻击手段。由于深度伪造和“虚假信息雇佣”（disinformation-for-hire）服务的出现可能会导致新颖、高度复杂且成功的冒充攻击和欺骗技术，因此了解FIMI对抗行为也将有助于增强防御与复原力，并维持安全态势。

尽管DISARM框架仍处于早期开发阶段，但在促进整个社区对FIMI行为的对话和理解方面迈出了宝贵的一步，为提高FIMI威胁的分析成熟度和实现威胁情报信息交流标准化铺平了道路。此外，在认知战领域采用网络安全概念，有助于认知领域能力和弹性的快速建设。

3

关于应对认知威胁的思考

西方对认知威胁的防备水平在不断提高，情报界正在监测、分析并准备防御这种普遍存在的威胁。拥有适当的基础设施来检测、建模、研究和交流认知威胁的演变是制定有效防御策略的关键。认知战和网络安全之间的紧密联系和关系将带来巨大的益处。

然而，仅靠技术是不够的。教育、模拟和游戏化学习有助于支持提高认识和信息扫盲活动，最终提高多学科工作人员应对认知战和网络攻击综合场景的应变能力。关键是要认识到积极安全（positive security）的重要性，以支持从认识到安全文化的过渡，在这种文化中，安全行为被纳入并成为默认选项。

免责声明：本文转自元战略。文章内容系原作者个人观点，本公众号编译/转载仅为分享、传达不同观点，如有任何异议，欢迎联系我们！

转自丨元战略

研究所简介

国际技术经济研究所（IITE）成立于1985年11月，是隶属于国务院发展研究中心的非营利性研究机构，主要职能是研究我国经济、科技社会发展中的重大政策性、战略性、前瞻性问题，跟踪和分析世界科技、经济发展态势，为中央和有关部委提供决策咨询服务。“全球技术地图”为国际技术经济研究所官方微信账号，致力于向公众传递前沿技术资讯和科技创新洞见。

地址：北京市海淀区小南庄20号楼A座

电话：010-82635522

微信：iite_er