以《孫子兵法》試觀美國網絡威脅情報工作——謀略、布局與困局

數智時代下，網絡威脅情報工作成為感知戰場態勢、掌握博弈主動權的核心手段。作為網絡空間的“先發者”，美國憑借技術優勢、全球布局和體系化建設，構建了龐大且成熟的網絡威脅情報工作體系。其工作模式、戰略導向與實踐路徑，既體現了現代網絡安全的技術邏輯，也暗合了《孫子兵法》“以智取勝”“先謀后動”“因敵而變”等核心思想的底層邏輯。基于此，本文以《孫子兵法》的核心謀略為分析框架，試圖拆解美國網絡威脅情報工作的“謀、知、行、守”，既審視其基于謀略思想的有效實踐，也剖析其背離謀略內核的戰略困局，為理解大國網絡威脅情報博弈的本質提供新的思路。

《孫子兵法》與網絡威脅

情報工作的內在契合

《孫子兵法》強調通過精準的認知、周密的謀劃、靈活的行動，實現“不戰而屈人之兵”的最高境界。這一邏輯恰與網絡威脅情報工作的目標形成天然呼應，即通過精準感知威脅、科學研判態勢，實現對網絡風險的前置防御、精準處置，從而維護網絡空間安全。其核心契合點主要體現在以下3個層面。

“知彼知己”是兩者的重要前提。《謀攻篇》明確提出：“知彼知己，百戰不殆。”對于網絡威脅情報工作而言，“知彼”即全面搜集、分析各類網絡威脅源的技術特征、攻擊路徑、目標偏好；“知己”則意味著清晰掌握自身網絡架構、防御短板、核心資產分布。唯有實現“知彼”與“知己”的雙向貫通，才能盡可能避免“盲目防御”，實現精準制衡，這與孫子“先察后戰”的謀略邏輯不謀而合。

“先謀后動”是兩者的行動準則。《計篇》強調：“夫未戰而廟算勝者，得算多也；未戰而廟算不勝者，得算少也。多算勝，少算不勝，而況于無算乎。”網絡威脅情報工作并非簡單的信息搜集，而是圍繞網絡安全戰略目標，通過對情報的研判、整合、運用，制定防御策略、預判攻擊態勢、規劃反制行動，所謂“謀算”過程。美國網絡威脅情報工作的內在邏輯實為“先謀后動，以謀制勝”，即通過布局全維度、全時段的威脅情報網絡，全方向感知與預判威脅，為計劃制定、威脅狩獵提供情報依據，本質上恰是“廟算”能力的體現。

“因勢而變”是兩者的靈活法則。《虛實篇》強調“兵無常勢”，而這一道理在網絡空間中也同樣適用。在當前，網絡攻擊技術迭代迅速、威脅主體隱蔽多變、攻擊目標靈活調整，網絡威脅整體上呈現出極強的動態性。這就要求網絡威脅情報工作必須摒棄“固定模式”，跟隨威脅態勢的變化實時調整策略、更新手段，從而實現“以變制變”。

《孫子兵法》視角下美國網絡威脅

情報工作的實踐解析

縱觀美國網絡威脅情報工作，不難發現其布局與行動契合了《孫子兵法》的核心謀略，具體可從“知、謀、行、守”4個維度展開解析，即“全域察敵”“廟算制勝”“以變制變”“情報制敵”。

構建全維度情報感知體系，實現“全域察敵”。同《孫子兵法》一樣，美國持有知彼與知己并重的態度。“知彼”是網絡威脅情報工作制勝的首要前提。美國依托三大核心力量構建“知彼”情報網絡。一是政府情報機構。國家安全局（National Security Agency，NSA）通過全球監聽網絡、網絡滲透行動，獲取網絡威脅海量數據，監控全球網絡流量，搜集敵對國家、黑客組織的網絡攻擊技術、行動規律和目標意圖，旨在最大程度形成對網絡威脅行為體的宏觀認識。二是軍方情報力量。網絡司令部（USCYBERCOM）依托其下屬的133支網絡任務部隊，開展前置性情報偵察，主動滲透潛在威脅源網絡，提前掌握攻擊準備情況。三是與私營機構協同。美國政府與微軟、谷歌、火眼（Fire Eye）等科技巨頭建立深度合作，依托企業的全球網絡節點和技術優勢，搜集全球范圍內的惡意代碼、攻擊事件、漏洞信息，形成“政府+企業”的情報搜集合力。“知己”是網絡威脅情報工作制勝的重要保證。美國通過立法和技術手段，強制要求關鍵基礎設施運營方向政府和情報機構報送網絡架構、防御短板、安全事件等信息，同時依托聯邦政府的“持續診斷與緩解（Continuous Diagnostics and Mitigation）”計劃，對聯邦機構的網絡資產進行全面梳理，盡可能準確地掌握自身“網絡軟肋”，為“靶向防御”提供支撐。

依托情報研判體系，實現“廟算制勝”。《計篇》強調戰前的周密謀劃，通過計算比較敵我雙方的優勢與劣勢，制定最優策略。美國則將這一思想融入網絡威脅情報工作的研判環節，“以謀馭行”構建“分層級、全流程”的情報研判體系，旨在主動防御與反制威脅。美國的網絡威脅情報研判遵循“從碎片到體系、從現象到本質”的邏輯。一是基礎研判。由私營機構和基層情報部門負責基礎研判，對搜集到的惡意代碼、攻擊日志、漏洞信息等網絡威脅數據與信息進行處理、加工與分析，提取技術特征，形成網絡威脅情報“碎片”。二是融合研判。由國土安全部（Department of Homeland Security，DHS）下屬的網絡安全與基礎設施安全局（Cybersecurity and Infrastructure Security Agency，CISA）、國家情報主任辦公室的網絡威脅情報融合中心（Cyber Threat Intelligence Integration Center，CTIIC）負責，將各渠道搜集形成的“情報碎片”進行整合與關聯，梳理攻擊事件的關聯性、威脅源的行動規律，形成“態勢情報”。三是戰略研判。由白宮國家網絡總監辦公室（Office of the National Cyber Director，ONCD）牽頭，結合地緣政治、大國博弈態勢，對“態勢情報”進行深度分析，預判威脅源的戰略意圖、潛在攻擊目標，形成“戰略情報”，為國家網絡安全戰略制定、重大防御行動部署提供決策支撐。

動態調整情報策略，實現“以變制變”。《虛實篇》提到：“兵無常勢，水無常形，能因敵變化而取勝者，謂之神。”網絡威脅的動態性決定了網絡威脅情報工作必須“因勢而變”，美國通過“技術迭代+策略調整+力量適配”，實現對威脅態勢的動態響應，踐行“以變制變”的謀略。在技術手段上，美國緊跟網絡威脅技術的迭代步伐，將人工智能、大數據等前沿技術融入網絡威脅情報工作。例如，利用AI技術對海量網絡流量進行實時分析，快速識別異常行為和潛在攻擊；再如，利用機器學習算法，自動更新惡意代碼特征庫，實現對新型惡意軟件的快速識別，實現“情報搜集、研判、處置、共享”的自動化。這種“技術隨威脅而變”的模式，有效規避“以靜制動”的被動，實現“以技制變”。在策略調整上，美國根據全球地緣政治態勢和網絡威脅格局的變化，實時調整網絡威脅情報工作的重點。2020年后，面對勒索軟件攻擊的泛濫，美國將情報工作的重點部分轉移至跨國勒索軟件組織，聯合多國開展情報共享與聯合反制，體現了“策略隨勢而變”的靈活性。在力量適配上，美國網絡司令部根據威脅類型的不同，將133支網絡任務部隊分為“防御性任務部隊”“進攻性任務部隊”“國家任務部隊”，分別對應日常網絡防御、主動反制攻擊和應對重大網絡威脅，實現“力量隨任務而變”，確保對不同類型威脅的精準應對。

依托情報威懾，實現“情報制敵”。“不戰而屈人之兵”是孫子謀略的最高境界，強調通過威懾、制衡，讓敵人放棄進攻意圖，實現“不戰而勝”。美國則通過情報公開、能力展示和精準反制，構建網絡威脅情報威懾體系，試圖實現“以情報制敵”。一是情報公開威懾。美國各層級定期發布威脅評估報告，如國家情報主任辦公室的年度威脅報告、網絡安全與基礎設施安全局的《網絡評估報告》及《惡意軟件分析報告》。美國通過這些報告公開曝光威脅行為體的網絡攻擊行為、技術特征和行動軌跡，從而向世界傳遞美國的情報感知力，讓潛在威脅源意識到其行動已被全程監控；同時以受害者敘事立場爭取國際輿論支持，孤立威脅源，實現“輿論+情報”的雙重威懾。二是能力展示威懾。美國通過開展網絡軍演、公開網絡反制行動，展示其基于情報的網絡作戰能力，讓潛在威脅源不敢輕易發動攻擊。例如，網絡司令部每年開展網絡衛士、黑旗等系列軍演，模擬各類網絡攻擊場景，展示其依托情報的精準防御和快速反制能力。2020年，美國網絡司令部對伊朗伊斯蘭革命衛隊的網絡基礎設施發動精準反制，正是基于前期精準的情報搜集與研判，向伊朗展示了美國的網絡威懾力。三是精準反制威懾。美國依托精準的網絡威脅情報，對潛在威脅源實施“前置性反制”，通過破壞其攻擊基礎設施、阻斷其攻擊路徑，讓威脅源“未戰而敗”。例如，美國網絡司令部曾對勒索軟件組織DarkSide的基礎設施實施反制，通過精準定位其服務器和指揮控制節點，阻斷攻擊行動，既挽回了損失，也對全球勒索軟件組織形成了震懾。

美國網絡司令部于2025年3月12日至18日

完成了年度網絡衛士演習的第一階段

《孫子兵法》視角下美國網絡威脅

情報工作的偏差與困局

盡管美國網絡威脅情報工作契合了《孫子兵法》的謀略，但受自身霸權思維、霸權擴張、雙重標準的影響，其工作實踐也出現了一定的偏差，陷入了“知而不全”“謀而不智”“行而失度”的困局。

霸權思維導致情報偏見，背離“全面知彼”的謀略內核。《孫子兵法》強調“知彼”要全面、客觀，既要知其優勢，也要知其劣勢；既要知其行動，也要知其意圖。但美國將網絡威脅情報工作作為推行霸權主義的工具，帶有強烈的意識形態偏見，將部分新興大國視為主要網絡威脅，而對其他網絡攻擊行為不予重視，這導致其情報搜集與研判出現“選擇性失明”，背離了“全面知彼”的謀略內核。一方面，美國過度聚焦于大國競爭，將大量情報資源投入到監控相關國家的網絡活動中，卻忽視了非國家行為體的網絡威脅，導致情報感知出現盲區；另一方面，美國對自身及盟友的網絡攻擊行為采用雙重標準，將自身的網絡監聽、滲透行動視為維護安全，而將其他國家的正常網絡防御行動污蔑為網絡攻擊，導致其情報研判出現偏見，無法客觀認識全球網絡威脅的真實格局，最終陷入“知而不全”的困局。

霸權擴張導致戰略透支，背離“謀定后動”的謀略精髓。《孫子兵法》強調“廟算”要兼顧“利”與“害”，“不盡知用兵之害者，則不能盡知用兵之利也”。但美國將網絡威脅情報工作作為擴張網絡霸權的工具，一味追求絕對安全和絕對優勢，不斷擴大情報搜集范圍、強化網絡反制能力，導致戰略透支。這背離了“謀定后動”的謀略精髓，因為“謀”的核心是趨利避害，而非窮兵黷武。美國為維持網絡情報霸權，投入了巨額資源——每年用于網絡威脅情報的預算超過百億美元，同時不斷擴大全球監聽網絡，在全球部署網絡情報節點。這種“無限擴張”的策略導致兩個嚴重后果。一是資源分散。由于情報范圍過于寬泛，美國無法將有限資源集中于核心威脅，導致對關鍵威脅的情報研判不夠深入，出現“廣而不精”的問題。二是戰略孤立。美國的全球監聽和網絡滲透行動嚴重侵犯了其他國家的主權和公民隱私，引發全球反感，越來越多的國家開始加強網絡主權保護，限制美國情報機構的活動，導致美國網絡威脅情報的全球搜集能力受到制約，例如歐盟出臺《通用數據保護條例》（General Data Protection Regulation，GDPR），限制美國企業向美國政府傳輸歐洲用戶數據，這對美國自身情報工作開展產生一定的影響。這種“謀而不智”的戰略擴張，最終導致美國陷入“越擴張、越被動”的困局。

美國國家安全局主導構建了全球監聽網絡系統

雙重標準導致信任崩塌，背離“不戰而屈人之兵”的謀略目標。《孫子兵法》中“不戰而屈人之兵”的核心是“以德服人”“以信立威”，通過自身的道義優勢和實力威懾，讓敵人心甘情愿地放棄對抗。但美國在網絡威脅情報工作中奉行雙重標準，一方面公開譴責其他國家的網絡攻擊行為，另一方面卻頻繁利用自身情報優勢實施網絡監聽、發動網絡攻擊，導致其情報威懾失去道義支撐，信任崩塌。美國這種雙重標準的做法背離了“不戰而屈人之兵”的謀略目標。同時，美國對盟友也奉行雙重標準，其“棱鏡計劃”曝光后，人們發現美國不僅監控敵對國家，還監控德國、法國等盟友的政要和網絡流量。美國與盟友之間的信任出現裂痕，盟友對美國的情報共享意愿大幅下降。這種“行而失度”的行為，使美國網絡威脅情報威懾有失信之勢，或有可能陷入“四面樹敵”的困境。

“棱鏡門”事件曝光了美國網絡監控計劃

結　語

網絡威脅情報作為掌控網絡空間博弈主動權的關鍵手段，其運作邏輯與《孫子兵法》的核心謀略具有高度的契合性。本文以《孫子兵法》“知己知彼”“先謀后動”“因敵而變”等謀略為分析框架，從“知、謀、行、守”4個維度解析美國網絡威脅情報工作的實踐邏輯，發現其通過全域情報感知踐行“知己知彼”、以分層研判體系踐行“廟算制勝”、憑動態策略調整彰顯“因勢而變”、借情報威懾構建追求“不戰而屈人之兵”，為維護國家安全提供重要支撐。但美國受霸權思維、霸權擴張與雙重標準的影響，其網絡威脅情報工作逐漸背離《孫子兵法》“趨利避害”“以德立威”的謀略內核，反而陷入“知而不全”“謀而不智”“行而失度”的困局。可以說，古典兵學與現代網絡安全理論的創造性融合，不僅為解讀大國網絡情報博弈提供新視角，更為全球網絡安全治理注入東方智慧，助力破解網絡空間安全困境。《孫子兵法》“以智馭力”的核心智慧，為當代網絡威脅情報工作提供了重要啟示——既要以精準研判筑牢情報賦能根基，又要以適度運用規避戰略失序風險，更要以價值引領堅守安全治理正道，在攻防平衡中實現網絡空間的長治久安。

免責聲明：本文轉自軍事文摘，原作者鄭嘉怡、謝海星。文章內容系原作者個人觀點，本公眾號編譯/轉載僅為分享、傳達不同觀點，如有任何異議，歡迎聯系我們！

轉自丨軍事文摘

作者丨鄭嘉怡、謝海星

研究所簡介

國際技術經濟研究所（IITE）成立于1985年11月，是隸屬于國務院發展研究中心的非營利性研究機構，主要職能是研究我國經濟、科技社會發展中的重大政策性、戰略性、前瞻性問題，跟蹤和分析世界科技、經濟發展態勢，為中央和有關部委提供決策咨詢服務。“全球技術地圖”為國際技術經濟研究所官方微信賬號，致力于向公眾傳遞前沿技術資訊和科技創新洞見。

地址：北京市海淀區小南莊20號樓A座

電話：010-82635522

微信：iite_er