以《孙子兵法》试观美国网络威胁情报工作——谋略、布局与困局

数智时代下，网络威胁情报工作成为感知战场态势、掌握博弈主动权的核心手段。作为网络空间的“先发者”，美国凭借技术优势、全球布局和体系化建设，构建了庞大且成熟的网络威胁情报工作体系。其工作模式、战略导向与实践路径，既体现了现代网络安全的技术逻辑，也暗合了《孙子兵法》“以智取胜”“先谋后动”“因敌而变”等核心思想的底层逻辑。基于此，本文以《孙子兵法》的核心谋略为分析框架，试图拆解美国网络威胁情报工作的“谋、知、行、守”，既审视其基于谋略思想的有效实践，也剖析其背离谋略内核的战略困局，为理解大国网络威胁情报博弈的本质提供新的思路。

《孙子兵法》与网络威胁

情报工作的内在契合

《孙子兵法》强调通过精准的认知、周密的谋划、灵活的行动，实现“不战而屈人之兵”的最高境界。这一逻辑恰与网络威胁情报工作的目标形成天然呼应，即通过精准感知威胁、科学研判态势，实现对网络风险的前置防御、精准处置，从而维护网络空间安全。其核心契合点主要体现在以下3个层面。

“知彼知己”是两者的重要前提。《谋攻篇》明确提出：“知彼知己，百战不殆。”对于网络威胁情报工作而言，“知彼”即全面搜集、分析各类网络威胁源的技术特征、攻击路径、目标偏好；“知己”则意味着清晰掌握自身网络架构、防御短板、核心资产分布。唯有实现“知彼”与“知己”的双向贯通，才能尽可能避免“盲目防御”，实现精准制衡，这与孙子“先察后战”的谋略逻辑不谋而合。

“先谋后动”是两者的行动准则。《计篇》强调：“夫未战而庙算胜者，得算多也；未战而庙算不胜者，得算少也。多算胜，少算不胜，而况于无算乎。”网络威胁情报工作并非简单的信息搜集，而是围绕网络安全战略目标，通过对情报的研判、整合、运用，制定防御策略、预判攻击态势、规划反制行动，所谓“谋算”过程。美国网络威胁情报工作的内在逻辑实为“先谋后动，以谋制胜”，即通过布局全维度、全时段的威胁情报网络，全方向感知与预判威胁，为计划制定、威胁狩猎提供情报依据，本质上恰是“庙算”能力的体现。

“因势而变”是两者的灵活法则。《虚实篇》强调“兵无常势”，而这一道理在网络空间中也同样适用。在当前，网络攻击技术迭代迅速、威胁主体隐蔽多变、攻击目标灵活调整，网络威胁整体上呈现出极强的动态性。这就要求网络威胁情报工作必须摒弃“固定模式”，跟随威胁态势的变化实时调整策略、更新手段，从而实现“以变制变”。

《孙子兵法》视角下美国网络威胁

情报工作的实践解析

纵观美国网络威胁情报工作，不难发现其布局与行动契合了《孙子兵法》的核心谋略，具体可从“知、谋、行、守”4个维度展开解析，即“全域察敌”“庙算制胜”“以变制变”“情报制敌”。

构建全维度情报感知体系，实现“全域察敌”。同《孙子兵法》一样，美国持有知彼与知己并重的态度。“知彼”是网络威胁情报工作制胜的首要前提。美国依托三大核心力量构建“知彼”情报网络。一是政府情报机构。国家安全局（National Security Agency，NSA）通过全球监听网络、网络渗透行动，获取网络威胁海量数据，监控全球网络流量，搜集敌对国家、黑客组织的网络攻击技术、行动规律和目标意图，旨在最大程度形成对网络威胁行为体的宏观认识。二是军方情报力量。网络司令部（USCYBERCOM）依托其下属的133支网络任务部队，开展前置性情报侦察，主动渗透潜在威胁源网络，提前掌握攻击准备情况。三是与私营机构协同。美国政府与微软、谷歌、火眼（Fire Eye）等科技巨头建立深度合作，依托企业的全球网络节点和技术优势，搜集全球范围内的恶意代码、攻击事件、漏洞信息，形成“政府+企业”的情报搜集合力。“知己”是网络威胁情报工作制胜的重要保证。美国通过立法和技术手段，强制要求关键基础设施运营方向政府和情报机构报送网络架构、防御短板、安全事件等信息，同时依托联邦政府的“持续诊断与缓解（Continuous Diagnostics and Mitigation）”计划，对联邦机构的网络资产进行全面梳理，尽可能准确地掌握自身“网络软肋”，为“靶向防御”提供支撑。

依托情报研判体系，实现“庙算制胜”。《计篇》强调战前的周密谋划，通过计算比较敌我双方的优势与劣势，制定最优策略。美国则将这一思想融入网络威胁情报工作的研判环节，“以谋驭行”构建“分层级、全流程”的情报研判体系，旨在主动防御与反制威胁。美国的网络威胁情报研判遵循“从碎片到体系、从现象到本质”的逻辑。一是基础研判。由私营机构和基层情报部门负责基础研判，对搜集到的恶意代码、攻击日志、漏洞信息等网络威胁数据与信息进行处理、加工与分析，提取技术特征，形成网络威胁情报“碎片”。二是融合研判。由国土安全部（Department of Homeland Security，DHS）下属的网络安全与基础设施安全局（Cybersecurity and Infrastructure Security Agency，CISA）、国家情报主任办公室的网络威胁情报融合中心（Cyber Threat Intelligence Integration Center，CTIIC）负责，将各渠道搜集形成的“情报碎片”进行整合与关联，梳理攻击事件的关联性、威胁源的行动规律，形成“态势情报”。三是战略研判。由白宫国家网络总监办公室（Office of the National Cyber Director，ONCD）牵头，结合地缘政治、大国博弈态势，对“态势情报”进行深度分析，预判威胁源的战略意图、潜在攻击目标，形成“战略情报”，为国家网络安全战略制定、重大防御行动部署提供决策支撑。

动态调整情报策略，实现“以变制变”。《虚实篇》提到：“兵无常势，水无常形，能因敌变化而取胜者，谓之神。”网络威胁的动态性决定了网络威胁情报工作必须“因势而变”，美国通过“技术迭代+策略调整+力量适配”，实现对威胁态势的动态响应，践行“以变制变”的谋略。在技术手段上，美国紧跟网络威胁技术的迭代步伐，将人工智能、大数据等前沿技术融入网络威胁情报工作。例如，利用AI技术对海量网络流量进行实时分析，快速识别异常行为和潜在攻击；再如，利用机器学习算法，自动更新恶意代码特征库，实现对新型恶意软件的快速识别，实现“情报搜集、研判、处置、共享”的自动化。这种“技术随威胁而变”的模式，有效规避“以静制动”的被动，实现“以技制变”。在策略调整上，美国根据全球地缘政治态势和网络威胁格局的变化，实时调整网络威胁情报工作的重点。2020年后，面对勒索软件攻击的泛滥，美国将情报工作的重点部分转移至跨国勒索软件组织，联合多国开展情报共享与联合反制，体现了“策略随势而变”的灵活性。在力量适配上，美国网络司令部根据威胁类型的不同，将133支网络任务部队分为“防御性任务部队”“进攻性任务部队”“国家任务部队”，分别对应日常网络防御、主动反制攻击和应对重大网络威胁，实现“力量随任务而变”，确保对不同类型威胁的精准应对。

依托情报威慑，实现“情报制敌”。“不战而屈人之兵”是孙子谋略的最高境界，强调通过威慑、制衡，让敌人放弃进攻意图，实现“不战而胜”。美国则通过情报公开、能力展示和精准反制，构建网络威胁情报威慑体系，试图实现“以情报制敌”。一是情报公开威慑。美国各层级定期发布威胁评估报告，如国家情报主任办公室的年度威胁报告、网络安全与基础设施安全局的《网络评估报告》及《恶意软件分析报告》。美国通过这些报告公开曝光威胁行为体的网络攻击行为、技术特征和行动轨迹，从而向世界传递美国的情报感知力，让潜在威胁源意识到其行动已被全程监控；同时以受害者叙事立场争取国际舆论支持，孤立威胁源，实现“舆论+情报”的双重威慑。二是能力展示威慑。美国通过开展网络军演、公开网络反制行动，展示其基于情报的网络作战能力，让潜在威胁源不敢轻易发动攻击。例如，网络司令部每年开展网络卫士、黑旗等系列军演，模拟各类网络攻击场景，展示其依托情报的精准防御和快速反制能力。2020年，美国网络司令部对伊朗伊斯兰革命卫队的网络基础设施发动精准反制，正是基于前期精准的情报搜集与研判，向伊朗展示了美国的网络威慑力。三是精准反制威慑。美国依托精准的网络威胁情报，对潜在威胁源实施“前置性反制”，通过破坏其攻击基础设施、阻断其攻击路径，让威胁源“未战而败”。例如，美国网络司令部曾对勒索软件组织DarkSide的基础设施实施反制，通过精准定位其服务器和指挥控制节点，阻断攻击行动，既挽回了损失，也对全球勒索软件组织形成了震慑。

美国网络司令部于2025年3月12日至18日

完成了年度网络卫士演习的第一阶段

《孙子兵法》视角下美国网络威胁

情报工作的偏差与困局

尽管美国网络威胁情报工作契合了《孙子兵法》的谋略，但受自身霸权思维、霸权扩张、双重标准的影响，其工作实践也出现了一定的偏差，陷入了“知而不全”“谋而不智”“行而失度”的困局。

霸权思维导致情报偏见，背离“全面知彼”的谋略内核。《孙子兵法》强调“知彼”要全面、客观，既要知其优势，也要知其劣势；既要知其行动，也要知其意图。但美国将网络威胁情报工作作为推行霸权主义的工具，带有强烈的意识形态偏见，将部分新兴大国视为主要网络威胁，而对其他网络攻击行为不予重视，这导致其情报搜集与研判出现“选择性失明”，背离了“全面知彼”的谋略内核。一方面，美国过度聚焦于大国竞争，将大量情报资源投入到监控相关国家的网络活动中，却忽视了非国家行为体的网络威胁，导致情报感知出现盲区；另一方面，美国对自身及盟友的网络攻击行为采用双重标准，将自身的网络监听、渗透行动视为维护安全，而将其他国家的正常网络防御行动污蔑为网络攻击，导致其情报研判出现偏见，无法客观认识全球网络威胁的真实格局，最终陷入“知而不全”的困局。

霸权扩张导致战略透支，背离“谋定后动”的谋略精髓。《孙子兵法》强调“庙算”要兼顾“利”与“害”，“不尽知用兵之害者，则不能尽知用兵之利也”。但美国将网络威胁情报工作作为扩张网络霸权的工具，一味追求绝对安全和绝对优势，不断扩大情报搜集范围、强化网络反制能力，导致战略透支。这背离了“谋定后动”的谋略精髓，因为“谋”的核心是趋利避害，而非穷兵黩武。美国为维持网络情报霸权，投入了巨额资源——每年用于网络威胁情报的预算超过百亿美元，同时不断扩大全球监听网络，在全球部署网络情报节点。这种“无限扩张”的策略导致两个严重后果。一是资源分散。由于情报范围过于宽泛，美国无法将有限资源集中于核心威胁，导致对关键威胁的情报研判不够深入，出现“广而不精”的问题。二是战略孤立。美国的全球监听和网络渗透行动严重侵犯了其他国家的主权和公民隐私，引发全球反感，越来越多的国家开始加强网络主权保护，限制美国情报机构的活动，导致美国网络威胁情报的全球搜集能力受到制约，例如欧盟出台《通用数据保护条例》（General Data Protection Regulation，GDPR），限制美国企业向美国政府传输欧洲用户数据，这对美国自身情报工作开展产生一定的影响。这种“谋而不智”的战略扩张，最终导致美国陷入“越扩张、越被动”的困局。

美国国家安全局主导构建了全球监听网络系统

双重标准导致信任崩塌，背离“不战而屈人之兵”的谋略目标。《孙子兵法》中“不战而屈人之兵”的核心是“以德服人”“以信立威”，通过自身的道义优势和实力威慑，让敌人心甘情愿地放弃对抗。但美国在网络威胁情报工作中奉行双重标准，一方面公开谴责其他国家的网络攻击行为，另一方面却频繁利用自身情报优势实施网络监听、发动网络攻击，导致其情报威慑失去道义支撑，信任崩塌。美国这种双重标准的做法背离了“不战而屈人之兵”的谋略目标。同时，美国对盟友也奉行双重标准，其“棱镜计划”曝光后，人们发现美国不仅监控敌对国家，还监控德国、法国等盟友的政要和网络流量。美国与盟友之间的信任出现裂痕，盟友对美国的情报共享意愿大幅下降。这种“行而失度”的行为，使美国网络威胁情报威慑有失信之势，或有可能陷入“四面树敌”的困境。

“棱镜门”事件曝光了美国网络监控计划

结　语

网络威胁情报作为掌控网络空间博弈主动权的关键手段，其运作逻辑与《孙子兵法》的核心谋略具有高度的契合性。本文以《孙子兵法》“知己知彼”“先谋后动”“因敌而变”等谋略为分析框架，从“知、谋、行、守”4个维度解析美国网络威胁情报工作的实践逻辑，发现其通过全域情报感知践行“知己知彼”、以分层研判体系践行“庙算制胜”、凭动态策略调整彰显“因势而变”、借情报威慑构建追求“不战而屈人之兵”，为维护国家安全提供重要支撑。但美国受霸权思维、霸权扩张与双重标准的影响，其网络威胁情报工作逐渐背离《孙子兵法》“趋利避害”“以德立威”的谋略内核，反而陷入“知而不全”“谋而不智”“行而失度”的困局。可以说，古典兵学与现代网络安全理论的创造性融合，不仅为解读大国网络情报博弈提供新视角，更为全球网络安全治理注入东方智慧，助力破解网络空间安全困境。《孙子兵法》“以智驭力”的核心智慧，为当代网络威胁情报工作提供了重要启示——既要以精准研判筑牢情报赋能根基，又要以适度运用规避战略失序风险，更要以价值引领坚守安全治理正道，在攻防平衡中实现网络空间的长治久安。

免责声明：本文转自军事文摘，原作者郑嘉怡、谢海星。文章内容系原作者个人观点，本公众号编译/转载仅为分享、传达不同观点，如有任何异议，欢迎联系我们！

转自丨军事文摘

作者丨郑嘉怡、谢海星

研究所简介

国际技术经济研究所（IITE）成立于1985年11月，是隶属于国务院发展研究中心的非营利性研究机构，主要职能是研究我国经济、科技社会发展中的重大政策性、战略性、前瞻性问题，跟踪和分析世界科技、经济发展态势，为中央和有关部委提供决策咨询服务。“全球技术地图”为国际技术经济研究所官方微信账号，致力于向公众传递前沿技术资讯和科技创新洞见。

地址：北京市海淀区小南庄20号楼A座

电话：010-82635522

微信：iite_er