对我们来说不成问题的问题，对兰德公司来说全都是问题。为这些问题寻找答案的过程，以及由此带来的思考，或许比答案本身更重要。

　　31GFM DI和“部队结构信息”

　　2006 年6月， 五角大楼批准“******力量管理数据倡议”（G FM D I）——通过制定一套标准和协议，将此前分散各处的“部队结构信息”（force structure information）和相关系统以虚拟方式聚合在一起，并以统一的标准和格式呈现给授权用户，以实现信息共享、提高效率和节约成本等多种管理目标。

　　GFM DI可以被看作一个“大型分布式聚合性”信息系统，这个系统不是“建”出来的，而是“连”出来的。它不是一个数据库，自己基本不生成、存储信息，而是众多原本分散的数据库的入口，这有点像搜索引擎，规模大，覆盖面广，信息的提供和使用者分散各地，只是靠网络才聚合在一起。而所谓“部队结构信息”，包括兵力、兵种、人员、武器装备，以及它们的组织方式、构成和变动情况。为推行这个项目，美军在国防部、情报界、参谋长联席会议、陆海空军和海军陆战队七大部门架设了“组织服务器”（orgserver），其授权用户的范围甚至包括了白宫、国务院、各州州长办公室等非军事部门。

　　综合这些情况，我们可以把GFM DI约略地比作美军的“网络花名册”或拓扑图，它和日常的计划、管理工作紧密结合，并已成为其信息基础设施的一部分。不同之处在于，它是动态维护和更新、双向甚至多向运行的，获得授权的用户通过搜索机构、单位、组织甚至个人的名称，可以很方便地获取其位置和状态等信息，还可通过标注方式向系统中添加内容。

　　五角大楼高度评价GFM DI的成效：它使美军的“力量构成——组织、架构信息”******以一种统一的、标准化的格式“可见、可得、可知”，兼具全景和细节优势，为决策和管理提供了极大便利。与此同时，五角大楼也意识到它存在着显而易见的缺点：因为信息来源基本不涉密，GFM DI目前在美军的非涉密网NIPRNET上运行。NIPRNET本身有用户名、密码和验证机制等接入控制措施，但它和互联网有十多个接口，没有物理隔离，故此，美国的敌人和对手也可能从中获益——从以往的零敲碎打到现在的一览无余、细致入微。

　　兰德的学究式探讨

　　众所周知，互联网的前身是美军的阿帕网，其设计思路是确保在核战后传统通讯手段全毁的前提下信息仍可送达目标，基本没考虑保密。GFM DI的情况与此不同，美军参联会在2007年4月编制的《GFM DI——行动概念》中专门讨论了它的保密问题，并提出了一些原则性要求。

　　按照一般理解，这是一个不成问题的问题，要解决也很简单：涉军信息天然敏感，而军方手握定密权，给GFM DI定上密，直接转成涉密网运行不就完了嘛！（也就是从NIPRNET移到SIPRNET，这两个原本生僻的名词因为“维基揭秘”事件而知名度大涨）

　　这是人们相当熟悉的一种定密方式（毋宁说是一种习惯做法，兰德则称之为定密的“缺省模式”并有相关批评）——拿不准的时候，先保起来再说，可定可不定的时候，定上再说。往大里讲，这是以******安全为重，往小里说，至少不用承担泄密风险。

　　但是五角大楼不知道脑子一根筋、缺根弦还是钱多了烧的，非要立课题让一帮军外人士去刨根问底，简单的问题就这么复杂化了。于是，就有了兰德公司历史上少有的保密专题报告《什么应该定密？》，以及该公司在报告中提出的“定密四原则”。******人们看到，大名鼎鼎的兰德并没有拿出什么让人眼前一亮的方案来，人们对情况的了解似乎多了一些，但问题并没有得到解决，******还是要军方自己拿主意。

　　对于GFM DI该不该定密这个不是问题的问题，兰德公司国防研究院的学究们煞有介事地设计了一套研究思路：先发掘出具有普遍意义的定密原则，然后把GFM DI当麻雀解剖。换言之，先造出一把尺子，然后用它来量体裁衣（也可能是削足适履）。兰德认为，GFM DI在美军的信息系统中或许地位不那么突出，但它反映出的问题带有普遍性。因此，他们的结论不限于G F MDI系统的管理者和用户，同时也对其他领域的决策者和管理人员具有参考价值。在他们看来，问题可以归结为一点：信息，以及由多种不同信息来源聚合而成的信息系统，是否应该定密？依据什么定密？

　　兰德给出的“定密四原则”

　　是:

　　1．定密必须减少敌人或对手获取信息的数量。

　　兰德认为，定密是减少对手获取特定信息的一种手段，但不能一定了事，需要判断和验证其效果；除非定密能达到或有助于达到这一效果，否则就不该定密；如果信息没定密对手也无法获得，或者，即使定了密对手也能获得，定密行为就没有必要；对敌人或对手已掌握的信息定密，有害无益。

　　2.对手获取特定信息后会改变对美军的了解和认知；一旦这些信息被对手掌握，他们将更接近而不是远离事实真相。

　　针对这一点，兰德集中讨论了公开信息资源的问题，并认为，定密须排除已公开或泄露的信息，排除对手可能从其他渠道、包括合法渠道获取的信息。它举例说，《简氏防务周刊》所提供的美军结构信息，有时甚至超过GFM DI的水平。

　　3．这些足以改变对手认知的信息，***终影响到或上升为对手的决策。

　　获取具体信息是提升认知水平的前提，但是对决策来说，更重要的是认知水平而非具体信息。假设对手已对某一事实形成基本判断，那么额外获得的信息的价值将降低，因为它不具备“发现”的意义，***多是进一步验证其原有判断。

　　4．对手在上述条件下所作的决策，危害美国的******安全。

　　兰德举了一个反证：冷战年代，苏联对美国真实军力、规模和配置的认知，所形成的心理上的确定性，是促成******“相对稳定”的“冷和平”的因素之一。在这个例子中，苏联获取美国军事信息、包括涉密军事信息的后果，反倒维护了美国整体的******安全和利益。

　　兰德公司的基本结论是：只有同时满足上述四条，定密行为才属必要。坦白说，兰德的“定密四原则”并没有令人茅塞顿开之处，读后不禁让人有几分失望。分析起来大致有几个原因，一是美国人的实证思维，注重探究事理、过程分析且用语平实，不追求出语惊人的效果。******的罗伯特·汉森间谍案调查报告，在这方面表现得也非常突出。二是保密和定密在很大程度上是一个实践、操作、主观选择和决策问题，其基础理论并不复杂，全看你是不是照着去做，或者能不能做得到，单纯在概念和文字上玩不出太多花样。在现实中，保密之所以复杂，是因为在许多情况下它首先体现为政治、政策、机制等问题，而不是专业、理论问题。兰德公司在报告中承认，他们对文献资料进行了一番搜检的结果是，迄今为止，从专业角度集中探讨保密和定密基本规律及理论的著作，这么多年下来只有一本艾尔文·奎斯特未完成的《定密信息原理》。而兰德报告本身，在许多关键点上承继了该书的观点，延续了它的生命力，并将其延伸到冷战后网络时代的背景之下。第三，将上述四条提升到原则的高度，确实有些勉强，好在真正足以作为原则提出的观点，就隐藏在报告的论证过程之中，这在一定程度上弥补了缺憾。

　　成本—收益分析

　　通观兰德报告，其核心观点其实是：保密在任何情况下都是有成本的，除非必要，否则就不该定密；对决策者来说，成本和收益都是必须考虑的因素，定密之前必须作成本—收益分析。“传统定密”主要考虑保密的好处，致力于避免敌人或对手获知我方信息以造成损害，并由此构筑了泄密—损害的逻辑链条。换言之，传统的定密心理和行为逻辑是：如果不对某条信息定密，******安全将受到损害。兰德公司则认为，这种逻辑本身就值得怀疑，在此必须追问：如果不定密，******安全将如何遭受损害，将遭受何种损害？其潜台词是，仅仅因为某条信息有用或者可能在安全上比较敏感，并不能得出敌人会从中获益的结论；知道敌人对某条或某些信息感兴趣，还不足以证明敌人获知这些信息将损害美国的******安全。在兰德看来，保密的好处和坏处都很明显（用美国信息安全监督办公室的话来说就是，保密是一把双刃

　　剑），在作出定密决定之前，有几个步骤不可省略，“定密四原则”的价值和实践意义或在于此。

　　站在旁观者的角度看，“定密四原则”主要从敌人或对手的角度来考虑定密问题，仅涉及定密的必要条件；而定密的充分条件是，在必要条件具备时，还要进行成本—收益衡量。也就是说，即使必要条件具备，仍要考虑定密的得失利弊——除了定密本身的成本—收益之外，还要比较定密和不定密两种情形——只有在定密的成本（包括管理成本和机会成本）不大于不定密的成本时，定密才是正当的。如果定密不能带来明确的益处，即使定密的成本是零，也不应定密，而在现实中，定密的成本从来不可能是零。类似的论述，直接否定了保密的“天然合理性”。

　　兰德公司在此举出的例证是，它的过往研究表明，在社会生活中被广泛使用的、有关******关键基础设施的地理信息数据，其实很少被恐怖分子利用——理由很简单，即使没有这些数据，他们有太多的方式和途径策划一次成功的袭击、达到同样的目的。在这种情况下，定密的综合社会成本，大于其收益。这是“9·11”之后兰德公司在其出具的研究报告中反对对基础地理信息定密的主要理由——不是不打击、限制恐怖活动，而是在某些情况下，依靠保密来限制恐怖活动是不恰当的，至少是“不经济”的。

　　回到GFM DI该不该定密的问题，兰德认为，对那些有能力突破NIPRNET的大国对手来说，它们会因此增加对美军的了解和认知，但不会藉此来攻击美军，因为那将冒与美国展开总体战的危险，得不偿失——美国的******安全以实力为基础，而不是以保密为基础；保密是维护******安全的手段，但保密不等于******安全。而对不具备突破NIPRNET能力的对手来说，给GFM DI定密、把它转移到SIPRNET上运行没有意义。

　　这样的判断不一定正确或符合实际，但它有助于深化我们对问题的认识。至于GFM DI该不该定密的问题，它产生于“******存在”的美军在追求信息化的进程中遭遇的保密瓶颈，产生于扁平化管理、分散使用和保密要求之间的矛盾冲突。在网络时代，聚合起来的信息不只是向上流动提供给决策者掌握整体情况，还要满足各级单位包括基层应用的目的，这是网络中心的网状结构与传统体制的金字塔结构的显著区别。我们常说信息时代构成挑战，这也是其中之一。具体到专业问题上，兰德的这份报告涉及大型分布式聚合性信息系统和信息共享环境下如何保密的问题，多种来源的资料汇编、综合后的保密问题，以及上传、标注信息如何防止泄密的问题等等，也具备一定的参考价值。******报告一下兰德给美军的建议：整体上GFM DI不应该定密，但某些环节的安全隐患值得关切。