美國政府高級(jí)官員上周六表示，在美國情報(bào)機(jī)構(gòu)內(nèi)部的激烈辯論之下，美國總統(tǒng)奧巴馬已經(jīng)決定：當(dāng)美國國家安全局（National Security Agency，簡稱NSA）發(fā)現(xiàn)互聯(lián)網(wǎng)存在重大安全漏洞時(shí)，它在大多數(shù)情況下應(yīng)該披露這些漏洞，以確保漏洞被及時(shí)修復(fù)，而不應(yīng)該保持沉默，以便利用這些漏洞從事間諜活動(dòng)或網(wǎng)絡(luò)攻擊。

　　但美政府官員同時(shí)稱，奧巴馬也允許一種寬泛的例外情況，只要是出于“國家安全或執(zhí)法的明確需要。”在這樣的情況下，NSA可以利用網(wǎng)絡(luò)安全漏洞，以破解數(shù)據(jù)加密或者設(shè)計(jì)網(wǎng)絡(luò)武器。

　　奧巴馬的這項(xiàng)決定是在今年1月作出的，白宮還沒有公開有關(guān)細(xì)節(jié)。奧巴馬是在審查總統(tǒng)咨詢委員會(huì)關(guān)于如何應(yīng)對(duì)最近的NSA泄密事件的建議時(shí)作出這一決定的。

　　上周五，白宮否認(rèn)事先知道安全漏洞Heartbleed的存在。白宮發(fā)表聲明說，當(dāng)這樣的漏洞被發(fā)現(xiàn)時(shí)，政府現(xiàn)在有了一種“偏愛”，即向計(jì)算機(jī)和軟件制造商披露這些漏洞，以避免危害有關(guān)行業(yè)和消費(fèi)者。

　　美國國家安全委員會(huì)（ National Security Council）發(fā)言人凱特琳·海登（Caitlin Hayden）表示，奧巴馬對(duì)總統(tǒng)咨詢委員會(huì)的建議的審查工作現(xiàn)已完成，奧巴馬決定，當(dāng)安全漏洞被發(fā)現(xiàn)后，政府可以考慮是否披露它們，是否保守秘密以待NSA以后利用它們。

　　“政府的權(quán)衡過程偏向于負(fù)責(zé)任地披露這些漏洞。”她說。

　　到現(xiàn)在為止，白宮拒絕透露奧巴馬針對(duì)總統(tǒng)的咨詢委員會(huì)的建議采取了什么樣的行動(dòng)。不久前，該委員會(huì)在報(bào)告中堅(jiān)決建議政府停止批量收集公民通訊數(shù)據(jù)的做法。奧巴馬上個(gè)月宣布，他將結(jié)束NSA批量收集公民通訊數(shù)據(jù)的行為，并將數(shù)據(jù)保留在電信企業(yè)手中，政府只有在得到法院的授權(quán)時(shí)才能獲得它。

　　不過，雖然有關(guān)監(jiān)控的建議值得關(guān)注，但NSA內(nèi)部的其他建議，——有關(guān)網(wǎng)絡(luò)加密和網(wǎng)絡(luò)運(yùn)營，在美國掀起了一場激烈的辯論。

　　其中一項(xiàng)建議呼吁NSA不要再入侵商業(yè)加密系統(tǒng)或試圖建立軟件“后門”，以破解美國的敵人的通信數(shù)據(jù)。這種做法是誘人的，因?yàn)樗呛啽愕姆椒ǎ?middot;S·杜魯門（Harry S Truman ）62年前建立NSA就是出于這個(gè)原因?？偨y(tǒng)咨詢委員會(huì)的結(jié)論是，這種做法會(huì)削弱人們對(duì)美國軟件和硬件產(chǎn)品的信任。近幾個(gè)月來，硅谷的公司已經(jīng)敦促美國放棄這種做法，而德國和巴西等國家都表示他們正在考慮放棄美國制造的設(shè)備和軟件。

　　另一項(xiàng)建議呼吁政府只對(duì)所謂的“zero days”漏洞作最有限的臨時(shí)利用。“zero days”漏洞存在于如微軟Windows這樣的軟件中，可以讓攻擊者訪問安裝該軟件的計(jì)算機(jī)，以及與該計(jì)算機(jī)聯(lián)網(wǎng)的任何企業(yè)和政府機(jī)關(guān)的計(jì)算機(jī)。

　　NSA曾經(jīng)利用四個(gè)“zero day”漏洞攻擊了伊朗的核濃縮網(wǎng)點(diǎn)。這次攻擊代號(hào)為“Olympic Games”，破壞了大約伊朗1千部離心機(jī)，并推動(dòng)了兩國政治談判。

　　毫不奇怪，NSA和美國網(wǎng)絡(luò)司令部（United States Cyber Command）官員警告說，放棄對(duì)未公開漏洞的利用將意味著“單方面裁軍（這個(gè)術(shù)語來自關(guān)于美國是否應(yīng)該削減或者在多大程度上削減核武庫的爭論）”。

　　“我們不消除核武器，直到俄國人做到這一點(diǎn)。”一位高級(jí)情報(bào)官員最近說。 “你不會(huì)看到中國放棄對(duì)“zero days”漏洞的利用，即使我們這樣做。”另一位白宮高級(jí)官員上月表示，“我無法想象任何一位總統(tǒng)會(huì)完全放棄一項(xiàng)可以讓他采取秘密行動(dòng)以避免熱戰(zhàn)的技術(shù)。”

　　這種技術(shù)的核心是像Heartbleed這樣的互聯(lián)網(wǎng)漏洞。沒有任何證據(jù)表明NSA參與制造Heartbleed ，也沒有證據(jù)表明NSA使用了該漏洞。白宮上周五下午否認(rèn)了對(duì)Heartbleed事先知情。這似乎是NSA第一次作出類似聲明。

　　但是，愛德華·J.·斯諾登（Edward J. Snowden）披露的文件清楚地顯示，在Heartbleed被揭漏出來之前兩年，NSA就一直在尋找方法來完成某些情報(bào)收集任務(wù)，而這種任務(wù)是可能依靠類似于Heartbleed這樣的網(wǎng)絡(luò)漏洞來完成的。一個(gè)代號(hào)為“Bullrun”的計(jì)劃是NSA長達(dá)十年的工作的一部分，該計(jì)劃旨在破解或規(guī)避網(wǎng)絡(luò)加密。斯諾登披露的文件沒有明確顯示這項(xiàng)計(jì)劃取得了怎樣的成功，但它很可能已經(jīng)具備了比Heartbleed更有效的數(shù)據(jù)收集能力。

　　美國官員承認(rèn)，政府已成為“zero days”網(wǎng)絡(luò)漏洞的最大的開發(fā)者和購買者。這些漏洞是大生意，微軟出價(jià)15萬美元，希望有人發(fā)現(xiàn)這種漏洞并告知微軟公司以修復(fù)它。其他國家正在熱切地收集這種漏洞，以至于一種類似于現(xiàn)代軍備競賽的戰(zhàn)爭實(shí)際上已經(jīng)爆發(fā)了。在這樣的國家中，最主要的是中國和俄羅斯，伊朗和朝鮮也在其中。

　　“網(wǎng)絡(luò)將越來越成為一種進(jìn)攻性武器。”英特爾公司McAfee電腦安全主管Michael DeCesare說。“我不認(rèn)為僅僅依靠某些政策就可以阻止他們。這就是為什么對(duì)我們來說有效的指揮和控制策略是絕對(duì)必要的。”

　　美國總統(tǒng)咨詢委員會(huì)并沒有要求NSA完全停止這樣的做法。但它說，總統(tǒng)應(yīng)該確保NSA不會(huì)“利用漏洞”進(jìn)入商業(yè)加密系統(tǒng)。它說，如果美國發(fā)現(xiàn)一個(gè)“zero day”漏洞，就應(yīng)該修補(bǔ)它，而不是利用它，但有一個(gè)例外：高級(jí)官員可以“為了優(yōu)先級(jí)的情報(bào)保障，臨時(shí)授權(quán)NSA使用這種漏洞。”