美國政府高級官員上周六表示，在美國情報機構(gòu)內(nèi)部的激烈辯論之下，美國總統(tǒng)奧巴馬已經(jīng)決定：當美國國家安全局（National Security Agency，簡稱NSA）發(fā)現(xiàn)互聯(lián)網(wǎng)存在重大安全漏洞時，它在大多數(shù)情況下應(yīng)該披露這些漏洞，以確保漏洞被及時修復(fù)，而不應(yīng)該保持沉默，以便利用這些漏洞從事間諜活動或網(wǎng)絡(luò)攻擊。

　　但美政府官員同時稱，奧巴馬也允許一種寬泛的例外情況，只要是出于“國家安全或執(zhí)法的明確需要。”在這樣的情況下，NSA可以利用網(wǎng)絡(luò)安全漏洞，以破解數(shù)據(jù)加密或者設(shè)計網(wǎng)絡(luò)武器。

　　奧巴馬的這項決定是在今年1月作出的，白宮還沒有公開有關(guān)細節(jié)。奧巴馬是在審查總統(tǒng)咨詢委員會關(guān)于如何應(yīng)對最近的NSA泄密事件的建議時作出這一決定的。

　　上周五，白宮否認事先知道安全漏洞Heartbleed的存在。白宮發(fā)表聲明說，當這樣的漏洞被發(fā)現(xiàn)時，政府現(xiàn)在有了一種“偏愛”，即向計算機和軟件制造商披露這些漏洞，以避免危害有關(guān)行業(yè)和消費者。

　　美國國家安全委員會（ National Security Council）發(fā)言人凱特琳·海登（Caitlin Hayden）表示，奧巴馬對總統(tǒng)咨詢委員會的建議的審查工作現(xiàn)已完成，奧巴馬決定，當安全漏洞被發(fā)現(xiàn)后，政府可以考慮是否披露它們，是否保守秘密以待NSA以后利用它們。

　　“政府的權(quán)衡過程偏向于負責任地披露這些漏洞。”她說。

　　到現(xiàn)在為止，白宮拒絕透露奧巴馬針對總統(tǒng)的咨詢委員會的建議采取了什么樣的行動。不久前，該委員會在報告中堅決建議政府停止批量收集公民通訊數(shù)據(jù)的做法。奧巴馬上個月宣布，他將結(jié)束NSA批量收集公民通訊數(shù)據(jù)的行為，并將數(shù)據(jù)保留在電信企業(yè)手中，政府只有在得到法院的授權(quán)時才能獲得它。

　　不過，雖然有關(guān)監(jiān)控的建議值得關(guān)注，但NSA內(nèi)部的其他建議，——有關(guān)網(wǎng)絡(luò)加密和網(wǎng)絡(luò)運營，在美國掀起了一場激烈的辯論。

　　其中一項建議呼吁NSA不要再入侵商業(yè)加密系統(tǒng)或試圖建立軟件“后門”，以破解美國的敵人的通信數(shù)據(jù)。這種做法是誘人的，因為它是簡便的方法，哈里·S·杜魯門（Harry S Truman ）62年前建立NSA就是出于這個原因?？偨y(tǒng)咨詢委員會的結(jié)論是，這種做法會削弱人們對美國軟件和硬件產(chǎn)品的信任。近幾個月來，硅谷的公司已經(jīng)敦促美國放棄這種做法，而德國和巴西等國家都表示他們正在考慮放棄美國制造的設(shè)備和軟件。

　　另一項建議呼吁政府只對所謂的“zero days”漏洞作最有限的臨時利用。“zero days”漏洞存在于如微軟Windows這樣的軟件中，可以讓攻擊者訪問安裝該軟件的計算機，以及與該計算機聯(lián)網(wǎng)的任何企業(yè)和政府機關(guān)的計算機。

　　NSA曾經(jīng)利用四個“zero day”漏洞攻擊了伊朗的核濃縮網(wǎng)點。這次攻擊代號為“Olympic Games”，破壞了大約伊朗1千部離心機，并推動了兩國政治談判。

　　毫不奇怪，NSA和美國網(wǎng)絡(luò)司令部（United States Cyber Command）官員警告說，放棄對未公開漏洞的利用將意味著“單方面裁軍（這個術(shù)語來自關(guān)于美國是否應(yīng)該削減或者在多大程度上削減核武庫的爭論）”。

　　“我們不消除核武器，直到俄國人做到這一點。”一位高級情報官員最近說。 “你不會看到中國放棄對“zero days”漏洞的利用，即使我們這樣做。”另一位白宮高級官員上月表示，“我無法想象任何一位總統(tǒng)會完全放棄一項可以讓他采取秘密行動以避免熱戰(zhàn)的技術(shù)。”

　　這種技術(shù)的核心是像Heartbleed這樣的互聯(lián)網(wǎng)漏洞。沒有任何證據(jù)表明NSA參與制造Heartbleed ，也沒有證據(jù)表明NSA使用了該漏洞。白宮上周五下午否認了對Heartbleed事先知情。這似乎是NSA第一次作出類似聲明。

　　但是，愛德華·J.·斯諾登（Edward J. Snowden）披露的文件清楚地顯示，在Heartbleed被揭漏出來之前兩年，NSA就一直在尋找方法來完成某些情報收集任務(wù)，而這種任務(wù)是可能依靠類似于Heartbleed這樣的網(wǎng)絡(luò)漏洞來完成的。一個代號為“Bullrun”的計劃是NSA長達十年的工作的一部分，該計劃旨在破解或規(guī)避網(wǎng)絡(luò)加密。斯諾登披露的文件沒有明確顯示這項計劃取得了怎樣的成功，但它很可能已經(jīng)具備了比Heartbleed更有效的數(shù)據(jù)收集能力。

　　美國官員承認，政府已成為“zero days”網(wǎng)絡(luò)漏洞的最大的開發(fā)者和購買者。這些漏洞是大生意，微軟出價15萬美元，希望有人發(fā)現(xiàn)這種漏洞并告知微軟公司以修復(fù)它。其他國家正在熱切地收集這種漏洞，以至于一種類似于現(xiàn)代軍備競賽的戰(zhàn)爭實際上已經(jīng)爆發(fā)了。在這樣的國家中，最主要的是中國和俄羅斯，伊朗和朝鮮也在其中。

　　“網(wǎng)絡(luò)將越來越成為一種進攻性武器。”英特爾公司McAfee電腦安全主管Michael DeCesare說。“我不認為僅僅依靠某些政策就可以阻止他們。這就是為什么對我們來說有效的指揮和控制策略是絕對必要的。”

　　美國總統(tǒng)咨詢委員會并沒有要求NSA完全停止這樣的做法。但它說，總統(tǒng)應(yīng)該確保NSA不會“利用漏洞”進入商業(yè)加密系統(tǒng)。它說，如果美國發(fā)現(xiàn)一個“zero day”漏洞，就應(yīng)該修補它，而不是利用它，但有一個例外：高級官員可以“為了優(yōu)先級的情報保障，臨時授權(quán)NSA使用這種漏洞。”