美國政府高級官員上周六表示，在美國情報機構內部的激烈辯論之下，美國總統(tǒng)奧巴馬已經(jīng)決定：當美國國家安全局（National Security Agency，簡稱NSA）發(fā)現(xiàn)互聯(lián)網(wǎng)存在重大安全漏洞時，它在大多數(shù)情況下應該披露這些漏洞，以確保漏洞被及時修復，而不應該保持沉默，以便利用這些漏洞從事間諜活動或網(wǎng)絡攻擊。

　　但美政府官員同時稱，奧巴馬也允許一種寬泛的例外情況，只要是出于“國家安全或執(zhí)法的明確需要。”在這樣的情況下，NSA可以利用網(wǎng)絡安全漏洞，以破解數(shù)據(jù)加密或者設計網(wǎng)絡武器。

　　奧巴馬的這項決定是在今年1月作出的，白宮還沒有公開有關細節(jié)。奧巴馬是在審查總統(tǒng)咨詢委員會關于如何應對最近的NSA泄密事件的建議時作出這一決定的。

　　上周五，白宮否認事先知道安全漏洞Heartbleed的存在。白宮發(fā)表聲明說，當這樣的漏洞被發(fā)現(xiàn)時，政府現(xiàn)在有了一種“偏愛”，即向計算機和軟件制造商披露這些漏洞，以避免危害有關行業(yè)和消費者。

　　美國國家安全委員會（ National Security Council）發(fā)言人凱特琳·海登（Caitlin Hayden）表示，奧巴馬對總統(tǒng)咨詢委員會的建議的審查工作現(xiàn)已完成，奧巴馬決定，當安全漏洞被發(fā)現(xiàn)后，政府可以考慮是否披露它們，是否保守秘密以待NSA以后利用它們。

　　“政府的權衡過程偏向于負責任地披露這些漏洞。”她說。

　　到現(xiàn)在為止，白宮拒絕透露奧巴馬針對總統(tǒng)的咨詢委員會的建議采取了什么樣的行動。不久前，該委員會在報告中堅決建議政府停止批量收集公民通訊數(shù)據(jù)的做法。奧巴馬上個月宣布，他將結束NSA批量收集公民通訊數(shù)據(jù)的行為，并將數(shù)據(jù)保留在電信企業(yè)手中，政府只有在得到法院的授權時才能獲得它。

　　不過，雖然有關監(jiān)控的建議值得關注，但NSA內部的其他建議，——有關網(wǎng)絡加密和網(wǎng)絡運營，在美國掀起了一場激烈的辯論。

　　其中一項建議呼吁NSA不要再入侵商業(yè)加密系統(tǒng)或試圖建立軟件“后門”，以破解美國的敵人的通信數(shù)據(jù)。這種做法是誘人的，因為它是簡便的方法，哈里·S·杜魯門（Harry S Truman ）62年前建立NSA就是出于這個原因?？偨y(tǒng)咨詢委員會的結論是，這種做法會削弱人們對美國軟件和硬件產(chǎn)品的信任。近幾個月來，硅谷的公司已經(jīng)敦促美國放棄這種做法，而德國和巴西等國家都表示他們正在考慮放棄美國制造的設備和軟件。

　　另一項建議呼吁政府只對所謂的“zero days”漏洞作最有限的臨時利用。“zero days”漏洞存在于如微軟Windows這樣的軟件中，可以讓攻擊者訪問安裝該軟件的計算機，以及與該計算機聯(lián)網(wǎng)的任何企業(yè)和政府機關的計算機。

　　NSA曾經(jīng)利用四個“zero day”漏洞攻擊了伊朗的核濃縮網(wǎng)點。這次攻擊代號為“Olympic Games”，破壞了大約伊朗1千部離心機，并推動了兩國政治談判。

　　毫不奇怪，NSA和美國網(wǎng)絡司令部（United States Cyber Command）官員警告說，放棄對未公開漏洞的利用將意味著“單方面裁軍（這個術語來自關于美國是否應該削減或者在多大程度上削減核武庫的爭論）”。

　　“我們不消除核武器，直到俄國人做到這一點。”一位高級情報官員最近說。 “你不會看到中國放棄對“zero days”漏洞的利用，即使我們這樣做。”另一位白宮高級官員上月表示，“我無法想象任何一位總統(tǒng)會完全放棄一項可以讓他采取秘密行動以避免熱戰(zhàn)的技術。”

　　這種技術的核心是像Heartbleed這樣的互聯(lián)網(wǎng)漏洞。沒有任何證據(jù)表明NSA參與制造Heartbleed ，也沒有證據(jù)表明NSA使用了該漏洞。白宮上周五下午否認了對Heartbleed事先知情。這似乎是NSA第一次作出類似聲明。

　　但是，愛德華·J.·斯諾登（Edward J. Snowden）披露的文件清楚地顯示，在Heartbleed被揭漏出來之前兩年，NSA就一直在尋找方法來完成某些情報收集任務，而這種任務是可能依靠類似于Heartbleed這樣的網(wǎng)絡漏洞來完成的。一個代號為“Bullrun”的計劃是NSA長達十年的工作的一部分，該計劃旨在破解或規(guī)避網(wǎng)絡加密。斯諾登披露的文件沒有明確顯示這項計劃取得了怎樣的成功，但它很可能已經(jīng)具備了比Heartbleed更有效的數(shù)據(jù)收集能力。

　　美國官員承認，政府已成為“zero days”網(wǎng)絡漏洞的最大的開發(fā)者和購買者。這些漏洞是大生意，微軟出價15萬美元，希望有人發(fā)現(xiàn)這種漏洞并告知微軟公司以修復它。其他國家正在熱切地收集這種漏洞，以至于一種類似于現(xiàn)代軍備競賽的戰(zhàn)爭實際上已經(jīng)爆發(fā)了。在這樣的國家中，最主要的是中國和俄羅斯，伊朗和朝鮮也在其中。

　　“網(wǎng)絡將越來越成為一種進攻性武器。”英特爾公司McAfee電腦安全主管Michael DeCesare說。“我不認為僅僅依靠某些政策就可以阻止他們。這就是為什么對我們來說有效的指揮和控制策略是絕對必要的。”

　　美國總統(tǒng)咨詢委員會并沒有要求NSA完全停止這樣的做法。但它說，總統(tǒng)應該確保NSA不會“利用漏洞”進入商業(yè)加密系統(tǒng)。它說，如果美國發(fā)現(xiàn)一個“zero day”漏洞，就應該修補它，而不是利用它，但有一個例外：高級官員可以“為了優(yōu)先級的情報保障，臨時授權NSA使用這種漏洞。”