白宫评Heartbleed：“透明度是件复杂的事情”

白宫周二假总统特别助理和网络安全协调官Michael Daniel之笔以博客文章发表声明。博文谈到Heartbleed漏洞以及政府决定何时及以什么方法披露技术漏洞的考量。

Daniel提到几个要点。关于是否知道Heartbleed的存在：

……我们在这以前不知道存在Heartbleed……

有关漏洞的披露：

政府机关认真履行对开放、可互操作的、安全的、可靠的互联网的承诺。在大多数情况下，公开新发现的漏洞显然符合国民的利益，是一种负责任的做法。我们会继续这样做。

有关分享使用互联网：

我们的大部分日常生活都依赖互联网和连接系统。没有这些，我们的经济就无法正常运作。假若我们不依靠互联网和连接系统，我们对国外的影响力量也会被削弱。基于这些原因，公开漏洞通常是一种理性的做法。与其他人比，我们对这些系统安全的需要是有过之而无不及。

有关披露漏洞的得失：

披露漏洞有可能意味着我们要放弃搜集重要情报的机会，而这些情报是可以用来挫败恐怖袭击、阻止有人盗窃我们国家的知识产权，甚至可以用来对付黑客或其他对手，看他们是不是在利用更危险的网络漏洞。

如果一味地利用未公开漏洞而同时又使得互联网遭到攻击使得美国人民不能得到保护，这样做是不符合我们国家安全利益的。但是也并不是说，我们就会完全放弃利用这种工具进行情报搜集，从长远来看，情报搜集是为了更好地保护我们的国家。权衡得失不是件容易的事，因此我们建立了一系列的规则用于在这方面指导各机构的决策过程。

在谈到各机构之间就披露漏洞的决策进程时，Daniel指“并无硬性规定”，但他也提到一些机构在考虑不披露有关信息时一系列的考量过程。

有关网络安全和透明度的整体挑战：

一方面要考虑网络安全及情报搜集，另一方面又要向公众提供足够的信息，这之间的透明度是颇为复杂的。透明度太少，民众会失去对政府机构的信心，披露过多则会导致无法搜集情报，继而无以保护国家利益。我们披露漏洞时有一个深思熟虑的过程，需要权衡这些因素，采取负责任的做法。我们希望通过以上各点的表述，大家都能对其中的利害关系有个了解。

笔者以为

正如大家可以想像得到，对白宫这个贴，有些人会觉得还可以接受，另外一些人会觉得窝心，还有人会觉得愤怒。在现实世界里，要确保国民和国家的安全是一场硬仗。有时候，政府情报机构过早出手对国民来说反而不安全。做这样的决定是很难的。这也就是为什么要选出我们信得过领导人，能够采取负责任的态度做出决策，并为自己的行动负责。这一点是十分重要的。

笔者可以和大家分享一个好消息，那就是虽然我们选出来的大多数政客不是那么让人振奋，但那些长期在政府机关工作的人——比如我在各个情报机构和国防机构里碰到的人——却是十分能干，令人印象深刻。他们的任务艰巨，却又必须且行且兢兢。