做網路安全怎麼避免犯法？

01-03

說實在的，現如今的網路管控力度，基本上下定決心抓個人是一定能抓到的。真想學技術又怕不小心毀了一生的話，vmware可以幫你。

不建議你在擁有豬豬俠的技術之前參考他的答案。

只有對原理瞭然於心，才能做到真正的自由，
只有突破更多的限制，才可能獲得真正意義上的技術進步。

國內關於計算機和網路的法律從一開始就設限，讓你在事物的本質和原理之前止步，
想避免犯法，就走中庸道路，啥都別做咯，反正不認真也會有工資，更不會餓死。

要麼就掛乾淨的虛擬機，整點世界的VPN，S5 Proxy Proxychains4，開啟上帝模式；
人擋殺人，佛擋殺佛，誰再跟你瞎逼逼法律，直接把伺服器搞爆炸，然後讓他和上帝傾訴去吧。

PS：當然，我是來搞笑的，只是笑話，請不要模範！！！

誰都能做飯，但只有那些無所畏懼的人才能成為大廚！--料理鼠王

還是有辦法的：

做國外的網路安全

其實不要太過擔心，做網路安全與犯法並沒有什麼必然關係，就像日常很多其它的行為一樣。如果你問「開車怎麼避免犯法？」相信大家心中都有數，為什麼呢？因為大家都懂法，並且對交通法規很熟悉呀！所以大家都可以在法律範圍內自由開車（這裡的開車不包含任何字面外的其它意思...）。

所以，從源頭來講：知法才能不犯法。
技術類的樓上的很多大神都說得很好了，網路裡面怎麼自由馳騁，大家就多跟大佬們學學吧，或者去i春秋從小白課程看起，都是一步一步來的。小i現在給大家普及一下法律方面的知識。了解的多了就知道什麼該做、什麼不該做了。

如何才會構成犯罪？

犯罪包含3個基本特徵：社會危害性、刑事違法性、應受刑罰懲罰性。

刑法大家都知道吧，不管是做網路安全還是做其它事。殺人放火行兇盜竊都是會承擔刑事法律責任被逮的，這種界限大家都知道，所以常識法規就不多說了，來了解一下計算機相關犯罪刑法吧

計算機相關犯罪刑法

我國刑法認定的計算機犯罪共有285條、286條、287條三個相關約束。

第285條：非法侵入計算機信息系統罪
違反國家規定，侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統的，處三年以下有期徒刑或者拘役。
第286條：破壞計算機信息系統罪
違反國家規定，對計算機信息系統功能進行刪除、修改、增加、干擾，造成計算機信息系統不能正常運行，後果嚴重的，處五年以下有期徒刑或者拘役；後果特別嚴重的，處五年以上有期徒刑。
第287條
利用計算機實施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密或者其他犯罪的，依照本法有關規定定罪處罰。

總而言之，對任何計算機信息系統進行非法入侵、未授權訪問，即可視為犯罪。

同時，15年對第286條進行了修訂，對網路服務提供者做了特別的法律約束：

一方面約束其安全管理，防止用戶信息泄露；
二方面約束其信息管理，防止違法信息大量傳播。

再來看看最近最有影響力的法律： 2016年11月7日，十二屆全國人大常委會第二十四次會議表決通過了《中華人民共和國網路安全法》，並將於2017年6月1日正式施行。

所以在今年六一兒童節之後，做網路安全怎麼避免犯法，將會有稍微清晰的界限。

網路安全法現在有七章79條，內容十分豐富，歸納總結大概有六方面的突出亮點。第一，網路安全法明確了網路空間主權的原則。第二，明確了網路產品和服務提供者的安全義務。第三，明確了網路運營者的安全義務。第四，進一步完善了個人信息保護規則。第五，建立了關鍵信息基礎設施安全保護制度。第六，確立了關鍵信息基礎設施重要數據跨境傳輸的規則。

各行各業的企業和個人都可以參考新頒的網路安全法提前明晰一下自己的職責義務和許可權。

http://www.ichunqiu.com/course/57703

具體解說可以看這個視頻，是北京大學法學學士根據《網路安全法》中網路安全保護條款及現實中相關的實際案例的講解，最後著重講解了白帽子行為在《網路安全法》中的規範及法律責任的承擔，明確了白帽子如何在互聯網中安全行走。

最後來了解一下網路犯罪發生後，司法機構是如何進行證據採集的？

——電子取證

隨著計算機犯罪個案數字不斷上升和犯罪手段的數字化，搜集電子證據的工作成為提供重要線索及破案的關鍵。恢復已被破壞的計算機數據及提供相關的電子資料證據就是電子取證。

從廣義觀來審視目前司法實踐中應用的電子證據，幾個信息技術的使用情況，主要包括以下形式：

線下通信技術應用：電報電文、通話錄音、傳真等；
電子計算機技術應用：計算機文件、資料庫、日誌等；
網路應用技術：電子郵件、公告牌記錄、聊天記錄、黑匣子記錄等；
電視電影技術等應用：影視膠片、VCD、DVD等。

電子證據，並非只等同與計算機、數字化、音箱證據喲！

知識雖然基礎，但相信了解這些內容之後，大家離灰色地帶又遠了一步。

==========

文章整理：i春秋學院，小i

歡迎關注i春秋公眾號（微信搜索：icqedu）了解更多技術乾貨，本內容未經許可禁止轉載。

作為一個幹了十五年網路安全的從業者，從未乾過違法的事，應該有很好的資格回答你這個問題

1）知法

要避免犯法，先來了解什麼是違法的行為，這是簡單的道理，只是大部分都懶得去看，或者覺得沒必要去看。最後貼出的是刑法中關於計算機犯罪的相關條款，自己好好對照看看，哪些行為算觸犯了，觸犯了都不叫違法，叫犯罪。當然還有很多其他的法律和法規條文，不一定都得背下來，啟明有所了解。

2）抵抗誘惑

抵抗誘惑是避免犯法的關鍵，很多時候干信息安全會觸犯法律，根本原因就是抵抗不了各種誘惑。這些誘惑包括很多，有為了實踐、獲得成就感、有為了出名、有為了利益。

由於我國無良和無知的很多媒體對所謂黑客和攻擊者過度渲染，經常給一些攻擊者帶上天才、高材生等光環（以前每次看到一個猜密碼入侵系統、或者用個簡單SQL注入漏洞入侵了系統，媒體給扣上天才這樣字眼的報道，我就想罵記者，又打算坑多少人進來），能入侵系統總被視為酷或者很牛的，於是大量小朋友們為了炫耀或者成就感而投身「黑客」這一行業。大量的script kiddie誕生了。用各種工具，對網上各種系統嘗試，找到一個有漏洞的，搞定，然後掛個名號，出去吹牛。所以，先抵制住這樣的誘惑，如果真想邁進這個網路安全行業，別去搞外面的網站，都是違法的。你想研究技術，不知道有VirtualBox和Metasploit、WebGoat這些東西嗎？我開始進入安全行業，研究緩衝區溢出，自己調代碼都是自己找台機器裝好目標系統，然後測試的，現在不敢說技術很好，起碼還說得過去。因為入侵就如同一個人用槍打死人，並不是因為你牛逼，而是因為你有這把槍。真正的安全專家應該是知道如何造出把好槍，如何在合適時候用好這把槍，如果幫助普通老百姓躲避和防護不被持槍者攻擊。

第二個是利益的誘惑了，由於互聯網的大繁榮和不設防，黑產和灰產泛濫，略微懂點技術的想從中獲利真是太容易了。十年前就有朋友跟我說，做個木馬掛出去，一個月收入輕鬆頂上我一年辛苦應急響應和安全服務的收入了。何必搞自己這麼累？所以很多人很容易迷失在裡面，畢竟現在是一個利益的社會。不過要想清楚了，凡事有利必有弊，干黑產的，也做好進去的準備。我認識的人就有進去的。所以想不犯法，先看看自己能否抵制住誘惑。

好在這幾年信息安全大熱，干安全的收入都上去了，原來1W多兩萬月薪的大牛，現在都百萬年薪或者創業當CEO了，所以建議還是真正掌握點技術，心安理得的拿自己該拿的錢。

附：刑法2016版中關於計算計犯罪的條款

-------------------------------------------------------------------------------------------------------------------------------------

第二百八十五條　【非法侵入計算機信息系統罪；非法獲取計算機信息系統數據、非法控制計算機信息系統罪；提供侵入、非法控制計算機信息系統程序、工具罪】違反國家規定，侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統的，處三年以下有期徒刑或者拘役。

違反國家規定，侵入前款規定以外的計算機信息系統或者採用其他技術手段，獲取該計算機信息系統中存儲、處理或者傳輸的數據，或者對該計算機信息系統實施非
法控制，情節嚴重的，處三年以下有期徒刑或者拘役，並處或者單處罰金；情節特別嚴重的，處三年以上七年以下有期徒刑，並處罰金。

提供專門用於侵入、非法控制計算機信息系統的程序、工具，或者明知他人實施侵入、非法控制計算機信息系統的違法犯罪行為而為其提供程序、工具，情節嚴重的，依照前款的規定處罰。

單位犯前三款罪的，對單位判處罰金，並對其直接負責的主管人員和其他直接責任人員，依照各該款的規定處罰。

第二百八十六條　【破壞計算機信息系統罪；網路服務瀆職罪】違反國家規定，對計算機信息系統功能進行刪除、修改、增加、干擾，造成計算機信息系統不能正常運行，後果嚴重的，處五年以下有期徒刑或者拘役；後果特別嚴重的，處五年以上有期徒刑。

違反國家規定，對計算機信息系統中存儲、處理或者傳輸的數據和應用程序進行刪除、修改、增加的操作，後果嚴重的，依照前款的規定處罰。

故意製作、傳播計算機病毒等破壞性程序，影響計算機系統正常運行，後果嚴重的，依照第一款的規定處罰。

單位犯前三款罪的，對單位判處罰金，並對其直接負責的主管人員和其他直接責任人員，依照第一款的規定處罰。

第二百八十六條之一　【拒不履行信息網路安全管理義務罪】網路服務提供者不履行法律、行政法規規定的信息網路安全管理義務，經監管部門責令採取改正措施而拒不改正，有下列情形之一的，處三年以下有期徒刑、拘役或者管制，並處或者單處罰金：

(一)致使違法信息大量傳播的；

(二)致使用戶信息泄露，造成嚴重後果的；

(三)致使刑事案件證據滅失，情節嚴重的；

(四)有其他嚴重情節的。

單位犯前款罪的，對單位判處罰金，並對其直接負責的主管人員和其他直接責任人員，依照前款的規定處罰。

有前兩款行為，同時構成其他犯罪的，依照處罰較重的規定定罪處罰。

第二百八十七條　【利用計算機實施犯罪的提示性規定】利用計算機實施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密或者其他犯罪的，依照本法有關規定定罪處罰。

第二百八十七條之一　【非法利用信息網路罪】利用信息網路實施下列行為之一，情節嚴重的，處三年以下有期徒刑或者拘役，並處或者單處罰金：

(一)設立用於實施詐騙、傳授犯罪方法、製作或者銷售違禁物品、管制物品等違法犯罪活動的網站、通訊群組的；

(二)發布有關製作或者銷售毒品、槍支、淫穢物品等違禁物品、管制物品或者其他違法犯罪信息的；

(三)為實施詐騙等違法犯罪活動發布信息的。

單位犯前款罪的，對單位判處罰金，並對其直接負責的主管人員和其他直接責任人員，依照第一款的規定處罰。

有前兩款行為，同時構成其他犯罪的，依照處罰較重的規定定罪處罰。

第二百八十七條之二　【幫助信息網路犯罪活動罪】明知他人利用信息網路實施犯罪，為其犯罪提供互聯網接入、伺服器託管、網路存儲、通訊傳輸等技術支持，或者提供廣告推廣、支付結算等幫助，情節嚴重的，處三年以下有期徒刑或者拘役，並處或者單處罰金。

單位犯前款罪的，對單位判處罰金，並對其直接負責的主管人員和其他直接責任人員，依照第一款的規定處罰。

有前兩款行為，同時構成其他犯罪的，依照處罰較重的規定定罪處罰。

--------------------------------------------------------------------------------------------------------------------------------------------

避免犯法還是避免被抓？

避免犯法就不要搞破環，不要亂闖入別人的禁地咯！

避免被抓的話，蹭網/公共Wi-Fi/匿名流量卡移動作戰+三層以上全球不同協議組合跳板+本地文件加密+本地vmware虛擬化+滲透專用筆記本切勿存放或登陸個人信息，最好加上USB外置網卡+USB3.0外置操作系統和存儲

我只想說，你覺得中國的網警很沒有技術，這只是你覺得，有很多事只是不想管罷了，只要想查，是沒有查不到的，所以嘛，把握好底線，一切好說，且行且珍惜。

這個問題可以分為兩個層面。一是從個人角度，所有從事網路安全的人都是必須關注的。如果非要裝硬氣，那是對自己的不負責任，當然人在國外的除外。只要還生活在國內，觸犯法律的事情還是不要做為好。我給很多同學說的是：本來是經濟問題，不要搞成刑事問題。二是從企業角度。因為本人做的是在線網路安全教育，更是非常關注國家的相關法律。比如刑法285、286條，以及刑法修正案七、兩院關亍辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋，以及最近在制定的網路安全法草案等。企業更是要遵守其要求，否則更是難以承受的。創業不成，那啥就壞了。最後總結一下我的態度：專註技術，不要做破壞他人和互聯網安全的行為是根本，不要任意的掃描互聯網，也不要學點東西就找肉雞、擼站，這事不追究沒事，一旦追究就逃不了。知法懂法守法，六個字雖然老套，但仍然是金玉良言。

——————————————————————————————————————————

華麗麗的分界線

按照我上面的說法，很多人會覺得沒法活了。一個沒有擼過站的還怎麼搞網安？這個問題是挺糾結的。網安強調動手，但是法律又不讓我們動手。怎麼辦？一是自己折騰環境，畢竟折騰自己是無公害的。第二就是可以來我們這種在線的網安實驗室。這裡面的環境就是來被你折騰的，也不會有什麼法律問題。

看了很多答主的答案

我就想說一件事

你以為想抓你都是和你懟技術么

還有很多非技術級別的東西

不要嘗試和國家機器對抗(滑稽

其實技術幫不了你太多，如果真心想搞你的話(霧

所以知法

懂法

守法

是唯一的出路

不敢有利益相關

可以參考編程隨想博客的相關博文。

有心人自己自然會google到，我就不給鏈接了。

只要編程隨想一天還沒被抓到，在網路上就還存在通過技術可以躲避追查的可能。他這種級別，黨國沒投入最大的資源去抓，我是不信的。

雖然他的部分觀點我不敢苟同（比如此君支持台獨支持分裂）。

但是編程隨想的存在確實讓我等知道，技術能讓一個弱雞擁有古代一個將軍的能量。

甚至說受到此君的影響，我才決定以後的職業發展是安全方面。

不要太高調，不要靠黑產牟利，不要惹別人。

最重要，做完事情擦好屁股不留痕，保護自己不被抓，不愧於心，那麼就不會犯法。

向評論區各位致歉，記錯人了。

記得小時候問過我爸，犯法了怎麼辦，會有人來抓嗎？我爸跟我說的一句話，瞬間顛覆了我的世界觀，他說，不被抓住就不犯法啊！現在想想我覺得挺有道理的，現在的國情，有人犯法不去抓，不敢抓，不好抓，而有的人不犯法(後面劃掉)…

搞網路安全不被抓也簡單，第一點，不要去做那些有害於別人利益的事情，比如，沒有比如，你坑了誰，誰就會去找你，莫伸手，現在的技術要想追蹤到你簡直不要太方便，不光是中國，外國也在追蹤，網路安全監測是國家級的事情，你以為vpn就能讓你換個身份？別傻了，另一頭一樣有人在看著你，雖然是換一個人(這條不負責真實性)；記住，不要讓警察(或者其他有資金支持，有人力支持的利益組織)有動力(或者是原因，或者是理由)去追蹤你。

第二，不要太張揚，樹大招風，就算你什麼都沒做，也會被眼紅的人找到把柄，安個罪名。你知道田亞葵嗎？瑞星微點案，他做了什麼犯法的事嗎？只是他擋住了別人的財路而已。不要重蹈覆轍。

第三，不要抱任何僥倖心理，"我這麼做一下，嘗試嘗試沒事的"這種心理要不得，在嘗試之前，最好閱讀一下相關的法條，就算是被抓了，將來在法庭上還可能為自己辯解，帶來一些生機。如果題主有時間，建議通讀一遍刑法內所有關於網路、計算機的條文。

以上內容純屬胡扯，如有不同意，你咬我啊

目前作為一個希望在網路安全上一直走下去的小白，我有幾個對自己的要求底線，僅供大家參考。

一、絕對不碰以下類型網站(授權測試除外)

1 、政府網站

2、公益網站

3、涉及金錢的網站

二、進去以後絕對不故意瀏覽，不修改任何內容。我是為了學習技術，不是為了搞破壞。

三、即使再缺錢也絕不碰黑產。

四、低調一點，不張揚。

五、遇到問題一定把原理搞懂，不當所謂的腳本小子。

六、不用自己的技術報復任何人。

七、不要因為利益違背初心。

我覺得只要有一顆堅定正氣的心，低調，不亂搞，就不會被請喝茶吧。反正不忘初心就好。

先來反問一句，做網路安全為什麼會犯法？

我所以理解的做網路安全是做做網路防護，做防禦機制

通過網路入侵、破壞和盜取才是犯法

就像小偷不會問出「做公共安全怎麼才能不犯法一樣」

你不碰禁區，就不會犯法！Hacker不叫做網路安全。

先學法律嗎？不，只要跟黨走

在自己的搭的虛擬環境上操作，建議入手固態硬碟......

1）. 確定一個目標網路（小型辦公網路，帶web server etc.）；

2）. 用虛擬機實現這個網路環境（涉及組網和各種服務安裝）；

3）. 嘗試用penetration tools（e.g. nmap）檢測存在的漏洞；

4）. 理解分析這些工具產生的報告是不是真的漏洞並論證；

5）. 嘗試各種想得到的攻擊方法；

6）. 站在defense的角度嘗試給出solution；

7）. 驗證，平衡性能和安全取捨；

8）.重複

2016年8月23日，大學生徐玉玉被騙後無法承受，心臟驟停死亡。2016年5月9日，甘肅教師範銀貴被騙，自殺身亡。2016年8月19日，揭陽准大學生蔡淑妍被騙學費後自殺身亡。個人信息怎樣才能在互聯網中得到保護，這個月新出台的《網路安全法》終於給出了一個答案。　　

2016年11月7日，互聯網行業引來了一個安全法規——《網路安全法》，這部法律的出台對互聯網引起了重大影響。隨著互聯網的發展和壯大，各種各樣的信息每天都在網上發布，擴大了網民的視野，但是這些信息的來源，特別是個人信息的來源是否合法呢？近幾年涉及互聯網的案件越來越多，涉黃案件，網路詐騙案件，網路暴力案件屢屢發生，這也讓我們不禁關注另外一個問題，互聯網背後是不是可以毫無限制的發展？言論自由是不是已經讓網路成為了法外之地？由於個人信息泄露導致的惡性詐騙案件更是一件接著一件，這背後凸顯的是監管不力以及法律缺失。而這次法規的出台，可以說就是為了加強政府對互聯網層面的監管和規範互聯網的網路規則。　　

新出的法規總共有七章，共計七十九條法規的內容，第一章、第二章主要強調網路安全的原則和國家層面的監管。第三章和第四章是規範互聯網安全以及信息保護的重點，特別是集中在個人信息保護制度方面，第五章對國家網信部門的監管作出了指引和要求，第六章是法律責任。第七章附則，明確了部分名詞的含義。而互聯網企業需要重點關注的主要有以下五點：

一、信息收集需徵得用戶同意

互聯網運營商應當重點關注的是第三章和第四章的內容，其中第二十二條要求對具備收集個人信息的互聯網運營方，必須跟用戶明示並取得同意。實際上大部分網路運營方在用戶註冊階段會有註冊須知或者用戶須知的提前告示，但其中的內容少有涉及到用戶信息的目的以及用戶信息保護內容，筆者建議新規出台後，在用戶註冊頁面就提前以加粗字體或者標註字體提醒註冊用戶，告知平台信息收集功能和使用目的。

二、信息後台的實名認證要求

　其次，為了規範互聯網信息來源以及合法性，對網民涉及到的發布信息、即時通訊的，網路運營商要求對這部分個人用戶進行實名認證（第二十四條），該條款針對的對象有兩類，一種是類似趕集、58同城、貼吧等發布信息的運營方，一類是針對qq、微信、msn、微博等即時通訊公司。這個條款的目的是規範互聯網用戶的網路言行，實現前台資源，後台實名，讓每個人在使用互聯網時，既有隱私，又提醒增強責任意識和自我約束，作為網路服務提供者一定要落實主體責任，加強審核把關。

三、用戶信息的使用告知義務

提醒網路行業注意的是，第四章規定的網路信息安全是整部法規的重點，特別是當中對個人信息獲取、個人信息使用、個人信息流轉以及網路運營者應當盡到的義務都進行了列舉，是互聯網行業的紅線規定。具體來說，網路運營方獲取個人信息之前，應當盡到提醒以及告知義務，明確告知獲取個人信息的目的以及可能使用的方式，並取得該個人的同意（第四十一條）。收集到的個人信息應當採取合理的措施進行保密和保護（第四十條），不得篡改或者泄露，沒有得到個人同意的情況下，不得向第三方提供信息，除非有經過特別處理無法識別的（第四十二條）。

四、信息的「出入」均要合法

法規第四十四條與刑法中的非法獲取公民信息罪對接，要求網路運營方獲取個人信息的渠道應當合法，不得非法出售或者非法提供給第三方。個人發現信息未經同意得到泄露或者在無關網路運營方發現個人信息的有權要求刪除，運營方發現用戶發布違規信息的應當盡到管理的義務，及時刪除並彙報主管部門，杜絕了網路服務提供者的避風港原則，合理分配政府的監管範圍。

五、重點關注與用戶的約定內容

在部分條款的後面，有一個附加的條件需要提醒運營方注意的，就是無論是收集、使用、提供給第三方、修改，如果法律、行政法規有具體規定的，不得違背法律規定。但是！如果網路運營商與個人用戶之間有達成約定的。且使用個人信息是在約定之內的，即便個人信息被使用、提供給第三方了，網路運營方可以免責。　　實際上，這個附加的條件是比較少見，因為《網路安全法》是一部行政執法的法規，涉及民事約定的內容比較少，特別是，行政法規裡面很少會有以約定作為依據的。筆者認為，這是網路監管與互聯網發展之間的一個妥協點，大數據時代特彆強調對信息的收集、統計、分析，如果過於限制個人信息的保護，會導致互聯網發展停滯，最終影響整個互聯網進程，因此，《網路安全法》加上的這個限制條件，可以說是一個新的突破。　　

這個附加條件也為網路運營商提供了收集、使用個人信息的依據，筆者建議，運營商在用戶進行註冊的階段必須提供詳細的註冊須知條款，如有涉及到收集、使用、轉提供個人信息的情況，必須提前在註冊須知條款中進行說明，要求用戶進行語音確認或者郵件確認，這樣能最大程度地避免違反法律的規定。

本文作者為廣東國暉律師事務所執行律師杜奕良 律師，授權法大大知乎號發布，轉載請標明出處。

進門前掛好該掛的走的時候擦好屁股再走

之前看到很多大神寫的話，還有文，建議遠離黑產，接觸一次，就很難收手。 @土豆先森講的我特別贊成，可能你覺得他們low，但是呢，其實可能是他們不想管呢，不然怎麼都會給你逮住。

做網路安全，盡量多做一些正能量，像餘弦、雲舒，這樣的技術牛多學習~

當然其實如果你想轉外快，也很多途徑啊，在各大SRC上提漏洞或者情報，BSRC,ASRC,ASRC,MiSRC,VSRC，補天等等有現金獎勵，也有禮物兌換，這樣也是不錯的施展才能的地方。

當然，你可能也覺得自己不缺錢，提漏洞也沒啥意思，因為現在安全行業前景好，待遇也好，而且也忙。

堅守自己的底線，不要因為不懂法，或者好奇等等因素觸犯法律。

那就來警校學網路安全