白帽子同學注意了：不懂《網安法》可能會被請喝咖啡哦！

01-30

從事安全研究的小A是一名「正義的黑客」——白帽子。

他發現計算機系統或網路系統中的安全漏洞，提供給企業和機構，幫助他們修復漏洞, 而不會惡意去利用。這樣一來，在其他人（例如小A的對立方，黑帽子）在利用之前，小A就可以讓企業和機構避免損失。

6月1日《網路安全法》正式實施以後，對白帽子參與滲透測試行為提出了法律要求。小A有點慌：因為他熱愛的漏洞挖掘，有可能會踩到法律的「雷區」。

這篇對白帽子的《網安法》寶典，會告訴小A：他應該知道的幾個法律雷區，以及相應的處罰和責任；小A現在怎麼做，才能符合《網安法》的要求，減少、規避自身的風險？

我們以小A可能會碰到的場景開始。

《網路安全法》中，小A容易碰哪些「雷區」？

1、小A如果未經授權就去開始滲透測試，或者開展滲透測試的時間不是在客戶授權的時間，或者測試範圍超過了客戶的授權，都可能被認定為是非法入侵他人網路的違法行為，需要承擔法律責任。

2、小A在客戶授權下進行滲透測試，但是在測試過程中竊取或篡改了客戶的數據，也構成違法行為，將會面臨法律責任。

3、小A在客戶授權下進行滲透測試，發現了客戶系統的漏洞，正常情況下應該聯繫客戶修復，但是小A對外公布了這些漏洞，這屬於違法行為，將面臨法律責任。

4、小A寫了一個批量獲取肉雞的工具，上傳到網上，這屬於提供危害網路安全活動的程序、工具，也屬於違法行為，將面臨法律責任。

5、朋友在做一些竊取別人網站數據的違法事情，找到小A，小A通過漏洞拿到的網站的許可權，然後提供給朋友，這個過程，小A提供了技術支持，同樣面臨法律責任。

6、小A寫了一個程序或者修改別人的程序，在程序中插入了惡意代碼，然後發布到網上被惡意傳播，導致大量用戶中招，會面臨嚴重的法律責任。

7、小A無意中發現了某城市交通的系統漏洞(國家關鍵信息基礎設施:公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域)，然後進行入侵，干擾正常的業務功能。

由於這些關鍵信息基礎設施一旦遭到破壞，可能會嚴重危害到國家安全、國計民生、共公共利益，因此小A將會面臨更嚴重的法律責任。發現問題，應該第一時間聯繫有關部門(例如國家互聯網應急中心)通知修復。

8、小A在境外對中國境內的能源基礎設施做滲透，造成系統癱瘓，也會面臨法律責任。

不小心踩了法律「雷區」，小A會收到什麼處罰？

1、尚不構成犯罪的，由公安機關沒收違法所得，處五日以下拘留，可以並處五萬元以上五十萬元以下罰款；情節較重的，處五日以上十五日以下拘留，可以並處十萬元以上一百萬元以下罰款。

2、構成犯罪的，將會被判處有期徒刑或拘役，並處罰金。

3、受到治安管理處罰的人員，五年內不得從事網路安全管理和網路運營關鍵崗位的工作；受到刑事處罰的人員，終身不得從事網路安全管理和網路運營關鍵崗位的工作。

白帽子小A，他現在應該做什麼？

作為一個白帽子，小A首先要了解《網路安全法》，培養自己良好的社會價值觀，在測試過程中，發現問題，積極協助客戶去修復安全漏洞。

給小A的9條「守法」建議：

1，進行滲透測試前要取得客戶授權；

2，在客戶授權的時間和測試範圍內進行測試；

3，發現漏洞儘快通知用戶，不公布和傳播漏洞；

4，不竊取、出售、篡改用戶數據；

5，不惡意攻擊他人伺服器；

6，不在他人伺服器留後門；

7，不去入侵或干擾國家關鍵信息基礎設施的系統；

8，不協助他人攻擊別人伺服器；

9，不傳播惡意攻擊程序。

其次，小A在測試過程中，可以用用以下的建議：

1、任何測試一定要得到授權，要選擇能保護自己的平台。測試過程時刻記得點到為止，不得竊取，篡改數據，留後門，或者做一些可能影響業務的操作；可能需要進一步滲透的，需要提前聯繫廠商進行報備，在徵得同意的情況下，繼續測試。

2、在做測試的過程中，儘可能保留測試過程，當有問題發生時，避免一些不必要的麻煩。

3、提交漏洞選擇有實名認證的平台，要簽署白帽子協議。這樣在出現問題時，在不違反法律規定和協議約定的前提下，平台可以保護白帽子利益。

守法第一，責任為先。n

從2015年開始，阿里雲先知平台逐漸建立了從身份認證、行為審計到漏洞審核的「可信閉環」。

在身份認證和人員准入方面，先知測試人員經過支付寶實名認證；

在行為審計和漏洞審核方面，先知通過大數據安全分析，對測試人員行為及路徑進行實時審計和展現，判斷其操作是否符合平台規則；同時為企業提供完整的漏洞報告，對企業的漏洞信息嚴格保密。

2016年，阿里雲也通過《安全服務職業宣言》向安全行業發出「尊重、正直、公正、責任」的倡議，承諾始終將客戶安全放在第一位，呼籲安全行業從業者保護客戶的隱私與權益。

2017年，先知平台的主題是責任。在《網路安全法》正式實施之際，先知呼籲所有平台上的白帽子都能去懂法、守法，嚴格遵守先知平台的保密規定，保護自己。

在先知，白帽子，是一群有技術、有愛心、有正義感的網路護航者。而《網路安全法》的要求，是對正義者的保護傘。白帽子們，走好每一步，用技術和責任去為世界帶來更多美好的改變。