296
搜狐
白帽子小A的故事:《網安法》時代,挖漏洞安全姿勢指南
從事安全研究的小A是一名“正義的黑客”——白帽子。
他發現計算機係統或網絡係統中的安全漏洞,提供給企業和機構,幫助他們修複漏洞, 而不會惡意去利用。這樣一來,在其他人(例如小A的對立方,黑帽子)在利用之前,小A就可以讓企業和機構避免損失。
6月1日《網絡安全法》正式實施以後,對白帽子參與滲透測試行為提出了法律要求。小A有點慌:因為他熱愛的漏洞挖掘,有可能會踩到法律的“雷區”。
這篇對白帽子的《網安法》寶典,會告訴小A:他應該知道的幾個法律雷區,以及相應的處罰和責任;小A現在怎麼做,才能符合《網安法》的要求,減少、規避自身的風險?
我們以小A可能會碰到的場景開始。
1、小A如果未經授權就去開始滲透測試,或者開展滲透測試的時間不是在客戶授權的時間,或者測試範圍超過了客戶的授權,都可能被認定為是非法入侵他人網絡的違法行為,需要承擔法律責任。
2、小A在客戶授權下進行滲透測試,但是在測試過程中竊取或篡改了客戶的數據,也構成違法行為,將會麵臨法律責任。
3、小A在客戶授權下進行滲透測試,發現了客戶係統的漏洞,正常情況下應該聯係客戶修複,但是小A對外公布了這些漏洞,這屬於違法行為,將麵臨法律責任。
4、小A寫了一個批量獲取肉雞的工具,上傳到網上,這屬於提供危害網絡安全活動的程序、工具,也屬於違法行為,將麵臨法律責任。
5、朋友在做一些竊取別人網站數據的違法事情,找到小A,小A通過漏洞拿到的網站的權限,然後提供給朋友,這個過程,小A提供了技術支持,同樣麵臨法律責任。
6、小A寫了一個程序或者修改別人的程序,在程序中插入了惡意代碼,然後發布到網上被惡意傳播,導致大量用戶中招,會麵臨嚴重的法律責任。
7、小A無意中發現了某城市交通的係統漏洞(國家關鍵信息基礎設施:公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域),然後進行入侵,幹擾正常的業務功能。
由於這些關鍵信息基礎設施一旦遭到破壞,可能會嚴重危害到國家安全、國計民生、共公共利益,因此小A將會麵臨更嚴重的法律責任。發現問題,應該第一時間聯係有關部門(例如國家互聯網應急中心)通知修複。
8、小A在境外對中國境內的能源基礎設施做滲透,造成係統癱瘓,也會麵臨法律責任。
1、尚不構成犯罪的,由公安機關沒收違法所得,處五日以下拘留,可以並處五萬元以上五十萬元以下罰款; 情節較重的,處五日以上十五日以下拘留,可以並處十萬元以上一百萬元以下罰款。
2、構成犯罪的,將會被判處有期徒刑或拘役,並處罰金。
3、受到治安管理處罰的人員,五年內不得從事網絡安全管理和網絡運營關鍵崗位的工作;受到刑事處罰的人員,終身不得從事網絡安全管理和網絡運營關鍵崗位的工作。
作為一個白帽子,小A首先要了解《網絡安全法》,培養自己良好的社會價值觀,在測試過程中,發現問題,積極協助客戶去修複安全漏洞。
給小A的9條“守法”建議:
1,進行滲透測試前要取得客戶授權;
2,在客戶授權的時間和測試範圍內進行測試;
3,發現漏洞盡快通知用戶,不公布和傳播漏洞;
4,不竊取、出售、篡改用戶數據;
5,不惡意攻擊他人服務器;
6,不在他人服務器留後門;
7,不去入侵或幹擾國家關鍵信息基礎設施的係統;
8,不協助他人攻擊別人服務器;
9,不傳播惡意攻擊程序。
1、任何測試一定要得到授權,要選擇能保護自己的平台。測試過程時刻記得點到為止,不得竊取,篡改數據,留後門,或者做一些可能影響業務的操作;可能需要進一步滲透的,需要提前聯係廠商進行報備,在征得同意的情況下,繼續測試。
2、在做測試的過程中,盡可能保留測試過程,當有問題發生時,避免一些不必要的麻煩。
3、提交漏洞選擇有實名認證的平台,要簽署白帽子協議。這樣在出現問題時,在不違反法律規定和協議約定的前提下,平台可以保護白帽子利益。
致已經、或將要加入先知的白帽子們:
守法第一,責任為先。
從2015年開始,阿裏雲先知平台逐漸建立了從身份認證、行為審計到漏洞審核的“可信閉環”。
在身份認證和人員準入方麵,先知測試人員經過支付寶實名認證;
在行為審計和漏洞審核方麵,先知通過大數據安全分析,對測試人員行為及路徑進行實時審計和展現,判斷其操作是否符合平台規則;同時為企業提供完整的漏洞報告,對企業的漏洞信息嚴格保密。
2016年,阿裏雲也通過《安全服務職業宣言》向安全行業發出“尊重、正直、公正、責任”的倡議,承諾始終將客戶安全放在第一位,唿籲安全行業從業者保護客戶的隱私與權益。
2017年,先知平台的主題是責任。在《網絡安全法》正式實施之際,先知唿籲所有平台上的白帽子都能去懂法、守法,嚴格遵守先知平台的保密規定,保護自己。
在先知,白帽子,是一群有技術、有愛心、有正義感的網絡護航者。而《網絡安全法》的要求,是對正義者的保護傘。白帽子們,走好每一步,用技術和責任去為世界帶來更多美好的改變。
最後更新:2017-07-05 21:33:15