美文网首页听白帽子给你讲安全网络安全实验室我是程序员
白帽子小A的故事:《网安法》时代,挖漏洞安全姿势指南

白帽子小A的故事:《网安法》时代,挖漏洞安全姿势指南

作者: 阿里云云栖号 | 来源:发表于2017-07-07 13:24 被阅读91次

           从事安全研究的小A是一名“正义的黑客”——白帽子。


           他发现计算机系统或网络系统中的安全漏洞,提供给企业和机构,帮助他们修复漏洞, 而不会恶意去利用。这样一来,在其他人(例如小A的对立方,黑帽子)在利用之前,小A就可以让企业和机构避免损失。

           6月1日《网络安全法》正式实施以后,对白帽子参与渗透测试行为提出了法律要求。小A有点慌:因为他热爱的漏洞挖掘,有可能会踩到法律的“雷区”。

           这篇对白帽子的《网安法》宝典,会告诉小A:他应该知道的几个法律雷区,以及相应的处罚和责任;小A现在怎么做,才能符合《网安法》的要求,减少、规避自身的风险?

         我们以小A可能会碰到的场景开始。

    《网络安全法》中,小A容易碰哪些“雷区”?


         1、小A如果未经授权就去开始渗透测试,或者开展渗透测试的时间不是在客户授权的时间,或者测试范围超过了客户的授权,都可能被认定为是非法入侵他人网络的违法行为,需要承担法律责任。

         2、小A在客户授权下进行渗透测试,但是在测试过程中窃取或篡改了客户的数据,也构成违法行为,将会面临法律责任。

         3、小A在客户授权下进行渗透测试,发现了客户系统的漏洞,正常情况下应该联系客户修复,但是小A对外公布了这些漏洞,这属于违法行为,将面临法律责任。

         4、小A写了一个批量获取肉鸡的工具,上传到网上,这属于提供危害网络安全活动的程序、工具,也属于违法行为,将面临法律责任。

         5、朋友在做一些窃取别人网站数据的违法事情,找到小A,小A通过漏洞拿到的网站的权限,然后提供给朋友,这个过程,小A提供了技术支持,同样面临法律责任。

         6、小A写了一个程序或者修改别人的程序,在程序中插入了恶意代码,然后发布到网上被恶意传播,导致大量用户中招,会面临严重的法律责任。

         7、小A无意中发现了某城市交通的系统漏洞(国家关键信息基础设施:公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域),然后进行入侵,干扰正常的业务功能。

           由于这些关键信息基础设施一旦遭到破坏,可能会严重危害到国家安全、国计民生、共公共利益,因此小A将会面临更严重的法律责任。发现问题,应该第一时间联系有关部门(例如国家互   联网应急中心)通知修复。

         8、小A在境外对中国境内的能源基础设施做渗透,造成系统瘫痪,也会面临法律责任。

    不小心踩了法律“雷区”,小A会收到什么处罚?

         1、尚不构成犯罪的,由公安机关没收违法所得,处五日以下拘留,可以并处五万元以上五十万元以下罚款; 情节较重的,处五日以上十五日以下拘留,可以并处十万元以上一百万元以下罚款。

         2、构成犯罪的,将会被判处有期徒刑或拘役,并处罚金。

         3、受到治安管理处罚的人员,五年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。

    白帽子小A,他现在应该做什么?

           作为一个白帽子,小A首先要了解《网络安全法》,培养自己良好的社会价值观,在测试过程中,发现问题,积极协助客户去修复安全漏洞。  

    给小A的9条“守法”建议:

         1,进行渗透测试前要取得客户授权;

         2,在客户授权的时间和测试范围内进行测试;

         3,发现漏洞尽快通知用户,不公布和传播漏洞;

         4,不窃取、出售、篡改用户数据;

         5,不恶意攻击他人服务器;

         6,不在他人服务器留后门;

         7,不去入侵或干扰国家关键信息基础设施的系统;

         8,不协助他人攻击别人服务器;

         9,不传播恶意攻击程序。

    其次,小A在测试过程中,可以用用以下的建议:


         1、任何测试一定要得到授权,要选择能保护自己的平台。测试过程时刻记得点到为止,不得窃取,篡改数据,留后门,或者做一些可能影响业务的操作;可能需要进一步渗透的,需要提前联系厂商进行报备,在征得同意的情况下,继续测试。

         2、在做测试的过程中,尽可能保留测试过程,当有问题发生时,避免一些不必要的麻烦。

         3、提交漏洞选择有实名认证的平台,要签署白帽子协议。这样在出现问题时,在不违反法律规定和协议约定的前提下,平台可以保护白帽子利益。

    致已经、或将要加入先知的白帽子们:

    守法第一,责任为先。

           从2015年开始,阿里云先知平台逐渐建立了从身份认证、行为审计到漏洞审核的“可信闭环”

           在身份认证和人员准入方面,先知测试人员经过支付宝实名认证;

           在行为审计和漏洞审核方面,先知通过大数据安全分析,对测试人员行为及路径进行实时审计和展现,判断其操作是否符合平台规则;同时为企业提供完整的漏洞报告,对企业的漏洞信息严格保密。

           2016年,阿里云也通过《安全服务职业宣言》向安全行业发出“尊重、正直、公正、责任”的倡议,承诺始终将客户安全放在第一位,呼吁安全行业从业者保护客户的隐私与权益。

           2017年,先知平台的主题是责任。在《网络安全法》正式实施之际,先知呼吁所有平台上的白帽子都能去懂法、守法,严格遵守先知平台的保密规定,保护自己。

           在先知,白帽子,是一群有技术、有爱心、有正义感的网络护航者。而《网络安全法》的要求,是对正义者的保护伞。白帽子们,走好每一步,用技术和责任去为世界带来更多美好的改变。

    更多《网安法》解读与指南请点击链接:http://click.aliyun.com/m/25172/

    相关文章

      网友评论

        本文标题:白帽子小A的故事:《网安法》时代,挖漏洞安全姿势指南

        本文链接:https://www.haomeiwen.com/subject/ruvhhxtx.html