渗透工程师必看 - 网络安全法条例 - 国家安全法介绍和案例
法律就是秩序,有好的法律才有好的秩序——亚里士多德中国工程院院士李建成教授指出,“网络安全建设,应当以法律为根,技术为基。”《网络安全法》是在吸取国内外立法经验的基础上,经过多次公开征集意见,人大常委会三次审议之后完成的。尽管立法过程历时较短,但其中不乏制度亮点。
专用词解释:(一)网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。(二)网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。(三)网络运营者,是指网络的所有者、管理者和网络服务提供者。(四)网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。(五)个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
一、违法判刑标准
《刑法》第二百八十五条
【非法侵入计算机信息系统罪;非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
第二百八十六条
违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。
违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。
故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。
注:以上刑法提醒我们在做渗透测试的时候,一定要记得先取得甲方的同意书(授权书),渗透测试的手法如同黑客攻击,在未获取甲方正式授权前,千万不要擅自进行测试操作,以免触犯以上《中华人民共和国刑法》。有关的同意书(或授权书)必须经过双方法人签署,这是经过系统拥有者同意的授权书,也是我们进行合法渗透测试的法律文件。不过要提醒的是,特别要注意同意授权书的有效范围,不是有了授权书就可以肆意妄为,它只是渗透测试计划书所有规范的界定范围内有效,如果涉及界定范围之外的活动(包括系统、手段、工具等),则都必须重新获取授权。
二 、网络安全法条规细则
1.个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
2.任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
3.依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。
4.任何个人和组织应当对其使用网络的行为负责,不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组,不得利用网络发布涉及实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。
5.任何个人和组织发送的电子信息、提供的应用软件,不得设置恶意程序,不得含有法律、行政法规禁止发布或者传输的信息。
三 、网络安全的违法案例
据 CNCERT 抽样监测发现,2019 年前 4 个月我境内被篡改的网站 8,213 个,同比增长 48.8%;被植入后门的网站 10,010 个,同比增长 22.5%。同时,近期发现由于运营者安全配置不当,很多数据库直接暴露在互联网上,导致大量用户个人信息泄露。造成这些事件很大原因是一些互联网网站运营者网络安全意识不强,特别是中小网站安全管理和防护能力较低,缺乏有效安全保障措施,成为网络攻击的重点目标和主要入口。
在信息安全的防护下也出现了很多的案例:
案例 1:2019 年 9 月,重庆市南岸区公安分局接网民举报称,今年 9 月,网上有人非法买卖公民个人信息。经调查,发现冯某某通过 QQ 群向他人以 220 元的价格买得个人公民信息 40 条,用于自己开设网店。
案例 2:2015 年 7 月 8 日,江苏省南通市通州区教育技术装备室负责人报案称,今年以来通州区教育党建人事网页面多次被人恶意篡改,给教育部门形象造成恶劣影响。接报警后,南通公安机关迅速勘验发现,通州区教育党建人事网服务器已被植入恶意木马程序。
近日,江苏南通公安机关成功抓获非法侵入通州区教育局网站服务器,非法篡改网页的犯罪嫌疑人丛某。经审讯,丛某对其犯罪事实供认不讳。据交代,2014 年以来,丛某采用扫描网站漏洞放置木马病毒的方式获取网站控制权限,然后入侵网站服务器进行篡改,非法添加私服推广广告网页获取推广费。据统计,丛某先后入侵近 200 个网站,非法获利近 20 万元。
案例 3:2015 年 8 月 20 日,安徽省公安厅接群众举报称,有人在互联网上大肆贩卖手机木马程序。安徽省公安厅迅速部署宿州公安机关开展进一步调查。
宿州警方侦查发现,宿州居民王某有重大作案嫌疑。8 月 29 日,王某被警方抓获。经审讯,王某供称,其自 2015 年以来,利用自学的计算机技术制作手机木马程序在互联网上销售,该程序具备手机短信息拦截、键盘记录等功能。
经对王某使用的作案电脑进行勘验,公安机关发现,王某还在境外租用 15 台服务器,建设维护 100 余个虚假中国移动网站,并在网站上挂载其制作的手机木马程序,再出租给专门实施网络盗窃、网络诈骗的不法分子使用。据统计,王某共非法获利 60 余万元。
案例 4:近日,吉林公安机关开展统一行动,在吉林、福建、广东、山东、河南等地抓获犯罪嫌疑人 31 人,捣毁犯罪窝点 4 处。经查,这一犯罪团伙利用木马程序和钓鱼网站等方式获取韩国居民银行卡信息,然后由韩国籍犯罪嫌疑人冒充韩国银行工作人员,通过打电话方式诱骗用户解除银行卡保护设置,利用已获取的韩国居民网银账户信息登录韩国受害人网银账户,将银行卡内的存款转移至专门用于接收赃款的韩国银行卡,再由位于韩国的犯罪嫌疑人通过银行 ATM 机取出赃款。经初步统计,这个犯罪团伙一周内盗窃的资金就折合人民币 300 余万元。
案例 5: 近日,经南平市延平区检察院提起公诉,延平区法院以非法控制计算机信息系统罪判处被告人林某某有期徒刑四年三个月,并处罚金人民币 80000 元,判处被告人凌某有期徒刑三年,并处罚金人民币 50000 元;该案系南平市首例利用 webshell 非法控制计算机信息系统案件。
我们应该用我们的技术去维护我们保护我们自己。当一个合法好公民!
想了解渗透技术请咨询‘小神’
版权声明: 本文为 InfoQ 作者【学神来啦】的原创文章。
原文链接:【http://xie.infoq.cn/article/6f104913e3bca05a8ab787f28】。
本文遵守【CC-BY 4.0】协议,转载请保留原文出处及本版权声明。
评论