0205.730天：网络安全法（三）

#每日三件事，第730天#

        说到《网络安全法》，其实每一个条款有很多内容可说。只不过有的人觉得《网络安全法》离自己很远，自己并没有运营网络系统，也就忽视了这部非常重要的法律。《网络安全法》不仅对社会组织，而且对公民个人都有很多相关的要求。

        比如第二十七条：任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具；明知他人从事危害网络安全的活动的，不得为其提供技术支持、广告推广、支付结算等帮助。

        现在网络上还有很多漏洞扫描的工具，尤其是SQL注入神器SQLmap。非常好用的自动化工具，操作简单，功能强大。如果有人手痒痒，那这个工具对着某个网站进行扫描的话，这就是违法行为。《网络安全法》第二十七条对这些违法行为进行了说明，

        在《网络安全法》第六三条里明确了处罚的方式：违反本法第二十七条规定，从事危害网络安全的活动，或者提供专门用于从事危害网络安全活动的程序、工具，或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助的，尚不构成犯罪的，由公安机关没收违法所得，处五日以下拘留，可以并处五万元以上五十万元以下罚款；情节严重的，处五日以上十五日以下拘留，可以并处十万元以上一百万元以下罚款。

        单位有前款行为的，由公安机关没收违法所得，处十万元以上一百万元以下罚款，对对直接负责的主管人员和其他直接责任人一招前款规定处罚。

        违反本法第二十七条规定，受到治安管理处罚的人员，五年内不得从事网络安全管理和网络运营关键岗位的工作；受到刑事处罚的人员，终身不得从事网络安全管理和网络运营关键岗位的工作。

        首先自己不能做有损网络安全的事情，其次就是不难助纣为虐，对他人破坏网络安全的行为提供任何支持和帮助。

        对于渗透测试、漏洞扫描这种“危险”的工作，首先要使其合法化。合法化就是得到书面授权，尤其是网络系统的所有者和运营者。但是，作为一名专业人士，还是应该在完成工作后，清除遗留在网络系统中的所有测试用代码，并将工作过程形成文档，将系统面临的风险明确告知，并提醒网络运营者尽快修补漏洞。当然，对漏洞相关信息保密也是非常有必要的。