关键信息基础设施安全保护条例对白帽子的影响

  • A+
所属分类:安全闲碎

白帽子是一群在网络上寻找系统安全漏洞的捉虫高手,可以在浩瀚如海的互联网上,找到那些存在安全风险的系统功能,对于白帽子而言,仅仅是找到安全风险的功能,然后提交漏洞平台或者联系系统管理员进行修复,点到为止,并不危害系统安全,造成系统不可用,造成数据泄漏,影响系统正常功能。

技术是把双刃剑,可以像白帽子那样,为了互联网的安全,奉献自己的时间和精力,也有为了利益,获取系统数据卖钱、打击报复,删库跑路影响系统正常功能的黑帽子,为了提升互联网的安全性,国家出台了多项网络安全相关规定,加大计算机系统入侵的打击力度,尽可能的减少黑帽子的破坏行为。

由于白帽子和黑帽子没有明显的区别,白帽子在发现系统漏洞的时候,只在一念之间就可以从白帽子变成一个黑帽子,所以要杜绝黑帽子的存在,那么就需要连通包帽子一起限制,今天公布的《关键信息基础设施安全保护条例》,也有一些关于互联网安全测试的内容。

首先要先确定关键信息基础设施是什么?如下:

第二条 本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

涉及范围还是很广的,主要是国家的关键设施,造成破坏后会影响国家安全稳定的系统,比如电信影响用户上网,电力、交通影响人民正常生活,能源、金融、电子政务、国防科技等影响国家稳定,只要是能对于人民、国家的安全稳定造成比较大影响的系统破坏行为,都是符合本保护条例的,具体情况要具体分析。

其中关于白帽子测试行为的约束主要有:

第五条 国家对关键信息基础设施实行重点保护,采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治危害关键信息基础设施安全的违法犯罪活动。

任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动,不得危害关键信息基础设施安全。

对于上面的要求,在网络安全法也有相关规定,不仅仅是关键基础设施,任何非法侵入、干扰、破坏互联网系统的行为都是违法的,只要你的入侵行为对目标系统造成了破坏,影响了系统的可用性、完整性和保密性都是不允许的,所以这个对于白帽子的测试行为,在未造成破坏的时候,是没有什么问题的,一旦造成了破坏,导致了损失,那么就违法了,如果资产涉及关键基础设置,那么就违反了该条例。

还有一条对于白帽子而言是比较关键的,如下:

第三十一条 未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权,任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动。对基础电信网络实施漏洞探测、渗透性测试等活动,应当事先向国务院电信主管部门报告。

基本上把白帽子未授权测试的路堵死了,在没有得到官方授权的情况下,任何测试行为都是不允许的,所以白帽子是不可以随意测试关键基础设施系统的安全问题,一旦未授权测试,那么就违反了该条例,就要被处罚,甚至坐牢。

最后总结一句话,影响就是不得随意测试关键基础设施系统,对于其他系统的测试,点到位置不得越界,不得影响目标系统的完整性、可用性、保密性。

原文地址:

http://www.forestry.gov.cn/main/72/20210817/150318097332212.html

 

本文始发于微信公众号(信安之路):关键信息基础设施安全保护条例对白帽子的影响

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: