网安人必读：网络安全法篇

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。

前言

在这个信息技术迅猛发展的时代，网络安全已经成为我们日常生活和工作中不可或缺的一部分。随着网络空间的不断扩张，保护个人信息、企业数据和国家安全的挑战也日益增加。在这样的背景下，中国的《网络安全法》不仅是一部法律文件，更是指引网络世界航行的航海图，对于从事网络安全行业的每一个人来说，了解和遵守这部法律显得尤为重要。

作为一位网络安全从业者，作为网络安全的实践者和守护者，我们每个人都应该知法、懂法、守法。本文将结合具体条文解读和具体案例，帮助大家理解网络安全法。

网络安全法

第六十二条　违反本法第二十六条规定，开展网络安全认证、检测、风险评估等活动，或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的，由有关主管部门责令改正，给予警告；拒不改正或者情节严重的，处一万元以上十万元以下罚款，并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五千元以上五万元以下罚款。

第六十三条　违反本法第二十七条规定，从事危害网络安全的活动，或者提供专门用于从事危害网络安全活动的程序、工具，或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助，尚不构成犯罪的，由公安机关没收违法所得，处五日以下拘留，可以并处五万元以上五十万元以下罚款；情节较重的，处五日以上十五日以下拘留，可以并处十万元以上一百万元以下罚款。

单位有前款行为的，由公安机关没收违法所得，处十万元以上一百万元以下罚款，并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。

违反本法第二十七条规定，受到治安管理处罚的人员，五年内不得从事网络安全管理和网络运营关键岗位的工作；受到刑事处罚的人员，终身不得从事网络安全管理和网络运营关键岗位的工作。

第六十四条　网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定，侵害个人信息依法得到保护的权利的，由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

违反本法第四十四条规定，窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关没收违法所得，并处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款。

第六十六条　关键信息基础设施的运营者违反本法第三十七条规定，在境外存储网络数据，或者向境外提供网络数据的，由有关主管部门责令改正，给予警告，没收违法所得，处五万元以上五十万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

第六十七条　违反本法第四十六条规定，设立用于实施违法犯罪活动的网站、通讯群组，或者利用网络发布涉及实施违法犯罪活动的信息，尚不构成犯罪的，由公安机关处五日以下拘留，可以并处一万元以上十万元以下罚款；情节较重的，处五日以上十五日以下拘留，可以并处五万元以上五十万元以下罚款。关闭用于实施违法犯罪活动的网站、通讯群组。

第七十五条　境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动，造成严重后果的，依法追究法律责任；国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。

第七十六条　本法下列用语的含义：

（一）网络，是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。

（二）网络安全，是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。

（三）网络运营者，是指网络的所有者、管理者和网络服务提供者。

（四）网络数据，是指通过网络收集、存储、传输、处理和产生的各种电子数据。

（五）个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

案例分析

2019.7.22某政府门户网站被非法侵入计算机信息系统案

2019年7月19日，某政府网站管理员向网安支队报警，该政府网络内局长信箱模块有网民多次发送非正常留言，后模块运行不正常，疑遭黑客攻击。

接警后，网安支队立即开展核查，发现有用户名为“ADMIN”、“ADMI”两个账号在该网站上进行注册后，表面上留言内容为“11111111”或者空白，但其实均隐藏着恶意代码。嫌疑人的行为已构成《刑法》二百八十五条非法侵入计算机信息系统罪。至此，网安支队确定该网站被黑客使用跨站脚本攻击（XSS）方式进行非法入侵。

经查，嫌疑人真实身份为李某及其徒弟。警方成功在乌鲁木齐市将两人抓捕，经审讯，李某供职于某网络科技公司，负责向运营商提供重要信息系统等级保护测评业务，工作中网络渗透测试的目标网站均获得官方授权，属于公司正常业务行为。那么他为什么会攻击政府网站呢？

李某利用休息时间，在未授权的情况下，对银川市的某政府网站进行渗透测试，他的目的就是为了找出网站漏洞并生成漏洞报告，然后上传CNVD（国家信息安全漏洞共享平台，由国家计算机网络应急技术处理协调中心运营），由CNVD下发各网站进行修补。

按照李某的说法，他这是为家乡做点贡献，在此之前，他还对包括石嘴山市多个政府网站及周边多个省、市政府网站进行攻击。可法律意识较为淡薄的李某并没有意识到自己的行为属于违法犯罪行为。最终李某及其徒弟对犯罪事实供认不讳，被羁押在看守所。

从这个案例来看，李某的出发点看起来是好的，想为家乡做贡献，相信很多师傅也都在cnvd平台上提交过漏洞，但是这种行为本身是违法的，因为你没有得到授权，一切没有授权的网络攻击都是在违法犯罪。那为什么你没有被抓呢？可能因为你没有对目标网站造成不可挽回的损失，或者他们没有发现你的攻击行为，如果你长期这么干，我只能说，你被抓是早晚的事。

很多师傅也喜欢挖src，src上会与你签订部分授权协议，但是注意了，你挖掘src漏洞时如果没有看清楚它的测试范围或者测试要求，你也是属于违法攻击，你也是在犯罪，企业仍然有权利追究你的法律责任，所以不要因为是src就为所欲为，抓不抓你，全看别人心情罢了。

总结

没有授权的事不要干，违法的事不要干，老老实实做一个守法的好公民。记住赚钱多的，都在刑法里！还有就是随风想给各位师傅一点建议，不要觉得自己有点技术就很厉害，就到处去攻击，没经历过毒打，你永远不知道有多痛！希望这篇文章对大家有用吧！

原文始发于微信公众号（随风安全）：网安人必读：网络安全法篇