夏之冰雪

资料整理

谈网络安全法的一些想法

Posted by ranshy on 2017年5月31日 3 Comments

Read Next →

工作总结

2017qcon大会的一点想法

资料整理

邮件伪造攻击

资料整理

APT知识汇总

最近参与并听取了网络安全法相关的报告、律师解读,以及着手推进企业内部实施相关措施。这段时间,对于网络安全法,我个人最大的感受就是 ———— 第一次觉得法律距离我们如此之近。

以前,大家可能觉得守法很简单,做个好公民很容易,只要不做“违背良心”的事就肯定不会犯法,也不需要拿着法律条款逐条解读,生活很简单。而对于我们做技术的人而言,特别是具有黑客精神的这群人,也一直坚信科技改变世界,技术是单纯的、亦是无辜的。其实,这是一种对法律错误的解读,特别是当网络安全法实施之后,我们技术人员更应该具备法律意识,这也是我写这篇文章的目的。

  • 相关介绍

    • 网络安全法全称
    《中华人民共和国网络安全法》

    安全法形成过程
    2015年6月,十二届全国人大常委会第十五次会议对网络安全法草案进行了首次审议。
    2016年6月,十二届全国人大常委会第二十一次会议对网络安全法草案进行了第二次审议。
    2016年11月7日,十二届全国人大常委会第二十四次会议,进行了第三次审议,会议以154票赞成、1票弃权,表决通过了网络安全法。

    内容目录
    网络安全法共有7章79条
    第一章 总则
    第二章 网络安全支持与促进
    第三章 网络运行安全
    第四章 网络信息安全
    第五章 监测预警与应急处置
    第六章 法律责任
    第七章 附则

    生效日期
    第十二届全国人大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》,习近平主席签署第五十三号主席令,予以正式公布。《网络安全法》包括总则、网络安全支持与促进、网络运行安全、一般规定、关键信息基础设施的运行安全、网络信息安全、监测预警与应急处置、法律责任、附则等七大章,自2017年6月1日起施行。在我国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用该法。

  • 背景介绍

    • 网络安全法从草案到通过,仅用时一年半,而生效时间也只有半年,整个过程的速度如此之快。要知道,正常一个国家的法律,从制定到实施要经历很长一段时间进行敲定,有人可能会担心这门法律制定是否健全、完善。其实,网络安全法的制定经过了三次审议,充分说明了制定的缜密性。之所以快,是因为我们国家当前的网络形势已经到了非常紧迫的阶段,国内外的网络安全隐患也已经到了必须通过法律来进行解决的关键时刻。

    我们还需要关注一些其它方面的背景,才能更好的理解我们国家为何设立这门法律。不要只站在白帽子、或者黑客个人的利益角度看待,这种思考是片面的,甚至会导致对安全法消极的理解。在这里,再给出几个关键时间点:
    2013年6月,前中情局(CIA)职员爱德华·斯诺登将两份绝密资料交给英国《卫报》和美国《华盛顿邮报》,并告之媒体何时发表。
    2013年6月5日,英国《卫报》先扔出了第一颗舆论炸弹:美国国家安全局有一项代号为"棱镜"的秘密项目,要求电信巨头威瑞森公司必须每天上交数百万用户的通话记录。
    2013年6月6日,美国《华盛顿邮报》披露称,过去6年间,美国国家安全局和联邦调查局通过进入微软、谷歌、苹果、雅虎等九大网络巨头的服务器,监控美国公民的电子邮件、聊天记录、视频及照片等秘密资料。之后的事情大家应该基本都清楚了,包括美国针对中国进行大规模网络进攻,把中国领导人和华为公司列为目标,攻击商务部、外交部、银行和电信公司等,对部分中国企业进行攻击和监听。为了追踪中国军方,美国国家安全局入侵了中国两家大型移动通信网络公司。
    2013年8月的7日和8日,国家主席习近平和美国总统奥巴马在美国举行“庄园会晤”,“习奥会”的重点之一便是网络安全问题。
    2014年2月27日,中央网信办————中央网络安全和信息化领导小组,正式成立。

    通过这一组时间来看,我个人认为,斯诺登事件是推进我国网络安全至关重要的一个节点,也是网络安全法推进的一个重要原因。

    另外,中央网信办和国家网信办是有区别的,中央网信办更加强调网络安全:
    中央网信办,着眼国家安全和长远发展,统筹协调涉及经济、政治、文化、社会及军事等各个领域的网络安全和信息化重大问题,研究制定网络安全和信息化发展战略、宏观规划和重大政策,推动国家网络安全和信息化法治建设,不断增强安全保障能力。
    国家网信办,落实互联网信息传播方针政策和推动互联网信息传播法制建设,指导、协调、督促有关部门加强互联网信息内容管理等。

    因此,最近这些年国家在网络安全方面实施了一系列事情,就是要解决国内网络安全长期欠账的问题,网络安全法标志着网络空间法制化进程的实质性展开

  • 基本要求

    • 国家互联网信息办公室网络安全协调局局长赵泽良对网络安全法强调了三点————安全可控、自主可控、安全可信,值得我们每一个安全从业人员仔细研读,这是网络安全法的最基本要求。
    “安全可控、自主可控、安全可信”有三方面的要求:
    第一,产品和服务提供者不应该利用提供产品和服务的便利条件来非法获取用户系统中的信息、用户设备中自己的信息或者不应该损害用户对自己信息的自主权、支配权。
    第二,产品服务提供者不能利用提供产品和服务的便利条件来非法控制、非法操纵用户的系统、用户的设备,损害用户对自己系统、设备的控制权。
    第三,网络安全、网络产品和服务的提供者,不应该利用广大用户对产品和服务的依赖搞不正当竞争,谋取不正当利益。

  • 关键词

    • 网络安全法的实施,为何导致“百度网盘”、“百度贴吧”强制实施实名制?
    直播平台在不涉及个人用户数据泄露的前提下,是否还会触犯其它网络安全法?
    作为个人站长,我的网站出了问题,是否要承担法律责任?
    我就是个网络安全爱好者,不做任何利益相关的事情,我需要注意什么?
    我分享个安全工具,竟然会被判刑?

    当我们有这么多问题的时候,说明我们根本没有仔细研究过这门法律。另外法律条款,会定义一些词汇,如果不仔细研究这些词汇,也会导致对安全法存在认知盲区。为了防止一些坏人、坏企业钻空子,法律制定者是非常严谨的,避免产生法律的漏网之鱼。


    作为安全从业人员,不熟悉网络安全法,是对自己的不负责任表现。

    这里举几个例子:

    1. 网络运营者
    网络安全法出现次数最多的词汇之一“网络运营者”,有14个条文规定了“网络运营者”的安全保护义务,用5个条文规定了“网络运营者”的法律责任。作为网络从业人员,理解“网络运营者”这个词汇很重要,可以帮助我们理解我们是否是网络运营者、是否符合某个法律条文的要求、是否会触犯某一法律条款等。

    “网络运营者”指网络的所有者、管理者和网络服务提供者。这一定义范围较广,几乎囊括了利用网络开展活动的各类主体,也就是说在我国境内提供或者利用通信网络、互联网络等提供产品与服务的各类营利性与非营利性主体,都属于《网络安全法》监管范围。

    通俗了讲,不论你是企业还是个人,不论你是否涉及利益,都属于网络运营者。对于那些个人站长,从明天起,请承担起你的网络安全法律责任。

    2. 未成年人

    国家支持研究开发有利于未成年人健康成长的网络产品和服务,依法惩治利用网络从事危害未成年人身心健康的活动,为未成年人提供安全、健康的网络环境。

    这段话我是摘自安全法第十三条,大家需要注意未成年人这个词汇,也就是说如果你的网站有未成年人群体,你要额外承担未成年人的网络健康责任。比如最近开始出现的蓝鲸游戏,就是针对未成年人心智还不健全而发起的网络暴力事件,作为网络运营者就有必要阻止这类事情发生。比如社交平台,比如搜索平台,比如内容发布平台,如果不及时处理,也可以被认为是违法。

    3. 个人信息

    网络安全法第76条,个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

    注意这句话“包括但不限于”,措辞相当严谨,就是为了避免有人钻空子。传统的贩卖个人信息肯定是犯罪的,而且数量巨大的话罪责很严重。新型的贩卖个人信息,随着安全法的出台,也变得有法可依,这条法律将会打击那些“借着大数据的幌子”去传播用户信息的企业。

    有一个信息值得关注————地理位置,如果回到十年前,这个信息可能不会被重视。而随着科技发展,移动互联网的普及,地理位置数据变得尤为重要。现在的定位水平,我们甚至可以精确到十米、二十米之内的人,但是大家有没有发现,像微信附近的人,一般提示的都是一百米或者几百米之内,这也是对用户信息地理位置的一种保护。为什么定位技术可以这么精准,产品却不这么做?试想一个场景,A欠我钱,我穷的只剩斧头了,如果我能得到A的地理位置,可能发生什么?再比如,精准定位开通后,会不会有男性同胞半夜通过地理位置搜索异性?除了地理位置,未来会有更多不同类型数据被法律更加重视,可能包括指纹、人脸等等。

    切记,个人信息,不只代表个人输入的信息,还包括其他因个人行为产生的数据,比如我们的购买记录、我们的征信分值(芝麻信用)、我们的通讯录、我们的健康状况数据。

  • 企业注意

    • 安全法表面上还没有正式实施,但是早已暗流涌动。不仅是安全从业人员,甚至是企业以及企业员工(程序员),都要重视网络安全法。

    这不是开玩笑、危言耸听,网络安全法的出台,就是配合全国接下来开始整顿各类问题和惩治犯罪。以前对于一些数据贩卖、网络安全破坏等事情,各地实施困难,主要原因就是没有明确的严惩标准,或者无法可依,导致最终处理的都比较轻,或者简单警告一下。这也导致了白帽子白天白,晚上却肆无忌惮的黑,企业无视警告继续搜集用户信息,就是因为惩罚太轻。

    现在不同了,说一个事,5天前就听说了警方会针对数据乱象出手,全面整顿。已经有超过十家公司开始被调查,包括估值在几十亿级别的企业,高层被带走去询问。更多事情在这里我也不方便透漏,总之作为企业,是时候思考我们的业务是否不符合网络安全法的要求,如果是尽快改!风雨欲来,莫要事不关己。

    可参考2天前的一篇新闻:
    数据第一股神话将破灭?市值从21亿变7亿,高管也被抓了

    还有其它事件,也在发生,未来会更多:
    三款来电拦截APP被指泄露用户信息 猎豹暂停相关功能

    作为企业不侵犯用户隐私、不贩卖用户数据、不提供网络犯罪平台,就可以了么?

    换做以前,可能是,换做现在,当然不是!

    第二十一条,网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
    第二十三条,网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。
    第二十五条,网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。

    等等,看看这些法律条款,明确指出企业需要承担的责任,对什么样的企业影响巨大?我觉得,对那些高估值的、数据为核心的企业,但是却不重视安全的企业,会有非常大的影响。一旦出现黑客攻击、窃取用户数据。以前,作为企业,可能只是发个声明说被黑客攻击了,就万事大吉了。现在,如果你们企业没有做好安全防护、没有制定应急响应、没有在企业内部进行定期安全培训、没有对关键设备进行安全检测就上线,那么你们企业就要承担法律责任了。

    作为企业,是时候查缺补漏了,把这些年欠下的安全债都补上。在这里,我给几个建议:
    1. 对于没用能力对外做SRC(安全应急响应中心)的,可以编写相关应急预案文档,放在公司内网中,一定要有文档可查。就算出了事,警方调查,文档也能说明你们企业确实在做应急响应。
    2. 企业和当地公安局要有良好的沟通渠道,可以将当地公安局、网信办的电话记录在文档中,确保发生严重事情时,可以第一时间向有关部门汇报。
    3. 建立安全部门,无论大小,都比没有强。
    4. 国家定义的网络安全规范,最好都在企业内部形成文档落地,比如计算机等级保护、信息安全等级保护、网络安全法条款等。
    5. 企业要定期开展网络安全的普及,注意是定期,每次进行网络安全普及,一定要有据可查,比如邮件。确保别人来查的时候,你可以拿着邮件给人家看,我们企业确实每个季度都在做。
    6. 推行企业安全年检以及关键设备和数据的安全保护。

    总之,企业要有安全部门、安全制度、安全规范,且有据可查。

    另外,网络安全法的一些条款,势必会导致某些行业重新被定义,相关企业请提前做好被颠覆的准备,不做深入展开,仅举一个例子:
    网络安全法第二十七条,明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。波及到的互联网企业包括广告联盟、第三方支付平台。

  • 安全从业人员注意

    • 今天在朋友圈无意看到这句调侃————网络安全从业者“喜迎”六一儿童节!

    是的,网络安全法和我们切身利益相关,我们是靠安全吃饭的一群人,总觉得以后的日子不好过、不好混饭了。比如:
    1. 靠自学成为安全人员的,未来会越来越少,因为没了曾经的、不受管制的环境。
    2. 出现一个0 day漏洞,我们很难再去快速找个“线上”靶场练习了。
    3. 不能再靠肆意挖洞养家糊口了。
    4. 学校网站,网络安全最为薄弱的地方,是时候say goodbye了。
    5. 渗透测试,却不能拿数据,得不到管理员密码,我怎么往深了挖?

    这些问题,我个人认为确实是存在的,但是不代表网络安全法对安全从业者就是不利的。

    我们要站在发展的角度看,如果只是停留在过去的角度,任何一种改变,都能找到一堆不利的点,因为我们习惯了过去的习惯。从长远出发,网络安全法的出台,可以解决或者推进很多事情。

    1. 净化网络安全空间
    很多优秀的安全从业者是自学成才,但是不可否认,在这种不受管制的网络下,有一部分自学者走的是歪路,甚至成为了脚本小子,随便拿个黑客写的恶意程序,窃取用户信息、盗刷银行卡等等。安全法的作用就是遏制这类脏乱差的网络环境,避免没有约束性的学习网络安全。在这里给i春秋打个广告,网络安全法的出台,对i春秋而言是个重大利好,因为i春秋提供了干净的安全学习平台。
    2. 曾经的乌云
    乌云的关闭令很多白帽子心痛,乌云是一家有态度的安全平台,当初“袁炜挖漏洞被抓”事件,很多白帽子为此气愤、喊冤。试想,从企业安全、从国家安全角度出发,他的行为是否涉及窃取数据?乌云平台对于漏洞,不论企业是否处理,经过一段时间就公开,是否会导致企业产生安全隐患?
    网络安全法的出台,就是要明确这些事情是否合法、明确法律界限。你说是为了测试,所以下载了数据,这个谁又说得清?网络安全需要有明确性,比白帽子的情怀更重要,说不清的事,真的出了问题,情怀是解决不了问题的。

    总之,我们做安全测试、挖洞、开发安全工具、分享渗透经验、传播数据(社工库),都要守法。

    对于安全从业者,安全法是一种约束,但更是一种理性、健康发展的一个标准。从明天起,小作坊式的白帽子会越来越少,有组织有纪律的安全团队会越来越多,而在国际网络空间安全复杂的背景下,我们国家更需要后者。

    tips:国外的一些网络空间不在网络安全法范围内,靶场这种东西。。。

  • 大数据下的困惑

    • 有一个不成文的结论,除了金融领域,黑客更喜欢攻击大数据公司,这不难理解,现在是数据为王的时代。2016年9月12日-14日,由中华人民共和国工业和信息化部批准的国际大数据产业博览会在北京举行,特别提到共享大数据已是大势所趋

    网络安全法第四十四条,任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息

    一边是共享,另一边是法律约束,看起来很矛盾,很多人对此表示困惑。第四十四条不能单独拿来理解,请再看:
    网络安全法第四十一条,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

    注意这三个词“合法、正当、必要”,国家没有说不让你使用数据,没有说不许拿用户数据做事情,企业是可以分析用户数据的,但是不能用来非法出售、非法窃取、非法提供而已。在这方面,美国法律应该更加健全了,如果仔细研究,你会发现美国也没有严格限制使用用户数据,为什么?

    因为互联网大国只有两个国家,美国和我们中国,如果说中国和美国在互联网里被形容成国家,那么其他国家就算是互联网国家,规模上也顶多算是城市。对于发展规模如此庞大的中美,过度限制数据使用,势必导致互联网发展受到制约。因此,两国都是知道的,使用用户数据有风险,但是两国的法律依旧同样放开了这个口。

    所以我认为不矛盾,企业依旧可以利用数据、共享数据,不过我们需要在使用过程中进行注意,围绕“合法、正当、必要”进行数据使用。

    用户在某商城上搜索了比基尼,之后在公司浏览其它网站时,弹出了此商城的比基尼广告,用户觉得很害羞,这算窃取用户数据了么?
    不算,企业在使用用户数据做产品推广。

    共享单车,芝麻信用分达到600以上,免租金,是否涉及泄露用户数据或者出售用户数据?
    不涉及,该行为是在用户点击授权同意时,才进行提供,且没有额外提供其他用户数据。

    脉脉和新浪进行合作,在用户同意第三方登录的前提下,脉脉收集新浪用户数据并与手机通讯录匹配,是否违法?
    违法,违背了“合法、正当、必要”原则,具体内容不在这里展开,有兴趣的可以上网搜一下,这个官司是我国大数据第一案。随着网络安全法的出台,会有更多的大数据案发生,法律会保护我们公民的隐私。

    再说个重点,网络安全法第四十二条,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外
    对于大数据分析,如果我们企业能做到数据和用户关系分离,那么也将不违背信息保护。

    tips:
    1. 浏览器开启隐私模式,搜索比基尼,安全低调。
    2. 或者,搜索比基尼后,疯狂搜索zippo之类的关键词,彰显绅士魅力。

  • 实名制

    • 不知道大家有没有注意到,百度网盘、百度贴吧要求用户实名制,这个就是因为网络安全法出台:
    根据即将于6月1日正式施行的《中华人民共和国网络安全法》第二十四条的规定要求,日前,百度网盘、百度贴吧等产品相继宣布实行实名制认证。

    网络安全法第二十四条,网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。

    那天看到一个朋友登陆百度网盘,直接弹出实名认证提醒,朋友看都没看就关闭了。我就问他,你知道么,如果不实名的话,马上就不能用了。朋友表示没有注意过,而且很反感实名,怕自己信息被泄露出去。从这件事情,我引申出几点:
    1. 朋友还没有意识到实名制将会影响到自己在互联网的使用。
    2. 朋友对实名制存在反感,在自我权衡下,很可能因为实名制而放弃某款产品。
    3. 过去发生了太多起信息泄露,用户对互联网的信任感较低。

    前不久和新华社的记者聊天时聊到这个话题,他问了我几个问题,国家在出台实名制等制度保证网络安全的同时,如何消除网民的担忧,如何保护个人信息不泄露方面,如何保障网民的行为自由度(如言论自由、评论自由等)?

    很可能,不止一个人有这样的困惑,特别是言论自由上,大家持反对意见的可能更多,会认为实名制,就是让大家闭嘴。这个和某些白帽子看待网络安全法一样,是片面的。为什么要实名制?就要从不实名制目前有哪些问题出发来思考,还是那句话,任何改变都会影响现在的习惯,但是我们思考要全面。

    目前非实名制情况下:
    1. 一人注册多个账号在网络上编造是非发表同一种言论进行混淆视听。
    2. 网络大量的大马甲、小马甲,导致网络的信任度极低。
    3. 我国存在不少道德素质差的网民,非实名制提供了言语攻击、网络暴力、人肉搜索的温床。
    4. 网民辨识度低,易被谣言、迷信等蛊惑,而警方很难追查源头。
    5. 色情传播、社工库传播、盗版传播难以根治,违法成本极低。
    6. 等等。。。

    实名制,有利于对散布谣言的坏分子进行直接打击,遏制各类恶意注册。遏制虚假信息传播、暴力及色情等违法内容传播,对诈骗、犯罪、倒卖信息等进行制约,最大限度的提升网络道德水平,保护辨识度低的网民不受蛊惑。实名制可以迅速定位从而减少网络暴力事件的发生,让公民提升自身社会责任意识。

    还有一点不知道是否敏感,就是我们国家是典型的国家监管,我们国家一直以来都是依靠监管来维护国家安定团结,长治久安。

    希望网络安全法的出台,可以提升企业的安全责任、提升公民的社会责任,让我们不再有徐玉玉事件、网络暴力事件、鸟巢领钱骗局等。

  • 福利

    • 网络安全法的出台,标志着国家对安全的重视,那么必然结果就是————安全从业人员的福利。

    1. 招聘!
    安全招聘需求将会加大,对于没有安全部门的会建立安全部门,对于安全不够规范的企业,会通过招聘完善安全团队,并最终强化企业安全建设。
    2. 工资!
    安全从业人员要开始承担起法律责任,既然要承担风险,公司就要多提供工资了。就算你们公司没有做,别着急,这个趋势不可阻挡,未来安全从业者工资势必会整体提升。
    3. 资源!
    随着安全的重视,以i春秋为首的各类安全学习、安全分享平台更加壮大,安全资源会越来越丰富。(不好意思,最后打了个广告)

    ranshy

    Read Next →

    工作总结

    2017qcon大会的一点想法

    资料整理

    邮件伪造攻击

    资料整理

    APT知识汇总

    3 Comments

    Add Comment →

    1. 袖之欢

      好文就是要赞

      2017年6月15日
      Reply

    2. pupil

      资瓷!

      2017年6月18日
      Reply

    Leave a Reply

    分类目录

    文章归档

    黑ICP备15001596号