法律法规 《中华人民共和国网络安全法》 《中华人民共和国网络安全法》于2017 年6 月1 日起正式施行,作为我国网络领域的基础性法律,不仅从法律上保障了广大人民群众在网络空间的利益,有效维护了国家网络空间主权和安全,同时将严惩破坏我国网络空间的组织和个人。 第十二条 国家保护公民、法人和其他组织依法使用网络的权利,促进 网络接入普及,提升网络服务水平,为社会提供安全、便利的网络 服务,保障网络信息依法有序自由流动。 任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序, 尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安 全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分 裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、 民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经 济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合 法权益等活动。 第二十七条 任何个人和组织不得从事非法侵入他人网络、干扰他人网络 正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用 于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等 危害网络安全活动的程序、工具;明知他人从事危害网络安全的活 动的,不得为其提供技术支持、广告推广、支付结算等帮助。 第四十四条 任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。 第四十六条 任何个人和组织应当对其使用网络的行为负责,不得设立用 于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等 违法犯罪活动的网站、通讯群组,不得利用网络发布涉及实施诈骗, 制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。 第四十八条 任何个人和组织发送的电子信息、提供的应用软件,不得设 置恶意程序,不得含有法律、行政法规禁止发布或者传输的信息。 电子信息发送服务提供者和应用软件下载服务提供者,应当 履行安全管理义务,知道其用户有前款规定行为的,应当停止提供 服务,采取消除等处置措施,保存有关记录,并向有关主管部门报告。 第六十条 违反本法第二十二条第一款、第二款和第四十八条第一款规 定,有下列行为之一的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处五万元以上五十万元以 下罚款,对直接负责的主管人员处一万元以上十万元以下罚款: (一)设置恶意程序的; (二)对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补 救措施,或者未按照规定及时告知用户并向有关主管部门报告的; (三)擅自终止为其产品、服务提供安全维护的。 第六十三条 违反本法第二十七条规定,从事危害网络安全的活动,或者 提供专门用于从事危害网络安全活动的程序、工具,或者为他人从 事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助, 尚不构成犯罪的,由公安机关没收违法所得,处五日以下拘留,可 以并处五万元以上五十万元以下罚款;情节较重的,处五日以上十 五日以下拘留,可以并处十万元以上一百万元以下罚款。 单位有前款行为的,由公安机关没收违法所得,处十万元以 上一百万元以下罚款,并对直接负责的主管人员和其他直接责任人 员依照前款规定处罚。 违反本法第二十七条规定,受到治安管理处罚的人员,五年 内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处 罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。 第六十四条 网络运营者、网络产品或者服务的提供者违反本法第二十二 条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到 保护的权利的,由有关主管部门责令改正,可以根据情节单处或者 并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没 有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其 他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可 以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证 或者吊销营业执照。 违反本法第四十四条规定,窃取或者以其他非法方式获取、 非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安 机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违 法所得的,处一百万元以下罚款。 第六十七条 违反本法第四十六条规定,设立用于实施违法犯罪活动的网 站、通讯群组,或者利用网络发布涉及实施违法犯罪活动的信息, 尚不构成犯罪的,由公安机关处五日以下拘留,可以并处一万元以 上十万元以下罚款;情节较重的,处五日以上十五日以下拘留,可 以并处五万元以上五十万元以下罚款。关闭用于实施违法犯罪活动 的网站、通讯群组。 单位有前款行为的,由公安机关处十万元以上五十万元以下 罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。 《中华人民共和国刑法》 [http://www.spp.gov.cn/spp/fl/201802/t20180206_364975.shtml] 第二百八十五条 违反国家规定,侵入国家事务、国防建设、尖端科学技术领 域的计算机信息系统的,处三年以下有期徒刑或者拘役。 违反国家规定,侵入前款规定以外的计算机信息系统或者采 用其他技术手段,获取该计算机信息系统中存储、处理或者传输的 数据,或者对该计算机信息系统实施非法控制,情节严重的,处三 年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的, 处三年以上七年以下有期徒刑,并处罚金。 提供专门用于侵入、非法控制计算机信息系统的程序、工具, 或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为 而为其提供程序、工具,情节严重的,依照前款的规定处罚。{刑 法修正案(七)增加第二款、第三款} 第二百八十六条 违反国家规定,对计算机信息系统功能进行删除、修改、增 加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。 违反国家规定,对计算机信息系统中存储、处理或者传输的 数据和应用程序进行删除、修改、增加的操作,后果严重的,依照 前款的规定处罚。 故意制作、传播计算机病毒等破坏性程序,影响计算机系统 正常运行,后果严重的,依照第一款的规定处罚。 第二百八十七条 利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国 家秘密或者其他犯罪的,依照本法有关规定定罪处罚。 《中华人民共和国刑法》修正案(七) 九、在刑法第二百八十五条中增加两款作为第二款、第三款:“违 反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技 术手段,获取该计算机信息系统中存储、处理或者传输的数据,或 者对该计算机信息系统实施非法控制,情节严重的,处三年以下有 期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以 上七年以下有期徒刑,并处罚金。 《中华人民共和国刑法》修正案(九) 二十八、在刑法第二百八十六条后增加一条,作为第二百八十六条 之一:“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形 之一的,处三年或者管制,并处或者单处罚金: “(一)致使违以下有期徒刑、拘役法信息大量传播的; “(二)致使用户信息泄露,造成严重后果的; “(三)致使刑事案件证据灭失,情节严重的; “(四)有其他严重情节的。 “单位犯前款罪的,对单位判处罚金,并对其直接负责的主 管人员和其他直接责任人员,依照前款的规定处罚。 “有前两款行为,同时构成其他犯罪的,依照处罚较重的规 定定罪处罚。” 二十九、在刑法第二百八十七条后增加二条,作为第二百八十七条 之一、第二百八十七条之二: “第二百八十七条之一利用信息网络实施下列行为之一,情节严重 的,处三年以下有期徒刑或者拘役,并处或者单处罚金: “(一)设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物 品、管制物品等违法犯罪活动的网站、通讯群组的; “(二)发布有关制作或者销售毒品、枪支、淫秽物品等违禁物品、 管制物品或者其他违法犯罪信息的; “(三)为实施诈骗等违法犯罪活动发布信息的。 “单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员 和其他直接责任人员,依照第一款的规定处罚。 “有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪 处罚。” 第二百八十七条之二明知他人利用信息网络实施犯罪,为其犯罪提 供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或 者提供广告推广、支付结算等帮助,情节严重的,处三年以下有期 徒刑或者拘役,并处或者单处罚金。 “单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员 和其他直接责任人员,依照第一款的规定处罚。 “有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪 处罚。” 道德规范 专业的、道德的、经过授权的安全测试,离不开由事先约定 的规则所组成的安全测试道德准则。这些准则约定了安全测试服务 的服务方式、安全测试实施的测试方法、合同和谈判所约定的法律 条款、测试的范围、测试的准备、测试的流程,以及报告结构的一 致性。要顾全上述隐私,就要仔细地考察、设计在整个测试过程中 都要遵循的正规的操作方法和相关流程。 •审计人员不得在和客户达成正式协议之前对目标系统进行任何形式的渗透测试这种不道德的营销方法有可能破坏客户的正常业务。在某些国家或地区,这种行为甚至可能是违法行为。 •在测试过程中,在没有得到客户明确许可的情况下,测试人员不得进行超出测试范围越过已约定范畴的安全测试。 •具有法律效力的正式合同可帮助渗透测试人员避免承担不必要的法律责任。正式合同将会约定哪些渗透行为属于免责范围。这份合同必须清楚地说明测试的条款和条件、紧急联系信息、工作任务声明以及任何明显的利益冲突。 •测试人员应当遵守测试计划所明确的安全评估的时间期限。渗透测试的时间应当避开正常生产业务的时间段,以避免造成互相影响。 •测试人员应当遵循在测试流程里约定的必要步骤。这些规则以技术和管理不同角度,通过内部环境和相关人员来制约测试的流程。 •在范围界定阶段,应当在合同书里明确说明安全评估业务涉及到的所有实体,以及他们在安全评估的过程中受到哪些制约。 •测试结果和书面报告必须清晰,其顺序必须一致。报告中提及的所有已知和未知的漏洞,必须以安全保密的方式交给有权查看报告的相关责任人。