在正式"开荒"各种黑客工具前,Day 4 的任务是给自己装上一副合规与伦理的"护身铠"。这一小时你将弄懂------做渗透想合法必须先拿授权、哪些法律条款碰不得、等保 2.0 与关基条例为何对企业像副"主线任务";同时动手把这些要点制成一张"法律速查卡",以后每次实战前都能快速检查。
30 min ------ 读规则,认清"红线"
网络安全法(2017 年生效)
| 关键条款 | 与红队关系 | 条文出处 |
|---|---|---|
| 第 11 条:国家保护个人、组织依法使用网络的权利 | 合法渗透需尊重被测方的合法权益 | 公安部检查办法草案第 11 条 |
| 第 22 条:产品和服务提供者发现安全缺陷应及时告知用户并补丁 | 发现 0-day 时要给厂商、不能私自贩卖 | 网络安全法第 22 条 |
| 第 37 条:关键信息基础设施(关基)运营者收集的个人信息和重要数据须本地存储 | 做取证/数据导出时要注意"出境"合规 | 法第 37 条 |
| 第 59 条:未获授权入侵信息系统最高可处 5 年以下有期徒刑 | 渗透测试必须有书面授权,否则犯法 | 网络安全法全文 |
建议阅读:Stanford DigiChina 英译全文,便于与中文对照。
关键信息基础设施安全保护条例 (2021)
- 自 2021-09-01 起实施,对电信、能源、金融等行业的"关基"划定更严格安全要求。
- 若你的客户属于关基运营者,渗透前需报行业主管部门备案。
等级保护 2.0("等保")
- 把信息系统风险等级分 1--5 级;3 级以上需第三方测评并备案。
- 新版"基本要求"把技术控制点扩展到云、物联网等场景。
- 日后写评估报告时,要对应等保控制点列整改建议。
合法渗透三要素
- 授权:必须由系统所有者出具书面授权(合同或邮件均可)。
- 范围:列清楚可测 IP/域名与禁止操作(如生产数据库)。
- 责任披露:发现高危漏洞,依据 OWASP Disclosure Cheat Sheet 先向厂商/甲方报告并给出缓冲期。
20 min ------ 动手做"法律速查卡"
工具任选:Excel / Notion / 手写卡片
| 检查项 | 你要填的内容 |
|---|---|
| ✔ 是否拿到甲方书面授权? | (留空,等项目时填写) |
| ✔ 是否涉及关基?如有是否报监管? | |
| ✔ 数据是否跨境?触及第 37 条? | |
| ✔ 等保等级?有无测评备案? | |
| ✔ 漏洞披露计划、缓冲期? |
把卡片贴在 Kali 桌面或放入笔记软件,后续每次渗透前先勾选。
10 min ------ 反思 + 输出
- 写 5 句话:若你今天无授权扫描一家银行网站,最可能触犯哪几条?为什么?
- 用一句话总结:关基条例 + 等保 2.0 与网络安全法是什么关系?
今日资料索引(全部可在线验证)
- 中国政府网《网络安全法》原文
- DigiChina 英译版
- 中南民大《深入解读等保 2.0》
- 国务院《关键信息基础设施安全保护条例》
- Secrss 文章《网络安全从业者需了解的法律知识》(授权示例)
- Secrss 文章《第 37 条数据本地化》分析
- pdf 版《等保 2.0 基本要求》摘要
- OWASP Vulnerability Disclosure Cheat Sheet
- 中国法学网《安全漏洞披露规则》
- 公安部《互联网安全监督检查规定(征求意见稿)》解读
升级提示
完成 Day 4 后,你已掌握"法律护符",进入 Lv 1 合规红队求生者 。明天 Day 5,我们回看 ATVR 风险表,带上 Wireshark 进入轻量级 TCP/IP 抓包副本,为 Week 2 做预热。