­　　世紀(jì)佳緣袁煒事件形成三大陣營

­　　據(jù)搜狐科技了解，世紀(jì)佳緣袁煒事件發(fā)生后，安全圈內(nèi)部引起了廣泛的討論，并形成了三大陣營。

­　　一大陣營認(rèn)為，目前絕大多數(shù)測試行動都是在沒有得到廠商授權(quán)的情況下進行的，因此，以后的所有安全滲透測試，都需要提前得到廠商的授權(quán)。但這只是理想狀態(tài)，如果廠商不授權(quán)，也就意味著白帽黑客的探測，都涉嫌違法犯罪。

­　　另一陣營認(rèn)為，世紀(jì)佳緣的做法屬于“釣魚”，恩將仇報。以后如果再發(fā)現(xiàn)相關(guān)廠商的漏洞，就不再給其提交，而是轉(zhuǎn)入黑產(chǎn)，進行拖庫。這種想法明顯是在與相關(guān)廠商賭氣，因為如果發(fā)現(xiàn)漏洞后進一步獲取更多數(shù)據(jù)，甚至拖庫、交易數(shù)據(jù)的行為，已經(jīng)觸犯刑法285、286條文規(guī)定。

­　　再有就是中間派，這一陣營占了大多數(shù)。中間派別認(rèn)為，這一事件中，各方的做法都有欠妥的地方。企業(yè)的做法不像是一個公司對付安全漏洞正確的態(tài)度，只會讓事情走向反面；黑客測試過程中由于各種原因可能下載了較多的數(shù)據(jù)，需要相關(guān)部門評判；烏云等平臺方一般與企業(yè)之間也有商業(yè)合作關(guān)系，也應(yīng)該規(guī)范白帽子的行為。

­　　在這類事件中，平臺方出于自身的利益，可能也較難處理與廠商的關(guān)系。平臺方弱勢的話對自身不利，強勢的話又像是在利用漏洞進行勒索。

­　　但不管如何，各方在這個過程中，不能違法是底線。江蘇省公安廳網(wǎng)安總隊科長、公安部網(wǎng)絡(luò)安全專家童瀛就表示，網(wǎng)警在執(zhí)法過程中，會根據(jù)法律規(guī)定嚴(yán)格執(zhí)法。白帽黑客也要牢記相關(guān)條文中限定的數(shù)字，千萬不要跨過這些線。童瀛表示，WEB安全的入門教程比較多，入門門檻較低，安全問題也較多。從以往相關(guān)案件的處理情況來看，執(zhí)行滲透入侵的當(dāng)事人會是“主犯”，要負(fù)責(zé)主要責(zé)任，因此，白帽黑客在做測試時一定要自律。在突破屏障后，多數(shù)人都是有好奇心的，只要越線，就會受到法律的處罰。

­　　行走在法律邊緣需明確邊界

­　　龐大的網(wǎng)絡(luò)用戶群體，成為網(wǎng)絡(luò)違法犯罪行為的溫床。根據(jù)此前騰訊發(fā)布的《網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈年度報告》顯示，公安部2014年11月公布的網(wǎng)絡(luò)犯罪十大典型案例中，僅遼寧網(wǎng)安部門瓦解掉的一個非法入侵韓國網(wǎng)站盜取韓國網(wǎng)民銀行存款的特大團伙，涉案金額折合人民幣就超過了1000萬元。DDoS攻擊已形成了一條高度成熟的黑色產(chǎn)業(yè)鏈。騰訊研究院2015年11月對外披露了另一份數(shù)據(jù)，據(jù)稱，在網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈中，相關(guān)黑產(chǎn)從業(yè)人員或已達(dá)到38萬余人，涉及6000多個大大小小的黑產(chǎn)團伙。其中，專職于DDoS黑產(chǎn)的人員高達(dá)13萬，如果以人均月收入4000元計算，年產(chǎn)值超過100億元。

­　　據(jù)搜狐科技了解，在安全測試領(lǐng)域，對于測試行為有各種稱呼，如網(wǎng)絡(luò)滲透測試、安全審計、網(wǎng)絡(luò)或風(fēng)險評估等等。而進行測試的工具也多種多樣，絕大多數(shù)測試工具在“白帽”黑客手中是發(fā)現(xiàn)漏洞并提升業(yè)界安全水平的利器，但在“黑帽”或黑產(chǎn)人員手中，卻是獲取個人或企業(yè)隱私信息，為已獲利的幫兇。“黑客”到底是白是黑，完全在于一念之間。

­　　一位黑客對搜狐科技透露，世紀(jì)佳緣袁煒這一事件，折射出安全行業(yè)普遍存在的一個問題，多數(shù)從業(yè)人員法律意識淡薄。在烏云白帽大會上，搜狐科技從與“黑客”的交流中也感受到，有些黑客在測試或者驗證一些網(wǎng)絡(luò)漏洞時，對入侵過程、入侵行為夸夸其談，但從不提及這其中涉及的法律問題。

­　　IT與知識產(chǎn)權(quán)律師，中國互聯(lián)網(wǎng)協(xié)會信用評價中心法律顧問趙占領(lǐng)表示，從法律角度，國家已經(jīng)為網(wǎng)絡(luò)安全行為界定了明確的“邊界”。在從業(yè)過程中，需要嚴(yán)格按照相關(guān)法律法規(guī)條文及司法解釋規(guī)范自己的行為，在這個“邊界”之內(nèi)就可以保護自己的權(quán)益。

­　　據(jù)了解，目前刑法第285條、286條、287條及刑法修正案（9）對網(wǎng)絡(luò)安全行為有明確的規(guī)定，觸犯這些條文會受到法律的嚴(yán)懲。2011年8月，最高人民法院、最高人民檢察院針對刑法285、286條專門發(fā)布了司法解釋，以達(dá)到“嚴(yán)懲危害計算機信息系統(tǒng)安全犯罪，保障互聯(lián)網(wǎng)的運行安全與信息安全”的目的。

­　　2015年6月，《中華人民共和國網(wǎng)絡(luò)安全法（草案）》發(fā)布并公開向社會征集意見，在網(wǎng)絡(luò)安全法草案中，對入侵他人網(wǎng)絡(luò)、干擾他人網(wǎng)絡(luò)正常功能、竊取網(wǎng)絡(luò)數(shù)據(jù)等危害網(wǎng)絡(luò)安全的活動，以及為這些活動提供支持、幫助等行為都進行了禁止。同時，草案也要求網(wǎng)絡(luò)運營者要保護用戶數(shù)據(jù)的安全。

­　　白帽黑客使用檢測工具測試網(wǎng)絡(luò)安全的過程中，也可能會涉及到軟件自動緩存的問題。這種情況下，白帽黑客沒有主觀想獲取數(shù)據(jù)，但程序自動緩存了。從目前的情況來看，相關(guān)法律機關(guān)可能更傾向于黑客已經(jīng)獲取了數(shù)據(jù)。因此，在使用檢測工具前，白帽黑客或安全從業(yè)人員要盡可能了解檢測工具的工作原理，測試時要謹(jǐn)慎。

­　　趙占領(lǐng)同時強調(diào)，從刑法角度來說，司法解釋明確規(guī)定了非法獲取用戶信息的量刑數(shù)量，但白帽黑客絕對不要簡單地認(rèn)為，只要其獲取的數(shù)據(jù)低于某個數(shù)量，其行為就是安全的，可以不受懲處。比如獲取普通用戶身份認(rèn)證信息不到五百組，雖然不用負(fù)刑事責(zé)任，但根據(jù)后果，當(dāng)事人可能會受治安管理處罰法第29條的規(guī)定，受到相應(yīng)處罰。

­　　騰訊玄武實驗室總監(jiān)于旸（TK教主）認(rèn)為，這個行業(yè)游走在法律邊緣是一種情緒化的說法，只有知道了邊界在哪里，才能做到“常在河邊走也不濕鞋”。每個行業(yè)都有相應(yīng)的法律限制，網(wǎng)絡(luò)安全從業(yè)人員更應(yīng)搞清楚這些法律條文，才能在從業(yè)過程中做到?jīng)]有后顧之憂。在行俠仗義的時候，順便調(diào)戲婦女，在安全測試的時候，順便拖庫倒賣，都不是英雄和白帽的正確姿勢。