某白帽未授权渗透测试政府网站被抓，从中你应该学会什么

安全技术是一把双刃剑，有人会利用它去犯罪牟利，有些人会它来帮助企业和有关部门解决安全问题，打击犯罪。当然有不少安全从业者在工作和学习过程中，能接触到更多核心数据、核心业务，与数据和金钱走得太近的人，受到身边环境氛围和一些不法分子的诱惑，而迷失的案例不在少数。如何去面对这些利益的诱惑，如何在安全道路上，如何保护自己，作为信息安全从业者如何去明确安全责任边界，法律边界，这也是我们今天要探讨的话题。

随着近几年大家对信息安全专业热衷，更多安全新人疯狂涌入到安全行业当中，很多安全新人在安全意识和自律上相比之下，了解的相对偏少。但是，问题来了，如果一个安全从业者缺乏安全认知，缺乏法律意识，甚至没有最基本的自律，职业道德，再谈什么安全人才的价值？对于广大已经走过早期安全新人阶段的从业者、已在各个领域有一定建树的行业专家，资深大拿更应该有责任和义务站出来去给行业新人、从业者去引导，避免“类似事件”的发生，明确风险边界，哪些有明显的问题，哪些是法律界限，相对模糊。

从个人经验和经历给大家分享一些心得和可操作性的建议。首先，尽可能的多了解国内的法律法规的，包括行业政策的规定，推荐了解下：刑法直接跟计算机相关的罪名和条款《非法侵入计算机信息系统》、《非法获取计算机信息系统罪》、《非法控制计算机信息系统罪》、《非法获取个人公民信息罪》、《敲诈勒索罪》、《提供专门用于侵入、非法控制计算机信息系统的程序、工具罪》等罪名，间接使用互联网信息技术犯罪的种类就多了，再次不一一列举，有条件的情况下，可以买本《刑法修正案十》和网络安全法学习一下。在工作和生活当中，希望从业者注意以下几个事项，真的爱自己请重点关注：

1、没有授权的前提下，不要触碰各类网站（包含企业网站），特别是国家事务、国防建设、尖端科学，政府相关网站，不要触碰ZF与国家背景企业的网站。

2、不要在不明确业务边界和责任边界的前提下，突破原有的系统权限和数据权限。

3、不要持有公民信息，不要搭建社工库，云盘、电脑、手机不要存储公民信息数据。

4、项目授权范围内做的相关工作，获取到的项目文件、商业文件、公民数据、“shell”等结果及时删除和清除。

5、写技术文章的过程中，不要过于披露涉及漏洞与通用型问题细节，不要提供工具！！文章内容该模糊化的地方，要做二次处理避免被二次利用。

6、不要做漏洞、数据交易，不要在不了解对方背景情况下给“犯罪分子”提供技术思路。

7、多学习法律、不要过度炫技，低调求发展。

网安专家的看法和建议：

一、不要无知，做法盲。网络安全行业被无知媒体和无法律意识从业者，强化包装成极客，为所欲为的极客，这是无知法盲的包装！

二、不要无畏，知法犯法。网络安全行业技术人员要强化法律风险，重点去学学《刑法》《网络安全法》。会计做假账都知道有可能要取消从业资格，甚至坐牢。网络安全从业者更甚！

三、不要侥幸，害人终害己。小黑入行的导师和网络安全行业管理者，要严肃告诫从业人员，网络安全行业是高危职业。不仅强调技术门槛高，技术难度高，更要强调入罪风险高！切记，传授犯罪方法也是犯罪！”

最后，不要在自己年轻的时候为自己的无知，买单。

希望以此可以积极引导大家走上正确的安全道路

不要从白帽子黑客，然后入狱几年，出来后就变成了绿帽子黑客