白帽子是一群在网络上寻找系统安全漏洞的捉虫高手，可以在浩瀚如海的互联网上，找到那些存在安全风险的系统功能，对于白帽子而言，仅仅是找到安全风险的功能，然后提交漏洞平台或者联系系统管理员进行修复，点到为止，并不危害系统安全，造成系统不可用，造成数据泄漏，影响系统正常功能。

技术是把双刃剑，可以像白帽子那样，为了互联网的安全，奉献自己的时间和精力，也有为了利益，获取系统数据卖钱、打击报复，删库跑路影响系统正常功能的黑帽子，为了提升互联网的安全性，国家出台了多项网络安全相关规定，加大计算机系统入侵的打击力度，尽可能的减少黑帽子的破坏行为。

由于白帽子和黑帽子没有明显的区别，白帽子在发现系统漏洞的时候，只在一念之间就可以从白帽子变成一个黑帽子，所以要杜绝黑帽子的存在，那么就需要连通包帽子一起限制，今天公布的《关键信息基础设施安全保护条例》，也有一些关于互联网安全测试的内容。

首先要先确定关键信息基础设施是什么？如下：

第二条 本条例所称关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

涉及范围还是很广的，主要是国家的关键设施，造成破坏后会影响国家安全稳定的系统，比如电信影响用户上网，电力、交通影响人民正常生活，能源、金融、电子政务、国防科技等影响国家稳定，只要是能对于人民、国家的安全稳定造成比较大影响的系统破坏行为，都是符合本保护条例的，具体情况要具体分析。

其中关于白帽子测试行为的约束主要有：

第五条 国家对关键信息基础设施实行重点保护，采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治危害关键信息基础设施安全的违法犯罪活动。

任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动，不得危害关键信息基础设施安全。

对于上面的要求，在网络安全法也有相关规定，不仅仅是关键基础设施，任何非法侵入、干扰、破坏互联网系统的行为都是违法的，只要你的入侵行为对目标系统造成了破坏，影响了系统的可用性、完整性和保密性都是不允许的，所以这个对于白帽子的测试行为，在未造成破坏的时候，是没有什么问题的，一旦造成了破坏，导致了损失，那么就违法了，如果资产涉及关键基础设置，那么就违反了该条例。

还有一条对于白帽子而言是比较关键的，如下：

第三十一条 未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权，任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动。对基础电信网络实施漏洞探测、渗透性测试等活动，应当事先向国务院电信主管部门报告。

基本上把白帽子未授权测试的路堵死了，在没有得到官方授权的情况下，任何测试行为都是不允许的，所以白帽子是不可以随意测试关键基础设施系统的安全问题，一旦未授权测试，那么就违反了该条例，就要被处罚，甚至坐牢。

最后总结一句话，影响就是不得随意测试关键基础设施系统，对于其他系统的测试，点到位置不得越界，不得影响目标系统的完整性、可用性、保密性。

原文地址：

http://www.forestry.gov.cn/main/72/20210817/150318097332212.html