一、需求背景
衆所周知,2016年11月7日全國人民代表大會常務委員會通過《中華人民共和國網絡安全法》方案, 2017年6月1日《網絡安全法》正式實施。之後,阿裡雲也釋出了“阿裡雲等級保護生态”,在“生态”中,阿裡雲通過提供雲安全産品和服務,咨詢廠商提供全流程技術支撐和咨詢服務,測評機構提供測評服務,公安機關負責備案稽核和監督檢查,将整個等保合規流程的時間,從平均一年的時間最快能縮短到了一個月,極大的降低了“過等保”的門檻。
而在遊戲行業,上海各區縣網安也曾召開過遊戲行業網絡安全工作會,要求各遊戲機關核實并上報資訊安全問題,進行網站備案、完善制度和采取措施。在2018年3月28日,上海市資訊網絡安全管理協會聯合上海市網絡遊戲行業協會也同樣舉辦了遊戲行業資訊系統等級保護定級、測評輔導教育訓練會議。同時提出了等保定級備案及整改測評的強制時間要求, 4月15日前,完成資訊系統定級備案工作,10月1日前,完成差距整改、等保測評,拿到備案證明。
是以,遊戲企業過等保,迫在眉睫。同時對于企業自身,等保也是一個安全管理的“必過标杆”。您可能會認為過等保是一個非常艱巨,需要各方溝通的長期過程。看完以下阿裡雲對于等保的解讀和相應的一站式解決方案,你會發現“過等保“,其實沒有那麼難。
二、等保處罰案例
首先我們先來看一下近期在《網絡安全法》上的處罰案例,在監管加強後、這些在遊戲行業也都會普遍遇到:
案例一、某論壇存在有傳播暴力恐怖、虛假謠言、淫穢色情等危害國家安全、公共安全、社會秩序的資訊,涉嫌違反《網絡安全法》被立案調查,責令整改。
案例二、某公司向公安機關報備的資訊系統安全等級為第三級,未按規定定期開展等級測評,是以未履行網絡安全等級測評義務。給予警告處罰并責令其改正。
案例三、某網絡公司未留存使用者登入日志、網站存在高危漏洞造入侵。同時調查發現,該網站自運作以來,未進行網絡安全等級保護的定級備案、等級測評等工作。相關負責人行政處罰和罰款,網站責令整改。
是以,僅從2017年8月以來,網際網路行業已有數十起著名公司因為未切實落實等保安全政策被有關部門責令整改、行政處罰、暫停注冊、暫停營運等相應處罰;落實等級保護、不僅是企業自身資訊系統正常、安全營運的需要,更是關系到網際網路使用者、社會安全安定的重大責任;
三、遊戲行業哪些系統需要過等保
以上各子系統便是遊戲企業經常遇到的
系統部署架構,因為涉及網絡、通訊、主機、應用、資料等方面的資料安全,是以都要針對《網絡安全法》的條款進行評測和稽核。
四、遊戲各系統對于等級保護的要求
舉例如下:
假如有一個遊戲公司,營運着各類遊戲不下10款,同時遊戲使用者都是通過統一的門戶網站進行注冊,是以系統組成當中就存在使用者管理系統,涉及到了使用者的個人隐私資訊,那麼,該系統有以下三種場景需要通過相應的等級保護要求。
A. 玩家充值通過銀聯、支付寶等第三方接口,實名使用者數10萬,無其他資訊系統,那麼該系統必須通過二級的等級保護要求。
B. 玩家充值通過自建的第三方支付平台,涉及計費認證系統,實名使用者數在30萬左右,那麼就必須通過等保三級。
C. 玩家充值通過銀聯、支付寶等第三方接口,實名使用者數達百萬級,那麼該系統也必須通過等保三級。
D,
了解更多等保知識五《網絡安全等級保護基本要求》解讀
針對《網絡安全等級保護基本要求》所建立的安全技術體系主要手段包括使用安全産品、加強系統配置和開發安全控制等。其中通過使用成熟的安全産品,可以快速滿足合規要求。
六、阿裡雲雲上等保合規内容、流程及優勢
等保合規生态
為了便于雲上系統能夠快速通過等保測評,阿裡雲通過建立“等保合規生态”,提供一站式等保合規解決方案。
1) 雲上等保現狀
大部分租戶對等保不了解、不知道等保該如何入手、不善于與監管部門打交道、安全體系落後于業務發展等
2) 等保工作分工
阿裡雲:整合服務機構能力,并提供安全産品
咨詢廠商:提供全流程技術支撐和咨詢服務
測評機構:提供測評服務
公安機關:負責備案稽核和監督檢查
合規共擔模型
阿裡雲平台與雲上租戶系統采取的分别定級和測評,阿裡雲平台測評結論可供租戶系統測評時複用。
1) 阿裡雲可提供
阿裡雲平台等保備案證明、阿裡雲測評報告關鍵頁、阿裡雲雲盾銷售許可證、阿裡雲部分測評項說明等
2) 責任分擔詳解
阿裡雲是全國首家家參與和通過雲計算等保标準試點示範的雲服務商;公共雲、電子政務雲通過等級保護三級備案和測評;金融雲通過等級保護四級的備案和測評;
根據監管部門明确的結論複用原則,阿裡雲上的租戶系統通過等級保護測評時,實體安全、部分網絡安全和安全管理的結論可以複用,阿裡雲可提供說明;
阿裡雲平台完備的安全技術和管理架構,以及阿裡雲提供的雲盾安全防護體系,更有利于租戶通過等級保護測評。
阿裡雲等保實施流程和相關參與機關
阿裡雲等保合規優勢
七、阿裡雲雲上合規技術架構案例解讀
某遊戲企業合規的安全産品架構:
1) 特點
快速接入雲盾,快速完成安全整改;
全面滿足等保合規技術要求;
幫助您建立完整的安全技術架構,形成安全縱深防禦;
2) 等保基本要求
3) 主要雲安全産品
實體和環境安全:包括機房供電、溫濕度控制、防風防雨防雷措施等,可直接複用阿裡雲的測評結論;
網絡和通信安全:包括網絡架構、邊界防護、通路控制、入侵防範、通信加密等;
裝置和計算安全:包括入侵防範、惡意代碼防範、身份鑒别、通路控制、集中管控和安全審計等;
應用和資料安全:包括安全審計、資料完整性和保密性
更有
阿裡雲代金劵及技術專家1v1指導