一、需求背景
众所周知,2016年11月7日全国人民代表大会常务委员会通过《中华人民共和国网络安全法》方案, 2017年6月1日《网络安全法》正式实施。之后,阿里云也发布了“阿里云等级保护生态”,在“生态”中,阿里云通过提供云安全产品和服务,咨询厂商提供全流程技术支撑和咨询服务,测评机构提供测评服务,公安机关负责备案审核和监督检查,将整个等保合规流程的时间,从平均一年的时间最快能缩短到了一个月,极大的降低了“过等保”的门槛。
而在游戏行业,上海各区县网安也曾召开过游戏行业网络安全工作会,要求各游戏单位核实并上报信息安全问题,进行网站备案、完善制度和采取措施。在2018年3月28日,上海市信息网络安全管理协会联合上海市网络游戏行业协会也同样举办了游戏行业信息系统等级保护定级、测评辅导培训会议。同时提出了等保定级备案及整改测评的强制时间要求, 4月15日前,完成信息系统定级备案工作,10月1日前,完成差距整改、等保测评,拿到备案证明。
所以,游戏企业过等保,迫在眉睫。同时对于企业自身,等保也是一个安全管理的“必过标杆”。您可能会认为过等保是一个非常艰巨,需要各方沟通的长期过程。看完以下阿里云对于等保的解读和相应的一站式解决方案,你会发现“过等保“,其实没有那么难。
二、等保处罚案例
首先我们先来看一下近期在《网络安全法》上的处罚案例,在监管加强后、这些在游戏行业也都会普遍遇到:
案例一、某论坛存在有传播暴力恐怖、虚假谣言、淫秽色情等危害国家安全、公共安全、社会秩序的信息,涉嫌违反《网络安全法》被立案调查,责令整改。
案例二、某公司向公安机关报备的信息系统安全等级为第三级,未按规定定期开展等级测评,因此未履行网络安全等级测评义务。给予警告处罚并责令其改正。
案例三、某网络公司未留存用户登录日志、网站存在高危漏洞造入侵。同时调查发现,该网站自运行以来,未进行网络安全等级保护的定级备案、等级测评等工作。相关负责人行政处罚和罚款,网站责令整改。
所以,仅从2017年8月以来,互联网行业已有数十起著名公司因为未切实落实等保安全策略被有关部门责令整改、行政处罚、暂停注册、暂停运营等相应处罚;落实等级保护、不仅是企业自身信息系统正常、安全运营的需要,更是关系到互联网用户、社会安全安定的重大责任;
三、游戏行业哪些系统需要过等保
以上各子系统便是游戏企业经常遇到的系统部署架构,因为涉及网络、通讯、主机、应用、数据等方面的数据安全,所以都要针对《网络安全法》的条款进行评测和审核。
四、游戏各系统对于等级保护的要求
举例如下:
假如有一个游戏公司,运营着各类游戏不下10款,同时游戏用户都是通过统一的门户网站进行注册,所以系统组成当中就存在用户管理系统,涉及到了用户的个人隐私信息,那么,该系统有以下三种场景需要通过相应的等级保护要求。
A. 玩家充值通过银联、支付宝等第三方接口,实名用户数10万,无其他信息系统,那么该系统必须通过二级的等级保护要求。
B. 玩家充值通过自建的第三方支付平台,涉及计费认证系统,实名用户数在30万左右,那么就必须通过等保三级。
C. 玩家充值通过银联、支付宝等第三方接口,实名用户数达百万级,那么该系统也必须通过等保三级。
五《网络安全等级保护基本要求》解读
针对《网络安全等级保护基本要求》所建立的安全技术体系主要手段包括使用安全产品、加固系统配置和开发安全控制等。其中通过使用成熟的安全产品,可以快速满足合规要求。
六、阿里云云上等保合规内容、流程及优势
- 等保合规生态
为了便于云上系统能够快速通过等保测评,阿里云通过建立“等保合规生态”,提供一站式等保合规解决方案。
1) 云上等保现状
大部分租户对等保不了解、不知道等保该如何入手、不善于与监管部门打交道、安全体系落后于业务发展等
2) 等保工作分工
阿里云:整合服务机构能力,并提供安全产品
咨询厂商:提供全流程技术支撑和咨询服务
测评机构:提供测评服务
公安机关:负责备案审核和监督检查
- 合规共担模型
阿里云平台与云上租户系统采取的分别定级和测评,阿里云平台测评结论可供租户系统测评时复用。
1) 阿里云可提供
阿里云平台等保备案证明、阿里云测评报告关键页、阿里云云盾销售许可证、阿里云部分测评项说明等
2) 责任分担详解
阿里云是全国首家家参与和通过云计算等保标准试点示范的云服务商;公共云、电子政务云通过等级保护三级备案和测评;金融云通过等级保护四级的备案和测评;
根据监管部门明确的结论复用原则,阿里云上的租户系统通过等级保护测评时,物理安全、部分网络安全和安全管理的结论可以复用,阿里云可提供说明;
阿里云平台完备的安全技术和管理架构,以及阿里云提供的云盾安全防护体系,更有利于租户通过等级保护测评。
- 阿里云等保实施流程和相关参与单位
- 阿里云等保合规优势
七、阿里云云上合规技术架构案例解读
某游戏企业合规的安全产品架构:
1) 特点
快速接入云盾,快速完成安全整改;
全面满足等保合规技术要求;
帮助您建立完整的安全技术架构,形成安全纵深防御;
2) 等保基本要求
3) 主要云安全产品
物理和环境安全:包括机房供电、温湿度控制、防风防雨防雷措施等,可直接复用阿里云的测评结论;
网络和通信安全:包括网络架构、边界防护、访问控制、入侵防范、通信加密等;
设备和计算安全:包括入侵防范、恶意代码防范、身份鉴别、访问控制、集中管控和安全审计等;
应用和数据安全:包括安全审计、数据完整性和保密性
详情了解:https://www.aliyun.com/solution/security/compliance
扫码加入阿里云等保合规交流群
更有阿里云代金劵及技术专家1v1指导