“ 游戏行业安全大考——等保定级备案”
一、需求背景
众所周知,2016年11月7日全国人民代表大会常务委员会通过《中华人民共和国网络安全法》方案,2017年6月1日《网络安全法》正式实施。其中对于网络安全等级保护制度提出了明确的要求。“第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。”
而在游戏行业,上海各区县网安也曾召开过游戏行业网络安全工作会,要求各游戏单位核实并上报信息安全问题,进行网站备案、完善制度和采取措施。在2018年3月28日,上海市信息网络安全管理协会联合上海市网络游戏行业协会也同样举办了游戏行业信息系统等级保护定级、测评辅导培训会议。同时提出了等保定级备案及整改测评的强制时间要求,4月15日前,完成信息系统定级备案工作,10月1日前,完成差距整改、等保测评,拿到备案证明。
因此,游戏企业过等保,迫在眉睫。同时对于企业自身,等保也是一个安全管理的“必过标杆”。接下来小编为您解读相关政策~
二、等保处罚案例
近期在《网络安全法》上的处罚案例,在监管加强后、这些情况在游戏行业也会遇到:
案例一、某论坛存在有传播暴力恐怖、虚假谣言、淫秽色情等危害国家安全、公共安全、社会秩序的信息,涉嫌违反《网络安全法》被立案调查,责令整改。
案例二、某公司向公安机关报备的信息系统安全等级为第三级,未按规定定期开展等级测评,因此未履行网络安全等级测评义务。给予警告处罚并责令其改正。
案例三、某网络公司未留存用户登录日志、网站存在高危漏洞造入侵。同时调查发现,该网站自运行以来,未进行网络安全等级保护的定级备案、等级测评等工作。相关负责人行政处罚和罚款,网站责令整改。
仅从2017年8月以来,互联网行业已有数十起著名公司因为未切实落实等保安全策略被有关部门责令整改、行政处罚、暂停注册、暂停运营等相应处罚;落实等级保护、不仅是企业自身信息系统正常、安全运营的需要,更是关系到互联网用户、社会安全安定的重大责任。
三、游戏行业哪些系统需要过等保
门户网站:网络游戏企业门户网站、游戏宣传门户。
用户管理系统:提供用户注册、用户实名认证,以及为下属所运营游戏提供统一用户认证。
游戏论坛及社区:为玩家提供的游戏类讨论与经验分享讨论。
计费认证系统:为游戏用户提供统一的支付充值与虚拟货币管理平台。
战网类游戏平台:为旗下多款游戏提供统一入口和用户认证的游戏平台,如QQ游戏大厅等。
以上各子系统便是游戏企业经常遇到的系统部署架构,因为涉及网络、通讯、主机、应用、数据等方面的数据安全,都要针对《网络安全法》的条款进行评测和审核。
四、游戏各系统对于等级保护的要求
举例如下:
假如有一个游戏公司,运营着各类游戏不下10款,同时游戏用户都是通过统一的门户网站进行注册,所以系统组成当中就存在用户管理系统,涉及到了用户的个人隐私信息,那么,该系统有以下三种场景需要通过相应的等级保护要求。
(1)玩家充值通过银联、支付宝等第三方接口,实名用户数10万,无其他信息系统,那么该系统必须通过二级的等级保护要求。
(2)玩家充值通过自建的第三方支付平台,涉及计费认证系统,实名用户数在30万左右,那么就必须通过等保三级。
(3)玩家充值通过银联、支付宝等第三方接口,实名用户数达百万级,那么该系统也必须通过等保三级。
五、《网络安全等级保护基本要求》解读
针对《网络安全等级保护基本要求》所建立的安全技术体系主要手段包括使用安全产品、加固系统配置和开发安全控制等。其中通过使用成熟的安全产品,可以快速满足合规要求。
六、葫芦娃集团助力企业等保测评
信息安全等级保护是对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
而游戏行业是黑客攻击的重灾区,落实信息安全等级保护是对网民权益的保障之一。葫芦娃集团为企业提供互联网安全认证全面解决方案,如需咨询敬请致电。
联系电话:0571-56260789
网 址:www.huluwa.cc