一、需求背景

　　眾所周知，2016年11月7日全國(guó)人民代表大會(huì)常務(wù)委員會(huì)通過(guò)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》方案， 2017年6月1日《網(wǎng)絡(luò)安全法》正式實(shí)施。之后，阿里云也發(fā)布了“阿里云等級(jí)保護(hù)生態(tài)”，在“生態(tài)”中，阿里云通過(guò)提供云安全產(chǎn)品和服務(wù)，咨詢廠商提供全流程技術(shù)支撐和咨詢服務(wù)，測(cè)評(píng)機(jī)構(gòu)提供測(cè)評(píng)服務(wù)，公安機(jī)關(guān)負(fù)責(zé)備案審核和監(jiān)督檢查，將整個(gè)等保合規(guī)流程的時(shí)間，從平均一年的時(shí)間最快能縮短到了一個(gè)月，極大的降低了“過(guò)等保”的門(mén)檻。

　　而在游戲行業(yè)，上海各區(qū)縣網(wǎng)安也曾召開(kāi)過(guò)游戲行業(yè)網(wǎng)絡(luò)安全工作會(huì)，要求各游戲單位核實(shí)并上報(bào)信息安全問(wèn)題，進(jìn)行網(wǎng)站備案、完善制度和采取措施。在2018年3月28日，上海市信息網(wǎng)絡(luò)安全管理協(xié)會(huì)聯(lián)合上海市網(wǎng)絡(luò)游戲行業(yè)協(xié)會(huì)也同樣舉辦了游戲行業(yè)信息系統(tǒng)等級(jí)保護(hù)定級(jí)、測(cè)評(píng)輔導(dǎo)培訓(xùn)會(huì)議。同時(shí)提出了等保定級(jí)備案及整改測(cè)評(píng)的強(qiáng)制時(shí)間要求， 4月15日前，完成信息系統(tǒng)定級(jí)備案工作，10月1日前，完成差距整改、等保測(cè)評(píng)，拿到備案證明。

　　所以，游戲企業(yè)過(guò)等保，迫在眉睫。同時(shí)對(duì)于企業(yè)自身，等保也是一個(gè)安全管理的“必過(guò)標(biāo)桿”。您可能會(huì)認(rèn)為過(guò)等保是一個(gè)非常艱巨，需要各方溝通的長(zhǎng)期過(guò)程?？赐暌韵掳⒗镌茖?duì)于等保的解讀和相應(yīng)的一站式解決方案，你會(huì)發(fā)現(xiàn)“過(guò)等保“，其實(shí)沒(méi)有那么難。

　　二、等保處罰案例

　　首先我們先來(lái)看一下近期在《網(wǎng)絡(luò)安全法》上的處罰案例，在監(jiān)管加強(qiáng)后、這些在游戲行業(yè)也都會(huì)普遍遇到：

　　案例一、某論壇存在有傳播暴力恐怖、虛假謠言、淫穢色情等危害國(guó)家安全、公共安全、社會(huì)秩序的信息，涉嫌違反《網(wǎng)絡(luò)安全法》被立案調(diào)查，責(zé)令整改。

　　案例二、某公司向公安機(jī)關(guān)報(bào)備的信息系統(tǒng)安全等級(jí)為第三級(jí)，未按規(guī)定定期開(kāi)展等級(jí)測(cè)評(píng)，因此未履行網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)義務(wù)。給予警告處罰并責(zé)令其改正。

　　案例三、某網(wǎng)絡(luò)公司未留存用戶登錄日志、網(wǎng)站存在高危漏洞造入侵。同時(shí)調(diào)查發(fā)現(xiàn)，該網(wǎng)站自運(yùn)行以來(lái)，未進(jìn)行網(wǎng)絡(luò)安全等級(jí)保護(hù)的定級(jí)備案、等級(jí)測(cè)評(píng)等工作。相關(guān)負(fù)責(zé)人行政處罰和罰款，網(wǎng)站責(zé)令整改。

　　所以，僅從2017年8月以來(lái)，互聯(lián)網(wǎng)行業(yè)已有數(shù)十起著名公司因?yàn)槲辞袑?shí)落實(shí)等保安全策略被有關(guān)部門(mén)責(zé)令整改、行政處罰、暫停注冊(cè)、暫停運(yùn)營(yíng)等相應(yīng)處罰;落實(shí)等級(jí)保護(hù)、不僅是企業(yè)自身信息系統(tǒng)正常、安全運(yùn)營(yíng)的需要，更是關(guān)系到互聯(lián)網(wǎng)用戶、社會(huì)安全安定的重大責(zé)任;

　　三、游戲行業(yè)哪些系統(tǒng)需要過(guò)等保

　　以上各子系統(tǒng)便是游戲企業(yè)經(jīng)常遇到的系統(tǒng)部署架構(gòu)，因?yàn)樯婕熬W(wǎng)絡(luò)、通訊、主機(jī)、應(yīng)用、數(shù)據(jù)等方面的數(shù)據(jù)安全，所以都要針對(duì)《網(wǎng)絡(luò)安全法》的條款進(jìn)行評(píng)測(cè)和審核。

　　四、游戲各系統(tǒng)對(duì)于等級(jí)保護(hù)的要求

　　舉例如下：

　　假如有一個(gè)游戲公司，運(yùn)營(yíng)著各類游戲不下10款，同時(shí)游戲用戶都是通過(guò)統(tǒng)一的門(mén)戶網(wǎng)站進(jìn)行注冊(cè)，所以系統(tǒng)組成當(dāng)中就存在用戶管理系統(tǒng)，涉及到了用戶的個(gè)人隱私信息，那么，該系統(tǒng)有以下三種場(chǎng)景需要通過(guò)相應(yīng)的等級(jí)保護(hù)要求。

　　A. 玩家充值通過(guò)銀聯(lián)、支付寶等第三方接口，實(shí)名用戶數(shù)10萬(wàn)，無(wú)其他信息系統(tǒng)，那么該系統(tǒng)必須通過(guò)二級(jí)的等級(jí)保護(hù)要求。

　　B. 玩家充值通過(guò)自建的第三方支付平臺(tái)，涉及計(jì)費(fèi)認(rèn)證系統(tǒng)，實(shí)名用戶數(shù)在30萬(wàn)左右，那么就必須通過(guò)等保三級(jí)。

　　C. 玩家充值通過(guò)銀聯(lián)、支付寶等第三方接口，實(shí)名用戶數(shù)達(dá)百萬(wàn)級(jí)，那么該系統(tǒng)也必須通過(guò)等保三級(jí)。

　　五《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》解讀

　　針對(duì)《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》所建立的安全技術(shù)體系主要手段包括使用安全產(chǎn)品、加固系統(tǒng)配置和開(kāi)發(fā)安全控制等。其中通過(guò)使用成熟的安全產(chǎn)品，可以快速滿足合規(guī)要求。

　　六、阿里云云上等保合規(guī)內(nèi)容、流程及優(yōu)勢(shì)

　　1. 等保合規(guī)生態(tài)

　　為了便于云上系統(tǒng)能夠快速通過(guò)等保測(cè)評(píng)，阿里云通過(guò)建立“等保合規(guī)生態(tài)”，提供一站式等保合規(guī)解決方案。

　　1) 云上等?，F(xiàn)狀

　　大部分租戶對(duì)等保不了解、不知道等保該如何入手、不善于與監(jiān)管部門(mén)打交道、安全體系落后于業(yè)務(wù)發(fā)展等

　　2) 等保工作分工

　　阿里云：整合服務(wù)機(jī)構(gòu)能力，并提供安全產(chǎn)品

　　咨詢廠商：提供全流程技術(shù)支撐和咨詢服務(wù)

　　測(cè)評(píng)機(jī)構(gòu)：提供測(cè)評(píng)服務(wù)

　　公安機(jī)關(guān)：負(fù)責(zé)備案審核和監(jiān)督檢查

　　2. 合規(guī)共擔(dān)模型

　　阿里云平臺(tái)與云上租戶系統(tǒng)采取的分別定級(jí)和測(cè)評(píng)，阿里云平臺(tái)測(cè)評(píng)結(jié)論可供租戶系統(tǒng)測(cè)評(píng)時(shí)復(fù)用。

　　1) 阿里云可提供

　　阿里云平臺(tái)等保備案證明、阿里云測(cè)評(píng)報(bào)告關(guān)鍵頁(yè)、阿里云云盾銷售許可證、阿里云部分測(cè)評(píng)項(xiàng)說(shuō)明等

　　2) 責(zé)任分擔(dān)詳解

　　阿里云是全國(guó)首家家參與和通過(guò)云計(jì)算等保標(biāo)準(zhǔn)試點(diǎn)示范的云服務(wù)商;公共云、電子政務(wù)云通過(guò)等級(jí)保護(hù)三級(jí)備案和測(cè)評(píng);金融云通過(guò)等級(jí)保護(hù)四級(jí)的備案和測(cè)評(píng);

　　根據(jù)監(jiān)管部門(mén)明確的結(jié)論復(fù)用原則，阿里云上的租戶系統(tǒng)通過(guò)等級(jí)保護(hù)測(cè)評(píng)時(shí)，物理安全、部分網(wǎng)絡(luò)安全和安全管理的結(jié)論可以復(fù)用，阿里云可提供說(shuō)明;

　　阿里云平臺(tái)完備的安全技術(shù)和管理架構(gòu)，以及阿里云提供的云盾安全防護(hù)體系，更有利于租戶通過(guò)等級(jí)保護(hù)測(cè)評(píng)。

　　3. 阿里云等保實(shí)施流程和相關(guān)參與單位

　　4. 阿里云等保合規(guī)優(yōu)勢(shì)

　　七、阿里云云上合規(guī)技術(shù)架構(gòu)案例解讀

　　某游戲企業(yè)合規(guī)的安全產(chǎn)品架構(gòu):

　　1) 特點(diǎn)

　　快速接入云盾，快速完成安全整改;

　　全面滿足等保合規(guī)技術(shù)要求;

　　幫助您建立完整的安全技術(shù)架構(gòu)，形成安全縱深防御;

　　2) 等保基本要求

　　3) 主要云安全產(chǎn)品

　　物理和環(huán)境安全：包括機(jī)房供電、溫濕度控制、防風(fēng)防雨防雷措施等，可直接復(fù)用阿里云的測(cè)評(píng)結(jié)論;

　　網(wǎng)絡(luò)和通信安全：包括網(wǎng)絡(luò)架構(gòu)、邊界防護(hù)、訪問(wèn)控制、入侵防范、通信加密等;

　　設(shè)備和計(jì)算安全：包括入侵防范、惡意代碼防范、身份鑒別、訪問(wèn)控制、集中管控和安全審計(jì)等;

　　應(yīng)用和數(shù)據(jù)安全：包括安全審計(jì)、數(shù)據(jù)完整性和保密性