“ 游戲行業安全大考——等保定級備案”

一、需求背景

眾所周知，2016年11月7日全國人民代表大會常務委員會通過《中華人民共和國網絡安全法》方案，2017年6月1日《網絡安全法》正式實施。其中對于網絡安全等級保護制度提出了明確的要求。“第二十一條 國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改。”

而在游戲行業，上海各區縣網安也曾召開過游戲行業網絡安全工作會，要求各游戲單位核實并上報信息安全問題，進行網站備案、完善制度和采取措施。在2018年3月28日，上海市信息網絡安全管理協會聯合上海市網絡游戲行業協會也同樣舉辦了游戲行業信息系統等級保護定級、測評輔導培訓會議。同時提出了等保定級備案及整改測評的強制時間要求，4月15日前，完成信息系統定級備案工作，10月1日前，完成差距整改、等保測評，拿到備案證明。

因此，游戲企業過等保，迫在眉睫。同時對于企業自身，等保也是一個安全管理的“必過標桿”。接下來小編為您解讀相關政策~

二、等保處罰案例

近期在《網絡安全法》上的處罰案例，在監管加強后、這些情況在游戲行業也會遇到：

案例一、某論壇存在有傳播暴力恐怖、虛假謠言、淫穢色情等危害國家安全、公共安全、社會秩序的信息，涉嫌違反《網絡安全法》被立案調查，責令整改。

案例二、某公司向公安機關報備的信息系統安全等級為第三級，未按規定定期開展等級測評，因此未履行網絡安全等級測評義務。給予警告處罰并責令其改正。

案例三、某網絡公司未留存用戶登錄日志、網站存在高危漏洞造入侵。同時調查發現，該網站自運行以來，未進行網絡安全等級保護的定級備案、等級測評等工作。相關負責人行政處罰和罰款，網站責令整改。

僅從2017年8月以來，互聯網行業已有數十起著名公司因為未切實落實等保安全策略被有關部門責令整改、行政處罰、暫停注冊、暫停運營等相應處罰；落實等級保護、不僅是企業自身信息系統正常、安全運營的需要，更是關系到互聯網用戶、社會安全安定的重大責任。

三、游戲行業哪些系統需要過等保

門戶網站：網絡游戲企業門戶網站、游戲宣傳門戶。

用戶管理系統：提供用戶注冊、用戶實名認證，以及為下屬所運營游戲提供統一用戶認證。

游戲論壇及社區：為玩家提供的游戲類討論與經驗分享討論。

計費認證系統：為游戲用戶提供統一的支付充值與虛擬貨幣管理平臺。

戰網類游戲平臺：為旗下多款游戲提供統一入口和用戶認證的游戲平臺，如QQ游戲大廳等。

以上各子系統便是游戲企業經常遇到的系統部署架構，因為涉及網絡、通訊、主機、應用、數據等方面的數據安全，都要針對《網絡安全法》的條款進行評測和審核。

四、游戲各系統對于等級保護的要求

舉例如下：

假如有一個游戲公司，運營著各類游戲不下10款，同時游戲用戶都是通過統一的門戶網站進行注冊，所以系統組成當中就存在用戶管理系統，涉及到了用戶的個人隱私信息，那么，該系統有以下三種場景需要通過相應的等級保護要求。

（1）玩家充值通過銀聯、支付寶等第三方接口，實名用戶數10萬，無其他信息系統，那么該系統必須通過二級的等級保護要求。

（2）玩家充值通過自建的第三方支付平臺，涉及計費認證系統，實名用戶數在30萬左右，那么就必須通過等保三級。

（3）玩家充值通過銀聯、支付寶等第三方接口，實名用戶數達百萬級，那么該系統也必須通過等保三級。

五、《網絡安全等級保護基本要求》解讀

針對《網絡安全等級保護基本要求》所建立的安全技術體系主要手段包括使用安全產品、加固系統配置和開發安全控制等。其中通過使用成熟的安全產品，可以快速滿足合規要求。

六、葫蘆娃集團助力企業等保測評

信息安全等級保護是對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級響應、處置。

而游戲行業是黑客攻擊的重災區，落實信息安全等級保護是對網民權益的保障之一。葫蘆娃集團為企業提供互聯網安全認證全面解決方案，如需咨詢敬請致電。

聯系電話：0571-56260789

    網   址：www.huluwa.cc