一、需求背景

　　眾所周知，2016年11月7日全國人民代表大會常務委員會通過《中華人民共和國網絡安全法》方案， 2017年6月1日《網絡安全法》正式實施。之后，阿里云也發布了“阿里云等級保護生態”，在“生態”中，阿里云通過提供云安全產品和服務，咨詢廠商提供全流程技術支撐和咨詢服務，測評機構提供測評服務，公安機關負責備案審核和監督檢查，將整個等保合規流程的時間，從平均一年的時間最快能縮短到了一個月，極大的降低了“過等保”的門檻。

　　而在游戲行業，上海各區縣網安也曾召開過游戲行業網絡安全工作會，要求各游戲單位核實并上報信息安全問題，進行網站備案、完善制度和采取措施。在2018年3月28日，上海市信息網絡安全管理協會聯合上海市網絡游戲行業協會也同樣舉辦了游戲行業信息系統等級保護定級、測評輔導培訓會議。同時提出了等保定級備案及整改測評的強制時間要求， 4月15日前，完成信息系統定級備案工作，10月1日前，完成差距整改、等保測評，拿到備案證明。

　　所以，游戲企業過等保，迫在眉睫。同時對于企業自身，等保也是一個安全管理的“必過標桿”。您可能會認為過等保是一個非常艱巨，需要各方溝通的長期過程?？赐暌韵掳⒗镌茖τ诘缺５慕庾x和相應的一站式解決方案，你會發現“過等保“，其實沒有那么難。

　　二、等保處罰案例

　　首先我們先來看一下近期在《網絡安全法》上的處罰案例，在監管加強后、這些在游戲行業也都會普遍遇到：

　　案例一、某論壇存在有傳播暴力恐怖、虛假謠言、淫穢色情等危害國家安全、公共安全、社會秩序的信息，涉嫌違反《網絡安全法》被立案調查，責令整改。

　　案例二、某公司向公安機關報備的信息系統安全等級為第三級，未按規定定期開展等級測評，因此未履行網絡安全等級測評義務。給予警告處罰并責令其改正。

　　案例三、某網絡公司未留存用戶登錄日志、網站存在高危漏洞造入侵。同時調查發現，該網站自運行以來，未進行網絡安全等級保護的定級備案、等級測評等工作。相關負責人行政處罰和罰款，網站責令整改。

　　所以，僅從2017年8月以來，互聯網行業已有數十起著名公司因為未切實落實等保安全策略被有關部門責令整改、行政處罰、暫停注冊、暫停運營等相應處罰;落實等級保護、不僅是企業自身信息系統正常、安全運營的需要，更是關系到互聯網用戶、社會安全安定的重大責任;

　　三、游戲行業哪些系統需要過等保

　　以上各子系統便是游戲企業經常遇到的系統部署架構，因為涉及網絡、通訊、主機、應用、數據等方面的數據安全，所以都要針對《網絡安全法》的條款進行評測和審核。

　　四、游戲各系統對于等級保護的要求

　　舉例如下：

　　假如有一個游戲公司，運營著各類游戲不下10款，同時游戲用戶都是通過統一的門戶網站進行注冊，所以系統組成當中就存在用戶管理系統，涉及到了用戶的個人隱私信息，那么，該系統有以下三種場景需要通過相應的等級保護要求。

　　A. 玩家充值通過銀聯、支付寶等第三方接口，實名用戶數10萬，無其他信息系統，那么該系統必須通過二級的等級保護要求。

　　B. 玩家充值通過自建的第三方支付平臺，涉及計費認證系統，實名用戶數在30萬左右，那么就必須通過等保三級。

　　C. 玩家充值通過銀聯、支付寶等第三方接口，實名用戶數達百萬級，那么該系統也必須通過等保三級。

　　五《網絡安全等級保護基本要求》解讀

　　針對《網絡安全等級保護基本要求》所建立的安全技術體系主要手段包括使用安全產品、加固系統配置和開發安全控制等。其中通過使用成熟的安全產品，可以快速滿足合規要求。

　　六、阿里云云上等保合規內容、流程及優勢

　　1. 等保合規生態

　　為了便于云上系統能夠快速通過等保測評，阿里云通過建立“等保合規生態”，提供一站式等保合規解決方案。

　　1) 云上等保現狀

　　大部分租戶對等保不了解、不知道等保該如何入手、不善于與監管部門打交道、安全體系落后于業務發展等

　　2) 等保工作分工

　　阿里云：整合服務機構能力，并提供安全產品

　　咨詢廠商：提供全流程技術支撐和咨詢服務

　　測評機構：提供測評服務

　　公安機關：負責備案審核和監督檢查

　　2. 合規共擔模型

　　阿里云平臺與云上租戶系統采取的分別定級和測評，阿里云平臺測評結論可供租戶系統測評時復用。

　　1) 阿里云可提供

　　阿里云平臺等保備案證明、阿里云測評報告關鍵頁、阿里云云盾銷售許可證、阿里云部分測評項說明等

　　2) 責任分擔詳解

　　阿里云是全國首家家參與和通過云計算等保標準試點示范的云服務商;公共云、電子政務云通過等級保護三級備案和測評;金融云通過等級保護四級的備案和測評;

　　根據監管部門明確的結論復用原則，阿里云上的租戶系統通過等級保護測評時，物理安全、部分網絡安全和安全管理的結論可以復用，阿里云可提供說明;

　　阿里云平臺完備的安全技術和管理架構，以及阿里云提供的云盾安全防護體系，更有利于租戶通過等級保護測評。

　　3. 阿里云等保實施流程和相關參與單位

　　4. 阿里云等保合規優勢

　　七、阿里云云上合規技術架構案例解讀

　　某游戲企業合規的安全產品架構:

　　1) 特點

　　快速接入云盾，快速完成安全整改;

　　全面滿足等保合規技術要求;

　　幫助您建立完整的安全技術架構，形成安全縱深防御;

　　2) 等?；疽?/p>

　　3) 主要云安全產品

　　物理和環境安全：包括機房供電、溫濕度控制、防風防雨防雷措施等，可直接復用阿里云的測評結論;

　　網絡和通信安全：包括網絡架構、邊界防護、訪問控制、入侵防范、通信加密等;

　　設備和計算安全：包括入侵防范、惡意代碼防范、身份鑒別、訪問控制、集中管控和安全審計等;

　　應用和數據安全：包括安全審計、數據完整性和保密性