ゲームがセキュリティ保護を通過するのは実際には難しくありません。 ！ ！

1. 需要背景

周知のとおり、2016年11月7日、全国人民代表大会常務委員会は「中華人民共和国サイバーセキュリティ法」を可決し、2017年6月1日に「サイバーセキュリティ法」が正式に施行されました。その後、Alibaba Cloudは「Alibaba Cloud Level Protection Ecosystem」もリリースしました。この「エコシステム」では、Alibaba Cloud がクラウド セキュリティ製品とサービスを提供し、コンサルティング ベンダーが全プロセスの技術サポートとコンサルティング サービスを提供し、評価機関が評価サービスを提供し、公安機関が申請の審査と監督検査を担当します。レベル保護コンプライアンスプロセス全体の所要時間は、平均 1 年から最短 1 か月に短縮され、「レベル保護に合格」するためのハードルが大幅に下がりました。

ゲーム業界では、上海の各区や県のインターネットセキュリティ部門もゲーム業界のネットワークセキュリティ作業会議を開催し、すべてのゲーム部門に情報セキュリティの問題の検証と報告、ウェブサイトの登録、システムの改善、対策の実施を要求した。 2018年3月28日には、上海情報ネットワークセキュリティ管理協会と上海オンラインゲーム産業協会も、ゲーム業界の情報システム保護レベルの分類と評価に関する研修会を開催した。同時に、情報セキュリティ分類の提出と修正および評価に関する義務的な時間要件が提案されました。情報システム分類申請作業は4月15日までに完了し、ギャップ是正と情報セキュリティ評価は10月1日までに完了し、申請証明書を取得する必要があります。

そのため、ゲーム会社にとってセキュリティ保護認証に合格することは必須です。同時に、企業自身にとっても、情報セキュリティ保護はセキュリティ管理の「必須のベンチマーク」でもあります。セキュリティ保護を通過することは、すべての関係者間のコミュニケーションを必要とする非常に困難で長いプロセスであると思われるかもしれません。 Alibaba Cloud の情報セキュリティの解釈とそれに対応するワンストップソリューションを読んでいただければ、「情報セキュリティに合格する」ことはそれほど難しいことではないことがわかります。

II.ミスマッチ保護に対する罰則の事例

まずはサイバーセキュリティ法における最近の罰則事例を見てみましょう。監督が強化された後、ゲーム業界では次のようなこともよく見られるようになります。

事例1：フォーラムで、国家の安全、公共の安全、社会秩序を危険にさらす暴力、テロ、デマ、ポルノなどの情報が拡散された。 「サイバーセキュリティ法」に違反した疑いがあり、調査を受け、是正を命じられた。

事例2：ある企業は、情報システムのセキュリティレベルをレベル3として公安機関に報告したが、規定どおりに定期的なレベル評価を実施しなかったため、ネットワークセキュリティレベルの評価義務を果たせなかった。警告を与え、行動を正すよう命令します。

事例3：あるインターネット企業では、ユーザーのログインログを保存しておらず、Webサイトに侵入につながるリスクの高い脆弱性がありました。同時に、調査の結果、当該ウェブサイトは開設以来、ネットワークセキュリティレベル保護分類の申請やレベル評価などの作業を一切行っていないことが判明した。当該責任者は行政処分と罰金の対象となり、ウェブサイトには是正命令が下された。

そのため、2017年8月以降だけでも、多層保護セキュリティ戦略を効果的に実施できなかったとして、関係部門から是正命令、行政処罰、登録停止、業務停止などの相応の処罰を受けたインターネット業界の有名企業が数十社に上ります。多層防御の実装は、企業自身の情報システムの正常かつ安全な運用に必要なだけでなく、インターネットユーザーと社会の安全と安定に関わる大きな責任でもあります。

3. ゲーム業界ではどのシステムがセキュリティ保護に合格する必要があるか

上記のサブシステムは、ゲーム会社が頻繁に遭遇するシステム展開アーキテクチャです。これらは、ネットワーク、通信、ホスト、アプリケーション、データなどの面でデータセキュリティに関係するため、「サイバーセキュリティ法」の規定に従って評価および検討される必要があります。

IV.各ゲームシステムにおけるレベル保護の要件

以下にいくつか例を挙げます。

10 種類以上のさまざまなゲームを運営するゲーム会社があり、すべてのゲームユーザーが統一されたポータル Web サイトを通じて登録しているとします。そのため、システム内にはユーザーの個人情報を扱うユーザー管理システムが存在します。次に、システムには、対応するレベルの保護要件を満たす必要がある次の 3 つのシナリオがあります。

A. プレイヤーはUnionPayやAlipayなどのサードパーティインターフェースを通じてチャージし、実名ユーザーの数は10万人で、その他の情報システムはありません。次に、システムは第 2 レベルの保護要件を満たす必要があります。

B. プレイヤーは、請求認証システムを含む独自に構築したサードパーティの支払いプラットフォームを通じてチャージします。実名ユーザー数は約30万人なので、第3レベルのセキュリティ保護を通過する必要があります。

C. プレイヤーがUnionPayやAlipayなどのサードパーティインターフェースを通じてチャージし、実名ユーザーの数が数百万人に達すると、システムは第3レベルのセキュリティ保護も通過する必要があります。

5. サイバーセキュリティレベル保護の基本要件の解釈

「ネットワークセキュリティレベル保護の基本要件」に対応してセキュリティ技術システムを確立するための主な手段としては、セキュリティ製品の使用、システム構成の強化、セキュリティ制御の開発などがあります。その中で、成熟したセキュリティ製品を使用することで、コンプライアンス要件を迅速に満たすことができます。

VI. Alibaba Cloudのクラウドセキュリティのコンプライアンス内容、プロセス、利点

1. セキュリティコンプライアンスエコシステム

クラウドシステムが情報セキュリティ評価に迅速に合格できるようにするために、Alibaba Cloud は「情報セキュリティコンプライアンスエコシステム」を構築し、ワンストップの情報セキュリティコンプライアンスソリューションを提供しています。

1) クラウドベースのセキュリティ保護の現状

ほとんどの入居者はセキュリティシステムを理解しておらず、セキュリティシステムを取得する方法を知らず、規制当局とのやり取りが得意ではなく、セキュリティシステムはビジネスの発展に遅れをとっています。

2) 安全保障のための分業

Alibaba Cloud: サービス代理店機能を統合し、セキュリティ製品を提供

コンサルティングベンダー：プロセス全体の技術サポートとコンサルティングサービスを提供

評価機関：評価サービスを提供する

公安機関：書類審査、監督検査を担当

2. コンプライアンス共有モデル

Alibaba Cloud プラットフォームとクラウド上のテナント システムは個別に評価されます。 Alibaba Cloud プラットフォームの評価結果は、テナント システムの評価に再利用できます。

1) アリババクラウドは

Alibaba Cloud プラットフォーム セキュリティ登録証明書、Alibaba Cloud 評価レポート キー ページ、Alibaba Cloud Shield 販売ライセンス、Alibaba Cloud 部品評価項目の説明など。

2) 責任分担の詳細な説明

Alibaba Cloud は、クラウド コンピューティング セキュリティ標準のパイロット デモンストレーションに参加し、合格した中国初のクラウド サービス プロバイダーです。パブリッククラウドと電子政府クラウドは第3レベルの保護登録と評価に合格しました。金融クラウドは第4レベルの保護登録と評価に合格しました。

規制当局によって明確に定義された結論の再利用の原則によれば、Alibaba Cloud 上のテナント システムが多層保護評価に合格すると、物理セキュリティ、一部のネットワーク セキュリティ、およびセキュリティ管理に関する結論を再利用できます。 Alibaba Cloud が手順を提供します。

Alibaba Cloud プラットフォームの包括的なセキュリティ技術と管理アーキテクチャ、および Alibaba Cloud の Cloud Shield セキュリティ保護システムは、テナントがレベル保護評価に合格するのにさらに役立ちます。

3. Alibaba Cloudのセキュリティ実装プロセスと関連する参加ユニット

4. セキュリティコンプライアンスにおけるAlibaba Cloudの優位性

七。 Alibaba Cloud のコンプライアンス技術アーキテクチャに関するケーススタディ

ゲーム会社の準拠セキュリティ製品アーキテクチャ:

1) 特徴

Cloud Shield に素早くアクセスし、セキュリティ修正を素早く完了します。

セキュリティコンプライアンスの技術要件を完全に満たします。

完全なセキュリティ テクノロジ アーキテクチャを構築し、セキュリティ防御を徹底的に構築するのに役立ちます。

2) セキュリティ保護の基本要件

3) 主要なクラウドセキュリティ製品

物理的および環境的セキュリティ：電源、温度と湿度の制御、風雨と雷の保護対策などが含まれ、Alibaba Cloud の評価結論を直接再利用できます。

ネットワークおよび通信セキュリティ: ネットワーク アーキテクチャ、境界保護、アクセス制御、侵入防止、通信暗号化などを含む。

機器およびコンピューティングのセキュリティ: 侵入防止、悪意のあるコードの防止、ID 認証、アクセス制御、集中管理と制御、セキュリティ監査など。

アプリケーションとデータのセキュリティ: セキュリティ監査、データの整合性と機密性を含む