首页> 安全资讯 > 上海游戏行业等级保护规范出台,游戏行业安全步上新台阶!

上海游戏行业等级保护规范出台,游戏行业安全步上新台阶!

发布时间:2018-04-13

3月28日下午,上海市信息网络安全管理协会与上海市网络游戏行业协会联合举办网络游戏行业信息系统等级保护定级、备案、测评培训大会。明确要求上海市游戏行业信息系统定级备案工作在4月15日前完成,10月1日前需完成差距整改、等保测评以及备案证明等相关法规要求。

“信息安全等级保护管理办法”是根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规而制定的相关办法。目的是保护国家秘密信息,对企业或者个人的专有信息和公共信息的存储、传输等渠道进行实时安全保护,并对信息安全事件实行分等级相应、处理。《信息安全等级保护管理办法》是维护国家安全、社会稳定以及经济利益的重要环节。

1994年国务院颁布《中华人民共和国计算机信息系统安全保护条例》147号令规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发【2003】27号)明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。”2012年《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》国发〔2012〕23号第七条提出,要求落实信息安全等级保护制度,开展相应等级的安全建设和管理,做好信息系统定级备案、整改和监督检查。强化网络与信息安全应急处置工作,完善应急预案,加强对网络与信息安全灾备设施建设的指导和协调。完善信息安全认证认可体系,加强信息安全产品认证工作,减少重复检测和重复收费。

等保2.0将等保工作的技术要求和管理要求细分为了更加具体的八大类:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;全策略和管理制度、全管理机构和人、安全建设管理、安全运维管理。而等保2.0在以上基本要求之外,提出了云安全、移动互联网安全、物联网安全、工业控制系统安全、大数据安全等网络空间扩展要求,且每个部分都有详细的安全标准。这些都是等保工作需要做的重点工作。

等保工作可以遵循以下4个步骤进行展开:

1定级

定级阶段主要采取自主定级、专家评审、主管机构审批、公安审查等四步要求完成。定级对象分别为门户网站、用户管理系统、游戏论坛及社区、战网类游戏平台等。

 

 

(图片来源于网络)

2备案

备案阶段则要求定级报告、备案表等由当地所属网安部门审核,审核通过后需等待后续通知审核结果。

3整改

此步骤需信息系统管理运营机构自行聘请第三方进行审查,通过对现有信息系统的安全现状与备案级别要求进行对标核查,分别在技术、产品、管理等方面进行安全规划、核查评审、系统建设以及差距分析,对于低于标准要求的差距进行整改、修补。

4测评

测评阶段需要由信息系统管理运营机构进行专业评测,若信息系统测评结果不存在高危问题并合格率达到60%以上,且测评结果风险分数达到80以上(百分制),则符合最低基本要求。

定级备案完成后,责任单位应当按照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作。开展等级测评,符合测评条件的新建、扩建信息系统及信息系统发生重大改变时,应当及时安排等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。

手游拥有大量的移动端用户,在全新的等保2.0中对移动安全有了明确的要求。针对移动应用app存在的被篡改、被假冒的问题,标准要求采用校验技术保证代码的完整性。同时,应保证等级保护对象业务移动应用软件开发后、上线前经专业测评机构安全检测等。针对移动应用app发布的问题,在移动应用app发布渠道与管理中要求应保证移动终端安装、运行的应用软件来自可靠证书签名或可靠分发渠道。

 

爱加密移动应用安全检测分为静态检测和动态检测

静态检测主要是利用apktool、dex2jar、jd-gui、smali2dex等静态分析工具对应用进行反编译,并对反编译后的java文件、xml文件等文件进行静态扫描分析,通过关键词搜索等静态方式将具有安全隐患的代码进行摘录并存入到检测平台后台,为后续的安全检测报告提供数据依据。

动态检测主要通过沙箱模型、虚拟机等方式对应用的安装、运行过程进行行为的监测分析、从外界观察应用程序的执行过程,进而记录应用程序所表现出来的恶意行为。

爱加密移动应用安全加固针对目前移动应用普遍存在的破解、篡改、劫持、盗版、数据窃取、钓鱼欺诈等各类安全风险,通过行业领先的第六代加固技术,为用户提供全面的移动应用加固加密技术和攻击防范服务。

信息安全等级保护工作是我国多年来信息安全工作经验的总结,是国家信息安全保障的基本制度、基本策略、基本方法。开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障,是解决我国信息安全面临的威胁和存在的问题,实行国家对重要信息系统进行重点安全保障的重大措施。

 


加入收藏