GB/T32414-2015
网络游戏安全
Onlinegamesecurity
- 中国标准分类号(CCS)L66
- 国际标准分类号(ICS)35.240.99
- 实施日期2016-07-01
- 文件格式PDF
- 文本页数8页
- 文件大小297.63KB
以图片形式预览网络游戏安全
网络游戏安全
国家标准 GB/T32414一2015 网络游戏安全 Onlinegammesecurity 2015-12-31发布 2016-07-01实施 中毕人民共和国国家质量监督检验检疫总局 发布 中 国国家标准化管厘委员会国家标准
GB/T32414一2015 目 次 前言 范围 规范性引用文件 术语和定义 密钥要求 资料保存安全 账号安全 虚拟财产
GB/T32414一2015 前 言 本标准按照GB/T1.1一2009给出的规则起草
请注意本文件的某些内容可能涉及专利
本文件的发布机构不承担识别这些专利的责任
本标准由全国信息技术标准化技术委员会(SAC/TC28)提出并归口
本标准起草单位;电子技术标准化研究院、信息产业商会网络游戏产业分会、上海盛大游 戏公司,北京动感时空技术服务有限公司
本标准主要起草人;赵菁华,陈胜喜、杜江杰,樊星,张展新
业
GB/T32414一2015 网络游戏安全 范围 本标准规定了网络游戏软件的安全要求
本标准适用于网络游戏软件的开发和测试及网络游戏的运营
规范性引用文件 下列文件对于本文件的应用是必不可少的
凡是注日期的引用文件,仅注日期的版本适用于本文 件
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T1988信息技术信息交换用七位编码字符集 GB/T17901.1信息技术安全技术密钥管理第1部分;框架 GM/T0002SM4分组密码算法 GM/T0003(所有部分SM2椭圆曲线公钥密码算法 GM/T0004SM3密码杂凑算法 (GM/T0009SM2密码算法使用规范 GM/T0010SM2密码算法加密签名消息语法规范 术语和定义 下列术语和定义适用于本文件
3.1 风险控制判断riskcontroljudge ement 针对账号和应用的限制和保护,设置风险判定条件
密钥要求 4.1 密码算法要求 密码算法应符合以下要求 a)对称加密算法应符合GM/T0002的要求 b) 非对称加密算法应符合GM/T0003.,GM/T009和GM/T0010的要求 杂凑算法应符合GM/T0004的要求
c) 4.2密钥管理要求 密钥管理应符合以下要求 a)密钥管理应符合GB/T17901.1的要求 b) 设立加密密钥双重控制规则,分开保管和建立; e)密钥在除加密设备以外不应以明文形式出现; d)生成的密钥应以密文形式传输,不应将密钥与外部供应商共享;
GB/T32414一2015 e)密钥应至少每年进行一次密钥更改; f)对于疑似泄露的加密的密钥应及时弃用或更改; g)应要求密钥保管人签署文件,声明清楚并接受密钥保管责任
资料保存安全 5.1管理员密码要求 管理员密码应符合以下要求 a 至少应选择对称加密,密码长度应超过32个字符,每个密码应至少包含GB/T1988中的大小 写字母,0~9数字和其他可输人输出字符 D)使用磁盘加密时,加密工具的管理账号应独立于操作系统的账号
5.2实名资料保存策略 网络游戏产品运营企业应根据业务,法律或法规要求制定用于证明个人身份有效性的实名资料的 保留和处理策略 5.3用户支付账户信息保存 用户支付账户信息应符合以下要求 显示支付账号时对其进行掩盖,至少掩盖4位; a b如使用了磁盘加密而不是文件级或列级数据库加密,则对逻辑访问的管理应独立于本地操作 系统的访问控制机制: 解密密钥不应与用户账户绑定
账号安全 6.1账号资料信息 6.1.1账号资料管理 账号资料管理包括: 账号基本信息内容 a 在注册账号时至少应填写的信息包括账号、密码,针对年满18周岁或取消防沉迷措施限制的 用户,还应提供用户姓名和公民身份证号码
b 账号保护信息 在注册账号时至少应填写的账号保护信息包括;姓名、公民身份证号码,联系电话、电子邮箱和 提示问题
账号信息的补填与修改 账号注册应可以补填相应的账号资料信息,修改账号资料信息通过安全审核
安全风险控制 账号资料在数据库中应加密保存,所在物理服务器应设置IP地址安全策略,禁止不相关应用 服务器访问
应用服务器使用该数据库账户应仅对业务数据具有操作权限
6.1.2账号日志 账号日志至少应记录账号的注册、登录、管理及变更信息
GB/T32414一2015 6.2账号管理措施 6.2.1密码复杂度 系统应对密码有复杂度要求 a)应根据密码字符种类、长度等综合判断给出密码复杂度; 示例,例如密码字符长度小于6位,则密码强度为弱,字符种类等于2种且长度大于或等于6位,则密码强度为中 字符种类大于2种,长度大于6位,则密码强度为强
b密码不宜设置为常见的弱密码,且不应为账号串的一部分 用户密码的强度过低时宜给予提示,用户长时间未修改过密码也宜提示用户 6.2.2用户密码管理 系统应提供 a)多种密码修改方式 示例:如通过移动通信终端、电子邮箱、当前密码、资料修改等方式修改密码
b)自定义选择修改密码的方式; c)开通/关闭用来修改密码的相关审核资料
6.2.3密码错误锁定 认证环节宜提供以下功能 a)在密码错误时触发验证码策略 b)在连续密码错误时锁定认证环节一定时间
6.2.4密码修改及重置 密码修改及重置机制设置如下 a)密码修改环节应设有风险控制判断机制,防止被恶意修改或重置密码 可通过多种机制重置密哟 b 示例,如移动通信终洲,电子邮箱、提示问题,资料等
6.2.5账号密码安全控件 账号密码安全控件应符合以下要求: a)所有涉及账号密码的传输都应通过HTTPs协议采用加密的可信信道传输密文密码; b) 客户端应提供密码安全控件,通过驱动底层对用户密码进行加密存储,并且由非对称加密算法 从驱动中加密取出供认证使用
注:用于防止用户被木马通过内存截取,键盘钩子等机制盗取用户密码 6.2.6登录权限管理 系统应提供: 分级的登录权限管理; a 示例:如静态验证,动态验证和移动通信终端验证
b)账号登录权限的自助管理功能; 示例:如账号屏蔽,解除屏敞、登录方式屏蔽和解除屏蔽
登录地绑定服务
示例:如用户设置后则只能在绑定的省市登录
GB/T32414一2015 6.2.7防钓鱼安全 系统应提供防钓鱼安全揩施 a)当游戏检测到用户访问钓鱼网址时,应在进人网址前弹出窗口提醒用户 b 当游戏检测到用户访问到可疑网址时,且输人的账号与网游账号匹配时,应弹出窗口提示 用户; 后台应实时积累运营相关数据,及时更新钓鱼网址库
6.2.8绑定邮箱 绑定邮箱以符合以下要求: 应提供邮箱绑定、解绑功能,绑定邮箱环节有风险控制判断,防止用户被恶意绑定邮箱 a 用户绑定邮箱后,若在相应的高风险操作时,应补充验证相应的绑定邮箱" b 用户绑定邮箱后,若账号有风险,应通过邮件通知到用户
c 6.2.9绑定移动通信终端 绑定移动通信终端应符合以下要求 应提供移动通信终端绑定,解绑功能,绑定移动通信终端环节有风险控制判断,防止用户被恶 a 意绑定; b)用户绑定移动通信终端后,若在相应的高风险操作时,应补充验证相应的绑定移动通信终端 e)用户绑定移动通信终端后,若账号有风险,应通过移动通信终端尽快通知到用户
6.2.10登录风险控制 登录环节应设有异常登录检测机制
注:可根据账号和账号登录日志判断本次登录是否正常,防止用户账号被异常登录
6.2.11账号异动警告 账号异动警告应符合以下内容: 登录行为异动:结合账号历史行为,根据账号的登录日志判断本次登录是否正常,如可疑,则补 充验证或者拒绝本次登录,加强该账号的后续安全保护,并通过邮件/短信/游戏内消息等多种 方式提示,提醒用户; b)消耗行为异动;结合账号历史行为,根据账号的登录日志、消费业务等多维度判断本次消费是 否正常,应加强该账号的后续安全保护,可通过邮件/短信/游戏内消息等多种方式提示用户
虚拟财产 7.1 货币充值安全 充值安全包括 a)仅向授权商户开放储值接口访问权限 b) 用户的充值记录保留期自用户充值之日起应不少于180d; e)充值记录可查询内容包括:充值日期、账号,渠道、支付方式、金额、目标虚拟货币及数额等 信息; d)仅向授权商户开放余额查询接口的访问权限 e)控制账号余额可用游戏范围
GB/T32414一2015 7.2消费权限管理 系统宜提供权限的限制,包括: a)针对账号限制和保护;提供消费屏蔽,解除屏蔽功能消费环节设有风险控制判断环节,结合账 号历史行为判断本次消费是否正常,如可疑,补充验证或者拒绝本次消费 示例如根据账号,IP,消费业务等多维度判断本次消费是否正常
针对应用眼制和保护提供可消费应用开通和关闭功能,只有开通的应用可以消费
消费环节 b 设有风险控制判断环节,结合账号历史行为判断本次消费是否正常,如可疑,补充验证或者拒 绝本次消费; 示例:如根据账号,IP,消费业务等多维度判断本次消费是否正常
限额限时限次;用户可自助设置每天可消费的总额度、时间或次数 7.3交易资料保存 交易资料保存应符合以下要求 应为多用户系统组件建立访问控制,除非特别允许,应设置为“禁止所有用户访问数据” a 用户间的交易记录和账务记录保留期自交易行为发生之日起应不少于180d. b 当提供用户间虚拟货币转移服务时,转移记录保留期自转移行为发生之日起应不少于180d
c
网络游戏安全GB/T32414-2015
网络游戏在现代社会中越来越受到欢迎,但同时也面临着越来越多的安全问题。为了保障玩家信息的安全和游戏经济的稳定,国家制定了一系列网络游戏安全标准,其中最重要的就是GB/T32414-2015标准。
GB/T32414-2015标准是由中国电子技术标准化研究院和腾讯共同起草的,该标准从网络游戏的角度出发,提出了一系列安全保障措施。这些措施包括以下几个方面:
- 账号安全:游戏厂商应该采取有效措施保护用户的账号安全,例如采用密码、密保等方式。
- 交易安全:游戏厂商应该建立交易管理机制,确保交易过程中的信息安全,防止欺诈等行为。
- 游戏内容安全:游戏厂商应该审核游戏中的文字、图片和音频等内容,防止涉及暴力、色情等不健康内容。
- 游戏程序安全:游戏厂商应该加强程序开发过程中的安全措施,防范黑客攻击和恶意代码注入等行为。
GB/T32414-2015标准的制定和实施,有效提高了网络游戏安全性。然而,我们也应该注意到,安全问题仍然存在。玩家在参与网络游戏时,也需要自己保护好个人信息和财产安全。以下是一些建议:
- 设置强密码,并且定期更换。
- 避免使用相同的密码。
- 不要轻易向他人透露个人信息。
- 不要轻信陌生人的交易请求。
- 在游戏中遇到任何异常情况,应该及时联系客服。
总之,网络游戏安全对于玩家和游戏厂商来说,都非常重要。GB/T32414-2015标准的出台,标志着我国网络游戏安全工作进入了一个新阶段。希望未来能够有更多的标准和措施来进一步提高网络游戏的安全性。
