游戏安全资讯精选 2017年第十七期：2017年最值得关注的出海游戏公司

游戏安全资讯精选

2017年最值得关注的出海游戏公司，微软十二月“周二补丁日”一览，中小企业公有云网络安全保障体系和混合云搭建实践

【游戏行业安全动态】2017年最值得关注的出海游戏公司

概要：在国内游戏市场人口红利耗尽的前提下，中国移动游戏市场在整体规模继续稳定增长的同时，端游页游厂商纷纷入局，渠道逐渐式微，买量成本暴涨等一系列因素，导致许多游戏企业的生存环境更加艰险。面对竞争如此激烈的市场环境，“不出海，就出局”渐成手游行业共识。

事实上，中国游戏正在全球范围内“猛烈进攻”。根据报告显示，在2017上半年的25个成绩最突出的国家或地区中，中国移动游戏发行商已经获得了比去年同期高出130%的收入；在全球周活跃渗透率TOP1000的游戏里，中国游戏就占了十分之一，且出海数量一直在增长。

点评：国内竞争激烈，早期让一批中小厂商被迫出海，而如今，为了寻求更多的业务增长点，大厂也开始出海了。今年可以明显的看到，腾讯、网易，以及阿里等大厂商，都拿出了各自的大动作，以此扩展业务的增长点，而过内外的安全环境不尽相同，在安全领域，游戏出海会面临新的挑战。

【相关安全事件】微软“周二补丁日”十二月

概要：美国时间2017年12月12日，微软发布12月份的安全公告，本次安全公告显示微软修补了34个漏洞，其中共有21个漏洞被评为关键，另外13个被评为重要。 受影响的是Internet Explorer，Microsoft Edge，Microsoft Windows，Microsoft Office，SharePoint和Exchange。 除了解决的33个漏洞之外，微软还发布了Microsoft Office更新，通过禁用动态数据交换（DDE）协议来提高安全性。 ADV170021中详细介绍了此更新，并影响了所有受支持的Office版本。 无法安装此更新的组织应咨询有助于减轻DDE开发尝试的解决方法的建议。 值得注意本次安全公告中，微软发布了英国国家网络安全中心的研究发现了远程代码执行漏洞-Microsoft恶意软件保护引擎（MPE）的两个修补程序（CVE-2017-11937和CVE-2017-11940）。

点评：阿里云安全团队建议关注，并根据业务情况择机更新补丁，以提高服务器安全性： 建议打开Windows Update功能，然后点击“检查更新”按钮，根据业务情况下载安装相关安全补丁，安装完毕后重启服务器，检查系统运行情况。在更新安装升级前，建议做好测试工作，并务必做好数据备份和快照，防止出现意外。

【云上视角】中小企业公有云网络安全保障体系实践初探

概要：许多大中型互联网企业都在建设自己的网络安全保障体系，并且配备了专业的网络安全人员，实现了一体化的网络安全保障。但中小型企业由于资金、人员、技术等众多客观原因，而无法完成；另外由于公有云给中小企业带来了高性价比的资源优势，但在使用云计算过程中，如果操作不当，反而会引入比较高的网络安全风险。下面我们先从大概的了解一下什么是网络安全保障体系，然后再看我们如何把这套体系在一定成本可控的情况下落地实践。

【云上视角】如何快速搭建安全的混合云？

概要：从行业内权威机构的调查分析报告看，混合云打消了企业的诸多顾虑又能充分的利用公有云的优势。做为当前一个非常好的平衡点，以混合的IT架构实现企业的业务结果，这种趋势正在急速增长，且会成为常态。

政府安全资讯精选

全国各地开展打击整治网络侵犯公民个人信息犯罪专项行动；中共中央办公厅、国务院办公厅印发计划 IPv6规模部署提上日程

【国内政策动态】全国各地开展打击整治网络侵犯公民个人信息犯罪专项行动 点击查看原文

概要：去年以来，公安部在全国开展打击整治网络侵犯公民个人信息犯罪专项行动，在各省破获多起案件。其中，福州公安机关近日破获一起特大侵犯公民个人信息案，查获个人信息超过千万条，抓获的 19 名犯罪嫌疑人绝大多数是房产开发、销售、中介等内部人员。他们利用职务便利，非法收集、交换、出售公民个人信息，从中牟利。从公安机关破获和法院判决的案例看，车辆、征信报告、银行账户、房产、教育、医疗等信息是最热门的信息类型。

点评：随着《网络安全法》落地和后续配套个人信息保护标准的实施，公民个人信息犯罪的打击力度会越来越大。企业在做好相应的数据安全措施同时，也要加强对内部员工、第三方服务商人员的管理，控制具有获得用户个人信息权限的人数。根据《网安法》规定，一旦被查处，出了公司面临责罚，相关的网络安全负责人个人也会收到罚款等处罚。

【国内政策动态】中共中央办公厅、国务院办公厅印发计划 IPv6规模部署提上日程 点击查看原文

概要：2017年11月26日，中共中央办公厅、国务院办公厅印发了《推进互联网协议第六版（IPv6）规模部署行动计划》。目前，IPv6 地址总数已超过了 340 万亿， 物联网，大数据，人工智能等产业部署对 IP 地址有很强烈的刚性需求。

点评：IPv6在硬件层面、递归层面已经具备一定条件，但是在日常实际使用层面，很多接网设备还未替换IPv6，这使得其市场化步伐会滞后一段时间。IPv6的落地推进，还需要配合一些改革和补助措施，否则对于IPv4资源丰富企业，可能会等到用户端变更完毕再去投入。IPv6的出现，对于传统的DPI设备是一种挑战。

【安全事件】美国北卡罗来纳州政府服务器遭勒索软件攻击 点击查看原文

概要：美国北卡罗来纳州夏洛特某县的重要服务器本周遭到勒索软件网络攻击，导致政府机构工作人员无法正常办公。据称，感染起源于一封带有恶意软件附件的邮件，进而蔓延到整个内部网络。黑客要求政府支付2.3万美元来恢复系统。北卡政府拒绝了这一要求。

解读：政府网站作为关键信息基础设施，安全要求性比普通企业更高。内部员工的安全防范意识培训也至关重要。据美联社消息，官员们确实有考虑支付黑客赎金，但专家们指出，黑客恢复系统的时间将几乎跟其通过备份恢复的时间一样长。出于这个原因，当地政府决定继续执行繁重的手动维护活动和纪录来恢复系统，而非支付赎金，以达到黑客的勒索目的。