殺瘋了的黑神話，野蠻生長的游戲身份與數(shù)據(jù)安全

《黑神話：悟空》殺瘋了！僅在8月20日正式發(fā)售這天，這款游戲就不斷創(chuàng)造奇跡。

然而，樹高招風(fēng)。在正式上線后，這款游戲就接連爆出各種安全事件。例如，1元可在閑魚購買盜版《黑神話：悟空》，游戲賬號竊取、共享、租借......

這樣的安全事件不僅在上線后，在正式上線前，網(wǎng)絡(luò)上就爆料出諸多關(guān)于《黑神話：悟空》的詐騙廣告。

其目的是通過“限時測試版開啟免費(fèi)試玩”的誘餌，引導(dǎo)用戶在Steam激活游戲，點(diǎn)進(jìn)網(wǎng)站之后領(lǐng)取資格就會讓玩家輸入Steam賬號密碼，然后盜取玩家賬號內(nèi)的庫存物品。

此外，在游戲上線前一周，三段《黑神話：悟空》劇情視頻在網(wǎng)上泄露，引起玩家和業(yè)內(nèi)人士的熱議。

游戲科學(xué)聯(lián)合創(chuàng)始人、《黑神話：悟空》美術(shù)總監(jiān)楊奇發(fā)文談到此次泄露事件，他表示，游戲信息泄露儼然已成行業(yè)難題。

01

游戲行業(yè)身份與數(shù)據(jù)安全事件引深思

除了上述游戲賬號密碼、數(shù)據(jù)資產(chǎn)的安全隱患外，玩家的身份證賬號安全、個人手機(jī)號碼等隱私數(shù)據(jù)信息安全，賬號惡意注冊、刷號養(yǎng)號、非法賬號租售、違規(guī)信息、網(wǎng)絡(luò)暴力等游戲黑灰產(chǎn)問題也備受關(guān)注。

而游戲行業(yè)用戶規(guī)模之大，更是進(jìn)一步加劇了游戲行業(yè)的身份與數(shù)據(jù)安全隱患。

據(jù)日本游戲時代研究所2022年的一份PC游戲用戶報告顯示：當(dāng)時中國已經(jīng)成為Steam的最大市場，年收入約為666.25 億元人民幣，相當(dāng)于每天從國內(nèi)賺走2億元。到2022年，中國主機(jī)游戲用戶規(guī)模更達(dá)到了893.54萬人。

這樣龐大規(guī)模的中國游戲用戶群體，無論是從外部玩家個人隱私安全保護(hù)的角度，還是游戲企業(yè)自身游戲業(yè)務(wù)經(jīng)營、數(shù)據(jù)安全與企業(yè)名譽(yù)保護(hù)的角度來看，保護(hù)身份安全至關(guān)重要。

02

網(wǎng)絡(luò)身份證政策強(qiáng)化身份管理重要性

前段時間，公安部、國家互聯(lián)網(wǎng)信息辦公室發(fā)布的《國家網(wǎng)絡(luò)身份認(rèn)證公共服務(wù)管理辦法（征求意見稿）》（以下簡稱《征求意見稿》）再次凸顯了企業(yè)身份安全管理的重要性。

《征求意見稿》指出，鼓勵互聯(lián)網(wǎng)平臺按照自愿原則接入公共服務(wù)，用以支持用戶使用網(wǎng)號、網(wǎng)證登記、核驗(yàn)用戶真實(shí)身份信息，依法履行個人信息保護(hù)和核驗(yàn)用戶真實(shí)身份信息的義務(wù)。

隨著“網(wǎng)絡(luò)身份證”政策的逐步實(shí)施，企業(yè)對身份管理的需求變得更為緊迫。而游戲行業(yè)作為擁有如此龐大規(guī)模的C端用戶群體，其身份安全管理更是勢在必行。

03

企業(yè)如何保護(hù)游戲資產(chǎn)與玩家安全

派拉軟件認(rèn)為，游戲行業(yè)企業(yè)可以從全域身份安全治理著手，治理范疇涵蓋企業(yè)內(nèi)部員工身份，供應(yīng)商、經(jīng)銷商等B端身份，C端用戶身份，設(shè)備、API、IOT、機(jī)器人等非自然人身份等。

其中，首先重點(diǎn)針對內(nèi)部員工身份與外部游戲玩家C端身份進(jìn)行安全治理。

針對企業(yè)內(nèi)部員工，構(gòu)建身份和數(shù)據(jù)雙中心訪問控制安全平臺，通過零信任網(wǎng)關(guān)、Web網(wǎng)關(guān)、API網(wǎng)關(guān)、特權(quán)網(wǎng)關(guān)、數(shù)據(jù)庫網(wǎng)關(guān)5大網(wǎng)關(guān)，把企業(yè)資源的訪問所有權(quán)控制在一個統(tǒng)一面，即集中在網(wǎng)關(guān)層，實(shí)現(xiàn)各層級重要數(shù)字資產(chǎn)的安全隔離。

企業(yè)可以在網(wǎng)關(guān)層監(jiān)控所有的流量，基于IAM身份管理平臺，結(jié)合多因素安全、UEBA等智能AI風(fēng)險識別與安全監(jiān)控能力，對員工訪問企業(yè)資源全鏈路過程進(jìn)行靈活動態(tài)且細(xì)粒度的安全訪問控制。

也就是說，員工要進(jìn)入企業(yè)數(shù)字世界，首先要確認(rèn)合法的人通過安全認(rèn)證才能進(jìn)入數(shù)字化業(yè)務(wù)系統(tǒng)，再根據(jù)人的角色等屬性進(jìn)行授權(quán)以訪問相應(yīng)的業(yè)務(wù)功能，并通過API調(diào)用認(rèn)證訪問各業(yè)務(wù)系統(tǒng)，最終對底層數(shù)據(jù)進(jìn)行查看、修改、刪除等操作。

從員工點(diǎn)擊鏈接進(jìn)入單點(diǎn)登錄門戶的登錄界面，到登錄、認(rèn)證、訪問、操作、權(quán)限變更等全流程行為與軌跡都會被審計記錄，確保安全可追溯，從而在提升員工辦公體驗(yàn)和效率的基礎(chǔ)上，強(qiáng)化游戲數(shù)據(jù)資產(chǎn)的安全保護(hù)。

針對游戲玩家身份賬號安全治理，派拉軟件提出基于OneID建設(shè)理念，建設(shè)統(tǒng)一游戲玩家身份管理中心（CIAM）。

游戲企業(yè)可以將企業(yè)旗下眾多游戲品牌、千萬級游戲玩家用戶信息進(jìn)行統(tǒng)一合規(guī)管理，打通身份孤島，保證各游戲間用戶身份共享與互通利用。

此外，將企業(yè)旗下多游戲品牌進(jìn)行統(tǒng)一安全認(rèn)證，游戲玩家無需在各游戲產(chǎn)品中重復(fù)認(rèn)證、登錄，大大提升玩家游戲體驗(yàn)。

而玩家從注冊、認(rèn)證、訪問等行為軌跡全部會被記錄，構(gòu)建細(xì)粒度的用戶畫像和多維度數(shù)據(jù)分類分析，實(shí)現(xiàn)精準(zhǔn)營銷與游戲優(yōu)化，賦能游戲運(yùn)營。

當(dāng)然，整個過程嚴(yán)格對游戲玩家用戶隱私進(jìn)行保護(hù)。例如，用戶可主動同意、拒絕自身敏感數(shù)據(jù)是否被收集，給予用戶刪除自身數(shù)據(jù)、注銷賬號的權(quán)力，以及明確的隱私條款清晰地告知用戶數(shù)據(jù)收集與使用方式，滿足隱私法規(guī)要求。

同時，結(jié)合派拉軟件智能UEBA用戶行為分析策略、強(qiáng)大的用戶身份安全認(rèn)證（MFA），整合欺詐檢測和風(fēng)險監(jiān)控模型，為各大游戲的游戲玩家訪問認(rèn)證構(gòu)筑安全屏障，還可以打擊賬號惡意注冊、刷號養(yǎng)號、非法賬號租售等游戲運(yùn)營與安全問題。

最后，游戲行業(yè)安全問題除了靠技術(shù)防御之外，最重要的還是“人”。正所謂網(wǎng)絡(luò)安全最薄弱環(huán)節(jié)是“人”。

網(wǎng)絡(luò)攻防的本質(zhì)是人與人的對抗，人性的漏洞是網(wǎng)絡(luò)空間治理的最大漏洞。身份治理技術(shù)防控的也是人，但更需要的還有企業(yè)、游戲玩家、監(jiān)管部門等多方的共同努力。