即时通讯行业首个安全合规白皮书发布
前言
随着移动互联网和5G通信新技术的浪潮席卷全球,传统的通信方式已经发生了翻天覆地的变化。人们已经习惯了通过即时通讯软件和网络交流平台分享自己生活的方方面面,随着人们越来越公开自己的生活,人们也开始关注隐私和安全等问题。
隐私作为人们不愿为他人知晓的私密空间、私密活动和私密信息,历来被互联网用户所关注。尤其是在即时通讯服务的使用过程中,用户可以轻易将自己的隐私传输至互联网上,这使得用户在享受便捷服务的同时,更容易因隐私泄露而影响生活安宁。近些年来各类隐私泄露事件更是让人们在享受便捷的互联网服务时,对网络服务提供者的隐私保护能力持怀疑态度。甚至在某种程度上,隐私保护逐渐成为用户选择网络服务时考虑的重要因素。为了保护用户的隐私,世界各地都相继出台了隐私保护相关的法律法规,使得企业的隐私保护合规工作更加具有挑战性。
作为全球互联网消息云的开创者和引领者,数据和用户隐私安全是环信最关切的问题。环信始终将数据和用户隐私安全作为首要安全原则,并将其作为理念融入安全能力建设当中,2021年环信行业首家通过了史上最严格的数据保护法案“GDPR”的相关安全合规标准。
为帮助开发者及用户感知和理解环信在即时通讯服务上的努力,了解环信服务的安全属性,CSDN联合环信特发布即时通讯行业首个《安全合规白皮书》。该白皮书全面分析了安全合规的趋势及国内外监管重点,同时给出环信在即时通信领域安全合规开发的经验及建议,还列举了环信云服务的相关安全和合规工作,希望能够为业界提供了全面、详实的安全能力建设参考。
目录
1安全合规的趋势
11隐私监管趋紧
12APP/SDK趋严
13安全合规的基本框架
2国内外的监管重点
21国内App上架-信息采集
22国内App上架-符合安全规定
23海外的关注-户权利
24共同关注点-数据跨境
3如何评估和满安全合规要求
31如何评估安全合规的要求
32产品架构维度
33数据处理流程的维度
4安全合规开发经验及建议
41安全合规能建设需要做什么
42前安全合规的能
43开发建议-即时通讯领域
5环信安全合规、隐私保护及相关认证
51环信安全合规和隐私保护
52安全标准和认证(GDPR)
6环信即时通讯PaaS服务的安全
61数据中心计算资源安全
62SDK安全
63RESTfulAPI安全
7数据安全
71数据安全政策
72数据采集
73数据脱敏
74数据保护和加密传输
75数据使用和存储
76用户的数据权利
8安全运营
81安全开发生命周期管理SDL
82反入侵和安全监控
83安全应急响应机制
84安全合作
9APP开发者接入环信SDK的合规要求
91隐私政策内容合规
92隐私政策展示形式合规
10结语
引言
在监管趋紧的形式下,即时通讯场景会遇到很多安全合规领域的挑战,如何满足这些安全合规的要求,如何保护用户的隐私安全,是一件非常有挑战的事情。
一、安全合规的趋势
11、隐私监管趋紧
最近四五年来,安全合规的趋势变得越来越严格,各个国家都有比较重磅的安全合规的相关法规出台,比如美国加州的《消费者隐私法案》《儿童在线隐私保护法》、保险医疗领域的HIPPA,以及欧盟推出的比较有代表性的《通用数据保护条例》。国内去年也出台了《个人信息保护法》
《数据安全法》,加上之前发布的《网络安全法》,对于安全合规领域的覆盖逐渐比较完善。
12、App/SDK趋严
图1所示为国内主要的有关法规和内容,而且这个趋势也是越来越严格,比如工信部发布的各种应用下架的新闻或者公告,都涉及了个人数据隐私相关的内容。
13、安全合规的基本框架
安全合规的基本框架可以总结成两个方向,一个是用户知情同意,另一个就是安全保障义务。我们以《通用数据保护条例》(GDPR)为例,它是一个法规条文,内容包括各种监管措施、惩罚措施,还规定了应保障的用户权利,后续章节将介绍一些具体的用户权利说明。
二、国内外的监管重点
关于国内外监管的重点,从国内这几年的角度来看,主要包括以下几个方面:
21、国内App上架——信息采集
如图2所示,用户信息的采集方面正受到越来越多的重视,国家部委出台了《常见类型移动互联网应用程序必要个人信息的范围规定》,指出了二三十个场景下能够采集的必要的个人信息。
比如地图导航类,它的基本功能是定位和导航,必要的个人信息为位置信息、出发地和到达地。开发者在开发应用的时候首要确认相关信息,如果收集了其余非必要数据App就无法上架。
再比如网络社区类应用,它的基本功能是博客、论坛等,这些个人信息跟即时通讯类的必要信息比较接近,诸如用户的移动电话号码和账号联系人等信息。网约车类型中也规定了电话号码,包括出发地、到达地、支付时间、支付信息等。为什么即时通讯类需要移动电话号码呢?一般认为是只需要账号就可以了?接下来的篇幅就解释了这个问题。
22、国内App上架——符合安全规定
除了可以采集的必要信息的约束之外,我国还有很多特定的相关不同行业或领域的约束。
在应用的上架流程中,应用商店都有详细的审查规定,如果涉及即时通讯、直播或者用户舆论领域,就需要一个安全评估报告,这个安全评估报告中增加了额外的要求,比如说用户真实身份的核验,就是要核验服务中用户的身份是真实可靠的,这里就回答了前面即时通讯领域的问题,想真正地服务客户,就要能够做到实名制,而实名制其实一般就是通过校验手机号和短信等方式。
另外,其实这还涉及用户舆论的问题,需要针对这个问题建立投诉举报的机制,公布投诉举报的****和处理情况,对于这些用户的昵称、信息发布、转发评论等,要有相关的记录保存措施,通过一定的保存机制来支持追查这些信息。这样一方面约束了必要的个人信息的采集;另一方面在不同的领域也补充了额外的要求,比如金融或者医疗领域就有更高级别的相关要求。
根据工信部数据显示,近期违规下架应用累计为3000款左右,涉及的问题大部分是违规收集个人信息,少量是强制或者索取权限相关的问题,国内的应用、网站可能涉及的问题主要集中在这几个方面。
23、海外的关注——用户权利
如果目标客户是在海外,那么会发现海外的侧重点稍有不同。除了常见的这些安全约束之外,其更关注用户的权利。
举几个例子,比如用户的知情权、信息获取权、修改权和被遗忘权。知情权就是明确地告知用户要收集哪些信息、信息用来做什么以及保存多久;信息获取权就是用户必须能够导出自己的数据;修改权就是用户可以对个人信息进行修改;被遗忘权就是用户有权利注销和删除自己的数据。Facebook等海外的大型平台都支持注销账号、导出个人数据等功能,这些是海外比较重视的方面。
图3案例所示,英国的数据保护监管机构向加拿大的一家数据分析公司发出通知,要求其删除
所有跟英国公民相关的个人数据,如果不履行义务,将面临着2000万欧元或者上一年全球总
营业额4%的罚款。这里的2000万欧元和4%的罚款就是《通用数据保护条例》中所做的规定,从中不难看出这个措施是非常严格的。
24、共同关注点——数据跨境
国内和国外还有一个共同的关注点,就是热点数据跨境,简单来说就是个人信息和重要的数据应当在境内,这里的在境内应该就是说,比如中国公民的信息和重要的数据不能被随意地存储到境外的服务器上,欧盟地区的数据也不能被随意地存储在欧盟以外。其他的地区比如东南亚或者印度,也有当地的相关法律法规来约束。
如果确实需要向境外提供数据,我国的要求是要通过评估办法进行慎重的评估。欧盟则是要求他们认为已经采取足够的安全保护措施的地区可以跨境转移数据,但至少现在为止中国还不在这个名单上,所以欧盟的数据也不能随意存储在中国境内的服务器上。
三、如何评估和满足安全合规要求
了解了安全合规的趋势和相应的重点之后,我们如何评估和满足安全合规的要求呢?首先回溯前面介绍的安全合规的框架。
用户知情同意包括充分告知和权利保障。充分告知就是提供用户隐私协议,权利保障就是用户可以拒绝、可以删除,而且收集的数据要符合最小化原则(最小必要)。
安全保障义务比较复杂。首先,从风险评估、公司内部的制度建设到安全开发流程中都会涉及这个问题,比如产品从需求阶段就要有安全方面的专家确认是否涉及用户数据、用户数据怎么传输、用户数据怎么来保存、是否是必要的等等,因此从产品需求阶段到方案设计阶段,到最后上线阶段都要有必要的安全评估。
其次是技术保障,这里的技术保障指的是采集过程当中的传输、存储都应当采取足够的技术保障,换算成技术角度就是说,传输过程中要进行传输的加密,存储过程中要进行存储的加密。法律法规不会规定具体的某个安全措施,只是要求采取必要的技术措施保障用户数据的安全。
所以从技术角度侧理解,要采取业内比较标准的或者比较高标准的安全措施,比如https默认是使用其他的传输协议,比如TCP、UDP等也应当符合业内的安全标准。
当然,安全保障还少不了审计和监管,就是说要有一定的安全开发流程或者安全制度,满足监管机构的监管要求。
31、如何评估安全合规的要求
那么,如何评估安全合规的要求呢?这要看我们具体的涉及的业务,不同领域的要求是不一样的。诸如金融、医疗等领域的要求会更加严格。在某些医疗领域,对于医疗用户(患者)的数据或者处理要记录至少5年以上,这是该领域的一个特殊要求。另外,针对不同区域用户的要求也不一样,比如刚才提到的东南亚,新加坡就有自己的特殊规定,其他地区也有相关的特殊要求。
客户的行业之间也有不同的安全要求,重要的企业或者事业单位,对于数据库有时会有一些特殊的要求,比如要求必须是国内的数据库,这就是不同的行业或者不同的客户可能面临的特殊要求。还有一个重要的因素就是要评估依赖的
节,我们将系统性地介绍各层中的技术及运营环节的安全风险控制措施。
61数据中心计算资源安全
环信即时通讯服务由国内外多个数据中心(IDC)以及头部公有云供应商的云服务组成,以构建一个统一、高可用、高扩展、高效率、高安全的基础资源环境。
611网络隔离
对网络进行合理的划分,定义清晰用途,制定适配的访问控制策略,是网络安全的前提之一。环信基于IMPaaS承载功能和安全级别的不同,将网络划分出了核心、边缘、IT等几大安全区域。在不同的安全域之间,根据不同的业务访问需求和安全级别,环信制定了不同的路由策略以及严格的安全访问策略。
612防DDoS攻击
分布式拒绝服务攻击(DistributedDenialofService,DDoS)会对IM服务的系统和业务可用性产生重大影响,严重时可导致服务中断或质量下降。为此,环信基于自身服务的特性,结合公有云能力,在核心服务上部署了DDoS防御方案。该方案能够实时检测并防御来自网络层、传输的DDoS攻击。防DDoS攻击方案,能够自动检测、自动调度并触发清洗功能,数秒内就可以完成攻击、流量清洗动作,保证核心服务的可用性。
此外所有DDoS攻击事件,都会通过邮件、短信、电话等方式,第一时间知会安全团队,以便安全团队持续关注和响应决策。
613主机、数据库、中间件等计算资源安全
各类服务运行所依赖的资源,由操作系统或容器化为关联的后台程序、缓存、数据库等中间件,合理地调度分配CPU、内存、磁盘等资源来满足。环信结合自身基础服务场景,在实际安全运营中,通过制定适配的安全基线、漏洞管理规范,并落地纵深威胁检测机制,确保基础运算负载资源的安全性。
6131安全基线
环信制定了IDC和公有云的安全基线,涵盖主机操作系统、容器、数据库、存储、Web服务等中间件,内容包括账户安全、身份认证、最小服务、最小授权、日志审计、时钟同步等。并根据不同的用途,对操作系统或中间件进行不同程度的安全配置加固,确保新交付的运算负载资源满足相关安全基线要求。对于运行中的负载资源,安全团队会进行定期的配置巡检,对比与安全基线的差异,输出不符合项,通知到关联的运维和业务技术团队,并落实整改。
6132漏洞管理
所有交付上线的运算负载资源,均来自统一管理的操作系统镜像或中间件软件包。对于交付使用中的资源,安全团队会采集操作系统和中间件版本信息,然后发送到安全运营系统中分析,从而识别是否存在受漏洞影响的版本。对于公有云上的主机资源,环信会部署公有云的安全客户端,实现对操作系统和中间件等软件产品的实时漏洞检测。另外,安全团队通过部署业界知名商业漏洞扫描产品,定期对运算负载资源发起扫描巡检,输出漏洞扫描报告,并将信息采集到安全运营系统。
一旦发现存在漏洞版本匹配的组件,安全团队会对漏洞的风险做综合评估,提供应急处置措施和修复建议,并联合运维及相关业务技术团队落实漏洞修复、配置加固、镜像更新,从而实现漏洞管理的闭环。
6133计算资源中的安全运维
运维账号安全
在日常运维中,环信制定并启用了IAM(IdentityandAccessManagement,身份和访问控制管理)机制,所有涉及运维内容的人员必须具有有效的身份和授权才可进行操作,运维账号与员工身份一一对应,其默认启用MFA(Multi-factorauthentication,多重要素验证)。
操作系统账号安全
对于系统账号,环信制定了一系列安全制度和操作规范,例如,避免使用弱口令作为密码,并要求定期更换,信息安全团队也会通过定期的安全检查。
运维操作审计
环信在日常运维过程中,会实时记录归档各类操作,制定实时监控告警策略,并对风险操作及时处置。
62SDK安全
环信提供iOS、Android、Flutter、ReactNative、Windows、小程序、Web等平台的SDK支持,以满足开发者及用户的各类实时音视频互动接入需求。IMSDK不仅仅为开发者及用户提供简单、易用、统一、可信、安全的即时通讯开发套件,也竭尽全力为开发者及用户提供合规、安全的配置选项,以提升开发者及用户在实时音视频互动场景和应用中合规监管和应对信源数据安全威胁的能力。
根据国家法律法规规定及监管机构执法要求,APP在使用第三方SDK时,必须在APP《隐私政策》中告知用户,并在调用时序上做好延迟初始化配置,确保用户同意APP《隐私政策》后SDK才可以被启动,进行数据采集和服务。为了帮助开发者避免合规风险,环信推出隐私政策合规要求,包括隐私政策展示内容和展示形式合规。关于环信所收集的信息种类、用途、个人信息保护的规则及退出机制等,详见环信官网(
621SDK的合规与安全保证
环信在为开发者提供SDK时,SDK的可信和安全是首要保证的内容之一。在评审SDK新增或迭代的功能时,会充分评估功能需求在合规隐私以及安全上的风险点,确保与环信合规和隐私政策的一致性。功能实现时,会在进行充分的质量保证(QA)测试时对代码进行安全审计,在涉及引用或集成第三方SDK、库文件时进行安全检测,尤其是合规性确认,例如,是否存在恶意代码或后门,是否遵守版权或使用协议。如果检测出存在风险,SDK只有在修复并确认无风险后,才允许进入下一阶段。在分发环节,会在官方渠道更新。
622对开发者及用户的安全与合规支持
在SDK上,环信提供了设备端存储内容加密,日志安全等安全配置选项,以协助开发者及用户完善即时通讯数据安全及隐私合规。有需要的开发者及用户,可以参考开发者文档进行配置启用。
6221本地存储内容
环信SDK使用行业标准的加密技术对在设备本地的消息等内容记录进行加密存储。
6222日志脱敏
环信SDK提供不同的日志级别,方便开发者在开发调试和发布时使用,同时对设备上的日志进行脱敏,防止用户数据被识别和窃取。
63RESTfulAPI安全
为方便开发者高效地管理自己的应用和服务,诸多业务功能和管理功能以RESTfulAPI的方式供开发者调用。在安全保障上,除了将站点接入WAF外,还有如下的安全控制措施。
身份鉴权
开发者在使用RESTfulAPI前,需先登录控制台,创建开发者专属的key
amp;secret。后续API调用,需使用对应的key
amp;secret对,以区分不同项目或应用。
传输安全
RESTfulAPI支持HTTPS协议,以确保使用SSL/TLS对所有API通信进行加密,可以保护API凭据和传输的数据,以及防止一些如中间人攻击(MITM,maninthemiddle)等。
API限速
服务端对API请求的速率有限制,在保证正常用户请求可以得到响应的同时,限制恶意用户的API请求。
输入验证
开发者请求的参数会经过服务器后台过滤,以避免一些常见的易受攻击缺陷(SQL-注入,远程代码执行等)。
七、环信数据安全
数据作为信息活动的载体,经过合法合规且安全的处理尤为重要。数据安全是环信最为关切的问题之一,本节将介绍环信在数据安全上采取的政策及落实的管理和技术控制措施。
71数据安全政策
针对日益严峻的网络安全态势,以及逐渐趋紧的监管要求,环信坚持以数据保密、完整和高可用作为业务服务的数据安全发展战略,并将数据安全理念融入安全体系建设过程中,即
保密性:防止未经授权的访问和窃听
完整性:防止恶意篡改和伪造数据
可用性:通过不同数据中心和边缘节点保障数据高可用
因此环信对所有员工均开展信息保护、隐私合规及保密意识安全培训,并签订保密协议;对违反数据安全制度和保密要求的人员,我们会视情形严重程度以采取相应的违规处理措施,包括但不限于谈话、加强培训考核、解除劳动协议及追究其他法律责任等措施。
72数据采集
采用最小化的数据采集原则,只采集经用户授权同意的,且业务所必须的数据字段。
73数据脱敏
为保护数据隐私,环信针对官网控制台的企业和个人信息均进行脱敏后的展示,此策略同样也适用于不同的服务和SDK。
74数据保护和加密传输
在IMPaaS服务中,对于不同的传输通道例如SDK与服务器,服务器与用户的应用服务器之间等,都支持安全传输协议(HTTPS/TLS/WSS等)
75数据使用和存储
对于开发者及用户的机密信息,如密码,我们会以哈希加盐值(salt)的方式进行存储。对已存储的信息,将根据相关监管要求和制定的数据备份和存储策略,严格制定数据保存期限,并按要求在需要时对其进行销毁;对来自开发者及用户的数据处理申请,我们将根据开发者及用户的授权及相应监管要求配合实施数据清理或转移。
76用户的数据权利
提供了不同维度的用户权益的API方面支持用户数据的导出和删除。
八、环信安全运营
安全是一个持续的过程,在实际安全运营中,环信基于自身业务特性,通过如下维度来开展。
81安全开发生命周期管理SDL
在软件开发生命周期中,嵌入了安全和隐私的相关要求,结合当前流行的DevSecOps,让SDL流程更自动化,从而在原有的安全开发生命周期的基础上,更高效的进行安全和隐私的检查。
811威胁建模
在设计和架构阶段,为了能够更早的发现风险,通过威胁建模来识别潜在的安全问题并实施响应环节措施。为了有效发现并解决设计阶段的潜在风险,参考STRIDE的威胁建模方法,主要聚焦攻击面最小化,基本隐私,权限最小化,默认安全,数据加密等。
812CI/CD黑白盒检测
在安全测试层面更注重DevSecOps崇尚的内置安全防护,且已在CI/CD层面进行了黑白盒工具的集成,包含开源代码扫描工具SonarQube,组件及合规扫描商业工具BlackDuck,App/Sdk扫描工具MobSF等,从而完善在集成发布过程中的风险监测。
82反入侵和安全监控
环信的各类运算系统、业务应用服务每天都会产生海量的日志数据。在落实纵深防御以应对威胁的基础之上,安全团队也会在最小权限范围内采集用于安全分析的日志。基于这些日志,通过安全监控分析平台实时运算。对识别的安全异常事件,会及时告警,安全运营人员会进一步展开关联以及溯源分析复核;对确认的风险,会根据应急响应机制进行处置和追踪,以保障业务系统的安全性和可用性。
83安全应急响应机制
基于自身即时通讯业务特性,对服务类型进行分类分级,系统性地安全评估和威胁识别,制定不同的安全事件分类标准,以及响应时效和处置流程,以确保及时有效地处理安全异常。
84安全合作
在自身内部安全建设的基础上,环信已与Trustwave等多家第三方安全厂商合作,定期进行渗透测试,代码审查,逆向工程等来帮助环信发现线上应用、系统、服务以及SDK等层面的安全漏洞和各类潜在风险,从而提升整体服务安全性和系统健壮性。
九、APP开发者接入环信SDK的合规要求
根据国家法律法规规定及监管机构执法要求,APP在使用第三方SDK时,必须在APP《隐私政策》中告知用户,并在调用时序上做好延迟初始化配置,确保用户同意APP《隐私政策》后SDK才可以被启动,进行数据采集和服务。为了帮助环信开发者避免合规风险,环信推出了隐私政策合规要求,包括隐私政策展示内容和展示形式合规。
91隐私政策内容合规
注意:本信息收集范围说明适用于SDK384版本及以上
当APP开发者接入环信SDK服务时,请务必按照我国法律法规、规范性文件之要求,在APP自身的隐私政策或个人信息保护政策等相关公示文件中“第三方服务”/“第三方合作伙伴”部分明确列出本APP所集成的环信SDK收集、使用个人信息的目的、方式和范围,环信提供如下两种参考表达话术,以方便APP开发者更高效、更合规地调整自身的隐私政策,共同保护个人信息。
参考表达一、以文字方式向用户呈现
如:我们使用了第三方(北京亿思摩博网络科技有限公司,以下称“环信”)环信SDK服务为您提供【】功能。为了顺利实现该功能,您需要授权环信SDK提供对应的服务;在您授权后,环信将收集您相关的个人信息。关于环信所收集的信息种类、用途、个人信息保护的规则及退
出机制等,详见环信官网(
参考表达二、以表格方式向用户呈现
如:【您的APP名称】(iOS版/Android版)内嵌第三方SDK详情
92隐私政策展示形式合规
需要增加明确弹窗,有明显同意和拒绝按钮,让用户自主选择是否接受隐私政策。App隐私政策包含的环信隐私权政策链接可允许用户。
十、结语
为开发者提供合规、安全、可信的即时通讯云平台,是环信所有架构和产品服务首要考虑的要素之一。环信从人员、技术、管理、流程等多个方面系统性推进信息安全政策的落地,履行监管合规义务,与行业客户以及第三方社区或团体个人紧密合作,同时积极探索新的技术,推进安全自动化、智能化,实现安全防护能力高效输出。
在日趋复杂的互联网环境下,技术迭代周期越来越短,新型攻击手段层出不穷,我们无时不刻都在面临各类安全威胁。筚路蓝缕启山林、栉风沐雨砥砺行,在此背景下,希望本白皮书能够为企业或机构的安全建设提供参考和借鉴,也欢迎业界同仁共同参与完善,助力行业高质量稳健发展!
访问环信官网,免费下载白皮书PDF全文。
0条评论