❶ 梅爾沃放置安卓版閃退
梅爾沃放置》是一個功能豐富的閑置/增量游戲,具有熟悉的感覺。有20多個獨特的技能可供處理,你將永遠有新的東西可以處理。
閃退解決方法
一、緩存垃圾太多
由於安卓系統的特性,如果長時間不清理垃圾文件會導致手機在使用中越來越卡,也會出現閃退情況。
閃退修復方法:
2.進入設置—應用管理—全部,找到出現狀況的應用程序,清理數據和緩存(註:清除數據會清除掉應用的個人設置,賬戶信息等)。
二、內存不足
內存不足是很多程序閃退的原因重要原因。
閃退修復方法:
定期清理後台程序9520317_20161123__thumb.jpg
三、手機殺毒軟體
安卓因為審核較為簡單而且很多第三方軟體容易植入各種病毒代碼、
閃退修復方法:
建議在正規商店下載程序。
四、應用版本有問題
這多出現的是應用本身的問題。太新或者太舊都會與當前系統不兼容。
閃退修復方法:
根據系統版本找相適應的軟體版本即可。9520317_20161123__thumb.jpg
五、網路問題
部分軟體需要一個穩定的網路,使用的是2G/3G網路,造成閃退的可能性比較大。
閃退修復方法:
建議在WIFI環境下使用部分大型游戲軟體,也可升級到4G網路。
六、缺少數據包
這個問題多出現在游戲類應用,喜歡玩游戲的用戶可要注意了。
閃退修復方法:
先安裝好數據包後再使用。
七、系統不兼容
安卓系統更新的速度很快,目前想要穩定建議停留在安卓4.4.
閃退修復方法:
更新升級手機系統版本即可。
八、忘記升級應用程序
忘記給應用程序升級版本也可能是造成閃退的原因,因為好多大型游戲或者應用程序是需要安裝額外的數據包才能正常運行的哦,所以時不時的也要升級一下經常使用的應用程序。9520317_20161123__thumb.jpg
手機老是閃退怎麼辦?針對不同的閃退原因,是有不一樣的解決方法的,為此在手機出現閃退的時候,可以採用上面幾種方法來試一試。但是如果你的手機是ios系統,上面介紹的方法則不適用,系統不同遇到的閃退原因也會不一樣。日常適用手機的時候遇到的問題是千奇百怪的,只有耐心的解決掉手機閃退的問題,才能夠更為暢快的適用手機。
相關資源:androidapk無法安裝及閃退問題解決辦法_sdk版本過低怎麼解決,apk...
打開CSDN APP,看更多技術內容
安卓開發筆記——APP閃退解決方案_Kevin&Amy的博客
筆者在開發一個智能家居APP的過程中,遇到APP閃退的情況,將日誌列印出來:懷疑可能是布局文件的問題,最後發現是由於在布局文件中View中的"V「誤敲成了小寫:將布局相關內容改正過來即可,APP就可以重新啟動。...
android 閃退解決方案,Android apk無法安裝及閃退問題解決辦法_藍色...
1.之前做過一個環信的即時通訊,集成好環信的sdk之後在4.x的手機上就打開就閃退,,只能在5.x和6.x手機上打開app 2.最近又碰到了同樣的問題不過這次和上次不一樣,這次是因為我的 as升級到了 2.3 之後出現的這個問題..所以經過了兩...
android app閃退原因,如何解決app閃退問題
在應用app的時候,我們常常會遇到app閃退各類的問題。那麼怎麼解決和分析,以及處理這些問題,我在這里列舉幾個常見的app閃退的問題,並希望大家可以通過這幾類分析,盡量避免app閃退這樣的大問題。第一點,網路數據的請求和保護,在app進行網路切換的時候,如果沒有做好網路保護,是會出現app閃退問題的,所以,在網路請求類中,設置好網路的斷網保護,就可以解決這類問題了第二點,主線程的死鎖第三點,數據安...
繼續訪問
android為什麼總是閃退怎麼辦,手機應用老是閃退該怎麼辦?
手機應用老是閃退該怎麼辦?手機應用閃退是怎麼辦?手機閃退原因一、緩存垃圾太多手機應用閃退是怎麼回事 常見的修復方法介紹由於安卓系統的特性,如果長時間不清理垃圾文件會導致手機在使用中越來越卡,也會出現閃退情況。閃退修復方法:2.進入設置應用管理全部,找到出現狀況的應用程序,清理數據和緩存(註:清除數據會清除掉應用的個人設置,賬戶信息等)。手機閃退原因二、內存不足內存不足是很多程序閃退的原因重要原因。...
繼續訪問
最新發布 AndroidStudio打包成APK安裝運行閃退的解決方法
在模擬器上運行安卓代碼沒有問題,但是打包成APK到手機上運行就出現閃退問題,到網上搜了好久也沒有解決,最後採用真機的方式解決。這里以oppo手機為例.
繼續訪問
Android常見崩潰閃退問題的解決方案
背景 Android開發過程中,APP崩潰是一類非常常見的問題,而且APP崩潰問題很多時候對APP安全還是致命性的。APP崩潰大部分是以閃退的形式出現。APP常見的崩潰原因有:NullPointerException 空指針、ClassCastException 類型轉換異常、IndexOutOfBoundsException 下標越界異常、ActivityNotFoundException Activity未找到異常、IllegalStateException 非法狀態異常、ArrayIndexOutO
繼續訪問
Android手機中APP閃退的原因匯總
在日常生活中,經常點擊手機應用程序時,一下就閃退了,到底有哪些原因造成,讓我們來一起總結下: 可能是網路異常引起的 手機空間不足造成的 APP程序的版本太老引起的,直接卸載老版本,重裝安裝就正常了。這是我在實際生活中遇到過的 APP中訪問網路的地方,組件中的ImageView沒有正常的下載並顯示到app 頁面上 APP的sdk和手機的系統版本不兼容引起的 拍照/選擇圖片後閃退:1)手機內存小。2...
繼續訪問
android 6.1 app閃退,手機軟體閃退怎麼辦 具體解決方法【圖文】
智能手機已經成為我們日常生活不可或缺的一部分,上網沖浪、手機游戲、微信聊天等等儼然已經是我們工作之餘的娛樂內容之一。軟體功能的強大的同時也要求手機自身系統配置需同步提高,這樣才能使手機對各類軟體的兼容性更強。即使是這樣,我們的智能手機一旦使用比較長的時間(一般在一到兩年)後,我們會明顯感覺到手機相比剛買時會比較卡一點,有時一些軟體還會直接閃退。以下是用於處理軟體閃退問題的方法。一、安卓手機1、手機...
繼續訪問
apk閃退_安卓手機經常閃退怎麼辦?安卓手機閃退解決辦法
平時我們在使用手機的時候可能會發現,安卓手機使用的時間長一點就可能會出現手機閃退的現象,那麼如何來解決手機閃退的問題呢?今天,刷機幫小編就為大家分享一篇如何解決手機閃退問題的教程,大家可以根據自己的實際情況來進行操作,也希望這篇文章可以幫助到有需要的你們,下面讓我們一起來看看吧!一般導致安卓手機出現閃退原因有以下幾點:1、手機後台運行的程序過多;手機後台程序運行過多是導致手機出現閃退的很重要的原因...
繼續訪問
Android開發——常見軟體閃退問題及解決方案
1、nullpointer——就是使用一個對象的時候還沒有對其進行初始化導致該問題 一般在何種情況下容易出現呢? (1)父窗口+子窗口同時出現的,父窗口因為某種原因消掉了,子窗口還在,操作子窗口找不到父窗口的pid,就會出現問題 (2)載入過程中進行刷新或者其他點擊操作,可能某種資源還沒有初始化成功,就會出現該問題 (3)異常情況下,比如斷網了,比如需要連接的設備沒有連接,則相應資源拿不到,此時點擊某些按鈕,也會出現該問題 2、OOM——在視頻\圖片的來回切換,比如橫豎屏的來回切換過程中比較容易出現,因為本
繼續訪問
android真機測試什麼不同,android真機測試閃退
1. Android程序真機調試閃退怎麼辦應用程序出現閃退,原因如下: 1、應用程序自身漏洞:開發的應用程序代碼存在缺陷,造成大多數設備在運行該程序時會出現閃退的情況。這種情況需要開發者進行解決。 2、系統固件版本不支持、系統配置(CPU、RAM等)不支持。這種情況表現為部分設備能正常運作該程序,而其他設備會閃退。 解決方法如下; 1.電腦下載並安裝PP助手。2.將使用數據線連接到電腦上並且...
繼續訪問
為什麼Android手機APP閃退,安卓手機軟體閃退怎麼辦 安卓軟體停止運行解決方法_系統聖地...
安卓手機軟體閃退、停止運行、無法使用等問題相信很多小夥伴都曾經遇過吧,下載了一款自己感興趣的軟體,剛點進去就閃退或者停止運行之類的,實在是讓人頭痛,今天小編就給大家帶來安卓手機程序閃退、停止運行時的解決教程,希望能對大家有所幫助。原因一、緩存垃圾太多由於安卓系統的特性,如果長時間不清理垃圾文件會導致手機在使用中越來越卡,也會出現故障。修復方法:進入設置—應用管理—全部,找到出現狀況的應用程序,清理...
繼續訪問
Android總是閃退,怎麼辦?Android崩潰機制。
閃退,程序退出這些都是開發中最常見的了。開發過程中,那還好說,遇到就解決被,主要還是應對上線問題。各大平台的捕獲機制不少,用就完事了。但,我還是想知道Android崩潰機制。 所謂的閃退就是Android系統執行app的時候,發生不可以進行下去的步驟,追溯到最底層,就是堆棧內存的那點事咯。 這里推薦個簡書的文章:https://www.jianshu.com/p/37b3c9f950dd 當然還有其他很優秀的文章,大家都搜索下。我這里也不貼出來了。 UncaughtExceptionHandler
繼續訪問
Android中App閃退的原因分析及處理
網路異常引起的,檢查網路配置情況。 APP中訪問網路的地方,組件中的ImageView沒有正常的下載並顯示到app 頁面上。 APP的sdk和手機的系統不兼容。 拍照/選擇圖片後閃退:①手機內存小②部分手機在使用相機拍照時候存在橫豎屏切換,可能會導致我們應用重新調整生命周期.解決辦法:在使用到拍照功能的Activity設置:android:configChanges=「orient...
繼續訪問
apk閃退_解決安卓手機閃退的通用辦法!
原標題:解決安卓手機閃退的通用辦法!丫丫網資訊,很多安卓用戶都會反應手機在使用過程中會出現手機閃退問題,今天這個問題也許可以解決了。一起來瞅瞅吧! 1、安卓手機由於其系統特性原因,在手機緩存過多的情況下會導致運行變慢且出現閃退現象,這個時候,網友們可藉助類似安卓清理大師等清理工具對手機進行一次深度掃描,或直接進入【設置】—【應用管理】—【全部】,找到出現狀況的應用程序,清理數據和緩存進行刪除即可。...
繼續訪問
Android應用的閃退(crash)分析
文章轉自阿里客戶端工程師試題簡析——Android應用的閃退(crash)分析 1. 問題描述閃退(Crash)是客戶端程序在運行時遭遇無法處理的異常或錯誤時而退出應用程序的表現,請從crash發生的原因分類與解決方法、在出現crash後如何捕捉並分析異常這兩個問題給出自己的解決方案。 我們以Android平台為例,介紹下如何捕獲Android應用的閃退信息,以幫助我們定位和解決導致閃退的問題代碼
繼續訪問
Android 讓程序閃退的方法
android.os.Process.killProcess(android.os.Process.myPid());
繼續訪問
android 永不閃退,永不crash的Android
Cockroach打不死的小強,永不crash的Android使用方式自定義Application繼承自android的Application,並在Application中裝載,越早初始化越好,可以在Aplication的onCreate中初始化,當然也可以根據需要在任意地方(不一定要在主線程)裝載,在任意地方卸載。可以多次裝載和卸載。例如:import android.app.Applicati...
繼續訪問
90%的人都不知道如何正確關閉安卓偶現閃退的Bug
對於軟體測試這個崗位或者職責來講,就是保證軟體質量,那保證軟體質量的其中一個方法,就是提的Bug的關閉,如果無法正確的關閉,就無法保證質量,特別是對於目前使用普遍率高的安...
繼續訪問
Android程序閃退解決思路
這幾天在做Android程序的實驗,完全新手,遇到一些問題,其中最讓人頭疼的是程序閃退,相信很多人都有點感覺無從下手,特地分享一下我的經驗。 首先,做了一個程序,在模擬器上運行,顯示 「 *** keeps stopping 」,在網上找了很久,才了解了解決這類問題的基本思路——Logcat,AndroidStudio底部的狀態欄有Logcat這個功能區,所有運行失敗都會在那裡有記錄。 但是,logcat上面的出錯信息讓人摸不著頭腦: Unable to instantiate activity Co
繼續訪問
熱門推薦 Android中造成APP閃退的原因總結
1. 網路異常引起的 2. APP中訪問網路的地方,組件中的ImageView沒有正常的下載並顯示到app 頁面上。 3.APP的sdk和手機的系統不兼容。 4.拍照/選擇圖片後閃退:①手機內存小②部分手機在使用相機拍照時候存在橫豎屏切換,可能會導致我們應用重新調整生命周期.解決辦法:在使用到拍照功能的Activity設置:android:configChanges="orientation...
繼續訪問
Android中Crash(閃退,崩潰)的一般問題與解決方案
Crash Exception 在Android 中經常會遇到,那麼遇到異常我們該如何解決,本文將舉例解決部分Android看法中遇到的異常。 NullPointerException 空指針 ClassCastException 類型轉換異常 IndexOutOfBoundsException 下標越界異常 ActivityNotFoundException Activity未找到異常...
繼續訪問
app閃退處理方法安卓
and
❷ 即時通訊行業首個安全合規白皮書發布
前言
隨著移動互聯網和5G通信新技術的浪潮席捲全球,傳統的通信方式已經發生了翻天覆地的變化。人們已經習慣了通過即時通訊軟體和網路交流平台分享自己生活的方方面面,隨著人們越來越公開自己碰皮的生活,人們也開始關注隱私和安全等問題。
隱私作為人們不願為他人知曉的私密空間、私密活動和私密信息,歷來被互聯網用戶所關注。尤巧胡其是在即時通訊服務的使用過程中,用戶可以輕易將自己的隱私傳輸至互聯網上,這使得用戶在享受便捷服務的同時,更容易因隱私泄露而影響生活安寧。近些年來各類隱私泄露事件更是讓人們在享受便捷的互聯網服務時,對網路服務提供者的隱私保護能力持懷疑態度。甚至在某種程度上,隱私保護逐漸成為用戶選擇網路服務時考慮的重要因素。為了保護用戶的隱私,世界各地都相繼出台了隱私保護相關的法律法規,使得企業的隱私保護合規工作更加具有挑戰性。
作為全球互聯網消息雲的開創者和引領者,數據和用戶隱私安全是環信最關切的問題。環信始終將數據和用戶隱私安全作為首要安全原則,並將其作為理念融入安全能力建設當中,2021年環信行業首家通過了史上最嚴格的數據保護法案「GDPR」的相關安全合規標准。
為幫助開發者及用戶感知和理解環信在即時通訊服務上的努力,了解環信服務的安全屬性,CSDN聯合環信特發布即時通訊行業首個《安全合規白皮書》。該白皮書全面分析了安全合規的趨勢及國內外監管重點,同時給出環信在即時通信領域安全合規開發的經驗及建議,還列舉了環信雲服務的相關安全和合規工作,希望能夠為業界提供了全面、詳實的安全能力建設參考。
目錄
1.安全合規的趨勢
1.1隱私監管趨緊
1.2APP/SDK趨嚴
1.3安全合規的基本框架
2.國內外的監管重點
2.1國內App上架-信息採集
2.2國內App上架-符合安全規定
2.3海外的關注-?戶權利
2.4共同關注點-數據跨境
3.如何評估和滿?安全合規要求
3.1如何評估安全合規的要求
3.2產品架構維度
3.3數據處理流程的維度
4.安全合規開發經驗及建議
4.1安全合規能?建設需要做什麼
4.2?前安全合規的能?
4.3開發建議-即時通訊領域
5.環信安全合規、隱私保護及相關認證
5.1環信安全合規和隱私保護
5.2安全標准和認證(GDPR)
6.環信即時通訊PaaS服務的安全
6.1數據中心計算資源安全
6.2SDK安全
6.3RESTfulAPI安全
7.數據安全
7.1數據安全政策
7.2數據採集
7.3數據脫敏
7.4數據保護和加密傳輸
7.5數據使用和存儲
7.6用戶的數據權利
8.安全運營
8.1安全開發生命周期管理SDL
8.2反入侵和安全監控
8.3安全應急響應機制
8.4安全合作
9.APP開發者接入環信SDK的合規要求
9.1隱私政策內容合規
9.2隱私政策展示形式合規
10.結語
引言
在監管趨緊的形式下,即時通訊場景會遇到很多安全合規領域的挑戰,如何滿足這些安全合規的要求,如何保護用戶的隱私安全,是一件非常有挑戰的事情。
一、安全合規的趨勢
1.1、隱私監管趨緊
最近四五年來,安全合規的趨勢變得越來越嚴格,各個國家都有比較重磅的安全合規的相關法規出台,比如美國加州的《消費者隱私法案》《兒童在線隱私保護法》、保險醫療領域的HIPPA,以及歐盟推出的比較有代表性的《通用數據保護條例》。國內去年也出台了《個人信息保護法》
《數據安全法》,加上之前發布的《網路安全法》,對於安全合規領域的覆蓋逐漸比較完善。
1.2、App/SDK趨嚴
圖1所示為國內主要的有關法規和內容,而且這個趨勢也是越來越嚴格,比如工信部發布的各種應用下架的新聞或者公告,都涉及了個人數據隱私相關的內容。
1.3、安全合規的基本框架
安全合規的基本框架可以總結成兩個方向,一個是用戶知情同意,另一個就是安全保障義務。我們以《通用數據保護條例》(GDPR)為例,它是一個法規條文,內容包括各種監管措施、懲罰措施,還規定了應保障的用戶權利,後續章節將介紹一些具體的用戶權利說明。
二、國內外的監管重點
關於國內外監管的重點,從國內這幾年的角度來看,主要包括以下幾個方面:
2.1、國內App上架——信息採集
如圖2所示,用戶信息的採集方面正受到越來越多的重視,國家部委笑寬差出台了《常見類型移動互聯網應用程序必要個人信息的范圍規定》,指出了二三十個場景下能夠採集的必要的個人信息。
比如地圖導航類,它的基本功能是定位和導航,必要的個人信息為位置信息、出發地和到達地。開發者在開發應用的時候首要確認相關信息,如果收集了其餘非必要數據App就無法上架。
再比如網路社區類應用,它的基本功能是博客、論壇等,這些個人信息跟即時通訊類的必要信息比較接近,諸如用戶的行動電話號碼和賬號聯系人等信息。網約車類型中也規定了電話號碼,包括出發地、到達地、支付時間、支付信息等。為什麼即時通訊類需要行動電話號碼呢?一般認為是只需要賬號就可以了?接下來的篇幅就解釋了這個問題。
2.2、國內App上架——符合安全規定
除了可以採集的必要信息的約束之外,我國還有很多特定的相關不同行業或領域的約束。
在應用的上架流程中,應用商店都有詳細的審查規定,如果涉及即時通訊、直播或者用戶輿論領域,就需要一個安全評估報告,這個安全評估報告中增加了額外的要求,比如說用戶真實身份的核驗,就是要核驗服務中用戶的身份是真實可靠的,這里就回答了前面即時通訊領域的問題,想真正地服務客戶,就要能夠做到實名制,而實名制其實一般就是通過校驗手機號和簡訊等方式。
另外,其實這還涉及用戶輿論的問題,需要針對這個問題建立投訴舉報的機制,公布投訴舉報的聯系方式和處理情況,對於這些用戶的昵稱、信息發布、轉發評論等,要有相關的記錄保存措施,通過一定的保存機制來支持追查這些信息。這樣一方面約束了必要的個人信息的採集;另一方面在不同的領域也補充了額外的要求,比如金融或者醫療領域就有更高級別的相關要求。
根據工信部數據顯示,近期違規下架應用累計為3000款左右,涉及的問題大部分是違規收集個人信息,少量是強制或者索取許可權相關的問題,國內的應用、網站可能涉及的問題主要集中在這幾個方面。
2.3、海外的關注——用戶權利
如果目標客戶是在海外,那麼會發現海外的側重點稍有不同。除了常見的這些安全約束之外,其更關注用戶的權利。
舉幾個例子,比如用戶的知情權、信息獲取權、修改權和被遺忘權。知情權就是明確地告知用戶要收集哪些信息、信息用來做什麼以及保存多久;信息獲取權就是用戶必須能夠導出自己的數據;修改權就是用戶可以對個人信息進行修改;被遺忘權就是用戶有權利注銷和刪除自己的數據。Facebook等海外的大型平台都支持注銷賬號、導出個人數據等功能,這些是海外比較重視的方面。
圖3案例所示,英國的數據保護監管機構向加拿大的一家數據分析公司發出通知,要求其刪除
所有跟英國公民相關的個人數據,如果不履行義務,將面臨著2000萬歐元或者上一年全球總
營業額4%的罰款。這里的2000萬歐元和4%的罰款就是《通用數據保護條例》中所做的規定,從中不難看出這個措施是非常嚴格的。
2.4、共同關注點——數據跨境
國內和國外還有一個共同的關注點,就是熱點數據跨境,簡單來說就是個人信息和重要的數據應當在境內,這里的在境內應該就是說,比如中國公民的信息和重要的數據不能被隨意地存儲到境外的伺服器上,歐盟地區的數據也不能被隨意地存儲在歐盟以外。其他的地區比如東南亞或者印度,也有當地的相關法律法規來約束。
如果確實需要向境外提供數據,我國的要求是要通過評估辦法進行慎重的評估。歐盟則是要求他們認為已經採取足夠的安全保護措施的地區可以跨境轉移數據,但至少現在為止中國還不在這個名單上,所以歐盟的數據也不能隨意存儲在中國境內的伺服器上。
三、如何評估和滿足安全合規要求
了解了安全合規的趨勢和相應的重點之後,我們如何評估和滿足安全合規的要求呢?首先回溯前面介紹的安全合規的框架。
用戶知情同意包括充分告知和權利保障。充分告知就是提供用戶隱私協議,權利保障就是用戶可以拒絕、可以刪除,而且收集的數據要符合最小化原則(最小必要)。
安全保障義務比較復雜。首先,從風險評估、公司內部的制度建設到安全開發流程中都會涉及這個問題,比如產品從需求階段就要有安全方面的專家確認是否涉及用戶數據、用戶數據怎麼傳輸、用戶數據怎麼來保存、是否是必要的等等,因此從產品需求階段到方案設計階段,到最後上線階段都要有必要的安全評估。
其次是技術保障,這里的技術保障指的是採集過程當中的傳輸、存儲都應當採取足夠的技術保障,換算成技術角度就是說,傳輸過程中要進行傳輸的加密,存儲過程中要進行存儲的加密。法律法規不會規定具體的某個安全措施,只是要求採取必要的技術措施保障用戶數據的安全。
所以從技術角度側理解,要採取業內比較標準的或者比較高標準的安全措施,比如https默認是使用其他的傳輸協議,比如TCP、UDP等也應當符合業內的安全標准。
當然,安全保障還少不了審計和監管,就是說要有一定的安全開發流程或者安全制度,滿足監管機構的監管要求。
3.1、如何評估安全合規的要求
那麼,如何評估安全合規的要求呢?這要看我們具體的涉及的業務,不同領域的要求是不一樣的。諸如金融、醫療等領域的要求會更加嚴格。在某些醫療領域,對於醫療用戶(患者)的數據或者處理要記錄至少5年以上,這是該領域的一個特殊要求。另外,針對不同區域用戶的要求也不一樣,比如剛才提到的東南亞,新加坡就有自己的特殊規定,其他地區也有相關的特殊要求。
客戶的行業之間也有不同的安全要求,重要的企業或者事業單位,對於資料庫有時會有一些特殊的要求,比如要求必須是國內的資料庫,這就是不同的行業或者不同的客戶可能面臨的特殊要求。還有一個重要的因素就是要評估依賴的
節,我們將系統性地介紹各層中的技術及運營環節的安全風險控制措施。
6.1數據中心計算資源安全
環信即時通訊服務由國內外多個數據中心(IDC)以及頭部公有雲供應商的雲服務組成,以構建一個統一、高可用、高擴展、高效率、高安全的基礎資源環境。
6.1.1網路隔離
對網路進行合理的劃分,定義清晰用途,制定適配的訪問控制策略,是網路安全的前提之一。環信基於IMPaaS承載功能和安全級別的不同,將網路劃分出了核心、邊緣、IT等幾大安全區域。在不同的安全域之間,根據不同的業務訪問需求和安全級別,環信制定了不同的路由策略以及嚴格的安全訪問策略。
6.1.2防DDoS攻擊
分布式拒絕服務攻擊(DistributedDenialofService,DDoS)會對IM服務的系統和業務可用性產生重大影響,嚴重時可導致服務中斷或質量下降。為此,環信基於自身服務的特性,結合公有雲能力,在核心服務上部署了DDoS防禦方案。該方案能夠實時檢測並防禦來自網路層、傳輸的DDoS攻擊。防DDoS攻擊方案,能夠自動檢測、自動調度並觸發清洗功能,數秒內就可以完成攻擊、流量清洗動作,保證核心服務的可用性。
此外所有DDoS攻擊事件,都會通過郵件、簡訊、電話等方式,第一時間知會安全團隊,以便安全團隊持續關注和響應決策。
6.1.3主機、資料庫、中間件等計算資源安全
各類服務運行所依賴的資源,由操作系統或容器化為關聯的後台程序、緩存、資料庫等中間件,合理地調度分配CPU、內存、磁碟等資源來滿足。環信結合自身基礎服務場景,在實際安全運營中,通過制定適配的安全基線、漏洞管理規范,並落地縱深威脅檢測機制,確保基礎運算負載資源的安全性。
6.1.3.1安全基線
環信制定了IDC和公有雲的安全基線,涵蓋主機操作系統、容器、資料庫、存儲、Web服務等中間件,內容包括賬戶安全、身份認證、最小服務、最小授權、日誌審計、時鍾同步等。並根據不同的用途,對操作系統或中間件進行不同程度的安全配置加固,確保新交付的運算負載資源滿足相關安全基線要求。對於運行中的負載資源,安全團隊會進行定期的配置巡檢,對比與安全基線的差異,輸出不符合項,通知到關聯的運維和業務技術團隊,並落實整改。
6.1.3.2漏洞管理
所有交付上線的運算負載資源,均來自統一管理的操作系統鏡像或中間件軟體包。對於交付使用中的資源,安全團隊會採集操作系統和中間件版本信息,然後發送到安全運營系統中分析,從而識別是否存在受漏洞影響的版本。對於公有雲上的主機資源,環信會部署公有雲的安全客戶端,實現對操作系統和中間件等軟體產品的實時漏洞檢測。另外,安全團隊通過部署業界知名商業漏洞掃描產品,定期對運算負載資源發起掃描巡檢,輸出漏洞掃描報告,並將信息採集到安全運營系統。
一旦發現存在漏洞版本匹配的組件,安全團隊會對漏洞的風險做綜合評估,提供應急處置措施和修復建議,並聯合運維及相關業務技術團隊落實漏洞修復、配置加固、鏡像更新,從而實現漏洞管理的閉環。
6.1.3.3計算資源中的安全運維
運維賬號安全
在日常運維中,環信制定並啟用了IAM(IdentityandAccessManagement,身份和訪問控制管理)機制,所有涉及運維內容的人員必須具有有效的身份和授權才可進行操作,運維賬號與員工身份一一對應,其默認啟用MFA(Multi-factorauthentication,多重要素驗證)。
操作系統賬號安全
對於系統賬號,環信制定了一系列安全制度和操作規范,例如,避免使用弱口令作為密碼,並要求定期更換,信息安全團隊也會通過定期的安全檢查。
運維操作審計
環信在日常運維過程中,會實時記錄歸檔各類操作,制定實時監控告警策略,並對風險操作及時處置。
6.2SDK安全
環信提供iOS、Android、Flutter、ReactNative、Windows、小程序、Web等平台的SDK支持,以滿足開發者及用戶的各類實時音視頻互動接入需求。IMSDK不僅僅為開發者及用戶提供簡單、易用、統一、可信、安全的即時通訊開發套件,也竭盡全力為開發者及用戶提供合規、安全的配置選項,以提升開發者及用戶在實時音視頻互動場景和應用中合規監管和應對信源數據安全威脅的能力。
根據國家法律法規規定及監管機構執法要求,APP在使用第三方SDK時,必須在APP《隱私政策》中告知用戶,並在調用時序上做好延遲初始化配置,確保用戶同意APP《隱私政策》後SDK才可以被啟動,進行數據採集和服務。為了幫助開發者避免合規風險,環信推出隱私政策合規要求,包括隱私政策展示內容和展示形式合規。關於環信所收集的信息種類、用途、個人信息保護的規則及退出機制等,詳見環信官網(
6.2.1SDK的合規與安全保證
環信在為開發者提供SDK時,SDK的可信和安全是首要保證的內容之一。在評審SDK新增或迭代的功能時,會充分評估功能需求在合規隱私以及安全上的風險點,確保與環信合規和隱私政策的一致性。功能實現時,會在進行充分的質量保證(QA)測試時對代碼進行安全審計,在涉及引用或集成第三方SDK、庫文件時進行安全檢測,尤其是合規性確認,例如,是否存在惡意代碼或後門,是否遵守版權或使用協議。如果檢測出存在風險,SDK只有在修復並確認無風險後,才允許進入下一階段。在分發環節,會在官方渠道更新。
6.2.2對開發者及用戶的安全與合規支持
在SDK上,環信提供了設備端存儲內容加密,日誌安全等安全配置選項,以協助開發者及用戶完善即時通訊數據安全及隱私合規。有需要的開發者及用戶,可以參考開發者文檔進行配置啟用。
6.2.2.1本地存儲內容
環信SDK使用行業標準的加密技術對在設備本地的消息等內容記錄進行加密存儲。
6.2.2.2日誌脫敏
環信SDK提供不同的日誌級別,方便開發者在開發調試和發布時使用,同時對設備上的日誌進行脫敏,防止用戶數據被識別和竊取。
6.3RESTfulAPI安全
為方便開發者高效地管理自己的應用和服務,諸多業務功能和管理功能以RESTfulAPI的方式供開發者調用。在安全保障上,除了將站點接入WAF外,還有如下的安全控制措施。
身份鑒權
開發者在使用RESTfulAPI前,需先登錄控制台,創建開發者專屬的key
amp;secret。後續API調用,需使用對應的key
amp;secret對,以區分不同項目或應用。
傳輸安全
RESTfulAPI支持HTTPS協議,以確保使用SSL/TLS對所有API通信進行加密,可以保護API憑據和傳輸的數據,以及防止一些如中間人攻擊(MITM,maninthemiddle)等。
API限速
服務端對API請求的速率有限制,在保證正常用戶請求可以得到響應的同時,限制惡意用戶的API請求。
輸入驗證
開發者請求的參數會經過伺服器後台過濾,以避免一些常見的易受攻擊缺陷(SQL-注入,遠程代碼執行等)。
七、環信數據安全
數據作為信息活動的載體,經過合法合規且安全的處理尤為重要。數據安全是環信最為關切的問題之一,本節將介紹環信在數據安全上採取的政策及落實的管理和技術控制措施。
7.1數據安全政策
針對日益嚴峻的網路安全態勢,以及逐漸趨緊的監管要求,環信堅持以數據保密、完整和高可用作為業務服務的數據安全發展戰略,並將數據安全理念融入安全體系建設過程中,即
保密性:防止未經授權的訪問和竊聽
完整性:防止惡意篡改和偽造數據
可用性:通過不同數據中心和邊緣節點保障數據高可用
因此環信對所有員工均開展信息保護、隱私合規及保密意識安全培訓,並簽訂保密協議;對違反數據安全制度和保密要求的人員,我們會視情形嚴重程度以採取相應的違規處理措施,包括但不限於談話、加強培訓考核、解除勞動協議及追究其他法律責任等措施。
7.2數據採集
採用最小化的數據採集原則,只採集經用戶授權同意的,且業務所必須的數據欄位。
7.3數據脫敏
為保護數據隱私,環信針對官網控制台的企業和個人信息均進行脫敏後的展示,此策略同樣也適用於不同的服務和SDK。
7.4數據保護和加密傳輸
在IMPaaS服務中,對於不同的傳輸通道例如SDK與伺服器,伺服器與用戶的應用伺服器之間等,都支持安全傳輸協議(HTTPS/TLS/WSS等)
7.5數據使用和存儲
對於開發者及用戶的機密信息,如密碼,我們會以哈希加鹽值(salt)的方式進行存儲。對已存儲的信息,將根據相關監管要求和制定的數據備份和存儲策略,嚴格制定數據保存期限,並按要求在需要時對其進行銷毀;對來自開發者及用戶的數據處理申請,我們將根據開發者及用戶的授權及相應監管要求配合實施數據清理或轉移。
7.6用戶的數據權利
提供了不同維度的用戶權益的API方面支持用戶數據的導出和刪除。
八、環信安全運營
安全是一個持續的過程,在實際安全運營中,環信基於自身業務特性,通過如下維度來開展。
8.1安全開發生命周期管理SDL
在軟體開發生命周期中,嵌入了安全和隱私的相關要求,結合當前流行的DevSecOps,讓SDL流程更自動化,從而在原有的安全開發生命周期的基礎上,更高效的進行安全和隱私的檢查。
8.1.1威脅建模
在設計和架構階段,為了能夠更早的發現風險,通過威脅建模來識別潛在的安全問題並實施響應環節措施。為了有效發現並解決設計階段的潛在風險,參考STRIDE的威脅建模方法,主要聚焦攻擊面最小化,基本隱私,許可權最小化,默認安全,數據加密等。
8.1.2CI/CD黑白盒檢測
在安全測試層面更注重DevSecOps崇尚的內置安全防護,且已在CI/CD層面進行了黑白盒工具的集成,包含開源代碼掃描工具SonarQube,組件及合規掃描商業工具BlackDuck,App/Sdk掃描工具MobSF等,從而完善在集成發布過程中的風險監測。
8.2反入侵和安全監控
環信的各類運算系統、業務應用服務每天都會產生海量的日誌數據。在落實縱深防禦以應對威脅的基礎之上,安全團隊也會在最小許可權范圍內採集用於安全分析的日誌。基於這些日誌,通過安全監控分析平台實時運算。對識別的安全異常事件,會及時告警,安全運營人員會進一步展開關聯以及溯源分析復核;對確認的風險,會根據應急響應機制進行處置和追蹤,以保障業務系統的安全性和可用性。
8.3安全應急響應機制
基於自身即時通訊業務特性,對服務類型進行分類分級,系統性地安全評估和威脅識別,制定不同的安全事件分類標准,以及響應時效和處置流程,以確保及時有效地處理安全異常。
8.4安全合作
在自身內部安全建設的基礎上,環信已與Trustwave等多家第三方安全廠商合作,定期進行滲透測試,代碼審查,逆向工程等來幫助環信發現線上應用、系統、服務以及SDK等層面的安全漏洞和各類潛在風險,從而提升整體服務安全性和系統健壯性。
九、APP開發者接入環信SDK的合規要求
根據國家法律法規規定及監管機構執法要求,APP在使用第三方SDK時,必須在APP《隱私政策》中告知用戶,並在調用時序上做好延遲初始化配置,確保用戶同意APP《隱私政策》後SDK才可以被啟動,進行數據採集和服務。為了幫助環信開發者避免合規風險,環信推出了隱私政策合規要求,包括隱私政策展示內容和展示形式合規。
9.1.隱私政策內容合規
注意:本信息收集范圍說明適用於SDK3.8.4版本及以上
當APP開發者接入環信SDK服務時,請務必按照我國法律法規、規范性文件之要求,在APP自身的隱私政策或個人信息保護政策等相關公示文件中「第三方服務」/「第三方合作夥伴」部分明確列出本APP所集成的環信SDK收集、使用個人信息的目的、方式和范圍,環信提供如下兩種參考表達話術,以方便APP開發者更高效、更合規地調整自身的隱私政策,共同保護個人信息。
參考表達一、以文字方式向用戶呈現
如:我們使用了第三方(北京億思摩博網路科技有限公司,以下稱「環信」)環信SDK服務為您提供【】功能。為了順利實現該功能,您需要授權環信SDK提供對應的服務;在您授權後,環信將收集您相關的個人信息。關於環信所收集的信息種類、用途、個人信息保護的規則及退
出機制等,詳見環信官網(
參考表達二、以表格方式向用戶呈現
如:【您的APP名稱】(iOS版/Android版)內嵌第三方SDK詳情
9.2隱私政策展示形式合規
需要增加明確彈窗,有明顯同意和拒絕按鈕,讓用戶自主選擇是否接受隱私政策。App隱私政策包含的環信隱私權政策鏈接可允許用戶點擊查看。
十、結語
為開發者提供合規、安全、可信的即時通訊雲平台,是環信所有架構和產品服務首要考慮的要素之一。環信從人員、技術、管理、流程等多個方面系統性推進信息安全政策的落地,履行監管合規義務,與行業客戶以及第三方社區或團體個人緊密合作,同時積極探索新的技術,推進安全自動化、智能化,實現安全防護能力高效輸出。
在日趨復雜的互聯網環境下,技術迭代周期越來越短,新型攻擊手段層出不窮,我們無時不刻都在面臨各類安全威脅。篳路藍縷啟山林、櫛風沐雨砥礪行,在此背景下,希望本白皮書能夠為企業或機構的安全建設提供參考和借鑒,也歡迎業界同仁共同參與完善,助力行業高質量穩健發展!
訪問環信官網,免費下載白皮書PDF全文。