❶ 梅尔沃放置安卓版闪退
梅尔沃放置》是一个功能丰富的闲置/增量游戏,具有熟悉的感觉。有20多个独特的技能可供处理,你将永远有新的东西可以处理。
闪退解决方法
一、缓存垃圾太多
由于安卓系统的特性,如果长时间不清理垃圾文件会导致手机在使用中越来越卡,也会出现闪退情况。
闪退修复方法:
2.进入设置—应用管理—全部,找到出现状况的应用程序,清理数据和缓存(注:清除数据会清除掉应用的个人设置,账户信息等)。
二、内存不足
内存不足是很多程序闪退的原因重要原因。
闪退修复方法:
定期清理后台程序9520317_20161123__thumb.jpg
三、手机杀毒软件
安卓因为审核较为简单而且很多第三方软件容易植入各种病毒代码、
闪退修复方法:
建议在正规商店下载程序。
四、应用版本有问题
这多出现的是应用本身的问题。太新或者太旧都会与当前系统不兼容。
闪退修复方法:
根据系统版本找相适应的软件版本即可。9520317_20161123__thumb.jpg
五、网络问题
部分软件需要一个稳定的网络,使用的是2G/3G网络,造成闪退的可能性比较大。
闪退修复方法:
建议在WIFI环境下使用部分大型游戏软件,也可升级到4G网络。
六、缺少数据包
这个问题多出现在游戏类应用,喜欢玩游戏的用户可要注意了。
闪退修复方法:
先安装好数据包后再使用。
七、系统不兼容
安卓系统更新的速度很快,目前想要稳定建议停留在安卓4.4.
闪退修复方法:
更新升级手机系统版本即可。
八、忘记升级应用程序
忘记给应用程序升级版本也可能是造成闪退的原因,因为好多大型游戏或者应用程序是需要安装额外的数据包才能正常运行的哦,所以时不时的也要升级一下经常使用的应用程序。9520317_20161123__thumb.jpg
手机老是闪退怎么办?针对不同的闪退原因,是有不一样的解决方法的,为此在手机出现闪退的时候,可以采用上面几种方法来试一试。但是如果你的手机是ios系统,上面介绍的方法则不适用,系统不同遇到的闪退原因也会不一样。日常适用手机的时候遇到的问题是千奇百怪的,只有耐心的解决掉手机闪退的问题,才能够更为畅快的适用手机。
相关资源:androidapk无法安装及闪退问题解决办法_sdk版本过低怎么解决,apk...
打开CSDN APP,看更多技术内容
安卓开发笔记——APP闪退解决方案_Kevin&Amy的博客
笔者在开发一个智能家居APP的过程中,遇到APP闪退的情况,将日志打印出来:怀疑可能是布局文件的问题,最后发现是由于在布局文件中View中的"V“误敲成了小写:将布局相关内容改正过来即可,APP就可以重新启动。...
android 闪退解决方案,Android apk无法安装及闪退问题解决办法_蓝色...
1.之前做过一个环信的即时通讯,集成好环信的sdk之后在4.x的手机上就打开就闪退,,只能在5.x和6.x手机上打开app 2.最近又碰到了同样的问题不过这次和上次不一样,这次是因为我的 as升级到了 2.3 之后出现的这个问题..所以经过了两...
android app闪退原因,如何解决app闪退问题
在应用app的时候,我们常常会遇到app闪退各类的问题。那么怎么解决和分析,以及处理这些问题,我在这里列举几个常见的app闪退的问题,并希望大家可以通过这几类分析,尽量避免app闪退这样的大问题。第一点,网络数据的请求和保护,在app进行网络切换的时候,如果没有做好网络保护,是会出现app闪退问题的,所以,在网络请求类中,设置好网络的断网保护,就可以解决这类问题了第二点,主线程的死锁第三点,数据安...
继续访问
android为什么总是闪退怎么办,手机应用老是闪退该怎么办?
手机应用老是闪退该怎么办?手机应用闪退是怎么办?手机闪退原因一、缓存垃圾太多手机应用闪退是怎么回事 常见的修复方法介绍由于安卓系统的特性,如果长时间不清理垃圾文件会导致手机在使用中越来越卡,也会出现闪退情况。闪退修复方法:2.进入设置应用管理全部,找到出现状况的应用程序,清理数据和缓存(注:清除数据会清除掉应用的个人设置,账户信息等)。手机闪退原因二、内存不足内存不足是很多程序闪退的原因重要原因。...
继续访问
最新发布 AndroidStudio打包成APK安装运行闪退的解决方法
在模拟器上运行安卓代码没有问题,但是打包成APK到手机上运行就出现闪退问题,到网上搜了好久也没有解决,最后采用真机的方式解决。这里以oppo手机为例.
继续访问
Android常见崩溃闪退问题的解决方案
背景 Android开发过程中,APP崩溃是一类非常常见的问题,而且APP崩溃问题很多时候对APP安全还是致命性的。APP崩溃大部分是以闪退的形式出现。APP常见的崩溃原因有:NullPointerException 空指针、ClassCastException 类型转换异常、IndexOutOfBoundsException 下标越界异常、ActivityNotFoundException Activity未找到异常、IllegalStateException 非法状态异常、ArrayIndexOutO
继续访问
Android手机中APP闪退的原因汇总
在日常生活中,经常点击手机应用程序时,一下就闪退了,到底有哪些原因造成,让我们来一起总结下: 可能是网络异常引起的 手机空间不足造成的 APP程序的版本太老引起的,直接卸载老版本,重装安装就正常了。这是我在实际生活中遇到过的 APP中访问网络的地方,组件中的ImageView没有正常的下载并显示到app 页面上 APP的sdk和手机的系统版本不兼容引起的 拍照/选择图片后闪退:1)手机内存小。2...
继续访问
android 6.1 app闪退,手机软件闪退怎么办 具体解决方法【图文】
智能手机已经成为我们日常生活不可或缺的一部分,上网冲浪、手机游戏、微信聊天等等俨然已经是我们工作之余的娱乐内容之一。软件功能的强大的同时也要求手机自身系统配置需同步提高,这样才能使手机对各类软件的兼容性更强。即使是这样,我们的智能手机一旦使用比较长的时间(一般在一到两年)后,我们会明显感觉到手机相比刚买时会比较卡一点,有时一些软件还会直接闪退。以下是用于处理软件闪退问题的方法。一、安卓手机1、手机...
继续访问
apk闪退_安卓手机经常闪退怎么办?安卓手机闪退解决办法
平时我们在使用手机的时候可能会发现,安卓手机使用的时间长一点就可能会出现手机闪退的现象,那么如何来解决手机闪退的问题呢?今天,刷机帮小编就为大家分享一篇如何解决手机闪退问题的教程,大家可以根据自己的实际情况来进行操作,也希望这篇文章可以帮助到有需要的你们,下面让我们一起来看看吧!一般导致安卓手机出现闪退原因有以下几点:1、手机后台运行的程序过多;手机后台程序运行过多是导致手机出现闪退的很重要的原因...
继续访问
Android开发——常见软件闪退问题及解决方案
1、nullpointer——就是使用一个对象的时候还没有对其进行初始化导致该问题 一般在何种情况下容易出现呢? (1)父窗口+子窗口同时出现的,父窗口因为某种原因消掉了,子窗口还在,操作子窗口找不到父窗口的pid,就会出现问题 (2)加载过程中进行刷新或者其他点击操作,可能某种资源还没有初始化成功,就会出现该问题 (3)异常情况下,比如断网了,比如需要连接的设备没有连接,则相应资源拿不到,此时点击某些按钮,也会出现该问题 2、OOM——在视频\图片的来回切换,比如横竖屏的来回切换过程中比较容易出现,因为本
继续访问
android真机测试什么不同,android真机测试闪退
1. Android程序真机调试闪退怎么办应用程序出现闪退,原因如下: 1、应用程序自身漏洞:开发的应用程序代码存在缺陷,造成大多数设备在运行该程序时会出现闪退的情况。这种情况需要开发者进行解决。 2、系统固件版本不支持、系统配置(CPU、RAM等)不支持。这种情况表现为部分设备能正常运作该程序,而其他设备会闪退。 解决方法如下; 1.电脑下载并安装PP助手。2.将使用数据线连接到电脑上并且...
继续访问
为什么Android手机APP闪退,安卓手机软件闪退怎么办 安卓软件停止运行解决方法_系统圣地...
安卓手机软件闪退、停止运行、无法使用等问题相信很多小伙伴都曾经遇过吧,下载了一款自己感兴趣的软件,刚点进去就闪退或者停止运行之类的,实在是让人头痛,今天小编就给大家带来安卓手机程序闪退、停止运行时的解决教程,希望能对大家有所帮助。原因一、缓存垃圾太多由于安卓系统的特性,如果长时间不清理垃圾文件会导致手机在使用中越来越卡,也会出现故障。修复方法:进入设置—应用管理—全部,找到出现状况的应用程序,清理...
继续访问
Android总是闪退,怎么办?Android崩溃机制。
闪退,程序退出这些都是开发中最常见的了。开发过程中,那还好说,遇到就解决被,主要还是应对上线问题。各大平台的捕获机制不少,用就完事了。但,我还是想知道Android崩溃机制。 所谓的闪退就是Android系统执行app的时候,发生不可以进行下去的步骤,追溯到最底层,就是堆栈内存的那点事咯。 这里推荐个简书的文章:https://www.jianshu.com/p/37b3c9f950dd 当然还有其他很优秀的文章,大家都搜索下。我这里也不贴出来了。 UncaughtExceptionHandler
继续访问
Android中App闪退的原因分析及处理
网络异常引起的,检查网络配置情况。 APP中访问网络的地方,组件中的ImageView没有正常的下载并显示到app 页面上。 APP的sdk和手机的系统不兼容。 拍照/选择图片后闪退:①手机内存小②部分手机在使用相机拍照时候存在横竖屏切换,可能会导致我们应用重新调整生命周期.解决办法:在使用到拍照功能的Activity设置:android:configChanges=“orient...
继续访问
apk闪退_解决安卓手机闪退的通用办法!
原标题:解决安卓手机闪退的通用办法!丫丫网资讯,很多安卓用户都会反应手机在使用过程中会出现手机闪退问题,今天这个问题也许可以解决了。一起来瞅瞅吧! 1、安卓手机由于其系统特性原因,在手机缓存过多的情况下会导致运行变慢且出现闪退现象,这个时候,网友们可借助类似安卓清理大师等清理工具对手机进行一次深度扫描,或直接进入【设置】—【应用管理】—【全部】,找到出现状况的应用程序,清理数据和缓存进行删除即可。...
继续访问
Android应用的闪退(crash)分析
文章转自阿里客户端工程师试题简析——Android应用的闪退(crash)分析 1. 问题描述闪退(Crash)是客户端程序在运行时遭遇无法处理的异常或错误时而退出应用程序的表现,请从crash发生的原因分类与解决方法、在出现crash后如何捕捉并分析异常这两个问题给出自己的解决方案。 我们以Android平台为例,介绍下如何捕获Android应用的闪退信息,以帮助我们定位和解决导致闪退的问题代码
继续访问
Android 让程序闪退的方法
android.os.Process.killProcess(android.os.Process.myPid());
继续访问
android 永不闪退,永不crash的Android
Cockroach打不死的小强,永不crash的Android使用方式自定义Application继承自android的Application,并在Application中装载,越早初始化越好,可以在Aplication的onCreate中初始化,当然也可以根据需要在任意地方(不一定要在主线程)装载,在任意地方卸载。可以多次装载和卸载。例如:import android.app.Applicati...
继续访问
90%的人都不知道如何正确关闭安卓偶现闪退的Bug
对于软件测试这个岗位或者职责来讲,就是保证软件质量,那保证软件质量的其中一个方法,就是提的Bug的关闭,如果无法正确的关闭,就无法保证质量,特别是对于目前使用普遍率高的安...
继续访问
Android程序闪退解决思路
这几天在做Android程序的实验,完全新手,遇到一些问题,其中最让人头疼的是程序闪退,相信很多人都有点感觉无从下手,特地分享一下我的经验。 首先,做了一个程序,在模拟器上运行,显示 “ *** keeps stopping ”,在网上找了很久,才了解了解决这类问题的基本思路——Logcat,AndroidStudio底部的状态栏有Logcat这个功能区,所有运行失败都会在那里有记录。 但是,logcat上面的出错信息让人摸不着头脑: Unable to instantiate activity Co
继续访问
热门推荐 Android中造成APP闪退的原因总结
1. 网络异常引起的 2. APP中访问网络的地方,组件中的ImageView没有正常的下载并显示到app 页面上。 3.APP的sdk和手机的系统不兼容。 4.拍照/选择图片后闪退:①手机内存小②部分手机在使用相机拍照时候存在横竖屏切换,可能会导致我们应用重新调整生命周期.解决办法:在使用到拍照功能的Activity设置:android:configChanges="orientation...
继续访问
Android中Crash(闪退,崩溃)的一般问题与解决方案
Crash Exception 在Android 中经常会遇到,那么遇到异常我们该如何解决,本文将举例解决部分Android看法中遇到的异常。 NullPointerException 空指针 ClassCastException 类型转换异常 IndexOutOfBoundsException 下标越界异常 ActivityNotFoundException Activity未找到异常...
继续访问
app闪退处理方法安卓
and
❷ 即时通讯行业首个安全合规白皮书发布
前言
随着移动互联网和5G通信新技术的浪潮席卷全球,传统的通信方式已经发生了翻天覆地的变化。人们已经习惯了通过即时通讯软件和网络交流平台分享自己生活的方方面面,随着人们越来越公开自己碰皮的生活,人们也开始关注隐私和安全等问题。
隐私作为人们不愿为他人知晓的私密空间、私密活动和私密信息,历来被互联网用户所关注。尤巧胡其是在即时通讯服务的使用过程中,用户可以轻易将自己的隐私传输至互联网上,这使得用户在享受便捷服务的同时,更容易因隐私泄露而影响生活安宁。近些年来各类隐私泄露事件更是让人们在享受便捷的互联网服务时,对网络服务提供者的隐私保护能力持怀疑态度。甚至在某种程度上,隐私保护逐渐成为用户选择网络服务时考虑的重要因素。为了保护用户的隐私,世界各地都相继出台了隐私保护相关的法律法规,使得企业的隐私保护合规工作更加具有挑战性。
作为全球互联网消息云的开创者和引领者,数据和用户隐私安全是环信最关切的问题。环信始终将数据和用户隐私安全作为首要安全原则,并将其作为理念融入安全能力建设当中,2021年环信行业首家通过了史上最严格的数据保护法案“GDPR”的相关安全合规标准。
为帮助开发者及用户感知和理解环信在即时通讯服务上的努力,了解环信服务的安全属性,CSDN联合环信特发布即时通讯行业首个《安全合规白皮书》。该白皮书全面分析了安全合规的趋势及国内外监管重点,同时给出环信在即时通信领域安全合规开发的经验及建议,还列举了环信云服务的相关安全和合规工作,希望能够为业界提供了全面、详实的安全能力建设参考。
目录
1.安全合规的趋势
1.1隐私监管趋紧
1.2APP/SDK趋严
1.3安全合规的基本框架
2.国内外的监管重点
2.1国内App上架-信息采集
2.2国内App上架-符合安全规定
2.3海外的关注-?户权利
2.4共同关注点-数据跨境
3.如何评估和满?安全合规要求
3.1如何评估安全合规的要求
3.2产品架构维度
3.3数据处理流程的维度
4.安全合规开发经验及建议
4.1安全合规能?建设需要做什么
4.2?前安全合规的能?
4.3开发建议-即时通讯领域
5.环信安全合规、隐私保护及相关认证
5.1环信安全合规和隐私保护
5.2安全标准和认证(GDPR)
6.环信即时通讯PaaS服务的安全
6.1数据中心计算资源安全
6.2SDK安全
6.3RESTfulAPI安全
7.数据安全
7.1数据安全政策
7.2数据采集
7.3数据脱敏
7.4数据保护和加密传输
7.5数据使用和存储
7.6用户的数据权利
8.安全运营
8.1安全开发生命周期管理SDL
8.2反入侵和安全监控
8.3安全应急响应机制
8.4安全合作
9.APP开发者接入环信SDK的合规要求
9.1隐私政策内容合规
9.2隐私政策展示形式合规
10.结语
引言
在监管趋紧的形式下,即时通讯场景会遇到很多安全合规领域的挑战,如何满足这些安全合规的要求,如何保护用户的隐私安全,是一件非常有挑战的事情。
一、安全合规的趋势
1.1、隐私监管趋紧
最近四五年来,安全合规的趋势变得越来越严格,各个国家都有比较重磅的安全合规的相关法规出台,比如美国加州的《消费者隐私法案》《儿童在线隐私保护法》、保险医疗领域的HIPPA,以及欧盟推出的比较有代表性的《通用数据保护条例》。国内去年也出台了《个人信息保护法》
《数据安全法》,加上之前发布的《网络安全法》,对于安全合规领域的覆盖逐渐比较完善。
1.2、App/SDK趋严
图1所示为国内主要的有关法规和内容,而且这个趋势也是越来越严格,比如工信部发布的各种应用下架的新闻或者公告,都涉及了个人数据隐私相关的内容。
1.3、安全合规的基本框架
安全合规的基本框架可以总结成两个方向,一个是用户知情同意,另一个就是安全保障义务。我们以《通用数据保护条例》(GDPR)为例,它是一个法规条文,内容包括各种监管措施、惩罚措施,还规定了应保障的用户权利,后续章节将介绍一些具体的用户权利说明。
二、国内外的监管重点
关于国内外监管的重点,从国内这几年的角度来看,主要包括以下几个方面:
2.1、国内App上架——信息采集
如图2所示,用户信息的采集方面正受到越来越多的重视,国家部委笑宽差出台了《常见类型移动互联网应用程序必要个人信息的范围规定》,指出了二三十个场景下能够采集的必要的个人信息。
比如地图导航类,它的基本功能是定位和导航,必要的个人信息为位置信息、出发地和到达地。开发者在开发应用的时候首要确认相关信息,如果收集了其余非必要数据App就无法上架。
再比如网络社区类应用,它的基本功能是博客、论坛等,这些个人信息跟即时通讯类的必要信息比较接近,诸如用户的移动电话号码和账号联系人等信息。网约车类型中也规定了电话号码,包括出发地、到达地、支付时间、支付信息等。为什么即时通讯类需要移动电话号码呢?一般认为是只需要账号就可以了?接下来的篇幅就解释了这个问题。
2.2、国内App上架——符合安全规定
除了可以采集的必要信息的约束之外,我国还有很多特定的相关不同行业或领域的约束。
在应用的上架流程中,应用商店都有详细的审查规定,如果涉及即时通讯、直播或者用户舆论领域,就需要一个安全评估报告,这个安全评估报告中增加了额外的要求,比如说用户真实身份的核验,就是要核验服务中用户的身份是真实可靠的,这里就回答了前面即时通讯领域的问题,想真正地服务客户,就要能够做到实名制,而实名制其实一般就是通过校验手机号和短信等方式。
另外,其实这还涉及用户舆论的问题,需要针对这个问题建立投诉举报的机制,公布投诉举报的联系方式和处理情况,对于这些用户的昵称、信息发布、转发评论等,要有相关的记录保存措施,通过一定的保存机制来支持追查这些信息。这样一方面约束了必要的个人信息的采集;另一方面在不同的领域也补充了额外的要求,比如金融或者医疗领域就有更高级别的相关要求。
根据工信部数据显示,近期违规下架应用累计为3000款左右,涉及的问题大部分是违规收集个人信息,少量是强制或者索取权限相关的问题,国内的应用、网站可能涉及的问题主要集中在这几个方面。
2.3、海外的关注——用户权利
如果目标客户是在海外,那么会发现海外的侧重点稍有不同。除了常见的这些安全约束之外,其更关注用户的权利。
举几个例子,比如用户的知情权、信息获取权、修改权和被遗忘权。知情权就是明确地告知用户要收集哪些信息、信息用来做什么以及保存多久;信息获取权就是用户必须能够导出自己的数据;修改权就是用户可以对个人信息进行修改;被遗忘权就是用户有权利注销和删除自己的数据。Facebook等海外的大型平台都支持注销账号、导出个人数据等功能,这些是海外比较重视的方面。
图3案例所示,英国的数据保护监管机构向加拿大的一家数据分析公司发出通知,要求其删除
所有跟英国公民相关的个人数据,如果不履行义务,将面临着2000万欧元或者上一年全球总
营业额4%的罚款。这里的2000万欧元和4%的罚款就是《通用数据保护条例》中所做的规定,从中不难看出这个措施是非常严格的。
2.4、共同关注点——数据跨境
国内和国外还有一个共同的关注点,就是热点数据跨境,简单来说就是个人信息和重要的数据应当在境内,这里的在境内应该就是说,比如中国公民的信息和重要的数据不能被随意地存储到境外的服务器上,欧盟地区的数据也不能被随意地存储在欧盟以外。其他的地区比如东南亚或者印度,也有当地的相关法律法规来约束。
如果确实需要向境外提供数据,我国的要求是要通过评估办法进行慎重的评估。欧盟则是要求他们认为已经采取足够的安全保护措施的地区可以跨境转移数据,但至少现在为止中国还不在这个名单上,所以欧盟的数据也不能随意存储在中国境内的服务器上。
三、如何评估和满足安全合规要求
了解了安全合规的趋势和相应的重点之后,我们如何评估和满足安全合规的要求呢?首先回溯前面介绍的安全合规的框架。
用户知情同意包括充分告知和权利保障。充分告知就是提供用户隐私协议,权利保障就是用户可以拒绝、可以删除,而且收集的数据要符合最小化原则(最小必要)。
安全保障义务比较复杂。首先,从风险评估、公司内部的制度建设到安全开发流程中都会涉及这个问题,比如产品从需求阶段就要有安全方面的专家确认是否涉及用户数据、用户数据怎么传输、用户数据怎么来保存、是否是必要的等等,因此从产品需求阶段到方案设计阶段,到最后上线阶段都要有必要的安全评估。
其次是技术保障,这里的技术保障指的是采集过程当中的传输、存储都应当采取足够的技术保障,换算成技术角度就是说,传输过程中要进行传输的加密,存储过程中要进行存储的加密。法律法规不会规定具体的某个安全措施,只是要求采取必要的技术措施保障用户数据的安全。
所以从技术角度侧理解,要采取业内比较标准的或者比较高标准的安全措施,比如https默认是使用其他的传输协议,比如TCP、UDP等也应当符合业内的安全标准。
当然,安全保障还少不了审计和监管,就是说要有一定的安全开发流程或者安全制度,满足监管机构的监管要求。
3.1、如何评估安全合规的要求
那么,如何评估安全合规的要求呢?这要看我们具体的涉及的业务,不同领域的要求是不一样的。诸如金融、医疗等领域的要求会更加严格。在某些医疗领域,对于医疗用户(患者)的数据或者处理要记录至少5年以上,这是该领域的一个特殊要求。另外,针对不同区域用户的要求也不一样,比如刚才提到的东南亚,新加坡就有自己的特殊规定,其他地区也有相关的特殊要求。
客户的行业之间也有不同的安全要求,重要的企业或者事业单位,对于数据库有时会有一些特殊的要求,比如要求必须是国内的数据库,这就是不同的行业或者不同的客户可能面临的特殊要求。还有一个重要的因素就是要评估依赖的
节,我们将系统性地介绍各层中的技术及运营环节的安全风险控制措施。
6.1数据中心计算资源安全
环信即时通讯服务由国内外多个数据中心(IDC)以及头部公有云供应商的云服务组成,以构建一个统一、高可用、高扩展、高效率、高安全的基础资源环境。
6.1.1网络隔离
对网络进行合理的划分,定义清晰用途,制定适配的访问控制策略,是网络安全的前提之一。环信基于IMPaaS承载功能和安全级别的不同,将网络划分出了核心、边缘、IT等几大安全区域。在不同的安全域之间,根据不同的业务访问需求和安全级别,环信制定了不同的路由策略以及严格的安全访问策略。
6.1.2防DDoS攻击
分布式拒绝服务攻击(DistributedDenialofService,DDoS)会对IM服务的系统和业务可用性产生重大影响,严重时可导致服务中断或质量下降。为此,环信基于自身服务的特性,结合公有云能力,在核心服务上部署了DDoS防御方案。该方案能够实时检测并防御来自网络层、传输的DDoS攻击。防DDoS攻击方案,能够自动检测、自动调度并触发清洗功能,数秒内就可以完成攻击、流量清洗动作,保证核心服务的可用性。
此外所有DDoS攻击事件,都会通过邮件、短信、电话等方式,第一时间知会安全团队,以便安全团队持续关注和响应决策。
6.1.3主机、数据库、中间件等计算资源安全
各类服务运行所依赖的资源,由操作系统或容器化为关联的后台程序、缓存、数据库等中间件,合理地调度分配CPU、内存、磁盘等资源来满足。环信结合自身基础服务场景,在实际安全运营中,通过制定适配的安全基线、漏洞管理规范,并落地纵深威胁检测机制,确保基础运算负载资源的安全性。
6.1.3.1安全基线
环信制定了IDC和公有云的安全基线,涵盖主机操作系统、容器、数据库、存储、Web服务等中间件,内容包括账户安全、身份认证、最小服务、最小授权、日志审计、时钟同步等。并根据不同的用途,对操作系统或中间件进行不同程度的安全配置加固,确保新交付的运算负载资源满足相关安全基线要求。对于运行中的负载资源,安全团队会进行定期的配置巡检,对比与安全基线的差异,输出不符合项,通知到关联的运维和业务技术团队,并落实整改。
6.1.3.2漏洞管理
所有交付上线的运算负载资源,均来自统一管理的操作系统镜像或中间件软件包。对于交付使用中的资源,安全团队会采集操作系统和中间件版本信息,然后发送到安全运营系统中分析,从而识别是否存在受漏洞影响的版本。对于公有云上的主机资源,环信会部署公有云的安全客户端,实现对操作系统和中间件等软件产品的实时漏洞检测。另外,安全团队通过部署业界知名商业漏洞扫描产品,定期对运算负载资源发起扫描巡检,输出漏洞扫描报告,并将信息采集到安全运营系统。
一旦发现存在漏洞版本匹配的组件,安全团队会对漏洞的风险做综合评估,提供应急处置措施和修复建议,并联合运维及相关业务技术团队落实漏洞修复、配置加固、镜像更新,从而实现漏洞管理的闭环。
6.1.3.3计算资源中的安全运维
运维账号安全
在日常运维中,环信制定并启用了IAM(IdentityandAccessManagement,身份和访问控制管理)机制,所有涉及运维内容的人员必须具有有效的身份和授权才可进行操作,运维账号与员工身份一一对应,其默认启用MFA(Multi-factorauthentication,多重要素验证)。
操作系统账号安全
对于系统账号,环信制定了一系列安全制度和操作规范,例如,避免使用弱口令作为密码,并要求定期更换,信息安全团队也会通过定期的安全检查。
运维操作审计
环信在日常运维过程中,会实时记录归档各类操作,制定实时监控告警策略,并对风险操作及时处置。
6.2SDK安全
环信提供iOS、Android、Flutter、ReactNative、Windows、小程序、Web等平台的SDK支持,以满足开发者及用户的各类实时音视频互动接入需求。IMSDK不仅仅为开发者及用户提供简单、易用、统一、可信、安全的即时通讯开发套件,也竭尽全力为开发者及用户提供合规、安全的配置选项,以提升开发者及用户在实时音视频互动场景和应用中合规监管和应对信源数据安全威胁的能力。
根据国家法律法规规定及监管机构执法要求,APP在使用第三方SDK时,必须在APP《隐私政策》中告知用户,并在调用时序上做好延迟初始化配置,确保用户同意APP《隐私政策》后SDK才可以被启动,进行数据采集和服务。为了帮助开发者避免合规风险,环信推出隐私政策合规要求,包括隐私政策展示内容和展示形式合规。关于环信所收集的信息种类、用途、个人信息保护的规则及退出机制等,详见环信官网(
6.2.1SDK的合规与安全保证
环信在为开发者提供SDK时,SDK的可信和安全是首要保证的内容之一。在评审SDK新增或迭代的功能时,会充分评估功能需求在合规隐私以及安全上的风险点,确保与环信合规和隐私政策的一致性。功能实现时,会在进行充分的质量保证(QA)测试时对代码进行安全审计,在涉及引用或集成第三方SDK、库文件时进行安全检测,尤其是合规性确认,例如,是否存在恶意代码或后门,是否遵守版权或使用协议。如果检测出存在风险,SDK只有在修复并确认无风险后,才允许进入下一阶段。在分发环节,会在官方渠道更新。
6.2.2对开发者及用户的安全与合规支持
在SDK上,环信提供了设备端存储内容加密,日志安全等安全配置选项,以协助开发者及用户完善即时通讯数据安全及隐私合规。有需要的开发者及用户,可以参考开发者文档进行配置启用。
6.2.2.1本地存储内容
环信SDK使用行业标准的加密技术对在设备本地的消息等内容记录进行加密存储。
6.2.2.2日志脱敏
环信SDK提供不同的日志级别,方便开发者在开发调试和发布时使用,同时对设备上的日志进行脱敏,防止用户数据被识别和窃取。
6.3RESTfulAPI安全
为方便开发者高效地管理自己的应用和服务,诸多业务功能和管理功能以RESTfulAPI的方式供开发者调用。在安全保障上,除了将站点接入WAF外,还有如下的安全控制措施。
身份鉴权
开发者在使用RESTfulAPI前,需先登录控制台,创建开发者专属的key
amp;secret。后续API调用,需使用对应的key
amp;secret对,以区分不同项目或应用。
传输安全
RESTfulAPI支持HTTPS协议,以确保使用SSL/TLS对所有API通信进行加密,可以保护API凭据和传输的数据,以及防止一些如中间人攻击(MITM,maninthemiddle)等。
API限速
服务端对API请求的速率有限制,在保证正常用户请求可以得到响应的同时,限制恶意用户的API请求。
输入验证
开发者请求的参数会经过服务器后台过滤,以避免一些常见的易受攻击缺陷(SQL-注入,远程代码执行等)。
七、环信数据安全
数据作为信息活动的载体,经过合法合规且安全的处理尤为重要。数据安全是环信最为关切的问题之一,本节将介绍环信在数据安全上采取的政策及落实的管理和技术控制措施。
7.1数据安全政策
针对日益严峻的网络安全态势,以及逐渐趋紧的监管要求,环信坚持以数据保密、完整和高可用作为业务服务的数据安全发展战略,并将数据安全理念融入安全体系建设过程中,即
保密性:防止未经授权的访问和窃听
完整性:防止恶意篡改和伪造数据
可用性:通过不同数据中心和边缘节点保障数据高可用
因此环信对所有员工均开展信息保护、隐私合规及保密意识安全培训,并签订保密协议;对违反数据安全制度和保密要求的人员,我们会视情形严重程度以采取相应的违规处理措施,包括但不限于谈话、加强培训考核、解除劳动协议及追究其他法律责任等措施。
7.2数据采集
采用最小化的数据采集原则,只采集经用户授权同意的,且业务所必须的数据字段。
7.3数据脱敏
为保护数据隐私,环信针对官网控制台的企业和个人信息均进行脱敏后的展示,此策略同样也适用于不同的服务和SDK。
7.4数据保护和加密传输
在IMPaaS服务中,对于不同的传输通道例如SDK与服务器,服务器与用户的应用服务器之间等,都支持安全传输协议(HTTPS/TLS/WSS等)
7.5数据使用和存储
对于开发者及用户的机密信息,如密码,我们会以哈希加盐值(salt)的方式进行存储。对已存储的信息,将根据相关监管要求和制定的数据备份和存储策略,严格制定数据保存期限,并按要求在需要时对其进行销毁;对来自开发者及用户的数据处理申请,我们将根据开发者及用户的授权及相应监管要求配合实施数据清理或转移。
7.6用户的数据权利
提供了不同维度的用户权益的API方面支持用户数据的导出和删除。
八、环信安全运营
安全是一个持续的过程,在实际安全运营中,环信基于自身业务特性,通过如下维度来开展。
8.1安全开发生命周期管理SDL
在软件开发生命周期中,嵌入了安全和隐私的相关要求,结合当前流行的DevSecOps,让SDL流程更自动化,从而在原有的安全开发生命周期的基础上,更高效的进行安全和隐私的检查。
8.1.1威胁建模
在设计和架构阶段,为了能够更早的发现风险,通过威胁建模来识别潜在的安全问题并实施响应环节措施。为了有效发现并解决设计阶段的潜在风险,参考STRIDE的威胁建模方法,主要聚焦攻击面最小化,基本隐私,权限最小化,默认安全,数据加密等。
8.1.2CI/CD黑白盒检测
在安全测试层面更注重DevSecOps崇尚的内置安全防护,且已在CI/CD层面进行了黑白盒工具的集成,包含开源代码扫描工具SonarQube,组件及合规扫描商业工具BlackDuck,App/Sdk扫描工具MobSF等,从而完善在集成发布过程中的风险监测。
8.2反入侵和安全监控
环信的各类运算系统、业务应用服务每天都会产生海量的日志数据。在落实纵深防御以应对威胁的基础之上,安全团队也会在最小权限范围内采集用于安全分析的日志。基于这些日志,通过安全监控分析平台实时运算。对识别的安全异常事件,会及时告警,安全运营人员会进一步展开关联以及溯源分析复核;对确认的风险,会根据应急响应机制进行处置和追踪,以保障业务系统的安全性和可用性。
8.3安全应急响应机制
基于自身即时通讯业务特性,对服务类型进行分类分级,系统性地安全评估和威胁识别,制定不同的安全事件分类标准,以及响应时效和处置流程,以确保及时有效地处理安全异常。
8.4安全合作
在自身内部安全建设的基础上,环信已与Trustwave等多家第三方安全厂商合作,定期进行渗透测试,代码审查,逆向工程等来帮助环信发现线上应用、系统、服务以及SDK等层面的安全漏洞和各类潜在风险,从而提升整体服务安全性和系统健壮性。
九、APP开发者接入环信SDK的合规要求
根据国家法律法规规定及监管机构执法要求,APP在使用第三方SDK时,必须在APP《隐私政策》中告知用户,并在调用时序上做好延迟初始化配置,确保用户同意APP《隐私政策》后SDK才可以被启动,进行数据采集和服务。为了帮助环信开发者避免合规风险,环信推出了隐私政策合规要求,包括隐私政策展示内容和展示形式合规。
9.1.隐私政策内容合规
注意:本信息收集范围说明适用于SDK3.8.4版本及以上
当APP开发者接入环信SDK服务时,请务必按照我国法律法规、规范性文件之要求,在APP自身的隐私政策或个人信息保护政策等相关公示文件中“第三方服务”/“第三方合作伙伴”部分明确列出本APP所集成的环信SDK收集、使用个人信息的目的、方式和范围,环信提供如下两种参考表达话术,以方便APP开发者更高效、更合规地调整自身的隐私政策,共同保护个人信息。
参考表达一、以文字方式向用户呈现
如:我们使用了第三方(北京亿思摩博网络科技有限公司,以下称“环信”)环信SDK服务为您提供【】功能。为了顺利实现该功能,您需要授权环信SDK提供对应的服务;在您授权后,环信将收集您相关的个人信息。关于环信所收集的信息种类、用途、个人信息保护的规则及退
出机制等,详见环信官网(
参考表达二、以表格方式向用户呈现
如:【您的APP名称】(iOS版/Android版)内嵌第三方SDK详情
9.2隐私政策展示形式合规
需要增加明确弹窗,有明显同意和拒绝按钮,让用户自主选择是否接受隐私政策。App隐私政策包含的环信隐私权政策链接可允许用户点击查看。
十、结语
为开发者提供合规、安全、可信的即时通讯云平台,是环信所有架构和产品服务首要考虑的要素之一。环信从人员、技术、管理、流程等多个方面系统性推进信息安全政策的落地,履行监管合规义务,与行业客户以及第三方社区或团体个人紧密合作,同时积极探索新的技术,推进安全自动化、智能化,实现安全防护能力高效输出。
在日趋复杂的互联网环境下,技术迭代周期越来越短,新型攻击手段层出不穷,我们无时不刻都在面临各类安全威胁。筚路蓝缕启山林、栉风沐雨砥砺行,在此背景下,希望本白皮书能够为企业或机构的安全建设提供参考和借鉴,也欢迎业界同仁共同参与完善,助力行业高质量稳健发展!
访问环信官网,免费下载白皮书PDF全文。