모바일 인터넷과 5G 통신의 신기술 물결이 전 세계를 휩쓸면서 전통적인 통신 모델이 크게 달라졌다. 사람들은 인스턴트 메신저 및 온라인 커뮤니케이션 플랫폼을 통해 삶의 모든 측면을 공유하는 데 익숙합니다. 사람들이 생활에 점점 개방됨에 따라, 사람들은 프라이버시와 안전에 주의를 기울이기 시작했다.
프라이버시, 사람들이 알고 싶지 않은 사적인 공간, 사적인 활동, 사적인 정보로서 네티즌들의 관심이 쏠리고 있다. 특히 인스턴트 메시징 서비스의 사용에서 사용자는 자신의 프라이버시를 인터넷으로 쉽게 전송할 수 있어 사용자가 편리한 서비스를 즐기면서 프라이버시 유출로 인해 자신의 생활 안녕에 더 쉽게 영향을 줄 수 있다. (윌리엄 셰익스피어, 윈스턴, 메신저, 메신저, 메신저, 메신저, 메신저, 메신저, 메신저, 메신저, 메신저) 최근 몇 년 동안 각종 프라이버시 유출 사건으로 사람들은 편리한 인터넷 서비스를 즐기면서 인터넷 서비스 업체의 프라이버시 보호 능력에 대해 의심을 품게 되었다. 심지어 어느 정도까지는 개인 정보 보호가 사용자가 네트워크 서비스를 선택할 때 고려해야 할 중요한 요소가 되고 있습니다. 사용자의 개인 정보를 보호하기 위해 전 세계적으로 개인 정보 보호와 관련된 법률 및 규정이 제정되어 기업의 개인 정보 보호 및 규정 준수가 더욱 어려워졌습니다.
글로벌 인터넷 메시지 클라우드의 개척자이자 리더로서 데이터와 사용자의 프라이버시 보안은 반지의 가장 큰 관심사입니다. 환신은 항상 데이터와 사용자의 프라이버시 보안을 최우선 보안 원칙으로 삼아 이를 하나의 이념으로 보안 역량 구축에 통합했다. 202 1 년, 환신업계는 사상 가장 엄격한 데이터 보호법' GDPR' 관련 보안 규정 준수 기준을 최초로 통과시켰다.
개발자와 사용자가 인스턴트 메시징 서비스에 대한 HIV 의 노력을 인식하고 이해할 수 있도록 CSDN 과 HIV 는 인스턴트 메시징 업계 최초의 보안 준수 백서를 발표했습니다. 이 백서는 안전 규정 준수 추세와 국내외 규제 초점을 종합적으로 분석했습니다. 또한 인스턴트 메시징 분야의 보안 규정 준수 개발에 대한 경험과 조언을 제공하고, 링 클라우드 서비스에 대한 관련 보안 규정 준수 작업을 열거하며, 업계에 포괄적이고 상세한 보안 역량 구축 참조를 제공하고자 합니다.
카탈로그
1. 보안 규정 준수 동향
1..1개인 정보 보호 규제가 엄격해지고 있습니다.
1.2APP/SDK 가 더욱 엄격해졌습니다.
1.3 보안 규정 준수를 위한 기본 프레임워크
2. 국내외 규제 우선 순위
2. 1 국내 App 선반-정보 수집
2.2 국내 App 선반--안전 규정 준수
2.3 해외 관심사-? 가족 권리
2.4*** FAQ-국경 간 데이터
3. 화성을 어떻게 평가합니까? 보안 규정 준수 요구 사항
3. 1 보안 준수 요구 사항을 어떻게 평가합니까?
3.2 제품 구조 차원
3.3 데이터 처리 프로세스의 차원
4. 안전 규정 준수 개발 경험 및 권장 사항
4. 1 보안 규정 준수? 시공은 무엇을 해야 합니까?
4.2? 보안 규정 준수 전?
4.3 개발 제안-인스턴트 메시징 분야
5. 환경 안전 규정 준수, 개인 정보 보호 및 관련 인증.
5. 1 링 보안 규정 준수 및 개인 정보 보호
5.2 보안 표준 및 인증 (GDPR)
6. 링 인스턴트 메시징 PaaS 서비스 보안.
6. 1 데이터 센터 컴퓨팅 리소스 보안
6.2SDK 보안
6.3RESTfulAPI 보안
7. 데이터 보안
7. 1 데이터 보안 정책
7.2 데이터 수집
7.3 데이터 탈감작
7.4 데이터 보호 및 암호화 전송
7.5 데이터 사용 및 저장
7.6 사용자의 데이터 권리
8. 안전한 작업
8. 1 보안 개발 라이프 사이클 관리 SDL
8.2 침입 방지 및 보안 모니터링
8.3 안전 비상 메커니즘
8.4 보안 협력
9.9 준수 요구 사항. 응용 프로그램 개발자 액세스 링 SDK
9. 1 개인 정보 보호 정책 콘텐츠 규정 준수
9.2 개인 정보 보호 정책은 양식 규정 준수를 표시합니다
10. 결론
소개하다
규제가 엄격해지면서 인스턴트 메시징 시나리오는 보안 규정 준수 분야에서 많은 어려움을 겪게 됩니다. 이러한 보안 규정 준수 요구 사항을 충족하고 사용자의 개인 정보를 보호하는 방법은 매우 어려운 일입니다.
첫째, 보안 규정 준수 동향
1..1,개인 정보 보호 규제가 엄격해지고 있습니다.
최근 4 ~ 5 년 동안 보안 규정 준수 추세가 갈수록 엄격해지면서 미국 캘리포니아의 소비자 프라이버시법, 어린이 온라인 프라이버시 보호법, 보험 및 의료 분야의 HIPPA, 유럽 연합이 발표한 비교적 대표적인' 범용 데이터 보호 규정' 과 같은 비교적 무거운 보안 규정 준수 관련 법규를 발표했습니다. 지난해 중국은 개인 정보 보호법도 반포했다.
데이터 보안법' 은 앞서 발표한' 네트워크 보안법' 과 함께 보안 규정 준수 분야의 적용 범위를 점진적으로 보완했다.
1.2, App/SDK 는 점점 더 엄격해지고 있습니다.
그림 1 은 우리나라의 주요 관련 법규를 보여 주며, 이러한 추세는 갈수록 엄격해지고 있다. 예를 들어 공신부가 발표한 뉴스나 공고는 모두 개인 데이터 프라이버시 관련 내용을 포함한다.
1.3, 보안 규정 준수를 위한 기본 프레임워크
보안 준수의 기본 프레임워크는 두 가지 방향으로 요약할 수 있습니다. 하나는 사용자의 정보에 입각 한 동의이고, 다른 하나는 보안 의무입니다. GDPR (general data protection regulation) 을 예로 들어 보겠습니다. 그것은 각종 규제 조치와 처벌을 포함한 법률 조항이며, 또한 보장되어야 할 사용자 권리를 규정하고 있다. 다음 섹션에서는 몇 가지 특정 사용자 권한에 대해 설명합니다.
둘째, 국내외 규제 우선 순위
국내외 감독의 중점은 최근 몇 년 동안 국내에서 볼 때 주로 다음과 같은 측면을 포함한다.
2. 1, 국내 App 선반-정보 수집
그림 2 에서 볼 수 있듯이 사용자 정보 수집은 점점 더 중시되고 있습니다. 국가부처는' 일반적인 모바일 인터넷 응용에 필요한 개인 정보 범위에 관한 규정' 을 발표해 20 ~ 30 가지 시나리오에서 수집할 수 있는 필수 개인 정보를 지적했다.
지도 내비게이션과 같은 기본 기능은 위치 내비게이션이고, 필요한 개인 정보는 위치 정보, 출발지, 도착지이다. 개발자는 응용 프로그램을 개발할 때 먼저 관련 정보를 확인해야 한다. 나머지 불필요한 데이터를 수집하면 app 는 선반에 놓을 수 없습니다.
온라인 커뮤니티 앱과 같은 기본적인 기능은 블로그, 포럼 등이다. 이 개인 정보는 인스턴트 메시징에 필요한 정보 (예: 사용자의 휴대폰 번호, 계정 연락처 등) 에 가깝습니다. 인터넷 예약차 유형에도 출발지, 도착지, 지불시간, 지불정보 등을 포함한 전화번호가 규정되어 있습니다. 인스턴트 메시징에 휴대폰 번호가 필요한 이유는 무엇입니까? 보통 한 계좌만 필요하다고 생각하세요? 다음 몇 페이지에서는 이 문제를 설명합니다.
2.2, 국내 App 선반-안전 규정을 준수합니다.
수집할 수 있는 필요한 정보의 제한 외에도 중국의 여러 업종이나 분야와 관련된 구체적인 제한이 많다.
선반을 적용하는 과정에서 앱스토어에는 상세한 심사 규정이 있다. 인스턴트 메신저, 생방송 또는 사용자 여론 분야와 관련된 경우 안전평가 보고서가 필요합니다. 이 보안 평가 보고서는 사용자의 실제 ID 를 확인하는 것과 같은 추가 요구 사항을 추가합니다. 즉, 서비스에서 사용자의 ID 가 진실되고 신뢰할 수 있음을 확인하는 것입니다. 인스턴트 메시징 분야의 질문에 답하겠습니다. 진정으로 고객을 잘 서비스하려면 실명등록제를 할 수 있어야 합니다. 사실 실명등록제는 일반적으로 휴대전화번호와 문자메시지를 확인하는 것이다.
또 실제로 사용자의 여론 문제도 다루고 있다. 이 문제에 대해 불만 신고 메커니즘을 구축하고 불만 신고의 연락처와 처리 상황을 발표하고, 이들 사용자의 별명, 정보 게시, 전달 댓글에 대한 관련 기록 조치를 취하고, 특정 저장 메커니즘을 통해 이 정보의 추적을 지원해야 합니다. 한편으로는 필요한 개인 정보의 수집을 제한한다. 반면에, 다른 분야에 추가적인 요구 사항 (예: 금융 또는 의료 분야) 이 추가되었습니다.
공신부 자료에 따르면 최근 불법 퇴거된 앱은 약 3000 개에 이른다. 관련된 문제는 대부분 불법으로 개인 정보를 수집하는 것이며, 소수는 협박과 관련이 있을지도 모른다. 국내 앱과 웹사이트가 관련될 수 있는 문제는 주로 이 몇 가지 방면에 집중되어 있다.
2.3, 해외 관심사-사용자 권리
대상 고객이 해외라면 해외의 초점이 약간 다르다는 것을 알 수 있을 것이다. 이러한 일반적인 보안 제약 외에도 사용자의 권리에 더 많은 관심을 기울입니다.
예를 들어, 사용자의 알 권리, 정보권 획득, 수정권, 잊혀진 권리 등이 있습니다. 알 권리는 사용자에게 어떤 정보를 수집하고, 어떤 정보로 무엇을 하고, 얼마나 오래 보존해야 하는지를 명확하게 알려주는 것이다. 정보를 얻을 수 있는 권리는 사용자가 자신의 데이터를 내보낼 수 있어야 함을 의미합니다. 수정권은 사용자가 개인 정보를 수정할 수 있음을 의미합니다. 잊혀진 권리는 사용자가 자신의 데이터를 로그아웃하고 삭제할 권리가 있다는 것을 의미합니다. 페이스북 등 대형 해외 플랫폼은 계좌 취소, 개인 데이터 익스포트 등의 기능을 지원하며 해외에서 더욱 중요하다.
그림 3 의 사례에서 볼 수 있듯이 영국의 데이터 보호 규제 기관은 캐나다의 한 데이터 분석 회사에 삭제를 요청했습니다.
영국 시민과 관련된 모든 개인 데이터는 의무를 이행하지 않으면 2000 만 유로 또는 작년 글로벌 총액에 직면하게 됩니다.
영업액의 4% 의 벌금. 이곳의 2000 만 유로와 4% 의 벌금은' 일반 데이터 보호 조례' 에 규정되어 있어 이 조치가 매우 엄격하다는 것을 쉽게 알 수 있다.
2.4, * * * 같은 우려-국경 간 데이터
국내외 보편적인 관심의 또 다른 문제는 바로 핫스팟 데이터의 국경을 넘나드는 것이다. 간단히 말해서, 개인 정보와 중요한 데이터는 중국에 있어야 한다. 즉, 중국 시민의 정보와 중요한 데이터는 해외 서버에 마음대로 저장할 수 없고, 유럽연합 지역의 데이터는 유럽연합 외부에 마음대로 저장할 수 없다. 동남아시아나 인도와 같은 다른 지역도 현지 법률 및 규정의 적용을 받습니다.
정말로 해외 국가에 데이터를 제공해야 한다면, 중국의 요구는 평가 방법을 통해 꼼꼼히 평가하는 것이다. 유럽연합은 충분한 보안 조치를 취한 지역이 국경을 넘어 데이터를 전송할 수 있다고 생각했지만, 적어도 지금까지 중국은 이 명단에 없기 때문에 유럽연합의 데이터는 중국의 서버에 마음대로 저장할 수 없다.
셋째, 보안 규정 준수 요구 사항을 평가하고 충족하는 방법
보안 규정 준수 추세와 해당 핵심 사항을 파악한 후 보안 규정 준수 요구 사항을 어떻게 평가하고 충족합니까? 먼저 앞서 설명한 보안 준수 프레임워크를 검토합니다.
사용자 정보에 입각 한 동의에는 완전한 통보 및 권리 보호가 포함됩니다. 사용자 개인 정보 보호 계약을 제공하고, 권한 보호는 사용자가 거부하고 삭제할 수 있으며, 수집한 데이터는 최소화 원칙 (최소 필요) 을 준수해야 한다는 것을 충분히 알립니다.
안전보장 의무는 더욱 복잡하다. 우선, 위험 평가, 내부 제도 건설 및 안전 개발 과정에서 모두 이 문제를 다루고 있다. 예를 들어 제품은 수요 단계에서 보안 전문가가 사용자 데이터, 사용자 데이터 전송 방법, 사용자 데이터 저장 방법, 필요 여부 등을 확인해야 합니다. 따라서 제품 요구 단계에서 시나리오 설계 단계, 온라인 단계에 이르기까지 보안 평가가 필요합니다.
둘째, 기술 지원. 여기서 기술 지원이란 수집 중 전송과 스토리지가 충분한 기술 지원을 받아야 한다는 것을 의미합니다. 즉, 전송 시 전송을 암호화하고 저장 시 스토리지를 암호화해야 한다는 것입니다. 법규는 구체적인 보안 조치를 규정하지 않고, 단지 사용자 데이터의 안전을 보장하는 데 필요한 기술적 조치를 요구할 뿐이다.
따라서 기술적 관점에서 볼 때, 업계 내에서 상대적 표준이나 높은 표준의 안전 조치를 채택해야 한다. 예를 들어, https 는 기본적으로 TCP 및 UDP 와 같은 다른 전송 프로토콜을 사용하며 이러한 프로토콜도 업계 보안 표준을 준수해야 합니다.
물론 보안은 감사와 규제와 불가분의 관계에 있습니다. 즉, 규제 기관의 규제 요구 사항을 충족하기 위해 보안 개발 프로세스나 보안 시스템이 있어야 합니다.
3. 1. 보안 규정 준수 요구 사항을 어떻게 평가합니까?
그렇다면 안전 규정 준수 요구 사항을 평가하는 방법은 무엇입니까? 우리가 관련된 구체적인 업무에 따라 분야마다 요구 사항이 다르다. 금융 의료 등 분야의 요구가 더욱 엄격해질 것이다. 일부 의료 분야에서는 의료 사용자 (환자) 의 데이터 또는 처리가 최소 5 년 동안 기록되어야 하는 것이 해당 분야의 특수한 요구 사항입니다. 또한 지역마다 사용자에 대한 요구 사항이 다릅니다. 예를 들어, 방금 언급한 동남아시아에서는 싱가포르에 자체 특별 규정이 있고, 다른 지역에도 관련 특별 요구 사항이 있습니다.
고객의 산업에도 서로 다른 보안 요구 사항이 있습니다. 중요한 기업이나 기관은 때때로 데이터베이스에 대한 특수한 요구 사항을 가지고 있습니다. 예를 들어 국산 데이터베이스여야 합니다. 이는 업종별 또는 고객마다 직면할 수 있는 특수한 요구 사항입니다. 또 다른 중요한 요소는 의존성을 평가하는 것입니다.
섹션, 우리는 기술 및 운영 절차의 각 계층에 대한 안전 위험 통제 조치를 체계적으로 소개할 것이다.
6. 1 데이터 센터 컴퓨팅 리소스 보안
링 메신저 서비스는 국내외 여러 데이터 센터 (IDC) 와 헤드 공용 클라우드 공급업체의 클라우드 서비스로 구성되어 통합, 고가용성, 높은 확장, 효율적이고 안전한 기본 리소스 환경을 구축합니다.
6.1..1네트워크 격리
네트워크를 합리적으로 나누고, 용도를 명확하게 정의하고, 적절한 액세스 제어 전략을 개발하는 것은 네트워크 보안의 전제 조건 중 하나이다. 루프는 IMPaaS 호스팅 기능 및 보안 수준에 따라 네트워크를 핵심, 에지, IT 등 주요 보안 영역으로 나눕니다. 서로 다른 보안 도메인에서는 비즈니스 액세스 요구 사항과 보안 수준에 따라 서로 다른 라우팅 정책과 엄격한 보안 액세스 정책을 수립했습니다.
6. 1.2 DDoS 공격에 대항하다
분산 서비스 거부 (DDoS) 는 IM 서비스의 시스템 및 서비스 가용성에 큰 영향을 미치며 서비스 중단이나 품질 저하까지 초래할 수 있습니다. 이에 따라 환신은 자체 서비스의 특징과 공용 클라우드의 능력에 따라 핵심 서비스에 DDoS 방어 방안을 구축했다. 이 시나리오는 네트워크 및 전송 계층에서 DDoS 공격을 실시간으로 감지하고 방어할 수 있습니다. DDoS 공격 시나리오는 정리 기능을 자동으로 감지, 자동 스케줄링 및 트리거하여 몇 초 안에 공격 및 트래픽 정리 작업을 완료하여 핵심 서비스의 가용성을 보장합니다.
또한 모든 DDoS 공격은 메일, 문자 메시지, 전화 등을 통해 보안 팀에 즉시 통보됩니다. 보안 팀이 의사 결정에 지속적으로 집중하고 대응할 수 있도록 합니다.
6. 1.3 호스트, 데이터베이스, 미들웨어 등 컴퓨팅 리소스의 보안.
다양한 서비스가 의존하는 리소스는 관련 데몬, 캐시, 데이터베이스 등의 운영 체제 또는 컨테이너 미들웨어에 의해 충족되며 CPU, 메모리, 디스크 등의 자원은 합리적으로 예약되고 할당됩니다. 루프는 자체 기본 서비스 시나리오와 결합하여 실제 보안 작업에서 어댑티브 보안 기준, 취약성 관리 사양, 바닥 깊이 위협 탐지 메커니즘을 개발하여 기본 컴퓨팅 로드 리소스의 보안을 보장합니다.
6. 1.3. 1 보안 기준
링 IDC 및 공용 클라우드에 대한 보안 기준을 설정합니다. 호스트 운영 체제, 컨테이너, 데이터베이스, 스토리지, 웹 서비스 등의 미들웨어에는 계정 보안, 인증, 최소 서비스, 최소 권한 부여, 로그 감사, 클럭 동기화 등이 포함됩니다. 운영 체제 또는 미들웨어를 용도에 따라 다양한 수준으로 강화하여 새로 제공된 컴퓨팅 로드 리소스가 관련 보안 기준 요구 사항을 충족하는지 확인합니다. 운영 로드 리소스의 경우 보안 팀은 정기적으로 구성 검사를 수행하고, 보안 기준 요소와의 차이를 비교하며, 출력이 일치하지 않고, 관련 운영 및 비즈니스 기술 팀에 통지하고, 수정을 구현합니다.
6. 1.3.2 취약성 관리
온라인으로 제공되는 모든 컴퓨팅 부하 리소스는 운영 체제 이미지 또는 미들웨어 패키지의 통합 관리에서 비롯됩니다. 배달에 사용되는 리소스의 경우 보안 팀은 운영 체제 및 미들웨어에 대한 버전 정보를 수집한 다음 분석을 위해 보안 운영 체제에 보내 취약점의 영향을 받는 버전이 있는지 확인합니다. 공용 클라우드에 있는 호스트 리소스의 경우 루프는 공용 클라우드의 보안 클라이언트를 배포하여 운영 체제, 미들웨어 등의 소프트웨어 제품에 대한 실시간 취약점을 탐지합니다. 또한 보안 팀은 업계에서 잘 알려진 상용 취약성 검사 제품을 배포함으로써 컴퓨팅 로드 리소스를 정기적으로 검사하고 취약성 검사 보고서를 출력하며 보안 운영 시스템에 정보를 수집합니다.
취약점 버전과 일치하는 구성 요소가 발견되면 보안 팀은 취약점 위험을 종합적으로 평가하고, 긴급 조치 및 수정 권장 사항을 제공하고, 운영 유지 보수 및 관련 비즈니스 기술 팀과 함께 취약점 복구, 구성 강화 및 미러링 업데이트를 구현하여 취약점 관리 폐쇄 루프를 구현합니다.
6. 1.3.3 컴퓨팅 자원의 안전한 운영 및 유지 보수
계정 보안 운영 및 유지 관리
일상적인 운영 및 유지 보수에서 IAM (ID 및 액세스 제어 관리) 메커니즘이 개발되고 활성화되었습니다. 운영 및 컨텐츠 유지 관리에 참여하는 모든 사용자는 유효한 id 및 권한이 있어야 운영됩니다. 운영 차원 계정은 직원 ID 에 해당하며 기본적으로 MFA (다중 요소 인증) 가 활성화됩니다.
운영 체제 계정 보안
시스템 계정에 대하여, 환신은 일련의 안전제도와 운영규범을 제정했다. 예를 들어, 약한 암호를 암호로 사용하지 않고 정기적인 교체를 요구하면 정보 보안 팀도 정기적으로 보안 검사를 통과하게 됩니다.
운영 및 유지 관리 감사
일상적인 운영 및 유지 보수 과정에서 서신은 다양한 작업을 실시간으로 기록 및 아카이빙하고, 실시간 모니터링 및 경고 정책을 수립하며, 위험 작업을 적시에 처리합니다.
6.2SDK 보안
루프백은 iOS, 안드로이드, Flutter, ReactNative, Windows, 애플릿, 웹 등의 플랫폼에 대한 SDK 지원을 제공합니다. 개발자와 사용자의 다양한 실시간 오디오 및 비디오 상호 작용 액세스 요구 사항을 충족합니다. IMSDK 는 개발자와 사용자에게 사용하기 쉽고, 통일되고, 신뢰할 수 있으며, 안전한 인스턴트 메시징 개발 제품군을 제공할 뿐만 아니라 개발자와 사용자에게 실시간 오디오 및 비디오 상호 작용 시나리오 및 응용 프로그램에서 규제를 준수하고 소스 데이터 보안 위협에 대처할 수 있는 규정 준수 보안 구성 옵션을 제공하기 위해 최선을 다하고 있습니다.
국가 법률 및 규정 및 규제 기관의 법 집행 요구 사항에 따라 APP 는 타사 SDK 를 사용할 때 APP 의 개인 정보 보호 정책에서 사용자에게 알리고 호출 시퀀스에서 초기화 구성을 연기해야 합니다. 사용자가 APP 의 개인 정보 보호 정책에 동의한 후에만 데이터 수집 및 서비스를 위해 SDK 를 시작할 수 있습니다. 개발자들이 규정 준수 위험을 피할 수 있도록, 서신은 개인 정보 보호 정책 전시 내용 및 전시 형식 규정 준수를 포함한 개인 정보 보호 정책 규정 준수 요구 사항을 도입했습니다. 환신 홈페이지를 참고하세요 (
6.2. 1SDK 규정 준수 및 보안 보장
SDK 의 신뢰성과 보안은 링 편지가 개발자에게 SDK 를 제공할 때 가장 중요한 보증 중 하나입니다. SDK 의 신규 또는 반복 기능을 검토할 때 규정 준수, 개인 정보 보호 및 보안에 대한 기능 요구 사항의 위험 지점을 충분히 평가하여 새로운 규정 준수 및 개인 정보 보호 정책과의 일관성을 보장합니다. 기능이 구현되면 적절한 품질 보증 (QA) 테스트를 수행할 때 코드에 대한 보안 감사가 수행되고 타사 SDK 및 라이브러리 파일을 참조하거나 통합할 때 보안 검사가 수행됩니다. 특히 악성 코드나 백도어 존재 여부, 저작권 준수 여부 또는 사용 계약 준수 여부 등의 규정 준수 확인이 수행됩니다. 위험이 감지되면 SDK 수정이 위험 없음을 확인한 후에야 다음 단계로 진행할 수 있습니다. 발행 과정에서 공식 채널에서 업데이트됩니다.
6.2.2 개발자 및 사용자에 대한 보안 및 규정 준수 지원
SDK 에서 서신은 장치 측 스토리지 콘텐츠 암호화, 로그 보안 등의 보안 구성 옵션을 제공하여 개발자와 사용자가 인스턴트 메시징 데이터 보안 및 개인 정보 보호 규정 준수를 향상시킬 수 있도록 지원합니다. 개발자와 필요한 사용자는 개발자의 설명서를 참조하여 구성 및 활성화할 수 있습니다.
6.2.2. 1 로컬로 컨텐츠 저장
링 SDK 는 업계 표준 암호화 기술을 사용하여 로컬 메시지 및 기타 컨텐츠 레코드를 암호화하고 저장합니다.
6.2.2.2 로그 감작
링 SDK 는 개발자가 개발, 디버그, 게시 시 사용할 수 있도록 다양한 로그 수준을 제공하며, 디바이스의 로그를 탈감하여 사용자 데이터가 인식되고 도난되는 것을 방지합니다.
6.3RESTfulAPI 보안
개발자가 자신의 응용 프로그램 및 서비스를 효율적으로 관리할 수 있도록 많은 비즈니스 기능 및 관리 기능은 개발자가 RESTfulAPI 로 호출합니다. 보안을 위해 사이트를 WAF 에 연결하는 것 외에도 다음과 같은 보안 제어 조치가 있습니다.
신원 인증
RESTfulAPI 를 사용하기 전에 개발자는 콘솔에 로그인하여 개발자별 키를 만들어야 합니다.
Amp 비밀. 후속 API 호출에는 적절한 키가 필요합니다.
Amp 비밀 쌍은 다른 프로젝트 또는 응용 프로그램을 구별합니다.
전송 보안
RESTfulAPI 는 HTTPS 프로토콜을 지원하여 모든 API 통신이 SSL/TLS 암호화를 통해 API 자격 증명과 전송되는 데이터를 보호하고 MITM (MITM, Manningtemide) 과 같은 공격으로부터 보호합니다.
API 속도 제한
서버는 API 요청 속도에 제한이 있어 일반 사용자 요청이 응답할 수 있도록 하는 동시에 악의적인 사용자의 API 요청을 제한합니다.
검증을 입력합니다
개발자가 요청한 매개변수는 일반적인 취약점 (SQL 주입, 원격 코드 실행 등) 을 피하기 위해 서버 백그라운드에서 필터링됩니다. ).
일곱째, 링 정보 데이터 보안
정보 활동의 전달체로서 데이터의 합법적, 합법적, 안전한 처리가 특히 중요하다. 데이터 보안은 반지의 가장 큰 관심사 중 하나입니다. 이 섹션에서는 데이터 보안에 대한 링 서신의 정책과 구현된 관리 및 기술 통제 조치에 대해 설명합니다.
7. 1 데이터 보안 정책
점점 더 심각한 네트워크 보안 상황과 갈수록 엄격해지는 규제 요구 사항을 감안하여, 환신은 데이터 기밀성, 무결성, 고가용성을 비즈니스 서비스로 하는 데이터 보안 발전 전략을 고수하고 있으며, 데이터 보안 개념을 보안 시스템 구축 프로세스에 통합했습니다.
기밀성: 무단 액세스 및 도청을 방지합니다.
무결성: 악의적인 변조와 데이터 위조를 방지합니다.
가용성: 다양한 데이터 센터 및 에지 노드를 통해 데이터 고가용성을 보장합니다.
따라서, 모든 직원에 대한 정보 보호, 프라이버시 규정 준수, 프라이버시 인식 등에 대한 보안 교육을 실시하고 기밀 유지 계약을 체결합니다. 데이터 보안 시스템 및 기밀 유지 요구 사항 위반의 경우, 우리는 상황의 심각성에 따라 적절한 조치를 취할 것이며, 여기에는 훈계 대화, 교육 및 평가 강화, 노동협정 해지 및 기타 법적 책임 추궁을 포함하되 이에 국한되지 않습니다.
7.2 데이터 수집
최소한의 데이터 수집 원칙을 취하고 사용자가 승인하고 동의한 업무에 필요한 데이터 필드만 수집합니다.
7.3 데이터 탈감작
데이터 프라이버시를 보호하기 위해 환신은 공식 홈페이지 콘솔의 기업과 개인 정보를 탈감했습니다. 이 전략은 다양한 서비스와 SDK 에도 적용됩니다.
7.4 데이터 보호 및 암호화 전송
IMPaaS 서비스에서 보안 전송 프로토콜 (HTTPS/TLS/WSS 등) 입니다. ) 는 SDK 및 서버, 서버 및 사용자의 응용 프로그램 서버와 같은 다양한 전송 채널을 지원합니다.
7.5 데이터 사용 및 저장
개발자와 사용자의 기밀 정보 (예: 암호) 는 hash 와 salt 로 저장됩니다. 저장된 정보의 경우 관련 규제 요구 사항 및 설정된 데이터 백업 스토리지 정책에 따라 데이터 보존 기간을 엄격하게 설정하고 필요에 따라 폐기합니다. 개발자와 사용자의 데이터 처리 응용 프로그램의 경우 개발자와 사용자의 승인 및 해당 규제 요구 사항에 따라 데이터 정리 또는 전송을 수행합니다.
7.6 사용자의 데이터 권리
사용자 데이터의 내보내기 및 삭제를 지원하기 위해 다양한 차원에 대한 사용자 권한을 제공하는 API 측면입니다.
여덟. 환신의 안전한 운행
안전은 지속적인 과정이다. 실제 안전한 운영에서 환신은 자신의 업무 특성에 따라 다음과 같은 몇 가지 차원을 통해 개발된다.
8. 1 보안 개발 라이프 사이클 관리 SDL
소프트웨어 개발 라이프 사이클에는 보안 및 개인 정보 보호 관련 요구 사항이 포함되어 있습니다. 현재 널리 사용되고 있는 DevSecOps 와 함께 SDL 프로세스는 더욱 자동화되어 기존 보안 개발 라이프 사이클을 기반으로 보안 및 개인 정보를 보다 효율적으로 확인할 수 있습니다.
8.1..1위협 모델링
설계 및 아키텍처 단계에서 위험 요소를 조기에 파악하기 위해 위협 모델링을 통해 잠재적인 보안 문제를 식별하고 대응 조치를 구현합니다. 설계 단계에서 잠재적인 위험을 효과적으로 발견하고 해결하기 위해 STRIDE 의 위협 모델링 방법을 참조하여 공격면 최소화, 기본 프라이버시 최소화, 권한 최소화, 기본 보안, 데이터 암호화 등을 중점적으로 조사했습니다.
8. 1.2CI/CD 흑백 박스 감지
보안 테스트 수준에서 DevSecOps 가 권장하는 내장 보안에 더 많은 관심을 기울이고 오픈 소스 정적 코드 분석 도구인 SonarQube, 구성 요소 및 규정 준수 스캔 비즈니스 도구인 BlackDuck, App/Sdk 스캔 도구인 MobSF 등을 포함한 CI/CD 수준의 흑백 카트리지 도구를 통합했습니다. , 통합 릴리스 중 위험 모니터링을 향상시킵니다.
8.2 침입 방지 및 보안 모니터링
링의 다양한 컴퓨팅 시스템 및 비즈니스 애플리케이션 서비스는 매일 대량의 로그 데이터를 생성합니다. 보안 팀은 위협에 대한 심층 방어를 바탕으로 보안 분석을 위해 최소 권한 내에서 로그를 수집합니다. 이러한 로그를 기반으로 보안 모니터링 및 분석 플랫폼을 통해 실시간으로 운영됩니다. 식별된 비정상적인 보안 이벤트에 대해 적시에 경고하고 보안 운영자는 상관 관계 및 추적 분석 및 감사를 추가로 수행합니다. 확인된 위험은 비즈니스 시스템의 보안과 가용성을 보장하기 위해 비상 메커니즘에 따라 처리되고 추적됩니다.
8.3 안전 비상 메커니즘
자체 인스턴트 메시징 비즈니스의 특성, 비즈니스 유형 분류, 시스템 평가 보안 및 위협 식별, 다양한 보안 이벤트 분류 기준 개발, 응답 제한 및 폐기 프로세스를 기반으로 보안 예외의 시기 적절하고 효과적인 처리를 보장합니다.
8.4 보안 협력
환신은 자체 내부 보안 건설을 바탕으로 Trustwave 와 같은 여러 타사 보안 공급업체와 협력하여 침투 테스트, 코드 검토, 리버스 엔지니어링 등을 수행합니다. 순환신은 온라인 애플리케이션, 시스템, 서비스 및 SDK 의 보안 취약점과 잠재적인 위험을 정기적으로 파악하여 전반적인 서비스 보안과 시스템 견고성을 향상시킵니다.
아홉. 애플리케이션 개발자가 Ring SDK 에 액세스하기 위한 규정 준수 요구 사항
국가 법률 및 규정 및 규제 기관의 법 집행 요구 사항에 따라 APP 는 타사 SDK 를 사용할 때 APP 의 개인 정보 보호 정책에서 사용자에게 알리고 호출 시퀀스에서 초기화 구성을 연기해야 합니다. 사용자가 APP 의 개인 정보 보호 정책에 동의한 후에만 데이터 수집 및 서비스를 위해 SDK 를 시작할 수 있습니다. 환신 개발자가 규정 준수 위험을 피할 수 있도록, 환신은 프라이버시 정책의 전시 내용과 전시 형식의 규정 준수를 포함한 프라이버시 정책에 대한 규정 준수 요구 사항을 도입했습니다.
9. 1. 개인 정보 보호 정책에 대한 콘텐츠 규정 준수
참고: 이 정보 수집 범위 설명은 SDK 버전 SDK3.8.4 이상에 적용됩니다.
APP 개발자가 링 SDK 서비스에 액세스할 때 중국 법률 규정 및 규범 문서의 요구 사항에 따라 APP 자체 개인 정보 보호 정책 또는 개인 정보 보호 정책 등 관련 공개 문서의 "제 3 자 서비스/제 3 자 파트너" 섹션에 개인 정보 수집 및 사용의 목적, 방법 및 범위를 명확하게 기재하십시오. HIV 는 APP 개발자가 개인 정보 보호 정책을 보다 효율적이고 준수적으로 조정할 수 있도록 다음 두 가지 참조 표현식을 제공합니다.
참조 표현식 1. 문자로 사용자에게 제시하다.
예를 들어, Dell 은 제 3 자 (베이징 이스머보 네트워크 기술 유한 회사, 이하 "링") 를 사용하여 고객에게 기능을 제공했습니다. 이 기능을 성공적으로 구현하려면 링 SDK 에 적절한 서비스를 제공할 수 있는 권한을 부여해야 합니다. 당신이 권한을 부여한 후, 서신은 당신의 관련 개인 정보를 수집할 것입니다. 환신 수집 정보의 유형과 용도, 개인 정보 보호에 관한 규칙과 환불.
메커니즘 등. , 편지 공식 웹 사이트 참조 (
참조 표현식 2: 테이블 형식으로 사용자에게 제공됩니다.
예를 들어 APP 이름 (iOS 버전/안드로이드 버전) 에는 타사 SDK 의 세부 사항이 포함되어 있습니다.
9.2 개인 정보 보호 정책은 양식 규정 준수를 표시합니다
사용자가 개인 정보 보호 정책을 수락할지 여부를 선택할 수 있도록 명백한 동의 및 거부 버튼이 있는 명확한 탄창을 추가해야 합니다. 이 응용 프로그램 개인 정보 보호 정책에는 사용자가 클릭하여 볼 수 있는 새로운 개인 정보 보호 정책에 대한 링크가 포함되어 있습니다.
X. 결론
개발자에게 규정 준수, 보안 및 신뢰할 수 있는 인스턴트 메시징 클라우드 플랫폼을 제공하는 것은 모든 아키텍처, 제품 및 서비스에 대한 첫 번째 고려 사항 중 하나입니다. 환신은 인력, 기술, 관리, 프로세스 등 다양한 측면에서 정보 보안 정책 시행을 추진하고, 규제 준수 의무를 이행하며, 업계 고객 및 제 3 자 커뮤니티 또는 단체와 긴밀하게 협력하고, 신기술을 적극적으로 탐구하고, 보안 자동화 및 지능화를 촉진하며, 보안 보호 기능의 효율적인 출력을 달성합니다.
점점 더 복잡해지는 인터넷 환경에서 기술 반복 주기가 짧아지고 새로운 공격 수단이 속출하고 있다. 우리는 시시각각 다양한 보안 위협에 직면해 있다. 이러한 맥락에서, 이 백서가 기업이나 기관의 안전 건설에 대한 참고 자료를 제공할 수 있기를 바라며, 업계 동료들이 개선에 참여하여 업계의 고품질과 견실한 발전을 도모할 수 있기를 바랍니다!
환신 홈페이지를 방문하여 백서 PDF 전문을 무료로 다운로드하십시오.