前言
随着移动互联网和 5G通信新技术的浪潮席卷全球,传统的通信方式已经发生了翻天覆地的变化。人们已经习惯了通过即时通讯软件和网络交流平台分享自己生活的方方面面,随着人们越来越公开自己的生活,人们也开始关注隐私和安全等问题。
隐私作为人们不愿为他人知晓的私密空间、私密活动和私密信息,历来被互联网用户所关注。尤其是在即时通讯服务的使用过程中,用户可以轻易将自己的隐私传输至互联网上,这使得用户在享受便捷服务的同时,更容易因隐私泄露而影响生活安宁。近些年来各类隐私泄露事件更是让人们在享受便捷的互联网服务时,对网络服务提供者的隐私保护能力持怀疑态度。甚至在某种程度上,隐私保护逐渐成为用户选择网络服务时考虑的重要因素。为了保护用户的隐私,世界各地都相继出台了隐私保护相关的法律法规,使得企业的隐私保护合规工作更加具有挑战性。
作为全球互联网消息云的开创者和引领者,数据和用户隐私安全是环信最关切的问题。环信始终将数据和用户隐私安全作为首要安全原则,并将其作为理念融入安全能力建设当中,2021年环信行业首家通过了史上最严格的数据保护法案“GDPR”的相关安全合规标准。
为帮助开发者及用户感知和理解环信在即时通讯服务上的努力,了解环信服务的安全属性,CSDN联合环信特发布即时通讯行业首个《安全合规白皮书》。该白皮书全面分析了安全合规的趋势及国内外监管重点,同时给出环信在即时通信领域安全合规开发的经验及建议,还列举了环信云服务的相关安全和合规工作,希望能够为业界提供了全面、详实的安全能力建设参考。
下载地址:https://www.easemob.com/product/im
目录
1.安全合规的趋势
1.1隐私监管趋紧
1.2APP/SDK 趋严
1.3安全合规的基本框架
2.国内外的监管重点
2.1国内 App 上架-信息采集
2.2国内 App 上架-符合安全规定
2.3海外的关注-"" src="https://img.xiaohua9.com/uploadfile/2023/0301/20230301041006511.png" width="669" height="437"/>
最近四五年来,安全合规的趋势变得越来越严格,各个国家都有比较重磅的安全合规的相关法规出台,比如美国加州的《消费者隐私法案》《儿童在线隐私保护法》、保险医疗领域的HIPPA,以及欧盟推出的比较有代表性的《通用数据保护条例》。国内去年也出台了《个人信息保护法》
《数据安全法》,加上之前发布的《网络安全法》,对于安全合规领域的覆盖逐渐比较完善。
1.2 、App/SDK 趋严
图 1 所示为国内主要的有关法规和内容,而且这个趋势也是越来越严格,比如工信部发布的各种应用下架的新闻或者公告,都涉及了个人数据隐私相关的内容。
1.3 、安全合规的基本框架
安全合规的基本框架可以总结成两个方向,一个是用户知情同意,另一个就是安全保障义务。我们以《通用数据保护条例》( GDPR)为例,它是一个法规条文,内容包括各种监管措施、惩罚措施,还规定了应保障的用户权利,后续章节将介绍一些具体的用户权利说明。
二、国内外的监管重点
关于国内外监管的重点,从国内这几年的角度来看,主要包括以下几个方面:
2.1 、国内 App 上架 —— 信息采集
如图 2所示,用户信息的采集方面正受到越来越多的重视,国家部委出台了《常见类型移动互联网应用程序必要个人信息的范围规定》,指出了二三十个场景下能够采集的必要的个人信息。
比如地图导航类,它的基本功能是定位和导航,必要的个人信息为位置信息、出发地和到达地。开发者在开发应用的时候首要确认相关信息,如果收集了其余非必要数据App就无法上架。
再比如网络社区类应用,它的基本功能是博客、论坛等,这些个人信息跟即时通讯类的必要信息比较接近,诸如用户的移动电话号码和账号联系人等信息。网约车类型中也规定了电话号码,包括出发地、到达地、支付时间、支付信息等。为什么即时通讯类需要移动电话号码呢"" src="/uploadfile/2023/0301/20230301041012408.png" width="709" height="426"/>
图 3 案例所示,英国的数据保护监管机构向加拿大的一家数据分析公司发出通知,要求其删除
所有跟英国公民相关的个人数据,如果不履行义务,将面临着 2000 万欧元或者上一年全球总
营业额 4% 的罚款。这里的 2000 万欧元和 4% 的罚款就是《通用数据保护条例》中所做的规定,从中不难看出这个措施是非常严格的。
2.4 、共同关注点 —— 数据跨境
国内和国外还有一个共同的关注点,就是热点数据跨境,简单来说就是个人信息和重要的数据应当在境内,这里的在境内应该就是说,比如中国公民的信息和重要的数据不能被随意地存储到境外的服务器上,欧盟地区的数据也不能被随意地存储在欧盟以外。其他的地区比如东南亚或者印度,也有当地的相关法律法规来约束。
如果确实需要向境外提供数据,我国的要求是要通过评估办法进行慎重的评估。欧盟则是要求他们认为已经采取足够的安全保护措施的地区可以跨境转移数据,但至少现在为止中国还不在这个名单上,所以欧盟的数据也不能随意存储在中国境内的服务器上。
三、如何评估和满足安全合规要求
了解了安全合规的趋势和相应的重点之后,我们如何评估和满足安全合规的要求呢?首先回溯前面介绍的安全合规的框架。
用户知情同意包括充分告知和权利保障。充分告知就是提供用户隐私协议,权利保障就是用户可以拒绝、可以删除,而且收集的数据要符合最小化原则(最小必要)。
安全保障义务比较复杂。首先,从风险评估、公司内部的制度建设到安全开发流程中都会涉及这个问题,比如产品从需求阶段就要有安全方面的专家确认是否涉及用户数据、用户数据怎么传输、用户数据怎么来保存、是否是必要的等等,因此从产品需求阶段到方案设计阶段,到最后上线阶段都要有必要的安全评估。
其次是技术保障,这里的技术保障指的是采集过程当中的传输、存储都应当采取足够的技术保障,换算成技术角度就是说,传输过程中要进行传输的加密,存储过程中要进行存储的加密。法律法规不会规定具体的某个安全措施,只是要求采取必要的技术措施保障用户数据的安全。
所以从技术角度侧理解,要采取业内比较标准的或者比较高标准的安全措施,比如 https 默认是使用其他的传输协议,比如 TCP、UDP等也应当符合业内的安全标准。
当然,安全保障还少不了审计和监管,就是说要有一定的安全开发流程或者安全制度,满足监管机构的监管要求。
3.1 、如何评估安全合规的要求
那么,如何评估安全合规的要求呢?这要看我们具体的涉及的业务,不同领域的要求是不一样的。诸如金融、医疗等领域的要求会更加严格。在某些医疗领域,对于医疗用户(患者)的数据或者处理要记录至少5 年以上,这是该领域的一个特殊要求。另外,针对不同区域用户的要求也不一样,比如刚才提到的东南亚,新加坡就有自己的特殊规定,其他地区也有相关的特殊要求。
客户的行业之间也有不同的安全要求,重要的企业或者事业单位,对于数据库有时会有一些特殊的要求,比如要求必须是国内的数据库,这就是不同的行业或者不同的客户可能面临的特殊要求。还有一个重要的因素就是要评估依赖的第三方。
例如,我们现在开发产品或者服务,免不了要依赖一家甚至多家第三方,这些第三方是否能够满足特定的要求也是特别重要的,因为大多数的应用都会依赖多家第三方,在上架或者遭遇审查的时候,由于第三方因素引起应用下架也是很正常的。
最后一个是成本因素,就是说要采取技术措施来保证安全合规的要求,肯定会带来成本的增加,所以从方案角度或者预算角度来说,要考虑这方面的问题。从相关经验来说,比如开启了传输加密和存储加密之后,服务器成本的大概是百分之四五十这个量级的增长,具体数字跟不同的行业和采用的不同技术关联性特别大。
3.2 、产品架构维度
图 4 展示了产品架构的维度,比如一个客户的应用使用了环信的 SDK,一般来说应用也会有自己的 App server,这个 App server和用户的应用都会跟环信的服务进行交互。SDK 跟服务器会有两个通道,一个是 TCP 加 TLS,另外一个就是https。同时用户的应用服务器可能会通过RESTful 的 API 做一些管理级别的控制,比如创建聊天室或者创建群组甚至封禁用户。
环信的服务还提供了webhook,就是将消息回调给用户的应用服务器,然后把消息抄送给用户的服务器,甚至是发送前的一个回调。有一些消息内容或者配置的特定消息内容,提前经过用户的服务器进行审查,确认这些消息是否投递。最后管理者用户可以在console开发者后台对这些功能进行不同的配置,也可以做一些管理的功能,比如管理某些群组、解散某些聊天室或者封禁用户。同时用户的应用也会跟自己的服务器进行交互,不管是https 还是其他的协议。
从完整的视角会看到有哪些通道涉及传输,比如用户的应用和他的应用服务器,我们的 SDK跟我们的服务,服务器跟服务器之间又是一个。此外,我们必须保证这些传输通道的传输安全, 不管是用 TLS 或者是其他方式。
用户应用上会存储数据,比如用户名、密码甚至是token,有的应用可能也会做缓存。还有一些 容易忽略的点,比如应用开发的过程当中经常会打印一些log,在这些 log 当中也要避免用户信息或者敏感信息被泄露,不能使用户的 token 或者密码输在 log中。同时,用户应用服务器和我们的服务可能会存储一些用户的消息历史,这些节点和通道都是安全合规角度下必须要确认或者审查的。以开发者后台来看,管理权限级别的账号的保管、账号丢失之后的处理都要有相关的考虑。
3.3 、数据处理流程的维度
从用户数据处理流程的维度来看,一个数据的处理流程主要涉及数据的采集、传输、存储、处理、擦除与销毁、对第三方提供以及用户隐私权利的保障,如图 5所示。
采集过程当中首先要进行充分的告知,一般在网站或者应用中都会有一个收集到的隐私协议的说明,包括收集的目的、收集到的个人用户数据的范围、采集的期限等,其中采集期限是很容易被忽略的。传输过程和存储过程是典型的数据处理流程,涉及传输加密和存储加密技术。数据处理过程则要符合收集的目的,遵循准确、必要等原则,不能任意对用户数据进行操作,要有特定的目的才能做数据处理。擦除与销毁过程要求及时和彻底。
对第三方提供过程也是比较关键的,我们经常会借用第三方的内容审核或类似于 APM 的工具,对于这些第三方工具需要仔细进行检查,确保提供相同的保障条件。最后,用户隐私权利保障过程除了要明确用户是自愿选择之外,还要保证用户可以注销或删除账号,并对这些操作进行及时的响应。
四、安全合规开发经验及建议
前面给出了满足和评估安全合规的维度,接下来将介绍环信基于即时通讯领域的经验和建议。
4.1 、安全合规能力建设需要做什么
在过去一年时间内环信同外部的咨询机构进行了合作,对我们的流程进行了审查,然后环信母公司声网集团的安全合规团队也帮助我们梳理了相关的安全内容,这个团队包括技术、架构、合规、运营、隐私、开发等多个方向的专家。
初创企业前期不需要做这么多的安全合规的能力建设,如果是发展到一定规模或者中等规模的公司,就需要做相关安全能力的建设,比如 GDPR 中提到员工超过 250人,需要对数据处理加以记录等。
为此,环信进行了安全开发流程的建设,公司内部的开发流程中在产品需求阶段、设计阶段、验收阶段都要有安全方面的介入,以确认是否涉及用户数据、是否是必要的、是否遵循最小原则等。在这些过程当中还会进行每年度甚至半年度的审查,确认整个流程过程当中有没有安全问题以及在合规方面有没有漏洞等。
4.2 、目前安全合规的能力
经过这些建设之后,环信有了足够的安全基础,可以进行全流程的传输加密和存储加密;还具备了资源隔离的能力,支持多数据中心、支持国内国际不同区域的合规要求。针对隐私合规,根据最小化和公开透明的处理原则,满足了不同区域的网络安全和数据安全的要求,能够对必要的用户数据进行脱敏处理;用户权益的 API方面支持用户数据的导出和删除。
4.3 、开发建议(即时通讯领域)
不管是借助第三方的能力还是自研的能力,如果在即时通讯或者教育领域有了一定的用户量之后,肯定会遇到一些问题。环信给出一些建议,首先如果使用第三方,一般会注册一些信息,这时最好是由自己的服务器来下发,不要内置在应用中,否则信息容易泄露。
第二个是比较关键的信息,就是保护好用户列表。比如在已经具备一定的用户量之后,如果此时被拖库或者网站被攻击,用户可能会收到广告或者一些灰产信息,所以用户列表就比较关键了,不管用户是不是通过手机号注册,用户ID 要散列,而且不要对用户可见。
另外,环信的服务端有类似于全员通知的功能,针对全员通知这个功能,我们添加了相应的白名单功能,在配置好之后,只有某个特定的服务器才能给全员发通知。如果你的业务能够开启好友之间发消息的限制,最好就开启,这样即使用户ID 被泄露,用户也不能随意地相互之间发消息。
服务器校验用户的合法性也是一个非常重要的功能,如果是直接在第三方平台上注册的用户,那么他有可能会直接绕过你的服务器来给其他的用户来收发消息。这种情况建议还是由你的服务器来签发 token,然后保证这个 token一定的时效性,时间不要太长,这样即便某个用户有问题,你的服务器也可以及时发现并且封禁这个用户。
如果有更进一步的安全要求,甚至可以在消息级别进行校验,比如这个消息有特定的 Key签发密钥,则消息的收发双方都要做相应的校验,甚至端到端的消息加密。
当然现在环信也支持了内容审核的功能,可以在我们的后台配置相应的审核规则。除了前面的保护措施之外,还要做一些内部防范,对类似于开发者证书或者内部的用户列表等关键数据一定要进行相应的保护,比如备份这些数据库的信息,不要被开发者不经意间放到GitHub 或其他技术博客上。
五、环信安全合规、隐私保护及相关认证
秉持即时通讯服务的易用、高质量、安全、合规理念,环信在持续提升自身的安全能力水位的同时,也依赖开发者及用户的密切合作。一般用户应用的集成,如下图所示:
简要来说,环信作为即时通讯云提供商,会对自身PaaS 平台和 SDK的安全进行管控;开发者作为服务的接入方,需要对自身应用,应用服务器和系统环境的安全进行管控,并根据自身需求,对环信SDK及服务的安全选项进行合理的配置,以保障自身信息、平台、程序、系统和网络的安全。
5.1. 安全合规与隐私保护
环信致力于使平台产品遵从国内外隐私法律法规要求,包括中国《个人信息保护法(草案)》;欧盟《通用数据保护条例》(GDPR))等法律要求。
为此,我们组建了专"image.png" src="/uploadfile/2023/0301/20230301041018526.png" width="678" height="172"/>
9.2 隐私政策展示形式合规
需要增加明确弹窗,有明显同意和拒绝按钮,让用户自主选择是否接受隐私政策。App 隐私政策包含的环信隐私权政策链接可允许用户点击查看。
十、结语
为开发者提供合规、安全、可信的即时通讯云平台,是环信所有架构和产品服务首要考虑的要素之一。环信从人员、技术、管理、流程等多个方面系统性推进信息安全政策的落地,履行监管合规义务,与行业客户以及第三方社区或团体个人紧密合作,同时积极探索新的技术,推进安全自动化、智能化,实现安全防护能力高效输出。
在日趋复杂的互联网环境下,技术迭代周期越来越短,新型攻击手段层出不穷,我们无时不刻都在面临各类安全威胁。筚路蓝缕启山林、栉风沐雨砥砺行,在此背景下,希望本白皮书能够为企业或机构的安全建设提供参考和借鉴,也欢迎业界同仁共同参与完善,助力行业高质量稳健发展!
访问环信官网,免费下载白皮书PDF全文。
