北京娜迦信息科技發(fā)展有限公司(以下簡稱娜迦科技)成立于2014年,是國內(nèi)一流的APP移動應用安全服務商,總部位于北京,在全國主要城市設置多家分公司及辦事機構,服務能力覆蓋中國和東南亞國家。主要產(chǎn)品與服務包括APP個人隱私合規(guī)檢測、APP安全檢測、APP安全加固、APP仿冒應用監(jiān)測、APP威脅態(tài)勢感知、APP業(yè)務反欺詐,APP安全SDK等。除為各行業(yè)客戶提供解決方案外,還提供APP等保解決方案、APP安全及隱私合規(guī)解決方案、APP合規(guī)上架備案解決方案等。娜迦團隊在移動應用程序保護技術與自動化檢測技術上有其獨特的技術優(yōu)勢,成為華為、平安集團、華潤集團,興業(yè)銀行、國家電網(wǎng)等多個世界五百強公司移動應用安全服務商,并保持著優(yōu)良的服務口碑。在做好專業(yè)的產(chǎn)品與服務的同時,娜迦還協(xié)助各級監(jiān)管單位抽查、備案管理其轄區(qū)的移動應用APP。并與google和國內(nèi)主流應用商店(vivo、oppo、華為,小米,榮耀等)建立了密切的溝通渠道,協(xié)助客戶APP通過外部監(jiān)管合規(guī)檢查和APP上架應用商店審核。
10月22日,我國首個國產(chǎn)移動操作系統(tǒng)——華為原生鴻蒙操作系統(tǒng)正式發(fā)布,這也是繼蘋果iOS和安卓系統(tǒng)后,全球第三大移動操作系統(tǒng)。當前鴻蒙應用如雨后春筍般的增長態(tài)勢,2024年娜迦科技做出了一個全面擁抱鴻蒙生態(tài)的戰(zhàn)略意義決策, 基于與華為手機自帶APP安全加固項目的多年合作基礎,娜迦鴻蒙應用安全產(chǎn)品首批上架鴻蒙生態(tài)伙伴SDK 專區(qū),2024年4月與華為終端有限公司簽署了共建HarmonyOS生態(tài)合作備忘錄,并在6月成為華為開發(fā)者聯(lián)盟生態(tài)市場服務商。為鴻蒙應用開發(fā)商提供更安全、自主可控的APP解決方案,為用戶提供更強的隱私保護及安全應用體驗。
一、背景與目標
目前,鴻蒙系統(tǒng)憑借其先進的技術架構和嚴謹?shù)陌踩O計,在安全性方面展現(xiàn)出了令人矚目的實力。然而,正如任何新興技術在其發(fā)展初期都可能面臨的情況一樣,鴻蒙系統(tǒng)亦不可避免地存在著一些潛在的安全風險與隱患。這些隱患可能源于系統(tǒng)自身的復雜性、外部環(huán)境的多變性,或是攻擊者不斷升級的攻擊手段。因此,在享受鴻蒙系統(tǒng)帶來的高效與便捷的同時,我們必須清醒地認識到,鴻蒙移動應用的安全性同樣需要被高度重視起來。
且監(jiān)管部門針對移動應用安全的監(jiān)管正不斷強化,工信部發(fā)布了《關于進一步提升移動互聯(lián)網(wǎng)應用服務能力的通知》對移動應用服務的多個方面提出了要求。國家金融監(jiān)督管理總局2024年9月新發(fā)布《銀行業(yè)保險業(yè)移動互聯(lián)網(wǎng)應用程序管理強化通知》明確了金融機構在移動應用開發(fā)、測試、發(fā)布、運維等全生命周期的管理責任。強調了網(wǎng)絡安全、數(shù)據(jù)保護及個人信息安全的監(jiān)管要求,確保金融APP的安全合規(guī)。強化了金融監(jiān)管總局及其派出機構對移動應用市場的監(jiān)督職責。國務院發(fā)布的《網(wǎng)絡數(shù)據(jù)安全管理條例》也將于2025年1月1日起正式施行。監(jiān)管部門正持續(xù)對移動應用領域亂象進行集中整治行動。這些法規(guī)與行動共同構建了一個更為嚴格、全面的移動應用安全監(jiān)管體系。因此,制定一套嚴格的安全合規(guī)方案,對于保障鴻蒙移動應用的安全運行具有重要意義。
本方案旨通過加強安全檢測、提升防護能力、完善應急響應機制等多方面的努力,以確保鴻蒙移動應用在復雜多變的網(wǎng)絡環(huán)境中穩(wěn)健前行,為用戶帶來更加安全、可靠的服務體驗。
確保鴻蒙移動應用在開發(fā)、發(fā)布、使用過程中符合相關法律法規(guī)要求。
提高應用的安全性,防止數(shù)據(jù)泄露、惡意攻擊等安全事件的發(fā)生。
保護用戶隱私,確保用戶的個人信息得到妥善保管和使用。
二、安全合規(guī)原則
合法合規(guī):嚴格遵守國家法律法規(guī),確保應用內(nèi)容的合法性和合規(guī)性。
用戶至上:以用戶為中心,尊重和保護用戶隱私,確保用戶數(shù)據(jù)的安全。
安全第一:將應用安全作為首要任務,確保應用在各個環(huán)節(jié)中的安全性。
持續(xù)改進:不斷完善安全合規(guī)體系,適應不斷變化的安全威脅和技術環(huán)境。
本方案涵蓋開發(fā)、發(fā)布、運營三大階段及培訓與意識提升、監(jiān)督與評估兩大支撐環(huán)節(jié)。開發(fā)階段注重代碼安全、權限管理、數(shù)據(jù)加密;發(fā)布階段強調隱私政策明確、安全檢測嚴格、版本管理規(guī)范;運營階段則需要重視認證授權、日志審計、應急響應機制的建立。此外,通過定期培訓提升開發(fā)人員安全合規(guī)意識,內(nèi)部監(jiān)督與外部審核相結合,確保應用全生命周期的安全合規(guī)性,促進應用的健康發(fā)展與用戶隱私保護。
01開發(fā)階段
1、代碼安全
遵循安全的編碼準則,有效規(guī)避常見安全隱患。在開發(fā)過程中要使用官方提供的代碼簽名、加密和代碼混淆服務,確保應用代碼在傳輸和存儲過程中的安全性。
除鴻蒙官方提供的防護措施外,開發(fā)者還可以使用第三方安全廠商提供的高級混淆和加固能力。綜合鴻蒙系統(tǒng)內(nèi)置的防護機制,對核心代碼進行更加立體、多層次的深度防護,以提升應用本身的安全性,增強用戶對應用的信任度,促進應用的健康發(fā)展和市場的良性循環(huán)。
2、權限管理
要保障個人信息主體選擇同意的權利,應通過交互界面或設計,向個人信息主體告知基本業(yè)務功能所必要的權限以及用途和風險。
要遵循最小權限原則,建立最小授權的訪問控制策略,僅請求應用運行所必需的權限,確保沒有不必要的權限請求。
要建立個人信息權限安全影響評估制度,評估并處置個人信息處理活動存在的安全風險。
3、數(shù)據(jù)加密
對敏感數(shù)據(jù)進行加密存儲和傳輸,如采取本地加密存儲,應用可以將用戶高安全敏感的關鍵資產(chǎn)短數(shù)據(jù)(如用戶的APP賬號密碼,銀行卡號等)在本地加密存儲,將加密這些數(shù)據(jù)的密鑰存儲在安全的隔離區(qū)。且應使用HarmonyOS系統(tǒng)通用密鑰庫系統(tǒng)(HUKS)進行密鑰管理,基于系統(tǒng)安全能力為業(yè)務提供密鑰全生命周期的安全管理,包括密鑰生成、密鑰存儲、密鑰使用、密鑰銷毀等功能。防止數(shù)據(jù)在傳輸和存儲過程中被竊取或篡改。
02發(fā)布階段
1、隱私政策
制定明確的、簡潔明了、易于用戶理解的隱私政策,告知用戶應用將如何收集、使用和保護用戶的個人信息。在應用發(fā)布前,將隱私政策提交法務、合規(guī)部門或檢測機構進行審核,以確保其符合法律法規(guī)要求,進一步保障用戶隱私權益。
2、安全檢測
在應用發(fā)布前,通過官方檢測功能或采用三方安全廠商的檢測產(chǎn)品進行全面檢測,確保應用符合隱私合規(guī)要求、具備一定的安全性。一旦發(fā)現(xiàn)任何潛在問題,必須立即針對檢測報告中指出的問題進行徹底整改,直至應用全面達到安全合規(guī)標準,方可進行發(fā)布。
3、版本管理
對應用進行版本管理,確保用戶可以及時獲取到最新版本的應用。在新版本發(fā)布前,進行充分的安全測試和驗證,確保新版本的安全性。
03運營階段
1、認證授權
采用多因素認證機制,提高用戶賬戶的安全性。要根據(jù)用戶的角色和權限,進行細粒度的授權管理。定期更新用戶密碼和認證信息,防止賬戶被非法訪問。
2、日志審計
記錄應用的訪問日志和操作日志,便于進行安全審計和故障排查。對日志數(shù)據(jù)進行加密存儲和傳輸,防止日志數(shù)據(jù)被泄露。值得注意的是,在日志記錄過程中應避免明文打印用戶敏感信息。
3、應急響應
制定應急響應計劃,明確安全事件的應急處理流程和責任人。在發(fā)生安全事件時,及時啟動應急響應計劃,采取有效措施進行處置和恢復。
四、培訓與意識提升
1、定期培訓
定期對開發(fā)人員進行安全合規(guī)培訓,提高其對安全合規(guī)重要性的認識和理解。培訓內(nèi)容包括但不限于法律法規(guī)、安全編碼實踐、權限管理、數(shù)據(jù)加密等。
2、意識提升
通過內(nèi)部宣傳、案例分析等方式,提高全體員工對安全合規(guī)的重視程度。鼓勵員工積極參與安全合規(guī)工作,形成良好的安全文化氛圍。
五、監(jiān)督與評估
1、內(nèi)部監(jiān)督
設立專門的安全合規(guī)監(jiān)督機構或崗位,負責對應用的安全合規(guī)性進行監(jiān)督和檢查。定期對應用進行安全合規(guī)評估,及時發(fā)現(xiàn)并糾正存在的問題。
建立健全安全合規(guī)體系,規(guī)范體系不僅要涉及到開發(fā)、發(fā)布及運行的每一步流程,還要確保各項安全制度的嚴謹性與規(guī)范性,以便為應用的穩(wěn)健運行筑起堅實的防線。
2、外部審核
定期邀請第三方機構對應用進行安全合規(guī)審核和評估。根據(jù)審核結果,啟動整改程序,組織團隊進行深入分析,并制定切實有效的整改措施。確保問題得到及時、徹底的解決,是提升應用安全性的關鍵所在。要及時整改存在的問題,并不斷完善安全合規(guī)體系。
六、技術支撐與總結
本方案針對鴻蒙移動應用提出了一套全面的安全合規(guī)方案,覆蓋了應用在開發(fā)、發(fā)布、使用全生命周期中的安全性與合規(guī)性要求。未來,我們將繼續(xù)完善和優(yōu)化安全合規(guī)體系,不斷適應新的安全威脅和技術環(huán)境,為用戶提供更加安全、可靠的移動應用服務。
為了支撐這方案,我們鉆研并提供了一系列鴻蒙安全產(chǎn)品及服務。這些產(chǎn)品與服務涵蓋了從代碼保護、漏洞掃描、通訊協(xié)議加密、隱私保護、安全運維到制度體系等多個方面,為鴻蒙移動應用提供了全方位、多層次的安全保障方案。不僅能夠幫助開發(fā)者在開發(fā)階段就有效識別和修復潛在的安全漏洞,還能在發(fā)布和使用過程中持續(xù)監(jiān)控和防護,確保應用的安全穩(wěn)定運行。
業(yè)務聯(lián)系人:楊明
電話:13537762354
郵箱:yangming@nagain.com
