北京娜迦信息科技發(fā)展有限公司(以下簡(jiǎn)稱(chēng)娜迦科技)成立于2014年,是國(guó)內(nèi)一流的APP移動(dòng)應(yīng)用安全服務(wù)商,總部位于北京,在全國(guó)主要城市設(shè)置多家分公司及辦事機(jī)構(gòu),服務(wù)能力覆蓋中國(guó)和東南亞國(guó)家。主要產(chǎn)品與服務(wù)包括APP個(gè)人隱私合規(guī)檢測(cè)、APP安全檢測(cè)、APP安全加固、APP仿冒應(yīng)用監(jiān)測(cè)、APP威脅態(tài)勢(shì)感知、APP業(yè)務(wù)反欺詐,APP安全SDK等。除為各行業(yè)客戶(hù)提供解決方案外,還提供APP等保解決方案、APP安全及隱私合規(guī)解決方案、APP合規(guī)上架備案解決方案等。娜迦團(tuán)隊(duì)在移動(dòng)應(yīng)用程序保護(hù)技術(shù)與自動(dòng)化檢測(cè)技術(shù)上有其獨(dú)特的技術(shù)優(yōu)勢(shì),成為華為、平安集團(tuán)、華潤(rùn)集團(tuán),興業(yè)銀行、國(guó)家電網(wǎng)等多個(gè)世界五百?gòu)?qiáng)公司移動(dòng)應(yīng)用安全服務(wù)商,并保持著優(yōu)良的服務(wù)口碑。在做好專(zhuān)業(yè)的產(chǎn)品與服務(wù)的同時(shí),娜迦還協(xié)助各級(jí)監(jiān)管單位抽查、備案管理其轄區(qū)的移動(dòng)應(yīng)用APP。并與google和國(guó)內(nèi)主流應(yīng)用商店(vivo、oppo、華為,小米,榮耀等)建立了密切的溝通渠道,協(xié)助客戶(hù)APP通過(guò)外部監(jiān)管合規(guī)檢查和APP上架應(yīng)用商店審核。
10月22日,我國(guó)首個(gè)國(guó)產(chǎn)移動(dòng)操作系統(tǒng)——華為原生鴻蒙操作系統(tǒng)正式發(fā)布,這也是繼蘋(píng)果iOS和安卓系統(tǒng)后,全球第三大移動(dòng)操作系統(tǒng)。當(dāng)前鴻蒙應(yīng)用如雨后春筍般的增長(zhǎng)態(tài)勢(shì),2024年娜迦科技做出了一個(gè)全面擁抱鴻蒙生態(tài)的戰(zhàn)略意義決策, 基于與華為手機(jī)自帶APP安全加固項(xiàng)目的多年合作基礎(chǔ),娜迦鴻蒙應(yīng)用安全產(chǎn)品首批上架鴻蒙生態(tài)伙伴SDK 專(zhuān)區(qū),2024年4月與華為終端有限公司簽署了共建HarmonyOS生態(tài)合作備忘錄,并在6月成為華為開(kāi)發(fā)者聯(lián)盟生態(tài)市場(chǎng)服務(wù)商。為鴻蒙應(yīng)用開(kāi)發(fā)商提供更安全、自主可控的APP解決方案,為用戶(hù)提供更強(qiáng)的隱私保護(hù)及安全應(yīng)用體驗(yàn)。
一、背景與目標(biāo)
目前,鴻蒙系統(tǒng)憑借其先進(jìn)的技術(shù)架構(gòu)和嚴(yán)謹(jǐn)?shù)陌踩O(shè)計(jì),在安全性方面展現(xiàn)出了令人矚目的實(shí)力。然而,正如任何新興技術(shù)在其發(fā)展初期都可能面臨的情況一樣,鴻蒙系統(tǒng)亦不可避免地存在著一些潛在的安全風(fēng)險(xiǎn)與隱患。這些隱患可能源于系統(tǒng)自身的復(fù)雜性、外部環(huán)境的多變性,或是攻擊者不斷升級(jí)的攻擊手段。因此,在享受鴻蒙系統(tǒng)帶來(lái)的高效與便捷的同時(shí),我們必須清醒地認(rèn)識(shí)到,鴻蒙移動(dòng)應(yīng)用的安全性同樣需要被高度重視起來(lái)。
且監(jiān)管部門(mén)針對(duì)移動(dòng)應(yīng)用安全的監(jiān)管正不斷強(qiáng)化,工信部發(fā)布了《關(guān)于進(jìn)一步提升移動(dòng)互聯(lián)網(wǎng)應(yīng)用服務(wù)能力的通知》對(duì)移動(dòng)應(yīng)用服務(wù)的多個(gè)方面提出了要求。國(guó)家金融監(jiān)督管理總局2024年9月新發(fā)布《銀行業(yè)保險(xiǎn)業(yè)移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序管理強(qiáng)化通知》明確了金融機(jī)構(gòu)在移動(dòng)應(yīng)用開(kāi)發(fā)、測(cè)試、發(fā)布、運(yùn)維等全生命周期的管理責(zé)任。強(qiáng)調(diào)了網(wǎng)絡(luò)安全、數(shù)據(jù)保護(hù)及個(gè)人信息安全的監(jiān)管要求,確保金融APP的安全合規(guī)。強(qiáng)化了金融監(jiān)管總局及其派出機(jī)構(gòu)對(duì)移動(dòng)應(yīng)用市場(chǎng)的監(jiān)督職責(zé)。國(guó)務(wù)院發(fā)布的《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》也將于2025年1月1日起正式施行。監(jiān)管部門(mén)正持續(xù)對(duì)移動(dòng)應(yīng)用領(lǐng)域亂象進(jìn)行集中整治行動(dòng)。這些法規(guī)與行動(dòng)共同構(gòu)建了一個(gè)更為嚴(yán)格、全面的移動(dòng)應(yīng)用安全監(jiān)管體系。因此,制定一套嚴(yán)格的安全合規(guī)方案,對(duì)于保障鴻蒙移動(dòng)應(yīng)用的安全運(yùn)行具有重要意義。
本方案旨通過(guò)加強(qiáng)安全檢測(cè)、提升防護(hù)能力、完善應(yīng)急響應(yīng)機(jī)制等多方面的努力,以確保鴻蒙移動(dòng)應(yīng)用在復(fù)雜多變的網(wǎng)絡(luò)環(huán)境中穩(wěn)健前行,為用戶(hù)帶來(lái)更加安全、可靠的服務(wù)體驗(yàn)。
確保鴻蒙移動(dòng)應(yīng)用在開(kāi)發(fā)、發(fā)布、使用過(guò)程中符合相關(guān)法律法規(guī)要求。
提高應(yīng)用的安全性,防止數(shù)據(jù)泄露、惡意攻擊等安全事件的發(fā)生。
保護(hù)用戶(hù)隱私,確保用戶(hù)的個(gè)人信息得到妥善保管和使用。
二、安全合規(guī)原則
合法合規(guī):嚴(yán)格遵守國(guó)家法律法規(guī),確保應(yīng)用內(nèi)容的合法性和合規(guī)性。
用戶(hù)至上:以用戶(hù)為中心,尊重和保護(hù)用戶(hù)隱私,確保用戶(hù)數(shù)據(jù)的安全。
安全第一:將應(yīng)用安全作為首要任務(wù),確保應(yīng)用在各個(gè)環(huán)節(jié)中的安全性。
持續(xù)改進(jìn):不斷完善安全合規(guī)體系,適應(yīng)不斷變化的安全威脅和技術(shù)環(huán)境。
本方案涵蓋開(kāi)發(fā)、發(fā)布、運(yùn)營(yíng)三大階段及培訓(xùn)與意識(shí)提升、監(jiān)督與評(píng)估兩大支撐環(huán)節(jié)。開(kāi)發(fā)階段注重代碼安全、權(quán)限管理、數(shù)據(jù)加密;發(fā)布階段強(qiáng)調(diào)隱私政策明確、安全檢測(cè)嚴(yán)格、版本管理規(guī)范;運(yùn)營(yíng)階段則需要重視認(rèn)證授權(quán)、日志審計(jì)、應(yīng)急響應(yīng)機(jī)制的建立。此外,通過(guò)定期培訓(xùn)提升開(kāi)發(fā)人員安全合規(guī)意識(shí),內(nèi)部監(jiān)督與外部審核相結(jié)合,確保應(yīng)用全生命周期的安全合規(guī)性,促進(jìn)應(yīng)用的健康發(fā)展與用戶(hù)隱私保護(hù)。
01開(kāi)發(fā)階段
1、代碼安全
遵循安全的編碼準(zhǔn)則,有效規(guī)避常見(jiàn)安全隱患。在開(kāi)發(fā)過(guò)程中要使用官方提供的代碼簽名、加密和代碼混淆服務(wù),確保應(yīng)用代碼在傳輸和存儲(chǔ)過(guò)程中的安全性。
除鴻蒙官方提供的防護(hù)措施外,開(kāi)發(fā)者還可以使用第三方安全廠商提供的高級(jí)混淆和加固能力。綜合鴻蒙系統(tǒng)內(nèi)置的防護(hù)機(jī)制,對(duì)核心代碼進(jìn)行更加立體、多層次的深度防護(hù),以提升應(yīng)用本身的安全性,增強(qiáng)用戶(hù)對(duì)應(yīng)用的信任度,促進(jìn)應(yīng)用的健康發(fā)展和市場(chǎng)的良性循環(huán)。
2、權(quán)限管理
要保障個(gè)人信息主體選擇同意的權(quán)利,應(yīng)通過(guò)交互界面或設(shè)計(jì),向個(gè)人信息主體告知基本業(yè)務(wù)功能所必要的權(quán)限以及用途和風(fēng)險(xiǎn)。
要遵循最小權(quán)限原則,建立最小授權(quán)的訪問(wèn)控制策略,僅請(qǐng)求應(yīng)用運(yùn)行所必需的權(quán)限,確保沒(méi)有不必要的權(quán)限請(qǐng)求。
要建立個(gè)人信息權(quán)限安全影響評(píng)估制度,評(píng)估并處置個(gè)人信息處理活動(dòng)存在的安全風(fēng)險(xiǎn)。
3、數(shù)據(jù)加密
對(duì)敏感數(shù)據(jù)進(jìn)行加密存儲(chǔ)和傳輸,如采取本地加密存儲(chǔ),應(yīng)用可以將用戶(hù)高安全敏感的關(guān)鍵資產(chǎn)短數(shù)據(jù)(如用戶(hù)的APP賬號(hào)密碼,銀行卡號(hào)等)在本地加密存儲(chǔ),將加密這些數(shù)據(jù)的密鑰存儲(chǔ)在安全的隔離區(qū)。且應(yīng)使用HarmonyOS系統(tǒng)通用密鑰庫(kù)系統(tǒng)(HUKS)進(jìn)行密鑰管理,基于系統(tǒng)安全能力為業(yè)務(wù)提供密鑰全生命周期的安全管理,包括密鑰生成、密鑰存儲(chǔ)、密鑰使用、密鑰銷(xiāo)毀等功能。防止數(shù)據(jù)在傳輸和存儲(chǔ)過(guò)程中被竊取或篡改。
02發(fā)布階段
1、隱私政策
制定明確的、簡(jiǎn)潔明了、易于用戶(hù)理解的隱私政策,告知用戶(hù)應(yīng)用將如何收集、使用和保護(hù)用戶(hù)的個(gè)人信息。在應(yīng)用發(fā)布前,將隱私政策提交法務(wù)、合規(guī)部門(mén)或檢測(cè)機(jī)構(gòu)進(jìn)行審核,以確保其符合法律法規(guī)要求,進(jìn)一步保障用戶(hù)隱私權(quán)益。
2、安全檢測(cè)
在應(yīng)用發(fā)布前,通過(guò)官方檢測(cè)功能或采用三方安全廠商的檢測(cè)產(chǎn)品進(jìn)行全面檢測(cè),確保應(yīng)用符合隱私合規(guī)要求、具備一定的安全性。一旦發(fā)現(xiàn)任何潛在問(wèn)題,必須立即針對(duì)檢測(cè)報(bào)告中指出的問(wèn)題進(jìn)行徹底整改,直至應(yīng)用全面達(dá)到安全合規(guī)標(biāo)準(zhǔn),方可進(jìn)行發(fā)布。
3、版本管理
對(duì)應(yīng)用進(jìn)行版本管理,確保用戶(hù)可以及時(shí)獲取到最新版本的應(yīng)用。在新版本發(fā)布前,進(jìn)行充分的安全測(cè)試和驗(yàn)證,確保新版本的安全性。
03運(yùn)營(yíng)階段
1、認(rèn)證授權(quán)
采用多因素認(rèn)證機(jī)制,提高用戶(hù)賬戶(hù)的安全性。要根據(jù)用戶(hù)的角色和權(quán)限,進(jìn)行細(xì)粒度的授權(quán)管理。定期更新用戶(hù)密碼和認(rèn)證信息,防止賬戶(hù)被非法訪問(wèn)。
2、日志審計(jì)
記錄應(yīng)用的訪問(wèn)日志和操作日志,便于進(jìn)行安全審計(jì)和故障排查。對(duì)日志數(shù)據(jù)進(jìn)行加密存儲(chǔ)和傳輸,防止日志數(shù)據(jù)被泄露。值得注意的是,在日志記錄過(guò)程中應(yīng)避免明文打印用戶(hù)敏感信息。
3、應(yīng)急響應(yīng)
制定應(yīng)急響應(yīng)計(jì)劃,明確安全事件的應(yīng)急處理流程和責(zé)任人。在發(fā)生安全事件時(shí),及時(shí)啟動(dòng)應(yīng)急響應(yīng)計(jì)劃,采取有效措施進(jìn)行處置和恢復(fù)。
四、培訓(xùn)與意識(shí)提升
1、定期培訓(xùn)
定期對(duì)開(kāi)發(fā)人員進(jìn)行安全合規(guī)培訓(xùn),提高其對(duì)安全合規(guī)重要性的認(rèn)識(shí)和理解。培訓(xùn)內(nèi)容包括但不限于法律法規(guī)、安全編碼實(shí)踐、權(quán)限管理、數(shù)據(jù)加密等。
2、意識(shí)提升
通過(guò)內(nèi)部宣傳、案例分析等方式,提高全體員工對(duì)安全合規(guī)的重視程度。鼓勵(lì)員工積極參與安全合規(guī)工作,形成良好的安全文化氛圍。
五、監(jiān)督與評(píng)估
1、內(nèi)部監(jiān)督
設(shè)立專(zhuān)門(mén)的安全合規(guī)監(jiān)督機(jī)構(gòu)或崗位,負(fù)責(zé)對(duì)應(yīng)用的安全合規(guī)性進(jìn)行監(jiān)督和檢查。定期對(duì)應(yīng)用進(jìn)行安全合規(guī)評(píng)估,及時(shí)發(fā)現(xiàn)并糾正存在的問(wèn)題。
建立健全安全合規(guī)體系,規(guī)范體系不僅要涉及到開(kāi)發(fā)、發(fā)布及運(yùn)行的每一步流程,還要確保各項(xiàng)安全制度的嚴(yán)謹(jǐn)性與規(guī)范性,以便為應(yīng)用的穩(wěn)健運(yùn)行筑起堅(jiān)實(shí)的防線。
2、外部審核
定期邀請(qǐng)第三方機(jī)構(gòu)對(duì)應(yīng)用進(jìn)行安全合規(guī)審核和評(píng)估。根據(jù)審核結(jié)果,啟動(dòng)整改程序,組織團(tuán)隊(duì)進(jìn)行深入分析,并制定切實(shí)有效的整改措施。確保問(wèn)題得到及時(shí)、徹底的解決,是提升應(yīng)用安全性的關(guān)鍵所在。要及時(shí)整改存在的問(wèn)題,并不斷完善安全合規(guī)體系。
六、技術(shù)支撐與總結(jié)
本方案針對(duì)鴻蒙移動(dòng)應(yīng)用提出了一套全面的安全合規(guī)方案,覆蓋了應(yīng)用在開(kāi)發(fā)、發(fā)布、使用全生命周期中的安全性與合規(guī)性要求。未來(lái),我們將繼續(xù)完善和優(yōu)化安全合規(guī)體系,不斷適應(yīng)新的安全威脅和技術(shù)環(huán)境,為用戶(hù)提供更加安全、可靠的移動(dòng)應(yīng)用服務(wù)。
為了支撐這方案,我們鉆研并提供了一系列鴻蒙安全產(chǎn)品及服務(wù)。這些產(chǎn)品與服務(wù)涵蓋了從代碼保護(hù)、漏洞掃描、通訊協(xié)議加密、隱私保護(hù)、安全運(yùn)維到制度體系等多個(gè)方面,為鴻蒙移動(dòng)應(yīng)用提供了全方位、多層次的安全保障方案。不僅能夠幫助開(kāi)發(fā)者在開(kāi)發(fā)階段就有效識(shí)別和修復(fù)潛在的安全漏洞,還能在發(fā)布和使用過(guò)程中持續(xù)監(jiān)控和防護(hù),確保應(yīng)用的安全穩(wěn)定運(yùn)行。
業(yè)務(wù)聯(lián)系人:楊明
電話(huà):13537762354
郵箱:yangming@nagain.com