北京娜迦信息科技發展有限公司(以下簡稱娜迦科技)成立于2014年,是國內一流的APP移動應用安全服務商,總部位于北京,在全國主要城市設置多家分公司及辦事機構,服務能力覆蓋中國和東南亞國家。主要產品與服務包括APP個人隱私合規檢測、APP安全檢測、APP安全加固、APP仿冒應用監測、APP威脅態勢感知、APP業務反欺詐,APP安全SDK等。除為各行業客戶提供解決方案外,還提供APP等保解決方案、APP安全及隱私合規解決方案、APP合規上架備案解決方案等。娜迦團隊在移動應用程序保護技術與自動化檢測技術上有其獨特的技術優勢,成為華為、平安集團、華潤集團,興業銀行、國家電網等多個世界五百強公司移動應用安全服務商,并保持著優良的服務口碑。在做好專業的產品與服務的同時,娜迦還協助各級監管單位抽查、備案管理其轄區的移動應用APP。并與google和國內主流應用商店(vivo、oppo、華為,小米,榮耀等)建立了密切的溝通渠道,協助客戶APP通過外部監管合規檢查和APP上架應用商店審核。
10月22日,我國首個國產移動操作系統——華為原生鴻蒙操作系統正式發布,這也是繼蘋果iOS和安卓系統后,全球第三大移動操作系統。當前鴻蒙應用如雨后春筍般的增長態勢,2024年娜迦科技做出了一個全面擁抱鴻蒙生態的戰略意義決策, 基于與華為手機自帶APP安全加固項目的多年合作基礎,娜迦鴻蒙應用安全產品首批上架鴻蒙生態伙伴SDK 專區,2024年4月與華為終端有限公司簽署了共建HarmonyOS生態合作備忘錄,并在6月成為華為開發者聯盟生態市場服務商。為鴻蒙應用開發商提供更安全、自主可控的APP解決方案,為用戶提供更強的隱私保護及安全應用體驗。
一、背景與目標
目前,鴻蒙系統憑借其先進的技術架構和嚴謹的安全設計,在安全性方面展現出了令人矚目的實力。然而,正如任何新興技術在其發展初期都可能面臨的情況一樣,鴻蒙系統亦不可避免地存在著一些潛在的安全風險與隱患。這些隱患可能源于系統自身的復雜性、外部環境的多變性,或是攻擊者不斷升級的攻擊手段。因此,在享受鴻蒙系統帶來的高效與便捷的同時,我們必須清醒地認識到,鴻蒙移動應用的安全性同樣需要被高度重視起來。
且監管部門針對移動應用安全的監管正不斷強化,工信部發布了《關于進一步提升移動互聯網應用服務能力的通知》對移動應用服務的多個方面提出了要求。國家金融監督管理總局2024年9月新發布《銀行業保險業移動互聯網應用程序管理強化通知》明確了金融機構在移動應用開發、測試、發布、運維等全生命周期的管理責任。強調了網絡安全、數據保護及個人信息安全的監管要求,確保金融APP的安全合規。強化了金融監管總局及其派出機構對移動應用市場的監督職責。國務院發布的《網絡數據安全管理條例》也將于2025年1月1日起正式施行。監管部門正持續對移動應用領域亂象進行集中整治行動。這些法規與行動共同構建了一個更為嚴格、全面的移動應用安全監管體系。因此,制定一套嚴格的安全合規方案,對于保障鴻蒙移動應用的安全運行具有重要意義。
本方案旨通過加強安全檢測、提升防護能力、完善應急響應機制等多方面的努力,以確保鴻蒙移動應用在復雜多變的網絡環境中穩健前行,為用戶帶來更加安全、可靠的服務體驗。
確保鴻蒙移動應用在開發、發布、使用過程中符合相關法律法規要求。
提高應用的安全性,防止數據泄露、惡意攻擊等安全事件的發生。
保護用戶隱私,確保用戶的個人信息得到妥善保管和使用。
二、安全合規原則
合法合規:嚴格遵守國家法律法規,確保應用內容的合法性和合規性。
用戶至上:以用戶為中心,尊重和保護用戶隱私,確保用戶數據的安全。
安全第一:將應用安全作為首要任務,確保應用在各個環節中的安全性。
持續改進:不斷完善安全合規體系,適應不斷變化的安全威脅和技術環境。
本方案涵蓋開發、發布、運營三大階段及培訓與意識提升、監督與評估兩大支撐環節。開發階段注重代碼安全、權限管理、數據加密;發布階段強調隱私政策明確、安全檢測嚴格、版本管理規范;運營階段則需要重視認證授權、日志審計、應急響應機制的建立。此外,通過定期培訓提升開發人員安全合規意識,內部監督與外部審核相結合,確保應用全生命周期的安全合規性,促進應用的健康發展與用戶隱私保護。
01開發階段
1、代碼安全
遵循安全的編碼準則,有效規避常見安全隱患。在開發過程中要使用官方提供的代碼簽名、加密和代碼混淆服務,確保應用代碼在傳輸和存儲過程中的安全性。
除鴻蒙官方提供的防護措施外,開發者還可以使用第三方安全廠商提供的高級混淆和加固能力。綜合鴻蒙系統內置的防護機制,對核心代碼進行更加立體、多層次的深度防護,以提升應用本身的安全性,增強用戶對應用的信任度,促進應用的健康發展和市場的良性循環。
2、權限管理
要保障個人信息主體選擇同意的權利,應通過交互界面或設計,向個人信息主體告知基本業務功能所必要的權限以及用途和風險。
要遵循最小權限原則,建立最小授權的訪問控制策略,僅請求應用運行所必需的權限,確保沒有不必要的權限請求。
要建立個人信息權限安全影響評估制度,評估并處置個人信息處理活動存在的安全風險。
3、數據加密
對敏感數據進行加密存儲和傳輸,如采取本地加密存儲,應用可以將用戶高安全敏感的關鍵資產短數據(如用戶的APP賬號密碼,銀行卡號等)在本地加密存儲,將加密這些數據的密鑰存儲在安全的隔離區。且應使用HarmonyOS系統通用密鑰庫系統(HUKS)進行密鑰管理,基于系統安全能力為業務提供密鑰全生命周期的安全管理,包括密鑰生成、密鑰存儲、密鑰使用、密鑰銷毀等功能。防止數據在傳輸和存儲過程中被竊取或篡改。
02發布階段
1、隱私政策
制定明確的、簡潔明了、易于用戶理解的隱私政策,告知用戶應用將如何收集、使用和保護用戶的個人信息。在應用發布前,將隱私政策提交法務、合規部門或檢測機構進行審核,以確保其符合法律法規要求,進一步保障用戶隱私權益。
2、安全檢測
在應用發布前,通過官方檢測功能或采用三方安全廠商的檢測產品進行全面檢測,確保應用符合隱私合規要求、具備一定的安全性。一旦發現任何潛在問題,必須立即針對檢測報告中指出的問題進行徹底整改,直至應用全面達到安全合規標準,方可進行發布。
3、版本管理
對應用進行版本管理,確保用戶可以及時獲取到最新版本的應用。在新版本發布前,進行充分的安全測試和驗證,確保新版本的安全性。
03運營階段
1、認證授權
采用多因素認證機制,提高用戶賬戶的安全性。要根據用戶的角色和權限,進行細粒度的授權管理。定期更新用戶密碼和認證信息,防止賬戶被非法訪問。
2、日志審計
記錄應用的訪問日志和操作日志,便于進行安全審計和故障排查。對日志數據進行加密存儲和傳輸,防止日志數據被泄露。值得注意的是,在日志記錄過程中應避免明文打印用戶敏感信息。
3、應急響應
制定應急響應計劃,明確安全事件的應急處理流程和責任人。在發生安全事件時,及時啟動應急響應計劃,采取有效措施進行處置和恢復。
四、培訓與意識提升
1、定期培訓
定期對開發人員進行安全合規培訓,提高其對安全合規重要性的認識和理解。培訓內容包括但不限于法律法規、安全編碼實踐、權限管理、數據加密等。
2、意識提升
通過內部宣傳、案例分析等方式,提高全體員工對安全合規的重視程度。鼓勵員工積極參與安全合規工作,形成良好的安全文化氛圍。
五、監督與評估
1、內部監督
設立專門的安全合規監督機構或崗位,負責對應用的安全合規性進行監督和檢查。定期對應用進行安全合規評估,及時發現并糾正存在的問題。
建立健全安全合規體系,規范體系不僅要涉及到開發、發布及運行的每一步流程,還要確保各項安全制度的嚴謹性與規范性,以便為應用的穩健運行筑起堅實的防線。
2、外部審核
定期邀請第三方機構對應用進行安全合規審核和評估。根據審核結果,啟動整改程序,組織團隊進行深入分析,并制定切實有效的整改措施。確保問題得到及時、徹底的解決,是提升應用安全性的關鍵所在。要及時整改存在的問題,并不斷完善安全合規體系。
六、技術支撐與總結
本方案針對鴻蒙移動應用提出了一套全面的安全合規方案,覆蓋了應用在開發、發布、使用全生命周期中的安全性與合規性要求。未來,我們將繼續完善和優化安全合規體系,不斷適應新的安全威脅和技術環境,為用戶提供更加安全、可靠的移動應用服務。
為了支撐這方案,我們鉆研并提供了一系列鴻蒙安全產品及服務。這些產品與服務涵蓋了從代碼保護、漏洞掃描、通訊協議加密、隱私保護、安全運維到制度體系等多個方面,為鴻蒙移動應用提供了全方位、多層次的安全保障方案。不僅能夠幫助開發者在開發階段就有效識別和修復潛在的安全漏洞,還能在發布和使用過程中持續監控和防護,確保應用的安全穩定運行。
業務聯系人:楊明
電話:13537762354
郵箱:yangming@nagain.com
