您现在的位置: 首页 > 网站导航收录 > 百科知识百科知识

2022年8月3日当日最新消息 环信：即时通讯场景下安全合规的实践和经验

用户,安全,数据2022年8月3日当日最新消息 环信：即时通讯场景下安全合规的实践和经验

发布时间：2016-12-08加入收藏来源：互联网点击：

另外，我们的服务端有类似于全员通知的功能，针对全员通知这个功能，我们添加了相应的白名单功能，在配置好之后，只有某个特定的服务器才能给全员发通知。如果你的业务能够开启好友之间发消息的限制，最好就开启，这样即使用户ID被泄露，他们也不能随意地相互之间发消息。

服务器校验用户的合法性也是一个非常重要的功能，如果是直接在第三方平台上注册的用户，那么他有可能会直接绕过你的服务器来给其他的用户来收发消息。这种情况建议还是由你的服务器来签发token，然后保证这个token一定的时效性，时间不要太长，这样即便某个用户有问题，你的服务器也可以及时发现并且封禁这个用户。

如果有更进一步的安全要求，甚至可以在消息级别进行校验，比如这个消息有特定的Key签发密钥，则消息的收发双方都要做相应的校验，甚至端到端的消息加密。

当然现在我们也支持了内容审核的功能，可以在我们的后台配置相应的审核规则。除了前面的保护措施之外，还要做一些内部防范，对类似于开发者证书或者内部的用户列表等关键数据一定要进行相应的保护，比如备份这些数据库的信息，不要被开发者不经意间放到GitHub或某个技术博客上。

问答环节

1、很多开发者会有这样一种想法，比如说我接入了某个第三方安全审核功能后，是不是就可以高枕无忧了？

这个显然不是，就是现在的鉴黄，也没有100%的能力完全做到这一点。我们肯定还是要做一些措施，比如能做到监督，这样事后有记录就能对他进行管理甚至封禁，而不只是说扔给第三方。

2、您在演讲中提到加密会使服务器的成本开销较大，那么有哪些加密方式是您建议一定要启用的，MD 5和AES 256方式您建议使用哪一种呢？

如果是对称加密的话，建议是AES 256以上。成本方面没有明确的答案，这与数据块有关系，如果我们的消息都是比较小的，那么数据增加可能会比较明显。而对于大一些的消息，比如文件级别的甚至更大，数据增加可能少一些。所以这没有一个很明确的规律，但是肯定会对你的成本有所增加。

3、如果个人要求删除个人数据，主要是与App运营厂商处理，还是像这种提供PaaS服务的平台来进行联动处理呢？

我们的PaaS平台一般是要提供能力，但我们还有观察到一些PaaS的主要提供商都不是直接给用户的，而是给应用的开发者。我们有用户级别的token和管理员级别的token，我们现在的用户隐私相关API设计都是管理员级别的，就是说用户要求注销账号或者删除数据的时候，一般是经过应用的owner和应用的服务器使用这些第三方平台来完成的，否则可能数据删除的处理不完整。第三方平台一般是提供这部分能力。

4、初创公司应该如何做产品或者技术合规的审查？

这个问题我在介绍的过程当中其实也提到了，对于不同的行业和领域，要求都不太一样。一般来说，比如在华为或者苹果的应用商店上架应用，都会选择不同的应用分类，选择特定的分类之后，就会有一些特定的要求，有的会要求你的资质，有的会要求安全评估报告。

也就是说，要根据应用的所属行业或者你的业务属性来确定，只要满足这些要求一般不会有太大的问题。而且你对于自己的应用所属的领域行业都有基本的了解，可以在上架之前把这些要求大致了解清楚，提前做好准备，否则被打回再重新修改上架，也会影响产品的上线计划。

 

文章来源：快科技

本文到此结束，希望对大家有所帮助呢。

 3/3   首页 上一页 1 2 3