安全说明
鲲鹏BoostKit ARM原生中,华为提供自研二进制文件及开源patch文件、脚本文件,其中,patch文件、脚本文件仅供客户参考,不做商业承诺。除此之外解决方案涉及的其他部件,如主机侧的OS,Docker,Android系统的开发与维护由客户或者ISV负责。
为了保证鲲鹏BoostKit ARM原生在商用场景下可信和安全地运行,强烈建议客户或者ISV在使用鲲鹏BoostKit ARM原生时配置合理的权限管理、安全传输及隐私保护声明机制,对解决方案中涉及的开源软件更新最新安全补丁和安全加固等安全措施,包括但不限于如下建议:
权限管理
云手机管理系统不在解决方案的交付范围内,在商用场景下,
- 建议采用“三权分立”的设计原则,合理分配用户的权限 ,制定完善的用户管理机制,防止云手机管理系统的管理员或者操作员被仿冒,并且需要记录系统的关键操作日志,安全审计员可以通过参看日志进行审计,防止抵赖。
- 建议云手机服务器在对管理系统发送的指令进行身份校验,限制未经认证或认证失败的用户的连接数量,防止非法用户破坏操作和DOS攻击等。
安全传输
- 云手机管理系统和云手机服务器通信时,建议采用安全的通信协议,防止信息泄露。
- 在通过adb方式连接云手机的场景下,建议客户或ISV通过向合法用户提供SSH证书,在SSH之上进行adb的连接,并在服务端记录执行相关关键操作的日志,防止抵赖。
隐私保护声明
- GPS、IMEI、加速度陀螺仪提供模拟数据配置功能,该功能一般只用于APPs托管测试场景,建议客户设置非真实的模拟数据,防止真实的个人隐私数据泄露。
- 在云手机系统安装应用和游戏时,建议引导最终用户从主流的应用市场或者商店下载合法的应用和游戏,避免非授权的用户数据访问,侦听等非法操作,防止系统安全性遭到恶意破坏,以保护个人隐私数据。
操作系统安全更新
- Ubuntu/openEuler操作系统在使用的过程中,要确保及时使用最新的安全更新修补系统。及时用最新的安全更新修补系统,可以防止操作系统受到漏洞的影响,被恶意软件攻击,同时,也可保证安卓容器在系统上的正常运行。
- Ubuntu可通过apt-get命令(openEuler可通过yum updateinfo list available),定期检查操作系统是否有可用的安全更新,若有,请及时安装更新。具体方法请参考官网说明。
- 除了及时安装最新的安全补丁外,也需要对服务器操作系统进行安全加固,如:配置强密码、关闭不必要的服务端口等。具体的操作请参考官方说明。
Android安全更新
- Android生态系统由Google提供支持,在提供功能和稳定性改进的系统更新的同时,向用户提供保障设备安全性的安全更新。安全更新补丁主要来源于Android开放源代码项目(AOSP)、上游Linux内核和系统芯片(SOC)制造商,可以从硬件和软件层面保证Android设备不受最新安全漏洞的影响。Google会定期向设备推送安全更新,并公布对应的安全更新公告。
- 请根据AOSP源码以及安全更新公告中给出的补丁程序链接,结合实际情况,及时进行安全更新,保证鲲鹏BoostKit ARM原生的正常运行。
解决方案中涉及的开源软件均需定期进行安全更新与加固,且不限于上述几种,请参照各开源软件官方说明文档进行操作,本文档不再做说明。
父主题: 安全管理