本文阐述网易云信如何进行信息管理，以保护客户及终端用户数据安全。

首要目的

确保信息安全是网易云信技术平台的首要任务。网易云信致力于保障所接触到的客户和终端用户的物理和电子信息资产的安全性、完整性、保密性、可用性、和合规性。

• 安全性：通过有效的鉴权验证和限频机制防止用户服务被恶意攻击。
• 完整性：防止客户和终端用户产生的数据被恶意篡改和伪造。
• 保密性：采用适当的加密技术，防止未经授权的访问和窃听，避免盗链、盗文件等安全风险。
• 可用性：通过 网易云信全球智能路由网络（WE-CAN） 确保数据可用性。
• 合规性：提供符合安全体系认证的服务，实行信息安全管理实施规则和信息安全管理体系规范。

数据分类

所有数据将根据以下策略进行分类并相应保护，适用于任何格式的数据和媒体资源。网易云信将所处理的信息分为如下几类：

• 客户账户信息：包括客户 ID、客户 IP、网络类型、操作系统、Email 地址、电话号码、编程平台、UTM（User Tracking Module）信息、证件信息、公司名称、相关网址 URL、账单交易信息、项目相关状态、技术工单、账号内成员信息、网易云信控制台访问记录等客户账户相关信息。在客户使用网易云信服务时，网易云信不会记录客户的第三方账户信息，例如信用卡信息和登录网易云信控制台的第三方账号信息。

• 终端用户信息：包含经客户收集的终端用户的设备和网络相关信息，如麦克风和摄像头采集数据、CPU 状态、内存状态、电池状态、操作系统版本、手机型号、手机信号等级、接收的信号强度指示（RSSI）、网络类型、用户属性、频道属性等。

• 通话内容/消息：指用户在通话过程中的音视频数据、用户发送给其他联系人的文本消息。

• 日志：由网易云信服务器生成的媒体服务器日志数据，包括用户访问网易云信 WE-CAN 的日志。日志不包含文本聊天信息或任何用户个人信息。

  如果客户使用网易云信的加密功能，通话内容可以在终端设备上进行加密后在网易云信服务器间传输。网易云信服务支持内置加密、国密算法加密、和自定义加密功能，您可以选择任意一种方式进行加密。

安全标准

合规认证

合规性是网易云信发展的基础，网易云信遵从不同国家和行业的合规性要求，除了保证所提供服务的安全性、合规性、可用性、保密性和隐私性之外，还可以为使用即时通信服务和音视频通话的客户提供相关支持，满足企业及其客户的多项合规监管需求，降低公司及客户在审计工作上的重复投入，提高审计与管理效率。

结合网易 20 多年的互联网运维经验，网易云信已通过多个安全体系认证，为用户业务安全保驾护航。

• 公安部信息系统三级等级保护认证：三级等级保护认证是一个全面、系统的信息安全管理体系，它要求机构在技术、管理和运营等多个层面采取有效措施，以确保信息系统的安全性和可靠性。
• ISO/IEC 27001 信息安全管理体系标准认证：ISO/IEC 27001 是最核心的信息安全标准，提供了建立、实施、维护和改进信息安全管理体系（ISMS）的要求。
• 国际标准 CSA-STAR 信息安全认证：CSA STAR 是针对云安全特性的一项国际性认证，网易云信通过了 STAR 认证，强化云安全技术管控。

此外，网易云信建立了信息安全管理实施规则和信息安全管理体系规范，满足实施安全控制的要求，并接受第三方机构的定期与不定期审计。

访问授权

终端用户访问网易云信 WE-CAN 网络时，可以通过 Token 进行认证，请参考 使用 Token 鉴权。

访问控制

电子访问控制

网易云信对内部的所有系统实行严格的访问控制管理。所有用户拥有独立的内部账号和授权体系，必须经过二步验证。任何访问记录都会被备案。

所有涉及用户数据服务的机器都受到严格的审计和保护。网易云信员工仅在必要情况下通过获取临时授权才能访问生产服务器。整个过程将配合客户要求全程记录，并保留所有操作记录。

物理访问控制

所有运营机器均托管于满足 ISO27001 信息安全管理体系认证的机房，且该机房会按照托管协议或数据保护协议（DPA）的规定保护信息安全。无论是第三方的托管供应商还是网易云信的员工，都必须经过审批才可以接触机器和设备。

数据加密

用户与网易云信服务器之间的通讯，将经过网易云信自研的二进制私有协议、安全传输层协议（TLS）、Web Socket Secure（WSS）等协议的加密传输。您也可以选择采用国密算法、高级加密标准（AES）或自定义加密算法对音视频数据进行加密保护。

网易云信 WE-CAN 网络在传输过程中，没有任何可用于解密信息的密钥。文本消息和通话内容信息只能在终端设备上（如客户端应用和本地录制服务器）通过客户授权密钥进行解密。

数据可用性

• 海量数据中心：网易云信在全球各个区域设有多个数据中心，即使某个数据中心遭受攻击，也不会影响其他数据中心的正常运作，保障整体服务稳定性。

• 故障自愈：如果数据中心遭受拒绝服务（DoS）等难以防范的恶意攻击导致服务故障，网易云信会及时自动隔离受影响的机器，确保其他服务不受影响。

• DDoS 攻击防范：网易云信在每个核心数据中心都配置了反 DDoS 防火墙，具备足够的能力和资源来应对 DDoS 攻击的风险。

数据储存

网易云信为客户提供 本地录制、本地服务端录制 SDK 和 云端录制 产品，客户可对通话内容进行部分或全部录制。在使用本地服务端录制服务时，所有录像或录音将保存在客户提供的存储服务器上。

安全运营

网易云信不仅对自己的员工赋予责权，对客户也有相应要求。

职责分担

客户在对网易云信 WE-CAN 进行评估时，有必要了解和区分以下安全措施：

• 网易云信实施和运作的安全措施。
• 客户在使用网易云信 WE-CAN 服务时，为保障通话内容信息和程序安全而实施和运作的安全措施。

客户可自主选择安全措施，以保障自己的信息、平台、程序、系统和网络安全。网易云信客户收集的客户或终端用户的数据信息，如程序登录信息、身份识别、密码、支付信息、姓名和地址等，都由客户自行保管。

同时，网易云信建议开发者和客户在涉及用户个人信息调取时，务必在明显位置添加提示，并设置开启和关闭按钮，由用户决定是否允许调取个人信息。

组织机构

网易云信设立了数据责任部门，并指定了数据安全负责人，与集团技术保障部安全中心（以下简称 安全中心）承接，处理日常数据安全工作，保障数据安全组织运作、沟通协调的有效性。

• 安全中心 具有发生数据安全事件追责、配合数据安全内外部监督审计等责任能力。
• 所有其他员工都必须遵守 安全中心 制订的流程制度，根据各自的工作权限确保安全保密性。一旦发现有安全违规行为，要求立即向管理层汇报。

流程制度

网易云信制定了相应数据生存周期关键控制节点授权审批流程，合理保证相关流程制度的制定、发布、修订的规范性、实施的一致性和有效性。

员工培训

• 凡是能接触数据相关工作人员，了解与其工作相关的数据相关过程中的业务特性与安全风险，并且每年至少参加一次数据安全相关培训。
• 关键数据岗位员工必须经过一定的数据安全能力培训。
• 所有授权员工（即有权访问运营机器的员工）将额外接受相应的培训。

员工违规

员工需遵守保密协议及内部安全制度。如果出现违反情况，会视情况严重程度采取相应的违规处理措施，包括但不限于谈话、加强培训教育、降薪降职、解除劳动协议以及追究其他法律责任等。

系统安全

客户端安全

• 私有协议：客户端 SDK 和服务器集群的通讯信令流采用自研的二进制协议，而非开源 XMPP 等协议，不易被破解。
• SDK 合法鉴权：客户端 SDK 身份凭证 Token 唯一性，SDK 必须从后台服务端获取合法的 Token 才能与网易云信服务器建立信令通道长链接，用户可控制某个账号是否可用，后台冻结某个用户账号等操作。
• SDK 混淆：客户端 SDK 代码混淆防止反编译。
• Web 端 SDK 安全：在 Web 端的安全则通过标准的 HTTPS 来完成，每套系统有独立的 SSL 证书。
• 客户端本地数据存储加密，防止本地数据泄露。
• 敏感词自动过滤。

传输链路安全

• 加密方式：二进制私有安全通讯协议，通讯链路加密，防窃听与重放。文件传输加密。

• 加密过程：网易云信使用了多种加密方式，保障数据传输过程的安全可靠。每套系统具有唯一的 RSA 秘钥对，RSA 加密算法是一种典型的非对称加密算法。客户端与云端服务器在公网上传输的数据，网易云信通过加密算法加密了数据通道。

  会话过程的加密：

  1. 会话开始时，会使用该秘钥对协商和加密产生一个秘钥。
  2. 会话进行中，所有的数据流都通过一个一次性秘钥来进行流式加密，有效防止中间人攻击、流量重放等攻击。

  连接管理的加密：

  1. 连接建立后，必须完成有效的鉴权验证，否则长连接服务器会主动断开该连接，避免出现连接被恶意占用，造成资源耗尽等情况。
  2. 会话过程中，这个秘钥是可用的，一但连接关闭后，秘钥就会失效。这就避免了用户在公网中传递数据，由于密钥的一次性，即使被抓包，也基本不可解其数据。
  3. 连接管理中，加密是一个比较复杂的流式加密体系。用户端连接后，第一步是要去请求一个一次性的秘钥，用来加密单个会话。

服务端存储安全

• 数据存储加密：用户账号的秘钥在云端服务器中是加盐（Salt）存储的，存在系统中的消息则是使用网易云信私有的序列化规则编码，即使出现数据拖库也能保证数据安全，数据密文存储。
• API 接口安全：服务端 API 接口支持 HTTPS 协议，确保服务端数据传输安全，部分服务端 API 仅配置内网访问权限，无需暴露给外网用户访问，如日志查询平台接口仅需提供内网访问权限。

管理后台安全

• 支持通话话单审计，如通话记录查询、通话时长查询等。
• 聊天记录审计，敏感词过滤，全量消息记录保存。
• 支持客户端账号登录登出记录审计。
• 运维管理监测安全。
• 客户端敏感词反垃圾库配置。

安全性特殊设计

本节内容适用于对信息安全要求较严格的业务，例如金融、医疗、军事等相关业务。在这些高安全要求的业务场景下，除了基本的实时音视频通话功能外，还需要考虑数据加密、身份认证、权限管理等方面的功能。如果您有相关需求，请 提交工单 联系网易云信技术支持工程师。

国密算法加密

国密算法，全称为国家密码管理局商用密码算法，是指由中国国家密码管理局认定的一系列密码学算法。国密算法主要用于保护电子数据的机密性、完整性和真实性，确保信息安全。国密算法广泛应用于金融、政府、军队、电信、电子商务等领域，是保障国家信息安全的重要技术手段。

网易云信支持使用国密算法对报文进行加解密，方式具体如下：

• 加密方式：使用系统生成的随机数做为加密因子，采用 SM4 对报文进行加密。再使用 SM2 的公钥对随机数进行加密，对报文采用 SM3 算法计算报文摘要。
• 解密方式：服务端接收到请求报文后，首先对摘要进行验证，再使用私钥对随机数密文进行解密，取得随机数后再使用 SM4 对报文进行解密。

金融专用加密

金融专用版 SDK 支持 AES256 和国密视频加密技术，确保音视频数据安全传输。

• 信令通道支持非对称加密 RSA/SM2、对称加密 RC4/AES/SM4。
• 视频通道支持多种加密算法，包括 aes-128-xts、aes-256-xts、aes-256-cbc、aes-256-ctr（即 Secure Real-time Transport Protocol，SRTP 加密），并具备随时拓展国密算法支持。

录像存储安全

在安全性特殊设计业务场景中，音视频录像引擎和即时通讯引擎支持采用本地化部署。录像文档和对话消息全部留存在指定的服务器存储空间，访问权限可控，确保数据不泄密。

信令数据安全

信令通道支持 HTTPS/SSL 协议，配备 SDK 连接鉴权机制，以确保信令通道的安全性。

客户端安全

• 客户端 SDK 和服务器集群的通讯协议采用自研的二进制协议，而非开源 XMPP 等协议，不易被破解。

• 客户端 SDK 和服务器集群的通讯媒体流也采用网易自研的 NRTC 音视频私有算法，而非传统的 SIP 和 H.323 标准协议，也不易被破解。

客户端 SDK 身份凭证 Token 唯一性，SDK 必须从后台服务端获取合法的 Token 才能与网易云信服务器建立信令通道长链接。用户可控制某个账号是否可用，后台冻结某个用户账号等操作。客户端 SDK 代码混淆防止代码反编译。

服务端安全

服务端 API 接口支持 HTTPS 链接协议，确保服务端数据传输安全，接口调用可启用仅授权的 IP 来访问，确保服务端数据访问安全。

业务风控安全

支持添加实时 水印 时间戳，支持远程实时截图拍照功能，支持视频通话过程全程双录，支持手机屏幕录制功能，支持实时监控，支持录像归档和事后质检。支持语音和视频数据实时回调，可对接人工智能平台便于语音智能质检和智能图像质检。

网络安全

如果是私有云平台，建议您加固自有的网络防护策略和网络防护体系，如 F5 防火墙、WAF 防火墙、DDoS 防护等。

数据传输安全

在 IM 业务的长连接服务器上，网易云信使用了多种加密方式来保障数据传输过程的安全可靠。

• 每套系统具有唯一的 RSA 秘钥对，在每个会话开始时会使用该秘钥对协商和加密产生一个秘钥，会话中所有的数据流都通过这个秘钥来做流式加密，可以有效防止中间人攻击、流量重放等攻击。

• 每次连接在完成建立之后必须完成有效的鉴权验证，否则长连接服务器会主动断开该连接，避免出现恶意连接占用，造成资源耗尽等情况。在 Web 端和 API 业务上的安全则通过标准的 HTTPS 来完成，每套系统有独立的 SSL 证书。

数据存储安全

在网易云信系统中，所有业务数据库支持在客户自己可以控制的环境中部署的，用户账号的秘钥在系统中是加密存储的。存在系统中的消息则是使用网易云信私有的序列化规则编码，即使出现拖库（如 SQL 注入、利用系统漏洞等）也能保证数据安全。

• 对存储数据的设备及基础设施重点进行了安全防护，包括落实数据存储设备的操作终端安全管控措施及接入鉴权机制。

• 设定访问控制策略，定期进行安全风险评估，配置安全基线，部署必要的安全存储技术手段等。

• 针对不同安全等级的数据采取差异化安全存储措施，包括差异化脱敏存储、加密存储，并妥善保密加密算法和脱敏方法。

• 建立完备的数据存储容灾备份和恢复机制，提供完整性校验机制，确保数据的可用性和完整性。

• 加强数据备份介质的管理，对各类介质进行控制和保护。根据所承载的数据和软件的重要程度对介质进行分类和标识，并由专人管理存储环境。

漏洞反馈

如果您发现网易云信的技术平台有潜在安全漏洞，请 提交工单 联系网易云信技术支持工程师。网易云信的安全专家会在第一时间处理并反馈，非常感谢。

为便于验证和定位漏洞，网易云信希望您的工单中包含但不限于以下内容：

• 组织或个人联系方式
• 受影响的产品或方案及其版本
• 潜在漏洞描述
• 技术细节（例如系统配置、定位方法、问题重现的步骤等）