构建可信的终端 OS

SNUG China 2023 2023 30 页

构建可信的终端 OS

会议: SNUG China 2023 作者: Andrew Wang, OPPO 移动安全总经理页数: 30

1. 泛在连接的智慧生态

- 5G 智能终端飞速普及 - 移动互联网流量迅速增长（2025年超过 250EB） - 移动终端在工作、学习、生活和娱乐中使用越来越多 - 移动互联网体验越来越丰富（多媒体、汽车钥匙、车机互联、虚拟形象）

2. 安全和隐私是关键的挑战

- 部分 APP 行为潜在侵害消费者利益 - 消费者对于隐私和安全诉求日益高涨 - 各国监管机构严格要求：加州 IoT 安全法案、欧盟网络韧性法案、GDPR、RED 指令 - 移动互联网是媒体聚焦热点 - 数智时代"数"的风险愈发复杂（5V特性：Volume/Velocity/Variability/Variety/Veracity） - AI 带来额外的安全隐私担忧

3. 移动智能终端行业安全体系与流程建设

OPPO 数字化可信框架（4层）： 1. 安全现代的客户业务和产品（身份→应用和数据→基础架构→整机/OS/芯片） 2. 构建关键安全防御能力 3. 保护业务安全 4. 隐私、合规、透明

安全开发生命周期 (SDLC)：培训→需求→设计→实施→测试→发布→响应

端到端数字化可信： - 研发可信：SDL、来源可信、可信技术方案 - 交付可信：安全特性、透明、可控 - 运营可信：国际认证、威胁和风险应对 - 可信生态：上下游协作、安全标准、安全文化

4. 安全与合规能力提升与应用

- 以外部诉求定义合规需求和安全隐私要求 - 以 BSIMM 评估驱动企业安全合规体系建设 - 开源合规是合规遵从的基础要求 - 企业安全与合规体系建设三维度：人(安全意识、安全工程团队) + 流程(安全流程和工具) + 技术(安全自动化)

Synopsys 帮助 OPPO 构建闭环软件安全解决方案：覆盖 Plan → Code → Build → Test → Deploy → Release → Operate and Monitor 全流程，包括 SAST、SCA、IAST、DAST、IDE Plugin、Threat Model、Pen Test、Fuzzing、BSIMM Assessment 等

图片索引

共 110 张图片。PPT 型论文，原文为双语（中英文），实际翻译工作较少。