安全白皮书

Agora 服务介绍

Agora 作为领先的音视频服务提供商，致力于提供易用且可靠的实时音视频方案以及配套的推流、录制、RTM 等服务。

Agora 基于互联网基础设施，专为音视频传输和互动设计了专门的传输网络，即软件定义实时网（Software Defined Real-time Network，SD-RTN™）。相比于传统电信专用网，用户只能通过专用设备接入音视频通信（如手机终端设备），建立在 SD-RTN™ 之上的 Agora SDK 服务使得所有的互联网应用能够简单、快捷地实现实时音视频通信（Real Time Communication，RTC）。客户可以通过在其系统中嵌入 Agora SDK，以 API 的形式接入 RTC 服务。

Agora 向客户提供了适配于主流操作平台的 Native SDK，主要包括 Android、iOS、Windows、macOS、Web 和微信小程序等，以满足客户在不用业务场景的音视频接入需求。SD-RTN™ 作为全球唯一一个专门针对实时传输设计的基础设施，依托全球部署的近 200 个数据中心，可向全球各地提供可靠低延时的音视频传输服务。Agora 将覆盖全球的音视频服务划分为多个服务片区，包括：中国、北美、欧洲。

为满足互联网和移动互联网日益快速的发展趋势，以及网络用户的随时随地的视频接入和传输需求。Agora 提出了易用性、高质量、可扩展和安全性的服务理念 。

• 易用性：产品设计必须便于理解和使用，功能直接关联客户需求，开发成本低、周期短。
• 高质量：产品须对存储和磁盘等资源占用率低，可在低配设备和弱网环境中提供可靠的通信。
• 可扩展：产品须有高度的灵活性，支持不同的平台和编程语言，适用于不同的场景和行业。
• 安全性：以数据安全为核心，重视用个人数据保护与合规要求。

Agora 信息安全理念

安全原则

近年来，随着移动互联网的视频服务兴起，以及企业远程办公需求的不断提高，各类在线视频服务发展迅猛。但伴随着行业规模不管扩张，用户生活和工作的各个细分场景的服务渗透，在线音视频服务所带来的安全和隐私问题也引起的广泛的关注。

为应对日益严峻的网络安全态势，以及逐渐趋紧的监管要求。Agora 坚持以数据安全作为服务的核心，并将数据安全理念融入安全体系建设过程中。

合规支持

合规作为 Agora 运营的底线要求，一直受到管理层的高度重视。Agora 在保证自身业务合规的同时，也为使用 Agora 服务的客户提供合规支持。目前 Agora 已通过 ISO/IEC 27001: 2013、ISO/IEC 27017: 2015，以及 ISO/IEC 27018: 2019 认证。Agora 持续关注全球各区域的合规政策动向，并积极完善自身合规体系建设，增加并更新合规认证。

• ISO/IEC 27001: 2013 信息安全管理体系是国际上针对信息安全领域最为广泛接受和认可的标准。根据该标准要求建设信息安全体系并通过认证，意味着企业建立了一套完整有效的信息安全管理体系，遵循“策划-实施-检查-改进”管理循环，持续建设信息安全，不断提升安全水位。

• ISO/IEC 27017: 2015 云计算服务信息安全实用规则为云计算的信息安全建设提供了指引。该标准推荐了专门针对云计算的信息安全指导方针，从而对 ISO 27002 和 ISO 27001 标准的要求做出补充。通过该标准认证，意味着企业在信息安全体系的基础上，实施了针对云计算安全控制措施。

• ISO/IEC 27018: 2019 公有云中 PII 处理者 PII 保护实用规则基于 ISO/IEC 27002，提供了一套适用于公有云的个人身份信息（PII）的保护指引。通过该标准认证，说明 企业基于行业最佳实践，建立了基于云环境的个人数据保护体系。

服务介绍

产品介绍

Agora 提供多款产品，覆盖各类视频和通话场景，以满足不同客户的实时音视频传输业务需求。

语音通话/音频互动直播
Agora 为开发者快速搭建高覆盖、低延时、高品质的语音通话和语音互动直播等语音互动场景提供服务。根据应用场景提供伴奏混音、播放音效文件、变声与混响、声音美化、音质调节、听音辨位等丰富的音频增强功能，以及录制、推流、内容审核等专业的配套服务。

视频通话/视频互动直播
视频通话/视频互动直播产品主要致力于帮用户高画质、低延时的视频通话和视频互动直播等视频互动场景，同时可根据应用场景向客户提供丰富的（如美颜，超分等）增强功能、内容审核，以及外部视频源导入等专业的配套服务。

云录制/本地服务端录制
Agora实时录制提供两种形式的录制服务：云端录制（Cloud Recording）、本地服务端录制（On-Premise Recording）。

• 云端录制：客户无需单独部署、运维录制服务，可通过 Restful API 发起录制任务请求，由Agora 进行音视频录制并上传至客户指定的存储平台。
• 本地服务端录制：客户通过集成声网录制 SDK 并部署录制服务，此类形式适用于对音视频数据的传输及存储形式有严格要求的场景或行业。

实时码流加速
实时码流加速服务充分利用 Agora SD-RTN™，运用全球全网节点和智能动态路由算法，提供高连通性、高实时性、高稳定性的码流传输云服务，减少延时、丢包等网络问题对传输质量的影响。

H5 实时直播
H5实时直播为移动端浏览器和内嵌网页的移动端应用提供实时直播组件服务。通过该服务，用户可在社交 app 内（如微信群、微信公众号、钉钉）通过分享的链接直接观看实时视频，扩大目标受众范围。

推流
推流是 Agora 基于 RTC 场景提供的流媒体协议转换服务，通过协议转换，支持将媒体流在 CDN 和 SD-RTN™ 之间进行推送。

云信令（原实时消息）
云信令（Real-time Messaging，RTM）SDK 提供了稳定可靠、低延时、高并发的全球消息与信令云服务。支持收发点对点与频道消息，满足多种不同消息格式，并提供事件通知、频道人数等频道管理功能以及呼叫邀请、频道属性、历史消息等高级功能。

安全功能

Agora 产品在设计和构建过程中，根据音视频传输领域常见的攻击类型和安全需求，集成了多重防护措施，可满足客户及终端用户的数据安全需求。

资源隔离
客户可以通过在控制台（Console）建立项目的方式，对终端用户通话频道进行管理。客户新建项目后，Agora 会自动为该项目分配可用于唯一识别的 App ID，客户对项目的调用可通过对 App ID 进行调用来完成。不同 app 在调用过程中彼此独立。

频道隔离
Agora 为每一路音视频或消息传输建立单独且逻辑隔离的通道，即频道。只有在同一频道内的用户才可进行会话操作。频道在通话开始时建立，通话结束（最后一个用户离开）后消失。

在 App ID 一致的前提下，用户可在同一频道内（频道名相同）进行会话。通过该机制，Agora 在频道层面实现了传输隔离，进而在传输链路复用的 SD-RTN™ 上实现了会话隔离。

身份认证
针对调用时的身份认证，目前 Agora 提供了基于 App ID 和 App ID + App 证书 + Token两种认证方式。在采用 App ID + App 证书 + Token 认证方式后，客户可通过 App ID 和 App 证书生成即时 Token，并使用该 Token 完成身份验证，进而对项目下的频道进行管理。为提高产品的安全性，Token 采用业界标准化的 HMAC-SHA256 加密方案，可对 App ID 和频道名称等重要信息进行加密处理。Token 有效时长可由客户自定义，但最长不超过 24 小时。

加密

• 内容加密：客户可通过 Native SDK 内置的加密功能对音视频内容进行加密。该加密功能可对所有传输的音视频流进行端到端的加密，用户可自行配置 Native SDK 所使用的对称加密算法（目前支持AES 128/256）。音视频数据在发送端完成加密，在接收端完成解密，数据以密文形式进行网络传输。客户自行对密钥进行管理，包括密钥的生成、存储、传输和校验等。除 WebRTC 服务中，Agora 需要在服务端进行数据解密和协议转换外，其余场景下，Agora 不接触密钥，也无法对密文数据进行解密。针对 WebRTC 服务，Agora 已实施安全的密钥传输和使用机制，保护客户密钥不被泄露。

• 传输加密：为保证音视频数据在传输过程中的保密性，Agora 各产品和服务均实施了覆盖全数据链路的传输加密机制，并采用业内主流的强加密算法。

Agora 安全体系

Agora 参考行业最佳安全体系建设实践，并结合业务需求和公司现状，搭建了以数据安全为核心的信息安全管理体系。Agora 安全体系涵盖了安全组织、安全设计与开发、安全运营和人员安全四个方面。

• 安全组织：作为安全体系的基础，Agora 建立安全组织以支持信息安全策略在公司内部有效实施与运作。
• 安全设计与开发：Agora 通过将安全要求嵌入在安全开发生命周期、架构、存储以及网络层面的设计与构建流程中，确保在系统功能层面实现产品的安全性和可用性。
• 安全运营：为向客户提供安全的音视频传输服务，Agora 在公司内部建立了全面的信息安全管理流程。
• 人员安全：Agora 通过覆盖入职、在职和离职阶段的人员管控要求，提升员工安全意识和相关专业能力。

安全组织

Agora 已基于信息安全体系建立了完善的信息安全组织架构。其中，公司最高管理层作为决策机构，对安全和隐私战略进行总体管控。由信息安全、法务、产品和管理层组成的工作小组协同一致，制定和执行信息安全和隐私保护策略。同时，Agora 在全公司范围内建立了信息安全责任考核与联络人机制，将信息安全责任和要求拆解至各职能部门，以便信息安全和隐私保护策略可以在公司范围内得到有效执行。

安全设计与开发

安全开发生命周期

Agora 在原有的软件开发生命周期流程中，嵌入了安全和隐私建设要求，覆盖需求评审、方案设计、安全开发和测试，以及发布部署等各阶段，同时，信息安全及隐私专业人员会在整个开发生命周期中跟踪参与并审查。

需求评审
如果变更需求涉及高密级数据（包括个人数据）和典型风险场景，项目管理团队会引入信息安全和隐私保护专业人员在变更需求阶段进行共同评审，从密码安全、认证、加密解密、服务与端口安全、文件上传、配置安全等方面收集并考虑需要满足的安全需求，以保证系统变更在需求评审阶段合理的满足公司信息安全要求，确保数据输入及输出的安全性、机密性及完整性。

方案设计
资深技术人员根据公司总体架构设计要求和业务特点，充分考虑与安全需求相匹配的安全管理和技术手段，选用行业广泛采用的解决方案进行技术设计，由信息安全及隐私保护专业人员进行审核，确保安全功能纳入设计方案。

在方案设计中充分考虑并满足客户（用户）进行应用开发、信息交换和使用、保密性保障相关的 API，以及信息处理的互操作性和可移植性的需求

安全开发
Agora 已针对不同开发语言和系统组件，设置了安全开发规范，并对系统的开发、测试环境与生产环境进行了隔离，严格落实访问控制及生产数据安全要求。公司所有研发团队及人员均需参与并通过公司安全开发培训，掌握安全开发方法及代码使用规范，且所有代码均须经过交叉审阅和技术负责人审阅。

安全测试
所有变更在发版或部署前均须针对其风险、可用性及技术复杂性建立安全测试模型，对测试范围、方法、计划和范围进行确定，根据公司安全测试要求对测试活动进行隔离，对测试数据进行脱敏。安全测试包括但不限于自动扫描、静态代码分析和代码评审等，经过自动化的代码扫描或分析后，其结果须进行评估并进行修复，由信息安全团队进行评审确认后，方可提交发版或部署。
此外，大型项目和重要变更在正式上线或发布前，信息安全团队会组织渗透测试，以确保系统的安全需求及设计得到实现。

架构

Agora 通过服务器或机房租赁的方式，在全球范围内部署了近 200 个分布式数据中心，并通过 SD-RTN™ 将所有的资源连接在一起，构建了覆盖全球的低延时和高冗余的音视频传输网。

为实现传输链路资源的有效利用和数据隔离，SD-RTN™ 在架构设计上将用户鉴权和音视频传输服务进行了解耦。接入点用于用户身份验证，用户身份信息仅在该层传输，而媒体传输层仅用于音视频信息传输。为保证整体架构的安全稳定，SD-RTN™ 设置了安全管理、容量管理、QoE（体验质量）和控制平台等服务。另外，实时消息（RTM）的传输独立于音视频传输服务之外，采用单独的链路传输。

接入层
由接入点，即 Point of Presence，组成。向用户提供最佳的音视频传输边缘接入服务器（media server）地址。由接入点服务器之间相互连接，组成了全网状的连接方式，对 SD-RTN™ 网络状况进行同步，以便于用户通过任意一个接入点均可获取最佳的音视频传输接入服务器连接方式。另外，在每个接入口建立身份认证功能，用户可以使用通过动态密钥的方式进行认证。Agora 通过上述方式，不仅平衡了全链路的负载，向客户提供优化的接入方式，实现故障网络的隔离与资源的弹性扩充，还实现了对于数据的安全访问控制及监控。

媒体传输
媒体传输主要由边缘接入服务器（media server）和各类传输节点组成，主要提供音视频的传输服务。为降低延迟和音视频内容丢失，Agora 会使用三个路径同时对数据包进行传输，并将最先到达目标节点的数据包发送至接收终端用户。为提高网络利用率及可用性，所有接入 SD-RTN™ 网络的用户均共享优质音视频传输通道，并通过端到端的加密方式对频道进行隔离，实现终端用户音视频数据的安全传输需求。

安全管理
提供 Token 验证以及用户鉴权的服务。

容量管理
Agora 制定容量监控策略，通过定义容量监控范围、监测点、监测方法和阈值等内容，建立容量监控预警机制。通过采用自动化的工具对 SD-RTN™ 传输容量进行监控，并在预留足够的冗余资源的情况下，根据资源消耗情况及时做出响应，采取相应的扩容操作。
同时，公司定期对容量用度及容量计划进行回顾及审阅，及时更新容量规划，满足服务的高可用性需求。

QoE
QoE，即 Quality of Experience，以数据驱动为导向，为客户提供丰富的用户使用情况和以及计量计费监控指标，客户可以通过 API/水晶球实时监控和分析频道的语音通话质量，及时发现异常情况，识别异常类型，分析异常影响因素，定位异常源或问题点，协助客户制定解决方案，大幅提升客户的运营管理效率。

控制层
控制层，即 Control plane，根据 SD-RTN™ 的整体状态，对内部交换路径和边界路由进行规划，集中管理及控制数据流更好进行检测，同时负责网络事件。控制层对 SD-RTN™ 的数据传输的集中控制，可以实现最优的传输路径。

信令传输
信令传输服务专为实时消息和信令提供传输服务，并与音视频数据进行隔离传输。

基础设施
SD-RTN™ 的基础设施。是由遍布全球的两百多个分布式数据中心搭建而成，具有充足的冗余备份能力，Agora 要求所有运营机器设备托管于满足 ISO27001 或以上信息安全管理体系认证的数据中心，且该数据中心需按照 Agora 托管协议或数据保护协议（DPA）的规定保护信息安全。此外，Agora 还购买基础设施云服务以增加 SD-RTN 的容量弹性，为客户提供高可用性服务水平及信息安全保障奠定了坚实的基础。

存储

Agora 主要提供在线的实时服务，不会主动对客户数据进行存储。

在实时消息和实时录制的服务提供过程中，Agora 会基于服务需求，对客户数据进行存储。

• 实时消息服务会根据客户需求对在线消息进行存储，存储范围仅限于历史消息、离线消息和富媒体文件（如有），公司可根据客户需求对上述数据进行加密存储。
• 实时录制服务会根据客户需求，将在线视频存储至指定的对象存储服务中，Agora 不会对数据副本进行保留。如果客户制定的存储服务异常，或事先约定由 Agora 保管留置的视频，Agora 会采用主流云厂商的对象存储服务对视频数据进行加密存储，并对存储文件进行特殊标记，以确保数据访问安全与客户间的数据隔离。
• 为满足客户的安全与合规需求，Agora 可根据特定需求，指定数据存储的物理范围和存储时长。

网络

Agora 将 AP 服务器和支撑业务运行的核心服务器部署在 AWS 和阿里云上，利用云服务提供网络安全组、防火墙，以及 DDoS 防护等建立符合 Agora 业务场景的网络安全防御策略， 在网络关键节点处检测和限制从外部发起的 DDOS、网络攻击、数据爬取以及未知新型攻击等异常行为，有效应对外部网络威胁。另外，通过网络安全监控机制，建立告警阈值，对通信链路、设备性能、运行状态等进行监控，一旦发现不寻常或未经授权的活动及时报警，并快速通知操作和管理人员。

Agora 还为网络建立了安全配置基线，覆盖包括账号口令、端口服务、安全加密、策略权限、协议安全、日志审计等方面，全面实现网络设备加固。并配合严格的网络访问控制机制，对承载不同安全等级数据的网络进行划分或隔离，从而限制未经授权的访问，努力保障 Agora 网络服务环境的安全。对于承载音视频流传输的 Media Server，公司利用全球部署的资源池调度能力，对受到网络攻击或可用性较低的资源进行隔离，并快速调配资源，将受到影响的流程进行快速迁移至安全有效的服务区域，保证网络的连通性、可达性，以及网内业务流向分布的均衡性。

为满足客户的安全与合规需求，Agora 可将网络服务限定在特定的服务区域。

安全运营

安全风险管理

Agora 拥有专业的信息安全团队负责信息安全及风险管理工作，特别在在系统入侵防御和漏洞管理、安全事件管理，风险评估等方面建立了较为完善的管理流程与机制。

• 系统入侵防御：Agora 根据自身业务特点，对不同系统的安全级别进行了划分，并采用纵深防御的策略以应对外部威胁。针对安全级别要求较高的核心系统，Agora 将其部署至云服务或自行搭建的 IDC 安全域内，并分别在网络和服务器层面部署了安全防御或入侵检测机制。对于仅用于支持音视频传输的媒体域，Agora 在服务器层面部署了入侵检测机制。一旦检测到异常活动或流量，立刻告警操作及管理人员对其进行追踪、分析与处置。

• 漏洞管理：针对系统漏洞，Agora 建立了统一的漏洞收集、监控、上报和修复机制。除定期进行漏洞扫描外，Agora 还会聘请专业团队定期进行渗透性测试。信息安全团队会对检测或上报的漏洞进行分析，根据漏洞的影响程度及危害程度进行风险定级，建立漏洞全生命周期的跟踪处置机制，明确定义各个漏洞的相关负责人，修复方案，修复时间等，并由信息安全团队对修复结果进行审核。

• 安全事件管理：Agora 已建立安全事件管理流程，包括对安全事态的监测、事件的报告、事件的分类分级、跟进处置，以及复盘与回顾等。另外，公司还建立了面向客户的信息安全事态报告机制，无论是公司发生信息安全事件，还是客户自身发生信息安全事件，均可以通过报告机制进行报告，Agora 会通过客户支持团队与客户保持紧密联系，并建议或协助客户采取相应的防控措施缓解事件带来的影响程度。

• 风险评估：Agora 会根据信息安全管理体系要求，建立了信息安全风管管理流程，从风险识别、风险分析与评价、风险处置计划与实施以及风险评估持续改进各阶段对风险进行管理。期间，定期对公司核心资产进行梳理，识别相关服务地区的法律法规要求，整理同行业相关企业发生的安全事件和发现的安全威胁，结合 Agora 自身业务情况，进行信息安全风险评估，并指定专人对评估中发现的风险进行跟进处置，信息安全团队会对处置结果进行审核。风险评估和处置结果会上报至公司最高管理层。

运维管理

Agora 拥有专责的运维团队，负责对 Agora 提供的各项服务进行统一的运维管理。

• 监控：统一搭建的监控工具，赋能各团队对应用、中间件、服务器、数据库和网络设备等系统组件的运行状态和资源水位等指标进行事件监控和自动化告警。同时，Agora 还对核心服务指标进行集中量化展示，通过监控看板的方式对总体服务情况进行监控。另外，由信息安全团队协同运维团队对安全规则和告警等级进行明确，形成安全监控策略。便于对流量、访问等日志进行自动化分析，帮助 Agora 更好地判断是否存在信息安全事件，尽早遏制信息安全事件的发展。

• 基础运维：运维团队负责对生产环境基础架构设施进行统一运维，包括云上的虚拟化资源和部署在 IDC 的硬件资源。Agora 通过运维操作规范，在运维管理工作中，实现包括发布部署、安全基线配置、安全加固、日志管理、恶意程序防范、数据安全和存储介质安全销毁等各方面的信息安全管理要求。

• 服务支持：Agora 向客户提供完善的服务支持，包括专职售后团队和在线工单客服。客户可通过直接和售后人员沟通，或者在线提交工单的方式，向 Agora 反馈安全合规要求、信息安全事态报告或者其他服务需求。服务支持人员仅能查看其负责的客户信息，包括客户联系信息、联络信息和账单信息，并仅在得到客户授权后才会协助客户进行系统操作。

• 权限与审计：Agora 根据信息资产重要性和风险评估结果，在公司内部实施了全面严格的访问控制管理，覆盖了应用系统、网络、服务器和数据库等各个层面，严格遵循访问控制管理五个基本原则：隔离运行、最小权限、按需申请、职责分离以及默认拒绝。Agora 员工都定义了明确的岗位职责，在统一身份认证系统中为员工设置了相应的访问角色，并通过员工角色为员工进行系统授权。公司的第三方服务商或外包人员均需循序 Agora 访问控制管理要求。针对可访问客户信息的特殊权限，员工需要单独提出访问申请，并在获得授权后，方可获得相应权限。Agora 定期组织账号权限审阅工作，确保所有访问权限满足公司业务需要及访问控制原则。
  Agora 建立了统一的日志收集和审计平台，对重要系统的访问与操作日志进行定期审计，尽早发现违规操作行为或异常访问情况，一旦发现及时进行告警通知，并持续跟踪后续处置情况。

• 供应商管理：Agora 的供应商管理是通过供应商对 Agora 对外服务的重要程度和涉及数据保密要求，对供应商实施分类分级管理。涉及数据存储和处理的供应商，均须签署保密协议。Agora 对不同重要等级的供应商采用不同的信息安全管理要求，审核供应商信息安全能力的评审方式主要有准入评审、跟踪评审和年度评审等方式，指在供应商在提供服务时可以持续满足 Agora 的信息安全管理要求及数据安全管理要求。当供应商服务涉及数据处理和存储时，除了基本的信息安全管理能力评审之外，还会要求此类供应商及提供服务的相关人员签署保密协议，在法律层面要求供应商履行其信息安全责任及义务。

人员安全

Agora 已建立了人员安全管理要求及相关安全行为规范，覆盖公司员工、外包人员、供应服务人员，在 Agora 参与工作或提供服务的整个期间，均需满足公司信息安全管理要求，主要通过三个阶段对人员进行管理。

• 入职：Agora 会聘请专业机构对所有入职员工背景调查。还会根据人员岗位要求，同每一个员工签署了不同级别的保密协议。针对涉及重要数据或客户信息的岗位员工，会要求其签署最高级别的保密协议并充分理解其岗位的安全责任。
• 在职：Agora 通过制定员工安全行为规范，约束员工在职期间应严格遵守公司信息安全管理要求，若员工出现违规情况，将对其进行违规惩处。另外，所有在职员工每年均须通过公司信息安全意识培训和考核。
• 离职：离职员工须按照既定离职流程移交或关闭其物理及逻辑访问权限，Agora 将依照该员工签署的保密协议，审核其脱密期的执行情况，并明确告知其在离职后的信息安全保密责任，离职员工在完成工作交接和数据清理后，方可离职。

信息安全责任共担

数据安全作为 Agora 和客户共同的目标，需要 Agora 和客户的密切合作。Agora 作为音视频服务的提供商，会对自身平台和 SDK 的安全进行管控。客户作为服务的接入方，需要对自身应用和系统环境的安全进行管控。

Agora 责任

Agora 负责在基础设置上搭建音视频传输服务，并向客户提供接入服务所需的 API，以及相应的管理和技术支持服务。Agora 责任包括但是不限于：

• 基础设置安全：包括 IDC 机房的物理安全，以及基础设施及云平台的安全设置；
• 访问管理：支持音视频服务的各系统组件的用户认证、权限管理和日志审计等；
• 服务接入：SDK 和 API 的设计、开发和运维等。

客户责任

客户在使用 Agora 服务时，应按照 Agora 服务声明和技术指南等要求进行相应的系统构建和配置。客户作为直接向终端用户提供音视频服务的系统经营者，应保证自身 App、Web 应用，以及网络接入层面的安全性。Agora 可提供必要的产品功能和技术支持，但用户端的安全由客户决定并负责。

服务使用建议

Console 访问管理

客户可通过 Console 对项目（应用）进行管理，并可对资源用量和账单信息进行查看。Agora 已为 Console 设置了账号权限管理功能，客户在使用 Console 时，应实施相应的控制机制，按业务和安全需求，对 Console 账号进行合理的授权。Console 支持对各项操作进行日志记录，客户可根据操作风险，对 Console 操作日志进行监控和审计，以便及时发现日常操作。

系统安全设置

Agora 提供了 Token 身份验证，数据加密和角色设置等安全功能，并在产品说明和技术文档中对相关功能使用或实施方式进行了阐述。客户应对进行充分评估，包括音视频服务应用场景和服务中涉及的数据保密要求，充分利用 Agora 提供的安全功能。

沟通

Agora 鼓励客户积极上报安全事项。客户在使用 Agora 服务的过程中，如果发现安全漏洞或可能导致隐私权益收到侵害的事项，请以任何方式及时联系 Agora。

声明

版权声明

本文档版权归 Agora 单独所有。未经 Agora 事先书面许可，任何主体不得以任何形式复制、修改、抄袭或传播本文档的全部或部分内容。

使用限制

本文档为基于 Agora 当前服务和业务现状编写，仅作为客户使用 Agora 服务及产品的参考指引。Agora 尽最大努力提供相应的介绍和使用建议，但 Agora 不对本文档描述的准确性和完整性作任何形式保证。

客户购买或使用的服务或者产品受到 Agora 商业合同或者服务协议的约束，客户不能依据本文档的描述对 Agora 提出服务要求。