移动应用安全服务

一、安全咨（zī）询服务（wù）

1. 业务安全咨（zī）询

针对业务的安全咨询从移动业（yè）务所属行业出发，针对未（wèi）来业务中可能（néng）存在的安全风险（xiǎn）给予分析，并提出安全（quán）性的需求，帮助客（kè）户在后（hòu）续的设计、开发（fā）、发布（bù）及运（yùn）维（wéi）环节中纳（nà）入相关应对手（shǒu）段。业务（wù）安（ān）全咨询除了（le）考虑到当前应用的（de）安全性需求，也会（huì）针对（duì）应用未来可能发展趋势及新功能的给予考（kǎo）量，提升业务安全体系设计的可扩展（zhǎn）性。

2. 设计安全（quán）咨询（xún）

针对（duì）在（zài）应用设计（jì）环节中需要考虑的安全机制及安全模块，给出整体设（shè）计咨（zī）询及落地方案，保证应用（yòng）在设计层面不存在明显（xiǎn）安全缺陷（xiàn），并保证安全设计方案的可扩（kuò）展性，可维（wéi）护性及（jí）健壮性。安全设计咨询会从通用安全、行业（yè）相（xiàng）关安全及抗攻击方面入手，提供从设计方案到算法的全套咨询。

3. 开发安全咨询

应用安全开（kāi）发咨询主要针对编码（mǎ）及测（cè）试环节，给出一整（zhěng）套（tào）有效的安全（quán）控制方（fāng）法（fǎ）及编码规范，保证了（le）前期（qī）的业（yè）务安全设（shè）计，应用安全设计都能得到正确体现，尽量规（guī）避开发人员引入新的安全问（wèn）题（tí）。同时，安全开发（fā）规范也（yě）会对开发过程（chéng）中的代码质量控制提出咨（zī）询（xún）建议，从（cóng）流程入手解决安（ān）全问题。

二（èr）、安全评估（gū）服务

1. 应（yīng）用（yòng）渗透性测试

通过模拟攻击的方式，借助于人工和自动化工具，找出应用中存（cún）在的安全漏洞及缺（quē）陷，帮（bāng）助（zhù）客（kè）户修复并提（tí）升应用的安全水平，避免（miǎn）在后续（xù）运维、审计及监（jiān）管中存在的（de）风险（xiǎn）。

2. 应用合（hé）规性（xìng）测试

依据（jù）行业（yè）安全技术要求及（jí）监管要求，通过人工分析测（cè）试的（de）方法，对应用（yòng）的合规（guī）性（xìng）做测试，确保（bǎo）应用符合相关行（háng）业（yè）要求，避免后续安全审计及（jí）监管风险。

三、安全管理服务（wù）

1. 漏（lòu）洞监（jiān）测（cè）网络

利用全自动的爬（pá）虫网络及部分人（rén）工（gōng）采集，实时获取全球超过（guò）200个漏洞平台及安全论坛的应（yīng）用漏洞信息（xī），从中自（zì）动识别与目标应用相关信息，第一时间获取应用（yòng）可能存在的漏洞或（huò）者已经被披露漏洞。针对目标应用的已知（zhī）漏洞或潜在风险，给出快速响应方（fāng）案及（jí）进一步（bù）的完整（zhěng）解决方案，让漏洞（dòng）造成严重危害（hài）和影（yǐng）响前得到妥善处置（zhì）。

2. 渠道应用监测

渠（qú）道应用监测系统通（tōng）过（guò）对国内超过400多（duō）个应用分（fèn）发、下载（zǎi）渠道进（jìn）行实时监测，实时掌握应用在各渠道上的新（xīn）版（bǎn）本上线情况、历史版本留存情况、钓鱼及盗版（bǎn）情况，包括App在所有渠道上（shàng）的发（fā）布（bù）时间、发布人（rén）、版本、下载量、正版盗版鉴别、盗版内容描述、下载来源等内容，为提供实时风险预警服务，帮助了解App在渠道的发布轨迹，及时规避各类潜在风险。

四、应急响应服务

1. 漏洞事件应急服务

负（fù）责定时（shí）收集国（guó）内200余家（jiā）漏洞平台的漏（lòu）洞信（xìn）息，一旦发现有（yǒu）甲方公（gōng）司相（xiàng）关的内（nèi）容，第一时间进行预警，并启（qǐ）动相应预案。

2. 漏洞事件应急服务

在（zài）发（fā）现甲（jiǎ）方公司相关漏（lòu）洞之后，立即通报甲方知悉，同时组织相关技术专家（jiā）对漏洞的应急修复和（hé）常规修复进行规划和处理。处理完成（chéng）之后协助甲方进行更新，防止漏洞事件进一（yī）步扩大（dà）。

3. 应急咨询

提供（gòng）对今后业务规划（huá）和安全规划针对出现漏洞部分的咨询（xún）意见，避免下（xià）一（yī）次在同（tóng）样的问题上（shàng）重复犯不同的（de）错误。

五、安全（quán）教育服务

培（péi）养安（ān）全意识（shí），了解行业态（tài）势（shì），获（huò）取安全能力，体验攻（gōng）击（jī）渗透。主要内容为：

《移动应用安全（quán）威胁及（jí）风险》

《移动应（yīng）用（yòng）安全技（jì）术及发展趋势》

《移动应用（yòng）安全（quán）设计》

《移动（dòng）应用攻（gōng）击及防御》

《移（yí）动攻防演练》

《移（yí）动业（yè）务体系设计规划》