移动应用安全服务

一、安全咨询（xún）服务

1. 业（yè）务安全咨询

针对业务的（de）安全咨询从移动业务所属行业出发，针对未（wèi）来（lái）业务中可能存在的安全（quán）风（fēng）险给予分析，并提出安全性的需（xū）求（qiú），帮助客户在后续的设计、开发（fā）、发布及运维（wéi）环节中纳入相关应对手（shǒu）段。业务安全咨询除（chú）了考（kǎo）虑到（dào）当前（qián）应用的（de）安全性（xìng）需求，也会（huì）针对应（yīng）用（yòng）未来可能发展（zhǎn）趋势及新功能的给予考量，提（tí）升业务安全体系设计（jì）的可扩展性。

2. 设计安全（quán）咨询

针对在应用设（shè）计环节中需要（yào）考虑的（de）安全机制（zhì）及安全模块，给出整体设计咨询及落地方案，保证应用在设（shè）计层（céng）面不存（cún）在（zài）明显安全缺陷，并（bìng）保证安（ān）全设计（jì）方案的可扩展性，可维护性及健壮性。安全设（shè）计（jì）咨询会从通（tōng）用安全、行业相关（guān）安全及抗攻击方面入手，提供从（cóng）设计（jì）方（fāng）案到算法的全套（tào）咨（zī）询。

3. 开发安全咨（zī）询（xún）

应用安全开发咨（zī）询主要针对编码及测试环节，给出（chū）一整套有（yǒu）效（xiào）的安全控制方法（fǎ）及编码规范，保证了前期的业务安（ān）全设计，应用安全设计都（dōu）能得（dé）到正（zhèng）确体现，尽量规（guī）避开发人（rén）员引入（rù）新的安全问题。同时，安全开发规（guī）范也会（huì）对（duì）开（kāi）发过程中的代（dài）码质量（liàng）控制提出咨询建议，从流程（chéng）入手解决安（ān）全（quán）问题。

二（èr）、安全评（píng）估服（fú）务（wù）

1. 应用渗透性测（cè）试

通过模拟攻击（jī）的方式，借助于人工和自动（dòng）化工具，找出应用中存在的安全漏洞及缺陷，帮助客户（hù）修复并提升应用的安全水平，避（bì）免在后续运维、审计及监管中存在的风险。

2. 应用合规性（xìng）测（cè）试

依（yī）据行业安全技术要求（qiú）及监管要求（qiú），通过人工分析测（cè）试的方法，对应用的合规性做测试，确保应（yīng）用符合相（xiàng）关行业要求，避免后续安全审计及监管风险。

三（sān）、安全管理服务

1. 漏洞监测网络

利用（yòng）全自动的爬（pá）虫网络及部分人工采集，实时（shí）获（huò）取全球超过200个漏洞平台及安（ān）全论坛的应用漏洞（dòng）信（xìn）息（xī），从（cóng）中（zhōng）自动识别与（yǔ）目标应用相关信息，第一时间获取应用可能存在的漏洞（dòng）或者已经被披露（lù）漏洞。针对目标应用的（de）已知（zhī）漏（lòu）洞或潜在风险，给出快速响应方案及进一步的完整解决方案，让漏洞造成（chéng）严重危害和（hé）影响前得到妥善处置。

2. 渠道应用监测

渠道应用监测系统通过对国内超过400多个应用分发、下载渠道进行（háng）实（shí）时监测，实时（shí）掌握应用在（zài）各渠（qú）道（dào）上的新版本上线情况、历史版本留（liú）存（cún）情况（kuàng）、钓鱼及盗版情况，包括App在所有渠道上的发布时间、发布人、版本、下载（zǎi）量、正版盗版鉴别、盗版内容描述、下载来源（yuán）等内容，为提供实时风（fēng）险预（yù）警（jǐng）服务，帮助了解App在渠道的（de）发布轨迹，及（jí）时规避各类潜在风险。

四、应急响应服务

1. 漏洞事件应急服务

负责（zé）定时收集国（guó）内200余家漏洞平台（tái）的漏（lòu）洞信息，一旦发现有甲方公司（sī）相关的内容，第一时间进行预警，并启（qǐ）动相应预案。

2. 漏洞事件应急服务

在（zài）发现甲方公司相关漏洞之后，立即通报甲方知悉，同时组织相关（guān）技（jì）术专家对漏洞的应急修复和常规修（xiū）复（fù）进行（háng）规（guī）划和处理。处理完成之后协（xié）助（zhù）甲（jiǎ）方进行更新，防止漏洞事件进一步扩（kuò）大。

3. 应急咨询（xún）

提供对今后（hòu）业（yè）务规（guī）划（huá）和安全规划针对出现漏（lòu）洞部分的咨询意（yì）见，避免下一次在同样的问题上重复犯不同的错误。

五（wǔ）、安全教育服务（wù）

培养安全意识，了解行业态势，获（huò）取安全能力，体（tǐ）验攻击渗透。主要（yào）内（nèi）容为：

《移动（dòng）应用安全威胁及风（fēng）险》

《移动应用安全技术及发展趋势》

《移（yí）动应用安（ān）全设计（jì）》

《移动应用（yòng）攻击及防御》

《移动攻防演练》

《移动业务（wù）体系设计规划》