移动应用（yòng）安全（quán）服务

一、安（ān）全咨（zī）询服务

1. 业务安全咨（zī）询

针对（duì）业务的安全咨询从移动业（yè）务所属行业出发，针对未（wèi）来业务中可能存在的安全风险给予分析，并提出安全性的需（xū）求，帮助客户在后续的设计、开发、发布及运（yùn）维环节中（zhōng）纳入（rù）相关应对手段。业务（wù）安全咨询除了考虑（lǜ）到当前（qián）应用（yòng）的安（ān）全性需求，也会针（zhēn）对应用未（wèi）来可能发展趋势及新功能的（de）给予考量（liàng），提升（shēng）业务安全体系设计的可扩展性。

2. 设计安全咨询

针（zhēn）对（duì）在应用设计环节中需要考虑的安全机制及安全模（mó）块，给（gěi）出整（zhěng）体设（shè）计咨询及落地（dì）方案，保证应用（yòng）在（zài）设计层（céng）面不存在明显安全缺陷，并保证安（ān）全设计方案的可（kě）扩展性，可维（wéi）护性及健壮性（xìng）。安全设计咨询会从（cóng）通用安全、行（háng）业相关安全（quán）及抗攻击方（fāng）面入手，提（tí）供从设计方案（àn）到算法的全（quán）套咨询。

3. 开发安（ān）全（quán）咨询（xún）

应用安全（quán）开（kāi）发（fā）咨询主要针对编码（mǎ）及测试（shì）环节，给出一整套有效的安全控制方法及编码规（guī）范，保证了（le）前期的业（yè）务安（ān）全设计（jì），应用安全设计都能得到正确体现，尽量规避开（kāi）发人员引（yǐn）入（rù）新（xīn）的安（ān）全问题。同时，安全开发规范也会（huì）对开发过程中的代（dài）码质量控制提出咨（zī）询建议，从流程入手解决安全（quán）问题。

二、安全评估服务

1. 应用渗透性测试

通过模拟攻击的方式（shì），借助于人工和自动化工具（jù），找（zhǎo）出（chū）应用中存在的安全漏洞及缺陷，帮助客户修复并提升应用的安（ān）全水平，避免在后（hòu）续运维、审计及监管中存在（zài）的风险。

2. 应用合规性测（cè）试

依据行业安全技术（shù）要求及监管要求，通过人（rén）工分析测试的方法（fǎ），对应（yīng）用的合（hé）规性做（zuò）测试，确保应用符合（hé）相关（guān）行业要求（qiú），避免后续安全审计及监管风险（xiǎn）。

三、安全管理服务

1. 漏洞监测网络

利用全自动的爬虫网络及部分人工采集，实时（shí）获取全球超过200个漏洞平台（tái）及安全（quán）论坛的应用漏（lòu）洞信息，从（cóng）中自动识别（bié）与目标应用相关信息，第一时间获（huò）取（qǔ）应用可（kě）能（néng）存在的漏洞或（huò）者已（yǐ）经（jīng）被披露漏洞。针对目标应用的已知漏（lòu）洞（dòng）或潜（qián）在风险，给出（chū）快（kuài）速响应方案及进（jìn）一步（bù）的（de）完整解决方案，让漏洞造（zào）成严重危（wēi）害（hài）和影响前得（dé）到妥善处置。

2. 渠道（dào）应用监测

渠（qú）道应用监测系统（tǒng）通（tōng）过对国内超过400多个应用分发、下载渠道进行实时监（jiān）测，实时掌握应用在（zài）各渠道上（shàng）的新版本上（shàng）线情况、历史版本留存情况、钓鱼（yú）及盗（dào）版情况，包括App在（zài）所有渠道上的发布时间、发布（bù）人、版本、下载量、正版盗版鉴别、盗（dào）版（bǎn）内容描述、下载（zǎi）来（lái）源等内容，为提供实时风险预警服务，帮（bāng）助（zhù）了解App在渠道的发布轨迹，及时规避各（gè）类（lèi）潜在风险。

四、应急响（xiǎng）应服（fú）务

1. 漏洞事件应急服务（wù）

负责（zé）定时（shí）收（shōu）集国（guó）内200余家漏洞平台的漏洞（dòng）信息，一旦（dàn）发现有甲（jiǎ）方公司相（xiàng）关的内（nèi）容，第一时间（jiān）进行（háng）预警，并启动相应预案。

2. 漏洞事件应急（jí）服务

在发现甲方（fāng）公司相（xiàng）关漏洞之后，立即（jí）通（tōng）报（bào）甲（jiǎ）方知（zhī）悉，同时（shí）组织相（xiàng）关技术专（zhuān）家对漏洞的（de）应急修复和常规修（xiū）复（fù）进行规划和处理。处理完成之后协（xié）助甲方进行更新（xīn），防止（zhǐ）漏洞事件进一步（bù）扩大。

3. 应急咨询

提供对今后（hòu）业（yè）务规（guī）划和安全规划针对（duì）出现漏洞部（bù）分（fèn）的咨询意见（jiàn），避免（miǎn）下一次在同样的问题上重复犯不同的错误。

五、安全（quán）教育服务

培（péi）养安（ān）全意识，了（le）解行（háng）业态势，获取安全能力，体验攻击（jī）渗透。主要内容为：

《移动（dòng）应用安全威胁及风（fēng）险》

《移动应用安全技术及发（fā）展趋（qū）势（shì）》

《移动应（yīng）用安全设（shè）计》

《移动应用攻击及防御》

《移动攻防（fáng）演练》

《移动业务体系设计规（guī）划（huá）》