移动应用安全（quán）服务

一、安全咨（zī）询服务

1. 业务安全咨询

针对业务的安全咨询从移动（dòng）业务所属行业出（chū）发，针对未来业务中可能存在（zài）的安全风险给予分析，并提出安全性的需（xū）求，帮助（zhù）客户（hù）在后续的设（shè）计、开发（fā）、发布及运维环节中纳（nà）入相关应对手（shǒu）段。业务安全咨询除了考虑（lǜ）到当前应用的（de）安全（quán）性需求，也会针对应（yīng）用未来（lái）可能发展（zhǎn）趋势及新功能的给予考量，提升业（yè）务安全体（tǐ）系设计的（de）可扩（kuò）展性。

2. 设计安全（quán）咨（zī）询

针对（duì）在（zài）应用设（shè）计（jì）环节（jiē）中需要考虑的安全（quán）机（jī）制（zhì）及安全模块，给（gěi）出（chū）整（zhěng）体（tǐ）设计咨询及落地（dì）方案，保证（zhèng）应用在设计（jì）层面不存（cún）在明显（xiǎn）安全缺陷（xiàn），并保证安全设计方案的可扩展（zhǎn）性，可维护性及健壮性（xìng）。安全设（shè）计咨（zī）询会从通用安全、行业相关安（ān）全及抗攻击（jī）方（fāng）面入（rù）手，提供从设计方案（àn）到算（suàn）法的（de）全（quán）套咨询。

3. 开发安全咨（zī）询

应（yīng）用安（ān）全开发咨询主（zhǔ）要（yào）针（zhēn）对编码及测（cè）试环节，给（gěi）出一整（zhěng）套有效的安全控制方法及编码规范，保证了前（qián）期的业（yè）务安全设计，应用安全设计都能得到正（zhèng）确体现，尽量规（guī）避（bì）开发（fā）人员引入新的安全（quán）问（wèn）题。同时，安全开发规范也会对开发过程中的代码质量控制（zhì）提出咨询（xún）建议，从流程入手解决安全问题。

二、安全评（píng）估服务

1. 应用渗透性（xìng）测（cè）试

通（tōng）过模（mó）拟攻击的方（fāng）式，借助于人工和（hé）自动化工具，找出（chū）应（yīng）用中存在（zài）的安（ān）全（quán）漏洞（dòng）及缺陷，帮（bāng）助客户修复并（bìng）提升（shēng）应用（yòng）的（de）安（ān）全水平，避免（miǎn）在后续运维、审（shěn）计及监管中存在的风险。

2. 应（yīng）用合规性测试

依据行（háng）业（yè）安（ān）全技术要求及监管（guǎn）要求（qiú），通过（guò）人工（gōng）分析测试的方法，对应用的合规性做测试，确保应用符（fú）合相关（guān）行业要求，避免后续安全审计及监管风险。

三（sān）、安（ān）全管理服务

1. 漏（lòu）洞监（jiān）测网络

利（lì）用全自（zì）动的爬虫网络及部分人（rén）工采集，实时获（huò）取全球（qiú）超过（guò）200个漏（lòu）洞平台及安全（quán）论（lùn）坛（tán）的应用漏洞信（xìn）息（xī），从中自动识（shí）别与目标应用相（xiàng）关（guān）信（xìn）息，第一（yī）时间获取应用可能存在的漏洞或者已经被披露漏洞（dòng）。针对目（mù）标应用的已知漏洞或潜（qián）在风险，给出快（kuài）速响（xiǎng）应方案及（jí）进一步的（de）完整（zhěng）解决（jué）方（fāng）案，让漏洞造成严（yán）重危害和（hé）影响前得到妥善处置。

2. 渠道应用监测

渠道应用（yòng）监测系统（tǒng）通过对国内（nèi）超过400多个（gè）应（yīng）用分（fèn）发、下（xià）载渠道进（jìn）行（háng）实时监测（cè），实时（shí）掌握应（yīng）用（yòng）在各渠道上的新版本上线情况、历史版本留存情（qíng）况（kuàng）、钓鱼及盗（dào）版情况，包括App在（zài）所有（yǒu）渠道上的发布（bù）时（shí）间、发布人、版本、下载量、正版（bǎn）盗版鉴别、盗版内容描述、下载来源等内容，为提（tí）供实时风险（xiǎn）预警服（fú）务，帮助了解App在渠道的发（fā）布轨迹，及时规（guī）避各类潜在风（fēng）险（xiǎn）。

四、应急响应服（fú）务（wù）

1. 漏洞事件应急服务

负责（zé）定时收集国内200余家（jiā）漏洞平（píng）台（tái）的漏洞信息，一旦发现有甲方公司相关（guān）的内容（róng），第一（yī）时间（jiān）进行（háng）预警，并启动相应预（yù）案。

2. 漏洞事件应（yīng）急服务

在发现甲方公司相关漏洞之后，立即通报甲方知悉，同时组（zǔ）织（zhī）相关技术专家对漏洞的应急修复和常（cháng）规修（xiū）复进行规划和处理。处理完成之后协（xié）助甲方进行更新，防（fáng）止漏洞事件（jiàn）进一步（bù）扩大（dà）。

3. 应急咨询

提供对今（jīn）后业（yè）务规划和（hé）安（ān）全规划针对出现漏（lòu）洞部分的（de）咨询（xún）意见，避免下一次（cì）在同样的问题（tí）上（shàng）重复犯不同（tóng）的错误。

五、安全教（jiāo）育服务

培养安（ān）全（quán）意（yì）识，了解行业态势（shì），获取安全能（néng）力，体验攻击渗透。主要内容为（wéi）：

《移动应（yīng）用安全威胁及风险》

《移动应用安（ān）全技术及发展趋势》

《移动应用安全设计》

《移动应用（yòng）攻击（jī）及防御（yù）》

《移动攻防演练》

《移（yí）动（dòng）业务体（tǐ）系（xì）设计规划（huá）》