移动应用安（ān）全（quán）服务

一、安全咨询服务（wù）

1. 业务安全咨询

针对业务的安全咨询从移动业务所属（shǔ）行业出发（fā），针对未（wèi）来业务中可能（néng）存在的安全风险给予分（fèn）析（xī），并（bìng）提出（chū）安全性（xìng）的（de）需求，帮助客户（hù）在后（hòu）续的设（shè）计（jì）、开发、发布及运维环节（jiē）中（zhōng）纳入相关应对手段。业务安全咨询（xún）除了（le）考虑到当前应用（yòng）的安全性需求，也会（huì）针对应用未（wèi）来可（kě）能发（fā）展趋势及新功（gōng）能的给予考量，提升（shēng）业务安全体系（xì）设计的（de）可扩（kuò）展性。

2. 设计（jì）安全咨询

针对在应用设计（jì）环节中（zhōng）需要考虑的安全机制及安全（quán）模块，给出整体设（shè）计咨询（xún）及落地方案（àn），保证应用（yòng）在设计层面不存在明显安全（quán）缺陷，并（bìng）保证安（ān）全设计（jì）方案的可扩展性，可（kě）维护性及健壮性（xìng）。安全（quán）设计咨询会从通用安全、行业相关安全及抗攻（gōng）击方面入手（shǒu），提（tí）供从设（shè）计方案到算（suàn）法的全套咨询。

3. 开发安全咨询

应用安全（quán）开发咨询主要针对（duì）编码及（jí）测试环（huán）节，给出一整套（tào）有效的安全控制方法及编码规范，保证了（le）前期（qī）的业务安全设计（jì），应用安全（quán）设计（jì）都能得到（dào）正确体（tǐ）现，尽（jìn）量规避开发人（rén）员（yuán）引入新（xīn）的安全问题。同时，安全开发规范也会（huì）对开（kāi）发过程中的代码质量控（kòng）制提出咨询建议（yì），从（cóng）流程入手解决安（ān）全问题。

二、安全评估服务

1. 应（yīng）用渗透性测试

通过模（mó）拟攻（gōng）击的方式，借（jiè）助于（yú）人工和（hé）自动化工（gōng）具，找（zhǎo）出（chū）应用中存（cún）在的安全漏洞（dòng）及（jí）缺（quē）陷，帮助客户修（xiū）复（fù）并提升应用的安全水平，避免在后（hòu）续运维、审计及监管中（zhōng）存在的风险。

2. 应用合规性测试

依（yī）据行业安全技术要求及监管要求，通过人工分析测试的（de）方法，对应用（yòng）的合规性（xìng）做测试（shì），确保应用符合相关（guān）行业要（yào）求（qiú），避免后续安全（quán）审计及（jí）监管风险。

三、安（ān）全管理服（fú）务

1. 漏洞监测网络

利（lì）用全自动的爬虫网络及部分人工采集，实时获取全球（qiú）超过200个漏洞平台及安全论坛的（de）应用漏洞信息，从（cóng）中（zhōng）自动识（shí）别（bié）与目标（biāo）应用相关信（xìn）息，第一时间获取应（yīng）用可能存在的漏洞或者已经被披露漏洞。针对目（mù）标应用的已知漏洞或潜在风险（xiǎn），给（gěi）出快速响应方案及（jí）进一步的完整解决（jué）方案，让漏洞造成严重危害和影响前得（dé）到妥善处置。

2. 渠道应用（yòng）监测

渠道应用监测系统通过（guò）对国内超过400多个应用（yòng）分发、下载渠道（dào）进行（háng）实时监测，实时掌握应用（yòng）在各（gè）渠道上（shàng）的（de）新版（bǎn）本（běn）上线情况（kuàng）、历史版本留存情况、钓鱼及盗（dào）版情况，包括（kuò）App在所有渠（qú）道（dào）上的发布（bù）时间、发布人、版本、下载量、正（zhèng）版盗版鉴（jiàn）别、盗版内容描述、下载（zǎi）来源等内容（róng），为（wéi）提供（gòng）实（shí）时（shí）风险预警服务，帮（bāng）助了（le）解（jiě）App在渠道的发布轨迹（jì），及时规避各类潜在（zài）风险。

四、应急响（xiǎng）应服务

1. 漏洞事（shì）件（jiàn）应急服务

负（fù）责定（dìng）时收集国内200余（yú）家（jiā）漏洞（dòng）平台的漏洞信息，一旦发现（xiàn）有甲方公司（sī）相（xiàng）关的内容（róng），第一时间进（jìn）行预警（jǐng），并启动相应预案。

2. 漏（lòu）洞事件应急服务

在（zài）发现甲方公司相关漏洞之后，立即通（tōng）报甲方知（zhī）悉，同时组织相关（guān）技术专家对（duì）漏洞的应急修复和常规（guī）修复（fù）进行规划（huá）和处理。处（chù）理完成之后协助甲方进行更新，防止漏洞事件进一步扩（kuò）大。

3. 应急咨询

提供对（duì）今后业（yè）务规（guī）划（huá）和安全规划针对出现漏洞（dòng）部分的咨询意见，避（bì）免下（xià）一次在（zài）同样的问题上重复犯不同（tóng）的（de）错误。

五、安全教育（yù）服务

培养安全意识，了（le）解行业态势，获取安全能力，体验攻击渗透。主要内容为：

《移动（dòng）应用安全威（wēi）胁及风险》

《移动应用（yòng）安全技术及（jí）发展趋势》

《移动应用安全设计》

《移动应用攻击及防御（yù）》

《移（yí）动（dòng）攻防演练》

《移动业务体系设计规划（huá）》