移动应用安全服务

一、安全咨询服务

1. 业务安全咨询

针对业务的安全咨询从移动业务所属行业出发，针对未来业务中可能存在的安全风险给予分析，并提出安全性的需求，帮助客户在后续的设计、开发、发布及运维环节中纳入相关应对手段。业务安全咨询除了考虑到当前应用的安全性需求，也会针对应用未来可能发展趋势及新功能的给予考量，提升业务安全体系设计的可扩展性。

2. 设计安全咨询

针对在应用设计环节中需要考虑的安全机制及安全模块，给出整体设计咨询及落地方案，保证应用在设计层面不存在明显安全缺陷，并保证安全设计方案的可扩展性，可维护性及健壮性。安全设计咨询会从通用安全、行业相关安全及抗攻击方面入手，提供从设计方案到算法的全套咨询。

3. 开发安全咨询

应用安全开发咨询主要针对编码及测试环节，给出一整套有效的安全控制方法及编码规范，保证了前期的业务安全设计，应用安全设计都能得到正确体现，尽量规避开发人员引入新的安全问题。同时，安全开发规范也会对开发过程中的代码质量控制提出咨询建议，从流程入手解决安全问题。

二、安全评估服务

1. 应用渗透性测试

通过模拟攻击的方式，借助于人工和自动化工具，找出应用中存在的安全漏洞及缺陷，帮助客户修复并提升应用的安全水平，避免在后续运维、审计及监管中存在的风险。

2. 应用合规性测试

依据行业安全技术要求及监管要求，通过人工分析测试的方法，对应用的合规性做测试，确保应用符合相关行业要求，避免后续安全审计及监管风险。

三、安全管理服务

1. 漏洞监测网络

利用全自动的爬虫网络及部分人工采集，实时获取全球超过200个漏洞平台及安全论坛的应用漏洞信息，从中自动识别与目标应用相关信息，第一时间获取应用可能存在的漏洞或者已经被披露漏洞。针对目标应用的已知漏洞或潜在风险，给出快速响应方案及进一步的完整解决方案，让漏洞造成严重危害和影响前得到妥善处置。

2. 渠道应用监测

渠道应用监测系统通过对国内超过400多个应用分发、下载渠道进行实时监测，实时掌握应用在各渠道上的新版本上线情况、历史版本留存情况、钓鱼及盗版情况，包括App在所有渠道上的发布时间、发布人、版本、下载量、正版盗版鉴别、盗版内容描述、下载来源等内容，为提供实时风险预警服务，帮助了解App在渠道的发布轨迹，及时规避各类潜在风险。

四、应急响应服务

1. 漏洞事件应急服务

负责定时收集国内200余家漏洞平台的漏洞信息，一旦发现有甲方公司相关的内容，第一时间进行预警，并启动相应预案。

2. 漏洞事件应急服务

在发现甲方公司相关漏洞之后，立即通报甲方知悉，同时组织相关技术专家对漏洞的应急修复和常规修复进行规划和处理。处理完成之后协助甲方进行更新，防止漏洞事件进一步扩大。

3. 应急咨询

提供对今后业务规划和安全规划针对出现漏洞部分的咨询意见，避免下一次在同样的问题上重复犯不同的错误。

五、安全教育服务

培养安全意识，了解行业态势，获取安全能力，体验攻击渗透。主要内容为：

《移动应用安全威胁及风险》

《移动应用安全技术及发展趋势》

《移动应用安全设计》

《移动应用攻击及防御》

《移动攻防演练》

《移动业务体系设计规划》