当前品牌尚未认领

认领

智游网安科技

邮件沟通

即时沟通

品牌首页
产品目录
资源与支持
品牌资讯
购买渠道

联系信息

公司简介

传感专家

北京智游网安科技有限公司（爱加密）成立于2013年，是深圳国华网安科技股份有限公司子公司（股票代码：000004），总部位于北京，研发及运营中心位于深圳，同时在全国各地设立6大服务中心，拥有员工约300人。爱加密（www.ijiami.cn)是专业的移动信息安全服务提供商，专注于应用安全、大数据、业务合规、开发安全、数据安全、安全运营等领域，坚持以用户需求为导向、持续不断的创新，致力于为客户提供全方位、一站式的全生命周期解决方案。爱加密的服务宗旨是通过革新性安全方案和7x24小时全天候的专业服务，打造和谐、强大、高度安全的万物互联生态环境。

爱加密产品体系和服务能力，贯穿了应用设计评估、安全开发测试、应用优化、应用安全发布及应用上线运营阶段的整个生命周期。目前行业用户遍及金融、运营商、政府、电商、能源、教育、游戏等多个行业。至今共服务企业及开发者用户50万+，保护移动应用100万+，监测互联网应用2000万+，累计覆盖10亿移动终端。

发展历程

未来继续引领技术革新，构建以物联网和安全威胁大数据为核心的生态体系3.0，让智能世界更安全。

2023

5月荣获2022北京软件核心竞争力企业；4月入驻深圳数据交易所；4月入选安全牛网络安全行业全景图多个领域；4月成为“金融开源践行者”参与机构；3月入选中国信通院卓信大数据“联合产品创新计划”支撑单位；2月成为国家工业信息安全发展研究中心“久安计划”首批合作伙伴；2月荣获《中国网信产业桔皮书-数据安全》突出贡献奖；2月入选CCIA“2023 年网络安全服务阳光行动”成员单位；2月入选工业和信息化部CAPPVD漏洞库技术支撑单位；2月安全加固全面适配Android 14开发者预览版；2月入选中国信通院《数据安全产品与服务图谱（2.0）》；1月获“APP用户权益保护测试能力验证计划”满意结果；1月获“优秀数据安全技术与产品实践案例”奖

2022

12月入选《嘶吼2022中国网络安全产业势能榜》；11月多款产品完成信创兼容性认证；11月入选安全牛“中国网络安全企业100强”；10月加入证券基金行业信息技术应用创新联盟；9月参与编写中国消费品质量安全促进会团体标准；8月荣获《个人信息保护创新实践案例》奖；7月多款产品获信创认证；7月入选嘶吼2022网络安全产业图谱多个领域；7月上榜中国市场网络安全“大众点评”百强榜；7月入选CCSIP 2022中国网络安全产业全景图多个领域；6月入选《2022年中国数字安全百强报告》；5月入选“网络安全能力评价工作组”首批成员单位；5月入选中国信通院 “数据安全推进计划”名单；5月入选数据安全产业需求行业全景图谱；5月获CCRC能力验证合格证书；4月入选数说安全《2022年中国网络安全市场全景图》；4月入选工业和信息化部移动互联网APP产品安全漏洞库技术支撑单位；4月入选安全牛《中国网络安全行业全景图》多个领域；3月荣获中国网络安全产业联盟优秀会员单位

2月荣获国家信息安全漏洞共享平台（CNVD）技术支撑单位；2月成为中国信通院 “ 数据安全共同体计划 ” 首批成员单位；2月收到来自国家计算机病毒应急处理中心的感谢信；2月安全加固全面支持Android 13预览版；2月收到来自广东省公安厅网络警察总队的感谢信；2月参与起草国标《App生命周期安全管理指南》征求意见稿；1月发布《2021年全国移动应用安全观测报告》；1月收到来自工业和信息化部信息通信管理局的感谢信；1月荣获2021北京软件核心竞争力企业；1月入选2021年网络安全优秀企业移动安全十强；1月喜获南方报业传媒集团2021年度优秀技术合作伙伴奖

2021

12月入选《2021中国网络安全产业势能榜》；12月入选CCSIP 2021中国网络安全产业全景图；12月深度参与《移动互联网医疗安全风控技术白皮书》；12月入选《2021年度中国数字安全能力图谱》多个领域；11月荣获2021天翼网信安全产业联盟优秀安全产品及解决方案奖；11月荣获安全牛《中国网络安全企业100强》；10月荣获COP15网络安全保卫组特聘技术支撑单位；9月再次入选CNCERT网络安全应急服务省级支撑单位；8月成为工业和信息化部移动互联网APP产品安全漏洞库特设工作组首批支撑单位；8月荣获2021年上海市通信管理局网络安全支撑单位；7月多款产品实现全面兼容，加速布局信创产业；7月三方联合|重磅发布《全国移动App第二季度安全研究报告》；6月荣获河南省网信系统网络安全工作支撑单位；6月成为中国电信天翼网信安全产业联盟首批成员单位；6月荣获2021年中国网安产业竞争力50强；6月入选《中国网络安全百强报告(2021)》综合实力百强；5月爱加密已于5月成功适配鸿蒙系统；5月成功适配谷歌AAB（Android App Bundle）；5月成功适配Android 12 Beta版；5月实力入选《DevSecOps能力指南》；4月获CCRC移动互联网应用程序（App)个人信息安全测试能力验证合格证书；3月入选2021年安全牛《中国网络安全行业全景图》多个细分领域；3月荣获2020年度移动应用（APP）检测优秀支撑单位；3月荣获CNVD技术支撑单位；2月适配Android 12开发者预览版；1月荣获工业和信息化部信息通信管理局表彰；1月荣获上海市通信管理局2020年网络安全优秀支撑单位；1月荣获上海市通信学会通信安全技术专业委员会成员单位；1月荣获《通信世界》2020年ICT行业工业互联网优秀解决方案奖；1月荣获2020年中国网络安全产业联盟优秀会员单位

2020

12月实力入选《2020网络安全产业百强》；11月荣获2020北京软件企业核心竞争力评价；11月入选2020年网络安全技术应用试点示范名单；10月发布全国移动App第三季度安全研究报告发布；10月发布《数字金融App安全观测报告（2020年）》；9月入选《2020年中国网络安全市场全景图》多个领域；9月荣获“2020 中原网安力量 20 强企业”；9月入选上海市信息通信业网络安全技术专家组；9月获区块链技术与数据安全工信部重点实验室首批工作组成员单位；9月成为中国互联网协会App数据安全测评服务工作组首批成员单位；8月移动应用个人信息安全检测iOS 版震撼上线；8月参与编制SDK国家标准；7月发布《全国移动App风险监测评估报告》；6月荣登《中国网络安全能力100强》，获高竞争力安全企业

5月加入移动应用程序安全委员会；4月荣获2020金融数据智能网络影响力TOP10优秀解决方案；4月荣获2020金融数据智能网络安全创新优秀解决方案；4月成为首批上海市通信管理局予以备案的网络安全服务机构；3月荣获国家计算机病毒应急处理中心优秀技术支撑单位；1月荣获2019中国5G最佳安全解决方案奖；1月联合新浪金融研究院发布移动金融APP安全性研究报告

2019

12月获选工业和信息化部网络安全威胁信息共享平台合作单位；12月荣获金融电子化“2019年度金融科技创新突出贡献奖”；12月荣获看雪学院2019年度优秀合作伙伴；11月荣获公安部2019年度网络安全管理优秀团队奖；11月荣获2019年（第九届）电信和互联网行业网络安全年会“网络安全服务优秀实践案例”奖；11月联合中国信通院发布《移动金融应用安全白皮书（2019年）》；11月三大重磅产品获选《金融科技创新应用案例集（2019）》；11月成立扶贫办，助力云南澜沧县精准扶贫；11月圆满完成第二届进博会网络安全保障任务；10月爱加密（深圳）乔迁新址，开启新的征程；10月新中国成立70周年网络安全重保支撑服务；9月荣获首届国际移动应用分析大赛一等奖；8月入选2019年上海市通信管理局网络安全一级支撑单位；7月成为CNCERT网络安全应急服务支撑单位；7月入选Gartner全球App防护市场指南；7月荣获“CNNVD2018年度漏洞报送专项奖”；6月发布爱加密个人信息安全检测平台V2.0；6月广州分公司成立，安全服务覆盖更广；5月成为首批上海市网络安全实验室成员；4月荣获中国通信企业协会“网络安全服务优秀实践案例”奖；4月成为中国联网网络信息安全产业联盟首批合作伙伴；3月成为首批获得移动应用程序安全加固系统认证证书的企业；1月荣获2018中关村国际前沿科技创新大赛”大数据与信息安全领域Top10”

2018

9月荣获上海市公共互联网网络安全工作先进集体；8月当选SHCERT网络安全应急服务支撑单位；7月签约“新工科产业资源生态联盟”，开启移动安全领域校企合作新模式；6月再度入选中国网络安全企业30强；5月推出InfoBeat智能数据平台；3月率先兼容安卓9.0系统；2月被授予国家计算机病毒应急中心“2017年度优秀技术支持单位”

2017

10月推出安全大数据平台；8月行业用户数量突破2000，覆盖金融、政企、运营商、IoT、互联网和游戏六大行业；5月再度入选2017上半年中国网络安全企业30强；5月发布车联网安全防护解决方案；5月发起“应用安全+”理念，提倡打造的应用安全闭环新生态；4月发布威胁态势感知平台；3月成为国内少数支持Android 8.0的移动安全服务提供商；3月推出移动安全运营中心（MSOC平台）；3月成为商用密码产品生产定点单位

2016

12月发布智能家居安全解决方案；12月成为国家信息安全漏洞库三级技术支撑单位；10月发布物联网安全防护解决方案；9月完成八大服务中心建设，可辐射支持近30个省市的客户需求；8月保护APP数量达到80万款，覆盖8亿终端；6月推出了多应用融合服务；4月发布全新一代VMP双重虚拟机指令集保护技术；3月行业客户数量突破1000，主要覆盖金融、运营商、游戏行业

2015

10月获得国家高新技术企业认定；8月推出了应用高强度压缩服务；7月推出了应用云更新服务；5月推出H5应用加密；4月推出新一代密钥白盒技术4月推出协议加密，实现自动化完成协议安全保护技术；3月竞品分析上线，竞品动态一手掌握

2014

11月推出iOS应用加密，成为Android/iOS全平台支持的平台；9月成为中国互联网反网络病毒联盟成员；8月推出协议通道加固技术；7月发布SDK加固技术；6月推出云服务API接口；5月漏洞分析平台2.0上线；4月实现安卓平台兼容性99%以上

2013

12月推出so文件加密保护服务；11月推出金融、游戏行业定制保护方案；8月爱加密云服务平台正式上线；8月获得2000万A轮融资；1月公司正式成立

荣誉资质

传感专家

产品与服务

安全防护

Android移动应用安全加固、HarmonyOS移动应用安全加固、iOS移动应用安全加固、H5移动应用安全加固、小程序安全加固、SDK加固、SO加固、通信协议加密SDK、安全清场SDK、安全软键盘SDK、密钥白盒、敏感数据泄漏防护系统、等保一体机、人脸识别防护、运行时应用自免疫系统（RASP）

安全检测

源代码审计平台、移动应用安全检测、移动应用个人信息安全检测、兼容性及性能测试安全管理

安全管理

移动安全管理平台（MASMP）、移动应用安全综合实训平台安全SaaS服务、小程序安全检测、小程序安全加固

安全SaaS服务

小程序安全检测、小程序安全加固

安全运营

API安全网关、网络安全有效性验证系统（BAS）、数据访问行为审计系统

威胁感知

移动威胁态势感知平台

安全大数据

移动应用大数据平台、移动应用渠道监测系统、内容巡检服务、隐私雷达SDK

安全服务

个人信息保护合规评估、基础培训、移动应用人工渗透测试、Web端渗透测试、移动应用漏洞分析培训、Android安全开发规范培训、iOS安全开发规范培训、定制化安全培训、信息安全管理体系咨询、信息安全等级保护咨询、信息安全风险评估咨询

解决方案

金融行业解决方案

银行、证券、保险、基金、第三方支付、消费金融互联网解决方案

行业背景

近年来，随着移动互联网和通信技术的不断发展，移动应用在金融行业得到了井喷式的高速增长。5G时代的到来让移动端流量猛增，于是各行各业开展移动端入口抢夺大战，加速在无限商业化的布局和变现。基于此，金融行业也正在逐步向移动互联网靠拢，据统计，2023年4月金融行业APP月活用户已突破9亿大关，其中支付结算类服务月活用户超过8.79亿，手机银行服务超过4.91亿，股票交易类服务超过0.97亿，综合理财服务超过0.79亿，保险服务超过0.54亿。这一数据反映了金融领域数字化的快速发展，以及用户对于金融服务的高需求。

随着智能手机的普及和移动互联网技术的飞速发展，手机端金融业务的交易量和支付额正在经历着前所未有的快速增长，移动金融已经成为人们日常生活中不可或缺的一部分。各大金融机构，包括银行、证券公司、保险公司、基金管理公司以及第三方支付平台，都在积极开发和推广各种移动金融应用程序，旨在为不同用户群体和各种生活场景提供更加灵活、便捷的金融服务。这些应用程序不仅简化了金融交易流程，还极大地提高了金融服务的可及性和效率。

然而，在移动金融业务蓬勃发展的同时，其所面临的应用安全和信息安全问题也日益凸显。根据威胁猎人发布的《2024年上半年数据泄露风险态势报告》，报告指出，2024年上半年全网监测并分析验证的有效数据泄露事件高达16011起，与2023年下半年相比，这一数字增长了59.58%，而后者的数据泄露事件为9539起。此外，监测到的3.4万个黑产团伙中，经过分析验证，发现有1973个团伙涉及真实的数据泄露事件，与2023年下半年相比，新增了984个，增长了近一倍。

从行业分布来看，2024年上半年的数据泄露事件波及了多达85个行业，其中数据泄露事件数量最多的五个行业分别是银行、电商、消费金融、保险和快递。这些数据揭示了当前移动金融领域所面临的严峻安全挑战，同时也为金融机构敲响了警钟，提醒它们必须采取更加有效的安全措施来保护用户的敏感信息，以防止数据泄露事件的发生，确保用户的资金和信息安全。

安全风险

移动互联网给人们生活带来的便利的同时，也造成安全风险事件频发。从技术角度来观察，金融行业移动应用面临的风险主要体现在以下几方面：

金融行业安全风险：

1、由于目前智能手机尤其是Android手机的生态环境较为开放，终端和系统碎片化严重，权限控制灵活。应用自身面临诸多风险，如：源码反编译、数据窃取、二次打包、动态注入和界面劫持等。

2、新的操作系统、版本、攻击工具及攻击手段等更新频繁，需确保对应加固策略可以及时覆盖最新的漏洞及风险点，对于加固的优化工作提出了严峻的考验。

3、在考虑加固解决方案时，需将相关法律法规及行业标准纳入其中，确保解决安全问题的同时，也可以符合相关的法律法规等依据，为应用上线后的合规性提供保障。

4、业务系统运用开源软件的比例越来越高，衍生出的软件管理问题也越来越多，软件团队只关注其检测自主代码的潜在问题，往往忽视了对应用组件构成和应用中的开源组件中已知漏洞及开源协议的检查。

解决方案

针对移动安全所存在的诸多问题、挑战与需求，为保证金融行业移动应用业务安全，需要建立一套牢固的移动应用安全防护体系。在移动端层面，通过建立APP开发安全管理机制，进行APP安全检测、APP安全加固、渠道监测、成分分析、代码审计、应用监测、合规检测等，确保应用的安全及合规风险在上线前就得到有效解决。同时，应用发布后，需根据应用更新频率，最新法律法规及行业标准，不断的对应用更新版本进行安全和合规检测，提高移动应用业务的核心竞争能力，更好地满足行业监管要求，为移动业务的可持续发展保驾护航。

移动应用安全解决方案

软件安全开发管理平台SDL：覆盖软件生命周期主要环节，帮助企业进行软件安全需求分析、安全设计、安全测试、安全评审发布，提升全生命周期的安全质量。

源代码审计：支持 C\C++、 Java、 JS、 PHP、 SQL 等语言代码进行扫描检测，发现源代码中的安全缺陷、性能缺陷、代码质量等问题。

软件成分分析系统：对软件组成进行分析检测，具有二进制SCA、源代码SCA、运行时SCA检测能力，可以自动化梳理数字应用中的第三方组件资产，审查组件中涉及的已知漏洞、恶意代码和许可证使用风险。检测出软件中的组件分布信息，识别安全风险，准确定位告警，帮助开发人员消除应用中的漏洞、违禁协议、减少安全隐患，为软件的信息安全保驾护航。

灰盒测试系统：利用多种技术方式对软件内部执行过程进行分析、度量和验证，更全面的发现软件内部缺陷。

黑盒测试系统：主要进行软件的功能性测试，验证程序是否能正确地处理输入数据并产生正确的输出结果。

移动APP安全检测：支持对Android、iOS、鸿蒙、SDK、小程序、公众号等类型应用的自动化安全检测，帮助企业进行内部或外包开发的移动应用进行安全水平评价；也可用于监管机构提供应用安全风险评价、取证。

移动APP合规检测：支持对Android、iOS、SDK、小程序等类型应用的自动化合规检测，帮助企业进行内部或外包开发的移动应用进行合规评价；也可用于监管机构提供应用违规风险评价、取证。

个人隐私合规评估服务：个人信息合规检测服务，从APP检测、政策解读、违规整改到证据存留，全方位赋能金融移动应用运营者，有效降低APP违规收集使用个人信息的风险，助力金融APP的长久运营。

移动APP安全加固及安全SDK ：支持对Android、iOS、鸿蒙、SDK、小程序、公众号等类型应用的安全加固，提供安全键盘、环境清场、通讯数据加密等安全开发组件，帮助企业提升移动应用的安全水平。

移动APP安全风险监测平台：支持对企业在互联网上的移动应用资产进行信息采集、安全及合规分析，帮助企业识别、跟踪自身及关联移动应用资产，并进行持续的安全、合规、盗版监测。

移动APP威胁感知：支持对Android、iOS、鸿蒙等应用进行风险环境、动态攻击等威胁检测威胁监测预警及响应处置，帮助企业加强移动应用的安全运营、风控处置。

人脸防护综合系统：：精准辅助移动应用人脸认证环节，提供AI级算法绕过风险识别，降低人脸绕过的风险。

移动应用大数据平台：帮助监管机构摸清管辖范围内的移动应用资产，并实现安全、合规、恶意行为等维度的持续监测，提升监管范围和效率。

人工渗透评估服务：支持对各类型APP实施渗透测试服务；支持对WEB端实施渗透测试服务；支持实施人脸识别专项渗透测试服务；支持对APP、小程序等类型应用实施隐私合规评估服务。

反钓鱼风险监测服务：对金融企业钓鱼网站，APP，小程序，公众号等进行监测，通报风险，关停或下架钓鱼及仿冒相关网站等。

数据分类分级系统：根据企业数据敏感程度进行分类分级，基于数据级别定义安全策略、实现数据共享、满足监管要求，实现数据安全的基础性工作。

应用数据审计系统：基于业务数据流量分析，以用户访问角度，对数据中心的数据流动进行监测和溯源，发现内部数据泄露风险。

应用数据API监测系统：以数据为中心，面向Web、APP、小程序、IoT等应用系统的持续动态的流量监测分析系统，帮助实现API数据暴露面的治理和对数据攻击行为的持续发现。部署在企业/组织的互联网出口，实时监控企业组织API的数据暴露面以及被攻击情况。

应用系统攻击自免疫平台：作为一种新型Web防护手段，将保护代码像一剂疫苗注入到应用程序中，与应用程序融为一体，使应用程序具备自我保护能力。

网络安全有效性验证系统：可对当前网络所部署的安全防护体系进行持续的有效性验证，帮助企业及时识别和解决安全问题，提高企业的安全防御能力和风险管理水平。

外部攻击面管理系统：发现和清点企业未知的面向外部的资产，评估资产风险及脆弱性，帮助企业快速降低暴露面风险。

互联网解决方案

视频、旅游、社交、快递物流、互联网生活服务及工具类应用

对互联网行业应用的数据泄露、数据篡改、安全合规等风险问题，建立一套完备的安全防护体系，保证移动应用业务安全，满足国家、行业的监管要求

行业背景

随着移动互联网信息技术的快速发展，手机成为移动互联网最主要设备，用户可以不限制地点、时间，并且随时可以在移动中接入互联网并使用相关业务。导致各类视频、旅游、阅读、社保、快递物流等移动APP越来越多地出现在人们的日常工作和生活中，在带来方便与快捷的同时，移动APP中的许多不安全因素也相继爆发，且已经（或正在）威胁着相关业务的正常开展，可能会造成巨大的经济损失。随着国家对网络安全保护的程度日益加大，《网络安全法》、《数据安全法》、《个人信息保护法》等重要法律法规相继落地施行，要求对各个行业对移动应用安全进行全面的监管与管理。

安全风险

在移动互联网时代APP持续成为互联网提供服务的主角，给人们工作生活带来便利的同时，也造成安全风险事件频发。从技术角度来观察，互联网行业移动APP面临的风险主要体现在以下几方面：

数据泄露风险：移动APP安全防范机制相对落后，用户数据在传输、存储过程中容易被窃取或非法访问，部分应用未采用有效的加密技术来保护源代码及用户数据。

数据篡改风险：黑客可能利用移动应用程序中的漏洞或不当的权限管理，通过远程攻击的方式篡改应用程序中的数据。

安全合规风险：某些移动APP、SDK存在非法收集、滥用、泄露个人信息等严重问题，危害用户合法权益，违反《网络安全法》、《数据安全法》、《个人信息保护法》等国家政策法规要求。

解决方案

针对移动APP全生命周期各个阶段遇到的数据泄露、数据篡改、安全合规等风险问题，为保证互联网行业移动应用业务安全，需建立一套完备的安全防护体系。通过源代码审计、移动APP安全检测、渗透测试、黑盒测试、移动APP安全加固、应用数据API监测、移动APP个人信息合规检测等技术手段，从根源上解决了移动APP整个生命周期面临的安全风险，满足国家、行业的监管要求。

源代码审计：针对应用开发过程中的编码阶段、测试阶段、交付验收阶段、对各阶段系统源代码进行安全审计检测，对源代码安全问题进行分析和检测并验证。

移动APP安全检测：使用静态检测、动态检测等检测技术对移动APP进行全方位多角度的安全有效性验证，帮助企业或个人开发者准确定位漏洞问题代码和安全缺失。

移动APP个人信息合规检测：针对移动应用的基本信息、漏洞信息、收集和使用个人信息行为、通讯传输行为、软件和技术供应链情况、技术脆弱性、隐私政策规范性等进行多维度安全检测和合规检测。

渗透测试：模拟黑客可能使用的攻击技术和漏洞发现技术，以发现移动APP最脆弱的环节、可能被利用的入侵点以及现网存在的安全隐患。

黑盒测试：主要进行软件的功能性测试，验证程序是否能正确地处理输入数据并产生正确的输出结果。

移动APP安全加固：提供全面的移动应用安全加固技术，从根本上解决移动应用的安全缺陷和风险，使加固后的移动应用具备防逆向分析、防二次打包、防动态调试、防进程注入、防数据篡改等安全保护能力。

应用数据API监测：以数据为中心，面向Web、APP、小程序、IoT等应用系统的持续动态的流量监测分析系统，帮助实现API数据暴露面的治理和对数据攻击行为的持续发现。

能源运营商解决方案

石油、电力、水务、天然气及清洁能源应用商店解决方案

能源行业移动应用的管理体系、安全漏洞风险、安全防护手段、持续监控与管控等需求，提供移动应用全生命周期解决方案，包含标准规范建设、安全检测、加固、渠道监测、威胁感知、管控平台等

行业背景

能源集团正向“智慧企业”进行数字化转型，智慧企业发展、智能电厂建设、精益化管理及工作效率提升均对移动业务提出日益迫切的需求，能源集团正在加速开展业务应用的移动化建设，以提供更加开放、智能、高效的服务，加快了集团智慧企业发展的步伐，实现了业务信息的实时流动和共享，极大的提高了工作效率。

同时客观上也增加了集团数据的暴露面，受到的外部威胁也日趋严重，在“没有网络安全，就没有国家安全”的背景下，国家先后对移动业务安全提出了相关标准和规范。在2019年12月1日正式实施的《网络安全等级保护条例》等级保护2.0中提出了《网络安全等级保护基本要求第3部分：移动互联安全扩展要求》，在该安全扩展要求中明确了移动应用安全的重要性以及功能要求，等级保护2.0作为网络信息安全合规指导纲领，要求保证移动应用和数据的安全性。同时国家能源相继发布了《关于加强网络安全和信息化工作的指导意见》、《国家能源集团十三五信息化规划纲要》、《国家能源集团网络安全和信息化规划管理办法》、《国家能源集团网络安全与信息化项目立项管理办法》、《国家能源集团网络安全与信息化架构管理办法》等明确提出了对移动业务安全的相关要求。

风险分析

能源企业APP倾向于传统系统建设模式，以业务驱动需求，需求驱动项目，项目定制产品的模式进行开发、实现，应用移动化过程中带来的新的信息、数据孤岛，不利于移动应用的统一管控。当前的APP类型包括互联网服务APP、内部办公、外勤生产类型等，主要风险问题如下：

1、缺乏成熟的移动化应用管理体系

移动应用的开发规范、管理制度、技术标准、安全防护、应用准入、质量检测等方面，依旧缺乏统一的、标准的治理体系，缺乏统一度量。

2、移动安全防护手段单一

缺乏整体有效防护手段，不能形成基于终端、应用和数据的纵深防护体系，更不能对移动应用和敏感数据进行全生命周期保护，无法做到基于检测与响应的长效机制。

3、缺乏全生命周期的移动安全开发约束手段

由于缺乏明确的技术约束手段，即使有制度约束，也可能会造成有章不守、有规不依，这些技术架构不一、安全策略不一的应用，在移动互联网上暴露更多的入口，增加数据泄露的风险。因此应建立统一的安全管控平台、安全防护机制，并依托技术手段对不合规应用早干预、早检查、早发现、早纠正。

4、缺乏威胁感知与管控手段

移动安全威胁可能随时发生，集团移动应用运行时的安全状态，由于不能实时持续监控将无从得知，如应用运行环境是否存在异常，应用是否遭受恶意攻击，应用操作行为是否越权，应用操作是否引起敏感数据泄露等，无法保障移动应用的安全可靠运行，信息化管理部门与运维部门对移动应用失感、失管、失控。

解决方案

标准规范建设：以安全设计指南、安全编码指南、安全测试指南作为指引，应用项目组在设计、编码、测试环节使用，使架构设计、编码质量、应用自身安全强度达到安全标准；同时集团公司使用安全评估指南对移动应用项目组和移动应用进行评估，以审核应用建设过程和应用自身安全强度是否符合安全标准。

安全检测：在移动应用App上线前或在大版本升级后，使用应用反编译检测、本地数据安全检测、通信传输安全检测、认证安全检测、内部数据交互安全检测、恶意攻击防范能力检测等。

安全加固：通过虚拟化保护、字符串加密、函数隐藏、动态运行防护、完整性校验、文件防篡改、资源文件加密等技术在移动应用App发布前对其进行加固。

渠道监测：通过对互联网应用市场、下载渠道等进行实时监测，及时发现与能源相关的盗版、钓鱼应用，并及时进行下架处理，防止因使用者误下载盗版/钓鱼应用造成损失。

威胁感知：建立移动应用运行时风险感知机制，对运行时设备的环境、外部风险攻击、业务运行异常等进行实时监测，发现风险后及时上报并响应。做到对客户端运行的事前感知、事中响应、事后溯源。

综合管理平台：为了更方便的对移动应用全生命周期安全进行管控，建立综合管理平台，将移动应用的安全开发、安全测试、安全上线、安全运行等统一纳入到综合管理平台中，实时呈现移动应用的安全状态。

应用商店解决方案

各类移动应用分发平台

帮助移动应用商店落实网信、工信等移动应用管理及合规治理的责任，提供移动应用安全漏洞、违规内容、个人信息安全违规检测等全方位的移动应用安全解决方案行业背景

移动互联网时代下，中国手机网民规模持续增长，增长率保持在 1% 至 2% 之间，移动互联网月独立设备数均值达到 14.06 亿台，移动应用数量规模超过265万。中国移动应用分发平台市场总规模持续增长，预计未来几年将继续保持增长态势。

由于移动应用开发机制的开发放性，导致近似应用泛滥、移动应用个人信息保护违规现象层出不穷，中央网信办、工信部等部门均发文要求移动应用分发平台落实网络安全管理及个人信息安全保护的相关责任。

风险分析

1、近似及仿冒盗版

版权管理的缺失、近似应用的审核难度导致应用商店存在仿冒甚至盗版应用，审核不力导致了侵权行为甚至涉诈应用时有发生；

2、违法使用个人敏感信息

应用商店内部存量应用及新增应用存在违法违规使用个人敏感信息的行为；

3、恶意行为或违法内容

移动应用可能存在恶意代码、恶意行为或非法传播违法内容；

解决方案

提供自主研发的移动应用安全检测引擎、移动应用个人信息安全合规检测引擎的相关数据接口，可与应用商店进行对接，对新增及存量移动应用依据网络安全法、个人信息保护法及其他国标、行标等进行安全及合规的扫描，帮助应用商店建立快速的检测机制，落实网络安全相关责任。

通过大数据分析、内容检测等相关技术，可与应用商店数据对接，辅助其查找疑似内容违规的应用，加强审核效率。

移动应用安全检测：提供安全检测引擎接口，可对应用商店内存量或新增应用进行安全扫描，识别高危风险、恶意代码。

移动应用仿冒监测：帮助应用商店对存量应用之间的仿冒甚至恶意盗版识别能力，降低分发平台传播侵权应用甚至涉诈盗版应用的风险。

移动应用个人信息安全合规检测：提供合规检测引擎接口，对存量及新增应用按照工信部164号文、191号文等标准进行快速合规审查，帮助应用商店履行相关责任义务。

移动应用违法内容审核：提供数据接口，对应用商店内的应用列表进行同步，通过静态资源分析、动态资源遍历的方式，对应用商店内的移动应用内容进行审核，降低应用商店传播包含违法内容应用的风险，反馈相关结果数据。

运营商解决方案

各大电信运营商、通信基础设施服务企业

针对运营商的实际现网情况，提供从移动应用的开发，测试，上线，运营等全生命周期的安全解决方案。同时根据国家法律法规，监管单位最新监管政策等要求，帮助运营商用户搭建符合自身需求的监管方案，保证旗下移动应用的安全及合规性行业背景

随着移动信息化时代的到来，智能终端设备，如智能手机和平板电脑，已经成为人们接入互联网的主要工具。这种趋势推动了运营商在移动信息化领域的快速发展，使得移动服务不仅限于传统的语音和短信，而是扩展到了移动生活服务、在线视频流媒体、移动游戏等多个领域，这些领域的移动客户端应用如雨后春笋般涌现。

为了满足这种增长的需求，运营商迅速构建了包括无线网络、核心网络、承载网络、业务网络、支撑网络以及传输网络在内的复杂网络系统。这些网络系统为用户提供了高速、稳定的网络连接，使得各种移动应用得以顺畅运行，从而极大地丰富了用户的移动互联网体验。

然而，随着网络系统的快速搭建和应用的广泛普及，随之而来的安全问题也日益凸显。网络攻击者利用各种手段对移动应用、企业内部数据以及通讯数据进行攻击，试图窃取敏感信息或破坏服务的正常运行。这些安全威胁不仅影响了用户的隐私和数据安全，也对运营商的业务连续性和信誉造成了严重挑战。

安全风险

在移动应用领域，运营商们提供了多种类型的客户端，这些客户端涵盖了广泛的服务和功能，其中包括但不限于游戏资费查询与管理、视频内容的观看与分享、网上缴费服务、内部办公工具以及团队内部协同工作平台等。这些移动客户端为用户提供了极大的便利，使得他们能够随时随地访问所需的信息和服务，从而提高了工作效率和生活质量。然而，随着移动客户端的广泛应用，它们也面临着日益严峻的安全风险。这些风险包括但不限于客户端被破解、刷量行为以及遭受各种网络攻击。这些问题不仅影响了运营商的正常运营，还可能对用户的个人信息安全造成威胁。因此，运营商必须采取一系列的安全措施，如加强客户端的加密技术、实施严格的访问控制和监测机制，以及定期进行安全审计和漏洞扫描，以确保移动客户端的安全性和稳定性。

解决方案

运营商因旗下管理APP数量庞大，监管要求严格，所以在制定安全解决方案时，需从全生命周期管理的角度进行考量。可通过应用备案、安全检测、安全加固、成分分析、代码审计、应用监测、渠道监测等方式，对运营商旗下APP进行智能化的安全管理。从应用漏洞&风险的发现、漏洞&风险的整改、上线后APP的监控，实现APP全生命周期的全覆盖。

同时，为保证上线后的APP可以复核监管单位的相关要求，还需从个人信息合规层面进行合规评估，确保APP不存在个人隐私信息合规问题，降低被通报的概率。

APP备案管理：以移动应用备案业务流程为核心，建立面向主管单位进行申请、面向子公司及用户提供查询、面向监管方审核存档的移动应用备案管理平台，利用动静态检测、大数据抓取、机器清洗聚合等多种技术手段，赋能备案监管的各个流程节点，保障移动应用监管业务的高质量建设。

APP安全检测：支持对Android、iOS、鸿蒙、SDK、小程序、公众号等类型应用的自动化安全检测，帮助企业进行内部或外包开发的移动应用进行安全水平评价；也可用于监管机构提供应用安全风险评价、取证。

移动APP安全加固及安全SDK：支持对Android、iOS、鸿蒙、SDK、小程序、公众号等类型应用的安全加固，提供安全键盘、环境清场、通讯数据加密等安全开发组件，帮助企业提升移动应用的安全水平。

移动应用大数据平台：帮助监管机构摸清管辖范围内的移动应用资产，并实现安全、合规、恶意行为等维度的持续监测，提升监管范围和效率。

应用数据审计系统：基于业务数据流量分析，以用户访问角度，对数据中心的数据流动进行监测和溯源，发现内部数据泄露风险。

软件安全开发管理平台：以SDL为基础，以安全开发制度、规范为准绳，以安全大数据为驱动，构建应用开发各阶段的所有模块、工具统一运行调度的平台型操作系统。把以往在测试阶段的安全工作左移，让安全问题在立项到开发的过程中就规避和解决，达到防患于未然。

源代码审计系统：支持 C\C++、 Java、 JS、 PHP、 SQL 等语言代码进行扫描检测，发现源代码中的安全缺陷、性能缺陷、代码质量等问题。

灰盒测试系统：利用多种技术方式对软件内部执行过程进行分析、度量和验证，更全面的发现软件内部缺陷。

黑盒测试系统：主要进行软件的功能性测试，验证程序是否能正确地处理输入数据并产生正确的输出结果。

外部攻击面管理系统：发现和清点企业未知的面向外部的资产，评估资产风险及脆弱性，帮助企业快速降低暴露面风险。