移动应用安全解决方案 - kingduns.com file01 现状分析 05 移动终端威胁 ......
TRANSCRIPT
移动应用安全解决方案
全生命周期、一站式服务
0
1
目录
CO
NT
EN
T
02 移动应用安全检测
03 移动应用安全加固
04 移动应用盗版监测
01 现状分析
05 移动终端威胁感知
06 移动应用全渠道检测
07 通付盾介绍
2
01Part
现状分析
手机安全问题堪忧
2014-2017年第一季度手机病毒感染用户数(万)
6801
10757 14455
37334
0
20000
40000
2014Q1 2015Q1 2016Q1 2017Q1
22.51%
17.34%
16.29%
12.37%
11.25%
11%
9.24%电子市场
软件捆绑
手机资源站
手机论坛
网盘传播
二维码
ROM内置
多种恶意软件传播渠道
刷流量(挖矿)日赚百万…
支付盗刷32万病毒…
恶意勒索黑色收入超千万…
隐私窃取X卧底,联系人信息…
病毒作者 传播渠道
手机用户网站/搜索
推广费
广告流量分成
病毒作者 传播渠道
手机用户钓鱼界面
推广费
支付账号密码
病毒作者 传播渠道
手机用户勒索界面
推广费
解锁费用
病毒作者 传播渠道
手机用户第三方
隐私信息
推广费
信息费用
手机恶意软件黑色产业链成熟,外部安全环境不佳。
快速发展的移动应用
攻击A P P代价与成本低廉
准备一套自动攻击脚本
自动攻击脚本 黑产公开售价30-50元
下载要攻击APP
下公开应用市场下载即可,耗时3-5
分钟
进行篡改和攻击等
一般耗时不超过5分钟
把仿冒APP投放应用市场
找寻网站、应用市场上架即可
3 41 2
快速移动业务与其对应的安全发展不匹配
需要遵循哪些指导标准?
已有相关标准如何落实?
移动应用安全建设范围和目标?
移动应用安全重点问题和解决方案?移动应用整体安全态势可视化?
安全的有效性、持续性、自动化?
应急响应的快速敏捷?
合规要求
安全滞后
管理困难
平台混杂
边界不清
移动办公
移动作业
移动业务
规划阶段 建设阶段 运行阶段
移动互联网发展政策环境
2016年 2017年 2018年
2017年6月《网络安全法 》正式实施,网络安全进入网络强国战略法制进程
2017年,网络安全等级保护基本要求,第3部分:移动互联安全扩展要求
2017年7月工信部发布《移动智能终端应用软件预置办和分发管理暂行规定》 ,进一步强化移动的安全管理工作
2017年9月,工信部印发《公共互联网网络安全威胁监测与处理办法》的通知
2018年4月,公安部关于《公安机关互联网安全监督检查规定(征求意见稿)》
2017年1月中共中央办公厅 国务院办公厅印发《关于促进移动互联网健康有序发展的意见》
2016年8月1日,国家网信办发布的《移动互联网应用程序信息服务管理规定》正式执行,加强对应用程序提供者和互联网应用商店的监管
8
移动应用全生命周期安全保障
通付盾移动A P P产品与服务解决方案
终端威胁感知
从恶意攻击监测、环境安全检
测、程序运行监测等维度监测
APP终端安全情况。
应用加固&安全组件
应用发布上线前,通过多种专
利技术对应用进行安全保护,
防止被黑客破解。
应用检测
全面检测移动应用的安全
性,及时发现开发过程中潜
在的代码安全。
渠道监测
监测全网400多发布渠道,
从应用版本、盗版率等多个
维度,快速识别盗版应用。
安全设计与开发咨询
为客户提供移动APP安全需
求、威胁建模、开发指导等
服务,将风险控制前置。
兼容性与安全性测试
每次APP加固都会进行兼容
性与安全测试并提供加固前
后对比报告,安全有保障。
安全威胁预警服务
7*24小时漏洞监测与威胁感
知,第一时间通告客户,确
保风险最快预警。
安全态势报告服务
定期推送安全态势分析报
告,实时把握全网安全动态
与行业安全态势。
开发 发布 运行 监测
9
02Part
移动应用安全检测
1010
移动应用安全检测解决方案
安全漏洞: 应用层、网络传输层、
数据存储层、服务器层
恶意行为: 恶意扣费、信息窃取、
远程控制、恶意传播、
资费消耗、系统破坏
诱骗欺诈、流氓行为
内容违规: 色情、性感、违禁、暴恐
Android
iOS
敏感权限、安全漏洞、风险提示
提示信息、行为分析
Android
iOS
APP WEB
编码规范 发布规范
代码安全 反逆向能力
环境安全 组件安全
数据安全 安全漏洞
通信安全 业务安全
服务端安全
自动化
检测
专家
分析
11
移动应用自动化安全检测
移动应用安全检测产品覆盖Android与iOS两大平台,基于以符号执行为核心的静态分析引擎和以运行态沙盒为核
心的动态检测引擎,结合深度学习算法,快速、准确定位漏洞,主动挖掘未知漏洞、发现恶意代码和后门程序,快速
定位风险位置,并给出合理的安全整改建议,旨在帮助应用开发者有效减少、杜绝应用快速迭代开发过程中的安全漏
洞和风险隐患,防止“APP带病上线”,避免应用运行及业务推广受影响。
动态分析
沙箱执行信息获取 分析引擎
恶意行为高危漏洞
行为趋势
权限分析
相似度分析...
行为分类
深度学习
模式匹配
存储、展示
静态分析
APK
...
hook
定制kernel
动态分析
...
动态数据集:
Log日志
运行截图
传输数据
...
静态数据集:
文件解析
权限检测
签名检测
...
主要功能
安全漏洞检测
恶意代码检测
内容违规检测
优势
动静双引擎检测
深度学习
速度快
结果精准
符合国家标准规范
12
应用代码层 网络传输层 数据存储层 服务器层
检测应用本身是否存在漏
洞,以及应用内其他配置
和 代 码 安 全 等 问 题 。
检测应用存储的数据以及
存储这些数据的方式、位
置 等 是 否 存 在 威 胁 。
检测APP携带的数据在传
输过程中是否存在威胁。
检测与APP关联的服务器
层是否存在易被攻击的漏
洞 。
通付盾移动应用安全检测产品覆盖Android与iOS两大平台,基于以符号执行为核心的静态分析引擎和
以运行态沙盒为核心的动态检测引擎,结合深度学习算法,快速、准确定位漏洞,发现恶意行为及内容违
规。
检测内容
自动化安全检测结果
移动应用自动化安全检测实
现了移动应用的自动评估、检测,
采用多维多态检测模型,解决APP
风险的深度评估与检测问题。针对
提交待评估的应用,进行静态代码
扫描、动态行为分析、内容合规检
查、数据保护检查等,通过IT系统
实现应用安全评估、检测的自动
化,提升应用风险评估能力,同时
结合手工方式的评估,完成应用的
安全评估,生成评估报告。
移动应用渗透性测试
移动应用渗透测试是完
全模拟黑客对应用发动攻击
和挖掘漏洞的专业安全测试
服务。找到应用最脆弱的环
节,让应用开发人员或者企
业直观的应用在外部环境可
能所面临的问题。
15
03Part
移动应用安全加固
16
移动应用安全加固相关产品
安全组件
iOS 加固
Android 加固SDK 加固
17
移动应用安全加固
移动安全应用加固采用模块化加固框架,对Android和iOS移动应用程序提供安全加固,使用多种专利技术,首
次将VMP虚拟机保护技术运用到APP加固领域,完美对抗逆向工程、二次打包、代码注入等攻击行为。采用“递归
壳”的加固方式,层层递进,纵深防护,达到合规性要求。
主要功能
加壳保护
代码混淆
代码加密
防篡改
VMP保护
优势
安全防破解
兼容性极高
性能损耗小
加固增量少
A ndro id应用加固效果
防漏洞百出
防二次打包
防破解
防反编译
防恶意篡改
防反调试
防支付链接、广告篡改
防数据泄露
防游戏外挂
19
保护方式 保护分类 功能项
静态防护
DEX保护
DEX防窃取
DEX文件防内存Dump
DEX文件加密
DEX文件防篡改
DEX函数级分离
So文件保护
So文件函数表防查看
So文件加密
So加壳保护
So文件绑定保护
So文件防篡改
资源保护
本地资源文件保护
数据库文件保护
配置文件保护
Assets资源保护
Res资源保护
保护方式 保护分类 功能项
动态防护
内存保护
内存保护
内存数据防读取
Java防动态调试
So防动态调试
防Hook攻击
防注入
安全工具对抗
数据保护
本地数据保护
模拟器保护
防截屏
防录屏
防劫持
日志泄漏保护
交互保护
Root检测
键盘输入保护
官方签名校验保护
二次打包保护
函数级虚拟化保护
A ndro id应用加固功能
20
防破解。产品获得国家
权威机构高级别安全认
证(EAL3)。
全兼容。适配各种机
型、各版本系统以及不
同处理器架构。
零损耗。不修改程序功
能源码与程序逻辑,不
影响程序运行效率。
安全性 兼容性 执行效率
A ndro id 应用加固特点
21
IO S应用加固
ipa ipa ipaIPA动态壳加固,无需提供应用的源代码,可以有效避免源
码泄露问题。提交ipa即可完成加固,方便、安全且高效。
基于IPA的动态壳加固保护
通付盾移动安全实验室采用业内领先的IPA加壳保护技术,使
用先进的二进制文件加固技术对IPA进行加壳保护,从而防止
应用被篡改、逆向分析等,保护应用的数据安全、业务安全
等。
22
iO S 应用加固
IPA加壳保护从环境安全检测、运行时威胁感知以及程序敏感信息保护等方面出发,提供环境
检测、威胁感知、静态常量加密、符号加密和代码逻辑混淆五个安全保护功能。
环境检测
越狱检测
攻击保护
攻击检测
静态常量加密
url、字符串等
符号加密
类名、方法名等
代码混淆
结构、逻辑混淆
23
iO S 应用加固功能
主要功能 加固项 描述
常量加密字符串加密保护 将程序中静态编码的字符串常量进行加密保护
URL加密保护 将程序中编码的URL加密保护,防止被静态分析直接获取URL
代码混淆代码中方法名、类名混淆 对源码中方法名、类名进行模糊化处理,增加代码阅读难度
代码逻辑结构混淆 在源码中插入无用逻辑块、代码块等增加静态反编译和篡改难度
VMP保护 VMP保护 将核心代码转换为在自定义虚拟机上运行的字节码,变成无意义,不可读的代码。
攻击检测
反调试 检测到程序被调试,程序退出
反钩子 检测到程序被Hook,后台提示
反注入 检测到程序被注入,后台提示
反篡改 检测到程序被调试篡改,后台提示
越狱检测 检测到设备是否已越狱,后台提示
防劫持 检测APP界面是否正遭受攻击,针对hook界面实时监测,发现劫持启动保护
二次打包保护通过对加固后程序包文件进行完整性校验,检测到代码、资源文件、配置文件、本地数据文件等
被篡改,则无法启动或退出
本地资源文件保护 通过对资源文件的加密,防止其被查看;在程序运行时,对资源文件进行校验,保证其未被篡改
APP信息保护 证书签名、bundle ID等原始APP信息保护
交叉重复检测 将检测点放置在多个入口处,多次检测,增加攻击篡改难度
24
iO S 应用加固特点
加固代码本身安全性高
我们的加固团队成员拥有多年的iOS 攻防技术积
累,加密代码经过多次优化,安全性极高。
01 服务系统化,加固方案灵活定制
我们提供安全检测—安全加固—安全开发指导的
系统服务,加固功能根据客户需求灵活选择。
02
兼容性高04
操作简单,易用性强
一键上传,非开发人员也能正常操作。
06
加固强度高,安全防破解
多维度的加固项以及多种编译器级的代码保护技
术,增加加固后的IPA的篡改,反编译难度。
代码增量少,性能0损耗
自主开发的加密算法能够做到代码无冗余,加
固后IPA大小几乎不变,不损耗应用性能。
05
03兼容原生和React-Native开发框架和C、C++、
Objective-C等多种语言,加固后IPA适配机型
不受影响,完美兼容。
25
服务方式
面向企业级用户提供在线服务方式和7*24客户服务,客户与我司签
订合同后,可通过云平台自主上传应用,进行检测、加固服务。
在线云服务
面向企业级用户提供本地化应用安全解决方案,将应用检测、加固
服务私有部署到企业本地,企业可在自己的开发环境中随时对APP
进行安全保护。本地部署
便携方案
面向企业级用户提供本地化应用安全解决方案,将应用检测加固服
务私有部署到企业本地,企业可在自己的开发环境中随时对APP进
行安全保护。
26
SDK加固
通付盾全国首家提出SDK加固方案,使黑客无法通过软件包获取源代码、刺探安全漏洞,保障SDK安全。
SO文件
加固
CLASS加
固
反调试 内存保护
API级
定制加
固
对抗脱壳
工具
双虚拟
机保护
更多…
支付SDK
广告SDK
统计SDK
地图SDK
27
安全组件>通信协议加密
在客户端和服务端分别集成通信协议加密SDK,在客户端对传输的数据进行加密后传输,在服务端对传输数据进行解密,从而保证通信层即通道中的数据为高强度加密数据。
对称加密非对称加密
28
安全组件>安全键盘SDK
在输入关键信息时提供安全防护,防止用户级、内核级键盘木马程序攻击,防止脚本注入类软件的攻击,防止黑客利用进行监听、窃取数据的行为。
29
04Part
移动应用盗版监测
30
400+渠道
监测400+分发渠道,全网覆盖无死角
实时监测
7×24小时不间断跟踪扫描
一旦发现钓鱼APP,第一时间通知预警
实时推送通知
盗版监测
一键举报
一键举报,批量下架
多维度分析
从发布渠道、应用版本、下载量、盗版率等多个维度进行精准分析,提供深度分析报告
通付盾移动应用盗版监测产品是对APK文件(Android)进行全网同名移动应用盗版监测,在上架后帮助企
业及时发现盗版应用并下架。
盗版监测
31
监测报告
支持PDF和WORD报告格式
32
应用名称 版本号 所属市场 页面地址
手机淘宝 3.0 安贝市场 http://app.youxibaba.cn/app/info/appid/11307
手机淘宝 3.0 安卓之家 http://www.ard9.com/xtgj/2504076.html
手机淘宝 3.0 安粉矶钓 http://www.appfun.cn/app/info/appid/11307
盗版监测案例分析 -淘宝
盗版的手机淘宝APP与正版相比,最大的不同点是:程序大小、包名以及签名证书不一样
33
34
05Part
移动终端威胁感知平台
35
移动安全关键问题
仅仅有了安全加固不够,还需要持续的安全运营服务
投资主要在防护层面,安全的交付是产品
攻防不对称
基于已知攻击的特征,防护滞后
缺乏对APP业务安全的持续检测和运营
专业人才
工具的利用
移动终端数据分析
缺乏对风险的感知和主动快速响应
移动威胁情报库
专业人才
36
安全性需求
威胁的预警与处置
应用安装环境安全影响
应用安装在具体设备,是否在易遭受攻击的设备,是否安装被
ROOT、是否使用了修改器框架和模拟器,手机上安装的其他
应用是否是仿冒、恶意、作弊应用等。
威胁监测
对海量终端的APP进行不间断的攻击监测,有效拦截界面劫持、so注
入、dex注入、系统加速、网络代理等攻击手段,确保应用运行安
全。
威胁处置
针对威胁信息,针对风险操作及时提醒、避免操作损失;及时组织不
同类型攻击行为的具体操作处置,保护客户财产与应用安全
37
业务增长需求
数据助力业务增长
1、使用操作:使用APP启动
次数、时长、联网方式等
2、访问操作:使用APP页面
点击量分析、页面位置、跳
转流失分析等
3、错误操作:程序错误、故
障及闪退信息收集、分析
用户画像
1、习惯分析:用户常见位
置、联网方式、行为习惯等
2、用户管理:活跃客户、流
失客户、休眠客户等客户群
体细分,提供处理建议
3、标签画像:建立多维标签
体系,针对不同维度的用户
标签刻画,支持根据业务筛
选目标客户
行为分析
38
威胁信息多维度展示
环境风险识别
• 设备环境安全系数• 设备是否root/越狱• 是否模拟器• 识别高危APP• 山寨应用识别• 伪冒应用识别• 恶意应用识别• 应用权限扫描• 设备风险分析
终端病毒扫描
• 终端木马发现• 终端病毒预警• 病毒特征提醒
地理位置识别
• 设备真实IP• IP地址经纬度• 设备所在时区、国
家、省份、城市• GPS信息
运行程序分析
• 运行终端系统分析• 程序异常崩溃分析• 程序分布系统• 新增设备分析
可疑设备识别
• 设备黑名单(可疑行为识别模型)
• 分行业分场景设备黑名单
• 跨行业群防群控
攻击行为
• so注入攻击• dex注入攻击• 界面劫持攻击• 动态调试攻击• 页面截屏攻击
39
终端威胁感知平台安全能力
需要集成在客户APP中,是一款面向手机终端的全
方位安全服务产品。检测移动终端面临的各类安全
威胁。
对威胁信息进行深度挖掘及关联分析,提取出终端
威胁感知平台所需要的特征信息。
利用可视化的技术手段,将感知到的攻击行为进行
实时动态化展示,对程序运行环境、运行异常进行
分布统计。
实时监测中心,安全趋势一目了然
41
应用风险分析
42
产品服务方式
面向企业级用户提供在线服务方式和7*24客户服务,客户与我司签
订合同后,有运营团队对其进行服务,提供在线的交付和问题解
答。在线云服务
面向企业级用户提供本地化应用安全解决方案,将应用检测、加
固、威胁感知等产品私有部署到企业本地,企业可在自己的工作环
境中随时对APP进行安全保护。本地部署
43
06Part
移动应用态势感知平台
44
移动互联网络发展现状—全国应用分发渠道
全国渠道市场共有400+家,北上广占比47.93%。
1 1 1 2 2 2 2 3 4 5 5 5 6 79 9 10 11
1517 18
2931
57
63
0
10
20
30
40
50
60
70
手机应用管理厂商
第三方应用市场
下载站、论坛
电信运营商
手机制造商
45
移动互联网安全问题—分发入口
应用商店繁杂
缺乏统一监管
开发者身份认证简
单甚至没有
缺乏上线审查
恶意/违规泛滥
46
移动互联网安全问题—移动应用
手机APP
统一规范
难于监管
威胁监测
恶意软件
可信认证
漏洞检测
安全漏洞
发布管控
内容安全
权限认证
权限滥用
个人隐私
47
移动互联网络安全监测解决方案—监管思路
全网监测
对区域范围内的移动应用进行安全监
测分析和预警
一经发现移动应用存在违法违规的行为,立即通报下架
对涉及重大事件的移动应用从分发渠道、开发人员追溯责任
违规管控 溯源打击
48
移动互联网络安全监测解决方案—总体目标
全网监测
应用检测
追踪溯源
威胁预警
实时监测全国400+应用分发渠道,采集与移动应用相关的各类信息
通过自动化检测引擎,分析应用安全漏洞、恶意行为及违规内容
针对发现的恶意行为,通过大数据引擎分析判定相似度及来源
高危漏洞、病毒木马、违规信息等关键安全趋势分析,及时预警
全网应用库(AppBase)
400+应用分发渠道
49
移动互联网络安全监测解决方案—产品架构
渠道分析
全网概览用户界面
应用分析
行业分析
综合查询 ……
任务管理
用户管理系统管理
预警管理
权限管理
下架管理 ……
行业分析API
仿冒应用API接口管理
恶意程序API
渠道分析API
系统对接API ……
系统界面
数据采集
应用市场威胁采集
应用威胁采集
服务端威胁采集
终端环境威胁采集
违规内容采集
协同安全分析平台
威胁预警
态势感知
APK漏洞报告
APK仿冒报告
内容违规报告
恶意程序报告
应用漏洞报告 行业安全报告
地域安全报告渠道安全报告
仿冒库
渠道市场库
APP漏洞库
行业库
违规内容库 APP基础库
恶意程序库WEB漏洞库
违规内容分析
仿冒分析
恶意程序分析
APP漏洞分析
……WEB漏洞分析
渠道监测引擎
违规内容监测引擎
服务端监测引擎
应用检测引擎
WebAPI检测引擎
病毒检测引擎
……
数据资源平台
数据存储
数据分类
数据分析
数据整治
50
根据《移动互联网恶意程序描述格
式》,采用动静结合的恶意代码检测
引擎,分析APP是否存在恶意扣费、
信息窃取、远程控制、恶意传播、资
费消耗、系统破坏、诱骗欺诈、流氓
行为等恶意行为。41,0.12%
120,0.35%
437,1.26%
576,1.66%
1259,3.63%
1288,3.71%
2170,6.25%
2943,8.48%
5466,15.75%
9058,26.11%
11336,32.67%
0 2000 4000 6000 8000 10000 12000
短信发送
间谍行为
恶意后门
诱骗欺诈
恶意传播
远程控制
恶意扣费
系统破坏
隐私窃取
流氓行为
资费消耗Android APP恶意行为类型分布
主要功能 -恶意行为监测
51
通过内容违规检测引擎分析移动应用和后
端服务器中图片、文本是否存在的违规内
容,包括淫秽色情、枪支暴恐、反动言
论、聚众赌博、吸毒贩毒等。
主要功能 -内容违规监测
52
通过盗版仿冒检测引擎分析移动应用图
标、名称、包名、签名、代码相似度等细
节,识别二次打包、仿冒钓鱼等危险应
用。
游戏娱乐
51.96%
生活服务
30.26%
社交沟通
6.55%
媒体资讯 3.78%
教育培训 3.04%
旅游出行 1.30%
医疗健康 0.99%
理财工具 0.98%
网上购物 0.71%
证券 0.17%
彩票&充值 0.13%
银行 0.09%
保险 0.03%第三方支付
0.02%
Android APP盗版仿冒行业分布
主要功能 -盗版仿冒监测
53
基于专利技术的移动应用安全漏
洞分析引擎,快速检测移动应用
存在的安全漏洞及风险危害,并
提供修复建议。
20.86%
19.69%
17.32%
16.81%13.94%
2.88%2.69%2.30%
1.13%
0.97%
0.78%
0.45%
0.09%
0.07%
0.008%
0.0009%
log记录安全
Webview远程代码执行安全
SharedPreferences加密存储安全
Wormhole漏洞
SharedPreferences读写安全
SSL中间人攻击安全
WebView组件忽略SSL证书验证错误漏洞
未移除有风险的Webview系统隐藏接口
Debug安全
通信协议安全
Content provider目录遍历漏洞
zip文件目录遍历漏洞
SQLite读写安全
SQLite加密存储安全
通信数据安全
sdCard数据安全
Android APP安全漏洞类型分布
主要功能 -安全漏洞监测
54
主要功能 - A P P追踪溯源
55
移动互联网络安全监测解决方案—平台特点
全网监测覆盖全国安卓市场
实时监控7×24小时不间断
全面的引擎分析涵盖恶意\违规\仿冒\漏洞
多维度报表大数据挖掘与分析系统
56
全渠道检测平台展示
57
移动互联网络安全监测解决方案—方案总结
1
建立黑白名单,有效推进移动可
信认证
持续不断曝光恶
意、违法、有害的
移动应用,形成
APP黑名单;同时
可为合法合规的应
用进行安全可信认
证,形成APP白名
单。
2
渠道分发管控,阻断违法程序扩散途径
可为移动应用商店
提供APP上架安全
检测服务,为监管
部门提供属地化安
全管理平台,督促
应用商店加强安全
审核。
3
事件溯源打击,有效遏制
黑客产业链
通过加强安全漏洞
发现能力、事件应
急解决能力及对移
动非法APP传播渠
道的监控,最大限
度打击地下黑客产
业链。
4
全面安全监管,提供管理
决策支持
通过深层次数据挖
掘和分析,为安全
监管部门和行业管
理部门提供决策支
持,实现移动安全
全方位信息掌控。
58
方案总结
面向APP全生命周期、提供一站式服务平台
APP安全检测:双擎检测、全面覆盖、快速准确。
APP安全加固:安全防破解、设备全兼容、性能零
损耗。
安全组件 SDK:按需集成、提高业务安全强度。
终端威胁感知:主动防御、实时告警、及时响应。
APP渠道监测:全网监测、全面分析、及时下架。
• 安全加固
• 安全组件
• 版权保护
• 渠道监测
• 风险预警
• 应急响应
• SDL规范
• 源码审计
• 安全测试
• 业务梳理
• 需求分析
• 架构设计
安全
设计
安全
开发
安全
发布
安全
运营安全&合规,满足行业主管部门、等级保护等监管要求
59
07Part
通付盾介绍
60
公司简介
通付盾是一家以数字身份为核心的数字化安全解决方案和服务提供商,聚焦网络安全、人工
智能以及区块链技术,为金融、电信、电力、教育、公安、军队等行业用户提供数字化安全解决
方案产品及服务。
通付盾是国家高新技术企业,中国软件协会AAA信用企业认证,军工武器装备科研生产单位,
军民融合信息安防集采平台供应商。拥有ISO9001质量认证,ISO27001信息安全管理体系认证,
CMMI3软件能力成熟度集成模型认证,中华人民共和国增值电信业务经营许可证(全国范围),信息
安全风险评估服务一级资质,商用密码产品型号证书等资质。
成立以来公司累计获得专业机构投资数亿人民币。连续四年入选安全牛“中国网络安全企业
50强”,并获得 “2017毕马威金融科技50强”、“2017德勤高科技高成长中国50强”、“2017
区块链专利全球十强”、“2018胡润区块链领军企业TOP20”等荣誉。
61
公司资质
军工武器装备科研生产单位三级保密资质
军民融合信息安防集采平台供应商
安全部信息安全测评中心供应商
公安部信息安全产品销售许可证
国密局商用密码产品型号证书
工信部增值电信业务经营许可证
工信部数据流通标准:金融风控类产品及服务标准
国家信息安全漏洞库(CNNVD)技术支撑单位
国家计算机病毒应急处理中心优秀技术支持单位
国家网络信息安全信息通报机制技术支持单位,
互联网协会反网络病毒联盟白名单工作组成员单位
信息安全风险评估一级服务资质认证,信息安全应急
处理三级服务资质认证
高新技术企业,双软认证企业
ISO27001、 ISO9001管理体系认证,CMMI3软件
能力成熟度集成模型
... ...
62
产品认证
公安部信息安全产品销售许可证
中国信息安全测评中心EAL3产品认证
国家信息技术产品研究中心产品认证
国家计算机病毒应急处理中心认证
中国电子技术标准化研究院认证
63
发明专利(创新能力)
公司目前已拥有38项发明专利,其中移动安全相关的10项。
1) 一种移动平台应用软件的检测方法
2) 一种恶意URL检测方法及其实现系统
3) 一种Android系统应用的深度代码混淆方法
4) 一种移动平台应用软件的加固方法
5) APK文件安全检测方法及装置
6) 服务端接口信息检测方法及装置
7) 一种基于风险评估和多重可信的移动支付方法
8) 一种社交平台的安全运行方法
9) 一种云密码系统及其运行方法
10) 一种短动码的实现方法及其应用
64
软件著作权(研发能力)
公司目前已拥有58个软件著作权,其中移动安全相关的13项
1) 通付盾渠道监测软件V2.0
2) 通付盾安全加固定制版软件V2.1
3) 通付盾SDK安全加固软件V2.0
4) Fortify应用安全检测与增强系统V2.0
5) Android应用漏洞扫描系统软件V2.1
6) AppScan应用安全检测工具软件
7) WebScan深度检测工具软件V2.0
8) 移动应用安全监测预警中心系统软件V2.0
9) 通付盾终端威胁感知平台软件
10) 通付盾环境清场系统软件
11) 通付盾反病毒引擎软件
12) 通付盾iOS检测软件
13) 通付盾iOS应用程序保护软件
行业影响力
1) 中国网络安全50强(2018年上半年度)
2) 国家反病毒应急中心年度优秀支撑单位
3) 中国国家信息安全漏洞库支撑单位
4) OWASP应用安全联盟《移动应用安全检测基准》
5) 信息安全风险评估服务资质(一级)
6) 信息安全应急处理服务资质(三级)
7) 2017德勤高科技高成长中国50强
8) 2017年度优秀人工智能企业
9) 墨提斯(METIS)奖—移动安全应用服务奖
66
部分客户
湖南三湘银行BANK OF SAN XIANG
大安农商银行Daan Rural
Commercial Bank
周口农商银行Zhoukou Rural
Commercial Bank
客服电话:400-831-8116
商务合作:[email protected]
官方网址:www.tongfudun.com
北 京 · 上 海 · 广 州 · 深 圳 · 苏 州 · 杭 州 · 成 都
售后服务:[email protected]