经营分析☆ ◇000004 *ST国华 更新日期:2025-05-01◇ 通达信沪深京F10
★本栏包括【1.主营业务】【2.主营构成分析】【3.前5名客户营业收入表】【4.前5名供应商采购表】
【5.经营情况评述】
【1.主营业务】
生物医药及移动互联网游戏业务。
【2.主营构成分析】
截止日期:2024-06-30
项目名 营业收入(元) 收入比例(%) 营业利润(元) 利润比例(%) 毛利率(%)
─────────────────────────────────────────────────
移动网络安全(行业) 3587.36万 96.65 2921.07万 97.35 81.43
其他业务(行业) 77.89万 2.10 76.92万 2.56 98.75
应急产业(行业) 46.51万 1.25 2.51万 0.08 5.41
─────────────────────────────────────────────────
移动网络安全(产品) 3587.36万 96.65 2921.07万 97.35 81.43
其他业务(产品) 77.89万 2.10 76.92万 2.56 98.75
应急产业(产品) 46.51万 1.25 2.51万 0.08 5.41
─────────────────────────────────────────────────
华东(地区) 1515.04万 40.82 1278.46万 42.61 84.38
华北(地区) 1187.69万 32.00 925.01万 30.83 77.88
华南(地区) 431.47万 11.62 367.50万 12.25 85.17
西南(地区) 303.92万 8.19 --- --- ---
华中(地区) 116.18万 3.13 --- --- ---
东北(地区) 84.70万 2.28 --- --- ---
西北(地区) 72.77万 1.96 --- --- ---
─────────────────────────────────────────────────
安全类(业务) 3587.36万 96.65 2921.07万 97.35 81.43
其他类(业务) 77.89万 2.10 76.92万 2.56 98.75
应急类(业务) 46.51万 1.25 2.51万 0.08 5.41
─────────────────────────────────────────────────
截止日期:2023-12-31
项目名 营业收入(元) 收入比例(%) 营业利润(元) 利润比例(%) 毛利率(%)
─────────────────────────────────────────────────
移动网络安全业务(行业) 1.05亿 95.01 --- --- ---
应急业务(行业) 453.64万 4.12 142.13万 2.24 31.33
其他业务(行业) 95.07万 0.86 --- --- ---
─────────────────────────────────────────────────
安全加固检测类(产品) 4681.25万 42.54 2756.77万 43.49 58.89
安全检测类产品(产品) 2727.18万 24.78 1664.46万 26.26 61.03
移动应用安全检测平台(产品) 916.51万 8.33 --- --- ---
应急类产品(产品) 453.64万 4.12 142.13万 2.24 31.33
移动应用安全加固平台(产品) 434.96万 3.95 --- --- ---
集成产品(产品) 396.60万 3.60 --- --- ---
定制开发产品(产品) 316.04万 2.87 --- --- ---
其他平台(产品) 301.59万 2.74 --- --- ---
威胁态势感知平台(产品) 300.60万 2.73 --- --- ---
安全管理平台(产品) 241.50万 2.19 --- --- ---
源代码审计平台(产品) 139.91万 1.27 --- --- ---
其他产品(产品) 95.07万 0.86 --- --- ---
─────────────────────────────────────────────────
华东地区(地区) 4033.89万 36.66 2555.58万 40.32 63.35
华北地区(地区) 2894.34万 26.30 1784.07万 28.15 61.64
华南地区(地区) 1929.12万 17.53 912.06万 14.39 47.28
西南地区(地区) 1411.46万 12.83 582.94万 9.20 41.30
华中地区(地区) 326.71万 2.97 --- --- ---
东北地区(地区) 215.57万 1.96 --- --- ---
西北地区(地区) 193.77万 1.76 --- --- ---
─────────────────────────────────────────────────
直签(销售模式) 9221.96万 83.80 5255.74万 82.91 56.99
渠道(销售模式) 1782.90万 16.20 1083.10万 17.09 60.75
─────────────────────────────────────────────────
截止日期:2023-06-30
项目名 营业收入(元) 收入比例(%) 营业利润(元) 利润比例(%) 毛利率(%)
─────────────────────────────────────────────────
移动网络安全(行业) 2768.63万 86.60 1840.49万 92.05 66.48
应急产业(行业) 380.34万 11.90 111.91万 5.60 29.42
其他业务(行业) 47.98万 1.50 47.01万 2.35 97.97
─────────────────────────────────────────────────
移动网络安全(产品) 2768.63万 86.60 1840.49万 92.05 66.48
应急产业(产品) 380.34万 11.90 111.91万 5.60 29.42
其他业务(产品) 47.98万 1.50 47.01万 2.35 97.97
─────────────────────────────────────────────────
华东(地区) 1173.65万 36.71 868.94万 43.46 74.04
华北(地区) 903.27万 28.25 678.40万 33.93 75.10
西南(地区) 671.31万 21.00 102.08万 5.11 15.21
华南(地区) 216.14万 6.76 --- --- ---
东北(地区) 136.73万 4.28 --- --- ---
华中(地区) 79.61万 2.49 --- --- ---
西北(地区) 16.23万 0.51 --- --- ---
─────────────────────────────────────────────────
截止日期:2022-12-31
项目名 营业收入(元) 收入比例(%) 营业利润(元) 利润比例(%) 毛利率(%)
─────────────────────────────────────────────────
移动网络安全业务(行业) 8494.58万 51.03 --- --- ---
应急业务(行业) 8062.90万 48.44 798.56万 12.84 9.90
其他业务(行业) 88.85万 0.53 86.90万 1.40 97.81
─────────────────────────────────────────────────
应急类产品(产品) 8062.90万 48.44 798.56万 12.84 9.90
安全加固检测类(产品) 4379.87万 26.31 3408.23万 54.80 77.82
安全检测类产品(产品) 2293.70万 13.78 1658.27万 26.66 72.30
集成产品(产品) 840.66万 5.05 --- --- ---
移动应用安全检测平台(产品) 434.63万 2.61 --- --- ---
定制开发产品(产品) 215.90万 1.30 --- --- ---
其他平台(产品) 123.63万 0.74 --- --- ---
其他产品(产品) 88.85万 0.53 86.90万 1.40 97.81
移动应用安全加固平台(产品) 73.80万 0.44 --- --- ---
威胁态势感知平台(产品) 52.53万 0.32 --- --- ---
源代码审计平台(产品) 46.13万 0.28 --- --- ---
安全管理平台(产品) 33.73万 0.20 --- --- ---
─────────────────────────────────────────────────
华东地区(地区) 1.01亿 60.49 2468.41万 39.69 24.51
华北地区(地区) 3278.83万 19.70 1886.69万 30.34 57.54
华南地区(地区) 1779.19万 10.69 1183.76万 19.03 66.53
西南西区(地区) 687.81万 4.13 --- --- ---
西北地区(地区) 369.44万 2.22 --- --- ---
华中地区(地区) 259.44万 1.56 --- --- ---
东北地区(地区) 202.06万 1.21 --- --- ---
─────────────────────────────────────────────────
直签(销售模式) 1.56亿 93.93 --- --- ---
渠道(销售模式) 1009.80万 6.07 --- --- ---
─────────────────────────────────────────────────
【3.前5名客户营业收入表】
截止日期:2024-12-31
前5大客户共销售0.22亿元,占营业收入的22.12%
┌───────────────────────┬───────────┬───────────┐
│客户名称 │ 营收额(万元)│ 占比(%)│
├───────────────────────┼───────────┼───────────┤
│客户一 │ 723.26│ 7.33│
│客户二 │ 551.07│ 5.59│
│客户三 │ 363.10│ 3.68│
│客户四 │ 277.52│ 2.81│
│客户五 │ 266.92│ 2.71│
│合计 │ 2181.88│ 22.12│
└───────────────────────┴───────────┴───────────┘
【4.前5名供应商采购表】
截止日期:2024-12-31
前5大供应商共采购0.24亿元,占总采购额的38.62%
┌───────────────────────┬───────────┬───────────┐
│供应商名称 │ 采购额(万元)│ 占比(%)│
├───────────────────────┼───────────┼───────────┤
│供应商一 │ 1144.25│ 18.43│
│供应商二 │ 502.43│ 8.09│
│供应商三 │ 373.35│ 6.01│
│供应商四 │ 200.00│ 3.22│
│供应商五 │ 178.00│ 2.87│
│合计 │ 2398.03│ 38.62│
└───────────────────────┴───────────┴───────────┘
【5.经营情况评述】
截止日期:2024-06-30
●发展回顾:
一、报告期内公司从事的主要业务
自建设网络强国的战略目标提出以来,过去十年间,我国网络安全保障体系和能力持续提升,网络空间
法治化程度不断提高,网络安全和信息化事业取得了重大成就。党中央高度重视网络安全问题,不断强化网
络安全顶层制度设计,持续完善健全网络安全相关政策法规和监管制度体系,为数字经济发展保驾护航。随
着数字经济的全面、规范、快速发展,信息安全产品和服务成为企业数字化转型和发展不可或缺的一部分。
公司作为国内移动应用安全头部企业,积极响应国家“数字经济”的发展战略,认真钻研各类移动应用
安全技术,研讨和分析各种互联网移动应用场景,经过多年的精耕细作,初步形成了独有的业务生态体系,
从满足单项安全或合规需求的工具类产品,到集成多种功能的平台类产品及覆盖多领域的安全咨询服务,公
司能够为客户提供全方位、一站式的移动安全全生命周期解决方案,打造和谐、强大、高度安全的万物互联
生态环境。
(一)移动应用安全工具类产品和服务
移动应用安全工具类产品和服务能力贯穿了移动应用设计指引、安全开发测试、应用优化、应用安全发
布及应用上线运营阶段的整个生命周期,并拥有丰富的产品形态和高度的业务适配性,用户遍及金融、运营
商、政府、电商、能源、教育、游戏等多个行业。
1、安全检测产品:适用于移动应用的开发者客户及各类移动应用持续监督管理者,能够全面检测移动
应用中存在的安全漏洞、编码缺陷、个人信息安全等问题,并出具专业的安全检测报告,对发现的问题给予
详细的解决建议,帮助开发者提前避免因安全漏洞导致的安全事故,及时预防安全风险,同时使得检测整改
后的移动应用能够满足国家移动应用安全相关法律法规和监管要求。产品采用静态检测、动态检测、内容检
测等技术,包括Android应用检测、iOS应用检测、鸿蒙APP检测、SDK检测、个人信息安全检测、微信公众号
检测、微信小程序检测、内容检测、固件检测等系列。
2、安全加固产品:适用于移动应用的开发者和运营者客户,能够解决移动应用本身存在的脆弱性问题
,有效防止移动应用被破解和篡改等风险发生,保障应用开发者和运营者的合法权益,并在保证安全性的同
时兼顾性能,把加固行为对应用安装和运行的用户体验影响降到最低。产品综合采用AndroidDex加固、SO加
固、SDK加固、输入输出信息保护、密钥白盒、协议加密、C/C++/OC/swift源码混淆保护、Java2CPP保护以
及SOLinker等技术,通过领先的第八代All-InVMP加固技术,为用户提供全面的移动应用加固和攻击防范工
具及安全套件。
3、个人信息保护产品+服务套件:公司紧密结合个人信息保护法律体系监管要求和企业端的业务需求,
推出移动应用个人信息安全检测平台和个人信息安全合规测评服务,其中:个人信息安全检测平台主要针对
移动应用的基本信息、漏洞信息、收集和使用个人信息行为、通讯传输行为、软件和技术供应链情况、技术
脆弱性、隐私政策规范性等进行多维度安全检测和合规检测,能够帮助监管机构准确、有效地提供行政执法
依据,帮助测评机构出具专业的个人信息测评报告,帮助应用市场实现应用上架前的合规风险扫描与控制,
帮助应用开发企业在应用发布前评估个人信息的安全性和合规性。此外,公司提供个人信息合规测评服务,
着力解决APP违规收集使用个人信息、过度索权等用户关心的信息安全问题,对标监管机构的通报执行范围
、应用市场的合规风险扫描范围、竞品企业的违规测评认定范围等制定合规差距评估模型,提供测评与整改
咨询的服务,推进APP合规运营,为移动应用用户的个人信息安全保驾护航。
4、移动应用深度安全-人工服务:利用人工手段协助国家和区域安全监管机构、测评机构、重要行业用
户,对现有安全体系和技术手段进行有效补充和完善,服务内容涵盖攻防渗透、隐私合规测评、源代码审计
、安全培训、兼容性测试、等级保护安全咨询等,为行业高端用户提供全方位治理服务。一是提供人工渗透
服务,在合法且取得用户授权的前提下,通过模拟黑客攻击对整个应用系统进行全面的漏洞检测与分析,输
出专业的渗透测试报告,并提出漏洞修复建议与修复指导方案;二是提供高端定制化隐私合规测评服务,帮
助企业快速满足国家、监管机构及企业自身的合规政策和标准要求;三是提供源代码审计服务,全面挖掘出
应用系统源代码中存在的安全漏洞、性能缺陷、编码规范缺陷等问题,避免因软件代码存在安全漏洞导致的
安全事故及风险;四是提供安全培训服务,为客户定制个性化的安全培训课程方案,通过新颖、专业、详细
的安全课程培训、安全事件解读与实操实训,帮助企业人员了解并掌握相关安全知识、安全技能;五是提供
兼容性测试服务,对移动应用原包及加固包的兼容性(安装、启动、运行、卸载成功率及失败率)、性能(
安装、启动耗时、内存占用、CPU占用、流量消耗量)和业务功能可用性进行测试;六是提供等级保护安全
咨询服务,结合行业特点对业务信息系统提供定级参考建议,协助客户完成定级备案工作,提供等级保护和
安全意识的培训服务。
(二)移动应用安全平台类产品和方案
1、移动应用安全大数据平台:面向移动应用发布运营后监测安全问题的平台级产品,其客户覆盖行业
监管、业务运营和各级执法单位。平台利用强大的网络爬虫能力采集各渠道发布的应用,运用内置AI机器智
能学习模型自动对海量数据进行规则清洗打标,形成按照区域、行业、功能、特征标签,通过调用平台100
多个各类检测引擎将移动应用基础安全防护和检测能力进行有效整合,内置安全评估模型定性、定量客观呈
现移动应用安全运行状态和水平,对各种类型移动应用提供主动、持续、动态的风险业务识别、侦测和分析
,能够提供指定移动应用运行安全状态监测服务,辅助监管单位对辖区内移动应用进行监测与管理,为移动
应用运营单位提供移动应用安全、平稳、合规运行的安全风险分析和能力支撑,并提供必要的决策分析支撑
,同时能够根据行业用户需求分别针对企业用户和监管机构推送多种形式的移动应用安全监测数据。
2、移动安全管理平台:客户群体多为行业用户及安全管理部门,平台以企业移动业务安全为核心,结
合企业安全策略动态调配自有或第三方安全工具和防护措施,针对监管合规、安全建设、风险管控等业务场
景,提供应用检测、应用加固、态势感知、个人隐私检测、内容检测、源代码审计、EMM在内的多种安全能
力,基于规划、设计、开发、测试、上线、运营全生命周期,实现移动业务的事前安全管控、事中威胁监测
、事后安全管理,帮助企业构建完整的移动安全管理体系,满足企业移动安全体系化建设需求。
3、应用安全风险监测平台:为企业用户实时监测渠道上的Android、ios、小程序、公众号资产是否存
在盗版仿冒风险、通报风险、漏洞风险、个人信息风险、恶意风险、境外传输风险,以及内容安全风险等。
平台实时监测超过1900+个主要应用分发渠道,分析应用发布有效性、运营数据全面性而推出的大数据类产
品,能够针对各类风险问题进行分析后给出合理化处理建议,并提供专业的安全咨询及整改服务,帮助企业
及时规避各项风险,并提供持续性监测能力。
4、移动威胁态势感知平台:针对关注移动应用上线后运行状况和各类安全攻击突发事件的行业客户提
供的安全事件监测平台,具备移动应用安全持续监控能力,能够及时发现各种攻击威胁、异常行为、环境风
险,实时收集移动应用在使用过程中的安全信息,通过大数据技术对安全事件进行事前态势感知、事中实时
响应、事后追踪溯源,对威胁相关的影响范围、攻击路径、目的、手段进行快速判别,提供有效的安全决策
和响应建议,并建立安全预警机制和生成威胁风险报告,从而帮助企业安全管理人员掌握移动业务的整体安
全态势。
5、防人脸识别攻击解决方案:适用于在移动业务应用中使用人脸识别技术进行登录、验证和防伪识别
的用户,涵盖运行环境攻击防护和算法攻击防护两大模块,能够在移动应用调用人脸识别业务环节避免环境
攻击、数据篡改、算法欺骗等安全风险,帮助企业客户提高移动应用人脸识别业务的安全性,保障用户的个
人信息及资产安全。其中:环境攻击防护通过系统环境检测、HOOK框架检测、调试攻击检测、注入攻击检测
、数据防篡改、数据加密等技术,一是防止在移动APP端做人脸识别检测时通过注入攻击、HOOK攻击等攻击
方式替换人脸识别图片和视频,二是防止在APP与服务器通信时通过劫持数据提交接口、数据传输接口、网
络抓包等攻击方式替换人脸识别图片和视频,绕过活体检测;算法攻击防护则是对传入人脸视频和照片信息
进行算法识别和检测分析,防止通过对抗样本攻击、深度伪造攻击等技术伪造人脸信息,绕过人脸识别认证
,可以有效防止静态仿冒、AI换脸、T型面具、动态视频等算法攻击风险。
(三)创新产品建设
1、数据与个人信息合规智探大模型一体机
适用于移动应用数据与个人信息合规领域效能提升,大模型一体机内置AI大模型算法,极大提升了合规
检测的时效性和准确性,遵从监管政策合规要求,聚焦数据保护领域。本产品基于合规经验数据投喂,优化
了智能检测引擎,系统动态调整检测逻辑与参数,确保始终站在合规前沿;政策法规深度融合,自动学习最
新的个人信息合规法规动态与专业知识,数据切片训练LLM(LargeLanguageModel)大语言模型,构建移动
安全合规知识库,精准赋能,提升效率;智能化合规交互助手,基于NLP(NaturalLanguageProcessing)自然
语言处理技术,能够深入理解用户意图,提供更加人性化的交互体验。
2、移动应用风险监控大模型一体机
适用于企业自身的移动应用互联网外部暴露风险预警和处置,集成大数据分析引擎,深入剖析移动应用
资产发布的各类渠道,能够从海量数据中提取有价值信息。结合最新的《网络安全法》《数据安全法》《个
人信息保护法》及各行业部门的法规要求,利用AI技术构建多样化的预判类模型、描述型模型,识别并报告
应用的漏洞风险、仿冒盗版活动、合规性违规以及恶意篡改威胁。
基于NLP自然语言分析,构建深度神经网络模型,能够自动学习文本中的深层特征表示,从而实现对自
然语言更精确的理解和处理,满足文本分类、信息抽取、搜索引擎多种场景。通过不断自我学习与数据管理
,能够持续不断识别外部风险变化的数据,优化丰富风险知识库,从而实现潜在风险的精准风险捕捉,确保
企业在第一时间掌握风险状况,采取有效措施减少潜在损失。通过人机交互实现“一问一答”的沉浸式风险
观测,满足多场景下的使用体验。
(四)移动应用安全生态环境建设在数字科技的产业政策推动下,各行业都在积极探索新IT业态下的顶
层业务逻辑。如何将移动应用安全纳入到原有的安全防御体系中,是未来互联网生态下各行各业都需要解决
的问题。为此,公司积极参与国家、行业主管部门和检测测评机构针对移动应用安全发起的专项课题研究、
标准编制、新业务试点工作,推动国内移动应用安全生态环境的良性发展,形成政府、企业和用户于一体的
互联网安全生态。作为移动应用安全的引领者,公司将通过领先行业的移动安全技术,推动产业互联网、政
府互联网、消费互联网的移动应用安全生态的发展,以业务创新实现产业共赢。
(五)数据安全咨询服务该服务包括数据安全治理体系设计、数据安全风险评估等十个类别,涵盖数据
安全管理、技术、人员、数据处理活动四个维度,以数据安全监管合规为底线,技术防护为核心,数据安全
流转为目标,为企业客户提供专业的咨询服务。
1、数据安全治理体系设计:涵盖数据安全组织架构、管理制度、技术体系、运营体系和文化建设等方
面的咨询服务,协助企业建立多方参与的数据安全机制,打通部门间沟通障碍,夯实数据安全治理工作,形
成完善的制度、技术防护和运营体系,统一企业内部数据安全共识,实现一体化的数据安全建设,确保企业
数据得到有效保护和合法利用。
2、数据安全风险评估:通过识别企业数据泄漏、破坏、窃取、滥用等风险点,以及识别新技术应用(
如:5G、人工智能、云计算、大数据等)衍生的新型安全风险,提供有效的安全防护建议;规整国家层面、
特定行业层面数据安全风险评估要求,协助企业落实风险评估工作,并构建自评估能力。
3、数据出境安全评估:通过识别企业数据跨境行为及数据内容,厘清企业出境数据详情;精准识别豁
免场景,紧贴跨境服务贸易及特定自由贸易试验区负面清单机制,完成数据出境风险评估,清晰掌握出境数
据流向及风险,协助企业编写符合网信办数据出境安全评估申报表、出境风险自评估报告,辅助完成申报工
作。
4、个人信息保护咨询服务:基于《中华人民共和国个人信息保护法》,对企业各项业务中的个人信息
处理过程进行调研,梳理个人信息和业务逻辑流转情况,识别目标信息数据;对于重点场景个人信息保护现
状开展全面风险评估,并对前台涉及个人隐私的重点系统进行个人隐私设计评估,定位企业在个人信息治理
、管理、技术层面存在的漏洞与不足,提出治理、产品设计、系统控制等层面的整改优化建议,并开展持续
的跟踪督办工作。
5、数据安全认证评估咨询:协助企业选择适合的数据安全管理能力认证证书,全面衡量企业数据安全
能力成熟度,“一站式”协助企业完成DSM(DataSecurityManagement,数据安全管理认证)、DSMM(DataS
ecurityCapabilityMaturityMode,数据安全能力成熟度认证)、DCMM(DataManagementCapabilityMaturit
yModel,数据管理能力成熟度认证)对应认证工作,提升企业竞争力。
6、数据安全专业培训:公司拥有丰富的数据安全、个人信息安全监管处罚案例库,能针对不同层级人
员进行定制化培训内容输出,建立企业员工对数据安全、个人信息保护的正确认识,规范员工日常行为;打
破行业壁垒,让企业充分了解数据安全、个人信息保护最新监管政策及趋势,以便规划合规方案。
7、数据安全应急服务:针对数据安全突发事件预制方案,确保企业及时、有序、有效地开展应急响应
工作;结合企业实际业务场景及现行预案流程,制定演练脚本,检查预案的科学性和有效性;通过专业的数
据安全应急响应技术人员,提供7*24小时现场支撑;协助客户构建数据安全应急管理机制,满足监管合规要
求,有效识别数据安全预案缺陷,增强企业应对突发数据安全事件的信心和应急意识;在重保期间可快速补
充内部缺失的专业技能人才。
8、数据分类分级咨询:根据企业所处行业特性对现有数据分类分级框架进行分析,提供统一的分类维
度及定级标准建议;结合分级框架梳理策略,优化分类分级工具效率及准确度;协助企业建立适用自身业务
特色的分类分级标准,完善数据安全治理基础工程,推动数据分级管控技术措施落地。
9、数据安全专项检查服务:公司拥有专业的移动应用个人信息检测平台和移动应用安全检测平台,能
够辅助企业快速识别移动应用相关风险;通过体系化数据安全评估矩阵,全方位覆盖各监管机构检查维度,
帮助企业快速应对专项检查工作,落实数据安全防护义务。
10、应用系统数据安全管控咨询服务:公司拥有丰富的数据安全技术管控基线知识库,可快速结合企业
数据安全防护现状提取适用自身的应用系统数据安全管控要求;成熟的应用安全开发管控平台,可以在应用
系统全生命周期无缝嵌入数据安全基线;专业的合规及安全测试团队,可以对应用系统数据安全基线进行符
合性验证,完成数据安全闭环管理。服务中我们以应用系统作为管控抓手,将数据安全、隐私合规管控要求
前置至应用系统需求阶段,从源头解决合规问题及技术保护难题,减少后续风险修复成本;协助企业履行监
管及内部数据安全管理要求,推进存量应用系统数据安全风险整改,以及新增应用系统内生数据安全防护。
(六)业务拓展基于在移动安全方面的技术沉淀,通过加强与合作伙伴的合作,报告期内公司进一步向
安全开发管理、安全运营、数据安全、智慧车联、物联网、医疗信息化、新能源等方向进行拓展。
1、开发安全管理
(1)软件安全开发管理平台:为软件开发团队提供的可持续性贯彻安全策略的辅助平台,以SDL(Secu
rityDevelopmentLifecycle安全开发周期)为设计理念,构建覆盖应用开发各环节、工具统一运行调度的管
理系统,从立项开始进行安全管理的全程介入,实现了安全左移的管理效果。平台包含了各阶段流程的梳理
、相关安全知识库的建设、评审机制的建立,能够兼容多种开发模式,包括自适应瀑布开发模型、敏捷开发
模型、DevOps模型等,可针对不同的安全治理诉求,有效地帮助客户建立定制化的安全管理体系,从而推动
安全管理流程落地,为各类软件开发企业提供安全赋能。
(2)软件开源组件成分分析系统:主要面向需要管理规模数量较多、拥有自有以及第三方开发软件系
统的用户,能够协助软件资产所有者对所拥有的软件产品中的第三方开源组件实施安全管控,帮助企业建立
开源技术应用管理制度体系和标准化软件资产台账,实时预警开源组件安全及合规问题,并通过全面可视化
统计能力有效提升企业对软件供应链的安全管理能力。
(3)源代码审计系统:提供对目标软件代码语法、语义的分析,辅以数据流分析、控制流分析和特有
的缺陷分析,能够高效的检测出软件源代码中的可能导致严重缺陷漏洞和系统运行异常的安全问题和程序缺
陷,并准确定位告警,从而有效的帮助开发人员消除代码中的缺陷、减少安全隐患。
2、安全运营类产品
(1)网络安全有效性验证系统(BAS-BreachandAttackSimulation,即入侵和攻击模拟):主要对企业
的网络安全防御体系中的安全设备和安全策略进行网络安全有效性验证。由于企业在安全管理、技术方面存
在的缺陷,各种安全威胁层出不穷,快速迭代,企业建立网络安全防御体系普遍存在失效的情况,并且失效
情况很难被人为发现,如:运维人员配置安全策略问题,安全设备因为性能问题导致丢失数据和告警事件,
对特定威胁无防御能力,设备新威胁防护缺失等。该产品通过实战化、体系化、常态化的方式,模拟真实攻
击方法和场景,自动化地验证现有的企业安全体系是否存在弱点问题,在企业发生安全事件前,提前进行修
复,避免对企业带来业务损失。
(2)运行时应用自免疫系统:主要针对Web应用的运营者客户,采用业内前沿防护理念RASP(RuntimeA
pplicationSelf-protection,运行时应用自我保护),安装过程无需修改任何应用程序自身代码,将Web防
护检测引擎注入到应用程序里,与应用程序融为一体,在应用程序运行时可对访问请求做精准分析,实现自
我安全保护,减少了传统防护技术分析流量数据带来的误报,识别并拦截新型Web攻击,为应用系统的安全
防护提供了创新解决方案,为预防未知移动应用安全风险漏洞提供新型防护手段。
3、数据安全治理
(1)数据安全分类分级系统:是面向企业数据发掘并进行自动化数据分类分级分析的产品。该系统致
力于梳理并标识数据,实现在复杂环境下自动化扫描并识别其中的敏感数据信息,在数据的分类分级梳理过
程中搭建数据标准,实现数据口径的统一。通过优质且智能化的数据服务扫描能力和敏感数据自动化识别能
力,该系统可对海量的数据资产进行扫描和自动化分类分级,实现在基础零业务打扰的情况下,在扫描的同
时完成对数据资产的自动化标识。该系统的智能分析引擎以多维度的规则匹配与机器学习能力深度学习企业
的数据资产业务场景,形成一套贴合客户实际业务场景的算法模型,使自动化分类分级更精准。同时系统将
分类分级结果以多个维度进行可视化呈现,可提供数据清单维度的分级结果、标签分类维度的分级结果、数
据分级维度的识别结果。
(2)应用数据审计系统:是一款针对web应用系统的数据安全产品,采用网络流量分析技术,在对现有
业务系统无侵
|