深圳海云安网络安全技术有限公司

公司简介

深圳海云安网络安全技术有限公司成立于2015年,是深圳国资参股投资的专注于应用安全领域的创新型国家高新技术企业。公司以“安全每一行代码”为己任,致力于“可信应用,主动防御”系列应用安全产品研发推广,长期为金融、政府、企事业单位提供安全开发、APP安全、数据安全等全面解决方案。

主营产品:安全开发、数据安全、APP安全、安全管理等产品和服务、软件供应链安全

企业荣誉

近两年获奖情况

1. 2020年度深圳市金融创新奖贡献奖项目二等奖

2. 2019年度香蜜湖金融科技创新奖新锐企业奖

3. 德勤中国“2020 深圳明日之星” 

4.  中国电子“i+”网络安全创新创业大赛-二等奖

5.  湖北省公安厅“护网2019”网络攻防演习-优胜奖

行业突出贡献

1. 武汉市网络安全应急技术支撑单位

2. 中国反网络病毒联盟会员单位

3. “福田金融科技人才培训基地”认证

4. 深圳市双软企业

5. 深圳市信息安全测评中心-信息安全联合实验室

6. 深圳市网络与信息安全信息通报机制-技术支撑单位

7. 广州市网络与信息安全通报中心2018年度技术支撑单位

8. 党的十九大网上安保工作优秀团队

9. 2019年网络安全管理优秀团队

10. 2018年网络安全管理优秀团队

11. 武汉军运会网络安保感谢信

12. 深圳市软件行业协会会员单位

13. 2017年首届CCSSC全球华人网络安全技能大赛-协办单位

14. 2017年度最具创新性初创安全企业-十强企业

15. 广西壮族自治区公安厅-感谢信

16. 2019年度深圳市标准奖-标准名称:金融服务移动应用信息安全指南

17. 深圳市政务服务数据管理局-感谢信2020年3月27日

18. 中国通信企业协会会员证书

19. 湖北省网络与信息安全信息通报机制技术支撑单位

20. 湖北中烟工业有限责任公司-感谢信

21. 深圳市政务服务数据管理局-70周年重保表扬信2019年10月17日

22. 中国烟草总公司湖北省公司-感谢信

成功案例

典型客户:

湖北中烟、招商银行、平安银行、安信证券、深圳证券交易所、平安财险、江西农信、深圳信息安全管理中心、中国电科院、深圳农商行、中信银行卡中心、招商银行、安信证券、广发银行、招商证券、中金财富、永隆银行、顺丰集团、微众银行、乐信控股、招联金融、深圳市税务局、东莞证券、英大证券、福田区数据管理中心、鹏华基金、腾讯云、平安证券、中山证券、招商信诺、宝盈基金、万科集团、招商基金、深圳发改委、天风证券、诺安基金、广东农信、公安部第三研究所、深圳坪山政数局、跨越速运、中国信息安全测评中心、鼎和保险、深圳市公安局、广汽汇理汽车金融、深圳市信息安全测评中心、四川中烟、浦东发展银行、公安部第一研究所、国家信息中心、国家安监总局通信中心、深圳南山政数局、武汉农商行、航天科工、人行征信中心、中集集团、深圳高新投、国家信息中心、深圳检测院、天津软测、中海地产、中国海外集团、中国建筑国际、广发基金、华润银行、第一创业证券、安信基金、景顺长城基金、创金合信基金等

明星产品解决方案

一、开发安全

海云安应用系统生命周期安全管理平台

产品介绍:

海云安推出的应用系统生命周期安全管理平台是一个以应用系统为中心,通过项目的方式规划和管理活动,以任务的形态执行SDL过程的一系列活动的管理技术平台D-SDL。以“服务+平台+工具”方式,全员全方位全流程安全赋能,通过咨询,采取领先的安全策略方法,持续自适应风险与信任评估(CARTA),建设一套应用系统全生命周期安全管理平台及应用系统安全开发测试工具链,开展网络安全风险评估建立一套网络安全管理体系及其相应管理文档与记录文档,建立一套基于应用系统全生命周期安全管理平台的安全开发规范。

在应用系统安全开发测试工具链方面,融合一套有效支撑工具链集合,采取智能编排技术自动调取工具组件实施主动漏洞发现,主动响应,有效防护,多方验证,持续进行风险减缓,管控安全风险,工具链主要包括白盒源代码安全审计工具、黑盒应用安全风险评估工具、开源组件风险分析工具、灰盒交互式检测工具等,实现在SDL全生命周期中各个关键阶段能够得到有效支撑,使安全要求的到有效的验证,全方位全流程支撑。

海云安D-SDL技术优势

D-SDL平台具有丰富的SDL知识库,通过多标融合将《网络安全法》、等保、27000、金融等行业标准规范形成安全需求知识库,通过场景化调研自动生成特定项目的安全需求,通过安全编码提供有效落地方案,通过黑白灰盒测试技术也能对发现的安全问题进行确认、派工、整改、复测和归档,形成漏洞的闭环管理。平台的所有检查工具都由公司自主开发并获得知识产权。平台工具链主要包括白盒源代码安全审计工具、黑盒应用安全风险评估工具、开源组件风险分析工具、灰盒交互式检测工具等,实现在SDL全生命周期中各个关键阶段能够得到有效支撑。

平台实现智能化安全任务编排,无论是信息系统的开发模式是瀑布式、敏捷开发模式还是DevOps开发,通过本项目建设的信息系统生命周期管理平台将安全任务智能编排到开发运营的各个生命周期环节,并自动调取工具组件实施主动漏洞发现,主动响应,有效防护,多方验证,持续进行风险减缓,管控安全风险,明确安全任务责任落实到人,又降低安全任务实施难度,减轻人员工作负担。

二、海云安隐私合规系列:

海云安移动APP安全产品

产品介绍:

APP隐私合规检查工具是深圳海云安网络安全技术有限公司基于对WEB安全领域和移动应用安全领域多年的专注研究和技术积累,面对新的移动应用网络威胁形势研发出来的产品。产品采用移动应用App动态模糊测试技术、运行时行为监测技术、移动应用App漏洞智能识别技术,实现对移动应用App的安全漏洞、运行行为、运行数据监测。

产品支持App安全漏洞、违法违规、个人信息安全、SDK安全、合规项目的自动化检测和定期监测,全自动化快速识别App潜在的安全风险、隐藏违法违规行为,包括个人信息窃取、个人信息出境、恶意扣费等行为等。可为企业、测评机构、公安和实验室等提供全面的App检测分析检测能力。产品提供支持服务器版本和便携版本,服务器版本应用于企业、测评机构、安全实验室等进行App安全测试、合规测评、App安全研究工作,便携版本用于现场监督检查、企业内部日常设备巡检等工作。

检测方式

服务流程

产品特点:

1.一键提交全面检测:提供检测内容漏洞安全、违规行为、数据安全、个人信息安全等,覆盖上线检测、监管检查、合规检查等内容,真正的一键提交全自动化完成扫描检测,

2.覆盖过程全:覆盖应用开发全过程、应用安装包检测、应用运行时检测、应用卸载。

3.对标能力强:全面对标常规基准、行业标准、监管要求等。

4.检测效率高:最快可在2小时内完成移动应用漏洞、个人信息、违规行为、违规内容等安全检测。

5.测试环境灵活:可在内网、外网开展移动应用安全检测。

6.多平台兼容:全面支持Android、iOS、微信公众号小程序应用。

海云安移动应用安全风险评估系统MARS

海云安移动应用安全风险评估系统(MARS2000/V2)是深圳海云安网络安全技术有限公司基于对WEB安全领域和移动应用安全领域多年的专注研究和技术积累,面对新的移动应用网络威胁形势研发出来的产品。产品采用移动应用APP动态模糊测试技术、移动应用APP漏洞智能识别技术、移动应用APP漏洞动态验证技术、主动探寻移动应用APP服务端漏洞等技术,实现对移动应用APP的安全监控。结合独立的漏洞库对监控到的漏洞给出安全评估报告,报告包含漏洞描述、危害、修复建议等内容。海云安移动应用安全风险评估系统对提高移动应用APP安全监控水平,移动应用APP测试/安全管理人员对移动应用APP应用系统进行安全评估、安全加固起到了很重要的辅助作用。

海云安移动应用安全风险评估系统可以对安卓应用和iOS应用进行多维度的安全测试。针对移动应用的开发状态、软件包状态和运行状态进行安全风险评估测试。

产品特点:

  • 覆盖面广:覆盖移动应用的客户端、通信管道、后台服务端。安全检测从应用自身安全、业务操作安全、通讯数据安全、服务端安全4方面360度全面无死角发现APP安全漏洞。
  • 脱壳检测:可识别Android程序是否有加壳处理及壳的提供商,并支持对加壳处理后Android程序实行自动脱壳后进行安全检测,发现更深层次的移动应用安全问题。目前支持脱掉市面上绝大多数移动应用安全厂商的免费壳。
  • 检测项目多:超过100个安全检测项,五个规则库涵盖恶意代码、恶意URL、恶意行为、主机漏洞、应用漏洞,且持续快速更新。
  • 覆盖过程全:覆盖应用开发全过程、应用安装包检测、应用运行时检测、应用卸载。
  • 对标能力强:全面对标常规基准、行业标准、监管要求等。
  • 检测效率高:最快可在2小时内完成移动应用客户端、通信管道、后台服务端安全检测。
  • 测试环境灵活:可在内网、外网开展移动应用安全检测。
  • 多平台兼容:全面支持Android/iOS应用。
  • 多路监听技术:基于网络流量监听引擎,从流量中自动提取资产列表,实现对大规模移动应用API的快速有效扫描,包括孤岛页面。
  • 微信公众号支持:首款支持微信公众号安全测试。
  • 测试/分析分离:测试人员根据安测宝的测试指引进行测试,检测平台根据测试的结果自动进行APP的安全性分析。分工合理、明确、高效。

海云安移动应用合规检查工具MAIT

海云安移动应用安全检查工具是由海云安多年积累的移动应用安全攻防经验并结合信息安全等级保护、网络安全法等国家标准及法律法规研发而成,主要针对移动应用第三方SDK、移动应用程序漏洞、违规收集使用个人信息、移动应用权限使用、敏感行为、违法内容、合法合规等方面进行检查,快速提供全面的测评报告,便于检查人员全方位了解与掌控移动应用的安全风险与隐患。

2大目标,快速全面自动检测App,明确有效的修复建议

3个特色,全平台覆盖,高度合规对标,一键提交全面检测

4项技术,深度静态检测,动态模糊测试,全方位真机测试,加固全面对抗

强大的规则库:海云安多年积累强大规则库,覆盖CVE,CWE,CNVD,OWASP MOBLIE TOP 10,OWASP Web Top 10,《信息安全技术 网络安全等级保护基本要求 第 3 部分:移动互联安全扩展要求》

高强度加固对抗:可识别Android程序是否有加壳处理及壳的提供商,并支持对加壳处理后Android程序实行自动脱壳后进行安全检测,发现更深层次的移动应用安全问题、恶意行为等

AI自适应模型:系统采用深度机器学习算法识别App在行为数据流数据内容,结合违规模型进行交叉学习自动更新违规行为模型。智能调整模型参数,提高测试准确性,降低规则人员投入

真自动化测试:系统支持自动遍历、自定义脚本、自动登录,极大地减少安全测试人员投入,降低测试成本,解放测试人员双手,让测试人员把精力放在更有价值的工作上

三、海云安源代码检测分析管理平台

源代码检测分析管理平台(SCAP)是一个基于B/S架构的系统,分为前端浏览器访问、内容展示和后台检测引擎、服务端管理等两大模块。从平台整体功能来说,SCAP能够支持C\C++、Java、JS、PHP、SQL等语言代码进行扫描检测,能够对检测后的结果进行展示、审计和整改跟进管理,并且可以对检测和审计后的结果快速形成报告进行导出。在系统前端,可以实现一键上传代码、提交后台自动扫描检测,并且能够快速生成报告。另外,在平台上还可以根据自动化扫描结果进行人工代码审计,排查误报,对报告的内容进行加工处理,并且可以在平台上可以与多用户进行漏洞确认和修复情况跟进。在系统后端,是结合数据库管理、任务分发管理和源代码扫描引擎于一体的综合性平台。能够根据前端提交的代码自动启动相应的扫描引擎,扫描结束后能够把扫描结果自动入库管理。

从系统的使用特点来说,SCAP是一个集成一键上传,Git/Svn代码仓库对接,Jenkins构建系统集成,Eclipse插件集成,自动扫描检测,二次分析引擎误报自动过滤,增量对比误报加白名单、扫描结果人工审计、漏洞工单对接,代码漏洞确认、代码修复跟进、检测版本对比、报告导出、漏洞管理、用户管理等功能于一体的综合性检测管理平台。不但适合在开发过程的事中小版本迭代测试管理,而且可以在事后做全版本代码的整体测试管理。

四、海云安开源组件安全检测分析管理平台

海云安开源组件安全检测分析平台是一款集开源组件识别与安全管控于一体的软件成分分析与管理系统,基于B/S架构,分为前端浏览器访问、内容展示和后台检测引擎、服务端管理等两大模块。采用自主研发的开源组件分析引擎为客户提供开源组件的资产发现、知识产权隐患识别、风险分析、漏洞告警及安全管理等服务,帮助客户掌握开源组件资产信息,并及时获取开源组件漏洞信息,降低由开源组件带来的安全及合规风险,保障客户应用系统安全。

  • 软件资产可视化

支持包管理器,二进制和代码片段资产信息全面可视化管理,自动生成综合物料清单(BOM)。                                        

  • 快速精准发现组件漏洞

利用AI技术,结合公共漏洞库和自有漏洞库,快速精准发现开源组件漏洞风险,提供兼容性最强的组件版本升级修复方案。                                                                      

  • 无缝对接开发流水线

使用轻量级插件和API,无缝对接软件开发全过程。

  • 便捷友好使用

拥有简洁丰富的用户交互功能,用户可以轻松完成扫描、审核、生成报告等任务,提供Web和插件等多种使用方式。

企业大事记

1.2020年度深圳市金融创新奖贡献奖项目二等奖

2.2019年度香蜜湖金融科技创新奖新锐企业奖

3.德勤中国“2020 深圳明日之星” 

4.中国电子“i+”网络安全创新创业大赛-二等奖

5.湖北省公安厅“护网2019”网络攻防演习-优胜奖

等……

访问官网