行业背景

近年来运营商信息安全形势日益严峻，针对信息的安全事件不断增多，不法分子通过服务器入侵、盗用客户帐户、伪造客户凭证等手段，窃取运营商核心信息。并从中牟取私利。甚至通过非法技术手段攻击Web应用系统服务器，导致系统瘫痪，无法为客户提供正常服务，一旦应用系统存在严重信息安全漏洞，将直接导致客户资产遭受损失，严重影响运营商市场长期发展。

运营商内部系统复杂，系统漏洞、安全管理缺陷、自身安全防护实力弱等诸多问题需要专业安全技术力量支持、保障。

客户需求

• 对自身系统安全进行专业安全评估需求；
• 根据运营商行业的安全资讯需求；
• 针对安全事件进行专业的应急响应需求；
• 自身系统漏洞及时发现与修补后验证需求
• 自身安全人员技术素质提高的需求。

解决方案

安全评估服务

对运营商制定业务系统进行包括：渗透测试、代码审计、新系统上线安全评估、移动APP加固等服务。

渗透测试

Web应用系统的渗透测试主要对操作系统及服务漏洞、应用系统漏洞、安全配置缺陷、功能逻辑缺陷等方面进行全面测试，APP应用系统还需要对APP客户端漏洞进行针对性测试。

渗透测试主要通过以下方法进行测试：

• 身份验证突破
• 策略配置漏洞
• Web服务漏洞利用
• 访问控制突破
• 系统用户提权
• 内外网混联检测
• 网页代码漏洞
• 溢出漏洞攻击
• APP应用分析
• APP应用漏洞利用

源代码审计

源代码审计服务的目的在于充分挖掘当前源代码中存在的安全缺陷以及规范性缺陷，从而让开发人员了解其开发的应用系统可能会面临的威胁，并指导开发人员正确修复程序缺陷。

源代码审计服务通过对系统开发框架、应用程序、客户端程序（包含APP应用程序、C/S客户端等）、接口及第三方组件和应用配置这五个方面进行深入的安全分析，从而发现系统源代码存在的安全缺陷，并采用安全测试等技术手段进行漏洞验证。

新系统上线前安全评估

新系统上线前安全评估服务是在系统上线前进行渗透测试及源代码审计等安全服务，从黑盒测试和白盒评估两个层面发现系统可能存在的安全风险，最大限度的解决安全问题，减小了系统投产后的安全风险。

移动APP安全加固

移动APP安全加固能够为移动应用程序提供抗逆向分析、防篡改和防敏感数据窃取的能力，防止恶意攻击者通过逆向分析有段获取移动应用源代码、敏感数据或通过篡改数据干扰正常交易。

安全资讯服务

安全资讯及安全通告服务是基于360安全威胁情报平台对安全漏洞资讯进行整理和发布的一项专项服务，其内容来自各主流厂商、安全研究组织以及奇虎360安全研究团队所提供的安全漏洞信息、安全新闻、安全研究报告、安全圈社交信息、安全论坛信息等，是国内最权威、最及时、最准确的安全漏洞通告组织。

360攻防实验室研究团队会对全球最新发生的安全漏洞及安全事件进行跟踪研究，并在第一时间内对安全漏洞进行分析验证，找到有效的解决方案提供给客户，所以360安全通告服务能够提供最新的安全漏洞、威胁（0day、系统漏洞、网络攻击）的解决办法、安全问题描述和相应的处理意见，及时提供符合客户实际需求的安全信息。

事件响应服务

360应急响应服务主要适用于处理下列的突发信息安全事件：

• 网站服务不可用事件
• 网页信息篡改事件
• 服务器/终端后门发现事件
• 病毒爆发事件

应急响应保障：

• 应急人力保障
• 技术手段保障
• 技术支撑保障

漏洞响应平台支持

奇虎360整体安全服务利用漏洞响应平台为服务项目提供补充，为企业用户定制私有SRC（安全应急响应中心）。

通过漏洞响应平台，企业能够第一时间获取与自身安全相关的漏洞信息及漏洞修复方案，且所有漏洞细节不公开，有效避免其他攻击者利用已知安全漏洞进行非法活动。

漏洞响应平台提供丰富漏洞奖励，集合社会白帽子的优质技术力量及时修复企业对外服务存在的安全漏洞，有效提升企业整体安全防御能力。

安全培训

安全培训目标

使学员掌握常见的网络安全攻击与防御原理、手段与技巧，学习常用的安全工具使用。

培训讲师构成

奇虎360安全培训讲师均由有10年以上一线攻防经验的安全专家担任。

培训课程安排

适用全体员工的课程：

• 网络攻防的基础知识
• 360信息安全体系的建设
• 360信息安全意识培训

偏向研发工程师的课程：

• Web前端安全
• Web SQL注入
• Web文件上传与文件包含
• Web访问控制与口令破解
• Web框架安全

偏向运维工程师的课程：

• 扫描与服务指纹识别
• 拒绝服务攻击
• 日志分析与应急处理

客户价值

• 快速获得顶级安全技术团队支持；
• 安全风险有专业安全团队承担，降低风险；
• 高价值安全资讯渠道；
• 安全人才培养有效途径。