证券代码:000004 证券简称:ST 国华 公告编号:2023-011
深圳国华网安科技股份有限公司 2022 年年度报告摘要
一、重要提示
本年度报告摘要来自年度报告全文,为全面了解本公司的经营成果、财务状况及未来发展规划,投资者应当到证监会指
定媒体仔细阅读年度报告全文。
所有董事均已出席了审议本报告的董事会会议。
非标准审计意见提示
□适用 ?不适用
董事会审议的报告期利润分配预案或公积金转增股本预案
□适用 ?不适用
公司计划不派发现金红利,不送红股,不以公积金转增股本。
董事会决议通过的本报告期优先股利润分配预案
□适用 ?不适用
二、公司基本情况
1、公司简介
股票简称 ST 国华 股票代码 000004
股票上市交易所 深圳证券交易所
变更前的股票简称(如有) 国华网安
联系人和联系方式 董事会秘书 证券事务代表
姓名 阮旭里
办公地址 深圳市福田区梅林街道孖岭社区凯丰路 10
号翠林大厦 12 层
传真 (0755)83521727
电话 (0755)83521596
电子信箱 ruanxuli@sz000004.cn
2、报告期主要业务或产品简介
报告期内,公司主要从事移动应用安全、应急安全及智慧城市业务。
一、信息安全领域
公司作为国内移动应用安全头部企业,积极响应国家“数字经济”的发展战略,认真钻研各类移动应用安全技术,研讨和分析各种互联网移动应用场景,经过多年的精耕细作,初步形成了独有的业务生态体系,从满足单项安全或合规需求的工具类产品,到集成多种功能的平台类产品,公司能够为客户提供全方位、一站式的移动安全全生命周期解决方案,打造和谐、强大、高度安全的万物互联生态环境。
(一)移动应用安全工具类产品和服务
爱加密移动应用安全工具类产品和服务能力贯穿了移动应用设计指引、安全开发测试、应用优化、应用安全发布及应用上线运营阶段的整个生命周期,并拥有丰富的产品形态和高度的业务适配性,用户遍及金融、运营商、政府、电商、能源、教育、游戏等多个行业。
1、安全检测产品:适用于移动应用的开发者客户及各类移动应用持续监督管理者,能够全面检测移动应用中存在的安全漏洞、编码缺陷、个人信息安全等问题,并出具专业的安全检测报告,对发现的问题给予详细的解决建议,帮助开发者提前避免因安全漏洞导致的安全事故,及时预防安全风险,同时使得检测整改后的移动应用能够满足国家移动应用安全相关法律法规和监管要求。产品采用静态检测、动态检测、个人信息检测、内容检测等技术,包括 Android 应用检测、iOS 应用检测、SDK 检测、个人信息安全检测、微信公众号检测、微信小程序检测、内容检测、鸿蒙 APP 检测、固件检测等系列。
2、安全加固产品:适用于移动应用的开发者和运营者客户,能够解决移动应用本身存在的脆弱性问题,有效防止移动应用被破解和篡改等风险发生,保障应用开发者和运营者的合法权益,并在保证安全性的同时兼顾性能,把加固行为
对应用安装和运行的用户体验影响降到最低。产品综合采用 Android Dex 加固、SO 加固、SDK 加固、输入输出信息保护、
密钥白盒、C/C++/OC/swift 源码混淆保护、Java2CPP 保护以及 SO Linker 等技术,通过领先的第八代 All-In VMP 加固
技术,为用户提供全面的移动应用加固和攻击防范工具及安全套件。
3、个人信息保护产品+服务套件:公司紧密结合个人信息保护法律体系监管要求和企业端的业务需求,推出移动应用个人信息安全检测平台和个人信息安全合规测评服务,其中:个人信息安全检测平台主要针对移动应用的基本信息、漏洞信息、收集和使用个人信息行为、通讯传输行为、软件和技术供应链情况、技术脆弱性、隐私政策规范性等进行多维度安全检测和合规检测,能够帮助监管机构准确、有效地提供行政执法依据,帮助测评机构出具专业的个人信息测评报告,帮助应用市场实现应用上架前的合规风险扫描与控制,帮助应用开发企业在应用发布前评估个人信息的安全性和合规性。此外,公司提供个人信息合规测评服务,着力解决 APP 违规收集使用个人信息、过度索权等用户关心的信息安全问题,对标监管机构的通报执行范围、应用市场的合规风险扫描范围、竞品企业的违规测评认定范围等制定合规差距
评估模型,提供测评与整改咨询的服务推进 APP 合规运营,为移动应用用户的个人信息安全保驾护航。
4、移动应用深度安全-人工服务:利用人工手段协助国家和区域安全监管机构、测评机构、重要行业用户,对现有安全体系和技术手段进行有效补充和完善,服务内容涵盖攻防渗透、隐私合规测评、源代码审计、安全培训、兼容性测试、等级保护安全咨询等,为行业高端用户提供全方位治理服务。一是提供人工渗透服务,在合法且取得用户授权的前提下,通过模拟黑客攻击对整个应用系统进行全面的漏洞检测与分析,输出专业的渗透测试报告,并提出漏洞修复建议与修复指导方案;二是提供高端定制化隐私合规测评服务,帮助企业快速满足国家、监管机构及企业自身的合规政策和标准要求;三是提供源代码审计服务,全面挖掘出应用系统源代码中存在的安全漏洞、性能缺陷、编码规范缺陷等问题,避免因软件代码存在安全漏洞导致的安全事故及风险;四是提供安全培训服务,为客户定制个性化的安全培训课程方案,通过新颖、专业、详细的安全课程培训、安全事件解读与实操实训,帮助企业人员了解并掌握相关安全知识、安全技能;五是提供兼容性测试服务,对移动应用原包及加固包的兼容性(安装、启动、运行、卸载成功率及失败率)、性能(安装、启动耗时、内存占用、CPU 占用、流量消耗量)和业务功能正确性进行测试;六是提供等级保护安全咨询服务,结合行业特点对业务信息系统提供定级参考建议,协助客户完成定级备案工作,提供等级保护和安全意识的培训服务。
5、其他产品情况:为满足客户业务需求,公司配套研发了相关的系统和产品,其中:API 安全网关是适用于移动应用业务复杂度高、多业务系统协同工作等复杂应用场景以及前后端业务交互访问频繁等问题的移动应用高级防护产品,其通过自研流式大数据平台进行驱动,能够关联前端风险和后端流量进行综合分析,具备自动化的 API 资产发现与管理、API 访问终端环境风险检测、规则及模型流量风险分析、API 数据泄漏分析、风险溯源及处置、灵活的系统部署交付及扩展等多种能力;供应链管理系统主要面向需要管理规模数量较多、拥有自有以及第三方开发软件系统的用户,能够协助软件资产所有者用于对所拥有的软件产品中的第三方开源组件实施安全管控,帮助企业建立开源技术应用管理制度体系和标准化软件资产台账,实时预警开源组件安全及合规问题,并通过全面可视化统计能力有效提升企业对软件供应链的安全管理能力 ; RASP Web 应用攻击自免疫解决方案则主要针对 Web 应用的运营者客户,采用业内前沿防护理念
(Runtime Application Self-protection RASP),安装过程无需修改任何应用程序自身代码,将 Web 防护检测引擎注入
到应用程序里,与应用程序融为一体,在应用程序运行时可对访问请求做精准分析,实现自我安全保护,减少了传统防护技术分析流量数据带来的误报,识别并拦截新型 Web 攻击,为应用系统的安全防护提供了创新解决方案,为预防未知移动应用安全风险漏洞提供新型防护手段。
(二)移动应用安全平台类产品
1、移动应用安全大数据平台:面向移动应用发布运营后移动应用安全问题的平台级产品,其客户覆盖行业监管、业务运营和各级执法单位。平台利用强大的网络爬虫能力采集各渠道发布的应用,运用内置 AI 机器智能学习模型自动对海量数据进行规则清洗打标,通过调用平台内置各类监测引擎将公司移动应用基础安全防护和检测能力进行有效整合,内置安全评估模型定性、定量客观呈现移动应用安全运行状态和水平,对各种类型移动应用提供主动、持续、动态的风险业务识别、侦测和分析,能够提供指定移动应用运行安全状态监测服务,辅助监管单位对辖区内移动应用进行监测与管理,为移动应用运营单位提供移动应用安全、平稳、合规运行的安全风险分析和能力支撑,并提供必要的决策分析支撑,同时能够根据行业用户需求分别针对企业用户和终端用户推送多种形式的移动应用安全监测数据。
2、移动安全管理平台:客户群体多为行业用户及安全管理部门,平台以企业移动业务安全为核心,结合企业安全策略动态调配自有或第三方安全工具和防护措施,针对监管合规、安全建设、风险管控等业务场景,提供应用检测、应用加固、态势感知、个人隐私检测、内容检测、源代码审计、EMM 在内的多种安全能力,基于规划、设计、开发、测试、上线、运营全生命周期,实现移动业务的事前安全管控、事中威胁监测、事后安全管理,帮助企业构建完整的移动安全管理体系,满足企业移动安全体系化建设需求。
3、移动应用渠道监测平台:为企业客户和监管机构识别、下架应用市场中盗版、仿冒应用,分析应用发布有效性、运营数据全面性而推出的大数据类产品,实时监测超过 800 个主要应用分发渠道,可自定义新增监控渠道从而全面覆盖监控范围;能够帮助开发企业及时了解掌握盗版、仿冒应用及自身运营数据情况,防止出现冒充企业应用,误导用户下
载并窃取用户信息的不法行为,避免公司信誉受损;帮助监管机构全面对管辖范围内移动应用的盗版、仿冒状况进行摸底、监测、整改,并具备持续性监督能力。
4、安全开发管理平台:为软件开发团队提供的可持续性贯彻安全策略的辅助平台,以 SDL(Security DevelopmentLifecycle 安全开发周期)为设计理念,构建覆盖应用开发各环节、工具统一运行调度的管理系统,从立项开始进行安全管理的全程介入,实现了安全左移的管理效果。平台包含了各阶段流程的梳理、相关安全知识库的建设、评审机制的建立,能够兼容多种开发模式,包括自适应瀑布开发模型、敏捷开发模型、DevOps 模型等,可针对不同的安全治理诉求,有效地帮助客户建立定制化的安全管理体系,从而推动安全管理流程落地,为各类软件开发企业提供安全赋能。
5、移动威胁态势感知平台:针对关注移动应用上线后运行状况和各类安全攻击突发事件的行业客户提供的安全事件监测平台,具备移动应用安全持续监控能力,能够及时发现各种攻击威胁、异常行为、环境风险,实时收集移动应用在使用过程中的安全信息,通过大数据技术对安全事件进行事前态势感知、事中实时响应、事后追踪溯源,对威胁相关的影响范围、攻击路径、目的、手段进行快速判别,进行有效的安全决策和响应,并建立安全预警机制和生成威胁风险报告,从而帮助企业安全管理人员掌握移动业务的整体安全态势。
6、防人脸识别攻击解决方案:适用于在移动业务应用中使用人脸识别技术进行登录、验证和防伪识别的用户,涵盖运行环境攻击防护和算法攻击防护两大模块,能够在移动应用调用人脸识别业务环节避免环境攻击、数据篡改、算法欺骗等安全风险,帮助企业客户提高移动应用人脸识别业务的安全性,保障用户的个人信息及资产安全。其中:环境攻击防护通过系统环境检测、HOOK 框架检测、调试攻击检测、注入攻击检测、数据防篡改、数据加密等技术,一是防止在移
动 APP 端做人脸识别检测时通过注入攻击、HOOK 攻击等攻击方式替换人脸识别图片和视频,二是防止在 APP 与服务器通
信时通过劫持数