盛邦安全
公司新闻
让网络空间更有序

联系我们

*姓名
*单位
*电话
*验证码
发送验证码
邮箱
*需求概述
盛邦安全入选中国WEB安全市场全景图三大核心领域

发布日期:2020/05/20文章来源:盛邦安全

 

以下文章来源于数说安全 ,作者ssaq

 

近日,国内权威安全媒体数说安全发布了“中国WEB安全市场全景图”,盛邦安全凭借突出的技术能力和丰富的行业实践,作为Web应用安全扫描典型应用场景厂商,入选此次全景图的Web应用防火墙、Web应用安全扫描、网站数据恢复&网页防篡改三大核心领域。

 

以下为原文内容,来源于数说安全公众号。

 

1.png

 

Web安全市场分析

 

       从市场角度来看,过去几年Web安全市场经历了一段长时期的快速增长,其中驱动力主要来源于2个方面:一是进入web2.0时代后,基于Web环境的互联网应用越来越广泛,针对Web应用的攻击已成为企业面临的主要安全问题,客户基于业务/技术层面的刚性需求加大,二是从2015年国务院办公厅开展政府网站普查整改工作开始,针对web应用和网站安全的合规要求有所增强。另外,由于历史原因,大量早期开发的web应用,都存在不同程度的安全问题,对于这些已在线的web应用和网站,也亟待借助外部手段来降低web安全风险。

 

       从技术角度来看,web安全领域其实是由多个产品组合而成的一套整体解决方案,其防护思路可划分为三个阶段,每个阶段对应了不同的安全产品,其中事前阶段以主动自查形式的安全评估为主,主要采用web安全扫描产品,事中阶段以检测和被动防御为主,主要采用Web应用防火墙产品,事后阶段以篡改数据恢复为主,主要采用网站数据恢复产品,而网站监测类产品可以全程对网站进行实时的安全监控和预警,这种以多种产品各司其职、动态联动的方式提高了web安全防护工作的扩展弹性和风险呈现能力,因此也成为了市场上主流的web安全解决方案。

       随着云计算的广泛应用和SaaS生态逐渐成熟,web安全产品在原有硬件的基础上,又扩展了虚拟化和SaaS服务形态,许多厂商也相继推出了云WAF、云漏扫、网站云监测等云防御平台和SaaS类安全服务,从近一年内销售许可证类别和数量的变化来看,能够明显感觉到一种趋势,web安全市场正在由硬件产品向软性服务过渡,一体化的web安全防护平台比盒子类的组合方案更灵活,也更适用于客户的新场景,因此,未来随着企业网站和web应用的逐步云化,基于虚拟化和SaaS服务的web安全产品也势必会更受到客户青睐。

 

产品技术与标准

 

       web安全领域包含了较多角色的产品,每种产品对应了不同的技术标准,在以下7类产品对应的8个标准中(其中Web应用防火墙对应国标/行标2个标准),申请web应用防火墙、web应用安全扫描、网站数据恢复产品的厂商较多,对应的产品形态为传统硬件盒式类,网站云安全防御标准对应的产品形态为虚拟化和SaaS服务类,网站内容安全检查和网页防篡改标准较新,每个标准只有2家厂商申请,而网站安全监测产品目前无厂商申请(2019年有1家)。下面请大家具体了解一下吧!

 

2.png

 

 Web应用防火墙国家标准于2016年发布,目前与行标并行,国标除了在安全功能要求上有所升级以外,与行标主要的不同是增加了性能要求,包括HTTP吞吐量、新建和并发指标,目前以该标准进行检测并获得销售许可证的厂商有29家,去年同期为10家(详情见下文中的厂商列表)。

 

3.png

 

Web应用防火墙(行标)是2014年发布的公安行业标准,在没有国标之前,各厂商均按照此标准申请销售许可证,目前持证厂商有50家,去年同期为98家(详情见下文中的厂商列表)。

 

4.png

 

网站云安全防御产品的技术标准较新,是2019年发布的国家标准,该标准是针对网站云安全防护平台的技术评价方法,主要面向以云服务模式提供网站安全防御的综合型平台产品,目前具备销售许可证的厂商有10家,去年同期为6家(详情见下文中的厂商列表)。

 

5.png

 

Web应用安全扫描产品评价方法采用公安标准,2013年推出,至今没有版本更新,由于年代久远,证书分级机制还是以一级/二级/三级划分(申请过早期防火墙证书的小伙伴应该很熟悉),目前该类产品持证厂商有42家,去年同期为54家(详情见下文中的厂商列表)。

 

6.png

 

网站内容安全检查产品评价方法采用公安标准,2017年推出,从产品定义上看,属于自检型的合规类产品,主要对自身网站内容(包括网页中的文字、图片、文档、音视频等对象中包含的信息)进行监测,以及时发现违规内容,产品为盒式形态,旁路挂接在网站服务器前端的核心交换机一侧,目前该类产品持证厂商只有2家,去年同期无厂商,因为覆盖面较小,不过多介绍,感兴趣的小伙伴可自行翻阅标准学习。

 

7.png

 

   网站远程监测产品目前无厂商,去年同期有1家,不做详细解说。

 

8.png

 

网站数据恢复产品的评价方法于2013年推出,国家标准,该类产品即为业内俗称的网页防篡改产品,目前持证厂商有21家,去年同期也为21家(详情见下文中的厂商列表)。

 

9.png

 

网页防篡改类产品标准属于公安标准,目前市面上只有2家厂商申请,覆盖面较小,不过多赘述,感兴趣的小伙伴可以自行翻阅标准学习。

 

10.png

 

典型应用场景

 

Web应用安全扫描——盛邦安全提供

11.png

 

客户关注点

 

1、安全漏洞增长快速,尤其是当重大漏洞发生时,急需有效的风险排查手段和应急响应措施;

2、面对大量扫描结果,缺少化繁为简的精确检测和分析工具,以便有效避免误报漏报的情况;

3、对于扫描出来的漏洞,缺少可验证漏洞信息,无法及时了解业务和系统存在的深层次安全风险;

4、缺少专职安全人员,容易因操作不当、人员安全意识不足等造成安全隐患和引发安全漏洞;

 

产品关键特性

 

1、五合一全面扫描能力,涵盖系统扫描、Web扫描、数据库扫描、基线扫描和弱口令扫描;

2、全面的漏洞库支撑能力,涵盖操作系统、网络设备、安全设备、IOT、工控、虚拟化、移动设备、国产化,多漏洞标准兼容; 

3、从“资产识别->漏洞检测->漏洞验证”的扫描链条出发,通过每一个环节的能力的提升,实现扫描能力的整体升级和有效降低误报、漏报率。

4、统一集中管理与分布式部署,便于对网络安全风险的整体把控;

 

客户关注的主要功能

 

1、扫描器的规则更新频率,尤其是重大安全漏洞的更新周期;

2、扫描器扫描结果的准确性,包括误报率和漏报率;

3、漏洞的可验证性,可见存在漏洞的证明信息;

4、功能的全面性,能支持如漏洞、基线、数据库、弱口令等各类风险威胁扫描。

 

市场厂商列表

 

12.png

13.png

14.png

申请下载

*姓名
*单位
*电话
*验证码
发送验证码
邮箱
*需求概述

项目咨询

*姓名
*单位
*电话
*验证码
发送验证码
*您感兴趣的产品
项目规格
*需求概述
*所在地
*意向行业
+