以下文章來(lái)源于數(shù)說(shuō)安全 ，作者ssaq

近日，國(guó)內(nèi)權(quán)威安全媒體數(shù)說(shuō)安全發(fā)布了“中國(guó)WEB安全市場(chǎng)全景圖”，盛邦安全憑借突出的技術(shù)能力和豐富的行業(yè)實(shí)踐，作為Web應(yīng)用安全掃描典型應(yīng)用場(chǎng)景廠商，入選此次全景圖的Web應(yīng)用防火墻、Web應(yīng)用安全掃描、網(wǎng)站數(shù)據(jù)恢復(fù)&網(wǎng)頁(yè)防篡改三大核心領(lǐng)域。

以下為原文內(nèi)容，來(lái)源于數(shù)說(shuō)安全公眾號(hào)。

Web安全市場(chǎng)分析

       從市場(chǎng)角度來(lái)看，過(guò)去幾年Web安全市場(chǎng)經(jīng)歷了一段長(zhǎng)時(shí)期的快速增長(zhǎng)，其中驅(qū)動(dòng)力主要來(lái)源于2個(gè)方面：一是進(jìn)入web2.0時(shí)代后，基于Web環(huán)境的互聯(lián)網(wǎng)應(yīng)用越來(lái)越廣泛，針對(duì)Web應(yīng)用的攻擊已成為企業(yè)面臨的主要安全問(wèn)題，客戶(hù)基于業(yè)務(wù)/技術(shù)層面的剛性需求加大，二是從2015年國(guó)務(wù)院辦公廳開(kāi)展政府網(wǎng)站普查整改工作開(kāi)始，針對(duì)web應(yīng)用和網(wǎng)站安全的合規(guī)要求有所增強(qiáng)。另外，由于歷史原因，大量早期開(kāi)發(fā)的web應(yīng)用，都存在不同程度的安全問(wèn)題，對(duì)于這些已在線的web應(yīng)用和網(wǎng)站，也亟待借助外部手段來(lái)降低web安全風(fēng)險(xiǎn)。

       從技術(shù)角度來(lái)看，web安全領(lǐng)域其實(shí)是由多個(gè)產(chǎn)品組合而成的一套整體解決方案，其防護(hù)思路可劃分為三個(gè)階段，每個(gè)階段對(duì)應(yīng)了不同的安全產(chǎn)品，其中事前階段以主動(dòng)自查形式的安全評(píng)估為主，主要采用web安全掃描產(chǎn)品，事中階段以檢測(cè)和被動(dòng)防御為主，主要采用Web應(yīng)用防火墻產(chǎn)品，事后階段以篡改數(shù)據(jù)恢復(fù)為主，主要采用網(wǎng)站數(shù)據(jù)恢復(fù)產(chǎn)品，而網(wǎng)站監(jiān)測(cè)類(lèi)產(chǎn)品可以全程對(duì)網(wǎng)站進(jìn)行實(shí)時(shí)的安全監(jiān)控和預(yù)警，這種以多種產(chǎn)品各司其職、動(dòng)態(tài)聯(lián)動(dòng)的方式提高了web安全防護(hù)工作的擴(kuò)展彈性和風(fēng)險(xiǎn)呈現(xiàn)能力，因此也成為了市場(chǎng)上主流的web安全解決方案。

       隨著云計(jì)算的廣泛應(yīng)用和SaaS生態(tài)逐漸成熟，web安全產(chǎn)品在原有硬件的基礎(chǔ)上，又?jǐn)U展了虛擬化和SaaS服務(wù)形態(tài)，許多廠商也相繼推出了云WAF、云漏掃、網(wǎng)站云監(jiān)測(cè)等云防御平臺(tái)和SaaS類(lèi)安全服務(wù)，從近一年內(nèi)銷(xiāo)售許可證類(lèi)別和數(shù)量的變化來(lái)看，能夠明顯感覺(jué)到一種趨勢(shì)，web安全市場(chǎng)正在由硬件產(chǎn)品向軟性服務(wù)過(guò)渡，一體化的web安全防護(hù)平臺(tái)比盒子類(lèi)的組合方案更靈活，也更適用于客戶(hù)的新場(chǎng)景，因此，未來(lái)隨著企業(yè)網(wǎng)站和web應(yīng)用的逐步云化，基于虛擬化和SaaS服務(wù)的web安全產(chǎn)品也勢(shì)必會(huì)更受到客戶(hù)青睞。

產(chǎn)品技術(shù)與標(biāo)準(zhǔn)

       web安全領(lǐng)域包含了較多角色的產(chǎn)品，每種產(chǎn)品對(duì)應(yīng)了不同的技術(shù)標(biāo)準(zhǔn)，在以下7類(lèi)產(chǎn)品對(duì)應(yīng)的8個(gè)標(biāo)準(zhǔn)中（其中Web應(yīng)用防火墻對(duì)應(yīng)國(guó)標(biāo)/行標(biāo)2個(gè)標(biāo)準(zhǔn)），申請(qǐng)web應(yīng)用防火墻、web應(yīng)用安全掃描、網(wǎng)站數(shù)據(jù)恢復(fù)產(chǎn)品的廠商較多，對(duì)應(yīng)的產(chǎn)品形態(tài)為傳統(tǒng)硬件盒式類(lèi)，網(wǎng)站云安全防御標(biāo)準(zhǔn)對(duì)應(yīng)的產(chǎn)品形態(tài)為虛擬化和SaaS服務(wù)類(lèi)，網(wǎng)站內(nèi)容安全檢查和網(wǎng)頁(yè)防篡改標(biāo)準(zhǔn)較新，每個(gè)標(biāo)準(zhǔn)只有2家廠商申請(qǐng)，而網(wǎng)站安全監(jiān)測(cè)產(chǎn)品目前無(wú)廠商申請(qǐng)（2019年有1家）。下面請(qǐng)大家具體了解一下吧！

 Web應(yīng)用防火墻國(guó)家標(biāo)準(zhǔn)于2016年發(fā)布，目前與行標(biāo)并行，國(guó)標(biāo)除了在安全功能要求上有所升級(jí)以外，與行標(biāo)主要的不同是增加了性能要求，包括HTTP吞吐量、新建和并發(fā)指標(biāo)，目前以該標(biāo)準(zhǔn)進(jìn)行檢測(cè)并獲得銷(xiāo)售許可證的廠商有29家，去年同期為10家（詳情見(jiàn)下文中的廠商列表）。

Web應(yīng)用防火墻（行標(biāo)）是2014年發(fā)布的公安行業(yè)標(biāo)準(zhǔn)，在沒(méi)有國(guó)標(biāo)之前，各廠商均按照此標(biāo)準(zhǔn)申請(qǐng)銷(xiāo)售許可證，目前持證廠商有50家，去年同期為98家（詳情見(jiàn)下文中的廠商列表）。

網(wǎng)站云安全防御產(chǎn)品的技術(shù)標(biāo)準(zhǔn)較新，是2019年發(fā)布的國(guó)家標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)是針對(duì)網(wǎng)站云安全防護(hù)平臺(tái)的技術(shù)評(píng)價(jià)方法，主要面向以云服務(wù)模式提供網(wǎng)站安全防御的綜合型平臺(tái)產(chǎn)品，目前具備銷(xiāo)售許可證的廠商有10家，去年同期為6家（詳情見(jiàn)下文中的廠商列表）。

Web應(yīng)用安全掃描產(chǎn)品評(píng)價(jià)方法采用公安標(biāo)準(zhǔn)，2013年推出，至今沒(méi)有版本更新，由于年代久遠(yuǎn)，證書(shū)分級(jí)機(jī)制還是以一級(jí)/二級(jí)/三級(jí)劃分（申請(qǐng)過(guò)早期防火墻證書(shū)的小伙伴應(yīng)該很熟悉），目前該類(lèi)產(chǎn)品持證廠商有42家，去年同期為54家（詳情見(jiàn)下文中的廠商列表）。

網(wǎng)站內(nèi)容安全檢查產(chǎn)品評(píng)價(jià)方法采用公安標(biāo)準(zhǔn)，2017年推出，從產(chǎn)品定義上看，屬于自檢型的合規(guī)類(lèi)產(chǎn)品，主要對(duì)自身網(wǎng)站內(nèi)容（包括網(wǎng)頁(yè)中的文字、圖片、文檔、音視頻等對(duì)象中包含的信息）進(jìn)行監(jiān)測(cè)，以及時(shí)發(fā)現(xiàn)違規(guī)內(nèi)容，產(chǎn)品為盒式形態(tài)，旁路掛接在網(wǎng)站服務(wù)器前端的核心交換機(jī)一側(cè)，目前該類(lèi)產(chǎn)品持證廠商只有2家，去年同期無(wú)廠商，因?yàn)楦采w面較小，不過(guò)多介紹，感興趣的小伙伴可自行翻閱標(biāo)準(zhǔn)學(xué)習(xí)。

   網(wǎng)站遠(yuǎn)程監(jiān)測(cè)產(chǎn)品目前無(wú)廠商，去年同期有1家，不做詳細(xì)解說(shuō)。

網(wǎng)站數(shù)據(jù)恢復(fù)產(chǎn)品的評(píng)價(jià)方法于2013年推出，國(guó)家標(biāo)準(zhǔn)，該類(lèi)產(chǎn)品即為業(yè)內(nèi)俗稱(chēng)的網(wǎng)頁(yè)防篡改產(chǎn)品，目前持證廠商有21家，去年同期也為21家（詳情見(jiàn)下文中的廠商列表）。

網(wǎng)頁(yè)防篡改類(lèi)產(chǎn)品標(biāo)準(zhǔn)屬于公安標(biāo)準(zhǔn)，目前市面上只有2家廠商申請(qǐng)，覆蓋面較小，不過(guò)多贅述，感興趣的小伙伴可以自行翻閱標(biāo)準(zhǔn)學(xué)習(xí)。

典型應(yīng)用場(chǎng)景

Web應(yīng)用安全掃描——盛邦安全提供

客戶(hù)關(guān)注點(diǎn)

1、安全漏洞增長(zhǎng)快速，尤其是當(dāng)重大漏洞發(fā)生時(shí)，急需有效的風(fēng)險(xiǎn)排查手段和應(yīng)急響應(yīng)措施；

2、面對(duì)大量掃描結(jié)果，缺少化繁為簡(jiǎn)的精確檢測(cè)和分析工具，以便有效避免誤報(bào)漏報(bào)的情況；

3、對(duì)于掃描出來(lái)的漏洞，缺少可驗(yàn)證漏洞信息，無(wú)法及時(shí)了解業(yè)務(wù)和系統(tǒng)存在的深層次安全風(fēng)險(xiǎn)；

4、缺少專(zhuān)職安全人員，容易因操作不當(dāng)、人員安全意識(shí)不足等造成安全隱患和引發(fā)安全漏洞；

產(chǎn)品關(guān)鍵特性

1、五合一全面掃描能力，涵蓋系統(tǒng)掃描、Web掃描、數(shù)據(jù)庫(kù)掃描、基線掃描和弱口令掃描；

2、全面的漏洞庫(kù)支撐能力，涵蓋操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、IOT、工控、虛擬化、移動(dòng)設(shè)備、國(guó)產(chǎn)化，多漏洞標(biāo)準(zhǔn)兼容； 

3、從“資產(chǎn)識(shí)別->漏洞檢測(cè)->漏洞驗(yàn)證”的掃描鏈條出發(fā)，通過(guò)每一個(gè)環(huán)節(jié)的能力的提升，實(shí)現(xiàn)掃描能力的整體升級(jí)和有效降低誤報(bào)、漏報(bào)率。

4、統(tǒng)一集中管理與分布式部署，便于對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的整體把控；

客戶(hù)關(guān)注的主要功能

1、掃描器的規(guī)則更新頻率，尤其是重大安全漏洞的更新周期；

2、掃描器掃描結(jié)果的準(zhǔn)確性，包括誤報(bào)率和漏報(bào)率；

3、漏洞的可驗(yàn)證性，可見(jiàn)存在漏洞的證明信息；

4、功能的全面性，能支持如漏洞、基線、數(shù)據(jù)庫(kù)、弱口令等各類(lèi)風(fēng)險(xiǎn)威脅掃描。

市場(chǎng)廠商列表