精华内容
下载资源
问答
  • 产品安全是什么
    万次阅读
    2021-01-11 11:42:55

    国内哪些公司在做企业版安全产品开发?

    问题太大了,做企业版安全产品的N多,有硬件设备、有软件、也有做SAAS在线服务的。

    国外的一些安全软件是否在中国只做代理销售,基本不会在国内开发?

    国外的安全软件除非个别的,基本在国内都有代理销售。

    有没有国外的安全软件开发公司在中国有分公司或办事处?规模比较大的国外安全公司很多在国内有办事处。

    这个是一个兄弟整理的安全产品厂商分类,找不到出处了。

    防火墙类(UTM&FW&NGFW)厂商
    WAF(web 应用防火墙)厂商
    数据库审计类厂家
    运维审计厂商
    网站安全厂商
    邮件类安全厂商
    身份鉴别厂家
    防毒墙&杀毒软件厂商
    安全咨询类厂家
    网闸安全厂家
    等级保护评估系统
    数据防泄漏(DLP)
    漏洞扫描(主机&web)
    SOC(安全运维平台)&SIEM(安全事件管理)
    内网安全管理(含准入)
    上网行为管理
    远程接入安全(VPN)
    入侵检测和防御(IDS&IPS)
    抗拒绝服务攻击(DDoS)
    网页防篡改

    其他公司细分(跟游侠打过招呼了,感谢辛苦整理):

    物理安全
    存储介质信息消除/粉碎机:北信源、和升达、科密、30所、利谱、交大捷普、兰天致信、中超伟业、博智软件、方德信安、深圳汇远佳禾

    网络安全
    防火墙/UTM/安全网关/下一代防火墙:天融信、山石网科、启明星辰、网御星云、绿盟科技、安恒信息、蓝盾、华为、软云神州、杭州迪普、华清信安、东软、上讯信息、利谱、深信服、360、卫士通、H3C、交大捷普、信安世纪、任子行、上海纽盾、金电网安、亚信安全、北京擎企、金山、君众甲匠、优炫、海峡信息、安信华、博智软件、中科曙光、中科网威、江民科技、六壬网安、安码科技、点点星光
    入侵检测/防御:启明星辰、绿盟科技、网御星云、360、天融信、铱迅信息、蓝盾、杭州迪普、山石网科、安恒信息、交大捷普、任子行、经纬信安、漏洞盒子/网藤风险感知、华清信安、上海纽盾、东软、恒安嘉新、安天、金山、君众甲匠、海峡信息、博智软件、H3C、中科网威、江民科技、六壬网安、青藤云安全
    无线入侵检测/防御:360、北京锐云通信、山东闻道通信
    VPN:深信服、天融信、蓝盾、360、华为、绿盟科技、卫士通、信安世纪、奥联科技、启明星辰、南京易安联、华清信安、上海纽盾、东软、海峡信息、博智软件、H3C、江南信安、弘积科技、山东确信
    上网行为管理:360、深信服、蓝盾、华为、莱克斯、网际思安、软云神州、杭州迪普、北信源、网鼎芯睿、陕通、上海新网程、奥联科技、交大捷普、任子行、上海纽盾、东软、Panabit、北京擎企、金山、盛世光明、博智软件、H3C、万网博通、极安、江民科技、迈科网络、六壬网安、弘积科技
    网络安全审计:天融信、莱克斯、启明星辰、交大捷普、绿盟科技、蓝盾、广州国迈、软云神州、任子行、雨人、上海观安、上海纽盾、360、恒安嘉新、盛世光明、海峡信息、博智软件、杭州迪普、中科新业、重庆智多
    网络流量控制:360、深信服、流控大师、Panabit、蓝盾、软云神州、网鼎芯睿、互普&溢信(IP-Guard)、东华软件、上海纽盾、灵州网络、恒安嘉新、北京擎企、金山、盛世光明、杭州迪普、万网博通、极安、迈科网络
    网络流量分析:科来公司、东华软件、绿盟科技、网鼎芯睿、上海观安、上海纽盾、恒安嘉新、Panabit、亚信安全、安天、江民科技、华青融天、迈科网络
    防病毒网关/防毒墙:网御星云、蓝盾、冠群金辰、杭州迪普、瑞星、360、安恒信息、山石网科、亚信安全、安天、金山、天融信、海峡信息、安信华、博智软件、江民科技
    APT未知威胁发现:安恒信息、科来公司、360、天融信、启明星辰、东巽科技、安天、绿盟科技、华为、神州网云、成都力合智远、经纬信安、兰云科技、中铁信睿安、卫达安全、恒安嘉新、宝利九章、亚信安全、安赛创想、金山、海峡信息、博智软件、知道创宇、江民科技、六壬网安
    抗DDoS产品:绿盟科技、华为、中新网安、铱迅信息、启明星辰、傲盾、蓝盾、杭州迪普、华清信安、安恒信息、兰云科技、上海纽盾、卫达安全、任子行、青松云安全、天融信、360、北大千方、知道创宇、神荼科技
    抗DDoS服务:阿里云、腾讯云、金山云、百度安全/安全宝、360、安恒信息、兰云科技、网宿科技、上海云盾、中新网安、卫达安全、安全狗、青松云安全、电信云堤、UCloud、智卓云盾、知道创宇、蓝盾
    网闸:360、北京安盟、利谱、启明星辰、杭州合众、北京盖特佳、天融信、交大捷普、天行网安、伟思、金电网安、赛博兴安、东软、海峡信息、安信华、重庆爱思
    安全隔离与信息单向导入设备/单向传输机器:深圳中锐源、中铁信安、中孚信息、杭州合众、国保金泰、天融信、赛博兴安、普世科技、锐安、金电网安、北京安盟、中科网威、山石网科、哈尔滨朗威、利谱、北京远为软件
    网络缓存加速·产品:缓存大师WebCache、锐捷、优络普、Panabit、安信华
    网络缓存加速·服务:知道创宇、阿里云、百度云、腾讯云、帝恩思、DNSPod
    网络准入控制:北信源、无锡宝界、蓝盾、互普&溢信(IP-Guard)、启明星辰、金盾软件、广州国迈、盈高科技、画方科技、联软、中软、上讯信息、交大捷普、信安世纪、中孚信息、上海纽盾、艾科网信、海峡信息、博智软件、江民科技、亚东软件
    负载均衡:深信服、北京中科四方、东华软件、信安世纪、灵州网络、北京华夏创新、北京楷然昊天、上海云速、湖南麒麟、杭州迪普、启明星辰、南京易安联、上海纽盾、Panabit、北京擎企、H3C、弘积科技、北京远为软件、福建伊时代
    应用交付:智恒科技、深信服、信安世纪、瑞友天翼、360、天融信、东软、任子行、优炫、中科曙光、弘积科技
    加密机/密码机:江南科友、网御星云、天融信、三未信安、山东得安、卫士通、山东渔翁、无锡江南、江南天安、江南博仁、兴唐通信、中安网脉、君众甲匠、立思辰、江南信安、山东确信、信安世纪
    DNS安全:电信云堤、厦门帝恩思、知道创宇
    不良信息识别与监测:金惠科技

    主机安全
    桌面管理/主机审计:北信源、汉邦、联软、蓝盾、互普&溢信(IP-Guard)、启明星辰、网御星云、360、天融信、金盾软件、广州国迈、软云神州、哈尔滨朗威、上海创多、深圳金天眼、杭州正杰、浙江远望电子、北京盖特佳、峰盛科技、中软、卫士通、沈阳通软、圣博润、上讯信息、交大捷普、中孚信息、上海浩迈、金山、海峡信息、博智软件、江民科技、江南信安、山丽信息、亚东软件、706所、中电瑞铠
    单机防病毒:瑞星、江民科技、金山、360、百度、腾讯、东方微点、费尔、火绒、亚信安全、安天、博智软件
    网络防病毒:瑞星、360、金山、江民科技、东方微点、北信源、亚信安全、安天、博智软件
    主机文档加密与权限控制/HDLP:亿赛通、天锐绿盾、时代亿信、明朝万达、蓝盾、互普&溢信(IP-Guard)、北信源、金盾软件、启明星辰、北京盖特佳、峰盛科技、中软、卫士通、上海祥殷、上海前沿、杭州华途、江苏敏捷、思智泰克、交大捷普、中孚信息、福州深空、天融信、思睿嘉得、合力思腾、深圳虹安、上讯信息、成都力合智远、莱克斯、365数据安全/四川西图、山东申启、金山、天空卫士、锐思特、赛猊腾龙、海峡信息、深信达、博智软件、江民科技、天喻软件、上海谐桐、亚东软件、武汉百易时代
    源代码加密及嵌入式开发源码加密:深信达、明朝万达、亿赛通、IP-Guard、山丽信息、天锐绿盾、互普&溢信(IP-Guard)、中软、虹安
    主机安全加固:浪潮、椒图、安全狗、广州国迈、中软华泰、上海观安、可信华泰、中嘉华诚、中航嘉信、易路平安、亚信安全、安天、优炫、安普诺、中超伟业、中科曙光、神荼科技、青藤云安全、安恒信息
    终端登录/身份认证:上海格尔、吉大正元、卫士通、信安世纪、上讯信息、南京易安联、北信源、九州云腾、中孚信息、博智软件、哈尔滨朗威
    移动存储介质管理:北信源、北京天桥、启明星辰、金盾软件、广州国迈、哈尔滨朗威、上海创多、亿赛通、交大捷普、上海浩迈、上海格尔、安天、金山、天喻软件、山丽信息、亚东软件
    补丁管理:北信源、360、启明星辰、金盾软件、上海创多、交大捷普、亚信安全、金山
    打印安全/打印管理/打印审计:北京恒安讯佳、北信源、中孚信息、安普锐、天锐绿盾、金山、保旺达、哈尔滨朗威、天喻软件、瑞达信息、山丽信息、武汉百易时代、鼎盾科技、思为同飞

    应用安全
    网页防篡改:安恒信息、智恒科技、赛蓝、山东中创、绿盟科技、启明星辰、上海天存、上海天泰、福州深空、北京通元、国舜股份、蓝盾、安全狗、WebRay远江、杭州迪普、上讯信息、交大捷普、青松云安全、海峡信息、江民科技、立思辰、六壬网安
    Web应用防火墙·WAF·硬件:安恒信息、启明星辰、绿盟科技、天融信、铱迅信息、知道创宇、上海天泰、杭州迪普、山东中创、WebRay远江、蓝盾、北京千来信安、中新网安、软云神州、中软华泰、上讯信息、上海天存、利谱、交大捷普、任子行、中铁信睿安、上海纽盾、360、卫达安全、金电网安、安赛创想、东软、海峡信息、安信华、博智软件、山石网科、江民科技、立思辰、六壬网安、安码科技、神荼科技
    Web应用防火墙·WAF·软件:福州深空、安恒信息、铱迅信息、安全狗、云锁、青松云安全、上海天存、安码科技
    Web应用防火墙·服务&云WAF:安恒信息、阿里云、腾讯云、360、知道创宇、上海有云、湖盟、百度安全/安全宝、蓝盾、北京千来信安、中软华泰、上讯信息、快云、斗象科技/网藤风险感知、网宿科技、上海云盾、青松云安全、电信云堤、UCloud、数梦工场
    WEB漏洞扫描:安恒信息、四叶草安全、国舜股份、绿盟科技、知道创宇、WebRay远江、安赛创想、安犬漏洞扫描云平台、启明星辰、经纬信安、上海观安、斗象科技/漏洞盒子/网藤风险感知、恒安嘉新、安识科技、H3C、六壬网安、安码科技
    网站安全监测产品:安恒信息、绿盟科技、知道创宇、360、WebRay远江、任子行、四叶草安全、安全狗、恒安嘉新、安信华、H3C、江民科技、安普诺、立思辰、浙江乾冠
    网站安全监测服务:安恒信息、绿盟科技、知道创宇、360、百度安全/安全宝、WebRay远江、北京千来信安、任子行、安全狗、恒安嘉新、四叶草安全、浙江乾冠
    邮件安全产品:守内安、网际思安、蓝盾、敏讯、冠群金辰、盈世CoreMail、时代亿信、上海格尔、安宁、凌久、国瑞信安、蓝海星、北京方向标、上海青羽/靠谱邮件、亚信安全、安宁、安普诺、武汉百易时代
    数据库漏洞扫描:安恒信息、安信通、安华金和、建恒信安、中安星云、杭州闪捷
    数据库防火墙:安恒信息、安华金和、中安比特/中安威士、帕拉迪/汉领信息、杭州美创、中安星云、杭州闪捷
    数据库加密和脱敏:中安比特/中安威士、安华金和、迈科龙、中安星云、杭州美创、上海观安、优炫、广州鼎甲、杭州闪捷
    数据库审计:安恒信息、安华金和、思福迪、启明星辰、网御星云、天融信、极地银河、山东中创、蓝盾、北信源、莱克斯、软云神州、绿盟科技、上讯信息、中安比特/中安威士、交大捷普、金盾软件、昂楷科技、帕拉迪/汉领信息、上海纽盾、东软、杭州美创、优炫、海峡信息、安信华、博智软件、中安星云、东华软件、六壬网安、思为同飞、706所、杭州闪捷
    半自动&自动化渗透平台:安恒信息、安络科技、四叶草安全
    应用统一身份管理/身份认证/单点登录/认证网关/PKI/CA/数字证书/令牌/各种KEY:天诚安信、派拉软件、神州融信、上海格尔、天威诚信、信安世纪、东软、吉大正元、安识科技、北京安讯奔、九州云腾、中科曙光、洋葱安全、极验验证、立思辰、江南信安、山东确信 | 各省都有CA,这个就单列了、中科恒伦、上海林果、福建伊时代
    代码防火墙:上海观安
    加密安全设备/NDLP:福建伊时代、时代亿信、365数据安全、天空卫士、思为同飞
    反钓鱼/反欺诈:电信云堤、国舜股份、知道创宇、百度、阿里、腾讯、360、安天、亚信安全、安恒信息、江民科技、华青融天
    语音安全:北京无限互联

    数据安全
    数据备份:上海爱数、杭州美创、火星高科&亚细亚智业、苏州美天网络、信核数据、上讯信息、英方股份、上海联鼎、亿备&广州鼎鼎、和力记易、广州鼎甲、安码科技、南京壹进制、浪擎科技、福建伊时代
    虚拟机备份与恢复:成都云祺、英方股份、和力记易、广州鼎甲、北京远为软件
    数据清除工具:中孚信息、北京天桥、上海浩迈、万里红、中超伟业、博智软件、方德信安、哈尔滨朗威

    移动安全/虚拟化安全/云安全
    虚拟化安全防护:安恒信息、启明星辰、广州国迈、北信源、中软、南京易安联、山石网科、阿姆瑞特、上海观安、东软、安全狗、云锁、亚信安全、金山、蓝盾、北京远为软件
    手机防病毒:腾讯、瑞星、金山、360、网秦、百度、中软、安天、恒安嘉新、亚信安全、蓝盾
    移动终端管理/EMM/MDM:国信灵通/启迪国信、北信源、360、明朝万达、中软、安天、上讯信息、北京珊瑚灵御、亚信安全、金山、蓝盾、江民科技、江南信安
    CASB/云业务安全接入代理:炼石网络、云安宝、信云科技、绿盟科技、启明星辰
    手机APP安全:梆梆安全、北京智游网安/爱加密、阿里聚安全、360、任子行、北京鼎源科技、腾讯御安全、恒安嘉新、安普诺、安码科技
    基于云的安全服务:青松云安全、青藤云安全、百度云、腾讯云、阿里云、360、华为、安全宝、山石网科、万般上品、东软、卫达安全、白帽汇、海峡信息、四叶草安全、中国电信·安全帮 | 此条目待调整、待完善!
    大数据安全:安恒信息、启明星辰、绿盟科技、360、派拉软件、观数科技、瀚思、天行网安、上海观安、聚铭网络、中孚信息、恒安嘉新、志翔科技、知道创宇、科来公司、安码科技、杭州美创 | 这是一个比较纠结的分类,因为牵扯到的内容太多……现在主流的安全厂家几乎都能做一部分,但是……这个分类可能近期会做细化

    安全管理
    SIEM/日志管理/日志审计/SOC/安管平台:安恒信息、思福迪、360、天融信、启明星辰、东软、蓝盾、蚁巡、江南天安、北信源、上讯信息、赛克蓝德、神州泰岳、交大捷普、派拉软件、瀚思、中铁信睿安、聚铭网络、华清信安、上海纽盾、亚信安全、优炫、安信华、H3C、华青融天、安码科技、北京中安智达、706所、福建伊时代
    运维审计/4A/堡垒机:安恒信息、思福迪、帕拉迪/汉领信息、浙江齐治、尚思科技、江南科友、绿盟科技、天融信、启明星辰、建恒信安、蓝盾、华为、泰然神州、上海艺赛旗、北京极地、信安世纪、圣博润、江南天安、国迈、上讯信息、神州泰岳、亿阳信通、麒麟、云安宝、交大捷普、德讯科技、任子行、派拉软件、上海观安、金盾软件、智恒科技、东软、金电网安、亚信安全、北京安讯奔、盛世光明、优炫、海峡信息、保旺达、安信华、中科曙光、六壬网安
    网管软件/ITIL:广通信达、网强、汉远网智、北塔、蚁巡、华为、锐捷、摩卡[华胜天成]、国聿、上讯信息、交大捷普、飞思安诺/飞思网巡、恒安嘉新、优炫、艾科网信、海峡信息、迈科网络、东华软件
    漏洞扫描与管理:安恒信息、榕基、启明星辰、绿盟科技、铱迅信息、极地银河、蓝盾、WebRay远江、江南天安、杭州迪普、天融信、交大捷普、安犬漏洞扫描云平台、经纬信安、上海观安、中铁信睿安、斗象科技/漏洞盒子/网藤风险感知、宿州东辉、四叶草安全、恒安嘉新、安天、蓝盾、君众甲匠、博智软件、中科网威、立思辰、六壬网安、安普诺
    网络和主机配置核查系统:安恒信息、思福迪、绿盟科技、启明星辰、聚铭网络、北京随方信息、博智软件
    主机安全保密检查工具:中孚信息、北信源、北京天桥、哈尔滨朗威、万里红、华安保、上海浩迈、博智软件、方德信安
    信息安全等级保护测评工具箱:安恒信息、国瑞信安、圣博润、公安一所、锐安 | 注:市面上多家厂家均生产此产品,但公安部仅指定了5家作为“合格的”生产单位!
    网络安全态势感知:安恒信息、知道创宇、360、绿盟科技、WebRay远江盛邦、四叶草安全、任子行、上海观安、兰云科技、聚铭网络、恒安嘉新、白帽汇、杭州合众、亚信安全、安天、郑州赛欧思、江民科技、科来公司、安码科技
    应急处置工具箱:安恒信息

    工控安全产品与厂商大全
    威努特、匡恩网络、谷神星、海天炜业、珠海鸿瑞、力控华康、启明星辰、绿盟科技、中科网威、三零卫士、安恒信息、北京网藤科技、天地和兴、安恒信息……

    工控防火墙:中科网威、威努特、匡恩网络、谷神星、海天炜业、力控华康、天地和兴、安点科技、网藤科技、卫达安全、博智软件、九略智能
    工控安全审计:威努特、天地和兴、匡恩网络、网藤科技、斗象科技/漏洞盒子/网藤风险感知、安点科技、博智软件、安恒信息、知道创宇、中科网威
    工控漏洞扫描/挖掘:天地和兴、匡恩网络、网藤科技、斗象科技/漏洞盒子/网藤风险感知、博智软件、知道创宇
    工控安管平台:**天地和兴、匡恩网络、中科网威
    工控主机安全防护:天地和兴、网藤科技、安点科技、九略智能
    工控入侵检测/威胁感知/入侵防御:安点科技、天地和兴、网藤科技、博智软件、科来公司、中科网威
    工控网闸:安点科技、中科网威
    工控防泄密:匡恩网络
    工控检查工具箱:安恒信息、
    工控蜜罐:匡恩网络、
    工控攻防实验室:匡恩网络、网藤科技、博智软件
    工控态势感知:安恒信息、博智软件、360、知道创宇、浙江乾冠、九略智能
    中国自主可控网络安全产品与厂商

    数据来源于申威产业联盟、龙芯产业联盟、中关村可信计算产业联盟自主可信专委会;
    就自主可控行业的特殊性而言,很多大厂商是作为特供产品进行市场宣传,而小厂商只作为品牌规划,并没有特殊宣传,在数据收集时可能会导致内容不全面;
    对于名单中未涉及的厂商,可以单独联系, 告知欲添加的分类、公司名称(需在上述3个联盟中);
    感谢中关村可信联盟自主可信专委会相关工作人员整理!
    防火墙:中科神威、天融信、网御星云、东软、中科曙光、蓝盾、中航鸿电、中船综合院、706所
    入侵检测/防御:中科神威、网神、中科曙光、安恒信息 、绿盟科技、汉柏
    漏洞扫描系统:中科神威、安恒信息 、绿盟科技
    安全管理平台:启明星辰、中科神威、360
    网闸/安全隔离与信息单向导入设备:国保金泰、中科神威、北京安盟、赛博兴安
    加密机:江南天安
    终端安全:北信源、江民科技
    Web应用防火墙:上海天泰
    堡垒机:建恒信安、江南寰宇
    负载均衡:般固科技
    防毒墙:江民科技
    备份一体机:壹进制
    网络流量分析:北京卓迅
    网络准入控制:画方科技
    存储:创新科、同有飞骥
    未分类子类

    舆情监控:中国舆情网、优捷信达、乐思、红麦、中科点击、泰一舆情、探宝、拓尔思、本果、软云神州、西盈、任子行、网藤风险感知、南京快页数码、博智软件、北京中安智达
    威胁情报:微步在线、上海观安、斗象科技/http://FreeBuf.com/漏洞盒子、恒安嘉新、白帽汇、天际友盟、知道创宇、360、安恒信息
    国产操作系统:Deepin深度、RedFlag红旗、Kylin麒麟、NeoKylin中标麒麟、StartOS起点/雨林木风OS、凝思磐石安全操作系统、共创Linux、思普Linux
    国产数据库:达梦数据库、东软OpenBASE、国信贝斯iBase、人大金仓KingBase、南大通用GBase
    业务风控安全:锦佰安、指掌易、邦盛、岂安、行邑、同盾、通付盾
    蜜罐:安恒信息、三零卫士、凌晨网络、绿盟科技、默安科技
    安全硬件平台/工控机:新汉、阿普奇、盛博、集智达、英德斯、福升威尔、华北科技、艾宝、华北工控、研祥、祈飞、研华,立华,惠尔,智威智能
    数据恢复:苏州美天网络、金山安全、易数科技、华客、飞客、众成、博智软件
    数据库准入:杭州美创
    数据库堡垒机:杭州美创
    红黑电源滤波插座:保旺达、启航智通
    电磁屏蔽柜:启航智通、信安邦
    数字取证:美亚柏科、盘石软件
    安全计算机:瑞达信息

    著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
    装载链接:https://blog.csdn.net/qq_33793599/article/details/85101082

    更多相关内容
  • 最近一段时间XDR的概念十分热门,该产品主要是一个什么类型的产品?具体能够解决那些问题,和当前已有的产品什么区别? 作为近两年最为热门的安全技术方向,XDR成为被Gartner《Top Security and Risk Management ...

    最近一段时间XDR的概念十分热门,该产品主要是一个什么类型的产品?具体能够解决那些问题,和当前已有的产品有什么区别?

    作为近两年最为热门的安全技术方向,XDR成为被Gartner《Top Security and Risk Management Trends》报告提到的第一项技术和解决方案。对于XDR,虽然很多安全厂商给出的定义都不尽相同,但是却有这样一个基本的共识:它不仅是众多安全能力的集合,更将这些单独的能力进行全面协同,从而使之成为上下联动、前后协作的有机整体。虽然XDR仍处概念阶段,但其最大优势在于把此前已经发展相对成熟的安全解决方案进行融合,发挥各自长处形成功能更为完整的解决方案。

    0x0安全建设的意义与目标

    稍微宏观一点的视角来看目前企事业在做内部安全建设的主要动力粗略分析后主要有2个大类:

    1. 基于合规驱动
    2. 基于安全事件驱动

      基于合规驱动的安全建设目前按照时间的推移也被满足的较好,从项目难度来看也相对容易成果也更加容易体现和评估。但是随着最近几年日益偏向实战化的攻防对抗趋势逐渐凸显很多用户逐渐发现以合规为主要驱动力的安全建设并无法适应这种高强度的对抗场景,伴随着黑产的活跃暴露了很多安全建设的短板,更加频繁的攻防演练、攻击手法逐渐呈现高度定制化、定向攻击模式的勒索场景导致安全建设方的不得不抛弃以往堆砌安全设备的思路,从而走向主动化得安全运营的思路,在最近几年明显可以感知到安全效果、安全运营的标签活跃度快速增加;从安全产品的角度来看,安全产品的品类也更加丰富从偏向传统的防火墙、UTM、IPS、Anti-Virus、漏洞扫描逐渐变成了以态势感知、EDR、CWPP、API网关、SASE、零信任、ASM等更加丰富的产品族,安全建设始终存在明显的木桶效应所以安全建设方不得不更加疲于去发现安全风险,并针对安全风险进行针对性的缓解与修复措施;

       安全设备多了碎片化的情况便就开始越发严重,安全管理者需要花费更大的成本去运维这些安全设备,除了基本的性能指标指标收集之外,也需要关注这些安全设备产生的告警事件,但是很多运维的同学缺少一定的攻防知识的基础导致无法准确明确当前的安全状态,于是出现了更加专业的安全运营人员主要分析这些不同安全设备所产品的告警;基于此背景,安全运维逐渐转向成安全运营的阶段,比较明显的趋势在很多企事业单位当中安全部门逐渐从运维部门、IT部门分离出来新成立了一个组织;

    0x1 SOC与SIEM 与XDR的区别?

       安全运营工作的开展也面临着较多的挑战,首当其冲的无非是当前网络当中有很多的安全设备,分散在不同的区域、登录方式也不尽相同,运营这些安全设备传统的SNMP的方式亦无法满足此类需求。于是新出现了一类产品即SIEM类产品主要用于收集这些分散在各个IT设备所产生的安全告警,主要方式也驱动这些安全产品将有价值的告警事件通过syslog、FTP、kafaka等协议一起汇总到SIEM平台当中,而这个SIEM平台需要将不用产品的告警事件、日志文件、字段各异的数据进行统一的标准化处理,能够方便与安全运营人员可以快速的检索、查询、分析等操作,而且基于一些合规需求此类数据也需要保存一定的时间180天。由于很多安全建设方基于异构的思路出发不太会单一采购某一家安全产品导致不同厂家对安全的理解、字段的定义都不一样,也同样的为安全运营带了较大的误差;

    典型的案例比如:

    1. 安全A厂商针对一个web RCE的主要使用Snort的规则引擎进行检测识别,定义为高危攻击、误报率在10%左右,字段描述、关键字段有8个;但是安全B厂商识别同样的攻击主要使用了suricata进行检测识别,定义为致命攻击,字段描述与关键字段有20个;
    2. 安全产品防火墙识别到了一个Web RCE的告警,终端的EDR识别到了一个webshell的生成,但是二个告警却是同一个攻击者的不同阶段的攻击行为所导致的,安全运营人员缺乏一定的安全场景理解无法将此二个事件进行关联剖析;

       SIEM除开事件的分析之外,也存在较大的成本主要在于对安全数据的对接问题,由于安全设备的日志内容可能会随着版本升级、功能更新有所不同,也就意味着SIEM平台需要不停的去适配这些安全告警的变化,由此带来的工作量也并不少;虽然存在一些繁琐的问题,不过终究还是避免了登录到各个安全产品上进行事件的调查与查询,也算是提高一定的安全运营效率;在SIEM的基础上安全事件/告警产生之后,安全数据需要得到了一个有效的闭环,比如发现某个主机出现了一个病毒事件一般需要运维人员进行紧急的处置,使用杀毒软件进行病毒查杀,加固,清理后门文件等操作。但是很多资产都是业务方、单独的运维人员进行维护安全运营人员需要将此类的事件以工单的形式进行流转通知到对应的人员,单独的MOA、邮件不方便于安全运营工作的价值化体现,于是在现在的SIEM平台上需要新增一定的安全运营流程化工作,结合工单、资产CMDB、邮件系统等系统进行联动组件行为事件发现、研判、分发、处置、闭环的阶段安全运营的工作逐渐流程化、标准化。

    比较成熟的SIEM/SOC类的商业化产品例如国外的ArcSight某国内有一些金融行业客户案例,但是为了用好这个产品也需要维持一个专业的安全运营团队,有较高的成本;于是开始思考是不是可以把一些常规的案例能够给固化下来,把一些安全专家的能力能够代码化,尤其是在一些典型的自动化攻击场景,最近几年的SOAR便逐渐走向的大众的视野,一旦出现了一个确定的告警之后,即触发一个标准的剧本playbook让程序与安全产品自动化实现处理闭环,从而最小化安全人员的精力成本。理想是很丰满的,落地的时候确实很骨感,安全本质上还是需要为业务服务,由于告警的质量不高如果贸然的告警十分容易引起业务的中断、高延迟、用户体验变得糟糕,同时一些敏感的行为很难通过自动化的方式进行处理,比如无文件攻击、进程注入、内存马、rootkit等场景。

     按照常识来讲SIEM/SOC平台汇聚了这么多安全数据,应该可以实现1+1 > 3的安全效果,然后实际情况却是1+1 < 1;根本原因是采集到的数据来自不同的安全厂家的告警数据、来自于不同的位置的安全告警数据,平台无法做到自动化的关联分析,同时大量的低危告警、中危告警、反而导致了刷屏的情况发生,安全人员反而需要从大量的数据中去筛选那些真正有价值的告警都很困难,更别说做到关联分析了发现很多隐蔽的攻击行为了。

    0x2 XDR主要解决什么安全问题?

       SIEM/SOC由于汇聚了太多的告警数据反而没有把数据真正的价值给发挥出来,一个最主要的原因是无法对这些林林总总的数据进行较好的分类;当前XDR的出现在此的基础上进行了一定的改进,明确了不同类型的数据来源即NDR、EDR,将安全数据简单的分为网络层数据、终端层数据;可以明显的发现XDR的产品往往对采集数据的标准化进行明确的规定,从而保证了数据格式内容的标准化,只有符合一定格式标准的数据才能产生价值;对于很多来源不清晰的数据,便使用的SIEM的模式将重要性进行降低,目前也仅仅能做到的快速的检索查询,较难实现关联分析的能力;同时将符合标准的安全的数据进行了明确的分类即当前的日志log、告警alert、事件incident/event与遥测数据,之前安全产品为了更多的保证安全能力的检出往往不太会考虑安全人员在使用的过程当中的困境,导致很多规则、告警质量都不太高,当然一部分的原因很多用户的环境当中也有很多特殊性,导致业务的误报也很多,安全人员操作起来也很困难。XDR需要解决的是,将这些告警与日志通过一种特殊的分析方法汇聚成确定的incident事件,从而尽可能性的减少分析研判的工作量。

    以往的告警为何无法满足此需求,一定需要更多的数据?这个原因主要是因为当前越来越多的攻击的隐蔽性更加丰富,单一来源的数据基本上无法满足需求,当前主要检测攻击成功的方式普遍采取了基于HTTP协议的回显、懂渗透的小伙伴应该是很清楚的大部分web攻击是有回显的,类似于有个交互没有回显的漏洞越来越多了,比如最近新出来的Spring Cloud Function的表达式注入RCE、同样也是无回显类型的漏洞攻击者就的借助JDNI、DNSLOG等方式进行利用从而导致了此类攻击成功基本上就无法被识别;典型的案例如前几个月新出的漏洞log4j,该漏洞的原理就不细细分析,改天可以单独拿出来看看。传统的NDR能识别这个攻击比较简单,但是这个攻击是不是攻击成功了,后面进行了什么操作,需不需要联系对应的负责人进行响应,就陷入了两难得情况;

     如果但从这个数据包来看对攻击成功与否无法进行一个明确的标识,返回了400 报错信息都反应出来的结果是没有成功的,但实际情况这是一个真实的攻击成功场景。该payloda主要是在tmp目录下创建几个文件,单一的流量检测无法识别的背景下结合端侧的数据可的确是可以发挥更大的价值。实现1+1 > 3事实上是可以实现的,但是需要的数据是有价值与明确的场景,而不是数据越多越好。

     之前为什么没有出现这种问题?个人觉得主要还是实战化攻击的趋势导致的结果,笔者参与了3年国家级HW活动,作为蓝队感觉一次以比一次难阻止。最开始的基础漏洞利用到后面的加密流量、横向、CDN、0day的攻击,传统的安全设备防护能力无法适应当前这种情况,尤其是在高强度的对抗过程中,安全运营人员需要从海量告警数据当中能够有快速发现,快速定义有效攻击事件,为什么是海量告警?一方面是攻击队的战术、一方面的安全设备种类都,一方面是为了保障检出告警策略都比较松。但是从安全的全局来看,我们定义的有效攻击主要还是攻击成功与失陷检测;大量的攻击能够产生实际危害的比较是少数,大量多攻击者、自动化攻击往往需要用很多的尝试才能成功,所以如何筛选出这一个成功的就是一个技术活;另外一个场景是攻击成功之后,攻击者后续的行为也需要有个方法进行识别,典型的场景的外联、爆破成功、内网横向扫描、持久化后门操作等等;

    基于此背景可以定义一下XDR的核心能力到底在哪里或者说能给使用者带来怎么样的价值:

    1. 基于多源数据所得出的的准确安全事件,而非基础的海量告警;
    2. 丰富的数据在实战化场景识别,识别隐蔽攻击事件;
    3. 快速检索当前网络当中所有的安全数据;

    相对其他基础安全产品的强调安全检出率的核心能力,XDR的核心能力却在于如何能够将多源数据进行分析的关联能力,从技术上来看之前的态势感知的核心能力是提取高质量snort和suricata规则、分析能力的APP的话,XDR的能力在于基于Flink CEP的框架编写检测规则的思路。数据量也存在一定的差距,相对于基础的IDS类产品主要分析对象集中在特定的文件,安全能力主要用户去消费此类文件数据;XDR分析对象变成了广泛数据接入的数据湖data lake;关联分析的能力个人理解主要有3点:

    1. 明确具体需要解决哪一类的安全问题/场景(反弹shell、加密通信)
    2. 为了解决此类场景需要哪些带分析的数据(遥测、日志还是告警)
    3. 将不同的数据汇总到一起,用于相互举证相互印证;

    安全类的DR产品普遍都有检出率、误报率二个技术指标;安全研究人员多数时候在识别一个攻击行为的同时都会明确当前的这个场景,误报和漏报到底谁的影响的更加一些,因为攻击行为大多数都是不容易被感知的,大多数安全产品普遍会牺牲检出率保障误报率;而且使用者在评估一个安全产品的时候更多的会说:这个产品不行,误报告警多的不行;如果没有异构的场景可能连漏报了也无法被感知到,如果不是每年的HW活动很多安全产品都很难面临化实战化的校验,不得不说当前安全测试的人才是缺少的,仔细想想能做红队大家又何必去做测试呢。于是在XDR的场景的多数据要求下,是需要既要保障检测率也要保障误报率的,技术上可行吗?如果遥测数据和关联能力梳理的恰当的化,理论上是可以的,而且国外的crowd strike、PA-Cortex XDR基本上已实现了该功能,还结合多源的数据对威胁事件进行定性,有数据的确是万能的安全行业逐渐也变成了互联网模式的,基于大量的数据分析驱动安全检测。

    0x3网络/终端谁更重要?

    鬼佬们在XDR的方向更多喜欢重EDR的能力,将大部分的能力都放在了终端的数据采集和检测上,终端上除了能够采集到对应的网络、文件、进程的操作,还能关联到对应的进程启动顺序,pid、敏感API等操作,理论上的数据面会更加丰富一些,windows上的sysmon就是一个非常nice的组件;但是在终端上需要考虑到对系统资源的占用、对业务的影响、网络与磁盘IO的占用、系统稳定性等多个因素,之前学习windows核心编程的时候给电脑弄蓝屏都是常事、更别说当前的系统监测。相对网络上的检测方向,明显技术性更强门槛也更加高一些,终端测得采集数据也更加需要注意之前内部孵化容器安全的产品时候本着重平台轻终端的方案,结果一个容器一天的采集到的行为数据居然高达1G之多,对网络与磁盘IO的影响已经很多很多,端上的核心能力的确在于如何能够采集到最少的数据而发挥更大的价值,而不是一股脑的全部收集上然后慢慢分析,这个工作路程的确是需要很长的路要走。相对终端的复杂,当前网络层的技术就要成熟很多,开源的技术与流量镜像技术都比较成熟而且总体上来看对业务基本上都没有什么影响,交换机的镜像资源也可以接受,所以国内普遍还是喜欢这种流量镜像的模式,部署维护都要简单便捷很多,但是检测到的数据就相对有限了,最典型的例子在5点:

    1. 加密流量、CDN流量、https(证书解密性能消耗十分严重)目前都没有办法进行有效的识别;
    2. 主机侧的凭证窃取、持久化、痕迹清理、信息收集均无法识别;
    3. 很多基于汇聚层交换的恶意攻击行为无法被镜像到,镜像流量缺失情况严重
    4. 大规模流量出现的时候容易出现审计流量不全或者缺失的情况
    5. 云上主机的流量无法进行镜像

    可以明显感知虽然终端上的技术成本更高,但是从安全攻防的场景出发对攻击者的识别能够采集到的数据,明显端上的能力会优势点更多一些,也更加符合业务上云之后的一个大趋势;网络层的能力适合于一些攻击者初始入侵、CC通讯的场景,终端能力更加适合后渗透阶段的各类行为,如何将二者的能力进行融合,也是当前XDR厂商需要思考的关键问题之一;

    0x4 检测响应与访问控制

    安全建设到时候发现有效的思路主要就2个:

    1. 检测响应趋近于安全运营中心的方案,快速发现、快速响应、快速闭环;
    2. 基于访问控制的隔离,保证攻击者无法进行有效攻击,即当前热门的零信任技术;

    响应技术从目前的手法来看,还是投鼠忌器的场景多一些;常见的手法主要就封堵IP地址、隔离主机、隔离进程、隔离文件,换一个角度看即网络隔离、进程隔离、文件隔离;一个恶意攻击或者样本运行之后的行为,实际上是不可控的,更改了一些系统关键项目或者感染了一些特定类型的文件、创建了某些服务、利用了系统进程等场景,即使再专业的SOAR也无法对这些行为进行处置,无非也就是下发API调用防火墙、交换机等网络层设备进行特定的IOC进行封堵隔离,再下发API到终端的EDR进行全盘文件查杀,特定文件查杀,注册表清理等不影响业务的场景;那些难以查杀的病毒或者后门最后只能靠安全专家评估后进行操作,就算是真的靠安全人员大家都是很慎重,毕竟业务终端、系统蓝屏的影响大的多了,很多业务应用本身就脆弱,重启后服务不正常的情况也屡见不鲜,从业务负责人来说很多问题主要不影响业务都可以不清理,比如什么挖矿、rootkit不就占用一些资源、发起一些链接么,反正业务也正常跑着,都可以接受;相对于一些业务的影响,挖矿的影响可能更加小一些,当然此类思想不值得鼓励。

    0x5关于未来

    之前主要做态势感知的时候,就明显感知到网络层的安全能力很有限;尤其在自定义工具、与隧道通讯、以及各类魔改的流量特征之下,对端上数据的需求越发强烈;同时安全运营的工作会越发重要,不仅仅是在安全的乙方、甲方当中安全运营的需求也会有一个快速的增长;未来的XDR逐渐会以端上的数据为主、流量层的数据为辅的进行能力的构建,各个产品的同质化情况更加明显,核心能力会聚焦在异常检测上,结合安全人员对能力的强运营基于PDCA的模型持续对安全能力进行打磨,当前用户侧的安全运营中心逐渐行为以XDR+SIEM+工单系统的模式进行分工;

    2021年RSA提出的一个最新的框架,帮助企业在安全建设当中掌握主动地位; 目前攻击者主要的思路都是利用攻击手法影响用户资产的CIA三 个属性,于是把更多的中心放在了对数据的保护和抵御攻击者的思路之下,根据DIE理论框架用户可以用另外的思路解决这个问题。 这个思路相对比较纯粹、攻击者利用使用DDOS攻击影响资产的可用性,那么用户就可以针对业务进行分布式的部署。攻击者篡改了内部的敏 感数据,用户可以通过回滚的方式让数据恢复到原始状态。攻击者进行高级持续性的攻击,用户就将数据进行化整为零减少单个资产的信息量避 免对机密性造成破坏;

     相对于检测响应的大量投入,基于访问控制(70%)+检测响应(30%)的模式会更加符合安全建设的目标,即大家常说的七分管理、三分技术;

    展开全文
  • 1. 什么是中国国家信息安全产品认证证书 中国信息安全认证中心是经中央编制委员会批准成立,由国务院信息化工作办公室、国家认证认可监督管理委员会等八部委授权,依据国家有关强制性产品认证、信息安全管理的法律...

    一、信息安全产品认证

    1. 什么是中国国家信息安全产品认证证书

    中国信息安全认证中心是经中央编制委员会批准成立,由国务院信息化工作办公室、国家认证认可监督管理委员会等八部委授权,依据国家有关强制性产品认证、信息安全管理的法律法规,负责实施信息安全认证的专门机构。 中国信息安全认证中心为国家质检总局直属事业单位。中心简称为信息认证中心。 英文全称:China Information Security Certification Center;英文缩写:ISCCC。

    2. 背景

    目前市场上通行的信息安全产品认证有三种:

    《网络关键设备和网络安全专用产品安全认证》

    《中国国家信息安全产品认证证书》

    《IT产品信息安全认证证书》

    其中,在产品功能和性能满足条件的情况下,《网络关键设备和网络安全专用产品安全认证》《中国国家信息安全产品认证证书》两张证书可以同一产品同时认证同时发证。

    3. 中国国家信息安全产品认证证书作用

    根据《中华人民共和国产品质量法》、《中华人民共和国标准化法》、《中华人民共和国进出口商品检验法》、《中华人民共和国认证认可条例》、《强制性产品认证管理规定》和《关于建立国家信息安全产品认证认可体系的通知》,决定对部分信息安全产品实施强制性认证,发布了《第一批信息安全产品强制性认证目录》

    目录包含8大类别13种产品
    https://www.isccc.gov.cn/zxyw/cprz/gjxxaqcprz/zyxcprztzgg/09/314483.shtml
    https://www.docin.com/p-1594182334.html

    凡列入强制性认证目录内的信息安全产品,未获得《中国国家信息安全产品认证证书》,不得出厂、销售、进口或在其他经营活动中使用。

    4. 国家信息安全产品认证流程

    国家信息安全产品认证流程
    https://www.renrendoc.com/paper/100880104.html

    国家信息安全产品认证流程:

    1、认证申请

    准备申请材料、申请书等

    2、递交申请书

    向中国信息安全认证中心提交认证申请书(包括申请书所要求的其他资料)纸质版1式2份,电子版1份。含有密码技术的产品应向国家密码管理局指定检测实验室提交密码技术检测申请。拟用于涉密信息系统的产品,按照国家有关保密规定和标准执行,不适用本申请指南。

    3、申请资料审查

    中国信息安全认证中心在收到申请资料后对其进行审查,如果资料不符合要求,申请方应按要求修改或补充;如果资料符合要求,进行单元划分。单元划分完成后,中国信息安全认证中心向申请方发出送样通知。

    4、发出送样通知单

    中国信息安全认证中心向客户发出送样通知单

    5、申请方向实验室送样

    *实验室选择

    申请方从指定实验室名单中,根据指定实验室的业务范围,自主选取检测实验室。指定实验室及业务范围参见中国国家认证认可监督管理委员会公告(2009年第25号)。

    *送样原则和数量

    详见各个产品的认证实施规则。

    *型式试验

    检测实验室完成检测后,将型式试验报告提交至中国信息安全认证中心。

    国家信息安全产品认证

    6、申请方缴费

    申请方收到缴费通知后,向中国信息安全认证中心缴纳认证费用(不包括实验室检测费用)。

    7、初始工厂检查

    工厂检查依据各个产品的认证实施规则进行,工厂检查包括信息安全保证能力、质量保证能力和产品一致性检查。(时间2-4天)综合评价、认证决定中国信息安全认证中心依据相关标准和规范对申请资料、型式试验报告和工厂检查报告等进行综合评价,作出认证决定。

    8、颁发证书

    证书制作完毕后,申请方可以自行到中国信息安全认证中心领取或委托中国信息安全认证中心邮寄。同时,证书信息将在中国信息安全认证中心网站予以公告。证书的有效性证书有效期为5年,证书有效期内,证书的有效性依据发证机构的定期监督获得维持。

    9、证后监督

    从获证后第12个月起进行第一次获证后监督,此后每12个月进行一次获证后监督。 必要情况下,认证机构可采取事先不通知的方式对生产厂实施监督。必要时可增加监督频次,详见各个产品的认证实施规则。

    二、CCRC信息安全服务资质(认证)

    官网: https://www.isccc.gov.cn/

    1. 背景和基本概念

    随着我国信息化和信息安全保障工作的不断深入推进,以应急处理、风险评估、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作。

    信息系统安全服务资质(CCRC)侧重在于信息安全服务领域。

    2. CCRC信息安全服务资质

    CCRC(原名ISCCC)信息安全服务资质认证是中国网络安全审查技术与认证中心依据国家法律法规、国家标准、行业标准和技术规范,按照认证基本规范及认证规则,对提供信息安全服务机构的信息安全服务资质包括法律地位、资源状况、管理水平、 技术能力等方面的要求进行评价。

    该资质共8个单项,每个单项分为一、二、三级(最低)。其中一级最高,三级最低。共分8个不同的方向,分别是:安全集成、安全运维、应急处理、风险评估、灾难备份与恢复、安全软件开发、网络安全审计、工业控制系统安全

    信息安全服务资质认证证书前名叫ISCCC,现在改名为CCRC。信息系统安全服务资质(CCRC),目前只有中国网络安全审查技术与认证中心一家机构才能审批的资质证书

    CCRC其实就是信息安全服务资质,也就是以前的名称是ISCCC。这三个其实就是一个东西,也就是都是信息安全服务资质认证证书的意思。

    CCRC信息安全服务资质单项

    官网:https://www.isccc.gov.cn/zxyw/fwzzrz/index.shtml

    1、信息安全风险评估
      2、 信息安全应急处理
      3、信息系统安全集成
      4、信息系统灾难备份与恢复
      5、软件安全开发
      6、信息系统安全运维
      7、网络安全审计
      8、工业控制系统安全
    在这里插入图片描述
    各分项都有三个级别,三级最低,一级最高。其中如果是做三级单个分项,其申报基础要求为:

    1、社保人数10人以上;
    2、近三年完成的信息安全项目1个以上;
    3、持证信息安全保障人员2名以上。

    因此,CCRC信息安全服务资质安全集成服务资质三级申报的时候,企业也是需要满足以上三个基础要求。

    审核标准

    信息系统安全服务资质(CCRC)对项目的管理及资料的存档更加严谨,人员有严格的要求,对于申请不同类别和级别的相关安全保障人员数量、毕业学历、毕业时间都有明确的要求。

    3. 信息安全服务资质评审发证机构介绍

    CCRC 中国网络安全审查技术与认证中心(原中国信息安全认证中心-ISCCC)是依据国家《网络安全法》和国家有关强制性产品认证、网络安全管理法规,负责实施网络安全审查和认证的专门机构。

    中国网络安全审查技术与认证中心为国家市场监督管理总局直属事业单位,系第三方公正机构和法人实体。其职能为:承担网络安全审查技术与方法研究;开展网络安全认证评价及相关标准技术和方法研究;承担网络安全审查人员和网络安全认证人员技术培训工作;在批准的工作范围内按照认证基本规范和认证规则开展认证工作;受理认证委托、实施评价、做出认证决定,颁发认证证书;负责认证后的跟踪检查和相应认证标志使用的监督;受理有关的认证投诉、申诉工作;依法暂停、注销和撤销认证证书;对认证及认证有关的检测、检查、评价人员进行认证标准、程序及相关要求的培训;对提供信息安全服务的机构、人员进行资质注册和培训;根据国家法律、法规及授权参加相关国际组织开展信息安全领域的国际合作;依据法律、法规及授权从事相关认证工作。在业务上接受中共中央网络安全和信息化委员会办公室指导。

    4. CCRC信息安全服务资质证书样本

    在这里插入图片描述

    5. CCRC信息安全服务资质认证有什么好处?

    通过信息系统安全服务分类分级的资质认证,可以对信息安全服务提供商的基本资格、管理能力、技术能力和服务过程能力等方面进行权威、客观、公正的评价,证明其服务能力,满足社会对服务的选择需求。

    证书持有单位可在有效期内从事有关的信息安全服务工作,并接受中国网络安全审查技术与认证中心(以下简称为CNITSEC)的监督;

    可用于政府、金融等行业招标投标项目,提高竞争力;提高公司市场占有率,提升企业形象。
    这个证书的发证机构有中国信息安全测评中心或中国网络安全审查技术与认证中心。由此可见,其证书的含金量是不低的。且企业如果有这个证书,在参加招投标中是可以获得加分的,对企业自身实力的提升也很有帮助。

    CCRC信息安全服务资质认证的好处:
    1、企业申请并完成信息安全服务资质有助于信息安全服务商完善自身管理体系,提高服务质量和水平。
    2、企业申请并完成信息安全服务资质有助于提高需方对信息安全服务商的信任度。
    3、企业获得CCRC信息安全服务资质认证证书有助于提高中标率。
    4、企业获得CCRC信息安全服务资质认证证书可用于荣誉展示。

    6. CCRC信息安全服务资质二级、三级各项基本要求

    资质级别分为一级、二级、三级共三个级别,其中一级最高,三级最低。

    CCRC信息安全服务资质三级需要的条件

    信息安全服务资质三级需要的条件

    1. 申请人必须是中国境内注册的法人单位,成立时间1年以上。
    2. 公司的注册资本在50万元以上,且没有任何不良的信用记录,办公面积有100平米以上。
    3. 公司近两年的信息安全服务业务完成验收项目总额100万元以上。
    4. 近一年未出现亏损,营业收入达到300万元以上,固定资产净值有10万以上,并有中华人民共和国境内依法设立的会计师事务所出具的财务审计报告。
    5. 通过ISO9001认证,建立有项目管理、客户服务管理、人力资源管理制度。
    6. 技术负责人具备电子信息类硕士以上学位或电子信息类中级以上职称、且从事信息安全服务业务技术工作不少于1年;财务负责人至少有会计技术初级资格。
    7. 信息安全服务的工作人员不少于10名,取得“信息系统业务安全服务工程师”培训证书的人数不少于5名。

    CCRC认证三级(一个分项)基本要求:

    1、社保人数10人以上

    2、近三年完成的信息安全项目1个以上

    3、持证信息安全保障人员2名以上

    CCRC认证二级(一个分项)基本要求

    1、社保人数30人以上

    2、近三年完成的信息安全项目6个以上

    3、持证信息安全保障人员6名以上

    以上就是企业做CCRC认证三级、二级分别所需的基本要求

    CCRC信息安全服务资质一级要求

    都知道CCRC信息安全服务资质一级是最高级别,所以一级也是不能像三级和二级一样直接申请的,如要直接申请一级,首先要进行申请,申请通过之后才能正常申报。所以要申报一级,企业必须要有一定扎实的实力才可以。

    申请方可根据条件直接申请,或获得二级一年以上可提出相同类别的一级申请,且服务管理程 序文件需建立、发布并运行一年以上。

    人员素质与要求
    1、组织负责人拥有4年以上信息技术领域管理经历
    2、技术负责人具备信息安全服务(与申报类别一致)管理能力,经评价合格(与申报类别一致)。
    3、项目负责人、项目工程师具备信息安全服务(与申报类别一致)技术能力,经评价合格(与申报类别一致)。

    业绩要求
    1、从事信息安全服务(与申报类别一致)5年以上。
    2、近3年内签订并完成至少10个信息安全服务(与申报类别一致)项目。

    7. CCRC信息安全服务资质认证流程图及申报资料清单

    参考URL: https://blog.csdn.net/qiye51/article/details/115860285
    在这里插入图片描述
    CCRC信息安全服务资质认证证书需要提交的材料清单:

    1.服务资质认证申请书;

    2.独立法人资格证明材料;

    3.从事信息安全服务的相关资质证明;

    4.工作保密制度及相应组织监管体系的证明材料;

    5.与信息安全风险评估服务人员签订的保密协议复印件;

    6.人员构成与素质证明材料;

    7.公司组织结构证明材料;

    8.具备固定办公场所的证明材料;

    9.项目管理制度文档;

    10.信息安全服务质量管理文件;

    11.项目案例及业绩证明材料;

    12.信息安全服务能力证明材料等。

    CCRC认证有效期

    CCRC认证有效期为5年。在有效期内,通过每年对获证后的产品进行监督确保认证证书的有效性。

    获得CRCC证书后维护需做

    1)每年均需监督审核,提前2个月提交监督审核通知单回执及自评价表。
    2)原则上证后第1年监督审核为现场审核
    3)在认证风险可控的情况下,原则上证后第2年为非现场审核,第3年为现场审核,以此类推。
    4)若存在影响认证有效性的情况,增加现场审核的频度与部分项的审核力度

    造成撤销的情况

    1)逾期3个月未按规定接受监督审核的
    2)证书暂停期间,未在规定时间内完成整改并通过验证;
    3)违规使用认证证书,造成不良影响;
    4)获证组织出现严重责任事故、被投诉且经核实,影响其继续有效提供服务;
    5)获证组织因自身原因不再维持证书,可提出撤销认证证书的申请
    6)其他需要撤销证书的情况。

    三、参考

    360借条通过CCRC权威认证,再获国家级认可
    参考URL: https://blog.csdn.net/FL63Zv9Zou86950w/article/details/122469635
    http://www.isocsr.com/ccrc/ruanjiankaifazizhi
    信息安全产品认证介绍
    https://zhuanlan.zhihu.com/p/405689624

    展开全文
  • 华为产品安全基线

    千次阅读 2019-07-27 18:10:39
    一、敏感信息安全传输 1、采用HTTPS安全协议传输 2、客户端本地保存的敏感信息,需要先加密再保存使用,不可逆支持PBKDF2(迭代10000次)加密保存,可逆支持AES256+IV保存,密钥支持可更新 二、认证鉴权 1、...

    在这里插入图片描述

    一、敏感信息安全传输

    1、采用HTTPS安全协议传输
    2、客户端本地保存的敏感信息,需要先加密再保存使用,不可逆支持PBKDF2(迭代10000次)加密保存,可逆支持AES256+IV保存,密钥支持可更新
    

    二、认证鉴权

    1、License中心与分析节点分布式部署,需要做用户名+口令安全认证,支持使用HTTPS安全协议。
    
    
    2、客户端登录支持防暴力破解,支持验证码,多次连续尝试登陆失败后锁定账号或IP
    
    3、用户口令符合安全复杂度要求
    
    4、机机接口支持口令修改
    

    三、协议与接口防攻击

    1、系统所有的对外通信连接必须是系统运行和维护必需的,对使用到的通信端口在产品通信矩阵文档中说明,动态侦听端口必须限定确定的合理的范围。通过端口扫描工具验证,未在通信矩阵中列出的端口必须关闭。
    

    四、产品开发、发布和安装安全

      1、禁止存在任何“未公开接口”  
    
    
       1) 禁止存在可绕过系统安全机制(认证、权限控制、日志记录)对系统或数据进行访问的功能。 
    
                          a) 禁止隐秘访问方式:包括隐藏账号、隐藏口令、无鉴权的隐藏模式命令/参数、隐藏组合键访问方式;隐藏的协议/端口/服务;隐藏的生产命令/端口、调测命令/端口;不记录日志的非查询操作等。                            
    
                           b) 禁止不可管理的认证/访问方式:包括用户不可管理的帐号,人机接口以及可远程访问的机机接口的硬编码口令,不经认证直接访问系统的接口等。
    
       2) 未文档化的命令/参数、端口等接入方式(包括但不限于产品的生产、调测、维护用途),需通过产品资料等向运营商或监管机构公开或受限公开。
    

    五、Web系统安全

    1、口令不允许明文存储在系统中,应该加密保护。在不需要还原口令的场景,必须使用不可逆算法加密。对银行账号等敏感数据的访问要有认证、授权和加密机制。
    
    
    2、禁止使用私有加密算法。
    
    3、用于敏感数据传输加密的密钥,不能硬编码在代码中。
    
    4、涉及个人数据的采集/处理的功能须提供安全保护机制(如认证、权限控制、日志记录等),并通过产品资料向客户公开。
    

    六、系统管理和维护安全

    1、系统自身操作维护类口令满足 “口令安全要求”。
    

    七、WEB安全

    1、产品对于每一个需要授权访问的请求都需核实用户的会话标识是否合法、用户是否被授权执行此操作。
    
            说明:
            1)请求是否需要鉴权,由产品根据具体业务需要以及安全风险确定。
    
            2)对于图标、CSS文件、静态页面或JavaScript等,如果公开后没有安全风险,不强制认证鉴权。
    
    2、对用户的最终认证处理过程必须在服务器端进行。
    
    3、使用Appscan工具扫描,扫描结果应进行分析处理,与XSS、SQL注入和命令注入漏洞相关的告警(告警描述中有相应描述),如果确认是问题的,都必须在版本发布前得到解决。
    
    4、若输出到客户端或者解释器的数据来自不可信的数据源,则须对该数据进行相应的编码或转义。
    
    说明:产品根据实际输出的目标位置,使用ESAPI或Web安全框架中提供的相应的编码接口对不可信数据进行编码。如自己实现,至少确保对&、<、>、"、'、(、)七种特殊字符进行编码。
    
    5、使用公司指定的Web漏洞扫描工具AppScan对产品Web应用和Web服务器进行扫描测试,(测试应使用当时最新的漏洞库、配置所有漏洞相关插件)。 
    扫描结果应进行分析处理,确认漏洞的实际风险级别,其中高风险级别的必须在版本发布前得到解决(如修改、补丁安装、有效规避并在资料中提示风险),中低风险级别的若当前版本确实无法解决的,必须给出分析结论并明确后续解决版本。
    
    6、Web应用程序使用业界主流的web容器(Apache、Tomcat、jboss、weblogic、nginx、jetty、resin、websphere、IIS)的会话标识生成机制生成会话标识。
    
    7、用户登陆认证通过后必须更换会话标识,以防止会话固定(session fixation)漏洞。
    
    8、产品的Web应用如果提供上传文件到Web内容目录的功能,必须在服务端对上传的文件类型进行限制(基于白名单机制对文件扩展名进行限制),仅允许上传业务允许的文件类型。
    
    说明:Web内容目录是指通过Web可以直接浏览、访问的目录。
    

    八、漏洞扫描

    1.产品自研代码使用Coverity代码静态检查工具进行扫描,并对扫描的告警进行分析,确认告警的实际风险等级,对于实际风险为“高”的漏洞(CVSS 7分及以上),必须进行解决或规避。
    
    
    2. 通过华为应用商店发布的应用软件需在所运行的平台上经过公司要求的安全软件进行扫描,不允许存在病毒、木马、恶意程序。
    
    在公司VMP自动化病毒扫描部署以前,各平台按照以下要求实施:
    
        1)Windows平台公司要求使用MacAfee和Norton 进行扫描。
    
        2)Linux平台如不涉及安装应用软件,暂不要求。
    
    3、对于通过华为应用商店发布的移动应用(Mobile app),禁止存在病毒、木马,以及发送恶意广告、吸费、恶意消耗流量的行为。
    

    九、合法监听接口

    1、合法监听接口应遵循通用的国际标准。如果少数国家对此标准有特殊要求时,应严格限制该产品只能在该国销售或应用。如果我司被要求不能提供合法监听接口时,必须从产品和解决方案中删除此接口,确保现网设备无法通过任何形式启用
    
    
    2、系统中和合法监听相关的接口禁止存在合法监听网关正常接口之外的任何其它调用方式,包括命令、脚本、调试接口等。确保产品和解决方案的合法监听接口的安全性,防止被盗用、误用或滥用,防止被监听对象以及任何未经授权的第三方感知,防止相关信息或内容被泄露。
    
    3、在正常业务流程和标准协议之外,禁止提供可在最终用户不知情同意的情况下,采集最终用户原始通信内容(语音类、短信/彩信类、传真类、数据业务类)的功能,即使该功能是为了保障网络运营和服务。
    
    特定国家法律不禁止的情况下,可以对销售往该国的产品定制开发。
    

    十、隐私保护

    1、涉及个人数据的采集/处理的功能须提供安全保护机制(如认证、权限控制、日志记录等),并通过产品资料向客户公开。
    
    
    2、对于移动终端,通过网络对个人数据进行采集/共享/同步的功能须得到最终用户的明确同意,同时给予最终用户随时撤回同意的机会。
    
    3、禁止将个人数据转移出EEA,产品出于定位问题目的从客户网络导出的包含个人数据的数据时应对个人数据进行过滤或匿名化处理
    
    4、在正常业务流程和标准协议之外,禁止出于故障定位目的进行用户精确位置信息定位。在运营商提供增值服务时,如需处理用户精确位置数据,应获得运营商的授权,并在方案设计时,给予最终用户随时撤回同意的机会。
    
    特定国家法律不禁止的情况下,可以对销售往该国的产品定制开发。
    
    5、涉及个人数据的采集/处理的功能须提供安全保护机制(如认证、权限控制、日志记录等),并通过产品资料向客户公开。
    

    十一、未公开接口

    1、禁止存在任何“未公开接口”:
    
    
        1)禁止存在可绕过系统安全机制(认证、权限控制、日志记录)对系统或数据进行访问的功能。
    
            • 禁止隐秘访问方式:包括隐藏账号、隐藏口令、无鉴权的隐藏模式命令/参数、隐藏组合键访问方式;隐藏的协议/端口/服务;隐藏的生产命令/端口、调测命令/端口
    
            • 禁止不可管理的认证/访问方式:包括用户不可管理的帐号,人机接口以及可远程访问的机机接口的硬编码口令。
    
        2)未文档化的命令/参数、端口等接入方式(包括但不限于产品的生产、调测、维护用途),需通过产品资料等对客户公开或受限公开。
    

    十二、访问通道控制

    1、系统支持无法从用户面直接登录连接管理接口(不支持独立的管理IP地址的产品除外)。
    
    
    2、系统所有的对外通信连接必须是系统运行和维护必需的,对使用到的通信端口在产品通信矩阵文档中说明,动态侦听端口必须限定确定的合理的范围。通过端口扫描工具验证,未在通信矩阵中列出的端口必须关闭。
    
    3、所有能对系统进行管理的人机接口以及跨信任网络的机机接口必须有接入认证机制,标准协议没有认证机制的除外。
    
    4、设备外部可见的能对系统进行管理的物理接口必须有接入认证机制。
    

    十三、软件完整性保护

    1、在软件包(含补丁包)发布前,需要经过至少二款防病毒软件扫描,保证防病毒软件不产生告警,特殊情况下对告警作出解释说明。扫描记录(防病毒软件名称、软件版本、病毒库版本、扫描时间、扫描结果等)存档并随软件包(含补丁包)发布给客户。
    
    
    2、产品对外发布的软件(包含软件包/补丁包)必须提供完整性校验机制,在安装、升级过程中对软件进行完整性验证。
    

    十四、敏感数据与加密保护

    1、认证凭据不允许明文存储在系统中,应该加密保护。
    
    2、禁止使用私有加密算法。
    
    3、用于敏感数据传输加密的密钥,不能硬编码在代码中。
    

    十五、日志审计

    1、管理面所有对系统产生影响的用户活动、操作指令必须记录日志,日志内容要能支撑事后的审计,记录包括用户ID、时间、事件类型、被访问资源的名称、访问发起端地址或标识、访问结果等;日志要有访问控制,只有管理员才能有删除权限。
    
    
    1)用户活动包括:
    
           (1)登录和注销;
    
           (2)增加、删除用户和用户属性(帐号、口令等)的变更;
    
           (3)用户的锁定和解锁,禁用和恢复;
    
           (4)角色权限变更;
    
           (5)系统相关安全配置(如安全日志内容配置)的变更;
    
           (6)重要资源的变更,如某个重要文件的删除、修改等。
    

    2)操作指令包括:

           (1)对系统配置参数的修改;
    
           (2)对系统进行启动、关闭、重启、暂停、恢复、倒换;
    
           (3)对业务的加载、卸载;
    
           (4)软件的升级操作,包括远程升级和本地升级;
    
           (5)对重要业务数据(特别是与财务相关的数据,包括:卡号、余额、话单、费率、费用、订单、出货、帐单等)的创建、删除、修改;
    
           6)所有帐户的命令行非查询操作命令。
    
    上述活动和指令,如果第三方OS/DB不支持记录日志或者启用记录存在严重性能影响,不强制缺省启用。
    

    十六、权限最小化

    1、检查提供的进程是否支持非root账号运行
    

    十七、口令要求

    1、设置口令时,默认检测口令复杂度:
    
    
    系统默认检测口令复杂度,口令至少满足如下要求:
    
        1)口令长度至少6个字符;
    
        2)口令必须包含如下至少两种字符的组合:
    
              -至少一个小写字母;
    
              -至少一个大写字母;
    
              -至少一个数字;
    
              -至少一个特殊字符:`~!@#$%^&*()-_=+\|[{}];:'",<.>/?  和空格
    

    在这里插入图片描述

    展开全文
  • 数据安全产品与服务观察

    千次阅读 2022-03-28 10:39:45
    结合第二部分产品和服务大全,可以发现,当前数据安全产品在脱敏、加密、防泄漏方面都有较为全面的产品和方案;平台型产品中,各大厂商主要打造数据安全管理平台,隐私合规平台与数据驻留目前市面上看到较少。 服务...
  • 常见网络安全产品汇总,可作初步了解。
  • 什么是安全测试

    万次阅读 多人点赞 2020-10-18 13:47:09
    安全测试的目的,怎么做安全测试,与传统测试的区别
  • 阿里云的云安全防护产品有哪些?都有什么作用? 阿里云的云安全防护产品有以下产品,不同的云安全防护产品有不同的安全防护作用,分别详细介绍如下 (注:点击产品名称,可进入产品页购买或了解详情): DDoS...
  • SOC安全运营中心产品

    千次阅读 2020-01-04 16:59:48
    SOC( Security Operations Center) 安全运营中心,单独依赖于某些安全产品,在效果上总感觉有一个孤岛效应,从安全工程的角度来说,将安全工程化、系统化、流程化是一个更好的趋势,把安全过程中的有关各方如各层次...
  • 这些是为大多数消费和工业电子产品提供动力的芯片或设备。连接性为新功能增加了很多空间,但也带来了明显更高的安全风险。 物联网中使用什么芯片? 物联网在微控制器上运行,而不是微处理器。微处理器是用于驱动...
  • 网络安全产品比较多,很多人对于这些产品都不是很了解。因此很多人在问,安全网关是啥什么东西?有什么优势?与堡垒机的区别是什么?今天我们大家就来一起简单了解一下。 安全网关是啥东西? 安全网关是各种技术有趣...
  • 什么是功能安全

    万次阅读 2018-07-06 09:15:33
    什么是功能安全(FS)?在现代工业控制领域中,可编程电子硬件、软件...为此,世界各国历来对石化过程安全控制系统、电厂安全控制系统、核电安全控制系全领域的产品安全性设计技术非常重视,并且将电子、电气及可编...
  • 腾讯网络安全产品大禹DDoS攻击挑战大禹基本功能大禹技术原理大禹优势与应用大禹计费方案 DDoS攻击挑战 DDoS攻击挑战 门槛很低:攻击工具可以在网上下载/购买; 成本低廉:数百元可获得100G的攻击流量; 团队作战:已...
  • ISO26262功能安全--产品开发过程

    千次阅读 多人点赞 2019-10-18 14:37:48
    2.4 安全需求与安全概念 3. 系统阶段——闭门造神车,我们开始修炼 3.1 技术安全需求(TSC) 3.2 系统架构设计 3.3 安全分析与独立性分析 3.4 软硬件接口(HSI) 4. 硬件阶段——苦其心志,苦练经骨 4.1 硬件...
  • 安全测试是在IT软件产品的生命周期中,特别是产品开发基本完成到发布阶段,对产品进行检验以验证产品符合安全需求定义和产品质量标准的过程,可以说,安全测试贯穿于软件的整个生命周期。下面通过一张图描述软件生命...
  • 小黑:小白,小白听说了吗,中国金融认证中心(CFCA)信息安全实验室检测的一款芯片获得了EAL5+认证证书! 小白:听说啦,这可是行业内的大新闻呢。EAL5+级别可是CC体系中较高的评估保障级。以前咱们国家这个领域...
  • 浅谈网络安全产品的分类

    万次阅读 2018-06-27 10:15:24
    最近又犯病了,居然对网络安全产品的分类动了心思。用了两个晚上时间梳理了一下,总算是有个勉强可接受的结果。在此感谢启明星辰叶蓬关于分类的意见,和你的讨论让我受益匪浅。第一部分 概述我们先来看看IDC沿用多年...
  • 博主介绍目前市场云阿里云阿里云云原生关系型数据库 PolarDB MySQL引擎什么是PolarDB产品优势产品架构一写多读计算与存储分离读写分离高速链路互联共享分布式存储数据多副本、Parallel-Raft协议产品安全能力访问安全...
  • 什么是信息安全,怎么保障信息安全

    千次阅读 多人点赞 2019-05-18 11:45:10
    1.信息安全简介 勒索病毒----2013年9月CryptoLocker “永恒之蓝”:主要是利用Windows系统的共享漏洞:445端口等。 “永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主,受 害机器的磁盘文件会被篡改为相应...
  • 随着云计算逐渐成为主流,云安全也获得了越来越多的关注,传统和新兴的云计算厂商以及安全厂商均推出了大量云安全产品。但是,与有清晰定义的“云计算”(NIST SP 800-145和ISO/IEC 17788)不同,业界对“云安全”...
  • 安全|云原生安全概述

    千次阅读 2022-03-23 15:39:32
    本系列博客的内容均来源于对**“云原生安全:攻防实现与体系构建”**这本书籍的学习归纳。 1.1 云原生的含义 ​ 云计算的上半场基本已经结束,很多企业已经利用开源的或者商业的IaaS系统构建云计算平台,他们只是...
  • 国内主要安全产品及厂商汇总

    万次阅读 2018-12-19 16:52:06
    国内哪些公司在做企业版安全产品开发? 问题太大了,做企业版安全产品的N多,有硬件设备、有软件、也有做SAAS在线服务的。 国外的一些安全软件是否在中国只做代理销售,基本不会在国内开发? 国外的安全软...
  • 一文读懂什么是EPP、EDR、CWPP、HIDS及业内主流产品

    万次阅读 多人点赞 2021-04-26 10:47:32
    一文读懂什么是EPP、EDR、CWPP、HIDS及业内主流产品 当前终端安全概念包括:针对云工作负载保护平台cwpp、端点防护平台epp和终端全检测响应平台edr。HIDS品类(长亭牧云、青藤万相)更倾向于CWPP的落地产品。 1、...
  • Android沙箱自动化安全产品

    千次阅读 2021-12-14 13:03:08
    Android沙箱自动化安全产品
  • 12月28日,由国家网络安全产业园区(通州园)及北京嘶吼文化传媒有限公司主办的2021网络安全行业生态大会暨金帽子年度盛典于线上成功举办,多位业内精英带来精彩分享,共话网络安全。大会揭晓了...
  • 基于此,中国网络安全产业联盟(CCIA)认真征集并梳理了数据安全领域有关产品,发布《数据安全产品指南》。本书对网络安全企业推出的优秀数据安全产品进行分类、整理、展示,方便广大用户了解数据安全方面的前沿技术...
  • 国内主要安全产品及厂商

    万次阅读 多人点赞 2018-02-16 18:48:33
    国内哪些公司在做企业版安全产品开发?问题太大了,做企业版安全产品的N多,有硬件设备、有软件、也有做SAAS在线服务的。国外的一些安全软件是否在中国只做代理销售,基本不会在国内开发?国外的安全软件除非个别的....
  • 中国网络安全产品分类及全景图

    万次阅读 多人点赞 2018-07-06 09:10:13
    网络安全产品分类一、网络安全:防火墙入侵检测与防御网络隔离和单向导入防病毒网关上网行为管理网络安全审计VPN抗拒绝服务攻击网络准入二、终端安全:防病毒主机检测与审计安全操作系统主机/服务器加固三、应用安全...
  • 差分隐私与其他隐私计算技术的联系写在前面的话隐私计算什么是隐私计算?隐私计算发展趋势隐私计算的技术隐私计算体系结构安全多方计算联邦学习可行执行环境差分隐私比较应用场景发展趋势发展展望总结补充 写在前面...
  • 安全知识普及--总结什么是网络安全

    千次阅读 2022-02-28 19:34:25
    网络安全是保护计算机、服务器、移动设备、电子系统、网络和数据免受恶意攻击的做法。它也被称为信息技术安全或电子信息安全。 该术语适用于从商业到移动计算的各种环境,包括个人、企业、政府、商业组织等,并且...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 768,197
精华内容 307,278
关键字:

产品安全是什么