精华内容
下载资源
问答
  • 2019年最新-等保测评机构、等保测评公司、信息安全厂商大全,针对核心国产设备提供必需采用国产安全提供商渠道,等保测评机构推荐由官方等级保护联盟官方发布。推荐机构为当前有效等保测评公司,注销等保测评单位不...

     

        2019年最新-等保测评机构、等保测评公司、信息安全厂商大全 ,针对核心国产设备提供必需采用国产安全提供商渠道,等保测评机构推荐由官方等级保护联盟官方发布。推荐机构为当前有效等保测评公司,注销等保测评单位不在等保推荐机构目录中。

        全国等保测评机构推荐目录下载

         等级保护测评机构   信息安全等级保护测评机构  等保评测机构  等保测评机构名单   等保测评公司

          链接:https://pan.baidu.com/s/1Z5n_1S4hHUFfuuci2yIpnw 提取码:fwfi  

         大全:


    国字号 北京 上海 天津 重庆 河北 山西 内蒙古 辽宁 吉林 黑龙江
    江苏 浙江 安徽 福建 江西 山东 河南 湖北 湖南 广东 新疆
    广西 海南 四川 贵州 云南 西藏 陕西 甘肃 青海 宁夏 全部总纲

     

    信息安全产品与厂商大全

    特别说明:分类或有交错,排名不分先后

    1

    网络安全

    防火墙/UTM/安全网关/NGFW:天融信、山石网科、启明星辰、网御星云、绿盟科技、安恒信息、蓝盾、华为、软云神州、杭州迪普、华清信安、东软、上讯信息、利谱、深信服、360企业安全、卫士通、新华三、锐捷、交大捷普、信安世纪、任子行、上海纽盾、金电网安、亚信安全、北京擎企、金山、君众甲匠、优炫、海峡信息、安信华、博智软件、中科曙光、中科网威、江民科技、六壬网安、安码科技、点点星光、瑞星、华域数安、中新网安、山东确信、有云信息

    网络入侵检测NIDS/网络入侵防御NIPS:启明星辰、绿盟科技、网御星云、360企业安全、天融信、铱迅信息、蓝盾、杭州迪普、山石网科、安恒信息、交大捷普、任子行、经纬信安、漏洞盒子/网藤风险感知、华清信安、上海纽盾、东软、恒安嘉新、安天、金山、君众甲匠、海峡信息、博智软件、新华三、中科网威、江民科技、六壬网安、青藤云安全、安数云

    无线入侵检测/防御:360企业安全、北京锐云通信、山东闻道通信、雨人网安

    VPN网关:深信服、天融信、蓝盾、360企业安全、华为、绿盟科技、卫士通、信安世纪、奥联科技、启明星辰、南京易安联、华清信安、上海纽盾、东软、海峡信息、博智软件、新华三、江南信安、弘积科技、山东确信、华域数安、中宇万通、惠尔顿、启博网络

    上网行为管理:360企业安全、深信服、蓝盾、华为、莱克斯、网际思安、软云神州、杭州迪普、北信源、网鼎芯睿、陕通、上海新网程、奥联科技、交大捷普、任子行、上海纽盾、东软、Panabit、北京擎企、金山、盛世光明、博智软件、新华三、锐捷、万网博通、极安、江民科技、迈科网络、六壬网安、弘积科技、瑞星、华域数安、惠尔顿、启博网络

    网络安全审计:天融信、莱克斯、启明星辰、交大捷普、绿盟科技、蓝盾、广州国迈、软云神州、任子行、雨人、上海观安、上海纽盾、360企业安全、恒安嘉新、盛世光明、海峡信息、博智软件、杭州迪普、中科新业、重庆智多、网博科技、华域数安、思维世纪

    网络流量控制:360企业安全、深信服、流控大师、Panabit、蓝盾、软云神州、网鼎芯睿、互普&溢信(IP-Guard)、东华网智、上海纽盾、灵州网络、恒安嘉新、北京擎企、金山、盛世光明、杭州迪普、万网博通、极安、迈科网络

    网络流量分析:科来、东华网智、绿盟科技、网鼎芯睿、上海观安、上海纽盾、恒安嘉新、Panabit、亚信安全、安天、江民科技、华青融天、迈科网络、迪思数据、中新网安、金睛云华

    防病毒网关/防毒墙:网御星云、蓝盾、冠群金辰、杭州迪普、瑞星、360企业安全、安恒信息、山石网科、亚信安全、安天、金山、天融信、海峡信息、安信华、博智软件、江民科技

    APT未知威胁发现:安恒信息、科来、360企业安全、天融信、启明星辰、东巽科技、安天、绿盟科技、华为、神州网云、成都力合智远、经纬信安、兰云科技、中铁信睿安、卫达安全、恒安嘉新、宝利九章、亚信安全、安赛创想、金山、海峡信息、博智软件、知道创宇、江民科技、六壬网安、盛邦安全、中新网安、中科锐眼、金睛云华、兴华永恒

    抗DDoS产品:绿盟科技、华为、中新网安、铱迅信息、启明星辰、傲盾、蓝盾、迪普、华清信安、安恒信息、上海纽盾、卫达安全、任子行、青松云安全、天融信、360企业安全、北大千方、知道创宇、神荼科技、网堤安全

    抗DDoS服务:阿里云、腾讯云、金山云、百度安全/安全宝、知道创宇、360企业安全、安恒信息、兰云科技、网宿科技、上海云盾、中新网安、卫达安全、安全狗、青松云安全、电信云堤、UCloud、智卓云盾、蓝盾、网堤安全、浙江乾冠、唯一网络、有云信息

    网闸:360企业安全、北京安盟、利谱、启明星辰、杭州合众、北京盖特佳、天融信、交大捷普、天行网安、伟思、金电网安、赛博兴安、东软、海峡信息、安信华、重庆爱思、中新网安、蓝盾

    安全隔离与信息单向导入设备/单向传输机器:深圳中锐源、中铁信安、中孚信息、杭州合众、国保金泰、天融信、赛博兴安、普世科技、锐安、金电网安、北京安盟、中科网威、山石网科、哈尔滨朗威、利谱、北京远为软件、360企业安全、瑞达信息

    网络准入控制:北信源、无锡宝界、蓝盾、互普&溢信(IP-Guard)、启明星辰、金盾软件、广州国迈、盈高科技、画方科技、联软、中软、上讯信息、交大捷普、信安世纪、中孚信息、上海纽盾、艾科网信、海峡信息、博智软件、江民科技、亚东软件、瑞星、福建伊时代、360企业安全、新华三、锐捷、华为

    负载均衡&应用交付:深信服、北京中科四方、东华网智、信安世纪、灵州网络、北京华夏创新、北京楷然昊天、上海云速、湖南麒麟、杭州迪普、启明星辰、南京易安联、上海纽盾、Panabit、北京擎企、新华三、弘积科技、北京远为软件、福建伊时代、信诺瑞得、智恒科技、瑞友天翼、360企业安全、天融信、东软、任子行、优炫、中科曙光、弘积科技、信诺瑞得、高星文

    DNS安全:电信云堤、帝恩思、知道创宇、网堤安全、迪讯信息

    2

    主机安全

    桌面管理/主机审计:北信源、汉邦、联软、蓝盾、互普&溢信(IP-Guard)、启明星辰、网御星云、360、天融信、金盾软件、广州国迈、软云神州、哈尔滨朗威、上海创多、深圳金天眼、杭州正杰、浙江远望电子、北京盖特佳、峰盛科技、中软、卫士通、沈阳通软、圣博润、上讯信息、交大捷普、中孚信息、上海浩迈、金山、海峡信息、博智软件、江民科技、江南信安、山丽信息、亚东软件、706所、中电瑞铠、瑞星、敏捷科技、盈高科技、中天航信、易泰通(捍卫者)

    单机防病毒:瑞星、江民科技、金山、360、百度、腾讯、东方微点、费尔、火绒、亚信安全、安天、博智软件

    网络防病毒:瑞星、360、金山、江民科技、东方微点、北信源、亚信安全、安天、博智软件

    主机安全加固:浪潮、椒图、安全狗、广州国迈、中软华泰、可信华泰、中嘉华诚、中航嘉信、易路平安、亚信安全、安天、优炫、悬镜、中超伟业、中科曙光、神荼科技、青藤云安全、安恒信息

    终端登录/身份认证:上海格尔、吉大正元、卫士通、信安世纪、上讯信息、南京易安联、北信源、九州云腾、中孚信息、博智软件、哈尔滨朗威、时代亿信、山东确信、中软

    加密机/密码机:江南科友、网御星云、天融信、三未信安、山东得安、卫士通、山东渔翁、无锡江南、江南天安、江南博仁、兴唐通信、中安网脉、君众甲匠、立思辰、江南信安、山东确信、信安世纪、奕锐电子

    补丁管理:北信源、360、启明星辰、金盾软件、上海创多、交大捷普、亚信安全、金山、瑞星、中软、榕基软件

    打印安全/打印管理/打印审计:北京恒安讯佳、北信源、中孚信息、安普锐、天锐绿盾、金山、保旺达、哈尔滨朗威、天喻软件、瑞达信息、山丽信息、武汉百易时代、鼎盾科技、思为同飞、瑞星、敏捷科技、中软

    3

    WEB安全/应用安全

    网页防篡改:安恒信息、智恒科技、赛蓝、山东中创、绿盟科技、启明星辰、上海天存、上海天泰、福州深空、北京通元、国舜股份、蓝盾、安全狗、盛邦安全、杭州迪普、上讯信息、交大捷普、青松云安全、海峡信息、江民科技、立思辰、六壬网安、浙江乾冠、三零卫士、有云信息

    Web应用防火墙·WAF·硬件:安恒信息、启明星辰、绿盟科技、天融信、铱迅信息、知道创宇、上海天泰、杭州迪普、山东中创、盛邦安全、蓝盾、北京千来信安、中新网安、软云神州、中软华泰、上讯信息、上海天存、利谱、交大捷普、任子行、中铁信睿安、上海纽盾、360企业安全、卫达安全、金电网安、安赛创想、东软、海峡信息、安信华、博智软件、山石网科、江民科技、立思辰、六壬网安、安码科技、神荼科技、长亭科技、华清信安、信诺瑞得、雨人网安、能信安(能士)、有云信息、安数云

    Web应用防火墙·WAF·软件:福州深空、安恒信息、铱迅信息、安全狗、云锁、青松云安全、上海天存、安码科技、安数云

    云WAF:阿里云、腾讯云、360、知道创宇、安恒信息、有云信息、湖盟、百度安全、蓝盾、北京千来信安、中软华泰、上讯信息、快云、斗象科技/网藤风险感知、网宿科技、上海云盾、青松云安全、电信云堤、UCloud、数梦工场、网堤安全

    WEB漏洞扫描:安恒信息、四叶草安全、国舜股份、绿盟科技、知道创宇、盛邦安全、安赛创想、安犬漏洞扫描云平台、启明星辰、经纬信安、上海观安、斗象科技/漏洞盒子/网藤风险感知、恒安嘉新、安识科技、新华三、六壬网安、安码科技、浙江乾冠、禹成在线、聚铭网络、榕基软件、三零卫士、锦行科技、安数云、有云信息

    网站安全监测产品:安恒信息、知道创宇、绿盟科技、360、盛邦安全、能信安(能士)、任子行、四叶草安全、安全狗、恒安嘉新、安信华、新华三、江民科技、悬镜、立思辰、浙江乾冠、安数云

    网站安全监测服务:安恒信息、知道创宇、绿盟科技、360、百度安全、盛邦安全、北京千来信安、任子行、安全狗、恒安嘉新、四叶草安全、浙江乾冠、三零卫士

    邮件安全产品:守内安、网际思安、蓝盾、敏讯、冠群金辰、盈世CoreMail、时代亿信、上海格尔、安宁、凌久、国瑞信安、蓝海星、北京方向标、上海青羽/靠谱邮件、亚信安全、安宁、悬镜、武汉百易时代、安恒信息、浙江乾冠、安数云、上讯信息

    应用统一身份管理/身份认证/单点登录/认证网关/PKI/CA/数字证书/令牌/各种KEY:飞天诚信、天诚安信、派拉软件、神州融信、上海格尔、天威诚信、信安世纪、东软、吉大正元、安识科技、北京安讯奔、九州云腾、中科曙光、洋葱安全、极验验证、立思辰、江南信安、山东确信、中科恒伦、上海林果、福建伊时代、龙脉科技、时代亿信、中天航信、中宇万通、融卡智能科技、安数科技、芯盾时代、安数科技、锦佰安 | 各省都有当地政府牵头成立的CA运营公司,全部名单见章节9“电子认证服务使用密码许可单位名录”

    反钓鱼/反欺诈:电信云堤、国舜股份、知道创宇、百度、阿里、腾讯、360、安天、亚信安全、安恒信息、江民科技、华青融天、思维世纪、芯盾时代

    语音安全:北京无限互联

    SDL:SECZONE(开源网安)、华为

    4

    数据安全/数据库安全

    数据备份:上海爱数、杭州美创、火星高科、苏州美天网络、信核数据、上讯信息、英方股份、上海联鼎、亿备&广州鼎鼎、和力记易、广州鼎甲、安码科技、南京壹进制、浪擎科技、福建伊时代、敏捷科技、杭州明和

    虚拟机备份与恢复:成都云祺、英方股份、和力记易、广州鼎甲、北京远为软件

    数据清除工具:中孚信息、北京天桥、上海浩迈、万里红、中超伟业、博智软件、方德信安、哈尔滨朗威

    数据库漏洞扫描:安恒信息、安信通、安华金和、建恒信安、中安星云、杭州闪捷、思维世纪、安数云

    数据库防火墙:安恒信息、安华金和、中安比特/中安威士、帕拉迪/汉领信息、杭州美创、中安星云、杭州闪捷、华清信安、信诺瑞得、安数云

    数据库加密和脱敏:中安比特/中安威士、安华金和、迈科龙、中安星云、杭州美创、上海观安、优炫、广州鼎甲、杭州闪捷、华清信安、世平信息

    数据库审计:安恒信息、安华金和、思福迪、启明星辰、网御星云、天融信、极地银河、山东中创、蓝盾、北信源、莱克斯、软云神州、绿盟科技、上讯信息、中安比特/中安威士、交大捷普、金盾软件、昂楷科技、帕拉迪/汉领信息、上海纽盾、东软、杭州美创、优炫、海峡信息、安信华、博智软件、中安星云、东华网智、六壬网安、思为同飞、706所、杭州闪捷、华清信安、瑞宁公司、中新网安、信诺瑞得、安数云

    源代码加密及嵌入式开发源码加密:深信达、明朝万达、亿赛通、IP-Guard、山丽信息、天锐绿盾、互普&溢信(IP-Guard)、中软、虹安

    代码防火墙/代码审计:上海观安、能信安(能士)、360、匠迪技术、SECZONE(开源网安)、三零卫士

    加密安全设备/NDLP:福建伊时代、时代亿信、365数据安全、天空卫士、思为同飞、世平信息

    文档加密与权限控制/HDLP:亿赛通、天锐绿盾、时代亿信、明朝万达、蓝盾、互普&溢信(IP-Guard)、北信源、金盾软件、启明星辰、北京盖特佳、峰盛科技、中软、卫士通、上海祥殷、上海前沿、杭州华途、敏捷科技、思智泰克、交大捷普、中孚信息、福州深空、天融信、思睿嘉得、合力思腾、深圳虹安、上讯信息、成都力合智远、莱克斯、365数据安全/四川西图、山东申启、金山、天空卫士、锐思特、赛猊腾龙、海峡信息、深信达、博智软件、江民科技、天喻软件、上海谐桐、亚东软件、武汉百易时代、奕锐电子、龙脉科技、臻至科技(LOCKet)、世平信息

    移动存储介质管理:北信源、北京天桥、能信安(能士)、启明星辰、金盾软件、广州国迈、哈尔滨朗威、上海创多、亿赛通、交大捷普、上海浩迈、上海格尔、安天、金山、天喻软件、山丽信息、亚东软件、瑞星、中软、易泰通(捍卫者)

    5

    移动安全/虚拟化安全

    手机防病毒:腾讯、瑞星、金山、360、网秦、百度安全、中软、安天、恒安嘉新、亚信安全、蓝盾

    移动终端管理/EMM/MDM:国信灵通/启迪国信、北信源、360、明朝万达、中软、安天、上讯信息、北京珊瑚灵御、亚信安全、金山、蓝盾、江民科技、江南信安、金盾软件、瑞星、嘉赛安全、指掌易、瓦戈科技、芯盾时代

    移动手机APP安全:能信安(能士)、梆梆安全、北京智游网安/爱加密、阿里聚安全、360、任子行、北京鼎源科技、腾讯御安全、恒安嘉新、悬镜、安码科技、北京娜迦信息、指掌易、芯盾时代

    虚拟化安全防护:山石网科、亚信安全、安恒信息、启明星辰、广州国迈、北信源、中软、南京易安联、阿姆瑞特、上海观安、东软、安全狗、云锁、金山、蓝盾、北京远为软件、盛邦安全(WebRay)、瑞星、安数云、安全狗

    CASB/云业务安全接入代理:炼石网络、云安宝、信云科技、绿盟科技、启明星辰、臻至科技(LOCKet)、安数云

    6

    安全管理

    SIEM/日志管理/日志审计/SOC/安管平台:安恒信息、思福迪、360企业安全、天融信、启明星辰、东软、蓝盾、蚁巡、江南天安、北信源、上讯信息、赛克蓝德、神州泰岳、交大捷普、派拉软件、瀚思、中铁信睿安、聚铭网络、华清信安、上海纽盾、亚信安全、优炫、安信华、新华三、华青融天、安码科技、北京中安智达、706所、福建伊时代、盛邦安全、瑞达信息、网瑞达、瑞宁公司、兰云科技、华为

    运维审计/4A/堡垒机:浙江齐治、安恒信息、思福迪、帕拉迪/汉领信息、尚思科技、江南科友、绿盟科技、天融信、启明星辰、建恒信安、蓝盾、华为、泰然神州、上海艺赛旗、北京极地、信安世纪、圣博润、江南天安、国迈、上讯信息、神州泰岳、亿阳信通、麒麟、云安宝、交大捷普、德讯科技、任子行、派拉软件、上海观安、金盾软件、智恒科技、东软、金电网安、亚信安全、北京安讯奔、盛世光明、优炫、海峡信息、保旺达、安信华、中科曙光、六壬网安、瑞宁、瑞星、中新网安

    网管软件/ITIL/运维管理系统:广通信达、网强、汉远网智、北塔、蚁巡、华为、锐捷、摩卡[华胜天成]、国聿、上讯信息、交大捷普、飞思安诺/飞思网巡、恒安嘉新、优炫、艾科网信、海峡信息、迈科网络、东华网智、金盾软件、赢领科技、远臻、勤智运维

    漏洞扫描与管理/远程安全评估:安恒信息、榕基软件、启明星辰、绿盟科技、铱迅信息、极地银河、蓝盾、盛邦安全、江南天安、杭州迪普、天融信、交大捷普、安犬漏洞扫描云平台、经纬信安、上海观安、中铁信睿安、斗象科技/漏洞盒子/网藤风险感知、宿州东辉、四叶草安全、恒安嘉新、安天、蓝盾、君众甲匠、博智软件、中科网威、立思辰、六壬网安、悬镜、思度网络空间安全、北京智言金信、聚铭网络、安数云

    网络和主机基线配置核查系统:安恒信息、思福迪、绿盟科技、启明星辰、聚铭网络、北京随方信息、博智软件、榕基软件、安数云

    主机安全保密检查工具:中孚信息、北信源、北京天桥、哈尔滨朗威、万里红、华安保、上海浩迈、博智软件、方德信安、江苏微锐、中天航信、世平信息

    信息安全等级保护测评工具箱:安恒信息、国瑞信安、圣博润、公安一所、锐安(注:市面上多家厂家均生产此产品,但公安部仅指定了5家作为“合格的”生产单位)

    网络安全态势感知:安恒信息、知道创宇、阿里云、360、绿盟科技、盛邦安全、四叶草安全、任子行、上海观安、聚铭网络、恒安嘉新、白帽汇、杭州合众、亚信安全、安天、郑州赛欧思、江民科技、科来公司、安码科技、金睛云华、雨人网安、三零卫士、瑞宁公司、锦行科技、思维世纪、安数云、安全狗

    7

    工控安全

    工控防火墙:中科网威、威努特、谷神星、海天炜业、力控华康、天地和兴、安点科技、网藤科技、卫达安全、博智软件、九略智能、英赛克科技、三零卫士、圣博润

    工控安全审计:威努特、天地和兴、网藤科技、斗象科技/漏洞盒子/网藤风险感知、安点科技、博智软件、安恒信息、知道创宇、中科网威、九略智能、英赛克科技、三零卫士、圣博润

    工控漏洞扫描/挖掘:天地和兴、网藤科技、斗象科技/漏洞盒子/网藤风险感知、博智软件、知道创宇、盛邦安全(WebRay)、三零卫士

    工控安管平台:天地和兴、中科网威、英赛克科技、三零卫士

    工控主机安全防护:天地和兴、网藤科技、安点科技、九略智能、圣博润

    工控入侵检测/威胁感知/入侵防御:安点科技、天地和兴、网藤科技、博智软件、科来、中科网威

    工控网闸:安点科技、中科网威、英赛克科技、三零卫士、圣博润

    工控检查工具箱:安恒信息、圣博润

    工控攻防实验室:网藤科技、博智软件

    工控态势感知:安恒信息、博智软件、360、知道创宇、浙江乾冠

    8

    其他

    舆情监控:中国舆情网、优捷信达、乐思、红麦、中科点击、泰一舆情、探宝、拓尔思、本果、软云神州、西盈、任子行、FreeBuf.com/网藤风险感知、南京快页数码、博智软件、北京中安智达、三零卫士

    威胁情报:微步在线、上海观安、斗象科技/FreeBuf.com/漏洞盒子、恒安嘉新、白帽汇、天际友盟、知道创宇、360、安恒信息、金睛云华、三零卫士、安全狗

    国产操作系统:Deepin深度、RedFlag红旗、Kylin麒麟、NeoKylin中标麒麟、StartOS起点/雨林木风OS、凝思磐石安全操作系统、共创Linux、思普Linux

    国产数据库:达梦数据库、东软OpenBASE、国信贝斯iBase、人大金仓KingBase、南大通用GBase

    业务风控安全:顶象技术、指掌易、邦盛、岂安、行邑、同盾、通付盾、匠迪技术

    蜜罐:三零卫士、绿盟科技、默安科技、锦行科技

    安全硬件平台/工控机:兴汉网际、阿普奇、盛博、集智达、英德斯、福升威尔、华北科技、艾宝、华北工控、研祥、祈飞、研华、工蜂、立华、惠尔、凌华、智威智能

    数据恢复:苏州美天网络、金山安全、易数科技、华客、飞客、众成、博智软件、效率源

    电磁屏蔽柜:启航智通、信安邦

    数字取证:美亚柏科、盘石软件

    安全计算机:瑞达信息

    半自动&自动化渗透平台:安恒信息、安络科技、四叶草安全、四维创智、雨人网安、锦行科技、墨云科技

    存储介质信息消除/粉碎机:北信源、和升达、科密、30所、利谱、交大捷普、兰天致信、中超伟业、博智软件、方德信安、深圳汇远佳禾

    展开全文
  • 由于所在公司请了专门的软件安全公司,需要对公司的项目做安全性测评,针对测评公司提出的建议,具体思路如下(本文只提供思路,不提供具体细节)。 ================= Java Web安全测评--开发细节=================...

        版权声明:本文为博主原创文章,未经博主允许不得转载。



         本文由笔者在Java Web应用中,对安全性开发的过程中的一些技术积累,对安全性没啥概念的童鞋可以参考下(大神请绕道,不喜勿喷)。由于所在公司请了专门的软件安全公司,需要对公司的项目做安全性测评,针对测评公司提出的建议,具体思路如下本文只提供思路,不提供具体细节)。




    ================= Java Web安全测评--开发细节=================


    一、密码复杂度
    1、长度要求:8-20位
    2、字符要求:数字与字母组合



    二、登陆失败次数的处理策略
    1、失败3次、给图片验证码
    2、失败5次、该用户暂时不能登陆,设置多长时间后才能登陆(可以自定义,一般10分钟到半小时左右)
    3、用户名或密码错误时,提示应为“用户名或密码错误”,防止爆破用户名



    三、多步骤操作的连续性(找回密码一、二、三)
    1、最少要两次鉴权,如手机验证、邮箱(或密保问题)验证
    2、用户在找回密码的过程中,必须按照步骤来,不能跨步骤进行(非法访问)
    3、禁止自动显示手机号码




    四、全站https
    1、证书申请
    2、配置Cookies中的session的HttpOnly和Secure标识:tomcat中的server.xml中的http容器中增加配置 secure="true",tomcat中的context.xml中的 配置 useHttpOnly="true"
    3、更改相关web项目中的静态资源路径为相对路径
    4、conf/catalina.properties文件,在最后添加org.apache.jasper.compiler.Parser.STRICT_QUOTE_ESCAPING=false 
    5、有下载模板文件的,需要在conf/server.xml里面的http节点中添加 useBodyEncodingForURI="true"




    五、防请求头攻击
    1、pom.xml文件中域名统一管理,不同的环境调用不同的域名。
    2、添加过滤器:com.xxx.framework.mvc.filter.InjectFilter
    3、java代码、配置文件、静态资源文件,如有用到域名的,需从pom.xml中获取(maven-war-plugin打包,需要排除doc模板、exele模板、字体、图片等文件)





    六、SessionId防篡改/防止越权
    1、登陆后 sessionId的值加密存储到cookie中,如cookie.set("SAFE_COOKIE_NAME","")
    2、增加过滤器com.xxx.ucenter.filter.CookieFilter,校验cookie中的这个数据是否被篡改
    3、用户退出系统后,移除该cookie
    4、登陆成功需更换session会话ID,sesison需绑定IP



    七、敏感信息加密存储
    1、手机号码、邮箱地址等私密信息 在数据库层面进行加密、解密处理
    2、数据库建立加密(FUN_ENCRYPT_AES)、解密函数(FUN_DECRYPT_AES)
    3、sql里面进行调用加解密函数
    4、web应用代码的配置文件需要加(密至少包括数据库账号、IP、密码、银行支付的密钥、FTP账号密码、email账号密码等)




    八、完善系统日志

    1、要有日志查询的功能,含操作人、操作时间、ip、应用名、操作动作、操作动作结果、备注、描述等。
    2、隐私信息显示时要脱敏处理
    3、异步记录用户登陆的log信息(含用户id、账号、ip、登陆结果、ip、userAgent、登陆时间等信息)





    九、防xss攻击:
    1、增加过滤器:com.xxx.ucenter.filter.XSSFilter
    2、核心过滤的类:com.xxx.framework.util.StringUtil.cleanXSS()
    3、注意:controller层中,入参有做URLDecoder.decode操作的,必须要使用StringUtil.cleanXSS()进行处理。





    十、脏词、敏感词、非法词过滤
    1、建立脏词数据表、填充数据。(参考数据表:SYS_ILLEGAL_WORDS)
    2、用的时候存redis
    3、后台管理中心必须要有维护的功能(增删改查),也要能刷新存在redis的缓存
    4、建立过滤器com.xxx.ucenter.filter.IllegalWordFilter,基于HashMap、DFA算法模型去做匹配
    5、规则:匹配到脏词后,可以用 "*" 替换
    6、排除:个别的参数、url不需要做脏词过滤。如用户名、密码、验证码、带签名的url






    十一、错误页面
    1、可以有个简短的中文提示,但禁止抛出异常信息的堆栈
    2、最好有个全局的异常处理器




    十二、其他细节:
    1、网站中必须声明:不得发布《互联网信息服务管理办法》规定的"九不准"
    2、Session过期策略, web.xml中设置:<session-timeout>10</session-timeout> <!--单位为分钟-->
    3、日志系统,不能删除、修改数据(需要DBA配合修改)
    4、Tomcat/Nginx:禁止访问指定后缀的文件,如*.xml等
    5、重要的form表单添加CSRF防护token或图形验证码(即一次性随机令牌)
    6、sql注入:druid开启防SQL注入的配置,druid.filters=stat,wall(有可能因sql语句不规范,导致druid监控无法使用而报错)




    ================= Java Web安全测评--开发细节=================

        版权声明:本文为博主原创文章,未经博主允许不得转载。



    十三、网上摘录的其他细节:


    1.弱口令漏洞,最好使用至少6位的数字、字母及特殊字符组合作为密码。数据库不要存储明文密码,应存储MD5加密后的密文,由于目前普通的MD5加密已经可以被破解,最好可以多重MD5加密。

    2.未使用用户名及密码登录后台可直接输入后台URL登录系统。
    解决方案:通过配置filter来过滤掉无效用户的连接请求。


    3.合法用户“注销”后,在未关闭浏览器的情况下,点击浏览器“后退”按钮,可从本地页面缓存中读取数据,绕过了服务端filter过滤。
    解决方案:配置filter对存放敏感信息的页面限制页面缓存。如:
    httpResponse.setHeader("Cache-Control","no-cache"); 
    httpResponse.setHeader("Cache-Control","no-store");
    httpResponse.setDateHeader("Expires", 0);
    httpResponse.setHeader("Pragma","no-cache");


    4.Java WEB容器默认配置漏洞。如TOMCAT后台管理漏洞,默认用户名及密码登录后可直接上传war文件获取webshell。
    解决方案:最好删除,如需要使用它来管理维护,可更改其默认路径,口令及密码。


    5.重放攻击


    6.僵尸网络暴力破解


    7.千万不要乱用数据类型,使用基本数据类型,少用包装类,包装类容易被攻击,不要用string去接受所有类型数据。原则上:是什么类型就用什么类型去接收。


    8.通过架构设计,添加一层设置处理http参数。一般都是通过aop来实现.比如:对邮件,手机验证对整数最大值验证,对字符串最大长度验证


    9.点击劫持,大概有两种方式,一是攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,此时用户将在不值钱的情况下点击透明的iframe页面,二是攻击者使用一张图片覆盖在网页,遮挡网页原有位置的含义。
    展开全文
  • 加强公安等级保护测评工作,推动等级等级... 等级保护测评机构 信息安全等级保护测评机构等级保护评测机构等级保护测评机构名单 等级保护测评公司 链接:https://pan.baidu.com/s/1Z5n_1S4hHUFfuuci2yIpnw 提取码:f...

     

         加强公安等级保护测评工作,推动等级等级保护2.0学习全国测评机构联系名单。

         全国等级保护测评机构推荐目录下载地址 ,

          等级保护测评机构   信息安全等级保护测评机构  等级保护评测机构  等级保护测评机构名单   等级保护测评公司

          链接:https://pan.baidu.com/s/1Z5n_1S4hHUFfuuci2yIpnw 提取码:fwfi  

         总纲:


    国字号 北京 上海 天津 重庆 河北 山西 内蒙古 辽宁 吉林 黑龙江
    江苏 浙江 安徽 福建 江西 山东 河南 湖北 湖南 广东 新疆
    广西 海南 四川 贵州 云南 西藏 陕西 甘肃 青海 宁夏 全部总纲
    展开全文
  • 近日,河南鑫安利安全科技股份有限公司携手契约锁,借力电子签章助力测评提速、服务升级……河南鑫安利安全科技股份有限公司(以下简称“鑫安利”,股票代码:831209),是国家首批、河南首家甲级安全评价机构,是...

    近日,河南鑫安利安全科技股份有限公司携手契约锁,借力电子签章助力测评提速、服务升级……
    安全测评第一股——河南鑫安利选择契约锁电子签章
    河南鑫安利安全科技股份有限公司(以下简称“鑫安利”,股票代码:831209),是国家首批、河南首家甲级安全评价机构,是国内首屈一指的“三甲”(安评甲级、职评甲级、环评甲级)测评机构。

    2014年,鑫安利在“新三板”成功挂牌上市,成为国内第一家挂牌上市的安全技术企业,开启并引领行业在资本市场的角逐。

    安全风险管理“全产业链”领军者
    创立十余年,鑫安利依托人才与技术,持续发力,逐渐发展成为安全测评管理行业的改革者与领军者。

    行业首创,平台化运营:结合国内安全风险管理行业现状与企业内部管理现状,鑫安利首创平台化运营战略,逐步实现品牌化、专业化、规模化运营;

    深耕服务,全区域部署:公司以安全评价、职业卫生检测与评价、环境评价为主,以教育培训、投资管理、保险公估等为辅,构建鑫安利安全管理产业链全覆盖,提供安全管理一站式解决方案;

    以区域为导向,在全国中心城市建立区域中心,以破区域化为战略发展目标,依托平台化企业优势实现规模效应,业务覆盖全国,服务客户涵盖数十个行业。

    将“一站式”安全服务进行到底
    此次携手契约锁,是鑫安利贯彻“一站式”服务理念、借电子签章应用改善测评服务水平与质量的一次全新尝试。

    直击痛点,构建无纸化测评闭环:以电子签章贯穿测评报告编制全程。优化业务过程,实现从身份认证、报告编制到报告审批与查收全程在线。测评过程高效快捷、测评结果公平公正。

    测评身份可信:借CA认证设定关卡,加强检测身份认证,查验测评身份真实后才可登录系统操作;

    报告审批在线:报告编制完成后,发起在线审批与用章申请,提升测评报告输出效率与协同效率;

    在线签署及时:以电子签章签署代替线下盖章,确保测评报告一经签署不可篡改,测评权威有效;

    报告查验实时:用户可通过微信等移动端口快速查收电子测评报告,通过查验电子签章实时验真。

    阶段部署,搭建签章一体化检测平台:此次合作,鑫安利以实现测评报告无纸化闭环为起点,逐步落实和搭建集业务运营、行政管理、风险管控于一体的签章管控平台。

    目前,鑫安利电子签章项目已投入部署,契约锁将以“安全高效”为实施目标,全面配合实施。

    相信在不久的将来,鑫安利将以更优质高效的测评服务造福用户,在我国安全风险管理事业上持续发光、发热!

    转载于:https://blog.51cto.com/13988611/2330007

    展开全文
  • 由中关村信息安全测评联盟组织,上海市信息安全测评认证中心主笔,国内众多测评机构(参与单位:杭州安信检测技术有限公司、江苏金盾检测技术有限公司、深圳市网安计算机安全检测技术有限公司、合肥天帷信息安全技术...
  • 等级保护测评机构公司,网络安全等级保护备案表和定级报告模板。
  • 由中关村信息安全测评联盟组织,上海市信息安全测评认证中心主笔,国内众多测评机构(参与单位:杭州安信检测技术有限公司、江苏金盾检测技术有限公司、深圳市网安计算机安全检测技术有限公司、合肥天帷信息安全技术...
  • 4月24日,由阿里巴巴集团发起的ICA联盟在北京宣布,云丁网络技术(北京)有限公司的DSL-C09(Touch2 Pro)型号智能门锁产品已经通过公安部安全与警用电子产品质量检测中心的测评,成为首款获得ICA智能门锁信息安全...
  • 近日,国家密码管理局正式批准Testin云测公司成为全国26家商用密码应用安全测评机构之一,这标志着Testin云测在网络安全技术能力已经得到国家相关部门的认可。 经工信部推荐,并经国家密码管理局近一年的资质审查...
  • 近年来,数据泄露事件频繁发生,从雅虎公司因黑客入侵导致共30亿用户账号信息被窃取,到京东因内部恶意员工作案致使共50亿条公民信息被泄露,泄露的数据越来越多,造成的影响越来越大,数据安全形势日益严峻。...
  • 符合信息安全等级保护二级以上标准(非涉密信息系统)网络安全产品与服务推荐目录 序号 类别 ... 北京启明星辰信息安全技术有限公司 2 天融信安全隔离与信息交换系统TopRules V3 ...
  • 网络、信息系统安全等级保护测评机构、公司定级备案材料,重要定级报告。 《信息系统安全等级保护定级报告》 一、XXX信息系统描述 简述确定该系统为定级对象的理由。从三方面进行说明:一是描述承担信息系统...
  • 总体设计主要包括系统功能设计、系统总体结构设计、系统数据结构设计和系统安全设计等;详细设计主要包括系统数据库访问的实现,主要功能模块的具体实现,模块实现关键代码等。最后对系统进行功能测试,并对测试结果...
  • 云计算是继1980年代大型计算机到客户端服务器的大转变之后的又一种巨变,百度一下云计算有5800多万条相关记录。相关数据显示2011年上半年,中国... 因每公司关注重点不同,绝大多数的网站开发与设计公司,对于网...
  • 全国等级保护测评机构推荐目录下载地址,等级保护测评公司,网络安全等级保护测评,等级保护测评机构,等级保护机构 需要加强等网络、信息安全级保护定级备案,网络安全测评及网络安全整改工作。 链接:...
  • 国家电网对等级测评的规定要求 国家电网公司电力监控系统等级保护及安全评估工作规范(试行)》、《国家电网公司电力监控系统网络安全事件应急工作规范(试行)》、《并网新能源场站电力监控系统涉网安全防护补充...
  • 在前面几个模块中,我们重点讲解了...据我了解,确实有部分公司是这么做的,而且这么做下来之后,还能够通过等保测评。 但是,这种做法并不可取。因为安全防御工具只是工具,最终好不好用,还是取决于人。只有对安全.
  • 我们该如何为公司或自己选择一款适合的电子邮箱呢。笔者测评了10大常见的电子邮箱,来看看哪个适合你? 测试品牌 个人邮箱品牌:outlook、TOM VIP邮箱、qq邮箱、163邮箱、新浪邮箱,企业邮箱品牌:TOM企业邮箱、263...
  • 中国航空工业集团公司计算机软件北航可靠性管理与测评中心成立于2000年,依托北航强大的科研实力,测评中心在软件测试及测试工具研发、软件工程化培训和咨询、软件可靠性安全性研究、信息安全研究方面均处于国内前列...
  • SQL Server 2016测评

    2017-07-05 11:37:00
    SQL Server 2016带来了扩展数据库到Azure、Hadoop查询、内置的R分析、更好的安全性和更高的性能。 微软公司将SQL Server 2016称为SQL Server数据库27年发展演变史上“最大的飞跃”。正如我们将看到的,尽管围绕着SQL...
  • 北京互联通网络科技有限公司华东地区数据中心经过专业测评后,荣获国家公安部颁发的信息系统安全等级测试三级资质。该资质属于数据中心、云计算行业内的最高要求等级。  此次测评依据国家公安部要求,对互联通...
  • 但是,等保测评合规意味着本公司/单位的测评对象符合网络安全等级保护相关的网络安全建设要求,但是并不代表这个企业/单位的网络安全就可以掉以轻心了。所以,对于一些已经通过了等级保护的公司/单位,我们予以掌声...
  • ToDesk 远程软件推荐测评

    千次阅读 2020-07-17 19:24:09
    无论是在家中远程操作不熟练的员工,还是帮助自己的用户安装自己的公司产品,或者哪怕在日常使用电脑过程中遇到技术问题。都会让大神直接远程操作。因此,拥有一款非常流畅、安全的远程软件必不可少。目前,我们使用...
  • ASP.NET在线测评系统

    热门讨论 2009-12-25 22:26:50
    并且,对员工的360度考核可能会有大量的数据,举例说,如某公司有员工1000人,现希望给10个被考评候选人进行测评打分,每个候选人需要考评10项内容,如此,将会产生10万条数据,这显然是巨大的,并且对数据的处理将...
  • 需要网络安全制度汇编请下载网络安全等级保护-信息安全管理制度汇编参考下载,等级保护测评公司,网络安全等级保护测评,等级保护测评机构,等级保护机构 需要加强等网络、信息安全级保护定级备案,网络安全测评及...
  • VIRTUAL MULTI LOGIN(VMLogin)多登浏览器开发公司有着多年业内专家指导和协作,立足于国内,服务于全球用户,致力于为用户提供最高等级的隐私安全保障,让全球更多用户享受安全浏览网络服务依托自主知识产权的虚拟...
  • 买家账号权重的高低,安全性和稳定性,账户的存活率,存活时间的长短,这些都是亚马逊服务商和SD公司的核心技术。如果你正筹划搭建一个稳定的亚马逊测评系统,或者是身为卖家的你正准备转型做亚马逊服务商。 亚马逊...
  • 政府网站云计算服务安全指南》,本标准起草单位:西安未来国际信息股份有限公司、阿里云计算有限公司、中国电子技术标准化研究院、四川大学、北京信息安全测评中心、国家信息技术安全研究中心、华为技术有限公司、...
  • 从汕头网警支队公众号获悉:7月20日,汕头网警支队在对全市网络安全等级保护重点单位进行执法检查的过程中,发现汕头市某信息科技有限公司在2015年11月向公安机关报备的信息系统安全等级为第三级,测评合格后投入...

空空如也

空空如也

1 2 3 4 5 ... 9
收藏数 164
精华内容 65
关键字:

安全测评公司