精华内容
下载资源
问答
  • 2019-07-15 10:02:52

    https://mp.weixin.qq.com/s/kg4pYUXDrGJpeJrzkksorQ

    更新时间: 2019-7-1 22:52:56   随时更新! 
    欢迎各个公众号、网站转载本清单——标明出处就好。

    您公司不在名单?—— 请下载 http://www.youxia.org/PostList.xls 表单(注意大小写),填写后邮件到 zbc@youxia.org 注明“产品大全信息提交”即可,感谢支持!(不支持微信发送,仅支持邮件方式)。

    www.youxia.org 是支持“免费投稿”的,在网站右侧可以直接注册,欢迎投递原创的技术稿件。

    同步更新网址
    游侠安全网:http://www.youxia.org/2014/02/11284.html
    信息安全官:http://www.cnciso.com/bbs/thread-948-1-1.html

    增加了一个新功能:在“游侠安全网”的微信公众号 youxia-org 中回复“大全”、“厂家大全”、“产品大全”均可获取本清单!

    重申

    • 别说:为什么我们公司不是排第一个?——我问你,那么多公司,让谁做第一?让谁做最后一个?能说服我的话,把你们放到第一个没问题!排名不分先后——排第一个的可能是最烂的,排最后一个的也可能是最好的。

    • 别问我为什么没有你公司——你们公司注册的时候通知过我吗?你们发布产品的时候通知过我吗?—— 没有,就别一副欠了你钱上来讨债的样子!我尽量做全,但并不能保证全部。

    • 产品你必须得有!至少官网得有这个产品,或者至少在该公司的微信公众号等地方推送过!有的公司本来没这个产品,为了追求曝光率、在这里多出现几次,说什么都有——我感觉人、公司,还是应该有点诚信,是吧?

    • 非自主研发,而是贴牌、OEM的就算了!现在这个名单只是为了“全”,过一段会把贴牌、OEM的去掉,原创的得支持,贴牌的从商务上来说没问题,但我这个名单还是希望都鼓励原创。

    • 有人问:我们赞助的话,可以标红、加粗、排第一、斜体字……之类的么?—— 实在抱歉,站长还没有收费的打算。对,给钱也没有这个打算。


    我的一些想法:

    • 有常见的安全产品

    • 有常见的安全厂家

    • 有些一家独大的分类就不加入了,如某个产品只有1家在做,或很少的厂家在做,那么抱歉


    目标:

    我们希望纳入足够多的产品分类和厂家,至少名气大的、名气中等的,以及“小荷才露尖尖角”的厂家,都尽量能有露脸的机会。更希望能给新入行的朋友、准备采购产品的朋友,一个可供参考的文档。

    1、中国网络安全产品与厂商大全

    物理安全

    • 存储介质信息消除/粉碎机:北信源、和升达、科密、30所、利谱、交大捷普、兰天致信、中超伟业、博智软件、方德信安、深圳汇远佳禾、中安兴坤


    网络安全

    • 防火墙/UTM/安全网关/下一代防火墙/第二代防火墙:天融信、山石网科、启明星辰、网御星云、绿盟科技、安恒信息、蓝盾、华为、软云神州、杭州迪普、华清信安、东软、上讯信息、利谱、深信服、奇安信、卫士通、H3C、交大捷普、信安世纪、任子行、上海纽盾、金电网安、亚信安全、北京擎企、金山、君众甲匠、优炫、海峡信息、安信华、博智软件、中科曙光、中科网威、江民科技、六壬网安、安码科技、点点星光、瑞星、华域数安、中新网安、山东确信、有云信息、上元信安、成都世纪顶点、卫达安全、网御科技、锐捷、清华永新、华诺科技、六方云

    • 网络入侵检测NIDS/网络入侵防御NIPS:启明星辰、绿盟科技、网御星云、奇安信、天融信、铱迅信息、蓝盾、杭州迪普、山石网科、安恒信息、交大捷普、任子行、经纬信安、漏洞盒子/网藤风险感知、华清信安、上海纽盾、东软、恒安嘉新、安天、金山、君众甲匠、海峡信息、博智软件、H3C、中科网威、江民科技、六壬网安、青藤云安全、安数云、上元信安、成都世纪顶点、网御科技、中睿天下、华诺科技、盛邦安全(WebRay)、六方云

    • 无线入侵检测/防御:奇安信、北京锐云通信、山东闻道通信、雨人网安、四维创智、锐捷、启明星辰

    • VPN:深信服、天融信、蓝盾、奇安信、华为、绿盟科技、卫士通、信安世纪、奥联科技、启明星辰、易安联、华清信安、上海纽盾、东软、海峡信息、博智软件、H3C、江南信安、弘积科技、山东确信、华域数安、中宇万通、惠尔顿、启博网络、成都世纪顶点、网御科技、冰峰网络

    • 上网行为管理:奇安信、深信服、蓝盾、华为、莱克斯、网际思安、软云神州、杭州迪普、北信源、网鼎芯睿、陕通、上海新网程、奥联科技、交大捷普、任子行、上海纽盾、东软、Panabit、北京擎企、金山、盛世光明、博智软件、H3C、万网博通、极安、江民科技、迈科网络、六壬网安、弘积科技、瑞星、华域数安、惠尔顿、启博网络、上元信安、网博科技、网御科技、锐捷、华诺科技、众人科技、冰峰网络、启明星辰

    • 网络安全审计:天融信、莱克斯、启明星辰、交大捷普、绿盟科技、蓝盾、广州国迈、软云神州、任子行、雨人、上海观安、上海纽盾、奇安信、恒安嘉新、盛世光明、海峡信息、博智软件、杭州迪普、中科新业、重庆智多、网博科技、华域数安、思维世纪、exands兴容信息、天懋信息、锐捷、东软、众人科技

    • 网络流量控制:奇安信、深信服、流控大师、Panabit、蓝盾、软云神州、网鼎芯睿、互普&溢信(IP-Guard)、东华软件、上海纽盾、灵州网络、恒安嘉新、北京擎企、金山、盛世光明、杭州迪普、万网博通、极安、迈科网络、华诺科技、冰峰网络

    • 网络流量分析:科来公司、东华软件、绿盟科技、网鼎芯睿、上海观安、上海纽盾、恒安嘉新、Panabit、亚信安全、安天、江民科技、华青融天、迈科网络、迪思数据、中新网安、金睛云华、中睿天下、清华永新、聚铭网络、安态科技、安恒信息、启明星辰

    • 防病毒网关/防毒墙:网御星云、蓝盾、冠群金辰、杭州迪普、瑞星、奇安信、安恒信息、山石网科、亚信安全、安天、金山、天融信、海峡信息、安信华、博智软件、江民科技

    • APT未知威胁发现:安恒信息、科来公司、奇安信、天融信、启明星辰、东巽科技、安天、绿盟科技、华为、神州网云、成都力合智远、经纬信安、兰云科技、中铁信睿安、卫达安全、恒安嘉新、宝利九章、亚信安全、安赛创想、金山、海峡信息、博智软件、知道创宇、江民科技、六壬网安、盛邦安全(WebRay)、中新网安、中科锐眼、金睛云华、兴华永恒、中科慧创、中睿天下、中国网安、安态科技、永信至诚

    • 抗DDoS产品:绿盟科技、华为、中新网安、铱迅信息、启明星辰、傲盾、蓝盾、杭州迪普、华清信安、安恒信息、上海纽盾、任子行、青松云安全、天融信、奇安信、北大千方、知道创宇、神荼科技、网堤安全、盛邦安全(WebRay)

    • 抗DDoS服务:阿里云、腾讯云、金山云、百度安全/安全宝、知道创宇、奇安信、安恒信息、兰云科技、网宿科技、上海云盾、中新网安、安全狗、青松云安全、电信云堤、UCloud、智卓云盾、蓝盾、网堤安全、浙江乾冠、唯一网络、有云信息、缔盟云、京东云

    • 网闸:奇安信、北京安盟、利谱、启明星辰、杭州合众、天融信、交大捷普、天行网安、伟思、金电网安、赛博兴安、东软、海峡信息、安信华、重庆爱思、中新网安、蓝盾、网御星云

    • 安全隔离与信息单向导入设备/单向传输机器:深圳中锐源、中铁信安、中孚信息、杭州合众、国保金泰、天融信、赛博兴安、普世科技、锐安、金电网安、北京安盟、中科网威、哈尔滨朗威、利谱、北京远为软件、奇安信、瑞达信息、天行网安、伟思、东软

    • 网络缓存加速·产品:缓存大师WebCache、锐捷、优络普、Panabit、安信华

    • 网络缓存加速·服务:知道创宇、阿里云、百度云、腾讯云、帝恩思、DNSPod、浙江乾冠、京东云、

    • 网络准入控制:北信源、无锡宝界、蓝盾、互普&溢信(IP-Guard)、启明星辰、金盾软件、广州国迈、盈高科技、画方科技、联软、中软、上讯信息、交大捷普、信安世纪、中孚信息、上海纽盾、艾科网信、海峡信息、博智软件、江民科技、亚东软件、瑞星、福建伊时代、奇安信、通软公司、上海宁盾、H3C、易泰通(捍卫者)

    • 负载均衡:深信服、北京中科四方、东华软件、信安世纪、灵州网络、北京华夏创新、北京楷然昊天、上海云速、湖南麒麟、杭州迪普、启明星辰、易安联、上海纽盾、Panabit、北京擎企、H3C、弘积科技、北京远为软件、福建伊时代、信诺瑞得、太一星辰、山石网科、冰峰网络

    • 应用交付:深信服、信安世纪、瑞友天翼、奇安信、天融信、东软、任子行、优炫、中科曙光、弘积科技、信诺瑞得、启明星辰

    • 加密机/密码机:江南科友、网御星云、天融信、三未信安、山东得安、卫士通、山东渔翁、无锡江南、江南天安、江南博仁、兴唐通信、中安网脉、君众甲匠、立思辰、江南信安、山东确信、信安世纪、奕锐电子、数盾科技

    • DNS安全:电信云堤、厦门帝恩思、知道创宇、网堤安全、唯一网络、迪讯信息、冰川网络

    • 不良信息识别与监测:金惠科技

    • DDI(DNS/DHCP/IP地址管理):迪讯、亚信安全


    主机安全

    • 桌面管理/主机审计:北信源、汉邦、联软、蓝盾、互普&溢信(IP-Guard)、启明星辰、网御星云、奇安信、天融信、金盾软件、广州国迈、软云神州、哈尔滨朗威、上海创多、深圳金天眼、杭州正杰、浙江远望电子、北京盖特佳、峰盛科技、中软、卫士通、通软公司、圣博润、上讯信息、交大捷普、中孚信息、上海浩迈、金山、海峡信息、博智软件、江民科技、江南信安、山丽信息、亚东软件、706所、中电瑞铠、瑞星、敏捷科技、盈高科技、中天航信、易泰通(捍卫者)、中科慧创、安在软件、艾科网信

    • 单机防病毒:瑞星、江民科技、金山、360、百度、腾讯、东方微点、费尔、火绒、亚信安全、安天、博智软件、中科慧创、深信达

    • 网络防病毒:瑞星、360、金山、江民科技、东方微点、北信源、亚信安全、安天、博智软件、中科慧创、深信达、慧盾网络

    • 主机文档加密与权限控制/HDLP:亿赛通、天锐绿盾、时代亿信、明朝万达、蓝盾、互普&溢信(IP-Guard)、北信源、金盾软件、启明星辰、北京盖特佳、峰盛科技、中软、卫士通、上海祥殷、上海前沿、杭州华途、敏捷科技、思智泰克、交大捷普、中孚信息、福州深空、天融信、思睿嘉得、合力思腾、深圳虹安、上讯信息、成都力合智远、莱克斯、365数据安全/四川西图、山东申启、金山、天空卫士、锐思特、赛猊腾龙、海峡信息、深信达、博智软件、江民科技、天喻软件、上海谐桐、亚东软件、武汉百易时代、奕锐电子、龙脉科技、臻至科技(LOCKet)、世平信息、福建伊时代、海泰方圆、无锡华御、七洲科技

    • 源代码加密及嵌入式开发源码加密:深信达、明朝万达、亿赛通、IP-Guard、山丽信息、天锐绿盾、互普&溢信(IP-Guard)、中软、虹安、深信达

    • 主机安全加固:浪潮、椒图、安全狗、广州国迈、中软华泰、可信华泰、中嘉华诚、中航嘉信、易路平安、亚信安全、安天、优炫、悬镜AI、中超伟业、中科曙光、神荼科技、青藤云安全、安恒信息、中科慧创、易泰通(捍卫者)、七洲科技

    • 终端登录/身份认证:北京天桥、上海格尔、吉大正元、卫士通、信安世纪、上讯信息、北信源、九州云腾、中孚信息、博智软件、哈尔滨朗威、时代亿信、山东确信、中软、易泰通(捍卫者)

    • 移动存储介质管理:北京天桥、北信源、启明星辰、金盾软件、广州国迈、哈尔滨朗威、上海创多、亿赛通、交大捷普、上海浩迈、上海格尔、安天、金山、天喻软件、山丽信息、亚东软件、瑞星、中软、易泰通(捍卫者)、通软公司、能信安(能士)、安在软件、七洲科技

    • 补丁管理:北信源、奇安信、启明星辰、金盾软件、上海创多、交大捷普、亚信安全、金山、瑞星、中软、榕基软件、通软公司

    • 打印安全/打印管理/打印审计:北京天桥、北信源、中孚信息、安普锐、天锐绿盾、金山、保旺达、哈尔滨朗威、天喻软件、瑞达信息、山丽信息、武汉百易时代、鼎盾科技、思为同飞、瑞星、敏捷科技、中软、通软公司、福建伊时代、航天十二院

    • 刻录审计:北京天桥、北信源、鼎盾科技、安普瑞、


    应用安全

    • 网页防篡改:安恒信息、智恒科技、赛蓝、山东中创、绿盟科技、启明星辰、上海天存、上海天泰、福州深空、北京通元、国舜股份、蓝盾、安全狗、盛邦安全(WebRay)、杭州迪普、上讯信息、交大捷普、青松云安全、海峡信息、江民科技、立思辰、六壬网安、浙江乾冠、三零卫士、有云信息、卫达安全、锐捷、深信达

    • Web应用防火墙·WAF·硬件:安恒信息、启明星辰、绿盟科技、天融信、铱迅信息、知道创宇、上海天泰、杭州迪普、山东中创、盛邦安全(WebRay)、蓝盾、北京千来信安、中新网安、软云神州、中软华泰、上讯信息、上海天存、利谱、交大捷普、任子行、中铁信睿安、上海纽盾、奇安信、卫达安全、金电网安、安赛创想、东软、海峡信息、安信华、博智软件、山石网科、江民科技、立思辰、六壬网安、安码科技、神荼科技、长亭科技、华清信安、信诺瑞得、雨人网安、能信安(能士)、有云信息、安数云、上元信安、成都世纪顶点、安信天行、锐捷、瑞数信息

    • Web应用防火墙·WAF·软件:福州深空、安恒信息、铱迅信息、安全狗、云锁、青松云安全、上海天存、安码科技、安数云、瑞数信息

    • Web应用防火墙·服务&云WAF:安恒信息、阿里云、腾讯云、奇安信、知道创宇、有云信息、湖盟、百度安全/安全宝、蓝盾、北京千来信安、中软华泰、上讯信息、快云、斗象科技/网藤风险感知、网宿科技、上海云盾、青松云安全、电信云堤、UCloud、数梦工场、网堤安全、漏洞银行、中国电信·安全帮、安百科技、中国网安、钛星数安、盛邦安全(WebRay)

    • WEB漏洞扫描:安恒信息、四叶草安全、国舜股份、绿盟科技、知道创宇、盛邦安全(WebRay)、安赛创想、安犬漏洞扫描云平台、启明星辰、经纬信安、上海观安、斗象科技/漏洞盒子/网藤风险感知、恒安嘉新、安识科技、H3C、六壬网安、安码科技、浙江乾冠、禹成在线、聚铭网络、榕基软件、凌云信安、三零卫士、锦行科技、安数云、有云信息、漏洞银行、四维创智、默安科技、Testin云测、君立华域、东软、悬镜AI

    • 网站安全监测产品:安恒信息、知道创宇、绿盟科技、奇安信、盛邦安全(WebRay)、能信安(能士)、任子行、四叶草安全、安全狗、恒安嘉新、安信华、H3C、江民科技、悬镜AI、立思辰、浙江乾冠、安数云、凌云信安、安信天行、中睿天下

    • 网站安全监测服务:安恒信息、知道创宇、绿盟科技、奇安信、百度安全/安全宝、盛邦安全(WebRay)、北京千来信安、任子行、安全狗、恒安嘉新、四叶草安全、浙江乾冠、三零卫士、中国电信·安全帮、锐捷

    • 邮件安全产品:守内安、网际思安、蓝盾、敏讯、冠群金辰、盈世CoreMail、时代亿信、上海格尔、安宁、凌久、国瑞信安、蓝海星、北京方向标、上海青羽/靠谱邮件、亚信安全、安宁、武汉百易时代、安恒信息、浙江乾冠、安数云、北京朗阁/MailData、通软公司、安创科技、中睿天下、亚洲诚信、雀罗/Cellopoint

    • 数据库漏洞扫描:安恒信息、安信通、安华金和、建恒信安、中安星云、杭州闪捷、思维世纪、安数云、凌云信安

    • 数据库防火墙:安恒信息、安华金和、中安比特/中安威士、帕拉迪/汉领信息、杭州美创、中安星云、杭州闪捷、华清信安、信诺瑞得、安数云、东软、启明星辰

    • 数据库加密和脱敏:中安比特/中安威士、安华金和、迈科龙、中安星云、杭州美创、上海观安、优炫、广州鼎甲、杭州闪捷、华清信安、世平信息、东软、启明星辰

    • 数据库审计:安恒信息、安华金和、思福迪、启明星辰、网御星云、天融信、极地银河、山东中创、蓝盾、北信源、莱克斯、软云神州、绿盟科技、上讯信息、中安比特/中安威士、交大捷普、金盾软件、昂楷科技、帕拉迪/汉领信息、上海纽盾、东软、杭州美创、优炫、海峡信息、安信华、博智软件、中安星云、东华软件、六壬网安、思为同飞、706所、杭州闪捷、华清信安、瑞宁公司、中新网安、信诺瑞得、安数云、奇安信、网御科技、锐捷、世平信息

    • 半自动&自动化渗透平台:安恒信息、安络科技、四叶草安全、四维创智、雨人网安、锦行科技、安百科技、悬镜AI

    • 应用统一身份管理/身份认证/单点登录/认证网关/PKI/CA/数字证书/令牌/各种KEY:飞天诚信、天诚安信、派拉软件、神州融信、上海格尔、天威诚信、信安世纪、东软、吉大正元、安识科技、北京安讯奔、九州云腾、中科曙光、洋葱安全、极验验证、立思辰、江南信安、山东确信、中科恒伦、上海林果、福建伊时代、龙脉科技、时代亿信、中天航信、中宇万通、融卡智能科技、安数科技、芯盾时代、安数科技、锦佰安、竹云科技、海泰方圆、上海宁盾、亚洲诚信、久安世纪、众人科技 | 各省都有当地政府牵头成立的CA运营公司,全部名单见章节9“电子认证服务使用密码许可单位名录”

    • 代码防火墙:上海观安

    • 代码审计:奇安信、匠迪技术、SECZONE(开源网安)、三零卫士、能信安(能士we)、Testin云测、酷德啄木鸟

    • 加密安全设备/NDLP:福建伊时代、时代亿信、365数据安全、天空卫士、思为同飞、世平信息

    • 反钓鱼/反欺诈:电信云堤、国舜股份、知道创宇、百度、阿里、腾讯、奇安信、安天、亚信安全、安恒信息、江民科技、华青融天、思维世纪、芯盾时代、亿盾互联

    • 语音安全:北京无限互联

    • SDL:SECZONE(开源网安)、微软、华为、默安科技


    数据安全

    • 数据备份与存储:上海爱数、杭州美创、火星高科&亚细亚智业、苏州美天网络、信核数据、上讯信息、英方股份、上海联鼎、亿备&广州鼎鼎、和力记易、广州鼎甲、安码科技、南京壹进制、浪擎科技、福建伊时代、敏捷科技、杭州明和、成都世纪顶点、迪思杰、精容数安、互利魔笛(Hoolimagic)

    • 虚拟机备份与恢复:木浪云科技、成都云祺、英方股份、和力记易、广州鼎甲、北京远为软件、迪思杰、东方德康

    • 数据清除工具:北京天桥、中孚信息、上海浩迈、万里红、中超伟业、博智软件、方德信安、哈尔滨朗威、中安兴坤


    移动安全/虚拟化安全/云安全/大数据安全

    • 虚拟化安全防护:安恒信息、启明星辰、广州国迈、北信源、中软、易安联、山石网科、阿姆瑞特、上海观安、东软、安全狗、云锁、亚信安全、金山、蓝盾、北京远为软件、盛邦安全(WebRay)、瑞星、安数云、安全狗、上元信安、奇安信、易泰通(捍卫者)、六方云

    • 虚拟云桌面:和信创天、华为、奇安信、绿盟科技、启明星辰、天融信、联想、智恒科技、H3C、深信服、锐捷、北信源、中标麒麟

    • 手机防病毒:腾讯、瑞星、金山、360、网秦、百度、中软、安天、恒安嘉新、亚信安全、蓝盾

    • 移动终端管理/EMM/MDM:国信灵通/启迪国信、北信源、奇安信、明朝万达、中软、安天、上讯信息、北京珊瑚灵御、亚信安全、金山、蓝盾、江民科技、江南信安、金盾软件、瑞星、嘉赛安全、指掌易、瓦戈科技、芯盾时代、通软公司、和信创天

    • CASB/云业务安全接入代理:炼石网络、云安宝、信云科技、绿盟科技、启明星辰、臻至科技(LOCKet)、安数云、易安联

    • 移动手机APP安全:梆梆安全、北京智游网安/爱加密、阿里聚安全、奇安信、任子行、北京鼎源科技、腾讯御安全、恒安嘉新、悬镜AI、安码科技、北京娜迦信息、指掌易、芯盾时代、能信安(能士)、和信创天、凌云信安、四维创智、Testin云测、几维安全、顶象技术

    • 基于云的安全服务:青松云安全、青藤云安全、百度云、腾讯云、阿里云、奇安信、华为、安全宝、山石网科、万般上品、东软、白帽汇、海峡信息、四叶草安全、中国电信·安全帮、安全狗、默安科技、Testin云测、京东云 | 此条目待调整、待完善!

    • 大数据安全:安恒信息、启明星辰、绿盟科技、奇安信、派拉软件、观数科技、瀚思、天行网安、上海观安、聚铭网络、中孚信息、恒安嘉新、志翔科技、知道创宇、科来公司、安码科技、杭州美创、天懋信息、金睛云华、思维世纪、安百科技、慧盾安全、凌云信安 | 这是一个比较纠结的分类,因为牵扯到的内容太多……现在主流的安全厂家几乎都能做一部分,但是……这个分类可能近期会做细化


    安全管理

    • SIEM/日志管理/日志审计/SOC/安管平台:安恒信息、思福迪、奇安信、天融信、启明星辰、东软、蓝盾、蚁巡、江南天安、北信源、上讯信息、赛克蓝德、神州泰岳、交大捷普、派拉软件、瀚思、中铁信睿安、聚铭网络、华清信安、上海纽盾、亚信安全、优炫、安信华、H3C、华青融天、安码科技、北京中安智达、706所、福建伊时代、盛邦安全(WebRay)、瑞达信息、网瑞达、瑞宁公司、兰云科技、安信天行、中睿天下、中国网安、华诺科技、艾科网信、江民科技

    • 运维审计/4A/堡垒机:安恒信息、思福迪、帕拉迪/汉领信息、浙江齐治、尚思科技、江南科友、绿盟科技、天融信、启明星辰、建恒信安、蓝盾、华为、泰然神州、上海艺赛旗、北京极地、信安世纪、圣博润、江南天安、国迈、上讯信息、神州泰岳、亿阳信通、麒麟、云安宝、交大捷普、德讯科技、任子行、派拉软件、上海观安、金盾软件、智恒科技、东软、金电网安、亚信安全、北京安讯奔、盛世光明、优炫、海峡信息、保旺达、安信华、中科曙光、六壬网安、瑞宁公司、瑞星、中新网安、安信天行、网御科技、锐捷、久安世纪、众人科技、冰峰网络

    • 网管软件/ITIL/运维管理系统:广通信达、网强、汉远网智、北塔、蚁巡、华为、锐捷、摩卡[华胜天成]、国聿、上讯信息、交大捷普、飞思安诺/飞思网巡、恒安嘉新、优炫、艾科网信、海峡信息、迈科网络、东华软件、金盾软件、赢领科技、远臻、勤智运维、四维创智、云雀软件

    • 漏洞扫描与管理/远程安全评估:安恒信息、榕基软件、凌云信安、启明星辰、绿盟科技、铱迅信息、极地银河、蓝盾、盛邦安全(WebRay)、江南天安、杭州迪普、天融信、交大捷普、安犬漏洞扫描云平台、经纬信安、上海观安、中铁信睿安、斗象科技/漏洞盒子/网藤风险感知、宿州东辉、四叶草安全、恒安嘉新、安天、蓝盾、君众甲匠、博智软件、中科网威、立思辰、六壬网安、悬镜AI、思度网络空间安全、北京智言金信、聚铭网络、安数云、漏洞银行、御风维安、默安科技、君立华域、中安兴坤、东软

    • 网络和主机基线配置核查系统:安恒信息、思福迪、绿盟科技、启明星辰、聚铭网络、北京随方信息、博智软件、榕基软件、安数云、凌云信安

    • 主机安全保密检查工具:北京天桥、中孚信息、北信源、哈尔滨朗威、万里红、华安保、上海浩迈、博智软件、方德信安、江苏微锐、中天航信、世平信息、中安兴坤

    • 信息安全等级保护测评工具箱:安恒信息、国瑞信安、圣博润、公安一所、锐安 | 注:市面上多家厂家均生产此产品,但公安部仅指定了5家作为“合格的”生产单位!

    • 网络安全态势感知:安恒信息、知道创宇、奇安信、绿盟科技、盛邦安全(WebRay)盛邦、四叶草安全、任子行、上海观安、聚铭网络、恒安嘉新、白帽汇、杭州合众、亚信安全、安天、郑州赛欧思、江民科技、科来公司、安码科技、金睛云华、雨人网安、三零卫士、瑞宁公司、锦行科技、思维世纪、安数云、安全狗、漏洞银行、成都世纪顶点、卫达安全、清华永新、中国网安、安数网络(傻蛋搜索)、安百科技、永信至诚、启明星辰

    • 应急处置工具:安恒信息、中睿天下


    2、中国工控安全产品与厂商大全

    威努特、谷神星、海天炜业、珠海鸿瑞、力控华康、启明星辰、绿盟科技、中科网威、三零卫士、安恒信息、北京网藤科技、天地和兴、安恒信息……
     

    • 工控防火墙:中科网威、威努特、谷神星、海天炜业、力控华康、天地和兴、安点科技、网藤科技、卫达安全、博智软件、九略智能、英赛克科技、三零卫士、圣博润、中科物安、盛道科技、伟思、融安网络、思科锐迪、中电和瑞、长扬科技、珞安科技、六方云、启明星辰

    • 工控安全审计:威努特、天地和兴、网藤科技、斗象科技/漏洞盒子/网藤风险感知、安点科技、博智软件、安恒信息、知道创宇、中科网威、九略智能、英赛克科技、三零卫士、圣博润、中科物安、盛道科技、伟思、融安网络、思科锐迪、中电和瑞、长扬科技、珞安科技、六方云、启明星辰

    • 工控漏洞扫描/挖掘:天地和兴、网藤科技、斗象科技/漏洞盒子/网藤风险感知、博智软件、知道创宇、盛邦安全(WebRay)、三零卫士、凌云信安、四维创智、中科物安、盛道科技、融安网络、思科锐迪、六方云

    • 工控安管平台/SOC/日志审计:天地和兴、中科网威、英赛克科技、三零卫士、中科物安、盛道科技、长扬科技、珞安科技、六方云、启明星辰、安恒信息

    • 工控主机安全防护:天地和兴、网藤科技、安点科技、九略智能、圣博润、易泰通(捍卫者)、盛道科技、伟思、融安网络、航天十二院、思科锐迪、中电和瑞、长扬科技、珞安科技、六方云

    • 工控入侵检测/威胁感知/入侵防御:安点科技、天地和兴、网藤科技、博智软件、科来公司、中科网威、思科锐迪、中电和瑞、珞安科技、启明星辰

    • 工控网闸:安点科技、中科网威、英赛克科技、三零卫士、圣博润、盛道科技、伟思、金电网安、融安网络、航天十二院、长扬科技

    • 工控检查工具箱:安恒信息、圣博润、威努特、天地和兴、长扬科技、珞安科技

    • 工控蜜罐:盛道科技

    • 工控攻防实验室:网藤科技、博智软件、思科锐迪、珞安科技

    • 工控态势感知:安恒信息、博智软件、奇安信、知道创宇、浙江乾冠、中科物安、盛道科技、天地和兴、思科锐迪、长扬科技


    3、安全培训机构(完善中)
     

    • 培训·线上:红山瑞达、汇哲科技、i春秋、安全牛课堂、51CTO、中电运行、西普、安码科技、益安在线、合天智汇、君立华域、墨者学院、永信至诚、易霖博

    • 培训·线下:红山瑞达、汇哲科技、谷安天下、中电运行、易聆科、南京赛宁、西普、安码科技、益安在线、武汉安迹、合天智汇、蓝盾、四叶草安全、竞远安全、四维创智、易霖博、蓝鸥科技、天创培训、江民科技、合肥天帷、永信至诚

    • 安全咨询&培训定制:谷安天下、汇哲科技、科来公司、中电运行、南京赛宁、西普、安码科技、益安在线、速邦咨询、蓝盾、安言咨询、四叶草安全、成都愚安、北京赛虎、上海天帷、天创培训、合肥天帷、众人科技、易霖博

    • 攻防实验室·线上:i春秋、安恒信息、南京赛宁、西普、安码科技、益安在线、武汉安迹、合天智汇、四叶草安全、四维创智、易霖博、永信至诚、SECZONE(开源网安)、

    • 攻防实验室·线下:安恒信息、i春秋、易霖博、绿盟科技、启明星辰、天融信、中电运行、南京赛宁、西普、安码科技、益安在线、君立华域、东方宏宇、南京毛白杨、学博知远、思度网络空间安全、合天智汇、中电运行、蓝盾、四叶草安全、北京赛虎、北京智慧云测DPLSLab、四维创智、红亚科技、天创培训、永信至诚、SECZONE(开源网安)、

    ----------可爱的分割线哟,以下是分类培训----------

    • CISP:安恒信息、中启航、汇哲科技、谷安天下、贵州亨达、陕通、甘肃海丰、中电运行、易聆科、西普、益安在线、蓝盾、四叶草安全、三零卫士、SECZONE(开源网安)、东软、天创培训、思科锐迪、合肥天帷、启明星辰

    • CISP-PTE:四叶草安全、奇安信、四川无国界、天创培训、合肥天帷、启明星辰

    • CISSP:中启航、汇哲科技、谷安天下、中电运行、易聆科、益安在线、蓝盾、SECZONE(开源网安)、天创培训、启明星辰

    • Cobit:汇哲科技、谷安天下、中电运行、易聆科、益安在线、速邦咨询、上海天帷、天创培训、中启航、

    • ITIL:汇哲科技、谷安天下、中电运行、易聆科、速邦咨询、益安在线、上海天帷、中启航

    • CISA:中启航、汇哲科技、谷安天下、中电运行、益安在线、启明星辰

    • CISM:易聆科、中启航、益安在线、中电运行、天创培训、启明星辰

    • ISO 27001 LA:汇哲科技、谷安天下、安言咨询、中电运行、易聆科、速邦咨询、益安在线、北京赛虎、上海天帷、启明星辰

    • PCI-DSS:安言咨询、北京智慧云测DPLSLab

    • 安全意识:红山瑞达、汇哲科技、谷安天下、中电运行、易聆科、益安在线、速邦咨询、武汉安迹、上海易念、SECZONE(开源网安)、天创培训、永信至诚、雀罗/Cellopoint

    • CISAW:北京赛虎、中联旭诚、合肥天帷

    • CIIP:北京赛虎、益安在线、湖南金盾、合肥天帷

    • 渗透测试:恒远IT教育、中电运行、三零卫士、天创培训

    • CWASP CCSD/CSSP:SECZONE(开源网安)、中网华安、甘肃海丰、海南神州希望、益安在线、山东维平

    • NISP:合肥天帷、山东云天、福建国科、四川国讯、河北翎贺、北京中科九盈(新疆)、河北千诚电子、山东好雨时节、北京翰博众安、成都知了汇智、北京一路恺歌、北京中科九盈(廊坊)、天津市大学软件学院、兰州希赛、于晨国际IT认证中心


    4、风险评估/安全服务/应急响应
     

    • 绿盟科技、启明星辰、奇安信、安恒信息、天融信、恒安嘉新、亿阳信通、国舜股份、四叶草安全、山东新潮、青藤云安全、武汉安迹、长亭科技、思度网络空间安全、悬镜AI、盛邦安全(WebRay)、浙江乾冠、西安市信息安全测评中心、湖南金盾、三零卫士、安全狗、竞远安全、锦佰安、能信安(能士)、陕西省网络与信息安全测评中心、锐捷、安创科技、默安科技、爱加密、君信安科技、思科锐迪、极境云、永信至诚、众人科技、任子行   | 补充中,欢迎提出宝贵建议!


    5、中国自主可控网络安全产品与厂商

    •  
    • 数据来源于申威产业联盟、龙芯产业联盟、中关村可信计算产业联盟自主可信专委会;

    • 就自主可控行业的特殊性而言,很多大厂商是作为特供产品进行市场宣传,而小厂商只作为品牌规划,并没有特殊宣传,在数据收集时可能会导致内容不全面;

    • 对于名单中未涉及的厂商,请直接加微信 15339230081 告知欲添加的分类、公司名称(需在上述3个联盟中);

    • 感谢中关村可信联盟自主可信专委会相关工作人员整理!

    •  
    • 防火墙:中科网威、天融信、网御星云、东软、中科曙光、蓝盾、中航鸿电、中船综合院、706所、瑞星

    • 入侵检测/防御:中科网威、网神、中科曙光、安恒信息 、绿盟科技、汉柏

    • 漏洞扫描系统:中科网威、安恒信息 、绿盟科技

    • 安全管理平台:启明星辰、中科网威、奇安信、浙江乾冠

    • 网闸/安全隔离与信息单向导入设备:国保金泰、中科网威、北京安盟、赛博兴安

    • 加密机:江南天安

    • 终端安全:北信源、江民科技、瑞星

    • Web应用防火墙:上海天泰

    • 堡垒机:建恒信安、江南寰宇

    • 负载均衡:般固科技

    • 防毒墙:江民科技、瑞星

    • 备份一体机:壹进制

    • 网络流量分析:北京卓迅

    • 网络准入控制:画方科技

    • 存储:创新科、同有飞骥

    6、未分类子类
     

    • 舆情监控:中国舆情网、优捷信达、乐思、红麦、中科点击、泰一舆情、探宝、拓尔思、本果、软云神州、西盈、任子行、FreeBuf.com/网藤风险感知、南京快页数码、博智软件、北京中安智达、三零卫士

    • 威胁情报:微步在线、上海观安、斗象科技/FreeBuf.com/漏洞盒子、恒安嘉新、白帽汇、天际友盟、知道创宇、奇安信、安恒信息、金睛云华、三零卫士、安全狗

    • 国产操作系统:Deepin深度、RedFlag红旗、Kylin麒麟、NeoKylin中标麒麟、StartOS起点/雨林木风OS、凝思磐石安全操作系统、共创Linux、思普Linux

    • 国产数据库:达梦数据库、东软OpenBASE、国信贝斯iBase、人大金仓KingBase、南大通用GBase

    • 业务风控安全:顶象技术、指掌易、邦盛、岂安、行邑、同盾、通付盾、匠迪技术、瑞数信息

    • 蜜罐:三零卫士、绿盟科技、默安科技、锦行科技、永信至诚、安恒信息、启明星辰

    • 安全硬件平台/工控机:兴汉网际、阿普奇、盛博、集智达、英德斯、福升威尔、华北科技、艾宝、华北工控、研祥、祈飞、研华,立华,惠尔,智威智能

    • 数据恢复:苏州美天网络、金山安全、易数科技、华客、飞客、众成、博智软件

    • 数据库准入:杭州美创

    • 数据库堡垒机:杭州美创

    • 红黑电源滤波插座:保旺达、启航智通

    • 电磁屏蔽柜:启航智通、信安邦

    • 数字取证:美亚柏科、盘石软件

    • 安全计算机:瑞达信息

    • 众测平台:安恒信息、湖南金盾

    • CTF比赛:君立华域、永信至诚、易霖博、赛宁网安、天创培训、安恒信息

    • 区块链安全:慢雾科技、知道创宇、长亭科技、成都链安、派盾科技(PeckShield)、降维安全、安恒信息

    • 视频监控安全:慧盾安全、天融信、启明星辰、安恒信息、锐捷、凌云信安

    • 网络靶场:永信至诚、四叶草安全、安恒信息、易霖博


    近期更新一批创新安全公司,基于云平台、虚拟化、反欺诈方面的。欢迎推荐。

    有些公司,要么是新兴公司,要么是行业或产品比较特殊,所以尚未分类,包括但不限于:西电捷通等……


    由于行业发展速度太快,有的产品可能横跨几个分类……比如有日志审计+数据库审计+网络审计一起的,还有打印审计+光盘刻录审计一起的,特别难区分。我们也正在考虑如何建一个更合理的分类,也期待您的建议;另外,更多公司等您推荐!

    更多相关内容
  • 安全生产法培训记录.pdf
  • 物业管理消防安全知识培训.docx
  • 酒吧KTV员工消防安全教育培训记录.pdf
  • 在世界范围内受到了越来越多人的关注,在淘宝内部它更是被广泛的使用,众多的开发 以及运维同学都迫切的想要了解nginx 模块的开发以及它的内部原理,但是国内却没有一本关于这方面的书, 源于此我们决定自己来一本...
  • 建筑施工施工现场安全教育培训PPT内容简介: 一、安全标识与安全纪律 二、现场用电安全常识 三、现场机械安全常识 四、撤出作业安全常识 宁为安全憔悴、不为事故流泪 心中多一点警惕 、家里少一分担忧 严为安全之本...
  • 信息网络安全培训总结 信息网络安全培训总结怎么以下是 XX精心整理的 相关内容希望对大家有所帮助 信息网络安全培训总结 安徽省20XX年高职教师计算机网络信息安全双师宿 州培训在安徽职业技术学院举行 时间为7月21...
  • 单位领导对班组安全活动要每月进行一次检查签字,并评语; 查安全活动计划和活动记录 考核岗位职工一岗一责制的内容; 查检查考核记录并现场提问 考核班组职工回答近期安全活动记录内容; 查员工安全活动...
  • 等保测评等保2.0等级测评2.0内容讲解PPT,共有20个PPT文件,文件是本人深耕多年的从事行业多年形成汇总出来的的用于给客户讲解,用于方案培训内容的PPT,可参照学习。 不满意可退款退货。等保测评等保2.0等级测评...
  • 网络安全法学习整理笔记

    千次阅读 2022-04-08 01:06:21
    网络安全法 一、背景 概念 网络:是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。 网络安全:是指通过采取必要措施,防范对网络的攻击、侵入、...

    网络安全法

    一、背景

    概念

    • 网络:是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
    • 网络安全:是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
    • 网络运营者:是指网络的所有者、管理者和网络服务提供者。
    • 网络数据:是指通过网络收集、存储、传输、处理和产生的各种电子数据。
    • 个人信息:是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
    • 关键信息基础设施:公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的设施
    • 网络安全=运行安全+信息安全=(安全评估+产品服务+预警响应+人员)+(个人信息+出镜安全+有害处置)

    特点

    • 全面性:明确各个主体的义务与责任;确定了各方面的基本制度
    • 针对性:从国情出发,坚持问题导向,总结实践经验
    • 协调性:注重主体的权益,保障网络信息依法有序流通,促进技术创新。安全与发展并重

    目标

    • 保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展

    范围

    • 在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理

    原则

    • 主权原则:国家主权在网络空间中的延伸和体现

      • 管辖:依自己的法律管辖事物的权利
      • 独立:不被其他国家干预的权利
      • 防卫:保障网络正常运行,不因攻击而中断
      • 平等:国际治理方面平等参与
    • 网络安全与信息化发展并重原则

      • 没有网络安全就没有国家安全,没有信息化就没有现代化;安全是发展的前提,发展是安全的保障;相辅相成,同步推进
      • 发展人才、完善战略、境外监测处置、提高意识、网络治理、未成年环境
    • 共同治理原则

      • 国家网信部门:统筹协调

      • 国务院电信主管部门、公安部门和其他有关机关:依法在职责范围内负责

      • 县级以上地方人民政府有关部门:依规定确定

      • 网络运营者:守法、履行义务、接受监督

      • 服务提供者:保障网络安全、稳定运行、防范攻击、维护数据安全

      • 相关行业组织:自律、指定规范、指导会员、促进行业发展

      • 个人:举报危害网络安全的行为。相关部门保密、保护举报人合法权益

    • 责权一致原则

      • 保护个人、组织依法使用网络的权利,保障网络信息依法有序自由流动
      • 个人和组织使用网络应当遵守宪法法律,不得危害网络安全、利用网络实行违法行为、侵害他人权益
    • 对于境外适用情况:

      • 境外的风险和威胁:监测、防御、处置

      • 境外的违法信息:采取措施阻断传播

      • 境外危害我国关基的活动:追究法律责任

    二、支持与促进

    建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责,组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。

    国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定

    统筹规划,加大投入,扶持重点网络安全技术产业和项目,支持网络安全技术的研究开发和应用,推广安全可信的网络产品和服务,保护网络技术知识产权,支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。

    推进网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。

    开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展。创新网络安全管理方式,运用网络新技术,提升网络安全保护水平。

    网络安全宣传教育,并指导、督促有关单位做好网络安全宣传教育工作。大众传播媒介应当有针对性地面向社会进行网络安全宣传教育。

    学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流。

    三、六大亮点

    3.1 主权

    国家主权在网络空间中的延伸和体现

    • 管辖:依自己的法律管辖事物的权利
    • 独立:不被其他国家干预的权利
    • 防卫:保障网络正常运行,不因攻击而中断
    • 平等:国际治理方面平等参与

    3.2 网络产品和服务提供者的安全义务

    • 强制标准义务:不得设置恶意程序,符合国家强制性要求,关键、专用产品检测、合格后才可以提供
    • 告知补救义务:发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
    • 安全维护义务:网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。
    • 个人信息保护义务:网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。

    3.3 网络运营者义务

    • 等保制度:制定制度和规程,确认安全负责人+背调,防范措施,监测状态事件,数据分类备份加密,其他
    • 身份认证:要求用户提供真实身份信息。国家推动不同电子身份认证之间的互认。
    • 应急预案:制定应急预案,及时处置漏洞、病毒、攻击、侵入等安全风险;定期演练;发生事件时,启动预案,采取补救措施,并按规定向有关主管部门报告。
    • 协助机制:为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。
    • 协作机制:建立健全协作机制,提高安全保障能力,加强安全风险应对能力。

    3.4 个人信息保护规则

    • 收集:告知并同意、公开目的、最小化收集

    • 处理:不得泄露、篡改、销毁收集的个人信息

    • 保护:采取措施保障防止信息泄露、毁损、丢失;如发生,立即补救并按规定告知用户和部门

    • 举报:个人有权要求运营者删除、更正信息

    • 合法:不得非法获取或提供个人信息

    3.5 关键信息基础设施安全保护制度

    基础等保

    • 制定制度和规程,确定负责人,落实网络安全保护责任
    • 防范措施抵御病毒、攻击、侵入
    • 技术措施监测、记录网络运行状态,相关日志大于六个月
    • 数据分类、重要数据备份、加密

    关基

    • 设置专人专岗,相关人员背调
    • 定期教育、培训、考核
    • 重要系统和数据库容灾备份
    • 应急预案、定期演练

    3.6 关键信息基础设施重要数据跨境传输规则

    • 境内运营中收集和产生的信息数据存储与境内
    • 需向境外提供的,应按照网信部和国务院制定的办法进行安全评估
    • 境外对境内关基攻击、侵入、干扰、破坏造成严重后果的,追究法律责任,冻结资产、制裁

    四、九大制度

    4.1 等级保护制度

    网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:

    • 指定制度和规程,确定负责人,落实保护责任
    • 采取技术防范病毒、攻击、侵入等
    • 监测记录网络状态,日志不少于六个月
    • 数据分类、重要数据备份、加密

    4.2 网络产品和服务安全制度

    • 强制标准义务:符合相关国家标准的强制性要求。不得设置恶意程序;网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,检验后才可销售
    • 告知补救业务:发现产品或服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
    • 安全维护义务:应当为产品、服务持续提供安全维护;在规定或约定的期限内,不得终止提供安全维护。
    • 个人信息保护:具有收集用户信息功能的,应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。

    4.3 运行制度

    4.3.1 一般

    • 认证使用机制:网络关键设备和网络安全专用产品安全认证合格后,方可销售或者提供。网信部制定目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。
    • 安全信息发布:开展网络安全认证、检测、风险评估等活动,按规定向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息。
    • 禁止危害行为:不得非法入侵、干扰、窃取;不得提供相关工具;不得技术支持,广告推广等
    • 信息使用规则:履行网络安全保护职责中获取的信息,只能用于维护网络安全的需要,不得用于其他用途。

    4.3.2 关基

    定义

    • 公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,
    • 一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益

    特殊

    • 在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。

    分工

    • 负责关基保护工作的各部门负责实施本行业、本领域的关基保护工作
    • 国家网信部门统筹协调有关部门
      • 抽查检测,提出改进措施,可以委托网络安全服务机构对进行检测评估
      • 定期应急演练,提高应对网络安全事件的水平和协同配合能力;
      • 促进部门、运营者以及研究机构、服务机构等之间的网络安全信息共享
      • 对网络安全事件的应急处置与网络功能的恢复等,提供技术支持和协助。

    原则

    • 具有支持业务稳定、持续运行的性能
    • 保证安全技术措施同步规划、同步建设、同步使用

    义务:除等保规定的义务外,还需

    • 人员安全管理:设置管理机构和负责人;安全背景审查;定期教育、培训和考核;

    • 数据境内留存:境内收集产生的境内存储;如需向境外提供需评估;对重要系统和数据库进行容灾备份;

      • 出境范围:50万人+、1000G+、7大领域
    • 应急预案机制:制定网络安全事件应急预案,并定期进行演练;

    • 安全采购措施:有关部门审查+提供者保密协议

      • 审查目标:提高网络安全产品和服务安全可控水平,防范网络安全风险,维护国家安全
      • 审查对象:关系国家安全的网络和信息系统采购的重要网络产品和服务
      • 审查方法:社会监督,实验室,现场,在线,背调,供应链
      • 审查结果:黑白名单
      • 审查内容:自身风险,被控制风险;关键部件生产测试交付技术支持供应链风险;非法收集数据风险;利用用户依赖损害用户利益风险;
    • 风险评估机制:每年检测评估并报送

    4.4 网络安全风险评估制度

    • 制定预案:建立网络安全风险评估和应急工作机制,制定网络安全事件应急预案,定期演练

    • 信息公开:按规定开展网络安全认证、检测、风险评估等活动,向社会发布漏洞、病毒、攻击、侵入等信息

    • 每年评估:对网络安全性和可能存在的风险每年评估一次,并将报告和改进措施报送相关部门

    • 分级标准:危害程度+影响范围

    4.6 网络安全事件应急预案制度

    • 发生前:

      • 制定应急预案,建立风险评估和应急工作机制。定期演练;
      • 及时处置,降低风险。漏洞、病毒、攻击、侵入等;
      • 安全事件分级:危害程度+影响范围。不同级别指定相应的应急措施
    • 可能发生时:

      • 各部门及时收集报告信息,加强风险检测
      • 对风险信息进行评估,分析可能性、危害程度、影响范围
      • 向社会发布风险预警,防范措施
    • 发生时:

      • 立即启动应急预案,调查+评估,采取措施消除安全隐患,及时公布警示信息
      • 可以参照《中华人民共和国突发事件应对法》、《中华人民共和国安全生产法》
      • 经国务院决定或者批准,可以在特定区域对网络通信采取限制等临时措施。

    4.7 网络安全监测和预警制度

    • 国家建立网络安全监测预警和信息通报制度。加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。
    • 关键信息基础设施安全保护工作的部门建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息。
    • 省级以上人民政府有关部门在监管过程中,发现较大风险或发生安全事件,可以对该网络的运营者进行约谈。

    4.8 用户信息保护制度

    • 实名:办理部分业务时,网络运营者应要求用户提供真实身份信息。

    • 规则:合法、正当、必要的收集,告知并取得同意、公开目的、最小化收集;不得泄露、篡改、销毁收集的个人信息;个人有权要求运营者删除、更正信息;采取措施保障防止信息泄露、毁损、丢失;如发生,立即补救并按规定告知用户和部门;

    • 管理:对用户发布的信息管理,立即停止、消除、防扩散并报告;来源境外的采取措施阻断传播

    • 投诉:建立投诉制度,公开投诉方式,并处理收到的投诉和举报

    • 电诈:电子邮件不得设置恶意程序, 不得包含违法信息。采取措施消除并报告;不得设立违法网站、群组。不得利用网络诈骗、销售违法物品或信息;不得非法获取或向他人提供个人信息。

    • 配合:运营者配合网信和有关部门的依法监督检查

    构建网络安全体系

    五项举措

    一是推动完善网络安全法律法规和制度标准体系,同步完善危险监测处置、数据保护、新技术、新业务安全评估等行业配套政策;

    二是持续强化信息通信行业网络安全的防护能力部署和监督落实;

    三是加大网络环境的治理力度,每年不定期开展网络安全威胁的专项治理行动;

    四是推进信息行业大数据安全的监管能力建设;

    五是推动网络安全产业的发展和人才队伍建设,强化基础支撑的保障能力。

    在这里插入图片描述

    展开全文
  • 安全漏洞的源头是开发,只有当开发人员出了包含安全漏洞的代码,黑客才有可乘之机。因此,如何保障开发出更“安全”的代码,是安全防护工作中最关键的一环。 2004 年,微软提出了 SDL(Security Development ...

    在这里插入图片描述

    安全漏洞的源头是开发,只有当开发人员写出了包含安全漏洞的代码,黑客才有可乘之机。因此,如何保障开发写出更“安全”的代码,是安全防护工作中最关键的一环。

    2004 年,微软提出了 SDL(Security Development Lifecycle,安全开发生命周期)。因为对安全和隐私的考虑贯穿了整个软件的开发进程,SDL 能够帮助开发人员写出更“安全”的代码,在解决安全合规需求的同时,也能减少由安全问题带来的损失。

    和安全标准一样,SDL 本质上是一个宏观指导性质的框架。但是,它确实成为了很多公司建设安全开发体系的参照标准。各个公司依据微软的 SDL 标准,结合自身的实际情况,衍生出了适合公司自身发展的 SDL。今天,我们就一起来学习,到底什么是 SDL,以及 SDL 是如何让开发写出更安全的代码的。

    SDL 中的基础概念

    我们先来看一个软件开发中的经典概念:软件开发生命周期 DLC(Software Development Life Cycle)(这个概念的英文缩写种类比较多,为了和 SDL 区分,我们用 DLC 代表软件开发生命周期)。SDL 是以软件开发生命周期为基础发展成的安全框架,所以,了解 DLC 能够帮助我们更好地认识 SDL。

    DLC 将软件开发过程分为 5 个阶段:需求分析、设计、开发、测试和部署。DLC 对5 个阶段的具体描述,都是以业务功能为核心进行展开的,并没有涵盖安全的工作。这显然不安全。

    而且我们都知道,安全问题对公司的威胁是客观存在的。因此,很多公司将安全纳入到测试的工作中。但是,这种做法会导致两个问题:第一,安全问题要等到软件开发完成后才能发现。这个时候,因为一个安全隐患(不是 BUG),让开发人员重启开发流程,推动上会遇到较大的阻力;第二,只能关注到最终完成的软件,往往会导致安全人员因为对业务了解不足,漏过一些安全隐患。这些问题的出现,让业内亟需一个能够更好地满足安全需求的软件开发流程,SDL 也就应运而生了。

    什么是 SDL?

    SDL 的出现不是为了颠覆传统的 DLC 框架,而是希望在 DLC 中加入足够清晰的安全需求,以此来为软件开发的过程提供完整的安全防护。SDL 的标准执行流程有 7 个步骤:安全培训、需求分析、设计、开发、测试、部署和响应。流程如下图:
    在这里插入图片描述

    接下来,我们就一起来看一下,这些步骤中都包含哪些安全工作。

    1. 培训

    在 SDL 中,安全培训是第一步。之所以会这么设计,就是因为很多公司都对安全人员给予了过高的期望,认为他们能够解决一切的安全问题,而忽略了对开发、测试、运维等人员的安全意识培训。这就导致安全人员一直处于一个“救火”的状态,无法从根本上杜绝安全问题的产生。

    因此,SDL 中明确提出:开发、测试、运维和产品经理每年至少进行一次安全培训。培训的内容包括安全概念和框架、威胁评估、Web 安全、安全测试以及隐私保护等。

    1. 需求分析

    SDL 要求在需求分析的过程中,我们必须把安全防护的需求考虑进来。在需求分析阶段,安全人员提出的防护需求主要包括三个方面。

    安全标准:为软件制定对应的安全标准。比如,需要对敏感数据进行加密存储、需要进行二次认证等。
    安全指标:定义软件在上线时需要满足的安全指标。比如,在上线时,软件必须经过安全测试,且不允许存在任何高危漏洞。
    风险点评估:安全人员会对整体需求进行评估,找出需要对安全性重点关注的部分,也就是风险点。比如某个需求会使用到用户的隐私数据,那么风险点就是这些隐私数据。
    这三个方面的安全需求,能够为软件开发划定最低的安全保障,也能够时刻提醒软件开发环节的各个人员保持对安全的关注。

    1. 设计

    对需求进行分析整理之后,我们就需要对软件的功能和架构进行设计了。那我们都需要设计些什么呢?其实就是为后续的开发、测试和部署环节制定响应的方案和计划。针对上面整理出的三个方面的安全需求,我们也需要在设计环节中,给出具体的实现方案。

    为安全标准确定具体的实施方案。比如,对敏感数据做加密存储,那么,具体的加密算法是什么,密钥怎么生成和存储,都需要在设计阶段确定方案细节。
    安全指标的响应方案则是在软件开发方案中,尽可能地考虑安全问题,降低可能出现风险的概率。比如,依据最小权限原则,明确软件每个用户和角色能够进行的操作。或者确定审计需求,明确各个阶段需要记录的日志及时发现攻击行为。
    对于需求阶段定义的风险点进行完整的风险评估。依据识别数据、攻击和漏洞的方式,明确需要采取的安全防护机制,提升这些关键风险点的安全性。
    在设计的过程中,我们需要对安全和开发成本进行平衡考量,使得最终的安全设计方案能够被所有项目人员认可。

    1. 开发

    在开发阶段,安全人员的工作则是尽可能地避免开发人员的代码出现安全问题。那究竟应该怎么做呢?其实,我们可以通过限制工具和方法、定期审查代码来实现。

    首先,我们可以限制开发人员使用的工具和方法。比如:为了避免插件漏洞,我们可以只允许开发人员使用通过我们验证的插件和工具;为了避免 SQL 注入漏洞的出现,我们可以限制开发人员使用字符串拼接的方式执行 SQL 等。

    其次,我们也需要对开发人员产出的代码进行定期的安全审查,通过人工或者工具分析,发现一些没有得到限制的安全漏洞。比如,没有对用户的输入进行验证等。

    1. 测试

    在测试阶段,测试人员会对软件的功能进行测试,安全人员需要对软件的安全性进行测试。测试的内容主要包括两个方面。

    一方面,我们需要评估软件是否符合当初的安全设计方案,是否存在不一致的地方。有的时候,虽然我们在设计的时候考虑了最小权限原则,但是在实际开发的过程中,也可能由于开发人员的理解偏差或者 BUG,导致权限滥用的出现。因此,在测试阶段我们需要依据当初的安全设计方案,一项一项去确认是否符合要求。

    另一方面,我们要进行动态的安全测试。动态测试的方法有两种,执行漏洞扫描和进行模糊测试。漏洞扫描很好理解,我们可以通过向软件发起一些测试性的攻击脚本,来验证是否存在漏洞。模糊测试就是不断向软件发起随机或者异常的请求,然后看软件是否出现报错等情况,以此来检测可能存在的漏洞。

    1. 部署

    在测试完成之后,软件就可以准备部署上线了。

    到这一步,可以说安全人员已经把安全漏洞出现的可能性降到最低了。但是,我经常说“没有 100% 的安全,安全人员需要随时为可能发生的安全事件做好防护准备”,所以,在软件上线前,我们需要做好安全预案。

    我来举个例子。一旦出现数据泄露事件,运维人员必须第一时间对数据库进行隔离,开发人员需要下线软件相关功能,产品人员需要做好用户的安抚工作,安全人员需要立即对相关日志进行保存,然后分析事件产生的原因。这就是一个安全预案的基本框架,但是每一步的具体操作,还需要我们根据实际情况来细化。

    预案准备完成之后,我们还需要再一次进行安全确认工作。这个过程主要是来确定,软件的整个开发流程是否有严格按照既定的 SDL 流程进行,以及最终的软件是否满足我们开始提出的三个安全需求。

    在各项事情都确认完毕之后,我们就需要对整个项目进行归档了。归档之后,包括代码、需求列表、设计方案和应急预案在内的所有的内容都不允许改动。

    完成了安全预案、安全确认和归档之后,我们就可以进行软件的最终部署上线了。

    1. 响应

    软件上线之后,安全人员所需要做的,就是及时响应和处理安全事件。这就需要用到我们在部署阶段制定的安全预案了,为了执行这个安全预案,我们需要成立安全应急响应小组。这个小组的工作就是对安全事件以及外界的漏洞情报进行监控,一旦发现安全事件立即对事件进行评估,决定需要启动的安全预案。通过安全应急响应小组,我们可以保持对线上软件安全的时刻监控,保障软件的安全和稳定。

    现在,相信你已经能够理解 SDL 是如何从根源上解决安全问题的了。我来简单总结一下:SDL 通过安全培训来解决人的问题,然后在需求和设计阶段提出安全需求,在开发和测试阶段发现安全漏洞,最终在部署和响应阶段处理安全问题。

    如何推动 SDL 落地?

    尽管 SDL 能够从根本上解决安全问题,但是 SDL 的落地却依然存在较大挑战。最主要的原因就在于,SDL 更像一个规章制度,它必须获得开发人员的认可,而大部分的开发人员很排斥安全制度。

    尽管如此,为了提升公司的整体安全性,我们要尽力推动它落地。那究竟该怎么做呢?我们可以从三方面入手,降低推动 SDL 落地的难度。

    1. 我们要基于现有的制度拓展 SDL。

    如果公司已经比较成功地实施了 DLC,那 SDL 的成功落地就已经实现一半了。因为这说明,开发人员已经在一定程度上认可或者接受了这种制度化,我们只需要在此基础上再加入一部分安全内容,就能实现 SDL 的落地了。这对开发人员的影响不大,也就更容易接受。

    因此,我个人建议不要从零开始强推 SDL,应该循序渐进,先定义好普通软件开发的制度,再加入安全元素。

    1. 我们在落地 SDL 的时候要灵活变通,不要生搬硬套。

    SDL 的执行流程非常厚重,如果我们严格按照 SDL 的标准流程执行,在软件开发的每个步骤中加入一定的安全工作,这无论对谁都是不小的负担。所以,我们要根据公司的实际情况灵活变通。

    变通的方法有很多,实现方式上的变通是最常见的一种。我来说几个常见的例子。

    将安全培训加入到公司定期举办的内部技术交流分享会中。这样一来,既不会因为强制培训的要求引发开发人员的不满,又能提升培训的效果。
    在制定安全方案的时候,将安全扫描加入到开发提交代码、检测代码质量的过程中,这样就能避免开发人员更改开发流程。
    总之,实现方式上的变通就是将 SDL 的各个环节按照开发人员最认可的形式,进行灵活的设计和运转,提升 SDL 的落地效率。

    1. 在 SDL 的覆盖面上,我们也可以有所取舍。

    每个公司都有大大小小的多个业务线,让每个业务线都严格遵守这个 SDL 流程,是很难实现的。因此,对于一些量级小、敏感数据少的业务,我们可以适当降低安全标准。

    以开发设计环节为例,我们可以不需要根据具体业务提出具体的安全需求,而是梳理出一份包含常见的安全设计方法的通用列表(包含认证规范、加密标准等)。然后,直接将这个列表发放到开发人员手上,让他们自评。这样既提升了开发人员的工作效率,又降低了我们的工作量。

    总结

    好了,今天的内容讲完了。我们来一起总结回顾一下,你需要掌握的重点内容。

    SDL 可以从根源上解决安全问题:通过加入安全的角色和职责,SDL 让安全贯穿软件开发的整个生命周期;通过事前的培训和事后的应急响应,SDL 为软件提供了额外的安全防护保障。

    尽管 SDL 非常实用,但是它的落地仍然面临很多问题。为了推动 SDL 落地,我们要基于公司已有的开发流程和机制,灵活部署 SDL。这样我们才能在做出最小改变的情况下,仍然将安全贯穿于软件开发的各个流程之中,提升公司整体的安全性。

    目前,安全仍然是一个比较特殊的工作,并没有纳入到软件开发的必备工作中去,这也是 SDL 在国内成功案例并不多的一个主要原因。但是我相信,正如微软等老牌企业的发展历程一样,随着 IT 行业的不断发展,安全工作会和测试工作一样,逐渐变成一个必备环节。SDL 也会成为各个公司的核心规则制度,被大部分人接受。

    思考题

    最后,我们来看一道思考题。

    SDL 的成功落地需要开发人员的支持和安全人员的高效率工作。你可以思考一下,在 SDL 落地的开发和测试中,有哪些工作是可以通过工具来自动或者半自动化地完成的呢?这些工具的工作原理又是怎么样的呢?

    欢迎留言和我分享你的思考和疑惑,也欢迎你把文章分享给你的朋友。我们下一讲再见!

    下一讲

    业务安全体系:对比基础安全,业务安全有哪些不同?

    展开全文
  • 压缩包内容有:HCNA-Security(华为安全) V2.5 (包含:教程 实验手册 PPT) PPT可以直接上课使用,实验手册的也比较详细
  • 非常感谢举办方让我们学到了新知识,DataCon也是我比较喜欢和推荐的大数据安全比赛,这篇文章2020年10月就进了我的草稿箱,但由于小珞珞刚出生,所以今天才发表,希望对您有所帮助!感恩同行,不负青春。

    这是作者2020年参加清华大学、Coremail、奇安信DataCon举办的比赛,主要是关于钓鱼和异常邮件识别研究。非常感谢举办方让我们学到了新知识,DataCon也是我比较喜欢和推荐的大数据安全比赛,这篇文章2020年10月就进了我的草稿箱,但由于小珞珞刚出生,所以今天才发表,希望对您有所帮助!感恩同行,不负青春。

    在这里插入图片描述

    微步情报局C&C资产进行拓线关联发现 “白象三代”组织在2019年期间用于钓鱼攻击的资产域名:ioa-cstnet.org。该域名在2019年3、4月期间曾被用于伪装成中国科学院计算机网路络信息中心管理员对该所人员发起鱼叉式攻击活动,试图窃取科研人员邮箱账密。钓鱼邮件如下所示,因此鱼叉式钓鱼攻击越来越多,其安全防御也非常重要。

    在这里插入图片描述

    展开全文
  • 这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了微软证书漏洞(CVE-2020-0601),并详细讲解了Windows验证机制、可执行文件...
  • 信息安全第二次培训—命令执行 补档前言正文基础函数及系统命令命令执行漏洞 前言 这次的培训因为种种原因,效果不太好,录屏也没有录上。我本来是想着抽时间重新录一次课,但周内没啥空余时间,因此我就想博客...
  • 提高微服务安全性的11个方法

    千次阅读 多人点赞 2020-12-21 08:41:47
    1.通过设计确保安全 OWASP 2.扫描依赖 3.随处使用HTTPS 安全的GraphQL API 安全的RSocket端点 4.使用身份令牌 授权服务器:多对一还是一对一? 在JWT上使用PASETO令牌 5.加密和保护密钥 6.通过交付流水线...
  • 网络安全类学习资源

    千次阅读 2020-11-20 21:41:12
    目录分类 媒体社区类 安全公司类 应急响应类 安全团队类 高校社团类 ...i春秋 :- 专业的网络安全、信息安全、白帽子技术的培训平台及学习社区,78万安全用户的精准推荐。 合天智汇 :- 为广大信息安.
  • 4.1、网络安全体系 4.1.1、网络安全体系特征: 整体性:人机物一体化 协同性:各安全机制相互协作 过程性:覆盖保护对象全生命周期 ... *特性:主体只能向上,不能向下。 保证信息流只向上流动,用于防止
  • 第4章 网络安全体系与网络安全模型

    千次阅读 2021-09-05 19:58:24
    第4章 网络安全体系与网络安全模型第4章 网络安全体系与网络安全模型1. 网络安全体系概述1.1 概念1.2 特征1.3 用途2. 网络安全体系相关模型[2.1 BLP机密性模型]...
  • web安全培训

    千次阅读 2013-07-23 09:28:10
    WEB安全培训 网络已经全面融入到我们的工作和生活中, 带来的巨大的变革,但同时也是一把双刃剑, 在带给我们便利的同时也存在巨大的威胁。 WEB系统面临各方面的风险  1、WEB应用软件,如apache,tomcat,linux,...
  • 数据安全分类分级剖析

    千次阅读 2021-09-15 00:04:46
    数据分类分级对于数据的安全管理至关重要,安全分类分级是一个“硬核课题”,从数据治理开始,除了标准化和价值应用,重要的课题就是质量+安全安全是底线,是价值应用的前提和基础。数据分类可以为数据资产结构化...
  • 程序员内部培训与个人发展杂谈

    千次阅读 多人点赞 2017-07-18 17:16:17
    前言 文中的培训均指代内部技术培训 本文是对《如何优化程序员的...培训的发展过程培训内容是技术知识,要了解培训的发展,首先要知道技术的发展。技术从无到有再到成为热门,相关的知识也需要不断积累的过程,这个过
  • 物联网安全导论

    千次阅读 2022-04-18 08:55:41
    本书详细介绍了物联网安全技术的基础理论和最新主流前沿技术,全书共分为6部分:物联网安全概述、物联网感知识别层安全、物联网网络构建层安全、物联网管理服务层安全、物联网综合应用层安全、物联网安全标准和安全...
  • 2019年度优秀安全内容合集

    万次阅读 2020-01-06 13:28:23
    2019信息源与信息类型占比微信公众号推荐昵称_英语weixin_no标题网址安全祖师爷PowerShell渗透–帝国https://mp.weixin.qq.com/s/giBR-rn...
  • 信息安全风险评估

    千次阅读 2021-01-11 15:25:46
    漏洞扫描内容 网络设备 版本漏洞,包括但不限于iOS存在的漏洞,涉及包括所有在线网络设备及安全设备。 开放服务,包括但不限于路由器开放的web管理界面、其他管理方式等。 空弱口令,例如空/弱telnet口令、snmp...
  • 服务器是IT基础设施的关键,但是网络攻击每天都在发生。IT Governance报告显示,仅在2020年11月就有586,771,602条泄露记录。...而当攻击者绕过安全防线发起攻击时,往往都有行为、进程的足迹可以溯源,有.
  • 网络安全—攻防

    千次阅读 2022-04-25 18:55:02
    具有实际应用安全落地经验,包括SDL安全流程建设,安全培训,威胁建模,威胁分析,代码审计,渗透测试,应用加固等。 熟悉PHP/Python/Java/ASP.NET等编程语言中至少一种,能借助安全工具独立完成源码审计工作; ...
  • 网络安全专业名词解释

    千次阅读 2022-03-04 16:02:18
    Burp Suite 是一款信息安全从业人员必备的集成型的渗透测试工具,它采用自动测试和半自动测试的方式,通过拦截HTTP/HTTPS的Web数据包,充当浏览器和相关应用程序的中间人,进行拦截、修改、重放数据包进行测试,是...
  • 信息安全建设三部曲

    千次阅读 多人点赞 2018-03-20 17:54:15
    从那些刷爆朋友圈的事故说起随着社会、科技等的快速发展,信息、数据逐渐凸显重要位置,并且一跃成为企业重要的核心资产。信息化、数据化不断推动企业提高生产和运行...如何保障信息和数据的安全,也将逐渐成为企业...
  • 文章目录一)信息安全概述(了解即可,考察较少)1.1 信息与信息安全1.1.1信息1.1.2 信息技术1.1.3 信息安全1.1.4 信息系统安全1.2 信息安全威胁1.3 信息安全发展阶段与形式1.4 信息安全保障1.4.1 信息安全保障含义...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 35,851
精华内容 14,340
关键字:

安全培训内容怎么写