搜索中心

2023年12月15日，Apache官方发布安全通告，披露了Dubbo存在反序列化漏洞，漏洞编号CVE-2023-29234，远程攻击者可利用该漏洞执行任意代码。腾讯安全验证服务（BAS）第一时间支持了对该漏洞的验证。

为了衡量漏洞管理的成效，漏洞管理产品需要具备一种机制，能够实时验证被防护系统的安全状态，管控过程的进展，并将此进展与漏洞管理活动进行反馈、互动和闭环。

为了衡量漏洞管理的成效，漏洞管理产品需要具备一种机制，能够实时验证被防护系统的安全状态，管控过程的进展，并将此进展与漏洞管理活动进行反馈、互动和闭环。

预览

预览

预览

预览

114人阅读

2024-07-25

金融行业网络安全的大力建设和快速发展得益于国家和行业相关法律、行政法规的陆续施行，以及数字化转型工作的持续深入开展。

瞎琢磨，总结下安全架构的搬砖套路。

宋富学术报告

🔥🔥🔥

新一代信息技术革命浪潮下，我们又应如何加速创新技术孵化，缩小与美国网络安全产业界间的技术差距？本文将通过观察分析DARPA的一系列探索实践，分享我们的前沿思考。

预览

预览

预览

预览

76人阅读

2024-07-18

零信任是基于“持续验证、永不信任”思想，用以解决“内部威胁”造成的泄密问题的一种架构和方法

预览

预览

预览

预览

64人阅读

2024-07-04

CrowdStrike的首席安全官Shawn Henry表示：“我们多年来在点滴中建立的信心在几个小时内就消失得无影无踪，这是一次沉重的打击。”

预览

预览

预览

预览

42人阅读

2024-07-26

面对资产问题的不确定，更需要对确定的防护进行验证！\x0d\x0a通过对边界侧安全防护效力进行全面的验证评估！

预览

预览

预览

预览

177人阅读

2024-07-23

近两周，云上攻击保持高度的活跃状态，Confluence、GitLab相关漏洞热度持续霸占榜单，”Jenkins /scriptText 接口存在弱口令/未授权导致远程代码执行漏洞“和 ”Apache Log4j 输入验证错误漏洞“新上热榜

根据Cloudflare 发布的 2024 年应用安全报告，攻击者正越发快速地利用被公开的漏洞，甚至仅在公开后 22 分钟就将可用的概念验证（PoC）漏洞武器化。

预览

预览

预览

预览

60人阅读

2024-07-18

保持对一切的默认不信任（也就是默认怀疑一切），并做好持续验证的工作。

在最近的一次安全漏洞事件处理中，需要验证某上市公司网站的一个安全漏洞。但由于漏洞信息的不完整，需要人工基于报告内容进行二次漏洞定位、复现。在这个过程中，我们发现存在的一个典型的关于软件外包的供应链安全问题。

近两周，云上攻击保持高度的活跃状态，Confluence、GitLab相关漏洞热度持续霸占榜单，”Jenkins /scriptText 接口存在弱口令/未授权导致远程代码执行漏洞“和 ”Apache Log4j 输入验证错误漏洞“新上热榜

Sel4是l4微内核家族中的一员，se代表security的意思，它采用了形式化验证的手段确保了源码的安全性.

厂商

极验验证

122

0

极验深耕互联网交互安全领域，率先使用AI技术进行人机识别，首创行为式验证，开创验证新时代。目前极验已为全球32万+企业提供交互安全解决方案。

产品

四叶草 WAF

四叶草安全

103

0

四叶草安全Web应用动态防护系统，一款集用户行为分析、动态加密验证、攻击检测防护及API攻击防护于一体的网络安全解决方案。通过多维度风险评估、纵深防御策略和实时威胁识别，为企业提供全面、高效的网络安全保护。

产品

安全专家服务

安芯网盾

107

0

安芯网盾拥有强大的安全专家服务团队，资深信息安全专家拥有超过10年的安全服务经验，安芯网盾为客户提供的安全服务包括：风险评估、安全运维、专家咨询、应急响应、渗透测试、红队测试等。

产品

安全清场SDK

爱加密

61

0

爱加密提供的环境清场SDK是一款专业的移动应用安全防护工具，具备强大的运行环境检测能力，能有效识别并防御模拟器、Root、注入攻击、调试攻击等多种安全威胁，保护应用运行及支付环境安全，同时防止应用被二次打包。适用于金融、政企、教育等多个行业领域。

产品

应用安全检测分析

启明星辰

71

0

启明星辰的移动应用安全检测服务，通过自动化与人工检测相结合，全面覆盖风险点，快速发现并解决APP安全问题，提升应用安全性，满足法规要求，操作简便，性价比高。

产品

云服务器密码机

启明星辰

84

0

启明星辰的云服务器密码机是一款符合国家技术规范的硬件密码产品，专为云上多租户设计，提供数据加密、完整性保护和签名验证等安全服务。支持多种密码算法，具备强大的网络攻击防护能力，确保云业务系统的安全性和稳定性。广泛应用于政务云、行业云等云计算场景。

产品

靖云甲 - 应用安全防护系统

边界无限

68

0

靖云甲·应用程序自我防护系统利用RASP+Agent双核心技术加持，基于Agent注入原理实现应用运行时行为感知能力，精准捕获敏感操作。

厂商

博智安全

58

0

博智安全专注以网络靶场和工业互联网安全细分领域为核心方向。

产品

密码应用安全

启明星辰

68

0

启明星辰的密码服务管理平台提供一站式密码基础设施服务，支持数据加解密、签名验签等，具备异构适配、按需服务和快速集成能力，适用于政府、金融等行业的密码应用安全防护，满足云计算及非云环境下的密评建设合规要求。

产品

零域 - 微隔离安全平台

青藤云安全

80

0

青藤零域由Agent、计算引擎和控制台组成，支持公有云、私有云、混合云、物理机、虚拟机、容器等各种业务环境，异构环境对用户完全透明。

产品

网络攻防逻辑推演服务

安天

93

0

网络攻防逻辑推演服务是通过采取逻辑推演的方法，发现和验证用户网络中存在的安全风险和问题，并从攻防角度提供网络安全防御建议。

产品

行为验

极验验证

67

0

极验行为验，全新第四代行为式验证码，以变应万变，安全能力、体验配置和验证模式全面升级，以更有趣的验证形式为企业对抗黑产保驾护航

预览

预览

预览

产品

服务器密码机

启明星辰

68

0

启明星辰服务器密码机是一款提供数据加密、签名验证和完整性保护的高效安全产品。它具备先进的密钥管理功能，支持密钥生命周期管理，确保数据安全。产品符合国家密码管理局规范，采用物理噪声源芯片生成真随机数，保障密钥管理安全。适用于多种业务系统，通过SDK套件实现数据保护操作。

产品

深信服 WAF

深信服

373

0

深信服Web应用防火墙 WAF 可贴合网站、业务系统、API接口等业务应用特点进行安全防护，通过主动验证的方式过滤大部分自动化机器人Bot流量，消除大多数泛在攻击，提升防扫描、防自动化攻击等防护效果，并能有效缓解当前业务所面临的业务安全问题，如数据爬取、黄牛抢票、恶意刷票等。

产品

灵洞 - 网络资产攻击面管理平台

华云安

145

0

实现完善的攻击面管理(ASM)，针对高价值风险进，行精准处置。提供云上、云下全视角的数字资产盘点、暴露面检测、攻击面验证和实时的响应处置，将精力聚焦在真正的安全风险上。

产品

魔方漏洞管理系统CVM

魔方安全

141

0

智能融合全网资产、漏洞上游数据，精准构建风险优先级模型，聚焦关键威胁，量化运营指标，实现漏洞从发现、评估、修复、验证、改进的全流程闭环管理，助力安全更有温度地落地漏洞运营管理体系。

产品

签名验签服务器

启明星辰

90

0

启明星辰的签名验签服务器是一款集密钥存储、高速密码运算和证书管理于一体的安全产品。它支持身份验证、交易凭证检验，具备防抵赖功能，并提供API服务接口，符合国家密码管理局规范，适用于多种验证策略，保障业务系统的安全性和可靠性。

产品

春秋云境网络靶场平台

永信至诚

400

0

春秋云境网络靶场平台，由永信至诚研发，集成了平行仿真技术，支持赛事演练、人才培养、智慧城市安全测试等多场景应用。该平台以高仿真、高柔性、全场景特点，荣获北京市科学技术奖一等奖，为网络安全提供实战化训练与测试验证平台。

产品

IBM Trusteer

IBM

49

0

跨所有渠道验证客户身份、检测欺诈行为并防范恶意用户

厂商

知其安

85

0

知其安作为国内安全有效性验证的开创者和领军者，成立于2021年，核心团队技术过硬、创新务实，坚持通过自主创新，努力提升公司核心竞争力。

产品

UniNAC网络准入控制系统

联软科技

80

0

联软科技的UniNAC网络准入控制系统是端点安全领域的专业解决方案，以其技术领先、服务丰富和应用广泛而著称。UniNAC通过与网络设备联动，实现网络准入控制，支持多种网络环境和终端类型，提供自动发现、安全检查、身份认证等功能，确保网络安全性、可靠性和灵活性。适用于金融、政府、医疗等行业，帮助机构解决内网安全管理问题，实现资产状态呈现和安全策略统一管理。

产品

启明虚拟 WAF

启明星辰

89

0

启明星辰的天清Web应用安全网关是一款先进的虚拟WAF产品，专为Web安全防护和应用交付设计。它通过蜜罐检测、API防护、恶意注册攻击防护等功能，有效防御Web应用层攻击，优化Web访问，确保业务应用的安全性和可靠性。适用于多种行业，满足合规性要求，保护Web资产免受攻击和篡改。

产品

天清 WAF

启明星辰

120

0

启明星辰的天清Web应用安全网关是一款新一代Web应用防火墙（WAF），具备高精准防护、低漏报特点，全面拦截异常攻击，优化Web应用访问，提升可用性、性能和安全性，确保业务快速、安全、可靠交付。

厂商

天空卫士

116

0

天空卫士致力于发展以人和数据为核心的新一代数据安全技术，融合统一内容安全技术（UCS）和内部威胁管理技术（ITM）为基础，创立了内部威胁防护技术体系（ITP）

安全开发生命周期（Security Development Lifecycle）：这是一种从安全角度指导软件开发过程的管理模式，由微软公司提出并实践。SDL 将软件安全考虑集成在软件开发的每一个阶段，包括需求分析、设计、编码、测试和维护。它的核心理念是提前预防安全问题，减少安全漏洞，降低开发成本。Microsoft 的SDL流程包括七个组件，五个核心阶段（要求、设计、实现、验证、发布）和两个支持安全活动（培训和响应），每个阶段都包含强制性检查和批准，以确保满足所有安全和隐私要求以及最佳做法 。

零信任（Zero Trust）是一种安全模型，它基于一个核心原则：在验证用户或设备的身份和权限之前，不应该信任任何试图访问网络或应用程序的实体，无论它们是否位于网络边界内或外。零信任模型强调持续的验证和最小权限访问，以减少安全风险和防止未经授权的访问。

模糊测试（Fuzz Testing），也称为模糊验证或模糊分析，是一种自动化的软件测试技术，用于发现软件中的安全漏洞和错误。这种方法通过自动生成大量随机的、异常的或半异常的输入数据（称为“模糊数据”或“模糊输入”），并将这些数据输入到程序中，观察程序是否能够正确处理这些输入，或者是否会因此产生崩溃、异常行为或其他安全问题。

入侵与攻击模拟（BAS）是一种先进的安全技术，旨在通过自动化的方式持续地模拟对企业资产的多种攻击手段，以验证企业的防御措施的有效性。BAS技术的出现为企业机构提供了持续性的防御态势评估，弥补了渗透测试等跨周期定点评估所提供的有限可视性。

厂商

北方实验室

50

0

北方实验室（沈阳）股份有限公司是一家以网络安全服务为主营业务的信息技术服务提供商，是国家级专精特新“小巨人”企业、国家中小企业公共服务示范平台。

厂商

IBM

66

0

IBM 是全球领先的网络安全解决方案提供商，致力于帮助企业、政府和个人保护其数字资产免受不断演变的网络威胁。

厂商

海云安

54

0

深圳海云安网络安全技术有限公司成立于2015年，是一家专注于AI大模型赋能安全左移的国家级高新技术企业和专精特新企业。

厂商

格尔软件

55

0

格尔软件是中国商用密码领域的骨干企业，是国内较早研制和推出公钥密码基础设施（PKI)产品的厂商，是国家科技支撑计划商用密码基础设施项目的牵头单位公司。

厂商

三未信安

53

0

三未信安是国内主要的密码基础设施提供商，专注于密码关键技术的创新突破和核心产品的研发、销售及服务，为网络信息安全领域提供全面的商用密码产品和解决方案。

安全培训

安全竞赛

安全咨询

安全合规

安全审计

安全大模型

安全左移是软件开发领域中的一种实践，它强调将安全措施和安全考虑提前到软件开发生命周期（SDLC）的早期阶段。这个概念的核心是尽早识别和修复安全问题，以减少风险和降低修复成本。

安全加固是一种通过增强系统、网络、应用程序或设备的安全性来抵御潜在威胁和攻击的做法。这个过程涉及一系列的措施和步骤，目的是减少系统的攻击面，确保只有授权的用户和程序才能访问系统资源。

安全服务在信息安全领域主要指的是为了加强网络信息系统安全性，对抗安全攻击而采取的一系列措施。它的主要内容包括安全机制、安全连接、安全协议和安全策略等，这些措施旨在利用一种或多种安全机制来阻止安全攻击。

厂商

安全狗

141

0

安全狗成立于2013年，致力于提供云安全领域相关产品、服务及解决方案，是国内最早引入云工作负载安全（CWPP）概念，并成功构建相应产品线的专业云安全厂商

托管安全服务（Managed Security Service）是一种服务提供模式，其中外部服务提供商负责管理和执行客户的某些安全功能和流程。MSS提供商通常提供一系列服务，包括但不限于安全监控、安全事件管理、漏洞评估和管理、安全咨询和威胁情报等。MSS的目标是帮助客户提高其安全姿态，同时减少自身需要投入的资源和专业知识。

安全访问服务边缘（Secure Access Service Edge，简称SASE）是一种架构模型，它将网络连接与网络安全功能融合在一起，并通过单个云平台和/或集中策略控制来提供它们。SASE基于云服务创建了一个新的统一企业网络，使组织能够从许多架构层和单点解决方案逐步过渡，提供全平台功能的运营服务，如网络监控和日志记录，以及策略引擎支持。

厂商

亚信安全

273

0

亚信安全是中国网络安全软件领域的领跑者，以"懂网、懂云"的网络安全公司自居。

厂商

四叶草安全

134

0

西安四叶草信息技术有限公司（简称：四叶草安全）是一家实战创新型网络安全企业，由马坤创办于2012年。

厂商

云天安全

56

0

云天安全基于实战化的攻防对抗，以常态化的协同防护为核心，构建网络安全综合防控体系，为政府企事业用户提供体系化的独立第三方网络空间安全运营服务。

厂商

魔方安全

79

0

公司以“随时洞察和有效缓解网络空间风险”为使命, 专注于网络空间资产安全相关的技术研究和产品研发，提供该领域专业的产品及解决方案，包括：外部攻击面管理EASM（SaaS）、网络资产攻击面管理CAASM、漏洞管理CVM、攻击面精细化运营服务、安全攻防服务。

厂商

火绒安全

108

0

火绒安全成立于2011年9月，是一家专注、纯粹的安全公司，致力于在终端安全领域，为用户提供专业的产品和专注的服务，并持续对外赋能反病毒引擎等自主研发技术。

厂商

梆梆安全

130

0

梆梆安全勇担“保护您的软件”使命，始终以客户为中心，通过专业的安全产品和服务为政府、企业、开发者和消费者打造安全稳固可信的网络空间生态环境。

领域说明

网站安全监测

容器安全（Container Security）是指一系列措施和实践，旨在保护容器化应用程序及其运行环境免受安全威胁和漏洞的影响。容器是一种轻量级、可移植的、自给自足的软件运行环境，它可以包含应用程序及其所有依赖项。容器技术，如Docker，以及容器编排工具，如Kubernetes，已经被广泛应用在云计算和微服务架构中。

主机安全（Host Security）指的是一系列措施和技术，用于保护单个计算机系统（主机）免受恶意软件、网络攻击和其他安全威胁的侵害。这些措施涵盖了操作系统、应用程序、用户数据和网络通信等多个层面，目的是确保主机的完整性、可用性和保密性。

工控安全，即工业控制系统（Industrial Control Systems, ICS）的安全，是指保护工业控制系统免受未经授权的访问、破坏、修改、泄露或中断的措施和策略。工业控制系统广泛应用于电力、石油和天然气、化工、交通、制造等多个关键基础设施领域。

厂商

墨菲安全

114

0

墨菲安全提供专业的软件供应链安全管理解决方案，能力包括软件成分分析(SCA)、代码安全检测、开源组件许可证合规管理等，助您打造完备的软件开发安全能力

厂商

青藤云安全

161

0

作为中国云安全整体解决方案领军者，青藤聚焦于关键信息基础设施领域的云安全建设，坚持“技术创新，科技报国”的初心，为数字中国、网络强国事业发展做贡献。

厂商

明焰安全

85

0

广州奇盾信息技术有限公司是一家拥有独立知识产权、立足自主创新的高科技企业，同时也是具有高校科研背景的云原生安全和主机终端安全产品的独立厂商。

厂商

悬镜安全

94

0

悬镜安全以守护中国数字供应链安全为己任，专注于以原创代码疫苗技术为内核，创造性构筑基于下一代积极防御框架的DevSecOps敏捷安全体系，坚守PLG产品创新驱动价值增长的商业理念，持续帮助行业用户高效解决数字化转型过程中面临的未知安全挑战。