以下文章來源于數(shù)說安全，作者ssaq

近日，國內(nèi)權(quán)威安全媒體數(shù)說安全發(fā)布了“中國WEB安全市場全景圖”，盛邦安全憑借突出的技術(shù)能力和豐富的行業(yè)實踐，作為Web應(yīng)用安全掃描典型應(yīng)用場景廠商，入選此次全景圖的Web應(yīng)用防火墻、Web應(yīng)用安全掃描、網(wǎng)站數(shù)據(jù)恢復(fù)&網(wǎng)頁防篡改三大核心領(lǐng)域。

以下為原文內(nèi)容，來源于數(shù)說安全公眾號。

Web安全市場分析

從市場角度來看，過去幾年Web安全市場經(jīng)歷了一段長時期的快速增長，其中驅(qū)動力主要來源于2個方面：一是進(jìn)入web2.0時代后，基于Web環(huán)境的互聯(lián)網(wǎng)應(yīng)用越來越廣泛，針對Web應(yīng)用的攻擊已成為企業(yè)面臨的主要安全問題，客戶基于業(yè)務(wù)/技術(shù)層面的剛性需求加大，二是從2015年國務(wù)院辦公廳開展政府網(wǎng)站普查整改工作開始，針對web應(yīng)用和網(wǎng)站安全的合規(guī)要求有所增強(qiáng)。另外，由于歷史原因，大量早期開發(fā)的web應(yīng)用，都存在不同程度的安全問題，對于這些已在線的web應(yīng)用和網(wǎng)站，也亟待借助外部手段來降低web安全風(fēng)險。

從技術(shù)角度來看，web安全領(lǐng)域其實是由多個產(chǎn)品組合而成的一套整體解決方案，其防護(hù)思路可劃分為三個階段，每個階段對應(yīng)了不同的安全產(chǎn)品，其中事前階段以主動自查形式的安全評估為主，主要采用web安全掃描產(chǎn)品，事中階段以檢測和被動防御為主，主要采用Web應(yīng)用防火墻產(chǎn)品，事后階段以篡改數(shù)據(jù)恢復(fù)為主，主要采用網(wǎng)站數(shù)據(jù)恢復(fù)產(chǎn)品，而網(wǎng)站監(jiān)測類產(chǎn)品可以全程對網(wǎng)站進(jìn)行實時的安全監(jiān)控和預(yù)警，這種以多種產(chǎn)品各司其職、動態(tài)聯(lián)動的方式提高了web安全防護(hù)工作的擴(kuò)展彈性和風(fēng)險呈現(xiàn)能力，因此也成為了市場上主流的web安全解決方案。

隨著云計算的廣泛應(yīng)用和SaaS生態(tài)逐漸成熟，web安全產(chǎn)品在原有硬件的基礎(chǔ)上，又?jǐn)U展了虛擬化和SaaS服務(wù)形態(tài)，許多廠商也相繼推出了云WAF、云漏掃、網(wǎng)站云監(jiān)測等云防御平臺和SaaS類安全服務(wù)，從近一年內(nèi)銷售許可證類別和數(shù)量的變化來看，能夠明顯感覺到一種趨勢，web安全市場正在由硬件產(chǎn)品向軟性服務(wù)過渡，一體化的web安全防護(hù)平臺比盒子類的組合方案更靈活，也更適用于客戶的新場景，因此，未來隨著企業(yè)網(wǎng)站和web應(yīng)用的逐步云化，基于虛擬化和SaaS服務(wù)的web安全產(chǎn)品也勢必會更受到客戶青睞。

產(chǎn)品技術(shù)與標(biāo)準(zhǔn)

web安全領(lǐng)域包含了較多角色的產(chǎn)品，每種產(chǎn)品對應(yīng)了不同的技術(shù)標(biāo)準(zhǔn)，在以下7類產(chǎn)品對應(yīng)的8個標(biāo)準(zhǔn)中（其中Web應(yīng)用防火墻對應(yīng)國標(biāo)/行標(biāo)2個標(biāo)準(zhǔn)），申請web應(yīng)用防火墻、web應(yīng)用安全掃描、網(wǎng)站數(shù)據(jù)恢復(fù)產(chǎn)品的廠商較多，對應(yīng)的產(chǎn)品形態(tài)為傳統(tǒng)硬件盒式類，網(wǎng)站云安全防御標(biāo)準(zhǔn)對應(yīng)的產(chǎn)品形態(tài)為虛擬化和SaaS服務(wù)類，網(wǎng)站內(nèi)容安全檢查和網(wǎng)頁防篡改標(biāo)準(zhǔn)較新，每個標(biāo)準(zhǔn)只有2家廠商申請，而網(wǎng)站安全監(jiān)測產(chǎn)品目前無廠商申請（2019年有1家）。下面請大家具體了解一下吧！

Web應(yīng)用防火墻國家標(biāo)準(zhǔn)于2016年發(fā)布，目前與行標(biāo)并行，國標(biāo)除了在安全功能要求上有所升級以外，與行標(biāo)主要的不同是增加了性能要求，包括HTTP吞吐量、新建和并發(fā)指標(biāo)，目前以該標(biāo)準(zhǔn)進(jìn)行檢測并獲得銷售許可證的廠商有29家，去年同期為10家（詳情見下文中的廠商列表）。

Web應(yīng)用防火墻（行標(biāo)）是2014年發(fā)布的公安行業(yè)標(biāo)準(zhǔn)，在沒有國標(biāo)之前，各廠商均按照此標(biāo)準(zhǔn)申請銷售許可證，目前持證廠商有50家，去年同期為98家（詳情見下文中的廠商列表）。

網(wǎng)站云安全防御產(chǎn)品的技術(shù)標(biāo)準(zhǔn)較新，是2019年發(fā)布的國家標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)是針對網(wǎng)站云安全防護(hù)平臺的技術(shù)評價方法，主要面向以云服務(wù)模式提供網(wǎng)站安全防御的綜合型平臺產(chǎn)品，目前具備銷售許可證的廠商有10家，去年同期為6家（詳情見下文中的廠商列表）。

Web應(yīng)用安全掃描產(chǎn)品評價方法采用公安標(biāo)準(zhǔn)，2013年推出，至今沒有版本更新，由于年代久遠(yuǎn)，證書分級機(jī)制還是以一級/二級/三級劃分（申請過早期防火墻證書的小伙伴應(yīng)該很熟悉），目前該類產(chǎn)品持證廠商有42家，去年同期為54家（詳情見下文中的廠商列表）。

網(wǎng)站內(nèi)容安全檢查產(chǎn)品評價方法采用公安標(biāo)準(zhǔn)，2017年推出，從產(chǎn)品定義上看，屬于自檢型的合規(guī)類產(chǎn)品，主要對自身網(wǎng)站內(nèi)容（包括網(wǎng)頁中的文字、圖片、文檔、音視頻等對象中包含的信息）進(jìn)行監(jiān)測，以及時發(fā)現(xiàn)違規(guī)內(nèi)容，產(chǎn)品為盒式形態(tài)，旁路掛接在網(wǎng)站服務(wù)器前端的核心交換機(jī)一側(cè)，目前該類產(chǎn)品持證廠商只有2家，去年同期無廠商，因為覆蓋面較小，不過多介紹，感興趣的小伙伴可自行翻閱標(biāo)準(zhǔn)學(xué)習(xí)。