國內(nèi)第二代防火墻標(biāo)準(zhǔn)發(fā)布 引領(lǐng)安全防護(hù)新潮流

責(zé)任編輯:editor005

2014-10-15 17:50:26

摘自:參考消息網(wǎng)

隨著網(wǎng)絡(luò)應(yīng)用的爆炸式發(fā)展和業(yè)務(wù)與互聯(lián)網(wǎng)發(fā)生緊密聯(lián)系,主要工作在網(wǎng)絡(luò)層和傳輸層的傳統(tǒng)防火墻,已無法對應(yīng)用層進(jìn)行很好地安全管控。標(biāo)準(zhǔn)對于Web攻擊防護(hù)和信息泄露防護(hù)功能要求的添加,充分考慮了國內(nèi)用戶的業(yè)務(wù)安全需求和我國的網(wǎng)絡(luò)安全形勢。

隨著網(wǎng)絡(luò)應(yīng)用的爆炸式發(fā)展和業(yè)務(wù)與互聯(lián)網(wǎng)發(fā)生緊密聯(lián)系,主要工作在網(wǎng)絡(luò)層和傳輸層的傳統(tǒng)防火墻,已無法對應(yīng)用層進(jìn)行很好地安全管控。在此背景下,國際著名IT咨詢機(jī)構(gòu)Gartner于2009年提出“下一代防火墻”的概念,以應(yīng)對當(dāng)前與未來新一代的網(wǎng)絡(luò)安全威脅。

下一代防火墻的普及將成為必然

經(jīng)過5年的發(fā)展,下一代防火墻漸漸為人們所熟知,面向應(yīng)用層控制、智能、高性能等特點(diǎn)使得下一代防火墻陸續(xù)被應(yīng)用于網(wǎng)絡(luò)中,守護(hù)用戶的業(yè)務(wù)安全。Gartner在相關(guān)報(bào)告中指出,下一代防火墻未來必然會成為安全防護(hù)市場的領(lǐng)軍產(chǎn)品,并認(rèn)為2014年底將有超過60%的企業(yè)用戶會重新采購下一代防火墻,它的普及將成為不可逆轉(zhuǎn)的趨勢。

國內(nèi)缺少相關(guān)的適用標(biāo)準(zhǔn)

面對巨大的潛在市場,國內(nèi)各大安全廠商紛紛推出自己的下一代防火墻產(chǎn)品。盡管Gartner對下一代防火墻進(jìn)行了定義,但由于我國的網(wǎng)絡(luò)安全環(huán)境具備自己的特點(diǎn),目前國內(nèi)尚且缺乏適用于本土環(huán)境的下一代防火墻標(biāo)準(zhǔn)。另外,各家廠商推出的下一代防火墻功能也不盡相同,有的廠家甚至向消費(fèi)者宣稱UTM、IPS也可以劃歸為下一代防火墻,這令消費(fèi)者難以對產(chǎn)品進(jìn)行甄別和選擇,增加了采購難度。

第二代防火墻標(biāo)準(zhǔn)出臺

公安部第三研究所是公安部直屬科研單位,主要負(fù)責(zé)信息網(wǎng)絡(luò)安全、社會公共安全防范技術(shù)等領(lǐng)域的相關(guān)研究,擁有國家反計(jì)算機(jī)入侵和防病毒研究中心、信息網(wǎng)絡(luò)安全公安部重點(diǎn)實(shí)驗(yàn)室等國家級專業(yè)技術(shù)實(shí)驗(yàn)室,是國內(nèi)權(quán)威的網(wǎng)絡(luò)安全研究機(jī)構(gòu),同時也是《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證》的測試機(jī)構(gòu),防火墻產(chǎn)品通過該所的相關(guān)測試后,才允許在市場上進(jìn)行出售。

為規(guī)范國內(nèi)防火墻產(chǎn)品市場,同時響應(yīng)習(xí)總書記提出的網(wǎng)絡(luò)安全和信息化戰(zhàn)略,在公安部科技信息化局的授權(quán)下,公安部第三研究所秉承著公平、公正、公開的原則,向社會廣泛征集意見,并邀請了深信服、網(wǎng)御星云等4家國內(nèi)優(yōu)秀的安全廠商參與討論,歷時6個月,制定出了適用于國內(nèi)網(wǎng)絡(luò)環(huán)境的第二代防火墻標(biāo)準(zhǔn),該標(biāo)準(zhǔn)已于2014 年7月24日正式發(fā)布,9月1日已開始實(shí)施。

  解讀第二代防火墻標(biāo)準(zhǔn)

此次的GA/T1177-2014《信息安全技術(shù) 第二代防火墻安全技術(shù)要求》(簡稱“新標(biāo)準(zhǔn)”)將國際通用說法“下一代防火墻”更名為“第二代防火墻”,用于與“防火墻”進(jìn)行區(qū)分。標(biāo)準(zhǔn)從安全功能、安全保證、環(huán)境適應(yīng)性和性能四個方面,對第二代防火墻提出了新的要求,應(yīng)用層控制、Web攻擊防護(hù)、信息泄漏防護(hù)、惡意代碼防護(hù)和入侵防御是此次定義的第二代防火墻的幾大功能看點(diǎn)。

(一)新增應(yīng)用層控制功能

筆者從參與此次標(biāo)準(zhǔn)制定的專家處了解到,新標(biāo)準(zhǔn)依據(jù)安全功能強(qiáng)弱和安全保證要求將安全等級劃分為基本級和增強(qiáng)級,保留了GB/T20281-2006《信息安全技術(shù) 防火墻技術(shù)要求和測試評價方法》(簡稱“舊標(biāo)準(zhǔn)”)中關(guān)于傳統(tǒng)防火墻在網(wǎng)絡(luò)層的控制要求,如包過濾、狀態(tài)檢測、NAT等功能,增加了基于應(yīng)用層控制的功能要求,主要考察被測產(chǎn)品在應(yīng)用層面對于細(xì)分應(yīng)用類型和協(xié)議的識別控制能力,以及數(shù)據(jù)包深度內(nèi)容檢測方面的能力。

(二)入侵防御、惡意代碼防護(hù)與國際接軌

經(jīng)過和編寫委員會的專家進(jìn)行溝通,筆者得知在應(yīng)用識別的基礎(chǔ)上,新標(biāo)準(zhǔn)在應(yīng)用層控制中加入了入侵防御和惡意代碼防護(hù)功能,要求第二代防火墻能夠檢測并抵御操作系統(tǒng)類、文件類、服務(wù)器類等漏洞攻擊,支持蠕蟲病毒、后門木馬等惡意代碼的檢測。這和Gartner提出的下一代防火墻所需具備的功能一致,標(biāo)志著我國的第二代防火墻標(biāo)準(zhǔn)是與國際接軌的。

(三)Web攻擊防護(hù)、信息泄露防護(hù)符合用戶業(yè)務(wù)安全需求

在采訪中,筆者還發(fā)現(xiàn)新標(biāo)準(zhǔn)對Web攻擊防護(hù)、信息泄漏防護(hù)同樣做出了要求,“第二代防火墻應(yīng)具備WEB攻擊防護(hù)的能力,支持SQL注入攻擊檢測與防護(hù),支持XSS攻擊檢測與防護(hù);第二代防火墻應(yīng)具備對流出的信息流進(jìn)行檢測,防止敏感信息泄露”。

隨著Web2.0時代的到來,用戶的許多業(yè)務(wù)均為Web應(yīng)用。近年來針對Web應(yīng)用的安全事件層出不窮,黑客不再是為炫耀個人技能而進(jìn)行互聯(lián)網(wǎng)攻擊,更是為竊取和破壞敏感信息獲取灰色產(chǎn)業(yè)收益。標(biāo)準(zhǔn)對于Web攻擊防護(hù)和信息泄露防護(hù)功能要求的添加,充分考慮了國內(nèi)用戶的業(yè)務(wù)安全需求和我國的網(wǎng)絡(luò)安全形勢。

標(biāo)準(zhǔn)發(fā)布對用戶的指導(dǎo)性意義

編寫委員會的專家還向我們透露,GA/T1177-2014《信息安全技術(shù) 第二代防火墻安全技術(shù)要求》是我國首部關(guān)于第二代防火墻的標(biāo)準(zhǔn),由于其內(nèi)容與國際接軌,并全面考慮了國內(nèi)用戶對第二代防火墻的安全防護(hù)需求,它能夠?yàn)橛脩籼峁┲笇?dǎo)性的選購建議,幫助國內(nèi)各行業(yè)用戶選擇滿足自身業(yè)務(wù)安全需求的第二代防火墻,未來將有可能成為各行業(yè)的共同標(biāo)準(zhǔn),這對于規(guī)范我國的網(wǎng)絡(luò)安全防護(hù)無疑具有重大意義。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號