近年來,隨著我國互聯(lián)網(wǎng)產(chǎn)業(yè)的不斷發(fā)展,信息安全技術(shù)已經(jīng)成為一個(gè)備受關(guān)注的熱點(diǎn)。從新一屆中央政府領(lǐng)導(dǎo)成立中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組,并由國家主席習(xí)近平親自擔(dān)任組長一職,就可看出當(dāng)前互聯(lián)網(wǎng)安全的嚴(yán)峻形勢和國家對互聯(lián)網(wǎng)信息安全建設(shè)的重視程度。許多用戶也開始檢視自身的安全建設(shè),并陸續(xù)采購最近幾年較為流行的下一代防火墻進(jìn)行安全防護(hù)。但由于目前的下一代防火墻市場缺乏相關(guān)的規(guī)范和管理,各家安全廠商推出的下一代防火墻功能各不相同,令消費(fèi)者難以在眾多品牌中購買到適合自身需求的產(chǎn)品。 因此,在信息安全備受高度關(guān)注但相關(guān)安全產(chǎn)品市場還相對混亂的背景下,公安部順應(yīng)時(shí)勢于2014年7月24日推出了《信息安全技術(shù) 第二代防火墻安全技術(shù)要求》,用于整頓安全產(chǎn)品市場。為此我們走訪了編寫委員會(huì)的專家,了解國內(nèi)首部關(guān)于下一代防火墻的標(biāo)準(zhǔn)究竟對防火墻提出了哪些新的防護(hù)要求。
小修改大作用——解讀第二代防火墻的不同之處
據(jù)標(biāo)準(zhǔn)起草人李煥波專家透露:“GA/T1177-2014《信息安全技術(shù) 第二代防火墻安全技術(shù)要求》(以下簡稱“新標(biāo)準(zhǔn)”)主要依據(jù)安全功能強(qiáng)弱和安全保證要求對等級進(jìn)行劃分,將安全等級分為基本級和增強(qiáng)級。而GB/T20281-2006 《信息安全技術(shù) 防火墻技術(shù)要求和測試評價(jià)方法》(以下簡稱“舊標(biāo)準(zhǔn)”)主要根據(jù)功能強(qiáng)弱、安全強(qiáng)度和保證要求高低將安全等級劃分為三級。”
在安全功能方面,新標(biāo)準(zhǔn)較之舊標(biāo)準(zhǔn)也存在著較大的差異。新標(biāo)準(zhǔn)保留了原有標(biāo)準(zhǔn)中關(guān)于傳統(tǒng)防火墻在網(wǎng)絡(luò)層的控制要求,如包過濾、狀態(tài)檢測、NAT、路由功能以及帶寬和會(huì)話管理等功能,并對舊的分級要求做了一定的整合。
此外,新標(biāo)準(zhǔn)增加了基于應(yīng)用層控制的功能要求,主要考察被測產(chǎn)品在應(yīng)用層面對于細(xì)分應(yīng)用類型和協(xié)議的識(shí)別控制能力,以及數(shù)據(jù)包深度內(nèi)容檢測方面的能力。我們都知道當(dāng)前的互聯(lián)網(wǎng)應(yīng)用豐富多樣,即時(shí)通訊軟件、社交應(yīng)用、P2P流媒體、P2P下載、語音視頻軟件等層出不窮,常用知名端口也不再像以往那般承載單一的應(yīng)用,如何從混雜的數(shù)據(jù)流量中將各種不同類型的應(yīng)用一層一層地進(jìn)行剝離識(shí)別,這是第二代防火墻區(qū)別于傳統(tǒng)防火墻的根本。
第二代防火墻已與國際接軌 承擔(dān)終端安全保護(hù)責(zé)任
在采訪中,通過和編寫委員會(huì)的專家們進(jìn)行深入溝通,記者了解到在應(yīng)用識(shí)別的基礎(chǔ)之上,新標(biāo)準(zhǔn)在應(yīng)用層控制功能要求當(dāng)中還加入了入侵防御和惡意代碼防護(hù)功能。這點(diǎn)和國際著名IT咨詢機(jī)構(gòu)Gartner在2009年發(fā)布的下一代防火墻標(biāo)準(zhǔn)的定義是一致的,標(biāo)志著我國第二代防火墻標(biāo)準(zhǔn)已與國際接軌。
李煥波在采訪中表示:入侵防御做為一類安全產(chǎn)品已經(jīng)在市場上存在很多年了,但隨著互聯(lián)網(wǎng)的發(fā)展、應(yīng)用的豐富和帶寬的不斷提升,傳統(tǒng)入侵防護(hù)產(chǎn)品受限于其功能的單一、應(yīng)用性能處理能力的不足,將會(huì)增加用戶網(wǎng)絡(luò)的單點(diǎn)故障以及投資成本,所以該產(chǎn)品漸漸以模塊化的形式融合到下一代防火墻產(chǎn)品當(dāng)中,也是順應(yīng)了互聯(lián)網(wǎng)的發(fā)展趨勢。
我們發(fā)現(xiàn),新標(biāo)準(zhǔn)增加的惡意代碼防護(hù)功能要求,強(qiáng)調(diào)了第二代防火墻的對由終端惡意程序所形成的僵尸網(wǎng)絡(luò)的檢測和防護(hù)能力。面對木馬后門、蠕蟲病毒,廣告間諜軟件等伴隨著互聯(lián)網(wǎng)高速發(fā)展而滋生的一大批惡意軟件,黑客往往利用終端用戶這一短板作為跳板進(jìn)行可持續(xù)性的攻擊,因此防火墻作為互聯(lián)網(wǎng)出口建設(shè)的重要一環(huán),需要承擔(dān)起保護(hù)終端安全的責(zé)任。
面對日趨嚴(yán)重的Web攻擊防護(hù) 第二代防火墻全面應(yīng)對
互聯(lián)網(wǎng)的發(fā)展也代表了Web技術(shù)的發(fā)展,從Web1.0到Web2.0,從B2C再到現(xiàn)在流行的O2O,Web技術(shù)和我們的生活息息相關(guān)。以Web應(yīng)用為突破口的安全事件層出不窮,黑客們不再僅僅是為了炫耀個(gè)人技能而進(jìn)行互聯(lián)網(wǎng)破壞行為,更是為竊取和破壞敏感信息獲得灰色產(chǎn)業(yè)收益。Web應(yīng)用作為互聯(lián)網(wǎng)時(shí)代的一個(gè)重要交互窗口,自然也容易成為眾矢之的。
記者在采訪中驚喜地發(fā)現(xiàn),此次發(fā)布的新標(biāo)準(zhǔn)對Web攻擊防護(hù)、信息泄漏防護(hù)方面的內(nèi)容做出了功能要求。我們知道,在OWASP所發(fā)布的互聯(lián)網(wǎng)安全威脅TOP10當(dāng)中,首當(dāng)其沖的就是以SQL注入和XSS攻擊為代表的來自Web應(yīng)用層的攻擊和敏感信息泄漏威脅。雖然目前的市場上存在著Web應(yīng)用防火墻產(chǎn)品,但我們認(rèn)為安全防護(hù)應(yīng)該是整體的、至下而上的,能夠從L2鏈路層覆蓋到L7應(yīng)用層,而不是割裂式的安全設(shè)備疊加,疊加部署將使設(shè)備在攻擊檢測的一致性和聯(lián)動(dòng)性方面大打折扣。
經(jīng)過編寫委員會(huì)專家們的共同努力,GA/T1177-2014《信息安全技術(shù) 第二代防火墻安全技術(shù)要求》已于2014年7月24日正式發(fā)布,9月1日開始實(shí)施。標(biāo)準(zhǔn)的制定是在公安部科技信息化局的授權(quán)下,由負(fù)責(zé)編制行業(yè)信息安全規(guī)范的公安第三研究所牽頭,向廣大用戶公開征集意見,并邀請深信服在內(nèi)的5家國內(nèi)優(yōu)秀的安全廠商參與討論完成的,共歷時(shí)17個(gè)月。我們看到新標(biāo)準(zhǔn)中涵蓋的關(guān)于Web攻擊防護(hù)和信息泄漏防護(hù)的要求,這些功能要求的增加充分適應(yīng)了我國的互聯(lián)網(wǎng)發(fā)展環(huán)境,能夠滿足用戶的實(shí)際需求。
再次對編寫委員會(huì)的專家們?yōu)榇烁冻龅呐Ρ硎旧钌畹木匆?,我們?jiān)信,從用戶實(shí)際需求出發(fā)的第二代防火墻標(biāo)準(zhǔn)未來并將成為行業(yè)的共同標(biāo)準(zhǔn),推動(dòng)我國的信息化安全建設(shè)向更好的方向發(fā)展。
以下是編寫委員會(huì)專家成員的名單:鄒春明、俞優(yōu)、宋好好、陸臻、顧健、李煥波、王帆、王剛、段繼平、馮濤、黃濤。