國內(nèi)第二代防火墻標準發(fā)布引領(lǐng)安全防護新潮流
責編:admin |2014-10-16 14:44:34隨著網(wǎng)絡(luò)應用的爆炸式發(fā)展和業(yè)務與互聯(lián)網(wǎng)發(fā)生緊密聯(lián)系,主要工作在網(wǎng)絡(luò)層和傳輸層的傳統(tǒng)防火墻,已無法對應用層進行很好地安全管控。在此背景下,國際著名IT咨詢機構(gòu)Gartner于2009年提出“下一代防火墻[注]”的概念,以應對當前與未來新一代的網(wǎng)絡(luò)安全威脅。
下一代防火墻的普及將成為必然
經(jīng)過5年的發(fā)展,下一代防火墻漸漸為人們所熟知,面向應用層控制、智能、高性能等特點使得下一代防火墻陸續(xù)被應用于網(wǎng)絡(luò)中,守護用戶的業(yè)務安全。Gartner在相關(guān)報告中指出,下一代防火墻未來必然會成為安全防護市場的領(lǐng)軍產(chǎn)品,并認為2014年底將有超過60%的企業(yè)用戶會重新采購下一代防火墻,它的普及將成為不可逆轉(zhuǎn)的趨勢。
國內(nèi)缺少相關(guān)的適用標準
面對巨大的潛在市場,國內(nèi)各大安全廠商紛紛推出自己的下一代防火墻產(chǎn)品。盡管Gartner對下一代防火墻進行了定義,但由于我國的網(wǎng)絡(luò)安全環(huán)境具備自己的特點,目前國內(nèi)尚且缺乏適用于本土環(huán)境的下一代防火墻標準。另外,各家廠商推出的下一代防火墻功能也不盡相同,有的廠家甚至向消費者宣稱UTM、IPS也可以劃歸為下一代防火墻,這令消費者難以對產(chǎn)品進行甄別和選擇,增加了采購難度。
第二代防火墻標準出臺
公安部第三研究所是公安部直屬科研單位,主要負責信息網(wǎng)絡(luò)安全、社會公共安全防范技術(shù)等領(lǐng)域的相關(guān)研究,擁有國家反計算機入侵和防病毒研究中心、信息網(wǎng)絡(luò)安全公安部重點實驗室等國家級專業(yè)技術(shù)實驗室,是國內(nèi)權(quán)威的網(wǎng)絡(luò)安全研究機構(gòu),同時也是《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》的測試機構(gòu),防火墻產(chǎn)品通過該所的相關(guān)測試后,才允許在市場上進行出售。
為規(guī)范國內(nèi)防火墻產(chǎn)品市場,同時響應習總書記提出的網(wǎng)絡(luò)安全和信息化戰(zhàn)略,在公安部科技信息化局的授權(quán)下,公安部第三研究所秉承著公平、公正、公開的原則,向社會廣泛征集意見,并邀請了深信服、網(wǎng)御星云等4家國內(nèi)優(yōu)秀的安全廠商參與討論,歷時6個月,制定出了適用于國內(nèi)網(wǎng)絡(luò)環(huán)境的第二代防火墻標準,該標準已于2014 年7月24日正式發(fā)布,9月1日已開始實施。
解讀第二代防火墻標準
此次的GA/T1177-2014《信息安全技術(shù)第二代防火墻安全技術(shù)要求》(簡稱“新標準”)將國際通用說法“下一代防火墻”更名為“第二代防火墻”,用于與“防火墻”進行區(qū)分。標準從安全功能、安全保證、環(huán)境適應性和性能四個方面,對第二代防火墻提出了新的要求,應用層控制、Web攻擊防護、信息泄漏防護、惡意代碼防護和入侵防御是此次定義的第二代防火墻的幾大功能看點。
(一)新增應用層控制功能
筆者從參與此次標準制定的專家處了解到,新標準依據(jù)安全功能強弱和安全保證要求將安全等級劃分為基本級和增強級,保留了GB/T20281-2006《信息安全技術(shù)防火墻技術(shù)要求和測試評價方法》(簡稱“舊標準”)中關(guān)于傳統(tǒng)防火墻在網(wǎng)絡(luò)層的控制要求,如包過濾、狀態(tài)檢測、NAT等功能,增加了基于應用層控制的功能要求,主要考察被測產(chǎn)品在應用層面對于細分應用類型和協(xié)議的識別控制能力,以及數(shù)據(jù)包深度內(nèi)容檢測方面的能力。
(二)入侵防御、惡意代碼防護與國際接軌
經(jīng)過和編寫委員會的專家進行溝通(+本站微信networkworldweixin),筆者得知在應用識別的基礎(chǔ)上,新標準在應用層控制中加入了入侵防御和惡意代碼防護功能,要求第二代防火墻能夠檢測并抵御操作系統(tǒng)類、文件類、服務器類等漏洞攻擊,支持蠕蟲病毒、后門木馬等惡意代碼的檢測。這和Gartner提出的下一代防火墻所需具備的功能一致,標志著我國的第二代防火墻標準是與國際接軌的。
(三)Web攻擊防護、信息泄露防護符合用戶業(yè)務安全需求
在采訪中,筆者還發(fā)現(xiàn)新標準對Web攻擊防護、信息泄漏防護同樣做出了要求,“第二代防火墻應具備WEB攻擊防護的能力,支持SQL注入攻擊檢測與防護,支持XSS攻擊檢測與防護;第二代防火墻應具備對流出的信息流進行檢測,防止敏感信息泄露”。
隨著Web2.0時代的到來,用戶的許多業(yè)務均為Web應用。近年來針對Web應用的安全事件層出不窮,黑客不再是為炫耀個人技能而進行互聯(lián)網(wǎng)攻擊,更是為竊取和破壞敏感信息獲取灰色產(chǎn)業(yè)收益。標準對于Web攻擊防護和信息泄露防護功能要求的添加,充分考慮了國內(nèi)用戶的業(yè)務安全需求和我國的網(wǎng)絡(luò)安全形勢。
標準發(fā)布對用戶的指導性意義
編寫委員會的專家還向我們透露,GA/T1177-2014《信息安全技術(shù)第二代防火墻安全技術(shù)要求》是我國首部關(guān)于第二代防火墻的標準,由于其內(nèi)容與國際接軌,并全面考慮了國內(nèi)用戶對第二代防火墻的安全防護需求,它能夠為用戶提供指導性的選購建議,幫助國內(nèi)各行業(yè)用戶選擇滿足自身業(yè)務安全需求的第二代防火墻,未來將有可能成為各行業(yè)的共同標準,這對于規(guī)范我國的網(wǎng)絡(luò)安全防護無疑具有重大意義。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧