國內二代防火牆標準釋出引領安全大潮

boxti發表於2017-09-06

本文講的是 : 國內二代防火牆標準釋出 引領安全大潮   , 【IT168 資訊】隨著網路應用的爆炸式發展和業務與網際網路發生緊密聯絡,主要工作在網路層和傳輸層的傳統防火牆,已無法對應用層進行很好地安全管控。在此背景下,國際著名IT諮詢機構Gartner於2009年提出“下一代防火牆”的概念,以應對當前與未來新一代的網路安全威脅。

  下一代防火牆的普及將成為必然

  經過5年的發展,下一代防火牆漸漸為人們所熟知,面向應用層控制、智慧、高效能等特點使得下一代防火牆陸續被應用於網路中,守護使用者的業務安全。Gartner在相關報告中指出,下一代防火牆未來必然會成為安全防護市場的領軍產品,並認為2014年底將有超過60%的企業使用者會重新採購下一代防火牆,它的普及將成為不可逆轉的趨勢。

  國內缺少相關的適用標準

  面對巨大的潛在市場,國內各大安全廠商紛紛推出自己的下一代防火牆產品。儘管Gartner對下一代防火牆進行了定義,但由於我國的網路安全環境具備自己的特點,目前國內尚且缺乏適用於本土環境的下一代防火牆標準。另外,各家廠商推出的下一代防火牆功能也不盡相同,有的廠家甚至向消費者宣稱UTM、IPS也可以劃歸為下一代防火牆,這令消費者難以對產品進行甄別和選擇,增加了採購難度。

  第二代防火牆標準出臺

  公安部第三研究所是公安部直屬科研單位,主要負責資訊網路安全、社會公共安全防範技術等領域的相關研究,擁有國家反計算機入侵和防病毒研究中心、資訊網路安全公安部重點實驗室等國家級專業技術實驗室,是國內權威的網路安全研究機構,同時也是《計算機資訊系統安全專用產品銷售許可證》的測試機構,防火牆產品通過該所的相關測試後,才允許在市場上進行出售。

  為規範國內防火牆產品市場,同時響應習總書記提出的網路安全和資訊化戰略,在公安部科技資訊化局的授權下,公安部第三研究所秉承著公平、公正、公開的原則,向社會廣泛徵集意見,並邀請了深信服、網禦星雲等4家國內優秀的安全廠商參與討論,歷時6個月,制定出了適用於國內網路環境的第二代防火牆標準,該標準已於2014 年7月24日正式釋出,9月1日已開始實施。

國內二代防火牆標準釋出 引領安全大潮

  解讀第二代防火牆標準

  此次的GA/T1177-2014《資訊安全技術 第二代防火牆安全技術要求》(簡稱“新標準”)將國際通用說法“下一代防火牆”更名為“第二代防火牆”,用於與“防火牆”進行區分。標準從安全功能、安全保證、環境適應性和效能四個方面,對第二代防火牆提出了新的要求,應用層控制、Web攻擊防護、資訊洩漏防護、惡意程式碼防護和入侵防禦是此次定義的第二代防火牆的幾大功能看點。

  (一)新增應用層控制功能

  筆者從參與此次標準制定的專家處瞭解到,新標準依據安全功能強弱和安全保證要求將安全等級劃分為基本級和增強級,保留了GB/T20281-2006《資訊保安技術 防火牆技術要求和測試評價方法》(簡稱“舊標準”)中關於傳統防火牆在網路層的控制要求,如包過濾、狀態檢測、NAT等功能,增加了基於應用層控制的功能要求,主要考察被測產品在應用層面對於細分應用型別和協議的識別控制能力,以及資料包深度內容檢測方面的能力。

  (二)入侵防禦、惡意程式碼防護與國際接軌

  經過和編寫委員會的專家進行溝通,筆者得知在應用識別的基礎上,新標準在應用層控制中加入了入侵防禦和惡意程式碼防護功能,要求第二代防火牆能夠檢測並抵禦作業系統類、檔案類、伺服器類等漏洞攻擊,支援蠕蟲病毒、後門木馬等惡意程式碼的檢測。這和Gartner提出的下一代防火牆所需具備的功能一致,標誌著我國的第二代防火牆標準是與國際接軌的。

  (三)Web攻擊防護、資訊洩露防護符合使用者業務安全需求

  在採訪中,筆者還發現新標準對Web攻擊防護、資訊洩漏防護同樣做出了要求,“第二代防火牆應具備WEB攻擊防護的能力,支援SQL隱碼攻擊檢測與防護,支援XSS攻擊檢測與防護;第二代防火牆應具備對流出的資訊流進行檢測,防止敏感資訊洩露”。

  隨著Web2.0時代的到來,使用者的許多業務均為Web應用。近年來針對Web應用的安全事件層出不窮,黑客不再是為炫耀個人技能而進行網際網路攻擊,更是為竊取和破壞敏感資訊獲取灰色產業收益。標準對於Web攻擊防護和資訊洩露防護功能要求的新增,充分考慮了國內使用者的業務安全需求和我國的網路安全形勢。

  標準釋出對使用者的指導性意義

  編寫委員會的專家還向我們透露,GA/T1177-2014《資訊保安技術 第二代防火牆安全技術要求》是我國首部關於第二代防火牆的標準,由於其內容與國際接軌,並全面考慮了國內使用者對第二代防火牆的安全防護需求,它能夠為使用者提供指導性的選購建議,幫助國內各行業使用者選擇滿足自身業務安全需求的第二代防火牆,未來將有可能成為各行業的共同標準,這對於規範我國的網路安全防護無疑具有重大意義。

原文釋出時間為:2015年7月6日

本文作者:董建偉

本文來自雲棲社群合作伙伴IT168,瞭解相關資訊可以關注IT1684

原文標題 :國內二代防火牆標準釋出 引領安全大潮


相關文章