2014年7月24日,中华人民共和国公安部发布了GA/T1177-2014《信息安全技术 第二代防火墙安全技术要求》,并将国际通用说法“下一代防火墙”正式更名为“第二代防火墙”,这是国内首部公共安全行业的下一代防火墙标准。信息安全行业规范编制单位——公安部第三研究所在公安部科技信息化局的授权下,通过对国内网络安全现状展开深入调查,公开征集社会各方意见,并邀请深信服等5家国内优秀安全厂商参与讨论,制定出了适用于国内网络环境的下一代防火墙标准。该标准得到了国家标准委员会专家、部委专家和行业专家等的一致认可,已于2014年9月1日开始实施。
为深入了解第二代防火墙标准内容,以及探究标准发布对公共安全行业的影响,记者采访了编写委员会专家李焕波先生,并走访了多家行业用户,从不同角度对第二代防火墙标准进行解读,以便为读者及时呈现标准对下一代防火墙提出的要求,并为组织单位采购下一代防火墙提供参考。
专访编写委员会专家李焕波
据标准起草人之一李焕波专家透露,第二代防火墙标准是我国于2006年发布GB/T20281-2006 《信息安全技术防火墙技术要求和测试评价方法》(以下简称“旧标准”)后,第一部关于下一代防火墙的标准。由于标准内容的制定充分考虑了我国具体的网络安全环境,所以用户可以根据标准对下一代防火墙提出的功能要求进行产品选购,该标准未来将有可能上升为国家标准,指导我国的信息化安全建设。
标准出台的背景
“尽管国际著名IT咨询机构Gartner早在2009年就对下一代防火墙进行了定义,但随着我国的网络安全形势变得日益严峻,Gartner定义的下一代防火墙产品在国内的网络环境下并不能产生很好的防护效果,目前尚且缺乏适用于本土环境的下一代防火墙定义。另一方面,国内各大安全厂商的下一代防火墙功能各不相同,令用户产生诸多困扰。为加强我国信息化安全建设,规范防火墙产品市场,公安部于2013年3月授权公安部直属科研单位——公安第三研究所牵头制定第二代防火墙标准。”李焕波告诉记者。
公安部第三研究所主要负责信息网络安全、社会公共安全防范技术等领域的相关研究,是信息安全行业规范编制单位,也是信息安全产品认证检测单位和信息安全等级保护测评单位。新标准的制定从2013年3月8日开始启动,经过6轮行业用户、国内权威安全厂商意见公开征集,2014年7月24日正式对外发布,前后历时17个月。
标准对下一代防火墙提出新的要求
通过对李焕波进行采访,记者得知新标准保留了原有标准中关于传统防火墙在网络层的控制要求,增加了基于应用层控制的功能要求。此外,新标准主要依据安全功能强弱和安全保证要求对等级进行划分,将安全等级分为基本级和增强级。而旧标准则主要根据功能强弱、安全强度和保证要求高低将安全等级划分为三级。
李焕波说“Web攻击防护、信息泄露防护、恶意代码防护和入侵防御是第二代防火墙的主要功能看点,这是当今的网络环境对防火墙提出的基本要求。另外,相比传统防火墙,第二代防火墙对安全功能进行了融合。”他还告知了新标准对这四项功能提出的具体要求。
Web攻击防护
第二代防火墙应具备WEB攻击防护的能力,支持:
l SQL注入攻击检测与防护,并支持base64编码的SQL注入攻击与防护;
l XSS攻击检测与防护;
l 对常见的Web服务器环境Web入侵的脚本攻击工具(webshell)的拦截,包含ASPX、ASP、PHP、JSP等。
信息泄露防护
第二代防火墙应具备对流出的信息流进行检测,防止敏感信息泄露,应支持基于:
l 关键词对流出防火墙的数据流进行过滤,如http上传、外发邮件主题及正文等;
l 文件类型对流出防火墙的数据流进行过滤,如http上传、ftp上传、外发邮件的附件等。
恶意代码防护
第二代防火墙应具有恶意代码检测功能,具体技术要求如下:
l 支持恶意代码检测,如蠕虫病毒、后门木马、间谍软件等;
l 支持检测并拦截HTTP、FTP、电子邮件等协议所携带的恶意代码。
入侵防御
第二代防火墙应具备入侵防御功能,能够检测并抵御的攻击类型包括但不限于:
l 操作系统类、Web浏览器、ActiveX控件、Web服务器、文件类、FTP服务器、虚拟化平台软件等漏洞攻击;
l IP地址及端口扫描行为;
l 网络漏洞扫描行为;
l 恶意软件攻击,如冰河、僵尸网络等;
l 能够抵御通用服务的口令暴力破解,如FTP、TELNET、数据库等口令破解。
走访行业用户
第二代防火墙标准出台后,记者走访了政府、教育、企业等行业的多家用户,并就用户单位安全现状、下一代防火墙使用情况、如何看待第二代防火墙标准出台等问题与各组织单位进行了深入交流。
以下是部分行业用户对第二代防火墙标准出台的看法:
中华人民共和国文化部
国家政府机关对于信息安全建设都会有一些统一的要求,第二代防火墙标准的制定结合了国家相关的政策法规,这样我们在落实政策时能够更好地明确哪些产品符合我们的需求。下一代防火墙的标准需要与时俱进,这有利于规范网络安全建设。
广东省电化教育馆
现有的防火墙标准(GB/T20281-2006《信息安全技术 防火墙技术要求和测试评价方法》)推行了8年,已经无法适用于当今的网络环境。互联网的快速发展和变化,对下一代防火墙提出了新的安全防护要求,可以说第二代防火墙标准的出台顺应了时代的发展,我们希望新标准能够给我们提供产品选型的参考建议。
通过对用户进行采访,记者得知不少用户已经开始使用下一代防火墙守护单位网络的安全。2009年Gartner提出“下一代防火墙”的概念,经过5年的发展,下一代防火墙已渐渐被广大用户接受并使用。采访过程中,不少用户表示面向应用层进行安全防护、高性能、智能防护等特点使下一代防火墙能够更好地满足单位的网络安全需求,但不同行业对下一代防火墙会有一些特殊的行业需求。“国家政府机关对信息安全建设会有一些统一的要求,我们希望下一代防火墙能够针对电子政务内网、政务外网的网络环境,开发更有针对性的数据防护、内网木马病毒检测和防范、网站防入侵等功能”文化部的IT负责人表示。
记者从李焕波专家处了解到,为制定适用于我国的下一代防火墙标准,公安部第三研究所对政府、教育、医疗、企业等行业进行了深入调查,了解不同行业对下一代防火墙的安全防护需求,通过公开征集社会各方意见,邀请国内权威厂商参与讨论,用时17个月,终于在2014年7月24日发布了适合我国网络环境的公共安全行业的下一代防火墙标准。
由于标准的内容贴合广大用户的安全防护需求,它能够为用户提供下一代防火墙的采购建议,帮助用户选择满足自身业务安全需求的产品,未来将可能成为各行各业共同遵守的标准,这对于规范我国的信息化安全建设无疑具有重大意义。
