2014年7月24日，中華人民共和國(guó)公安部發(fā)布了GA/T1177-2014《信息安全技術(shù)第二代防火墻安全技術(shù)要求》，并將國(guó)際通用說(shuō)法“下一代防火墻”正式更名為“第二代防火墻”，這是國(guó)內(nèi)首部公共安全行業(yè)的下一代防火墻標(biāo)準(zhǔn)。信息安全行業(yè)規(guī)范編制單位——公安部第三研究所在公安部科技信息化局的授權(quán)下，通過(guò)對(duì)國(guó)內(nèi)網(wǎng)絡(luò)安全現(xiàn)狀展開(kāi)深入調(diào)查，公開(kāi)征集社會(huì)各方意見(jiàn)，并邀請(qǐng)深信服等5家國(guó)內(nèi)優(yōu)秀安全廠商參與討論，制定出了適用于國(guó)內(nèi)網(wǎng)絡(luò)環(huán)境的下一代防火墻標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)得到了國(guó)家標(biāo)準(zhǔn)委員會(huì)專家、部委專家和行業(yè)專家等的一致認(rèn)可，已于2014年9月1日開(kāi)始實(shí)施。

為深入了解第二代防火墻標(biāo)準(zhǔn)內(nèi)容，以及探究標(biāo)準(zhǔn)發(fā)布對(duì)公共安全行業(yè)的影響，記者采訪了編寫(xiě)委員會(huì)專家李煥波先生，并走訪了多家行業(yè)用戶，從不同角度對(duì)第二代防火墻標(biāo)準(zhǔn)進(jìn)行解讀，以便為讀者及時(shí)呈現(xiàn)標(biāo)準(zhǔn)對(duì)下一代防火墻提出的要求，并為組織單位采購(gòu)下一代防火墻提供參考。

專訪編寫(xiě)委員會(huì)專家李煥波

據(jù)標(biāo)準(zhǔn)起草人之一李煥波專家透露，第二代防火墻標(biāo)準(zhǔn)是我國(guó)于2006年發(fā)布GB/T20281-2006 《信息安全技術(shù) 防火墻技術(shù)要求和測(cè)試評(píng)價(jià)方法》(以下簡(jiǎn)稱“舊標(biāo)準(zhǔn)”)后，第一部關(guān)于下一代防火墻的標(biāo)準(zhǔn)。由于標(biāo)準(zhǔn)內(nèi)容的制定充分考慮了我國(guó)具體的網(wǎng)絡(luò)安全環(huán)境，所以用戶可以根據(jù)標(biāo)準(zhǔn)對(duì)下一代防火墻提出的功能要求進(jìn)行產(chǎn)品選購(gòu)，該標(biāo)準(zhǔn)未來(lái)將有可能上升為國(guó)家標(biāo)準(zhǔn)，指導(dǎo)我國(guó)的信息化安全建設(shè)。

標(biāo)準(zhǔn)出臺(tái)的背景

“盡管?chē)?guó)際著名IT咨詢機(jī)構(gòu)Gartner早在2009年就對(duì)下一代防火墻進(jìn)行了定義，但隨著我國(guó)的網(wǎng)絡(luò)安全形勢(shì)變得日益嚴(yán)峻，Gartner定義的下一代防火墻產(chǎn)品在國(guó)內(nèi)的網(wǎng)絡(luò)環(huán)境下并不能產(chǎn)生很好的防護(hù)效果，目前尚且缺乏適用于本土環(huán)境的下一代防火墻定義。另一方面，國(guó)內(nèi)各大安全廠商的下一代防火墻功能各不相同，令用戶產(chǎn)生諸多困擾。為加強(qiáng)我國(guó)信息化安全建設(shè)，規(guī)范防火墻產(chǎn)品市場(chǎng)，公安部于2013年3月授權(quán)公安部直屬科研單位——公安第三研究所牽頭制定第二代防火墻標(biāo)準(zhǔn)。”李煥波告訴記者。

公安部第三研究所主要負(fù)責(zé)信息網(wǎng)絡(luò)安全、社會(huì)公共安全防范技術(shù)等領(lǐng)域的相關(guān)研究，是信息安全行業(yè)規(guī)范編制單位，也是信息安全產(chǎn)品認(rèn)證檢測(cè)單位和信息安全等級(jí)保護(hù)測(cè)評(píng)單位。新標(biāo)準(zhǔn)的制定從2013年3月8日開(kāi)始啟動(dòng)，經(jīng)過(guò)6輪行業(yè)用戶、國(guó)內(nèi)權(quán)威安全廠商意見(jiàn)公開(kāi)征集，2014年7月24日正式對(duì)外發(fā)布，前后歷時(shí)17個(gè)月。#p#

標(biāo)準(zhǔn)對(duì)下一代防火墻提出新的要求

通過(guò)對(duì)李煥波進(jìn)行采訪，記者得知新標(biāo)準(zhǔn)保留了原有標(biāo)準(zhǔn)中關(guān)于傳統(tǒng)防火墻在網(wǎng)絡(luò)層的控制要求，增加了基于應(yīng)用層控制的功能要求。此外，新標(biāo)準(zhǔn)主要依據(jù)安全功能強(qiáng)弱和安全保證要求對(duì)等級(jí)進(jìn)行劃分，將安全等級(jí)分為基本級(jí)和增強(qiáng)級(jí)。而舊標(biāo)準(zhǔn)則主要根據(jù)功能強(qiáng)弱、安全強(qiáng)度和保證要求高低將安全等級(jí)劃分為三級(jí)。

李煥波說(shuō)“Web攻擊防護(hù)、信息泄露防護(hù)、惡意代碼防護(hù)和入侵防御是第二代防火墻的主要功能看點(diǎn)，這是當(dāng)今的網(wǎng)絡(luò)環(huán)境對(duì)防火墻提出的基本要求。另外，相比傳統(tǒng)防火墻，第二代防火墻對(duì)安全功能進(jìn)行了融合。”他還告知了新標(biāo)準(zhǔn)對(duì)這四項(xiàng)功能提出的具體要求。

Web攻擊防護(hù)

第二代防火墻應(yīng)具備WEB攻擊防護(hù)的能力，支持：

◆SQL注入攻擊檢測(cè)與防護(hù)，并支持base64編碼的SQL注入攻擊與防護(hù);

◆XSS攻擊檢測(cè)與防護(hù);

◆對(duì)常見(jiàn)的Web服務(wù)器環(huán)境Web入侵的腳本攻擊工具(webshell)的攔截，包含ASPX、ASP、PHP、JSP等。

信息泄露防護(hù)

第二代防火墻應(yīng)具備對(duì)流出的信息流進(jìn)行檢測(cè)，防止敏感信息泄露，應(yīng)支持基于：

◆關(guān)鍵詞對(duì)流出防火墻的數(shù)據(jù)流進(jìn)行過(guò)濾，如http上傳、外發(fā)郵件主題及正文等;

◆文件類(lèi)型對(duì)流出防火墻的數(shù)據(jù)流進(jìn)行過(guò)濾，如http上傳、ftp上傳、外發(fā)郵件的附件等。

惡意代碼防護(hù)

第二代防火墻應(yīng)具有惡意代碼檢測(cè)功能，具體技術(shù)要求如下：

◆支持惡意代碼檢測(cè)，如蠕蟲(chóng)病毒、后門(mén)木馬、間諜軟件等;

◆支持檢測(cè)并攔截HTTP、FTP、電子郵件等協(xié)議所攜帶的惡意代碼。

入侵防御

第二代防火墻應(yīng)具備入侵防御功能，能夠檢測(cè)并抵御的攻擊類(lèi)型包括但不限于：

◆操作系統(tǒng)類(lèi)、Web瀏覽器、ActiveX控件、Web服務(wù)器、文件類(lèi)、FTP服務(wù)器、虛擬化平臺(tái)軟件等漏洞攻擊;

◆IP地址及端口掃描行為;

◆網(wǎng)絡(luò)漏洞掃描行為;

◆惡意軟件攻擊，如冰河、僵尸網(wǎng)絡(luò)等;

◆能夠抵御通用服務(wù)的口令暴力破解，如FTP、TELNET、數(shù)據(jù)庫(kù)等口令破解。#p#

走訪行業(yè)用戶

第二代防火墻標(biāo)準(zhǔn)出臺(tái)后，記者走訪了政府、教育、企業(yè)等行業(yè)的多家用戶，并就用戶單位安全現(xiàn)狀、下一代防火墻使用情況、如何看待第二代防火墻標(biāo)準(zhǔn)出臺(tái)等問(wèn)題與各組織單位進(jìn)行了深入交流。

以下是部分行業(yè)用戶對(duì)第二代防火墻標(biāo)準(zhǔn)出臺(tái)的看法：

中華人民共和國(guó)文化部

國(guó)家政府機(jī)關(guān)對(duì)于信息安全建設(shè)都會(huì)有一些統(tǒng)一的要求，第二代防火墻標(biāo)準(zhǔn)的制定結(jié)合了國(guó)家相關(guān)的政策法規(guī)，這樣我們?cè)诼鋵?shí)政策時(shí)能夠更好地明確哪些產(chǎn)品符合我們的需求。下一代防火墻的標(biāo)準(zhǔn)需要與時(shí)俱進(jìn)，這有利于規(guī)范網(wǎng)絡(luò)安全建設(shè)。

廣東省電化教育館

現(xiàn)有的防火墻標(biāo)準(zhǔn)(GB/T20281-2006《信息安全技術(shù) 防火墻技術(shù)要求和測(cè)試評(píng)價(jià)方法》)推行了8年，已經(jīng)無(wú)法適用于當(dāng)今的網(wǎng)絡(luò)環(huán)境。互聯(lián)網(wǎng)的快速發(fā)展和變化，對(duì)下一代防火墻提出了新的安全防護(hù)要求，可以說(shuō)第二代防火墻標(biāo)準(zhǔn)的出臺(tái)順應(yīng)了時(shí)代的發(fā)展，我們希望新標(biāo)準(zhǔn)能夠給我們提供產(chǎn)品選型的參考建議。

通過(guò)對(duì)用戶進(jìn)行采訪，記者得知不少用戶已經(jīng)開(kāi)始使用下一代防火墻守護(hù)單位網(wǎng)絡(luò)的安全。2009年Gartner提出“下一代防火墻”的概念，經(jīng)過(guò)5年的發(fā)展，下一代防火墻已漸漸被廣大用戶接受并使用。采訪過(guò)程中，不少用戶表示面向應(yīng)用層進(jìn)行安全防護(hù)、高性能、智能防護(hù)等特點(diǎn)使下一代防火墻能夠更好地滿足單位的網(wǎng)絡(luò)安全需求，但不同行業(yè)對(duì)下一代防火墻會(huì)有一些特殊的行業(yè)需求。“國(guó)家政府機(jī)關(guān)對(duì)信息安全建設(shè)會(huì)有一些統(tǒng)一的要求，我們希望下一代防火墻能夠針對(duì)電子政務(wù)內(nèi)網(wǎng)、政務(wù)外網(wǎng)的網(wǎng)絡(luò)環(huán)境，開(kāi)發(fā)更有針對(duì)性的數(shù)據(jù)防護(hù)、內(nèi)網(wǎng)木馬病毒檢測(cè)和防范、網(wǎng)站防入侵等功能”文化部的IT負(fù)責(zé)人表示。

記者從李煥波專家處了解到，為制定適用于我國(guó)的下一代防火墻標(biāo)準(zhǔn)，公安部第三研究所對(duì)政府、教育、醫(yī)療、企業(yè)等行業(yè)進(jìn)行了深入調(diào)查，了解不同行業(yè)對(duì)下一代防火墻的安全防護(hù)需求，通過(guò)公開(kāi)征集社會(huì)各方意見(jiàn)，邀請(qǐng)國(guó)內(nèi)權(quán)威廠商參與討論，用時(shí)17個(gè)月，終于在2014年7月24日發(fā)布了適合我國(guó)網(wǎng)絡(luò)環(huán)境的公共安全行業(yè)的下一代防火墻標(biāo)準(zhǔn)。

由于標(biāo)準(zhǔn)的內(nèi)容貼合廣大用戶的安全防護(hù)需求，它能夠?yàn)橛脩籼峁┫乱淮阑饓Φ牟少?gòu)建議，幫助用戶選擇滿足自身業(yè)務(wù)安全需求的產(chǎn)品，未來(lái)將可能成為各行各業(yè)共同遵守的標(biāo)準(zhǔn)，這對(duì)于規(guī)范我國(guó)的信息化安全建設(shè)無(wú)疑具有重大意義。