信息安全等級保護是我國公安部用于指導國內各組織單位進行信息安全建設的依據(jù)，于2004年開始實施的等級保護工作在我國已經開展了11年，信息安全等級保護建設也已經成為考核組織單位信息化水平的一項重要指標。于2014年9月正式實施的第二代防火墻標準在制定時充分考慮了等級保護要求，明確了其所定義的第二代防火墻功能基本級對應等級保護一、二級，第二代防火墻功能增強級對應等級保護三、四級。本文就第二代防火墻如何滿足等保要求、在等級保護建設中的應用等問題展開深入介紹。

第二代防火墻標準滿足等保一至四級要求

公安部第三研究所是我國信息安全等級保護測評單位，同時也是國內第二代防火墻標準的牽頭起草單位。該所資深安全專家鄒春明曾在今年2月的第二代防火墻標準發(fā)布會上談到，GA/T1177-2014《信息安全技術 第二代防火墻安全技術要求》(即第二代防火墻標準)在制定時參考了等級保護要求，將第二代防火墻的功能分級與等級保護的級別進行了關系對應，明確了第二代防火墻功能基本級對應等級保護一、二級，第二代防火墻功能增強級對應等級保護三、四級。

第二代防火墻功能與等級保護對應關系

信息安全等級保護要求適用于全國各行各業(yè)，同時也是行業(yè)用戶進行信息安全建設所需遵循的依據(jù)。用于規(guī)范國內網絡安全產品市場的第二代防火墻標準，定義了第二代防火墻功能與等級保護級別的對應關系，適用于等級保護建設。下面，筆者就來談談第二代防火墻標準所定義的第二代防火墻是如何在等保建設中進行應用，以及在等保建設中能夠幫助用戶解決什么問題。

第一級適用于小型私營、個體企業(yè)、中小學、鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)，縣級單位中一般的信息系統(tǒng)。

第二級適用于縣級某些單位中的重要信息系統(tǒng)，地市級以上國家機關、企事業(yè)單位內部一般的信息系統(tǒng)。如非涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)等。

第三級適用于地市級以上國家機關、企業(yè)、事業(yè)單位內部重要的信息系統(tǒng)，如涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)，跨省、跨市或全國(省)聯(lián)網運行的用于生產、調度、管理、作業(yè)、指揮等方面的信息系統(tǒng)，跨省或全國聯(lián)網的重要信息系統(tǒng)在省、地市的分支系統(tǒng)，中央各部委、省(區(qū)市)門戶網站和重要網站，跨省聯(lián)接的網絡等。

第四級適用于國家重要領域、重要部門中的特別重要系統(tǒng)以及核心系統(tǒng)。如全國鐵路、民航、電力等部門的調度系統(tǒng)，銀行、證券、保險、稅務、海關等幾十個重要行業(yè)部門中的涉及國計民生的核心系統(tǒng)。

第五級適用于國家重要領域、重要部門中的極端重要系統(tǒng)。

信息安全等級保護適用情況

用戶在等保建設過程中面臨的問題

a. 多設備部署產生高昂建設費用，方案難以落地

組織單位往往根據(jù)等級保護測評機構制定的等保方案，進行信息系統(tǒng)安全建設。但根據(jù)等保測評機構的調查數(shù)據(jù)顯示，測評機構提供等級保護方案后，用戶往往并不能很好地落實，其原因是由于等保建設涉及眾多硬件設備，而用戶的建設預算往往有限。

如信息安全等級保護對用戶的網絡安全和主機安全均提出了入侵防范、惡意代碼防范等要求，傳統(tǒng)解決方案通過串聯(lián)部署傳統(tǒng)防火墻、IPS(入侵防御系統(tǒng))、防病毒網關等設備來滿足等保要求。

另一方面，多設備部署令IT管理員運維起來相當困難，同時往往會忽略開啟部分防護策略，導致本應開啟的防護策略未被開啟，影響防護效果。當網絡中發(fā)生安全事件時，將嚴重影響響應速度。

b. 傳統(tǒng)安全產品未考慮網絡新威脅的變化

用戶在進行等級保護建設時，常常會在網絡的不同區(qū)域部署傳統(tǒng)防火墻、IDS(入侵檢測系統(tǒng))、IPS等設備，但權威機構調查發(fā)現(xiàn)，由于傳統(tǒng)安全產品的相關產品標準、規(guī)范發(fā)布時間較早，這些產品標準、規(guī)范并未對新型網絡威脅進行定義，因此傳統(tǒng)安全產品并無法有效抵御新的網絡攻擊。

如著名IT咨詢機構Gartner指出，用戶面臨的網絡攻擊75%來自應用層，但傳統(tǒng)防火墻只能抵御網絡層攻擊，并無法防御應用層威脅。而依賴攻擊特征庫進行工作的IPS，并無法檢測和防御利用0Day漏洞發(fā)起的攻擊。若用戶仍舊選用傳統(tǒng)防火墻、IPS等設備進行等保建設，這將導致用戶的網絡無法防御各類新威脅，達不到應有的防護效果。

第二代防火墻標準對等級保護的適用性

第二代防火墻標準指出，第二代防火墻除具備傳統(tǒng)防火墻包過濾、狀態(tài)檢測等基本功能外，還應具備應用流量識別、應用層訪問控制、Web攻擊防護、惡意代碼防護、信息泄露防護和入侵防御等功能。等級保護對用戶的網絡和主機提出入侵防范、惡意代碼防范等安全要求，可見第二代防火墻標準定義的第二代防火墻適用于等級保護建設，可部署于安全域邊界，滿足訪問控制、入侵防范和惡意代碼防范等要求。

a. 多功能融合降低建設成本，解決運維復雜問題

第二代防火墻標準定義第二代防火墻需融合傳統(tǒng)防火墻、IPS、Web攻擊防護等模塊，且各功能模塊間可形成智能的策略聯(lián)動。該定義使第二代防火墻在等級保護建設中可有效替換傳統(tǒng)防火墻、IDS、IPS、Web應用防火墻等多臺設備，幫助用戶降低等級保護建設費用，并解決多設備串聯(lián)部署導致運維困難等問題。

b. 多功能模塊實現(xiàn)良好的安全防護效果

信息安全等級保護考察的是用戶根據(jù)等保要求進行信息安全建設時，能否真正實現(xiàn)安全防護效果，確保信息系統(tǒng)安全穩(wěn)定地運行。所以用戶在選購安全產品時，不能僅僅考慮產品資質，還應當考慮產品的實際防護效果。如傳統(tǒng)防火墻只能防御網絡層攻擊，無法抵御蠕蟲病毒、木馬等應用層威脅，若用戶在進行等級保護建設時，采用傳統(tǒng)防火墻部署在安全域邊界，防護效果難以保證。

第二代防火墻標準的制定，充分考慮了等級保護要求和日益復雜的網絡環(huán)境，因此定義第二代防火墻應具備Web攻擊防護、信息泄露防護等功能，令第二代防火墻能夠同時防范網絡層和應用層攻擊，滿足用戶業(yè)務系統(tǒng)Web化產生的Web攻擊防護需求，有效抵御如SQL注入、XSS跨站腳本攻擊等種類繁多的Web攻擊，保障用戶各類業(yè)務系統(tǒng)的安全。

同時，第二代防火墻的信息泄露防護功能可檢測網絡中的敏感信息，當設備發(fā)現(xiàn)流出的信息流包含敏感數(shù)據(jù)時，可攔截敏感信息的發(fā)送。該功能還能夠定位網絡中受僵尸病毒感染的計算機終端，幫助用戶發(fā)現(xiàn)僵尸網絡，從而采取清理措施。