行业动态

第二代防火墙标准的前生今世:终结市场混乱局面

来源:恒运科技 作者: 恒运科技 时间: 2015-2-28

第二代防火墙标准自2014年9月1日实施以来备受业内关注,该标准是信息安全行业规范编制单位暨信息安全等级保护测评单位——公安部第三研究所,在公安部科技信息化局的授权下,经过深入的社会调研,并通过向国内优秀安全厂商征集意见,历时17个月制定出的适用于我国网络环境的第二代防火墙(又称下一代防火墙)标准。

标准的推出意味着下一代防火墙在国内已经正式标准化,用户可以参照该标准采购真正意义上的下一代防火墙。而标准的实施是安全产品走向功能融合的重要里程碑。但是,许多用户并未深入地了解第二代防火墙标准及其内容的指导意义,对于第二代防火墙能否取代传统安全产品、能否真正防御新的安全威胁以及能否适用于等级保护建设存在疑惑。

防火墙标准亟待改善

第二代防火墙标准推出的一个重要原因是原有标准(GB/T20281-2006《信息安全技术 防火墙技术要求和测试评价方法》,以下简称“旧标准”)对于其发布后6~8年时间内出现的新的安全威胁,并没有给出明确的定义,用户按照旧标准进行安全建设并不能很好地满足其安全防护需求。

在2月4日举行的第二代防火墙标准发布会上,公安部第三研究所专家邹春明表示,基于2~4层进行安全防护的传统防火墙,并无法有效防护来自应用层的网络威胁;而集成了防火墙、入侵防御和杀毒软件的UTM,在开启多个应用层处理功能后,性能急剧下降,无法满足用户的业务需求。

为此,国外如Palo Alto、梭子鱼、CheckPoint、Fortinet、F5、Cisco等,国内如深信服、绿盟、网神、山石等厂商,纷纷投入第二代防火墙的研究并推出相关产品。

“目前,各个安全厂商都推出了自己的下一代防火墙产品,但是没有统一的标准。因此,需要一个统一的标准,为各个厂商起到指导作用。”邹春明指出,第二代防火墙产品处于快速发展阶段,有必要尽快制定相应的行业标准,以规范第二代防火墙产品在我国的发展。在此背景下,第二代防火墙及其标准应运而生。

业内普遍认为,第二代防火墙定义是部署于不同的安全域之间,除具备传统防火墙的基本访问控制功能之外,还具备应用层访问控制、用户控制、深度内容检测、高性能等特征的防火墙。

第二代防火墙的主要特点是实现架构上应一次解包完成全部检查,功能上应具备传统防火墙的各项能力、完全集成IPS、网络行为的识别与控制、用户及用户组的控制、能添加外部智能模块,另外具有高性能。

新标准已经成熟

从2012年开始,公安部第三研究所为制定出更符合我国行业用户网络安全需求的下一代防火墙标准,邀请了包括深信服科技、绿盟科技、网神等在内的国内一流安全厂商参与标准的讨论,结合网络安全环境和用户的业务安全需求,制定出“第二代防火墙”必须具备应用控制、Web攻击防护、信息泄露防护和入侵防御等功能。

邹春明指出,第二代防火墙标准参考了众多的国家标准、行业标准,调研了国内众多行业用户的网络安全建设需求,并对标准进行了6轮讨论和修改,它是一部能够指导用户进行信息安全建设和等级保护建设的成熟标准。

该标准对第二代防火墙的性能要求主要针对应用层处理性能方面。而传统防火墙主要是3-4层的性能要求。在分级方面,根据安全功能强弱和安全保证要求高低分为基本级和增强级,而环境适应性要求和性能要求不作为等级划分依据。

从国家网络安全顶层设计层面而言,公安部非常鼓励国内优秀信息安全企业参与安全标准的研发和制定,应当将第二代防火墙标准等创新的标准上升为国家标准。”对该标准,郭启全总工表示,国家重要行业部门应当积极响应号召,将标准应用到实际的网络安全建设中去。

Link:第二代防火墙编制过程

2012年12月,以现有国标为基础编制了标准草稿(第一稿):主要包括功能要求、性能要求、安全要求和保证要求4部分。

2013年1月,标准编制组检测中心成员对标准草稿进行了内部讨论,并提出了修改意见:规范标准格式、术语定义主要引用原国标,增加“第二代防火墙”定义等,修改完成后形成草稿(第二稿)。

2013年2月,再次对第二稿进行讨论修订,主要包括:标准格式参考CC思路、增加对IPV6的支持要求、分级由原来三级改为两级,完成草稿(第三稿)。

2013年3月,检测中心和深信服编制人员对具体条目进行了逐项讨论,对技术要求部分的结构做出了大的调整,完成草稿(第四稿)。

2013年6月,完成了该标准在公共安全信安标委会的申报、立项等工作。

2013年6月,在北京组织深信服、绿盟、网神、网御、天行网安等信息安全产品厂商,国土资源部、农业部、国家统计局、国家质检总局等用户单位,公安部科信局、网络安全保卫局等主管单位参与讨论,对标准内容及标准格式提出了较多修改建议;形成征求意见稿。

2013年9月,以电子邮件方式向20家防火墙厂商征求意见,其中8家厂商进行了反馈,提出了较为详细的修改建议,编制组对所接收到的反馈意见逐条进行了讨论,并完成征求意见汇总处理表。

2013年10月,征求了IXIA、BPS等性能测试仪表厂商意见,对产品性能要求做出部分修订。

2013年11月,组织专家在上海对该标准的征求意见稿进行了评审,并提出了修改建议,编制组根据专家建议,对征求意见稿进行了相应修订,形成送审稿。

2014年3月,公安部信息系统安全标准化委员会在北京对该标准送审稿进行了评审,并提出了修改建议,编制组根据专家建议,对送审稿进行了相应修订,完成报批稿。

2014年7月,正式发布,标准号为GA/T 1177-2014。

2014年9月,标准正式实施。


辽ICP备09080439号 恒运科技 网站地图
© Copyright 2007-2015 syhengyun.com All Rights Reserved 版权所有

沈阳网站建设 FLASH模板网站 静态模板网站 定制型网站开发 沈阳网页设计 微站开发 HTML5网站建设 虚拟现实

友情链接1:

真人娱乐城 88娱乐城 大发888 瑞丰国际 明升m88 永利高赌场 永利高网上赌博 澳门百家乐开户 澳门外围赌博网站 太阳城 太阳城娱乐城 菲律宾太阳城 太阳城官网 太阳城网址 太阳城百家乐 太阳城开户 太阳城现金网 tt娱乐城 申博娱乐网 易发国际 澳门赌场 娱乐城 香港六合彩 六合彩 六合彩开奖 六合彩开奖结果 赌球网 永盈会 扎金花 新葡京娱乐城 澳门娱乐城 E世博 鸿利国际 香港六合彩开奖结果 新葡京赌场 银河赌场 澳门金沙赌场 威尼斯人赌场 黄金城娱乐场 真人博彩 二十一点 全讯网 金沙娱乐场