摘要:信息安全等級(jí)保護(hù)是我國(guó)公安部用于指導(dǎo)國(guó)內(nèi)各組織單位進(jìn)行信息安全建設(shè)的依據(jù),于2004年開(kāi)始實(shí)施的等級(jí)保護(hù)工作在我國(guó)已經(jīng)開(kāi)展了11年,信息安全等級(jí)保護(hù)建設(shè)也已經(jīng)成為考核組織單位信息化水平的一項(xiàng)重要指標(biāo)。于2014年9月正式實(shí)施的第二代防火墻標(biāo)準(zhǔn)在制定時(shí)充分考慮了等級(jí)保護(hù)要求,明確了其所定義的第二代防火墻功能基本級(jí)對(duì)應(yīng)等級(jí)保護(hù)一、二級(jí),第二代防火墻功能增強(qiáng)級(jí)對(duì)應(yīng)等級(jí)保護(hù)三、四級(jí)。本文就第二代防火墻如何滿足等保要求、在等級(jí)保護(hù)建設(shè)中的應(yīng)用等問(wèn)題展開(kāi)深入介紹。
第二代防火墻標(biāo)準(zhǔn)滿足等保一至四級(jí)要求
公安部第三研究所是我國(guó)信息安全等級(jí)保護(hù)測(cè)評(píng)單位,同時(shí)也是國(guó)內(nèi)第二代防火墻標(biāo)準(zhǔn)的牽頭起草單位。該所資深安全專家鄒春明曾在今年2月的第二代防火墻標(biāo)準(zhǔn)發(fā)布會(huì)上談到,GA/T1177-2014《信息安全技術(shù)第二代防火墻安全技術(shù)要求》(即第二代防火墻標(biāo)準(zhǔn))在制定時(shí)參考了等級(jí)保護(hù)要求,將第二代防火墻的功能分級(jí)與等級(jí)保護(hù)的級(jí)別進(jìn)行了關(guān)系對(duì)應(yīng),明確了第二代防火墻功能基本級(jí)對(duì)應(yīng)等級(jí)保護(hù)一、二級(jí),第二代防火墻功能增強(qiáng)級(jí)對(duì)應(yīng)等級(jí)保護(hù)三、四級(jí)。
第二代防火墻功能與等級(jí)保護(hù)對(duì)應(yīng)關(guān)系
信息安全等級(jí)保護(hù)要求適用于全國(guó)各行各業(yè),同時(shí)也是行業(yè)用戶進(jìn)行信息安全建設(shè)所需遵循的依據(jù)。用于規(guī)范國(guó)內(nèi)網(wǎng)絡(luò)安全產(chǎn)品市場(chǎng)的第二代防火墻標(biāo)準(zhǔn),定義了第二代防火墻功能與等級(jí)保護(hù)級(jí)別的對(duì)應(yīng)關(guān)系,適用于等級(jí)保護(hù)建設(shè)。下面,筆者就來(lái)談?wù)劦诙阑饓?biāo)準(zhǔn)所定義的第二代防火墻是如何在等保建設(shè)中進(jìn)行應(yīng)用,以及在等保建設(shè)中能夠幫助用戶解決什么問(wèn)題。
信息安全等級(jí)保護(hù)適用情況
用戶在等保建設(shè)過(guò)程中面臨的問(wèn)題
a.多設(shè)備部署產(chǎn)生高昂建設(shè)費(fèi)用,方案難以落地
組織單位往往根據(jù)等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)制定的等保方案,進(jìn)行信息系統(tǒng)安全建設(shè)。但根據(jù)等保測(cè)評(píng)機(jī)構(gòu)的調(diào)查數(shù)據(jù)顯示,測(cè)評(píng)機(jī)構(gòu)提供等級(jí)保護(hù)方案后,用戶往往并不能很好地落實(shí),其原因是由于等保建設(shè)涉及眾多硬件設(shè)備,而用戶的建設(shè)預(yù)算往往有限。
如信息安全等級(jí)保護(hù)對(duì)用戶的網(wǎng)絡(luò)安全和主機(jī)安全均提出了入侵防范、惡意代碼防范等要求,傳統(tǒng)解決方案通過(guò)串聯(lián)部署傳統(tǒng)防火墻、IPS(入侵防御系統(tǒng))、防病毒網(wǎng)關(guān)等設(shè)備來(lái)滿足等保要求。
另一方面,多設(shè)備部署令I(lǐng)T管理員運(yùn)維起來(lái)相當(dāng)困難,同時(shí)往往會(huì)忽略開(kāi)啟部分防護(hù)策略,導(dǎo)致本應(yīng)開(kāi)啟的防護(hù)策略未被開(kāi)啟,影響防護(hù)效果。當(dāng)網(wǎng)絡(luò)中發(fā)生安全事件時(shí),將嚴(yán)重影響響應(yīng)速度。
b.傳統(tǒng)安全產(chǎn)品未考慮網(wǎng)絡(luò)新威脅的變化
用戶在進(jìn)行等級(jí)保護(hù)建設(shè)時(shí),常常會(huì)在網(wǎng)絡(luò)的不同區(qū)域部署傳統(tǒng)防火墻、IDS(入侵檢測(cè)系統(tǒng))、IPS等設(shè)備,但權(quán)威機(jī)構(gòu)調(diào)查發(fā)現(xiàn),由于傳統(tǒng)安全產(chǎn)品的相關(guān)產(chǎn)品標(biāo)準(zhǔn)、規(guī)范發(fā)布時(shí)間較早,這些產(chǎn)品標(biāo)準(zhǔn)、規(guī)范并未對(duì)新型網(wǎng)絡(luò)威脅進(jìn)行定義,因此傳統(tǒng)安全產(chǎn)品并無(wú)法有效抵御新的網(wǎng)絡(luò)攻擊。
如著名IT咨詢機(jī)構(gòu)Gartner指出,用戶面臨的網(wǎng)絡(luò)攻擊75%來(lái)自應(yīng)用層,但傳統(tǒng)防火墻只能抵御網(wǎng)絡(luò)層攻擊,并無(wú)法防御應(yīng)用層威脅。而依賴攻擊特征庫(kù)進(jìn)行工作的IPS,并無(wú)法檢測(cè)和防御利用0Day漏洞發(fā)起的攻擊。若用戶仍舊選用傳統(tǒng)防火墻、IPS等設(shè)備進(jìn)行等保建設(shè),這將導(dǎo)致用戶的網(wǎng)絡(luò)無(wú)法防御各類新威脅,達(dá)不到應(yīng)有的防護(hù)效果。
第二代防火墻標(biāo)準(zhǔn)對(duì)等級(jí)保護(hù)的適用性
第二代防火墻標(biāo)準(zhǔn)指出,第二代防火墻除具備傳統(tǒng)防火墻包過(guò)濾、狀態(tài)檢測(cè)等基本功能外,還應(yīng)具備應(yīng)用流量識(shí)別、應(yīng)用層訪問(wèn)控制、Web攻擊防護(hù)、惡意代碼防護(hù)、信息泄露防護(hù)和入侵防御等功能。等級(jí)保護(hù)對(duì)用戶的網(wǎng)絡(luò)和主機(jī)提出入侵防范、惡意代碼防范等安全要求,可見(jiàn)第二代防火墻標(biāo)準(zhǔn)定義的第二代防火墻適用于等級(jí)保護(hù)建設(shè),可部署于安全域邊界,滿足訪問(wèn)控制、入侵防范和惡意代碼防范等要求。
a.多功能融合降低建設(shè)成本,解決運(yùn)維復(fù)雜問(wèn)題
第二代防火墻標(biāo)準(zhǔn)定義第二代防火墻需融合傳統(tǒng)防火墻、IPS、Web攻擊防護(hù)等模塊,且各功能模塊間可形成智能的策略聯(lián)動(dòng)。該定義使第二代防火墻在等級(jí)保護(hù)建設(shè)中可有效替換傳統(tǒng)防火墻、IDS、IPS、Web應(yīng)用防火墻等多臺(tái)設(shè)備,幫助用戶降低等級(jí)保護(hù)建設(shè)費(fèi)用,并解決多設(shè)備串聯(lián)部署導(dǎo)致運(yùn)維困難等問(wèn)題。
b.多功能模塊實(shí)現(xiàn)良好的安全防護(hù)效果
信息安全等級(jí)保護(hù)考察的是用戶根據(jù)等保要求進(jìn)行信息安全建設(shè)時(shí),能否真正實(shí)現(xiàn)安全防護(hù)效果,確保信息系統(tǒng)安全穩(wěn)定地運(yùn)行。所以用戶在選購(gòu)安全產(chǎn)品時(shí),不能僅僅考慮產(chǎn)品資質(zhì),還應(yīng)當(dāng)考慮產(chǎn)品的實(shí)際防護(hù)效果。如傳統(tǒng)防火墻只能防御網(wǎng)絡(luò)層攻擊,無(wú)法抵御蠕蟲(chóng)病毒、木馬等應(yīng)用層威脅,若用戶在進(jìn)行等級(jí)保護(hù)建設(shè)時(shí),采用傳統(tǒng)防火墻部署在安全域邊界,防護(hù)效果難以保證。
第二代防火墻標(biāo)準(zhǔn)的制定,充分考慮了等級(jí)保護(hù)要求和日益復(fù)雜的網(wǎng)絡(luò)環(huán)境,因此定義第二代防火墻應(yīng)具備Web攻擊防護(hù)、信息泄露防護(hù)等功能,令第二代防火墻能夠同時(shí)防范網(wǎng)絡(luò)層和應(yīng)用層攻擊,滿足用戶業(yè)務(wù)系統(tǒng)Web化產(chǎn)生的Web攻擊防護(hù)需求,有效抵御如SQL注入、XSS跨站腳本攻擊等種類繁多的Web攻擊,保障用戶各類業(yè)務(wù)系統(tǒng)的安全。
同時(shí),第二代防火墻的信息泄露防護(hù)功能可檢測(cè)網(wǎng)絡(luò)中的敏感信息,當(dāng)設(shè)備發(fā)現(xiàn)流出的信息流包含敏感數(shù)據(jù)時(shí),可攔截敏感信息的發(fā)送。該功能還能夠定位網(wǎng)絡(luò)中受僵尸病毒感染的計(jì)算機(jī)終端,幫助用戶發(fā)現(xiàn)僵尸網(wǎng)絡(luò),從而采取清理措施。