浅谈下一代防火墙标准对等级保护的适用性

信息安全等级保护是我国公安部用于指导国内各组织单位进行信息安全建设的依据，于2004年开始实施的等级保护工作在我国已经开展了11年，信息安全等级保护建设也已经成为考核组织单位信息化水平的一项重要指标。于2014年9月正式实施的第二代防火墙标准在制定时充分考虑了等级保护要求，明确了其所定义的第二代防火墙功能基本级对应等级保护一、二级，第二代防火墙功能增强级对应等级保护三、四级。本文就第二代防火墙如何满足等保要求、在等级保护建设中的应用等问题展开深入介绍。

第二代防火墙标准满足等保一至四级要求

公安部第三研究所是我国信息安全等级保护测评单位，同时也是国内第二代防火墙标准的牵头起草单位。该所资深安全专家邹春明曾在今年2月的第二代防火墙标准发布会上谈到，GA/T1177-2014《信息安全技术 第二代防火墙安全技术要求》(即第二代防火墙标准)在制定时参考了等级保护要求，将第二代防火墙的功能分级与等级保护的级别进行了关系对应，明确了第二代防火墙功能基本级对应等级保护一、二级，第二代防火墙功能增强级对应等级保护三、四级。

第二代防火墙功能与等级保护对应关系

信息安全等级保护要求适用于全国各行各业，同时也是行业用户进行信息安全建设所需遵循的依据。用于规范国内网络安全产品市场的第二代防火墙标准，定义了第二代防火墙功能与等级保护级别的对应关系，适用于等级保护建设。下面，笔者就来谈谈第二代防火墙标准所定义的第二代防火墙是如何在等保建设中进行应用，以及在等保建设中能够帮助用户解决什么问题。

第一级适用于小型私营、个体企业、中小学、乡镇所属信息系统，县级单位中一般的信息系统。

第二级适用于县级某些单位中的重要信息系统，地市级以上国家机关、企事业单位内部一般的信息系统。如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。

第三级适用于地市级以上国家机关、企业、事业单位内部重要的信息系统，如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统，跨省、跨市或全国(省)联网运行的用于生产、调度、管理、作业、指挥等方面的信息系统，跨省或全国联网的重要信息系统在省、地市的分支系统，中央各部委、省(区市)门户网站和重要网站，跨省联接的网络等。

第四级适用于国家重要领域、重要部门中的特别重要系统以及核心系统。如全国铁路、民航、电力等部门的调度系统，银行、证券、保险、税务、海关等几十个重要行业部门中的涉及国计民生的核心系统。

第五级适用于国家重要领域、重要部门中的极端重要系统。

信息安全等级保护适用情况

用户在等保建设过程中面临的问题

a. 多设备部署产生高昂建设费用，方案难以落地

组织单位往往根据等级保护测评机构制定的等保方案，进行信息系统安全建设。但根据等保测评机构的调查数据显示，测评机构提供等级保护方案后，用户往往并不能很好地落实，其原因是由于等保建设涉及众多硬件设备，而用户的建设预算往往有限。

如信息安全等级保护对用户的网络安全和主机安全均提出了入侵防范、恶意代码防范等要求，传统解决方案通过串联部署传统防火墙、IPS(入侵防御系统)、防病毒网关等设备来满足等保要求。

另一方面，多设备部署令IT管理员运维起来相当困难，同时往往会忽略开启部分防护策略，导致本应开启的防护策略未被开启，影响防护效果。当网络中发生安全事件时，将严重影响响应速度。

b. 传统安全产品未考虑网络新威胁的变化

用户在进行等级保护建设时，常常会在网络的不同区域部署传统防火墙、IDS(入侵检测系统)、IPS等设备，但权威机构调查发现，由于传统安全产品的相关产品标准、规范发布时间较早，这些产品标准、规范并未对新型网络威胁进行定义，因此传统安全产品并无法有效抵御新的网络攻击。

如著名IT咨询机构Gartner指出，用户面临的网络攻击75%来自应用层，但传统防火墙只能抵御网络层攻击，并无法防御应用层威胁。而依赖攻击特征库进行工作的IPS，并无法检测和防御利用0Day漏洞发起的攻击。若用户仍旧选用传统防火墙、IPS等设备进行等保建设，这将导致用户的网络无法防御各类新威胁，达不到应有的防护效果。

第二代防火墙标准对等级保护的适用性

第二代防火墙标准指出，第二代防火墙除具备传统防火墙包过滤、状态检测等基本功能外，还应具备应用流量识别、应用层访问控制、Web攻击防护、恶意代码防护、信息泄露防护和入侵防御等功能。等级保护对用户的网络和主机提出入侵防范、恶意代码防范等安全要求，可见第二代防火墙标准定义的第二代防火墙适用于等级保护建设，可部署于安全域边界，满足访问控制、入侵防范和恶意代码防范等要求。

a. 多功能融合降低建设成本，解决运维复杂问题

第二代防火墙标准定义第二代防火墙需融合传统防火墙、IPS、Web攻击防护等模块，且各功能模块间可形成智能的策略联动。该定义使第二代防火墙在等级保护建设中可有效替换传统防火墙、IDS、IPS、Web应用防火墙等多台设备，帮助用户降低等级保护建设费用，并解决多设备串联部署导致运维困难等问题。

b. 多功能模块实现良好的安全防护效果

信息安全等级保护考察的是用户根据等保要求进行信息安全建设时，能否真正实现安全防护效果，确保信息系统安全稳定地运行。所以用户在选购安全产品时，不能仅仅考虑产品资质，还应当考虑产品的实际防护效果。如传统防火墙只能防御网络层攻击，无法抵御蠕虫病毒、木马等应用层威胁，若用户在进行等级保护建设时，采用传统防火墙部署在安全域边界，防护效果难以保证。

第二代防火墙标准的制定，充分考虑了等级保护要求和日益复杂的网络环境，因此定义第二代防火墙应具备Web攻击防护、信息泄露防护等功能，令第二代防火墙能够同时防范网络层和应用层攻击，满足用户业务系统Web化产生的Web攻击防护需求，有效抵御如SQL注入、XSS跨站脚本攻击等种类繁多的Web攻击，保障用户各类业务系统的安全。

同时，第二代防火墙的信息泄露防护功能可检测网络中的敏感信息，当设备发现流出的信息流包含敏感数据时，可拦截敏感信息的发送。该功能还能够定位网络中受僵尸病毒感染的计算机终端，帮助用户发现僵尸网络，从而采取清理措施。