公安部第三研究所是我國信息安全等級保護測評單位，同時也是國內(nèi)第二代防火墻標準的牽頭起草單位。該所資深安全專家鄒春明曾在今年2月的第二代防火墻標準發(fā)布會上談到，GA/T1177-2014《信息安全技術 第二代防火墻安全技術要求》（即第二代防火墻標準）在制定時參考了等級保護要求，將第二代防火墻的功能分級與等級保護的級別進行了關系對應，明確了第二代防火墻功能基本級對應等級保護一、二級，第二代防火墻功能增強級對應等級保護三、四級。

　　第二代防火墻功能與等級保護對應關系

信息安全等級保護要求適用于全國各行各業(yè)，同時也是行業(yè)用戶進行信息安全建設所需遵循的依據(jù)。用于規(guī)范國內(nèi)網(wǎng)絡安全產(chǎn)品市場的第二代防火墻標準，定義了第二代防火墻功能與等級保護級別的對應關系，適用于等級保護建設。下面，筆者就來談談第二代防火墻標準所定義的第二代防火墻是如何在等保建設中進行應用，以及在等保建設中能夠幫助用戶解決什么問題。

　　圖片說明

信息安全等級保護適用情況

用戶在等保建設過程中面臨的問題

1

多設備部署產(chǎn)生高昂建設費用，

方案難以落地

組織單位往往根據(jù)等級保護測評機構制定的等保方案，進行信息系統(tǒng)安全建設。但根據(jù)等保測評機構的調(diào)查數(shù)據(jù)顯示，測評機構提供等級保護方案后，用戶往往并不能很好地落實，其原因是由于等保建設涉及眾多硬件設備，而用戶的建設預算往往有限。

如信息安全等級保護對用戶的網(wǎng)絡安全和主機安全均提出了入侵防范、惡意代碼防范等要求，傳統(tǒng)解決方案通過串聯(lián)部署傳統(tǒng)防火墻、IPS（入侵防御系統(tǒng)）、防病毒網(wǎng)關等設備來滿足等保要求。

另一方面，多設備部署令IT管理員運維起來相當困難，同時往往會忽略開啟部分防護策略，導致本應開啟的防護策略未被開啟，影響防護效果。當網(wǎng)絡中發(fā)生安全事件時，將嚴重影響響應速度。

2

傳統(tǒng)安全產(chǎn)品未考慮

網(wǎng)絡新威脅的變化

用戶在進行等級保護建設時，常常會在網(wǎng)絡的不同區(qū)域部署傳統(tǒng)防火墻、IDS（入侵檢測系統(tǒng)）、IPS等設備，但權威機構調(diào)查發(fā)現(xiàn)，由于傳統(tǒng)安全產(chǎn)品的相關產(chǎn)品標準、規(guī)范發(fā)布時間較早，這些產(chǎn)品標準、規(guī)范并未對新型網(wǎng)絡威脅進行定義，因此傳統(tǒng)安全產(chǎn)品并無法有效抵御新的網(wǎng)絡攻擊。

如著名IT咨詢機構Gartner指出，用戶面臨的網(wǎng)絡攻擊75%來自應用層，但傳統(tǒng)防火墻只能抵御網(wǎng)絡層攻擊，并無法防御應用層威脅。而依賴攻擊特征庫進行工作的IPS，并無法檢測和防御利用0Day漏洞發(fā)起的攻擊。若用戶仍舊選用傳統(tǒng)防火墻、IPS等設備進行等保建設，這將導致用戶的網(wǎng)絡無法防御各類新威脅，達不到應有的防護效果。

第二代防火墻標準對等級保護的適用性

第二代防火墻標準指出，第二代防火墻除具備傳統(tǒng)防火墻包過濾、狀態(tài)檢測等基本功能外，還應具備應用流量識別、應用層訪問控制、Web攻擊防護、惡意代碼防護、信息泄露防護和入侵防御等功能。等級保護對用戶的網(wǎng)絡和主機提出入侵防范、惡意代碼防范等安全要求，可見第二代防火墻標準定義的第二代防火墻適用于等級保護建設，可部署于安全域邊界，滿足訪問控制、入侵防范和惡意代碼防范等要求。

1

多功能融合降低建設成本，

解決運維復雜問題

第二代防火墻標準定義第二代防火墻需融合傳統(tǒng)防火墻、IPS、Web攻擊防護等模塊，且各功能模塊間可形成智能的策略聯(lián)動。該定義使第二代防火墻在等級保護建設中可有效替換傳統(tǒng)防火墻、IDS、IPS、Web應用防火墻等多臺設備，幫助用戶降低等級保護建設費用，并解決多設備串聯(lián)部署導致運維困難等問題。

2

多功能模塊

實現(xiàn)良好的安全防護效果

信息安全等級保護考察的是用戶根據(jù)等保要求進行信息安全建設時，能否真正實現(xiàn)安全防護效果，確保信息系統(tǒng)安全穩(wěn)定地運行。所以用戶在選購安全產(chǎn)品時，應當考慮產(chǎn)品的實際防護效果。如傳統(tǒng)防火墻只能防御網(wǎng)絡層攻擊，無法抵御蠕蟲病毒、木馬等應用層威脅，若用戶在進行等級保護建設時，采用傳統(tǒng)防火墻部署在安全域邊界，防護效果難以保證。

第二代防火墻標準的制定，充分考慮了等級保護要求和日益復雜的網(wǎng)絡環(huán)境，因此定義第二代防火墻應具備Web攻擊防護、信息泄露防護等功能，令第二代防火墻能夠同時防范網(wǎng)絡層和應用層攻擊，滿足用戶業(yè)務系統(tǒng)Web化產(chǎn)生的Web攻擊防護需求，有效抵御如SQL注入、XSS跨站腳本攻擊等種類繁多的Web攻擊，保障用戶各類業(yè)務系統(tǒng)的安全。

同時，第二代防火墻的信息泄露防護功能可檢測網(wǎng)絡中的敏感信息，當設備發(fā)現(xiàn)流出的信息流包含敏感數(shù)據(jù)時，可攔截敏感信息的發(fā)送。該功能還能夠定位網(wǎng)絡中受僵尸病毒感染的計算機終端，幫助用戶發(fā)現(xiàn)僵尸網(wǎng)絡，從而采取清理措施。

我國于2004年正式開始實施信息安全等級保護工作，等保工作已經(jīng)開展了11年，信息安全等級保護建設也已經(jīng)成為考核組織單位信息化水平的一項重要指標，如衛(wèi)生部下發(fā)的“85號文件”明確要求全國所有三甲醫(yī)院的核心業(yè)務信息系統(tǒng)的安全保護等級不能低于三級，保險、電力、水利、證券、廣電和稅務等行業(yè)的主管部門也分別制訂了本行業(yè)的等級保護要求。公安部網(wǎng)絡安全保衛(wèi)局總工郭啟全在第二代防火墻標準發(fā)布會上指出，國家網(wǎng)絡安全“十三五”期間，中央社會治安綜合治理委員會辦公室（簡稱中央綜治辦）出臺了相關文件，對地方政府的信息安全保障工作進行考核，其中便包括考核地方政府的等級保護工作。