等保2.0時(shí)代下一代防火墻選型指南
近年來(lái),網(wǎng)絡(luò)空間內(nèi)的惡意威脅越來(lái)越多,各種網(wǎng)絡(luò)攻擊事件層出不窮,惡意攻擊呈現(xiàn)產(chǎn)業(yè)化、智能化趨勢(shì)。網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0(簡(jiǎn)稱等保2.0)國(guó)家標(biāo)準(zhǔn)相比舊標(biāo)準(zhǔn)更適應(yīng)當(dāng)前網(wǎng)絡(luò)安全形勢(shì)的發(fā)展,其對(duì)《網(wǎng)絡(luò)安全法》中提到的持續(xù)檢測(cè)、威脅情報(bào)、快速響應(yīng)等要求提出了具體的落地要求。
因此以等保 2.0 的要求進(jìn)行網(wǎng)絡(luò)安全建設(shè)時(shí),將更加重視網(wǎng)絡(luò)安全綜合防御能力,相應(yīng)的安全設(shè)備也必須適應(yīng)等保 2.0 及網(wǎng)絡(luò)安全形勢(shì)的變化。
為幫助用戶在等保2.0時(shí)代選擇更適合的下一代防火墻產(chǎn)品,我們聯(lián)合全國(guó)27家機(jī)構(gòu)發(fā)布《等保2.0時(shí)代 下一代防火墻選型指南》(以下簡(jiǎn)稱選型指南),匯總歸納下一代防火墻需具備的能力,旨在為各企事業(yè)單位在等保建設(shè)過(guò)程中進(jìn)行下一代防火墻選型提供參考。
1.符合公安部第二代防火墻標(biāo)準(zhǔn)
GA/T1177-2014《信息安全技術(shù) 第二代防火墻安全技術(shù)要求》在制定時(shí)參考了等級(jí)保護(hù)要求,將第二代防火墻的功能分級(jí)與等級(jí)保護(hù)的級(jí)別進(jìn)行了關(guān)系對(duì)應(yīng),明確了第二代防火墻功能基本級(jí)對(duì)應(yīng)等級(jí)保護(hù)一、二級(jí),第二代防火墻功能增強(qiáng)級(jí)對(duì)應(yīng)等級(jí)保護(hù)三、四級(jí)。
第二代防火墻除了具備傳統(tǒng)防火墻包過(guò)濾、狀態(tài)檢測(cè)等基本功能之外,還具備應(yīng)用層訪問(wèn)控制、Web 攻擊防護(hù)、惡意代碼防護(hù)和入侵防御等功能,與等級(jí)保護(hù)中提出的入侵防范和惡意代碼防范等安全要求相呼應(yīng)。
▲功能與等級(jí)保護(hù)的對(duì)應(yīng)關(guān)系
2. 具備風(fēng)險(xiǎn)可視與風(fēng)險(xiǎn)預(yù)警能力
等保2.0在多個(gè)控制點(diǎn)對(duì)風(fēng)險(xiǎn)可視與風(fēng)險(xiǎn)預(yù)警能力提出相關(guān)要求,風(fēng)險(xiǎn)的發(fā)現(xiàn)和預(yù)警可以有多種方式實(shí)現(xiàn),在下一代防火墻上實(shí)現(xiàn)是其中之一。在防火墻上實(shí)現(xiàn)的最大好處是,防火墻距離攻擊最近,當(dāng)業(yè)務(wù)數(shù)據(jù)經(jīng)過(guò)防火墻時(shí),防火墻具備對(duì)業(yè)務(wù)數(shù)據(jù)的風(fēng)險(xiǎn)分析條件,相比獨(dú)立的風(fēng)險(xiǎn)探測(cè)和掃描設(shè)備來(lái)說(shuō),更容易在攻擊路徑上發(fā)現(xiàn)威脅、對(duì)風(fēng)險(xiǎn)的分析也更為實(shí)時(shí)。
具備風(fēng)險(xiǎn)預(yù)警能力的下一代防火墻能夠快速針對(duì)全網(wǎng)風(fēng)險(xiǎn)進(jìn)行預(yù)測(cè),生成對(duì)應(yīng)的防御策略,提供更加有效的安全防護(hù)效果。
3. 具備雙向攻擊防護(hù)能力
近年來(lái),攻擊從內(nèi)部發(fā)起的占比非常高,僵尸網(wǎng)絡(luò)、C&C連接等內(nèi)部攻擊行為幾乎出現(xiàn)在每一個(gè)安全事件中。因此,等保2.0中提出了應(yīng)對(duì)由內(nèi)到外的攻擊行為進(jìn)行檢測(cè)的相關(guān)要求,區(qū)別于以往的安全防御僅關(guān)注外部攻擊。因此,選擇具備應(yīng)用層雙向攻擊防護(hù)能力的防火墻,才能夠滿足等保2.0 的安全要求,同時(shí)在當(dāng)前安全形勢(shì)下獲得更好的防護(hù)效果。
4.具備新型網(wǎng)絡(luò)攻擊行為發(fā)現(xiàn)及防御能力
近些年新型網(wǎng)絡(luò)攻擊行為頻繁發(fā)生,2017年勒索病毒W(wǎng)annaCry利用“永恒之藍(lán)”漏洞大肆傳播,實(shí)際就是利用了安全防御能力對(duì)該漏洞的未知性,類似案例不勝枚舉?!暗缺?.0”作為網(wǎng)絡(luò)和信息安全建設(shè)的重要指導(dǎo),在對(duì)關(guān)鍵基礎(chǔ)設(shè)施的安全保護(hù)中,針對(duì)入侵防范增加了針對(duì)新型網(wǎng)絡(luò)攻擊行為的分析要求。
對(duì)防火墻來(lái)說(shuō),如何利用設(shè)備本地的防御能力,聯(lián)動(dòng)云端,通過(guò)智能分析算法模型的應(yīng)用、快速高頻更新的安全能力和云端的全網(wǎng)威脅情報(bào)提升設(shè)備對(duì)新型網(wǎng)絡(luò)攻擊行為的檢測(cè)和快速響應(yīng)能力,是防火墻設(shè)備能否適應(yīng)“等保2.0”安全建設(shè)的重要因素。
5. 具備更精準(zhǔn)的應(yīng)用層攻擊防御能力
相比之前的等級(jí)保護(hù)要求,等保2.0 更關(guān)注安全防護(hù)的顆粒度,對(duì)安全技術(shù)措施的有效性更為關(guān)注。例如,原來(lái)只在邊界保護(hù)要求的端口級(jí)防護(hù),現(xiàn)在擴(kuò)展到了對(duì)關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行應(yīng)用層協(xié)議及內(nèi)容的訪問(wèn)控制。當(dāng)前網(wǎng)絡(luò)環(huán)境中,攻擊威脅超過(guò)75%是來(lái)源于應(yīng)用層攻擊,因此,在等保2.0建設(shè)中,選擇防火墻設(shè)備應(yīng)當(dāng)考慮產(chǎn)品的實(shí)際防護(hù)效果,要更加關(guān)注設(shè)備的應(yīng)用層攻擊檢測(cè)和防御能力。
整體而言,下一代防火墻的選型上,首先需要選擇符合公安部相關(guān)檢測(cè)標(biāo)準(zhǔn)的產(chǎn)品。在此基礎(chǔ)上,還需選擇具備風(fēng)險(xiǎn)可視與預(yù)警能力、雙向攻擊防護(hù)能力、新型網(wǎng)絡(luò)攻擊行為發(fā)現(xiàn)及防護(hù)能力、精準(zhǔn)的應(yīng)用層防護(hù)能力的產(chǎn)品,以滿足等保2.0要求,應(yīng)對(duì)當(dāng)前網(wǎng)絡(luò)環(huán)境中的各類威脅和攻擊行為。