• 关于我们 联系我们
当前位置:安全防火墙 → 正文

第二代防火墙标准的前生今世:终结市场混乱局面

责任编辑:editor006 作者:黄海峰 |来源:企业网D1Net  2015-02-27 17:33:46 本文摘自:通信世界网

第二代防火墙标准自2014年9月1日实施以来备受业内关注,该标准是信息安全行业规范编制单位暨信息安全等级保护测评单位——公安部第三研究所,在公安部科技信息化局的授权下,经过深入的社会调研,并通过向国内优秀安全厂商征集意见,历时17个月制定出的适用于我国网络环境的第二代防火墙(又称下一代防火墙)标准。

标准的推出意味着下一代防火墙在国内已经正式标准化,用户可以参照该标准采购真正意义上的下一代防火墙。而标准的实施是安全产品走向功能融合的重要里程碑。但是,许多用户并未深入地了解第二代防火墙标准及其内容的指导意义,对于第二代防火墙能否取代传统安全产品、能否真正防御新的安全威胁以及能否适用于等级保护建设存在疑惑。

防火墙标准亟待改善

第二代防火墙标准推出的一个重要原因是原有标准(GB/T20281-2006《信息安全技术 防火墙技术要求和测试评价方法》,以下简称“旧标准”)对于其发布后6~8年时间内出现的新的安全威胁,并没有给出明确的定义,用户按照旧标准进行安全建设并不能很好地满足其安全防护需求。

在2月4日举行的第二代防火墙标准发布会上,公安部第三研究所专家邹春明表示,基于2~4层进行安全防护的传统防火墙,并无法有效防护来自应用层的网络威胁;而集成了防火墙、入侵防御和杀毒软件的UTM,在开启多个应用层处理功能后,性能急剧下降,无法满足用户的业务需求。

为此,国外如Palo Alto、梭子鱼、CheckPoint、Fortinet、F5、Cisco等,国内如深信服、绿盟、网神、山石等厂商,纷纷投入第二代防火墙的研究并推出相关产品。

“目前,各个安全厂商都推出了自己的下一代防火墙产品,但是没有统一的标准。因此,需要一个统一的标准,为各个厂商起到指导作用。”邹春明指出,第二代防火墙产品处于快速发展阶段,有必要尽快制定相应的行业标准,以规范第二代防火墙产品在我国的发展。在此背景下,第二代防火墙及其标准应运而生。

业内普遍认为,第二代防火墙定义是部署于不同的安全域之间,除具备传统防火墙的基本访问控制功能之外,还具备应用层访问控制、用户控制、深度内容检测、高性能等特征的防火墙。

第二代防火墙的主要特点是实现架构上应一次解包完成全部检查,功能上应具备传统防火墙的各项能力、完全集成IPS、网络行为的识别与控制、用户及用户组的控制、能添加外部智能模块,另外具有高性能。

新标准已经成熟

从2012年开始,公安部第三研究所为制定出更符合我国行业用户网络安全需求的下一代防火墙标准,邀请了包括深信服科技、绿盟科技、网神等在内的国内一流安全厂商参与标准的讨论,结合网络安全环境和用户的业务安全需求,制定出“第二代防火墙”必须具备应用控制、Web攻击防护、信息泄露防护和入侵防御等功能。

邹春明指出,第二代防火墙标准参考了众多的国家标准、行业标准,调研了国内众多行业用户的网络安全建设需求,并对标准进行了6轮讨论和修改,它是一部能够指导用户进行信息安全建设和等级保护建设的成熟标准。

该标准对第二代防火墙的性能要求主要针对应用层处理性能方面。而传统防火墙主要是3-4层的性能要求。在分级方面,根据安全功能强弱和安全保证要求高低分为基本级和增强级,而环境适应性要求和性能要求不作为等级划分依据。

从国家网络安全顶层设计层面而言,公安部非常鼓励国内优秀信息安全企业参与安全标准的研发和制定,应当将第二代防火墙标准等创新的标准上升为国家标准。”对该标准,郭启全总工表示,国家重要行业部门应当积极响应号召,将标准应用到实际的网络安全建设中去。

Link:第二代防火墙编制过程

2012年12月,以现有国标为基础编制了标准草稿(第一稿):主要包括功能要求、性能要求、安全要求和保证要求4部分。

2013年1月,标准编制组检测中心成员对标准草稿进行了内部讨论,并提出了修改意见:规范标准格式、术语定义主要引用原国标,增加“第二代防火墙”定义等,修改完成后形成草稿(第二稿)。

2013年2月,再次对第二稿进行讨论修订,主要包括:标准格式参考CC思路、增加对IPV6的支持要求、分级由原来三级改为两级,完成草稿(第三稿)。

2013年3月,检测中心和深信服编制人员对具体条目进行了逐项讨论,对技术要求部分的结构做出了大的调整,完成草稿(第四稿)。

2013年6月,完成了该标准在公共安全信安标委会的申报、立项等工作。

2013年6月,在北京组织深信服、绿盟、网神、网御、天行网安等信息安全产品厂商,国土资源部、农业部、国家统计局、国家质检总局等用户单位,公安部科信局、网络安全保卫局等主管单位参与讨论,对标准内容及标准格式提出了较多修改建议;形成征求意见稿。

2013年9月,以电子邮件方式向20家防火墙厂商征求意见,其中8家厂商进行了反馈,提出了较为详细的修改建议,编制组对所接收到的反馈意见逐条进行了讨论,并完成征求意见汇总处理表。

2013年10月,征求了IXIA、BPS等性能测试仪表厂商意见,对产品性能要求做出部分修订。

2013年11月,组织专家在上海对该标准的征求意见稿进行了评审,并提出了修改建议,编制组根据专家建议,对征求意见稿进行了相应修订,形成送审稿。

2014年3月,公安部信息系统安全标准化委员会在北京对该标准送审稿进行了评审,并提出了修改建议,编制组根据专家建议,对送审稿进行了相应修订,完成报批稿。

2014年7月,正式发布,标准号为GA/T 1177-2014。

2014年9月,标准正式实施。

关键字:Fortinet标准编制

本文摘自:通信世界网

x 第二代防火墙标准的前生今世:终结市场混乱局面 扫一扫
分享本文到朋友圈
当前位置:安全防火墙 → 正文

第二代防火墙标准的前生今世:终结市场混乱局面

责任编辑:editor006 作者:黄海峰 |来源:企业网D1Net  2015-02-27 17:33:46 本文摘自:通信世界网

第二代防火墙标准自2014年9月1日实施以来备受业内关注,该标准是信息安全行业规范编制单位暨信息安全等级保护测评单位——公安部第三研究所,在公安部科技信息化局的授权下,经过深入的社会调研,并通过向国内优秀安全厂商征集意见,历时17个月制定出的适用于我国网络环境的第二代防火墙(又称下一代防火墙)标准。

标准的推出意味着下一代防火墙在国内已经正式标准化,用户可以参照该标准采购真正意义上的下一代防火墙。而标准的实施是安全产品走向功能融合的重要里程碑。但是,许多用户并未深入地了解第二代防火墙标准及其内容的指导意义,对于第二代防火墙能否取代传统安全产品、能否真正防御新的安全威胁以及能否适用于等级保护建设存在疑惑。

防火墙标准亟待改善

第二代防火墙标准推出的一个重要原因是原有标准(GB/T20281-2006《信息安全技术 防火墙技术要求和测试评价方法》,以下简称“旧标准”)对于其发布后6~8年时间内出现的新的安全威胁,并没有给出明确的定义,用户按照旧标准进行安全建设并不能很好地满足其安全防护需求。

在2月4日举行的第二代防火墙标准发布会上,公安部第三研究所专家邹春明表示,基于2~4层进行安全防护的传统防火墙,并无法有效防护来自应用层的网络威胁;而集成了防火墙、入侵防御和杀毒软件的UTM,在开启多个应用层处理功能后,性能急剧下降,无法满足用户的业务需求。

为此,国外如Palo Alto、梭子鱼、CheckPoint、Fortinet、F5、Cisco等,国内如深信服、绿盟、网神、山石等厂商,纷纷投入第二代防火墙的研究并推出相关产品。

“目前,各个安全厂商都推出了自己的下一代防火墙产品,但是没有统一的标准。因此,需要一个统一的标准,为各个厂商起到指导作用。”邹春明指出,第二代防火墙产品处于快速发展阶段,有必要尽快制定相应的行业标准,以规范第二代防火墙产品在我国的发展。在此背景下,第二代防火墙及其标准应运而生。

业内普遍认为,第二代防火墙定义是部署于不同的安全域之间,除具备传统防火墙的基本访问控制功能之外,还具备应用层访问控制、用户控制、深度内容检测、高性能等特征的防火墙。

第二代防火墙的主要特点是实现架构上应一次解包完成全部检查,功能上应具备传统防火墙的各项能力、完全集成IPS、网络行为的识别与控制、用户及用户组的控制、能添加外部智能模块,另外具有高性能。

新标准已经成熟

从2012年开始,公安部第三研究所为制定出更符合我国行业用户网络安全需求的下一代防火墙标准,邀请了包括深信服科技、绿盟科技、网神等在内的国内一流安全厂商参与标准的讨论,结合网络安全环境和用户的业务安全需求,制定出“第二代防火墙”必须具备应用控制、Web攻击防护、信息泄露防护和入侵防御等功能。

邹春明指出,第二代防火墙标准参考了众多的国家标准、行业标准,调研了国内众多行业用户的网络安全建设需求,并对标准进行了6轮讨论和修改,它是一部能够指导用户进行信息安全建设和等级保护建设的成熟标准。

该标准对第二代防火墙的性能要求主要针对应用层处理性能方面。而传统防火墙主要是3-4层的性能要求。在分级方面,根据安全功能强弱和安全保证要求高低分为基本级和增强级,而环境适应性要求和性能要求不作为等级划分依据。

从国家网络安全顶层设计层面而言,公安部非常鼓励国内优秀信息安全企业参与安全标准的研发和制定,应当将第二代防火墙标准等创新的标准上升为国家标准。”对该标准,郭启全总工表示,国家重要行业部门应当积极响应号召,将标准应用到实际的网络安全建设中去。

Link:第二代防火墙编制过程

2012年12月,以现有国标为基础编制了标准草稿(第一稿):主要包括功能要求、性能要求、安全要求和保证要求4部分。

2013年1月,标准编制组检测中心成员对标准草稿进行了内部讨论,并提出了修改意见:规范标准格式、术语定义主要引用原国标,增加“第二代防火墙”定义等,修改完成后形成草稿(第二稿)。

2013年2月,再次对第二稿进行讨论修订,主要包括:标准格式参考CC思路、增加对IPV6的支持要求、分级由原来三级改为两级,完成草稿(第三稿)。

2013年3月,检测中心和深信服编制人员对具体条目进行了逐项讨论,对技术要求部分的结构做出了大的调整,完成草稿(第四稿)。

2013年6月,完成了该标准在公共安全信安标委会的申报、立项等工作。

2013年6月,在北京组织深信服、绿盟、网神、网御、天行网安等信息安全产品厂商,国土资源部、农业部、国家统计局、国家质检总局等用户单位,公安部科信局、网络安全保卫局等主管单位参与讨论,对标准内容及标准格式提出了较多修改建议;形成征求意见稿。

2013年9月,以电子邮件方式向20家防火墙厂商征求意见,其中8家厂商进行了反馈,提出了较为详细的修改建议,编制组对所接收到的反馈意见逐条进行了讨论,并完成征求意见汇总处理表。

2013年10月,征求了IXIA、BPS等性能测试仪表厂商意见,对产品性能要求做出部分修订。

2013年11月,组织专家在上海对该标准的征求意见稿进行了评审,并提出了修改建议,编制组根据专家建议,对征求意见稿进行了相应修订,形成送审稿。

2014年3月,公安部信息系统安全标准化委员会在北京对该标准送审稿进行了评审,并提出了修改建议,编制组根据专家建议,对送审稿进行了相应修订,完成报批稿。

2014年7月,正式发布,标准号为GA/T 1177-2014。

2014年9月,标准正式实施。

关键字:Fortinet标准编制

本文摘自:通信世界网

电子周刊
回到顶部
网站地图

企业网D1Net 信众智-CIO社交平台 第1培训-企业数字化培训平台 会展活动

CIO 数字化转型 云计算 数据中心 大数据 元宇宙 物联网 人工智能 安全

移动办公 服务器 存储 访谈 区块链 数据网络 智慧城市 视频会议 芯片

统一通信 企业应用软件 创新技术 新闻中心

联系我们:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

投稿信箱:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^