下一代网络准入控制技术研究-电力信息与通信技术.pdfVIP

ELECTRIC POWER ICT 中图分类号：TP309　　文献标志码：A　　文章编号：2095-641X(2015)11-0062-04 下一代网络准入控制技术研究 马之力 1 ，闫晓斌 2 ，李方军2 ，于建伟 3 （1. 国网甘肃省 电力公 司 电力科学研究院 ，甘肃 兰州 730050 ；2 . 国网甘肃省 电力公 司 科技信通部 ，甘肃 兰州 730050 ； 3 . 国网甘肃省 电力公 司 平凉供 电公 司 ，甘肃 平凉 744000 ） 摘要：现有 网络准入技术 由于商业考虑或技术壁垒 ，各 自有所偏重 ，不能很好地满足安全形势发展 变化 的需求。为解决该 问题 ，文章提 出在 下一代 网络准入控制技术 中融入被动防御技术 ，通过分 析下一代准入技术应重点关注和解决的问题 ，深入研究终端信息收集、终端大数据构建与互操作、 缓解 APT 攻击等下一代准入关键技术。结果表 明 ，在 下一代 网络准入控制技术 中融入被动防御 技术能够全面地收集 网络及终端信息 ，进而构建纵深安全 防御体 系。与现有准入技术相 比，下一 代准入控制技术具有广泛支持第三方平台、风险控制、缓解 APT 攻击等诸多优势。 关键词：下一代 网络准入；终端信息收集；大数据；缓解 APT 攻击 技 术 研 究 与 0　引言 商业考虑或技术壁垒 ，各 自有所偏重 [3-4] 。同时 ，网络 应 攻击技术不 断更新 ，手段愈加复杂 ，安全形势对 准入 用 近 20 年来 ，信 息 网络 技 术 发 展 迅 速 ，在 各 行 各 技 术 提 出 了更 高 的要 求 。事 实上 ，综 合 以往 关 于 网 业得 到 了广泛应用 ，不仅提高 了工作效率 ，而且方便 络安 全 问题 的研 究 ，在 完 善 和提 升 网络 准入 控 制 主 了 日常生 活 ，在 推 动社会 进 步 和 国民经 济 发 展 等方 动 防御技术 的同时 ，在其 中融入被动 防御技术 ，能够 面发 挥 着 极 为重要 的作 用 。但 与此 同时 ，也 带来 了 很 好 地 满 足整个 网络 的安 全 需 求 ，这 也 是 下 一 代 网 诸 多 的信 息 网络安全 问题 和压力 [1-2] 。防火墙 、防毒 络准入控制技术要解决 的问题 [2,5] 。 墙 、流量 清洗 系统 、Web 应 用 防火墙 、入侵 防御 系统 1　主要问题分析 （Intru sion Prevention System ，IP S ）、入 侵 检 测 系 统 （Intru sion Detection System ，ID S ）等安全 防护设备 近年来 ，网络攻 击 呈 现智 能化 、系统 化 、综 合 化 应运而生 ，在 网络边界构筑 了一道道安全 防线 ，起 到 的趋势 ，新 的攻击方式不 断涌现 ，下一代 网络准入控 了一 定 的防御 作 用 。但 是 ，网络安 全 威 胁 不 仅 仅 局 制技术应重点关注并解决 以下几方面 的问题 。 限于外 部 攻 击 ，内部 不 安 全 因素 的危 害性 更 大 。 内 1.1　终端信息的全面收集 部 不 安 全 因素 的最 大威 胁 是 终 端 行 为不 可控 、安 全 研 究 表 明 ，大部 分 组 织 和单 位 通 常 只 了解 网络 状态不达标 、网络接入不规范 ，接入 的终端及其行 为 中 80% 的设 备 ，且 这 些 设 备 中约 50% 都 存 在 安 全 不可信 、不安全 ，没有从源头上进行安全 防控 。因此 ，