于 鑫，王婷婷

（青島西海岸公用事業(yè)集團有限公司，山東 青島 266400）

1 電子信息工程

在當前的網(wǎng)絡環(huán)境下，各行業(yè)、各領域通過對互聯(lián)網(wǎng)技術的應用，能夠大幅提高管理工作效率和服務質(zhì)量。電子信息工程是一種先進的技術手段，在數(shù)據(jù)采集、處理和存儲等方面發(fā)揮著顯著作用[1]。通常來說，在電子信息工程的支持下，可以構建先進的信息系統(tǒng)。該系統(tǒng)的實用性特點比較突出，可以有效處理一些復雜性數(shù)據(jù)信息，且存儲量非常大。在電子信息工程的運用中，要求相關人員具有較高的安全意識，能夠根據(jù)應用環(huán)境確保技術應用的有效性，高效解決一些實際問題。

2 網(wǎng)絡安全等級保護加固方案總體設計思路

2.1 安全整改

針對電子信息工程，為實現(xiàn)網(wǎng)絡安全等級保護的有效強化，應將原有設備作為基礎，及時解決一些安全風險。建設初期以滿足合規(guī)性建設為主，僅對電子信息工程網(wǎng)絡的縱深防護安全能力進行規(guī)劃，未有效滲透并融合主動防御技術，缺乏持續(xù)監(jiān)測技術作為支持，導致電子信息工程網(wǎng)絡安全面臨較多風險[2]。具體可以從以下幾個角度出發(fā)進行解決。

第一，依據(jù)安全風險評估，完善基礎安全架構。針對電子信息工程網(wǎng)絡安全進行持續(xù)性的風險評估，將最終的評估結果作為依據(jù)，對安全架構展開針對性升級和優(yōu)化，在有效縮小攻擊范圍的同時，提高風險暴露時間控制效果。

第二，提高持續(xù)檢測與快速響應能力，完善安全體系。經(jīng)過全面的風險評估后發(fā)現(xiàn)，內(nèi)網(wǎng)資產(chǎn)方面仍面臨相應威脅和風險，因此應對其開展持續(xù)性檢測。在威脅情報驅(qū)動基礎上，有效促進云端、邊界和端點之間的關聯(lián)性，從而形成集防御、檢測和響應等功能于一體的完善安全體系。

第三，提高安全風險治理能力。近年來，我國人工智能技術、大數(shù)據(jù)技術發(fā)展態(tài)勢良好，在這些先進技術的支持下，有利于進一步提高全網(wǎng)安全風險防范能力，并實現(xiàn)電子信息工程網(wǎng)絡安全的可視化。這有助于提高網(wǎng)絡安全運維能力，在遇到風險時能夠及時進行應急響應與事件追溯。

2.2 整體框架構建

針對電子信息工程構建的網(wǎng)絡安全框架通常涉及互聯(lián)網(wǎng)、內(nèi)部網(wǎng)絡等內(nèi)容，承載了繁雜的核心業(yè)務應用。在此方面工作中，應結合相關企業(yè)具體業(yè)務需求，確保最終構建的安全加固框架可以為企業(yè)運行安全提供有效支持[3]。

3 關鍵技術模型構建

將安全可視化、動態(tài)感知和閉環(huán)聯(lián)動之間的融合作為基礎，構建完善的安全模型。在此過程中，需注重實現(xiàn)用戶、終端、網(wǎng)絡接入與全業(yè)務鏈之間的統(tǒng)一化，為有效聯(lián)動的實現(xiàn)奠定基礎，為用戶安全提供保障。

3.1 實現(xiàn)全網(wǎng)安全可視化

網(wǎng)絡安全體系的構建除確保遠程用戶和數(shù)據(jù)資源兩者的相互透明化外，還要考慮當前網(wǎng)絡環(huán)境的復雜性。對于完善的業(yè)務鏈而言，通常包括用戶、終端、業(yè)務及網(wǎng)絡等層面。在實踐設計工作中，不僅需要對這幾個層面的安全性進行專門保護，還應為業(yè)務鏈條整體安全性提供支持。在全業(yè)務鏈安全方面，不僅是數(shù)據(jù)中心架構的重要組成部分，還是廣泛解決方案中的關鍵性內(nèi)容。

3.2 動態(tài)感知

在網(wǎng)絡安全等級保護加固方案設計中，應結合業(yè)內(nèi)先進的信息安全理念，積極加強大數(shù)據(jù)、人工智能等多樣化技術的應用，為構建安全感知平臺提供相應支持。通過落實該舉措，可以為各業(yè)務場景增添新的功能，即對云端威脅進行有效感知。在安全邊界設備、上網(wǎng)行為感知系統(tǒng)的支持下，針對服務器和終端的文件、數(shù)據(jù)和通信實施安全監(jiān)控，通過合理應用先進大數(shù)據(jù)技術，實現(xiàn)對數(shù)據(jù)的準確感知，及時發(fā)現(xiàn)威脅。這里的威脅涉及網(wǎng)絡內(nèi)部威脅與外網(wǎng)帶入威脅2 個方面?；诼?lián)動接口，使用融合大數(shù)據(jù)技術的安全平臺進行分析后便能獲取可靠的檢測結果。通過邊界與終端、移動接入的安全控制功能，可以實現(xiàn)對網(wǎng)絡威脅總體情況的聯(lián)合感知，并在此基礎上進行聯(lián)合防御[4]。

3.3 實現(xiàn)閉環(huán)聯(lián)動

3.3.1 閉 環(huán)

對于當前環(huán)境下的網(wǎng)絡安全體系而言，動態(tài)響應與安全設備聯(lián)動是其中的關鍵性內(nèi)容。在大數(shù)據(jù)預測和云管理的支持下，需要確保實踐工作中所采取的各項安全策略可以充分滿足當前的網(wǎng)絡安全運行要求。將安全感知平臺相關預警信息作為依據(jù)，將運行和情報中心作為平臺，圍繞安全設備和網(wǎng)絡設備實施相應的策略，通過這種方式可以有效避免一些安全事件。

3.3.2 聯(lián) 動

安全聯(lián)動主要是在日志采集技術的支持下高效采集網(wǎng)絡設備、安全設備的相關日志信息，同時對這些信息進行有效處理。使用關聯(lián)分析技術可以準確可靠地提取信息，從而為安全威脅分析工作的開展提供有效支持。根據(jù)呈現(xiàn)的安全態(tài)勢界面，采用相關安全威脅事件技術進行安全響應。

4 網(wǎng)絡安全等級保護加固部署方案落實

4.1 互聯(lián)網(wǎng)出口區(qū)部署

互聯(lián)網(wǎng)出口區(qū)既是數(shù)據(jù)中心出口，也是用戶對互聯(lián)網(wǎng)進行訪問的出口。由于用戶數(shù)量相對較多，在通過該出口訪問互聯(lián)網(wǎng)時，應確保鏈路長期保持可用性，并對流量進行有效控制。在和互聯(lián)網(wǎng)進行有效對接后，容易受到分布式拒絕服務（Distributed Denial of Service，DDoS）攻擊等網(wǎng)絡攻擊，導致鏈路中斷或內(nèi)部信息技術（Information Technology，IT）系統(tǒng)遭受入侵。不法分子在獲取遠程控制權后會對外發(fā)起攻擊并盜取一些重要數(shù)據(jù)，造成嚴重后果。

在此情況下，采用雙機部署防火墻措施很有必要。針對網(wǎng)絡出口，應在互聯(lián)網(wǎng)出口邊界做好隔離和相關訪問控制工作。通過設計相應防護模塊，有效防控病毒和DDoS 攻擊，做好多層次的防護工作，便于實現(xiàn)相關入侵事件的動態(tài)化監(jiān)控和阻斷，有效防護網(wǎng)絡整體安全，最大限度地避免安全域受到外網(wǎng)的惡意攻擊。對于雙機應進行上網(wǎng)行為管理設備的部署，這樣可以實現(xiàn)互聯(lián)網(wǎng)出口流量的動態(tài)化識別，同時確保流量的高質(zhì)量管控，不僅可以大幅提高帶寬利用效率，還能為用戶帶來更好的上網(wǎng)體驗。

4.2 安全接入?yún)^(qū)部署

在安全接入?yún)^(qū)域支持下，分支機構可以與核心交換區(qū)有效連接，從而對數(shù)據(jù)中心的業(yè)務系統(tǒng)進行訪問和使用。在此過程中，可能會引發(fā)非法越權訪問、網(wǎng)絡攻擊等多種風險，還容易出現(xiàn)帶寬資源擁塞情況。通過采用雙機熱備、旁掛和串行等多樣化方式，做好下一代防火墻部署工作，并加強上網(wǎng)行為管理等多樣化設備應用。

4.3 核心交換區(qū)部署

核心交換機的部署主要使用雙機熱備方式，為業(yè)務系統(tǒng)的可靠性與可用性提供保障。通過使用靜態(tài)或動態(tài)路由協(xié)議方式，可以有效提高路由的安全可控性。對于核心交換區(qū)的部署，也可以進行安全資源池和安全組的旁掛或?qū)崿F(xiàn)潛伏威脅探針，從整體上提高全網(wǎng)核心流量檢測和審計工作的效率。

4.4 終端接入?yún)^(qū)部署

將各物理位置、業(yè)務功能等要素作為依據(jù)劃分虛擬局域網(wǎng)（Virtual Local Area Network，VLAN），在此基礎上準確劃分各漏洞終端子網(wǎng)。辦公終端應做好防病毒軟件的部署，并使用一些實用的安全管理軟件。通過部署內(nèi)網(wǎng)準入方式，可以進一步提高內(nèi)網(wǎng)終端認證管理效果，完善管理基礎，從而更高效地防御身份冒充和權限擴散。

4.5 安全管理區(qū)部署

安全管理區(qū)主要指基于相應業(yè)務環(huán)境，在安全域中實現(xiàn)相關網(wǎng)絡操作行為管理的集中化，同時做好細粒度審計。安全管理區(qū)具有內(nèi)網(wǎng)安全域流量監(jiān)控功能，能夠動態(tài)化檢測流量威脅，并直觀呈現(xiàn)這些風險因素。

當內(nèi)網(wǎng)虛擬機中存在流量不可視情況或虛擬機缺少相應的安全防護時，在各主機上部署輕量級端點探針，同時針對運維管理區(qū)部署專業(yè)化管理平臺。通過這種方式，可以控制虛擬機應用角色的相互訪問，實現(xiàn)安全訪問策略配置可視化，使用簡單且高效的手段達到應用訪問服務之間隔離的目的。通過該舉措可以避免在某臺虛擬機遭到攻陷后引起橫向攻擊，使虛擬化平臺發(fā)生癱瘓。管理區(qū)可以部署端點檢測與響應（Endpoint Detection & Response，EDR）管理平臺。該平臺擁有良好的虛擬機殺毒功能，能夠提高虛擬機對病毒和木馬的防控和隔離效果[5]。

通過部署數(shù)據(jù)庫安全審計系統(tǒng)能夠有效保護數(shù)據(jù)庫，在出現(xiàn)非法操作時進行告警和審計，對非法操作進行準確溯源，為數(shù)據(jù)庫賬號和相關數(shù)據(jù)安全提供有效保護。通過全面評估當前數(shù)據(jù)庫的安全風險，以報表形式進行展示，實現(xiàn)分析可視化，幫助相關工作人員從多角度出發(fā)了解數(shù)據(jù)庫安全現(xiàn)狀。此外，可以動態(tài)收集相關企業(yè)內(nèi)部網(wǎng)絡設備、主機等多樣化設備和系統(tǒng)日志信息，為用戶的安全分析和審計提供有效幫助，及時處理相關安全事件。

5 結 論

電子信息工程在各行業(yè)、各領域中的融合滲透程度越來越高，但目前在網(wǎng)絡安全方面仍存在一定缺陷。針對相應的缺陷問題，應積極落實網(wǎng)絡安全等級保護加固設計，從整體上提高信息安全保護效果，提高網(wǎng)絡環(huán)境的健康程度，為電子信息工程價值的充分發(fā)揮提供保障。