黨校校園網安全體系建設

◆楊 蕓

黨校校園網安全體系建設

◆楊 蕓

（浙江省委黨校信息管理部 浙江 311121）

在黨校信息化建設快速發展的同時，也給校園網帶來巨大的安全隱患。黨校是培養黨員領導干部和理論干部的學校，雖然是一所學校，但同時也屬于黨委重要部門。根據黨校信息發展的規劃和要求，黨校校園網有其自身的特點，網絡安全也有更高的要求。本文以浙江省委黨校為例，探討了黨校校園網安全體系的建設模式。

黨校；校園網；網絡安全

0 引言

隨著黨校信息化建設的快速發展，能夠給教職工和學員的工作以及學習生活帶來極大的便利，但是也存在著許多潛在的安全問題。黨校是培養黨員領導干部和理論干部的學校，雖然是一所學校，但同時也屬于黨委重要部門。從中央到地方分別設立中央黨校，省、自治區、直轄市委黨校以及市（地）委黨校。因此不同于普通校園網，也不同于政務網，黨校校園網有其自身的特點，網絡安全要求也不盡相同。本文以浙江省委黨校為例，探討黨校校園網絡安全體系的建設情況。

1 黨校校園網特點與網絡安全要求

（1）黨校校園網絡結構復雜，網絡安全要求高。黨校校園網局域網與普通校園網和政務網比較，拓撲結構更為復雜。1）黨校的校園網除了有互聯網出口，還根據業務需求，與省財政廳、省人事廳、省教育廳、省委辦公廳、省衛生廳等有專線連接；2）黨校系統從中央黨校、省委黨校至地、市、縣、區黨校都建立了黨校系統的虛擬專網；3）黨校校園網與電子政務網互聯，其中還包括電子政務外網接入與電子政務內網涉密網的接入。

（2）黨校校園網應用系統數量多且復雜，涉及敏感信息與保密數據。由于黨校培訓教育的特殊性，黨校校園網用戶類型比較多樣化，除了教職工相對穩定外，學員有各種身份，在校學習時間也各不相同。在黨校信息化建設過程中，為了使各種類型用戶有良好的用戶體驗，我們的應用系統在設計時就相對比較復雜。應用系統除了普通辦公業務系統外，還有學員管理系統、酒店管理系統、一卡通系統等之間相互對接，對校園網絡的規劃與設計、以及網絡安全提出了很高的要求。另外在學習培訓過程中，有些信息系統涉及敏感信息與保密數據，因此對網絡系統提出了更高的安全等級要求。

2 黨校校園網絡安全隱患

（1）校園應用系統高危漏洞。由于黨校辦學的特殊性，其應用系統很難采用通用的軟件系統版本，基本都通過專門定制，因此在安全漏洞測試上存在一定缺陷，有些存在高危漏洞的風險。

（2）校園內部病毒。黨校在校學習的學員身份多種多樣，年齡層次、受教育程度、計算機應用水平能力都差別很大，因此在計算機使用過程中缺乏安全意識，補丁、漏洞缺乏管理，中毒的可能性增大。

（3）出口帶寬濫用。現在領導干部網上學習已經成為考核領導干部的條件之一，特別是網上課程在線學習對帶寬的要求越來越大，并且不同的教學點采用不同的互聯網運營商鏈路，對黨校校園網的出口相應提出了更高的要求。

（4）不當的上網行為造成的安全問題。同樣由于黨校辦學的特殊性與學員身份的多樣性，黨校在上網行為管理策略上的配置也相對復雜和多變，難以達成統一、長效。

（5）通報整改被動。黨校屬于省委部門，其網絡安全問題直接由省網絡與信息安全中心、省通報中心、省公安廳網絡與信息處、省保密局等監管。而對監管部門的通報整改比較被動，應用系統出現問題無法有效監測。

（6）安全人員管理匱乏。校園網安全運維人員身兼數職，沒有專門的網絡安全管理隊伍，無法掌握新技術，面臨新威脅束手無策，資金也比較匱乏。

3 黨校校園網絡安全體系建設

3.1 使用網絡安全技術，構建黨校校園網絡安全體系

（1）邊界安全。通過在互聯網出口部署防火墻、入侵防御、漏洞掃描等設備，實現整個局域網的邊界安全。浙江省委黨校在互聯網出口、虛擬專網出口、內網服務器區分別部署防火墻設備及IPS設備，在DMZ區的服務器區域部署WAF設備、EDR設備對提供外網服務的服務器（如Web服務器、DNS服務器、Email服務器等）進行保護。

（2）終端安全。通過使用防病毒技術及時監測發現病毒和高危漏洞，構建有效隱患排查和應對機制。及時升級網站服務器的防病毒軟件、更新安全漏洞補丁。定期開展隱患排查，有效防范、抵御病毒等惡意代碼的入侵。有針對性地建立零日漏洞應對機制，規避補丁缺失帶來的風險。

（3）內容安全。通過上網行為管理、業務安全網關、智能流量管理和用戶異常行為分析，實現整個局域網的內容安全。利用國產密碼技術和設備，對數據、傳輸進行加密，嚴守安全防護的最后一道防線。定期修改口令，解決系統默認口令、弱口令、通用口令問題，定期修補隱患。采用黑白名單技術和云端、邊界、終端產品聯動技術，采用大數據技術、安全審計措施和設備，對網絡攻擊進行關聯分析、日志存儲分析，追溯網絡攻擊問題。

（4）加強網絡安全防護的整體性、系統性。如果網絡的核心系統采取了較強的網絡安全防護措施，但由于防護的整體性、系統性欠缺，攻擊方從防護較弱的子系統發起攻擊，逐步滲透，整個網絡系統最終仍容易被攻破。

（5）對校園網進行VLAN劃分。VLAN就是我們常說的虛擬局域網，實際上就是將整個局域網絡進行網段隔離，阻止非同一網段的用戶訪問。VLAN可以有效地對網絡流量控制，減少廣播風暴的發生，提高整個網絡的安全性能。當然也可以通過三層交換機實現跨網段的通信。浙江省委黨校校園局域網也進行了VLAN劃分，全校30多個教研教輔及行政管理部門，學員樓、教學樓等，每棟樓都有不同的VLAN，每個行政部門對應一個VLAN，學員樓每個房間對應一個VLAN，不同的VLAN對應不同的IP地址段，這樣通過IP地址可以對應到上網的用戶，也實現了上網實名認證的問題。整個校園網的網絡安全拓撲圖如圖1。

圖1 校園網的網絡安全拓撲圖

3.2 加強網絡管理制度建設

（1）切實加強隊伍建設。黨校要建立健全計算機信息系統安全領導小組，配備、充實計算機安全專管員，切實承擔起單位內部計算機信息系統安全保護職能。明確網絡安全直接責任人，明確校園網絡安全主要目標、基本要求、工作任務、保護措施等。

（2）貫徹落實《網絡安全法》，落實國家信息安全等級保護制度。對黨校相關信息系統開展等級保護測評、整改和備案工作。切實履行監管職責，按照國家信息安全等級保護條例，以“人防、技防、物防”等方面加強監督管理，深入開展自查，落實發現、處置網絡攻擊的重要保護措施和技術措施，建立完善的重大網絡安全事件報告制度和應急處置機制。

（3）開展對關鍵信息基礎設施的重點保護。由于黨校門戶網站是以gov為后綴的域名，黨校門戶網站被定為國家關鍵信息基礎設施。因此要根據《網絡安全法》關于關鍵信息基礎設施的規定，對黨校門戶網站實施重點保護。

（4）嚴格執行安全保密制度。我校校園網制定了非涉密網絡安全保密管理制度，明確不允許存儲、處理涉密信息，并對非涉密網絡定期開展保密檢查。校園非涉密網絡與涉密網絡進行物理隔離，在非涉密網絡中沒有接入涉密計算機及移動存儲介質，沒有在非涉密應用系統中存儲、處理、傳遞涉密文件信息資料，也沒有在非涉密服務器和計算機終端上存儲、處理涉密文件信息資料。

4 結束語

“三分技術、七分管理”，黨校校園網絡安全體系建設必須以網絡安全管理制度建設與網絡安全技術手段相結合，同時根據黨校信息化發展的特點和要求，更好地為黨校的信息化發展保駕護航。

[1]尹文皓.基于高校校園網絡安全技術及相關應用探索[J].網絡安全技術與技術，2018.

[2]韓國華.探索高校中的網絡安全問題[J].山西電子技術，2018.

[3]黃健.網絡安全技術及策略在現代校園網絡中的應用研究[J].網絡安全技術與技術，2018.

[4]向磊.網絡安全技術在校園網中的應用[J].信息與電腦，2017.

[5]孟靖函.校園網絡規劃與設計[J].信息與電腦，2017.