◆楊 蕓

黨校校園網(wǎng)安全體系建設(shè)

◆楊 蕓

（浙江省委黨校信息管理部 浙江 311121）

在黨校信息化建設(shè)快速發(fā)展的同時，也給校園網(wǎng)帶來巨大的安全隱患。黨校是培養(yǎng)黨員領(lǐng)導(dǎo)干部和理論干部的學(xué)校，雖然是一所學(xué)校，但同時也屬于黨委重要部門。根據(jù)黨校信息發(fā)展的規(guī)劃和要求，黨校校園網(wǎng)有其自身的特點，網(wǎng)絡(luò)安全也有更高的要求。本文以浙江省委黨校為例，探討了黨校校園網(wǎng)安全體系的建設(shè)模式。

黨校；校園網(wǎng)；網(wǎng)絡(luò)安全

0 引言

隨著黨校信息化建設(shè)的快速發(fā)展，能夠給教職工和學(xué)員的工作以及學(xué)習(xí)生活帶來極大的便利，但是也存在著許多潛在的安全問題。黨校是培養(yǎng)黨員領(lǐng)導(dǎo)干部和理論干部的學(xué)校，雖然是一所學(xué)校，但同時也屬于黨委重要部門。從中央到地方分別設(shè)立中央黨校，省、自治區(qū)、直轄市委黨校以及市（地）委黨校。因此不同于普通校園網(wǎng)，也不同于政務(wù)網(wǎng)，黨校校園網(wǎng)有其自身的特點，網(wǎng)絡(luò)安全要求也不盡相同。本文以浙江省委黨校為例，探討黨校校園網(wǎng)絡(luò)安全體系的建設(shè)情況。

1 黨校校園網(wǎng)特點與網(wǎng)絡(luò)安全要求

（1）黨校校園網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，網(wǎng)絡(luò)安全要求高。黨校校園網(wǎng)局域網(wǎng)與普通校園網(wǎng)和政務(wù)網(wǎng)比較，拓?fù)浣Y(jié)構(gòu)更為復(fù)雜。1）黨校的校園網(wǎng)除了有互聯(lián)網(wǎng)出口，還根據(jù)業(yè)務(wù)需求，與省財政廳、省人事廳、省教育廳、省委辦公廳、省衛(wèi)生廳等有專線連接；2）黨校系統(tǒng)從中央黨校、省委黨校至地、市、縣、區(qū)黨校都建立了黨校系統(tǒng)的虛擬專網(wǎng)；3）黨校校園網(wǎng)與電子政務(wù)網(wǎng)互聯(lián)，其中還包括電子政務(wù)外網(wǎng)接入與電子政務(wù)內(nèi)網(wǎng)涉密網(wǎng)的接入。

（2）黨校校園網(wǎng)應(yīng)用系統(tǒng)數(shù)量多且復(fù)雜，涉及敏感信息與保密數(shù)據(jù)。由于黨校培訓(xùn)教育的特殊性，黨校校園網(wǎng)用戶類型比較多樣化，除了教職工相對穩(wěn)定外，學(xué)員有各種身份，在校學(xué)習(xí)時間也各不相同。在黨校信息化建設(shè)過程中，為了使各種類型用戶有良好的用戶體驗，我們的應(yīng)用系統(tǒng)在設(shè)計時就相對比較復(fù)雜。應(yīng)用系統(tǒng)除了普通辦公業(yè)務(wù)系統(tǒng)外，還有學(xué)員管理系統(tǒng)、酒店管理系統(tǒng)、一卡通系統(tǒng)等之間相互對接，對校園網(wǎng)絡(luò)的規(guī)劃與設(shè)計、以及網(wǎng)絡(luò)安全提出了很高的要求。另外在學(xué)習(xí)培訓(xùn)過程中，有些信息系統(tǒng)涉及敏感信息與保密數(shù)據(jù)，因此對網(wǎng)絡(luò)系統(tǒng)提出了更高的安全等級要求。

2 黨校校園網(wǎng)絡(luò)安全隱患

（1）校園應(yīng)用系統(tǒng)高危漏洞。由于黨校辦學(xué)的特殊性，其應(yīng)用系統(tǒng)很難采用通用的軟件系統(tǒng)版本，基本都通過專門定制，因此在安全漏洞測試上存在一定缺陷，有些存在高危漏洞的風(fēng)險。

（2）校園內(nèi)部病毒。黨校在校學(xué)習(xí)的學(xué)員身份多種多樣，年齡層次、受教育程度、計算機應(yīng)用水平能力都差別很大，因此在計算機使用過程中缺乏安全意識，補丁、漏洞缺乏管理，中毒的可能性增大。

（3）出口帶寬濫用?，F(xiàn)在領(lǐng)導(dǎo)干部網(wǎng)上學(xué)習(xí)已經(jīng)成為考核領(lǐng)導(dǎo)干部的條件之一，特別是網(wǎng)上課程在線學(xué)習(xí)對帶寬的要求越來越大，并且不同的教學(xué)點采用不同的互聯(lián)網(wǎng)運營商鏈路，對黨校校園網(wǎng)的出口相應(yīng)提出了更高的要求。

（4）不當(dāng)?shù)纳暇W(wǎng)行為造成的安全問題。同樣由于黨校辦學(xué)的特殊性與學(xué)員身份的多樣性，黨校在上網(wǎng)行為管理策略上的配置也相對復(fù)雜和多變，難以達(dá)成統(tǒng)一、長效。

（5）通報整改被動。黨校屬于省委部門，其網(wǎng)絡(luò)安全問題直接由省網(wǎng)絡(luò)與信息安全中心、省通報中心、省公安廳網(wǎng)絡(luò)與信息處、省保密局等監(jiān)管。而對監(jiān)管部門的通報整改比較被動，應(yīng)用系統(tǒng)出現(xiàn)問題無法有效監(jiān)測。

（6）安全人員管理匱乏。校園網(wǎng)安全運維人員身兼數(shù)職，沒有專門的網(wǎng)絡(luò)安全管理隊伍，無法掌握新技術(shù)，面臨新威脅束手無策，資金也比較匱乏。

3 黨校校園網(wǎng)絡(luò)安全體系建設(shè)

3.1 使用網(wǎng)絡(luò)安全技術(shù)，構(gòu)建黨校校園網(wǎng)絡(luò)安全體系

（1）邊界安全。通過在互聯(lián)網(wǎng)出口部署防火墻、入侵防御、漏洞掃描等設(shè)備，實現(xiàn)整個局域網(wǎng)的邊界安全。浙江省委黨校在互聯(lián)網(wǎng)出口、虛擬專網(wǎng)出口、內(nèi)網(wǎng)服務(wù)器區(qū)分別部署防火墻設(shè)備及IPS設(shè)備，在DMZ區(qū)的服務(wù)器區(qū)域部署WAF設(shè)備、EDR設(shè)備對提供外網(wǎng)服務(wù)的服務(wù)器（如Web服務(wù)器、DNS服務(wù)器、Email服務(wù)器等）進(jìn)行保護。

（2）終端安全。通過使用防病毒技術(shù)及時監(jiān)測發(fā)現(xiàn)病毒和高危漏洞，構(gòu)建有效隱患排查和應(yīng)對機制。及時升級網(wǎng)站服務(wù)器的防病毒軟件、更新安全漏洞補丁。定期開展隱患排查，有效防范、抵御病毒等惡意代碼的入侵。有針對性地建立零日漏洞應(yīng)對機制，規(guī)避補丁缺失帶來的風(fēng)險。

（3）內(nèi)容安全。通過上網(wǎng)行為管理、業(yè)務(wù)安全網(wǎng)關(guān)、智能流量管理和用戶異常行為分析，實現(xiàn)整個局域網(wǎng)的內(nèi)容安全。利用國產(chǎn)密碼技術(shù)和設(shè)備，對數(shù)據(jù)、傳輸進(jìn)行加密，嚴(yán)守安全防護的最后一道防線。定期修改口令，解決系統(tǒng)默認(rèn)口令、弱口令、通用口令問題，定期修補隱患。采用黑白名單技術(shù)和云端、邊界、終端產(chǎn)品聯(lián)動技術(shù)，采用大數(shù)據(jù)技術(shù)、安全審計措施和設(shè)備，對網(wǎng)絡(luò)攻擊進(jìn)行關(guān)聯(lián)分析、日志存儲分析，追溯網(wǎng)絡(luò)攻擊問題。

（4）加強網(wǎng)絡(luò)安全防護的整體性、系統(tǒng)性。如果網(wǎng)絡(luò)的核心系統(tǒng)采取了較強的網(wǎng)絡(luò)安全防護措施，但由于防護的整體性、系統(tǒng)性欠缺，攻擊方從防護較弱的子系統(tǒng)發(fā)起攻擊，逐步滲透，整個網(wǎng)絡(luò)系統(tǒng)最終仍容易被攻破。

（5）對校園網(wǎng)進(jìn)行VLAN劃分。VLAN就是我們常說的虛擬局域網(wǎng)，實際上就是將整個局域網(wǎng)絡(luò)進(jìn)行網(wǎng)段隔離，阻止非同一網(wǎng)段的用戶訪問。VLAN可以有效地對網(wǎng)絡(luò)流量控制，減少廣播風(fēng)暴的發(fā)生，提高整個網(wǎng)絡(luò)的安全性能。當(dāng)然也可以通過三層交換機實現(xiàn)跨網(wǎng)段的通信。浙江省委黨校校園局域網(wǎng)也進(jìn)行了VLAN劃分，全校30多個教研教輔及行政管理部門，學(xué)員樓、教學(xué)樓等，每棟樓都有不同的VLAN，每個行政部門對應(yīng)一個VLAN，學(xué)員樓每個房間對應(yīng)一個VLAN，不同的VLAN對應(yīng)不同的IP地址段，這樣通過IP地址可以對應(yīng)到上網(wǎng)的用戶，也實現(xiàn)了上網(wǎng)實名認(rèn)證的問題。整個校園網(wǎng)的網(wǎng)絡(luò)安全拓?fù)鋱D如圖1。

圖1 校園網(wǎng)的網(wǎng)絡(luò)安全拓?fù)鋱D

3.2 加強網(wǎng)絡(luò)管理制度建設(shè)

（1）切實加強隊伍建設(shè)。黨校要建立健全計算機信息系統(tǒng)安全領(lǐng)導(dǎo)小組，配備、充實計算機安全專管員，切實承擔(dān)起單位內(nèi)部計算機信息系統(tǒng)安全保護職能。明確網(wǎng)絡(luò)安全直接責(zé)任人，明確校園網(wǎng)絡(luò)安全主要目標(biāo)、基本要求、工作任務(wù)、保護措施等。

（2）貫徹落實《網(wǎng)絡(luò)安全法》，落實國家信息安全等級保護制度。對黨校相關(guān)信息系統(tǒng)開展等級保護測評、整改和備案工作。切實履行監(jiān)管職責(zé)，按照國家信息安全等級保護條例，以“人防、技防、物防”等方面加強監(jiān)督管理，深入開展自查，落實發(fā)現(xiàn)、處置網(wǎng)絡(luò)攻擊的重要保護措施和技術(shù)措施，建立完善的重大網(wǎng)絡(luò)安全事件報告制度和應(yīng)急處置機制。

（3）開展對關(guān)鍵信息基礎(chǔ)設(shè)施的重點保護。由于黨校門戶網(wǎng)站是以gov為后綴的域名，黨校門戶網(wǎng)站被定為國家關(guān)鍵信息基礎(chǔ)設(shè)施。因此要根據(jù)《網(wǎng)絡(luò)安全法》關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施的規(guī)定，對黨校門戶網(wǎng)站實施重點保護。

（4）嚴(yán)格執(zhí)行安全保密制度。我校校園網(wǎng)制定了非涉密網(wǎng)絡(luò)安全保密管理制度，明確不允許存儲、處理涉密信息，并對非涉密網(wǎng)絡(luò)定期開展保密檢查。校園非涉密網(wǎng)絡(luò)與涉密網(wǎng)絡(luò)進(jìn)行物理隔離，在非涉密網(wǎng)絡(luò)中沒有接入涉密計算機及移動存儲介質(zhì)，沒有在非涉密應(yīng)用系統(tǒng)中存儲、處理、傳遞涉密文件信息資料，也沒有在非涉密服務(wù)器和計算機終端上存儲、處理涉密文件信息資料。

4 結(jié)束語

“三分技術(shù)、七分管理”，黨校校園網(wǎng)絡(luò)安全體系建設(shè)必須以網(wǎng)絡(luò)安全管理制度建設(shè)與網(wǎng)絡(luò)安全技術(shù)手段相結(jié)合，同時根據(jù)黨校信息化發(fā)展的特點和要求，更好地為黨校的信息化發(fā)展保駕護航。

[1]尹文皓.基于高校校園網(wǎng)絡(luò)安全技術(shù)及相關(guān)應(yīng)用探索[J].網(wǎng)絡(luò)安全技術(shù)與技術(shù)，2018.

[2]韓國華.探索高校中的網(wǎng)絡(luò)安全問題[J].山西電子技術(shù)，2018.

[3]黃健.網(wǎng)絡(luò)安全技術(shù)及策略在現(xiàn)代校園網(wǎng)絡(luò)中的應(yīng)用研究[J].網(wǎng)絡(luò)安全技術(shù)與技術(shù)，2018.

[4]向磊.網(wǎng)絡(luò)安全技術(shù)在校園網(wǎng)中的應(yīng)用[J].信息與電腦，2017.

[5]孟靖函.校園網(wǎng)絡(luò)規(guī)劃與設(shè)計[J].信息與電腦，2017.