党校校园网安全体系建设

时间：2024-09-03

◆杨芸

党校校园网安全体系建设

◆杨芸

（浙江省委党校信息管理部浙江 311121）

在党校信息化建设快速发展的同时，也给校园网带来巨大的安全隐患。党校是培养党员领导干部和理论干部的学校，虽然是一所学校，但同时也属于党委重要部门。根据党校信息发展的规划和要求，党校校园网有其自身的特点，网络安全也有更高的要求。本文以浙江省委党校为例，探讨了党校校园网安全体系的建设模式。

党校；校园网；网络安全

0 引言

随着党校信息化建设的快速发展，能够给教职工和学员的工作以及学习生活带来极大的便利，但是也存在着许多潜在的安全问题。党校是培养党员领导干部和理论干部的学校，虽然是一所学校，但同时也属于党委重要部门。从中央到地方分别设立中央党校，省、自治区、直辖市委党校以及市（地）委党校。因此不同于普通校园网，也不同于政务网，党校校园网有其自身的特点，网络安全要求也不尽相同。本文以浙江省委党校为例，探讨党校校园网络安全体系的建设情况。

1 党校校园网特点与网络安全要求

（1）党校校园网络结构复杂，网络安全要求高。党校校园网局域网与普通校园网和政务网比较，拓扑结构更为复杂。1）党校的校园网除了有互联网出口，还根据业务需求，与省财政厅、省人事厅、省教育厅、省委办公厅、省卫生厅等有专线连接；2）党校系统从中央党校、省委党校至地、市、县、区党校都建立了党校系统的虚拟专网；3）党校校园网与电子政务网互联，其中还包括电子政务外网接入与电子政务内网涉密网的接入。

（2）党校校园网应用系统数量多且复杂，涉及敏感信息与保密数据。由于党校培训教育的特殊性，党校校园网用户类型比较多样化，除了教职工相对稳定外，学员有各种身份，在校学习时间也各不相同。在党校信息化建设过程中，为了使各种类型用户有良好的用户体验，我们的应用系统在设计时就相对比较复杂。应用系统除了普通办公业务系统外，还有学员管理系统、酒店管理系统、一卡通系统等之间相互对接，对校园网络的规划与设计、以及网络安全提出了很高的要求。另外在学习培训过程中，有些信息系统涉及敏感信息与保密数据，因此对网络系统提出了更高的安全等级要求。

2 党校校园网络安全隐患

（1）校园应用系统高危漏洞。由于党校办学的特殊性，其应用系统很难采用通用的软件系统版本，基本都通过专门定制，因此在安全漏洞测试上存在一定缺陷，有些存在高危漏洞的风险。

（2）校园内部病毒。党校在校学习的学员身份多种多样，年龄层次、受教育程度、计算机应用水平能力都差别很大，因此在计算机使用过程中缺乏安全意识，补丁、漏洞缺乏管理，中毒的可能性增大。

（3）出口带宽滥用。现在领导干部网上学习已经成为考核领导干部的条件之一，特别是网上课程在线学习对带宽的要求越来越大，并且不同的教学点采用不同的互联网运营商链路，对党校校园网的出口相应提出了更高的要求。

（4）不当的上网行为造成的安全问题。同样由于党校办学的特殊性与学员身份的多样性，党校在上网行为管理策略上的配置也相对复杂和多变，难以达成统一、长效。

（5）通报整改被动。党校属于省委部门，其网络安全问题直接由省网络与信息安全中心、省通报中心、省公安厅网络与信息处、省保密局等监管。而对监管部门的通报整改比较被动，应用系统出现问题无法有效监测。

（6）安全人员管理匮乏。校园网安全运维人员身兼数职，没有专门的网络安全管理队伍，无法掌握新技术，面临新威胁束手无策，资金也比较匮乏。

3 党校校园网络安全体系建设

3.1 使用网络安全技术，构建党校校园网络安全体系

（1）边界安全。通过在互联网出口部署防火墙、入侵防御、漏洞扫描等设备，实现整个局域网的边界安全。浙江省委党校在互联网出口、虚拟专网出口、内网服务器区分别部署防火墙设备及IPS设备，在DMZ区的服务器区域部署WAF设备、EDR设备对提供外网服务的服务器（如Web服务器、DNS服务器、Email服务器等）进行保护。

（2）终端安全。通过使用防病毒技术及时监测发现病毒和高危漏洞，构建有效隐患排查和应对机制。及时升级网站服务器的防病毒软件、更新安全漏洞补丁。定期开展隐患排查，有效防范、抵御病毒等恶意代码的入侵。有针对性地建立零日漏洞应对机制，规避补丁缺失带来的风险。

（3）内容安全。通过上网行为管理、业务安全网关、智能流量管理和用户异常行为分析，实现整个局域网的内容安全。利用国产密码技术和设备，对数据、传输进行加密，严守安全防护的最后一道防线。定期修改口令，解决系统默认口令、弱口令、通用口令问题，定期修补隐患。采用黑白名单技术和云端、边界、终端产品联动技术，采用大数据技术、安全审计措施和设备，对网络攻击进行关联分析、日志存储分析，追溯网络攻击问题。

（4）加强网络安全防护的整体性、系统性。如果网络的核心系统采取了较强的网络安全防护措施，但由于防护的整体性、系统性欠缺，攻击方从防护较弱的子系统发起攻击，逐步渗透，整个网络系统最终仍容易被攻破。

（5）对校园网进行VLAN划分。VLAN就是我们常说的虚拟局域网，实际上就是将整个局域网络进行网段隔离，阻止非同一网段的用户访问。VLAN可以有效地对网络流量控制，减少广播风暴的发生，提高整个网络的安全性能。当然也可以通过三层交换机实现跨网段的通信。浙江省委党校校园局域网也进行了VLAN划分，全校30多个教研教辅及行政管理部门，学员楼、教学楼等，每栋楼都有不同的VLAN，每个行政部门对应一个VLAN，学员楼每个房间对应一个VLAN，不同的VLAN对应不同的IP地址段，这样通过IP地址可以对应到上网的用户，也实现了上网实名认证的问题。整个校园网的网络安全拓扑图如图1。

图1 校园网的网络安全拓扑图

3.2 加强网络管理制度建设

（1）切实加强队伍建设。党校要建立健全计算机信息系统安全领导小组，配备、充实计算机安全专管员，切实承担起单位内部计算机信息系统安全保护职能。明确网络安全直接责任人，明确校园网络安全主要目标、基本要求、工作任务、保护措施等。

（2）贯彻落实《网络安全法》，落实国家信息安全等级保护制度。对党校相关信息系统开展等级保护测评、整改和备案工作。切实履行监管职责，按照国家信息安全等级保护条例，以“人防、技防、物防”等方面加强监督管理，深入开展自查，落实发现、处置网络攻击的重要保护措施和技术措施，建立完善的重大网络安全事件报告制度和应急处置机制。

（3）开展对关键信息基础设施的重点保护。由于党校门户网站是以gov为后缀的域名，党校门户网站被定为国家关键信息基础设施。因此要根据《网络安全法》关于关键信息基础设施的规定，对党校门户网站实施重点保护。

（4）严格执行安全保密制度。我校校园网制定了非涉密网络安全保密管理制度，明确不允许存储、处理涉密信息，并对非涉密网络定期开展保密检查。校园非涉密网络与涉密网络进行物理隔离，在非涉密网络中没有接入涉密计算机及移动存储介质，没有在非涉密应用系统中存储、处理、传递涉密文件信息资料，也没有在非涉密服务器和计算机终端上存储、处理涉密文件信息资料。