常州机电职业技术学院文件
常机电信建办[2022]2号
为规范学校信息系统的建设与管理,确保学校网络与信息系统的安全,提升学校信息化建设水平,特制定本建设规范。
第一章 数字化校园总体设计规范
第一条 等级保护要求。学院建设的所有信息化系统必须符合 《教育信息系统安全等级保护定级指南》中对 III 类高校(高职、 高专院校)主要信息系统建议等级要求,并通过相应级别的等级保护测评。
第二条 性能指标。门户网站类系统支持 5000 人以上并发访问,管理类系统支持 2000 人以上并发访问,访问平均延时小于 3秒,最大延时不超过 30 秒;系统安全、稳定,保证每周 7×24 小时运行;存储系统:满足需求,运行稳定,易于扩充;支持负载均衡、可扩展;支持远程管理。
第三条 信息标准。数据按照统一的标准产生、存放、使用,使数据真正实现共享。信息编码采用《常州机电职业技术学院管理信息标准》,提供标准的数据访问接口。集成规范应采用LDAP或J2EE行业应用标准,建立用户管理规范,易于各信息系统之间的数据共享和应用集成。
第四条 系统架构。采用 WEB 服务器/认证服务器/应用服务器/数据库服务器四层结构。
第五条 网络安全。系统实现信息资源共享的同时,必须进行信息资源的有效保护和安全隔离,针对不同的应用需求,采取不同强度的安全保密方式,包括数据加密存储/传输、数字证书、数字签名、身份认证和存取控制;采用防火墙、入侵监测和安全审计技术以及安全管理制度,建立防病毒、防攻击的系统安全体系。建立系统、应用、存储三级备份体系结构,可采用第三方软件提高备份和灾难恢复能力;建立服务器群集,实现负载均衡,保证系统的不间断运行。
第二章 基础设施规范
第六条 基础设施定义:信息应用系统的基础设施包括计算机硬件系统(服务器、个人计算机、网络及其他设备等)、计算机软件系统 (操作系统、数据库平台、应用平台等)和网络基础设施。
第七条 建设要求。安全、性能指标符合第一章数字化校园总体设计规范要求,功能满足管理业务的需要,扩充性强;符合ISO 标准,主流产品或者与主流产品兼容,产品的技术支持和服务质量有保障。
第三章 应用系统规范
第八条 应用系统软件是面向最终用户的,其质量的高低,直接影响管理效益、效率的提高。无论是购买还是自行研制,应用软件应具有以下性能指标:
1.数据设计符合信息标准及接口规范,易于和学校公共数据库系统集成,共享数据。
2.功能齐全,满足需求;通用、扩展、易操作。
3.为其他应用系统提供数据交换访问接口,能与其他应用系统集成。
4.提供完成的数据库字典文档及数据接口文档。
第九条 应用系统安全标准应具备以下标准:
1.操作系统中以最小权限运行应用系统,严禁采用Administrators或Root用户权限运行。采用Windows Server的由信息化建设办公室接入域控统一管理,Linux/Unix系统管理员(或软件开发厂家)应定期更新操作系统补丁及应用框架补丁,对无法实现定期更新操作系统及应用框架补丁的信息系统将限制于内网访问。
2.系统级管理员账号密码不低于三类复杂密码强度(密码位数不低于8位,密码至少应由三种不同字符构成)。
3.系统应通过漏洞检测扫描。
4.系统服务器层级访问权限应仅限于堡垒机内。
第十条 应用系统技术路线建议采用主流的.Net/JavaEE/PHP/Python等架构技术,数据库系统采用 SQL server 、Oracle、MySQL等主流数据库系统,操作系统建议采用 Unix/Linux、Windows Server等操作系统。应用系统采用虚拟化或Docker技术部署,原则上数据中心机房不接受单一服务器托管。
第四章 信息编码标准规范
第十一条 信息编码标准在全校范围内为数据库设计提供数据字典,信息标准集中最基本描述的是信息项的属性。建立数据库(表)必须明确指明信息项名称、“关键信息项’(主健)和用户角色表。为数据关联、信息交换、资源共享提供了基础条件。
第十二条 公共信息项编码严格执行《教育管理信息 教育管理基础信息》(JY/T1001-2012)、《教育管理信息 教育管理信息》(JY/T1002-2012)、《教育管理信息 教育行政管理信息》(JY/T1003-2012)、《教育管理信息 高等学校管理信息》(JY/T1006-2012)及《常州机电职业技术学院管理信息标准》。
第五章 认证集成标准规范
第十三条 常州机电职业技术学院统一身份认证平台支持主流认证协议的对接,支持的协议:OAuth2.0、LTPA、SAML、AD Kerberos、cas等,新系统的建设必须接入统一身份认证平台。
第十四条 应用系统在接入常州机电职业技术学院统一身份认证平台时,须向信息化建设办公室提出接入申请,明确相关安全责任人,并安排专人负责应用系统安全方面的技术与管理事宜。
第十五条 采用统一身份认证平台进行身份认证的基于B/S 结构的系统必须通过调用学校统一认证平台提供的认证地址进行身份认证。
第十六条 移动应用及客户端类接入必须以https协议访问认证平台,通过Restful服务进行数据调用。
第十七条 任何采用统一身份认证平台进行身份认证的系统不允许留存用户密码。
第十八条 学校所有网站或系统申请统一认证数据库查询权限,必须明确查询内容,只对该用户授权所申请查询权限,将查询权限限制到最小。任何系统不得查询用户密码。
第十九条 认证集成开发移交使用后,必须删除开发人员账号密码,由认证系统运维人员修改原本用于测试调试的数据库查询账号密码。
第二十条 校内单位在采购设备、软件、系统时,只要是涉及统一认证账号或信息,必须在招标参数和合同中明确下列内容:
1.必须使用常州机电职业技术学院统一认证;
2.不得存储用户密码信息;
3.明确统一认证数据库查询内容;
4.开发过程中不得泄露统一认证用户信息;
5.不得存在泄露用户信息的漏洞;
6.完成开发或安装调试,移交使用后,开发或安装调试人员不得保留数据库账号密码。
第六章 用户管理规范
第二十一条 用户规范。用户素质是信息化建设的重要环节,教职工需不断提升自身信息化水平应用能力。
第二十二条 教职工应积极参加新系统的培训学习,熟练掌握应用系统的功能操作。
第二十三条 加强规章制度教育与学习,提高系统安全、信息保密意识。
第二十四条 信息化管理规程。信息化管理规程是指学校在信息系统建设和运行中应遵守的管理规范:
1.新建应用系统要严格执行《常州机电职业技术学院信息化建设项目管理办法》等报批制度,只有符合标准规范的系统才能开发实施;对已有不符合规范要求的系统要有计划地改造为符合标准规范的系统;
2.对于未报批的新建系统学校将不予支持(资金、技术),今后该系统与其他系统的数据交换、信息共享造成的问题自己负责;
3.应用系统的运行后台需要建立严格的运行管理和技术操作制度,并建立具备一定资质的技术保障和管理队伍;
4.应用系统的运行前台需要建立培训、考核及使用规范,保证用户能够有效、准确地使用信息系统。
