为规范学校信息系统的管理,保障系统的安全稳定运行,防范技术风险,特制定本规范。
第一节 信息系统项目管理
1.1总则
第一条 信息系统项目管理应遵循统一管理、统一规划、统一标准的原则。信息系统项目包括学校以及各院部自建的项目。
第二条 信息化办公室是学校信息系统建设的组织管理部门,学校对信息系统项目的审批、建设实行归口管理,信息化办公室对项目的技术可行性、合理性、安全性等全面把关,以确保信息系统建设的规范化、标准化。
第三条 本节信息系统项目是指自行开发、协作开发或引进的较大规模的软件、硬件系统。
1.2项目立项
第四条 建立信息系统,应由院部联合信息化办公室向学校提出立项申请报告。院部提交业务需求说明书,明确建立系统的目的、系统实现目标及详细的业务需求。信息化办公室根据业务需求组织技术方案论证,提出项目方案书,项目方案书中应明确技术方案、功能说明、开发时程、开发费用、开发方式和质量计划。业务需求说明书和技术方案书一并报学校审批。
第五条 信息系统项目批准立项后,应成立由业务人员、技术人员和管理人员共同组成的项目组并建立软件质量保证体系。
第六条 信息系统项目需要与开发商合作的,应签定合同或协议,并经学校审核。
1.3项目开发
第七条 信息系统项目开发划分为概要设计、详细设计、编码与自测试、组装与系统测试、试用及完善五个阶段,一般要按阶段进行。
第八条 概要设计应明确整个信息系统项目的基本处理流程、子系统及其模块划分、功能分配、数据结构、内外接口、运行环境等。
第九条 详细设计应以子系统为单位,对其组织结构、输入输出界面、处理流程及测试计划做详细的描述。
第十条 项目开发成员应按详细设计说明书进行编程。编程应使用单位规定的配套设备和开发工具,符合编程规则约定。编程中需要对详细设计说明书进行修改时,要作备忘记录,并经项目负责人同意,备忘记录要作为详细设计说明书的附件保存。
第十一条 项目开发成员完成编码后应严格按详细设计说明书的要求进行系统自测试,并向项目组提交自测试报告。
第十二条 自测试完成后,由项目组组织系统测试。系统测试前,根据立项方案中的所有技术方案、功能要求以及详细设计说明书,编写测试大纲。主要测试系统的运行效率、稳定可靠性和各项功能,并做好测试记录,提交测试报告。
第十三条 信息系统通过系统测试后,由项目组负责选择若干用户进行一定时间的系统试用。并根据试用过程中暴露的问题和用户反馈意见,进一步完善系统。试用结束后,试用部门应提交试用报告。
1.4验收、推广
第十四条 系统完成试用后,项目负责人应根据系统的开发、运行试用等情况撰写项目总结报告,并整理、汇总各阶段形成的文档。
第十五条 根据项目组提供的材料,信息化办公室会同有关部门对系统进行鉴定验收,涉及第三方合作的,还需对第三方的技术素质提出评审意见。
第十六条 项目通过鉴定验收后,才能推广使用。在推广使用前,项目组应提供相关的系统使用说明书、培训材料,并制定相应的系统使用培训及推广计划。项目推广由信息化办公室会同有关部门统一组织实施。
1.5文档管理
第十七条 项目组应设文档管理员(兼),负责保管、整理项目实施各阶段形成的文档。
第十八条 项目完成后,项目组应将整理后的文档交由信息化办公室存档。
第二节 信息系统操作安全管理
第一条 信息系统操作安全管理应遵循责任明确、分工清楚、权责分明原则,做到定岗定人、相互监督、有案可查。
第二条 明确岗位人员工作职责,制定岗位操作流程,建立健全岗位责任制度。
第三条 信息系统使用部门应建立完整的信息网络系统用户访问权限和目录、文件访问属性管理系统,并登记备案。
第四条 信息系统用户管理实行部门负责人授权制,用户建立须记录备案,人员离岗时必须严格办理离岗手续,并注销用户,相应系统的口令必须立即更换。
第五条 各院部应严格设置操作人员对信息系统数据的访问权限,用户权限设定应遵循最小化原则,重要操作权限授权要有监督机制。权限发生变更时,需由部门负责人下达书面指令调整。所有用户的登录过程都必须采取权限限制及口令限制措施。
第六条 在系统性能许可的情况下,应启用系统软件提供的安全审计留痕功能。
第七条 信息系统的数据库管理系统口令必须指定专人掌管,并要求定期更换。禁止同一人同时掌握操作系统口令和数据库管理系统口令。
第八条 建立和完善技术监管系统。信息化办公室应协助有关部门定期进行对帐,核对交易、清算、保证金、证券托管数据以及会计数据的一致性、连续性。
第九条 对数据备份和审计记录建立定期查验制度。
第三节 信息系统数据管理
3.1总则
第一条 本规范中所指的业务数据包括业务数据、公文信息数据和其它相关数据。
第二条 本规范所指的系统数据包括计算机操作系统、网络系统、数据库系统、应用软件系统、数据字典、权限设置、技术文档资料、存储分配、网络地址、硬件配置及其他系统配置参数。
3.2数据修改
第三条 相关业务部门信息系统数据库的维护工作应指定专人负责。
第四条 已归档的业务数据不得修改或删除。系统数据、联机业务数据不得随意更改或删除,如确需修改,应严格按学校的有关规定,履行必要的审批手续,并在两种不同的存贮介质上对与修改有关的数据进行完整的备份后,方可指定专人对系统数据进行修改。修改完毕后,应进行充分测试,保证数据修改的准确性和完整性,并做好详细记录备案。
第五条 因业务等原因需对数据库进行调整时,必须报系统维护部门审核,由掌管操作系统口令和数据库管理员口令的两位人员同时操作修改。在数据调整前应首先做好完整的数据备份,对调整的数据要严格校对检查,确认数据调整正确无误,对修改过程要有完整的记录。
3.3数据备份与保存
第六条 业务部门须指定专人负责系统数据和业务数据的备份、保存工作。
第七条 保存备份数据的地点应有防火、防磁、防热、防尘、防潮、
防盗等设施。
第八条 对于系统数据的备份,应定期进行可用性测试,以确保故
障恢复能力,具体测试的时间及结果应详细记录备查。
第九条 系统数据应永久保存,直到系统数据更新后,以新的系统备份数据代替原来的系统备份数据。
第十条 业务数据备份的内容主要包括:当日产生的业务数据、历史数据备份以及其他重要数据备份。
第十一条 备份数据必须完整、真实、准确,不得作任何更改。
第十二条 历史数据必须存储在不可更改的介质上,并要求多份异地保存。
第十三条 重要数据应有最新的异地备份,关键数据要保存多份,保证服务器一旦发生重大故障时能够快速恢复。
第十四条 数据管理员必须对备份数据进行规范的登记管理,各备份介质上应有明确的年月日及内容标识,在办理备份数据交接时应履行必要的登记手续。
第十五条 系统数据必须做到每当发生变化时都能及时备份,并详细记载变化情况。
3.4数据查验
第十六条 无正当理由和批准手续,任何人不得查阅所属权限范围外的系统数据和业务数据。批准查阅数据必须履行完备的审批手续,并做好详细记录备案。
第十七条 公安部门或其他监管机构因工作需要查阅有关数据时,有关部门应积极配合。
3.5数据保密
第十八条 信息系统的数据应有严格的安全与保密措施,防止系统数据的非法生成、变更、泄漏、丢失与破坏,禁止外借或对外拷贝。
第十九条 所有保密数据不得以明码形式存储和传输。
第二十条 在开放的场合使用服务器上信息系统中的重要数据时,使用后或使用人离开时必须立刻断开与服务器的连接,防止数据失密。
第二十一条 存放信息系统中重要数据的计算机不得与Internet相连。
第二十二条 应重视数据的保密措施,出现数据泄露、遗失等重大问题,应及时向学校相关部门报告。
第四节 计算机硬件设备、软件系统及电脑人员的管理
4.1硬件设备安全管理
第一条 硬件设备包括服务器、工作站、UPS电源、卫星通讯设备、网络设备、数据存储设备等相关电子类设备。
第二条 所有硬件设备必须指定专人负责管理。重要设备必须由专业电脑人员负责管理,并建立设备的维护档案。普通设备可以由其他人员负责管理。
第三条 重要的硬件设备必须遵守学校的有关规定,采取必要的备份措施。
第四条 为避免硬件设备发生意外故障,必须做到设备的物理安全、使用安全、维护安全。
物理安全是指重要硬件设备必须放置于有人管理或受控制的场所,无关人员未经许可不得接触该类设备。
使用安全是指只允许设备管理员或经设备管理员许可的其他人员直接使用硬件设备,并对其进行授权的操作。在其他人员进行操作时,设备管理员必须全程陪同。服务器等重要设备的控制台必须加锁,完善保管密码,或添加屏保设置。提供给客户使用的电脑,不安装光驱、软驱等外部读写设备。
维护安全是指硬件设备一般只允许现场维护,必须关闭远程维护功能。服务器上不得安装启用远程控制产品如Rconsole、PC Anywhere等。确需使用远程维护功能时,要经有关部门或领导同意,用完后立刻关闭远程维护功能并做好详细记录备案。
4.2软件产品的安全管理
第五条 软件产品的开发、购置应严格按本规范中第一节的有关规定执行。
第六条 软件产品的操作应严格按本规范中第二节的有关规定执行。
第七条 软件产品涉及的数据管理应严格按本规范中第三节的有关规定执行。
第八条 软件产品在投入运行前,必须制定相应的管理、操作制度,分配用户和权限。
第九条 软件产品必须指定专人维护,并有指定的维护场所和维护设备,不得随意异地维护。
4.3电脑人员管理
第十条 电脑人员离岗或调换岗位,须退还该岗位所有技术资料(包括软件等),本岗位数据不得带离。
第十一条 电脑人员离岗或调换岗位后,应及时更换有关的用户和口令,应提出明确的工作交接要求并安排专人进行工作交接。
第五节 计算机网络安全的管理
5.1总则
第一条 为保障学校计算机网络系统(以下简称“网络系统”)的正常运行,防止计算机病毒和非法入侵对学校网络系统造成严重损害,加强对计算机使用的安全管理,结合学校实际情况,制定本规定。
第二条 学校网络系统安全管理工作的指导方针是“积极防范,加强管理”。网络安全管理的目的是保证网络的连通性、可用性,为用户提供可靠的网络连接,监控网络访问,及时发现非法行为,确保数据安全、准确的传输。
5.2网络系统的划分
第三条 学校网络系统管理在技术上实行分层管理,校园网、一卡通专网和公共网之间必须设置必要的隔离措施,如虚拟子网、代理服务、物理隔离、防火墙等。
5.3网络的安全管理
第四条 网络设备(含服务器、路由器、交换机、防火墙、代理设备、入侵检测系统等)上的用户设置必须符合学校有关规定,超级用户密码必须定期更换、长度不得少于十位,构成方式不能太简单,并报部门负责人备案。针对每一种具体网络应用,设置一个或多个操作用户,并赋予满足该网络应用的最低权限。对服务器上的所有用户必须进行权限设置、站点限制、时间限制,定期更改用户密码。对于离职人员所掌握的有关用户名及密码应及时更换。
第五条 网络设备上的服务和端口,除必须开放的,一律关闭。
第六条 对网络设备必须设置访问限制,网络上需配置网管工具和网络审计设备,对网络设备的状态进行实时监控,并记录所有对网络的访问(包括:Telnet、FTP、Http、Smtp、Pop3等)。
第七条 网络上需配置入侵检测或防火墙等工具,对网络上非法、恶意的行为加以记录和报警,防止网络受到非法破坏。
第八条 信息化办公室负责对网络上的服务器、交换机、路由器等设备进行定期或不定期的整体漏洞扫描、安全评估,进行安全加固工作,对于新出现的漏洞及时进行修补。
第九条 与外部网络(电信、银行、企业等)互联时,必须设置可靠的安全措施,如采用前置机(串口、并口、usb口通讯等)、协议转换(ip,ipx等)、防火墙、路由屏蔽等,禁止学校网络与外部网络直接互联。
5.4国际互联网的使用
第十条 处理核心数据(财务资料等)、涉密数据(如重要公文、人事档案等机密数据)或其它有特殊要求的电脑不得以直接或间接方式接入国际互联网。
第六节 计算机病毒防范管理
第一条 计算机病毒是隐藏在计算机系统软件和数据资源中,利用系统的软件程序和数据资源进行繁殖并生存,它影响计算机系统的正常运行,并通过系统软件程序和数据共享的途径进行传染,属于攻击性程序。当前的计算机病毒呈现出了集病毒、网络蠕虫和黑客程序为一体的特征,对网络和计算机具有极大的破坏性。
第二条 对计算机病毒的防范应以事前预防为主,事后处理为辅。
第三条 机房应严格控制与外界的软件交流,属于工作需要的软件必须首先进行防病毒检查,确认无病毒后方可使用,严禁在服务器上安装、运行游戏软件,严禁在服务器上安装、运行与业务无关的互联网客户端程序。
第四条 应定期对服务器、网络进行计算机病毒检查,在某些计算机病毒发作日前进行预防性专项重点检查。
第五条 对防病毒软件及病毒库必须及时升级、更新。
第七节 互联网上业务的风险控制规范
7.1总则
第一条 随着互联网开放程度的日益提高,黑客手段和攻击技术的不断增强,学校互联网上的信息系统所面临的安全风险也在增大。为防范此类风险,保障互联网上各项业务的正常开展,特制定本规范。
7.2互联网上恶意攻击的种类
第二条 互联网上恶意攻击主要包括两类:一是对互联网上重要信息的恶意攻击,二是对互联网上计算机系统的恶意攻击。
第三条 对互联网上重要信息(如用户认证信息)的常用攻击方式包括:窃取、篡改和重现信息交互过程等三种。
第四条 对互联网上计算机系统的恶意攻击常用手段有三类:非法访问及入侵、DOS攻击和病毒攻击。
7.3互联网上重要信息的恶意攻击防范措施
第五条 应综合采用信息加密、动态会话密钥、报文摘要、时间戳以及页面保护与恢复等技术和措施。
第六条 信息加密应采用128位以上加密算法,对应用层数据进行安全加密,从技术上保证重要信息不被窃取。
第七条 应限制通信过程的有效生命期,避免重现信息交互过程。
第八条 对于网站/网页上的重要信息和页面应采用页面保护与恢复措施,对于信息的公开发布应实行审查制度,对于交互性强的网站栏目(如:BBS,网上论坛等)应采用有关的技术措施并配备专人值班,及时过滤和删除不良信息,避免政治风险。
7.4互联网上计算机系统的恶意攻击防范措施
第九条 对互联网上计算机系统的恶意攻击的对象是计算机资源和服务,其目的是盗取、破坏计算机资源信息,阻止、威胁计算机的正常运行及服务。
第十条 应对计算机系统的用户账号采用严格的分级管理策略,对重要口令定期更换。
第十一条 应指定专人定期或必要时对计算机系统的软件做安全升级。
第十二条 架设抗DOS攻击设备、防火墙和入侵检测联动系统,防止DOS攻击和非法访问及入侵。
第十三条 在计算机系统内部实施安全审计功能,实时跟踪和记录对各服务器和交换设备及系统内部的访问行为,对可能发生的非法访问做及时反应。
第十四条 对重要交易数据库采用加密保护措施,使计算机运行权与信息访问权分开,使攻击者无法访问重要数据。
第十五条 安装防病毒产品并定期更新软件和病毒库,有效抑制病毒。
第八节 信息系统应急处理流程
第一条 建立应急处理流程的目的是防范技术事故的发生,减少可能的损失。技术事故是指由于硬件故障、软件故障和操作失误等原因引起系统无法运行,经启用备用系统仍未恢复正常,导致交易中断并造成经济损失的事件。
第二条 技术事故的防范原则是:预防为主、及时处理,力争把损失降低到最小程度。
第三条 对于重要设备的系统和重要软件信息系统,应制定应急处理流程。
第四条 应急处理流程应张贴于明显处,定期演练,并有至少两人能熟练掌握操作流程。
第五条 当发生故障需应急处理时,应在第一时间内向信息化办公室和相关部门报告,并按应急处理流程在信息化办公室的指导下处理。
第六条 故障处理完毕后,应查明原因并及时整改,并将事故原因和处理情况报学校有关部门。
