1. 申请新建信息系统
部门在新建信息系统时,应当明确其运行功能、硬件资源需求、网络信息安全情况,系统管理人员等。新建信息系统上线运行前,需明确“是否有自备服务器”等事宜,以此为依据进行各类资源申请。可以部门自备服务器,也可以使用学校网络中心服务器资源。
2. 评审论证
按照学校相关规定,教育技术信息中心按要求组织专家进行新建信息系统的评审。同提出申请的部门统一组织专家技术论证,并反馈结果,部门责任人签署服务器托管协议和网络信息安全承诺书,均为纸质版,交至教育技术信息中心。
3. 实施部署阶段
要确认信息系统所需数据中心资源及服务器软件环境的安全情况并确保实现安全部署。原则上硬件资源应与申请论证阶段确认的配置一致,如有大幅调整,需重新进行论证。如发现网络安全问题,调整实施部署方案。
(1)服务器资源使用要求
信息系统运行环境必须使用学校数据中心提供虚拟机服务器和操作系统资源,应明确服务器配置需求。网络中心不提供开发测试环境,信息系统建设者应自行解决开发测试环境。
(2)项目部署安全
信息系统部署必须通过数据中心堡垒机和VPN完成,严禁各类绕过堡垒机和VPN的行为,严禁随意调整服务器已有各类配置,部署任何与应用服务无关的程序、代码。禁止使用已知有安全漏洞的软件,禁止使用弱密码、空密码、默认密码,各类环境软件应执行安全配置。数据库服务器原则上仅开放堡垒机和VPN及应用服务器网络访问权限。
(3)统一数据中心
要求信息系统建设方开放所有数据字典和业务数据表结构并提供相对应的文档资料,根据公共数据平台需要建立相应的表或视图提供对应的数据;统一数据中心已有的数据不允许在业务系统中再产生或维护,需全部来源于统一数据中心,项目承建方、建设单位和公共数据平台建设工作组配合开展数据治理工作。
(4)统一身份认证
按学校统一身份认证接入规范要求完成PC端和移动端身份认证接入,并支持通过统一认证直接进入具体业务模块办理相关业务。
(5)网上办事大厅
新建信息系统中涉及师生常用的审批类流程功能,原则上需纳入到网上办事大厅统一实现。
(6)网络安全检测
信息系统使用部门是各系统的网络安全责任人,承担全部网络安全责任,信息系统上线前必须由乙方提供第三方网络安全检测报告,作为信息系统网络安全合规的文档,报告内容需符合要求。
(7)数据存储和信息保护
信息系统涉及的各类数据必须保存在学校服务器本地。相关数据必须通过学校统一数据中心获取,个人信息不得因信息系统建设单独进行采集,要加密保存。
4. 信息系统初步验收
主要是确认信息系统相关网络安全检测、自主检查情况,需由承建方组织完成信息系统第三方网络安全检测,并且信息系统没有高危漏洞存在;信息系统负责部门根据签订的合同和相关建设标准的规范进行初步验收。
5.对外开放服务
信息系统项目完成验收后,满足条件的可申请对外开放服务,原则上仅对校内师生服务的信息系统不对校外开放服务,师生可通过零信任网关等方式从校外访问统一门户中的信息系统,其他信息系统满足必要性、安全性要求、并落实日常网络安全管理与运维的可申请对外开放。
