高校數(shù)字校園建設規(guī)范

1教育新型基礎設施建設第1部分：高校數(shù)字校園建設規(guī)范本文件適用于省教育新型基礎設施建設中的高校數(shù)字校園GB15629.11信息技術系統(tǒng)間遠程通信和信息交換局域網(wǎng)和城域網(wǎng)特定要求第11部分：無線局GB/T20988信息安全技術信息系統(tǒng)災難恢復GB/T25058信息安全技術信息系統(tǒng)安全等級保護實施GB/T35273信息安全技術個人信息安全GB/T36354數(shù)字語言學習環(huán)境設計GB/T36642信息技術學習、教育和培訓在線GB50462數(shù)據(jù)中心基礎設施施工及驗收ISO7816-1-4識別卡接觸式集成電路卡第1部分：物理特性、第2部分：觸點尺2校園整體的運行效率，實現(xiàn)教學、科研、管理、服務等活動服務的融合、優(yōu)化用戶體驗；保障系統(tǒng)安全、合理預見未來；積極進行技術探索和創(chuàng)新。5.1校園網(wǎng)絡5.1.2.1系統(tǒng)支持有線、無線及物聯(lián)網(wǎng)等多種業(yè)務，以適應未來五至十年的發(fā)展。5.1.2.4避免在互聯(lián)網(wǎng)接入邊界處部署關鍵網(wǎng)絡區(qū)域，以確保有效隔離。5.1.2.5實施冗余策略以確保系統(tǒng)的高可用性。5.1.2.6對有線和無線接入網(wǎng)絡實施統(tǒng)一管理，確保權限管理和業(yè)務流程的一致性，并實行實名認證選用合適的設備進行部署。無線網(wǎng)絡建設能全面覆5.2數(shù)據(jù)中心5.2.1機房數(shù)據(jù)中心機房為集中放置的電子信息設備提供運行環(huán)境的建筑場所，其建設要a)機房包括主機房、輔助區(qū)、支持區(qū)和行政管理區(qū)等；b)數(shù)據(jù)中心機房設計和建設符合GB50174a)用堆疊和虛擬化技術提高網(wǎng)絡的可靠性和性能；3b)根據(jù)流量需求配置交換機，采用光纖連接；c)設計綜合布線系統(tǒng)，并在服務器和存儲設備較多時使用柜頂式交換機簡化布線；e)根據(jù)安全需求，分層部署獨立的防火墻、Web應用防火墻等安全設備。a)根據(jù)應用系統(tǒng)的性能要求可考慮采用虛擬化技術，提高資源利用率、方便統(tǒng)一管理；b)計算系統(tǒng)根據(jù)需求可采用PC服務器、刀片式服務器等，降低布線復雜度；a)為保障業(yè)務穩(wěn)定運行，建議搭建獨立的DNS、NTP服務，并配置給數(shù)據(jù)中心內(nèi)相關設備；b)數(shù)據(jù)中心設備配置統(tǒng)一的日志服務，采用主流協(xié)議收集日志，支持問題核查和安全取證；c)配置軟硬件監(jiān)控平臺，監(jiān)控數(shù)據(jù)中心運行，并考慮使用第三方監(jiān)控服務；d)數(shù)據(jù)中心配置VPN系統(tǒng)、運維審計系統(tǒng)，提供運維人員遠程管理數(shù)據(jù)中心e)選擇滿足應用需求的基礎軟件，并確保軟件獲得正版授權；a)對數(shù)據(jù)中心系統(tǒng)進行分級，針對不同級別制定相應的備份和容災計劃；b)優(yōu)先考慮本地備份，大數(shù)據(jù)量時采用分布式集群備份架構；c)重點關注數(shù)據(jù)容災，跨多校區(qū)運營的情況下，可實施多數(shù)據(jù)中心容災方案。5.3校園卡系統(tǒng)a)校園卡可選用實體卡或虛擬卡。選用非接觸式CPU卡符合ISO/IECb)卡片標識持卡人信息，如姓名、性別、證件號、有效期、照片等；c)卡內(nèi)存儲信息包括卡片基本信息、持卡人信息、錢包賬戶信息等；d)校園卡應用系統(tǒng)符合JR/T0025-2018中對于應用中卡片、終端、交易、安全等f)校園卡平臺開放服務和數(shù)據(jù)接口，兼容第三方移動支付解決方案；h)校園卡系統(tǒng)私有化部署，由學校自主管理應用系統(tǒng)和數(shù)據(jù)，支持掛失、失效管理功能。5.4信息化教學環(huán)境4位，確保數(shù)據(jù)的質(zhì)量和更新速度；設立適當?shù)慕涌谝?guī)定并執(zhí)行業(yè)務數(shù)據(jù)標準；根據(jù)管理和應用需求，采用合適探索教學創(chuàng)新，通過在線課程推行翻轉課堂等教學領域相關的元數(shù)據(jù)標準；在符合法律法規(guī)和知識產(chǎn)權有效利用開源軟件或采購廣泛使用的商業(yè)軟件，支持師生的科研活動、數(shù)據(jù)處理和創(chuàng)新工5數(shù)據(jù)質(zhì)量和元數(shù)據(jù)管理；提供應用和數(shù)據(jù)接口，支持多樣化的數(shù)據(jù)共享和服務d)不斷學習最新的信息技術，提高個人的認知能力。a)尊重知識，崇尚創(chuàng)新，認同信息勞動的價值；d)掌握信息安全技能，防范計算機病毒和黑客等攻擊，對重要信息數(shù)據(jù)進行定期備份。6推動學生信息素養(yǎng)教育，系統(tǒng)化和有針對性地提高學消息通知、日歷、報表生成、音視頻服務、定位服務和應用程9.1基礎設施安全9.1.1基礎設施物理環(huán)境安全按照網(wǎng)絡安全等級保護符合GB/T22239、GB/T28448、GB/T25070、GB/T2509.1.2有線網(wǎng)絡安全9.1.3無線網(wǎng)絡安全7攻擊、密碼破解等行為，采取措施檢測非授權無線接入設備和移動終端的接入行9.1.4物聯(lián)網(wǎng)設施安全a)物聯(lián)網(wǎng)感知節(jié)點設備所處的物理環(huán)境避免對其造成物理破壞；b)感知節(jié)點設備在工作狀態(tài)時，其物理環(huán)境能準確反映環(huán)境狀態(tài)且不干擾或影響其正常工作；9.1.5校園私有云平臺安全b)各分校、校區(qū)、院系或業(yè)務管理機構可設置虛擬機訪問控制策略，并確保策略隨c)系統(tǒng)能檢測虛擬機間資源隔離失效、非授權虛擬機操作、惡意d)針對重要業(yè)務系統(tǒng)提供加固的操作系統(tǒng)鏡像或操作系統(tǒng)安全加固服務；e)采用密碼技術或其他技術手段，防止虛擬機鏡像、快照中的敏感資源被非法訪問。9.2信息系統(tǒng)安全a)身份鑒別：實施用戶身份標識和鑒別機制，限制非法登錄次數(shù)并設置自動退出功能；b)訪問控制：啟動訪問控制，依據(jù)安全策略管理資源訪問；限制、重命名、修改默認賬戶權c)入侵防范：遵循最小安裝原則，保持系統(tǒng)補丁更新；d)惡意代碼防范：安裝并及時更新防惡意代碼軟件；e)通信完整性：采用約定通信方式確保數(shù)據(jù)完整性；f)軟件容錯性、易用性：提供數(shù)據(jù)有效性校驗和保證，確保系統(tǒng)和平臺交互友好、使用便捷；9.3信息終端安全a)接入網(wǎng)絡的終端必須進行認證管理，確保終端安全并明確責任；b)通用操作系統(tǒng)的終端安裝病毒防護工具，定期更新系統(tǒng)和查殺病毒；c)物聯(lián)網(wǎng)和工控設備等定期進行安全檢測和評估，及時維護和更新軟件；e)對重要數(shù)據(jù)和文件處理終端，采用數(shù)據(jù)防泄漏系統(tǒng)進行加密和管控。9.4數(shù)據(jù)安全8a)數(shù)據(jù)完整性：重要數(shù)據(jù)在傳輸和存儲時使用校驗或密碼技術保證完整性；b)數(shù)據(jù)保密性：重要數(shù)據(jù)的保密性通過密碼技術來確保；c)數(shù)據(jù)備份與恢復：提供本地和異地實時備份功能，并保證系統(tǒng)的高可用性；f)數(shù)據(jù)存儲位置：校園網(wǎng)私有云平臺的數(shù)據(jù)存儲在中國境內(nèi)，出境需遵循國家規(guī)定；g)云數(shù)據(jù)權限：未經(jīng)授權，云服務商或第三方不得使用或擴散云上數(shù)據(jù)；i)密鑰管理：具備密鑰管理系統(tǒng)，符合相關國家標準；j)業(yè)務數(shù)據(jù)備份：校區(qū)或業(yè)務機構都在本地保存其業(yè)務數(shù)據(jù)的備份；k)數(shù)據(jù)及備份查詢：校園網(wǎng)私有云平臺提供查詢數(shù)據(jù)和備份存儲位置的功能；l)存儲服務副本：云服務商保證數(shù)據(jù)存在多個一致的可用副本。9.6.1基本內(nèi)容d)啟動全面的安全審計，監(jiān)控所有用戶的關鍵活動和安全事件；e)對系統(tǒng)管理員的身份進行驗證，限制管理路徑，并記錄相關活動；f)集中監(jiān)控網(wǎng)絡和設備的狀態(tài)，管理安全策略和更新；g)對網(wǎng)絡中發(fā)生的安全事件進行識別、分析、報警和及時處理。9.6.2網(wǎng)絡安全監(jiān)測預警風險發(fā)展趨勢的能力，提前發(fā)現(xiàn)并對潛在威脅，要通過數(shù)據(jù)9.6.3網(wǎng)絡安全應急響應9.6.4網(wǎng)絡安全管理9a)設立校級網(wǎng)絡安全和信息化工作領導小組作為最高管理與決策機構；b)建設主責二級機構，