English
智慧校园
网络安全工作指南
当前位置: 首页>>服务指南>>网络安全工作指南>>正文
大连理工大学信息系统全生命周期网络安全建设规范 (2025版)
2023-02-27     (点击: )

为落实学校网络安全、数据安全相关要求,组织实施信息系统网络安全建设工作,加强信息系统供应链安全管理,特制定本规范,明确信息系统全生命周期网络安全、数据安全建设要求、流程等。

根据学校网络安全与信息化建设、数据安全建设等管理要求,信息化项目中信息系统建设应在项目立项采购、需求设计、开发建设、部署、验收、运维、注销等阶段同步开展网络安全、数据安全建设工作,并通过学校网络安全管理平台(简称安管平台security.dlut.edu.cn)相关流程完成各类工作。

一、 立项采购。信息系统应在立项阶段明确项目网络安全预算、网络及硬件需求、网络安全需求、网络安全等保定级、数据分类分级、个人信息处理及保护等情况,经项目立项论证后原则上应按立项确定的情况开展建设。网络安全等保定级备案工作应与信息系统建设同步规划、同步建设,未开展等保定级备案工作的信息系统数据中心不提供资源支持、禁止验收上线,相关材料见“附件1校内网络安全等级保护定级备案工作规范-2025版”。

在采购文件、合同中,信息系统主管单位应明确承建方在信息系统设计、开发建设、运维管理等方面的安全责任;承建方应承诺依照法律法规及校内网络安全要求,建立信息系统及数据全生命周期的安全保障机制,落实供应链安全相关职责;承建方应承诺在信息系统全生命周期内承担信息系统自身的网络安全责任,承诺及时告知并无偿修复信息系统自身的网络安全漏洞。

二、 需求设计。信息系统建设方案中应详细说明网络安全要求、数据分类目录及分级情况、数据需求、数据安全措施等,并提前与网信中心沟通相关情况。涉及个人信息处理的,需明确个人信息保护措施,包括:处理个人信息的必要性合规性、个人信息使用存储最小化原则的落实措施、传输存储敏感个人信息的加密措施、个人信息处理操作的审计日志、有效的个人信息注销机制、个人信息批量导出功能的限制、敏感个人信息显示的去标识化处理(打码)等等。

如信息系统有独立的用户认证功能,还要确保用户认证的安全性,包括:独立用户认证的必要性、合规性,编制合法合规的个人信息隐私保护条款,落实实名制认证,落实用户注册先审后用机制,落实密码强度检测、双因子认证、验证码及异常登录锁定等安全机制,确保密码找回机制无逻辑漏洞等。

参与信息系统建设运维的承建方人员应提前充分了解并遵守学校网络安全相关要求,包括“附件2数据中心基本网络安全策略-2025版”、“附件3供应链厂商安全十不得-2025版”、“附件4堡垒机使用说明-2025版”,并通过检验后才可获得相应权限、参与建设运维工作。对于因承建方违反学校网络安全要求,而造成信息系统项目延期、中断或无法完成建设的,责任由承建方承担。

三、 开发建设。信息系统进入建设阶段,承建方应遵循软件安全设计开发原则,满足“附件3供应链厂商安全十不得-2025版”要求;应开展代码审计,确保代码安全;开展充分规范的测试,制定完整测试方案、合理编制测试用例,不得使用学校真实数据进行测试。

学校原则上不提供开发、测试设备及环境,数据中心服务器为生产环境,只能部署成品软件,严禁直接进行开发、测试,所有的升级需以补丁形式部署。

四、 部署。信息系统完成开发、测试后,可通过安管平台申请数据中心资源实施部署,并提供供应链相关信息。硬件配置应与项目立项论证过的配置一致,如有大幅调整,需重新进行论证。项目部署应制定完整部署方案、详细的部署文档,确认服务器软件环境的安全情况并确保部署操作安全,如发现网络安全问题,网信中心有权暂定项目部署,问题整改后继续部署。还要按照学校要求及项目建设方案规范完成数据分类分级、数据对接、统一身份认证对接、承载网接入等建设,并确保对接的安全性,项目验收后原则上不再开展上述对接工作,如需要调整需进行新的立项,论证后按照本流程重新建设。服务器的访问控制策略要求见“附件2数据中心基本网络安全策略-2025版”。

信息系统部署必须通过学校堡垒机进行,不提供运维机、跳板机等其他运维方式,严禁私建各种绕过堡垒机的运维通道,项目相关人员应严格按照“附件4堡垒机使用说明-2025版.”中的说明要求进行操作。

五、 验收。信息系统项目验收阶段需确认网络安全检测、网络安全自查情况,需由承建方组织完成第三方网络安全检测(检测需提前向网信中心备案,具体检测要求见“附件5信息系统第三方网络安全检测要求-2025版”),确保信息系统无已知高危漏洞存在;项目组按照“附件6信息系统网络安全自查文档-2025版”进行自查,且没有不通过项,以上材料为验收文档必要组成部分,必须按照要求填报并通过验收。如项目有试运行阶段,应在试运行前完成上述检测和自查,试运行中如有大量或重要的修改,应重新进行上述检测及自查。

六、 运维。信息系统项目完成验收后,进入运维阶段,承建方应配合参与学校的供应链常态化联络机制,发现安全漏洞及时整改、发现安全事件立即处置。运维方应明确运维人员、制定运维方案、规范运维巡检工作、及时通报修复网络安全漏洞、配合网络安全事件处置等,信息系统主管部门应有效监督运维方落实各项运维工作。

七、 注销。信息系统不再使用应及时注销,包括等保定级备案、服务器、域名、IP、堡垒机账号、单独配置的访问控制策略与网络安全防护策略、https支持、统一身份认证对接、数据交换对接、承载网等。信息系统注销时,要确保信息系统数据安全特别是个人信息安全,非必要保存的数据包括个人信息等应彻底删除,有必要保存的数据应及时妥善导入相关信息系统。对于失管、弃管或网络安全问题无法修复的信息系统,网信中心有权强制注销。

本规范由网络与信息化中心负责制定、修订,并在网络与信息化中心主页中发布。


附件【附件1校内网络安全等级保护定级备案工作规范-2025版.docx已下载
附件【附件2数据中心基本网络安全策略-2025版.docx已下载
附件【附件3供应链厂商安全十不得-2025版.docx已下载
附件【附件4堡垒机使用说明-2025版.docx已下载
附件【附件5信息系统第三方网络安全检测要求-2025版.docx已下载
附件【附件6信息系统网络安全自查文档-2025版.xlsx已下载
呼叫中心:84707007

版权:copyright 大连理工大学网络与信息化中心