智慧校园
信息化建设指南
当前位置: 首页>>服务指南>>信息化建设指南>>正文
信息化项目技术及系统安全性要求
2021-03-15     (点击: )

1 技术要求

项目技术要求是系统设计开发的最基本要求,也是系统用户良好体验的根本保证,系统建设方(甲方)和承建方(乙方)都应认真确认系统建设技术要求,具体技术要求请参见大连理工大学信息化建设技术规范文档,如任何一项指标没有按如下技术要求执行,则项目不予验收通过。

1.1通用性技术要求

(1)符合国家、教育部、大连理工大学颁发的各类标准,采用学校统一的信息化标准和规范,确保数据的自由流畅。

(2)开发及运行平台

项目实施前需形成详细的运行环境方案,方案需符合学校虚拟化平台的规范要求,建议包含网络层面、操作系统层面、数据库层面、中间件层面和应用服务软件层面的内容。具体可参考 “大连理工大学信息化项目运行环境方案(参考)”。

(3)系统软件体系架构要求

  • 系统设计必须是构件化、面向对象的,做到灵活性好、可维护性高;

  • 系统架构开放,采用表现层、业务逻辑层、数据层等的三层或多层分离结构基础上的Browser/Server模式。

  • 系统保证大并发情况下的快速响应。

  • 系统软件功能架构设计支持水平和垂直的扩展,以保证将来系统的升级和扩充。

1.2数据集成要求

(1)实现统一身份认证、单点登陆集成,认证登录后可直接进入具体业务功能模块。

(2)实现与学校校园门户的信息集成。

(3)实现与学校公共数据库的数据共享,提前提供系统数据库结构和数据字典等相关信息,并按要求建立相应的数据视图。

(4)实现与学校移动数字校园平台(I大工)的集成。

(5)利用数据交换平台实现与其它业务系统的数据交换,历史数据需清洗后导入至系统。

(6)实现系统中的流程审批与办事大厅深度集成。

(7)实现与学校统一消息平台、统一岗位角色管理平台的集成。

上述对接均需提供免费的接口,并与所建设系统同时交付。

说明:项目建设中所有与第三方产品的对接,均由乙方负责实施,甲方予以协调支持,有此产生的第三方对接的接口费等费用均包含在本项目的采购价格中,由乙方向第三方直接支付。

1.3技术指标

(1)系统架构应采用B/S架构模式,支持edge,google浏览器、FireFox、Safari、360等主流浏览器;因官方已不再对IE浏览器提供支持,不得将IE浏览器作为唯一或主要浏览方式,若使用不支持的浏览器访问时,需给出友好的提示页面。

(2)系统并发满足业务实际需求;要求满足xxxx人同时在线;并发数达到xxxx。

(3)访问速度方面:在校园网环境内,通常页面访问响应时间x秒;页面查询≤x秒;导入、导出数据≤x秒,并要有时间进度条提示。

(4)系统bug率:千行代码不超过x。

(5)稳定性方面:系统应保证7*24小时连续不间断工作,不应出现妨碍业务正常进行的系统错误或意外中止的情况。

1.4个人信息保护要求

在大连理工大学信息化建设中,遵循《大连理工大学信息化个人信息保护管理办法》学校公共数据平台是个人信息集中统一的存储平台,个人信息在存储和传输过程中必须进行加密处理,采取有效技术手段和管理措施保护存储个人信息的服务器和数据库,避免个人信息的泄露、损坏或丢失。

在信息化建设中,需对个人信息进行去标识化处理,保证处理后的信息无法或很难进行复原,部分信息去标识化可参考以下方法进行:姓名可隐藏名字中的1-2位;出生日期可隐藏2位日期;身份证件号码可隐藏结尾后6位;学号、教工号可隐藏结尾后3位;个人手机号可隐藏结尾后4位;个人通信地址及家庭住址可隐藏具体门牌号;车牌号可隐藏后五位中的任意2-3位。上述未说明的个人信息应遵循不可复原原则进行去标识化处理。

1.5系统用户管理要求

校内师生用户的个人基本信息均从学校公共数据平台获取(产生用户信息的系统除外),公共数据平台已有的师生基本信息不允许在业务系统中采集,需向信息办申请使用所需信息,按照所需信息满足业务要求最小化范围的原则由公共数据平台推送。业务部门需按照《大连理工大学各类人员校内需求权限一览表》申请所需人员的信息,并将纸质版报送信息办后,由网信中心将公共数据平台内的人员信息推送至业务系统。对于系统所需个性化师生基本信息,业务部门又是数据产生部门,则可以在用户管理模块维护该部分内容,并将维护数据推送到学校公共数据平台。各级管理员、校外用户可以在用户管理模块维护个人基本信息;

校内师生用户均以统一身份认证登入系统,系统中不允许存在用户密码管理模块;各级管理员、校外用户可以在用户密码管理模块维护个人密码。

2 系统安全性的要求

2.1总体要求

(1)信息系统开发者对于因为程序代码、框架技术以及使用的中间件而产生的应用系统漏洞或bug等程序错误终身负责维护升级;系统上线前须经学校的安全准入检测,不合格的系统不能上线并验收。

(2)承建方在系统上线前出具系统网络安全检测报告,报告应由第三方有资质的安全检测机构提供,且检测结果应符合项目建设要求,不得存在高危安全漏洞。详细安全检测要求请参见大连理工大学信息化建设技术规范文档中的大连理工大学信息化项目安全检测相关要求。

(3)系统建设前应确定网络安全等级保护定级级别,填写初步定级报告,系统建设过程中的安全建设应参考定级级别的安全要求进行。根据系统等保测评结果,承建方需配合校方完成整改和系统上线。

(4)备案域名的主页必须按要求标明ICP备案信息并配置链接,其他子域名网站尽量标明备案信息及链接。

(5)系统对敏感数据存储和传输都要加密。

(6)承建方提供系统全生命周期内的安全保证。

(7)影响系统正常使用的bug在使用方提出后8小时内解决;系统安全漏洞修复时间要在使用方提出后24小时内解决。

(8)严格的权限管理(包括功能权限管理和数据访问权限管理),不得出现非授权的访问,并可通过简单的配置实现权限划分的调整。

(9)安全审计,可提供完善的审计功能及完整的审计日志,实现操作的追溯,日志不能少于6个月。

(10)完善的备份与恢复机制。

(11)严格遵守校方关于数据管理和数据保密的相关规定及要求。

2.2系统配置要求

(1)系统必须保证为正常上线系统,须更新为最新。禁止采用失去技术升级的系统(如:windows 2003、windows7等);禁止采用含有已知漏洞的组件、应用程序、框架(如:Struts 2.5 - Struts 2.5.10)、应用程序服务器、web服务器、数据库服务器和平台定义,以上系统必须执行安全配置,禁止默认安装。所有的软件应该保持及时更新;

(2)保证系统服务正常与上线系统一致,无各种调试、报错信息(如:断点,printf等调试信息)及注释信息,系统需删除系统默认安装的各种例程、文档及管理程序;

(3)系统中禁止暴露配置信息(如数据库连接信息),源码备份文件,.git,.svn仓库等。

2.3服务要求

从本机关闭不需要的端口(如:关闭windows netbios等服务),设置本机防火墙如iptables对于访问的源地址进行限制,同时相关服务设置类似host.allow,host.deny等策略。

须按照标准端口配置服务,严禁自行设置非标服务端口。

2.4数据库配置要求

数据库和应用系统如在同一台服务器,须采用本机回路进行访问,如前端及数据库分为不同服务器,须设置本机防火墙访问规则,禁止非前端服务器访问数据库网络端口;

使用最低权限的数据库用户作为web应用所需,禁止具有不必要的额外权限。

2.5开发要求

对用户输入进行严格有效过滤防止sql注入,xss跨站脚本,命令执行,crsf跨站请求伪造等,建议采用白名单过滤策略;

禁止在HTTP请求中以明文或可逆编码(如base64、url编码等)的形式传递SQL语句到后端程序代入执行,禁止由Web前端直接生成和传递SQL语句到数据库进行执行,数据库查询必须采用预编译和参数结构化查询。如果程序确实需要将SQL语句作为内容(非可执行代码的形式,如学生毕业设计、代码样例等)到后台,请在项目上线交付前书面说明相应的功能代码及位置;

控制上传点,对于上传文件类型进行严格控制(禁止用js进行控制),同时上传目录不能有执行权限,原则上不允许有未经登陆验证的上传点;

设置有效的身份认证、会话管理及访问控制机制,防止越权、平行权限及提权等(禁止利用js进行控制及验证)。

3 系统UI设计要求

3.1总体要求

系统UI设计要求简洁、大方,与大连理工大学已有系统如官方网站等,在整体风格、色调上保持统一。系统在颜色、窗口布局风格、提示信息措辞、操作等方面都必须遵循统一的标准,使用户使用起来能够建立起精确的心理模型,使用熟练一个界面后,切换到另外一个界面能够轻松的推测出各种功能,可以更快的掌握系统功能。

UI设计包括交互设计、数据列表、数据填报页面、数据展示页面,项目经理要全面负责产品已用户体验为中心的UI设计,根据客户要求不断提高产品的可用性。

(1)页面设计采用HTML5+CSS3的响应式网页设计,自动适应屏幕宽度。

(2)遵守学校VI设计要求。未经校方允许,不得出现公司任何标识。

(3)执行动作要有提示:UI作为人机对话的工具,用户做了任何动作,应该弹出交互对话框让用户点击确认。

(4)系统UI设计要求自适应移动端。

3.2UI设计要求

UI设计包括交互设计、数据列表、数据填报页面、数据展示页面,项目经理要全面负责产品已用户体验为中心的UI设计,根据客户要求不断提高产品的可用性。

项目承建方(乙方)需在项目开发前提供项目总体UI设计方案,项目组讨论评估通过后方可启动项目的开发工作。

如乙方的UI设计方案未经甲方签字确认认可,则乙方之后的开发工作量甲方也不予认可。

详细规范要求请参见大连理工大学信息化建设技术规范文档中“大连理工大学信息化项目系统UI设计规范”。