网络安全-关于改进信息系统部署架构的通知

作者:网络与教育技术中心时间:2022-09-06

各信息系统管理单位:

  为保障网络安全和师生数据安全,降低信息系统被黑客入侵的风险,现要求各信息系统对部署架构开展整改,具体要求如下:

  1.严格区分面向校外匿名用户、面向师生用户、面向管理员和面向程序接口的功能模块,并以不同的应用服务器进行部署,使用不同的域名进行发布。

  2.校外匿名用户如报名学生、应聘人员和访客等,具备条件的尽量引导创建学校统一身份认证账号;否则应使用手机号和微信等机制进行实名登记,以动态口令验证方式(手机验证短信/微信验证等)进行身份校验后登录。如涉及境外人员等原因,确需以自建账号和口令方式登录的,应向校网信办报备,进行安全加固和通过安全评估后方可上线。

  3. 面向师生用户的功能模块,必须使用统一身份认证平台进行身份校验。

  4.面向管理员的功能模块,在使用统一身份认证平台的基础上,应根据学校整体防护策略,配合集成短信验证码、微信验证码、邮箱验证码或CA证书等方式,实现双因子认证。

  5. 面向程序接口的功能模块,应以加密方式完成源端身份认证和数据传输,同时网络上以白名单方式授权源IP访问。

  6.数据库须独立部署在数据中心数据库区,并以最小授权方式对上述功能模块进行授权。在功能模块调取数据时,应防范SQL注入等数据库攻击。

  7.生产环境中,批量导出数据时,应向本单位数据安全员进行报备,审核通过后方可导出数据。信息系统应增加相应的审批机制,防止数据被黑客非法获取。

  8.开发调试工作须在测试区进行,并以脱敏方式使用数据。

  9.在正式发布和更新系统前,应建立关键信息防泄漏检查机制并由系统管理员签字确认,防止调试阶段的信息如源代码、配置文件、调试日志和账号口令等敏感信息泄漏。


                         校网信办

                        2022年9月6日