规章制度
    首页 > 规章制度 > 正文

    南方医科大学信息系统安全管理规范(V1.0)​

    时间:2020-04-27 17:13:26  作者:  点击:


    一、信息系统建设与维护规范

    1、面向师生服务的系统,须与学校统一身份认证平台集成,实现单点登录。避免师生多处账号密码和弱口令等信息安全问题。

    2、涉及学校师生重要业务的信息系统须永久开放数据结构或数据接口。一方面将涉及本系统的权威数据共享给学校数据中心,另一方面可从学校数据中心获取所需的其它系统产生的权威数据,从而实现全校数据共享与交换。

    3、信息系统须具备操作日志记录功能,操作日志及Web访问日志保存期限均不少于6个月。

    4、信息系统须提供完善的备份手段,实现数据的自动或手动备份功能,并定期检测备份数据的可用性。

    5、信息系统建设或维护单位须及时做好操作系统、数据库、中间件等支撑软件的安全补丁升级工作。软件开发单位须对系统配置和程序代码安全负责,因代码漏洞导致的信息安全风险,软件开发单位应承诺终身免费及时修补。

    6、系统建设单位应做好网络等级保护备案和测评工作,项目预算应包含完成应用系统网络安全等级保护测评的相关费用。

    二、服务器与网络配置规范

    1、对互联网提供服务的服务器,须完成网络安全等级保护备案和测评工作方可上线。并须按最小授权原则,仅对必要的外部IP和端口开放服务。

    2、为防止反向木马攻击,服务器网段禁止主动发起向互联网的访问,如业务必须,须按最小授权原则,仅允许访问必要的外部IP地址和端口。

    3、服务器的远程维护须通过学校堡垒机进行,禁止在服务器上安装非操作系统自带的远程控制软件。

    4、服务器应专机专用,须指定固定的管理员,管理员对服务器的安全管理和配置负责。不得将服务器用作个人上网用途,禁止用于上网代理或其他与系统业务不符的用途。

    Copyright © smu.edu.cn   南方医科大学网络中心    电话:020-61648059