一、信息系统建设与维护规范

1、面向师生服务的系统，须与学校统一身份认证平台集成，实现单点登录。避免师生多处账号密码和弱口令等信息安全问题。

2、涉及学校师生重要业务的信息系统须永久开放数据结构或数据接口。一方面将涉及本系统的权威数据共享给学校数据中心，另一方面可从学校数据中心获取所需的其它系统产生的权威数据，从而实现全校数据共享与交换。

3、信息系统须具备操作日志记录功能，操作日志及Web访问日志保存期限均不少于6个月。

4、信息系统须提供完善的备份手段，实现数据的自动或手动备份功能，并定期检测备份数据的可用性。

5、信息系统建设或维护单位须及时做好操作系统、数据库、中间件等支撑软件的安全补丁升级工作。软件开发单位须对系统配置和程序代码安全负责，因代码漏洞导致的信息安全风险，软件开发单位应承诺终身免费及时修补。

6、系统建设单位应做好网络等级保护备案和测评工作，项目预算应包含完成应用系统网络安全等级保护测评的相关费用。

二、服务器与网络配置规范

1、对互联网提供服务的服务器，须完成网络安全等级保护备案和测评工作方可上线。并须按最小授权原则，仅对必要的外部IP和端口开放服务。

2、为防止反向木马攻击，服务器网段禁止主动发起向互联网的访问，如业务必须，须按最小授权原则，仅允许访问必要的外部IP地址和端口。

3、服务器的远程维护须通过学校堡垒机进行，禁止在服务器上安装非操作系统自带的远程控制软件。

4、服务器应专机专用，须指定固定的管理员，管理员对服务器的安全管理和配置负责。不得将服务器用作个人上网用途，禁止用于上网代理或其他与系统业务不符的用途。