政策文件

位置: 首 页 > 网络安全 > 政策文件 > 正文

【校内制度】新建系统网络安全对接要求

2021-09-10 15:12

1、安全方案

系统供应商须在投标文件中包含完整且切实可行的安全方案,包括需数据传输过程和存储的加密措施、备份的数据列表、代码级安全测试证明等。

2、等级保护测评工作

系统供应商须配合系统的等级保护测评工作,包括定级、备案和协调第三方机构进行评测等。已做过等级保护的成熟系统需提供备案证复印件;初次等保工作须在信息网络技术中心的协调下依照系统定级所需完成;如在系统运行过程中有影响系统定级的信息和业务状态变更,须重新定级并进行测评工作。

3、认证和密码强度安全合规

系统对接学校统一认证后必须关闭自有认证系统并删除自有用户信息;用户及管理员密码设置需有复杂强度要求,且密码均实现加密传输和储存;同时系统需有独立于用户登录页面的后台页面,并对访问源地址加以限制。

4、完成安全性测试

系统上线前应提供风险测评报告,并将系统部署在测试环境中,同时配合信息网络技术中心进行安全基线加固、补丁和杀毒软件安装、漏洞扫描、安全验证与渗透测试等。

5、系统确认完成安全措施并上线

在系统有完整的安全方案、完成等级保护测评工作并提供备案证、系统认证和密码强度达到要求并完成所需安全性测试后,经信息网络技术中心确认系统通过风险评级并开通防火墙策略等IT权限后正式部署至生产环境;系统上线运行后需持续完善安全防护措施,信息网络技术中心将进行不定期监督检查,系统供应商需配合检查并根据要求进行整改。