徐州医科大学信息系统建设技术规定
(暂行)
第一章 数字校园对接相关部分
第一条 统一身份认证。PC端Web应用必须与数字徐医对接,完成单点登录,系统除管理员等特殊账号外均须通过统一身份认证进入系统,不允许保留普通用户入口。
第二条 移动端应用如无特殊要求禁止开发独立APP,必须与徐州医科大学移动应用及服务统一入口徐医微校园对接:完成基于徐医微校园(企业微信)的单点登录;完成消息提醒与徐医微校园(企业微信)对接,并按照要求完善消息推送形式。
第三条 核心数据对接至数据中心,并按照要求提供数据,对于存放云端的数据应提供数据落地服务。同时提供数据说明文档(至少应包括数据表格说明,数据字段说明,数据字典说明,数据关联性说明,计划任务说明,备份说明)并配合学校完成数据资源目录填写,如无法暴露数据库,可以提供视图以及视图的说明文档。
第四条 半结构化、非结构化数据,需根据学校要求进行对接,并提供详细数据结构说明。
第五条 数据库中业务数据必须记录该条数据的创建时间和更新时间,所有业务数据的删除只能逻辑删除,严禁物理删除。
第六条 系统中需要使用的基础数据必须按照信息化处要求从校内的权威数据源获取,禁止系统内录入或修改。
第七条 质保期或维保期内软件供应商必须承诺免费根据我校要求进行数据对接修改。
第八条 待办事项按照要求与数字校园对接。
第九条 消息提醒与数字校园消息中心对接,按照要求将消息推送至数字校园平台。
第十条 按照学校需求,根据接口文档制作数字校园接入模块,方便重点业务数据或业务功能直接在数字校园平台展示。
第二章 知识产权相关部分
第十一条 定制开发类产品,或所购买软件产品中定制开发部分,知识产权为我校所有。
第十二条 软件供应商必须提供软件产品使用部门的详细需求文档。
第十三条 我校购买的,拥有知识产权的产品或产品部分,软件供应商必须提供完整的说明文档,说明文档至少应包括核心业务代码的详细说明、相关接口说明、数据库说明。
第三章 信息安全相关部分
第十四条 信息系统上线前必须通过学校的漏洞扫描评估,并至少按照等级保护二级标准检查,如不满足上线要求,软件供应商必须按照学校要求进行整改。
第十五条 软件供应商应能够提供相应材料配合学校进行等保测评。
第十六条 全站禁止使用HTTP协议,按照学校规定使用HTTPS协议,软件供应商应按照学校要求配置SSL证书,在质保期内按时更换证书(证书购置费用由软件供应商承担),并在相应中间件开启HSTS(HTTP严格传输安全协议)。
第十七条 信息系统传输数据过程中如被校安全设备拦截,系统建设方有义务更改代码以满足安全策略。
第十八条 软件供应商必须提供包括软件所使用虚拟机(不含硬件,主要指操作系统、中间件、数据库等虚拟机中的所有软件部分)在内的安全更新服务,保证在该服务期内我校购买的软件以及该软件使用的虚拟机构成的整个系统可以通过网信、公安等部门的安全检查。
第十九条 软件系统正式上线后,软件提供商在更新代码时必须符合我校代码版本控制要求。
第二十条 数据应能够自动定期备份,一旦出现问题,系统可以利用备份数据快速恢复。备份内容必须存放在不同服务器中,如条件允许,应采用异地备份。
第二十一条 涉及授权证书的禁止使用硬件的USB加密狗且禁止绑定硬件信息。
第二十二条 如采取云端部署,包含云计算平台在内的整个信息系统必须满足等级保护2.0要求,并完成等级保护的定级、备案、测评、整改,且等级测评结论在70分以上。另外,用户信息需经过用户本人或业务主管部门同意方能进入公有云。
第二十三条 系统可以查看完整的操作记录,记录应至少包括操作人、IP地址、操作类型、操作内容、操作时间等,系统运维应采用堡垒机或其他学校认可的方式,严禁采用内网穿透、反向代理等无法审计操作的管理方式。
第二十四条 为防止弱口令存在,系统密码需满足:
1.至少包含大小写字母及数字三种类型;
2.至少8位;
3.初始密码不重复;
4.用户首次使用初始密码进入系统后,强制用户修改密码;
5.用户密码强制每90天更改一次。
第二十五条 系统所使用的操作系统、中间件、数据库等软件的版本在投标质保期内必须保证能够提供相应安全补丁或能平滑升级到不含相关漏洞的新版本。
第二十六条 系统所使用的操作系统、中间件、数据库等软件必须符合国家大政方针,如遇政策变化,需要更换相关软件的,在质保期、维保期内软件供应商需为我校更换相关软件,并免收服务费。
第四章 服务器使用相关部分
第二十七条 我校购买的产品,必须提供完整的开发、部署信息,如:使用的前后台(包括手机端、客户端、Web端)技术框架以及框架版本、数据库版本、部署使用的中间件版本、代理版本、完整的部署示意图、消息队列、分布式、缓存框架版本信息、应用的工作目录及配置文件解释说明等。
第二十八条 应提供完整详细的服务器资源需求,包括CPU,内存,存储,网络。
第二十九条 软件供应商应按照学校要求使用更新周期可以覆盖质保期的操作系统,禁止使用红帽公司服务器及操作系统(含CentOS等各类上下游、分支、兼容操作系统)。原则上使用学校云平台已制作的操作系统镜像。
第三十条 整个系统必须能支持IPV4、IPV6双栈环境以及纯IPV6环境下正常运行。
第三十一条 在质保期、维保期内如学校云平台升级,软件供应商需提供免费部署、数据迁移服务。
第五章 运维相关部分
第三十二条 供应商应为所使用的中间件、数据库按照权限最小化原则创建运维监控用户账号,用于我校运维监控平台使用。
第三十三条 应用部署必须基于操作系统环境下实施,禁止使用OVA、OVF等虚拟化模板方式部署。
第三十四条 应用中全部服务必须支持开机自启动,如有特殊情况,应提供全套启动脚本及命令说明文档。
第三十五条 已经上线系统必须将管理账号全部移交给学校,禁止私设管理员账号。
第六章 功能要求相关部分
第三十六条 管理端涉及列表页面的,应根据权限提供对应的导入导出功能方便用户使用。导入功能应提供相应导入模板供用户下载,导出功能应导出标准Excel格式。
第三十七条 信息系统同时提供多端(PC、平板、手机等)服务的,原则上各端服务能力应保持一致。
第三十八条 任何应用及服务不得植入与本校无关的广告和游戏。
第七章 其他
第三十九条 本规定发布之前出台的相关政策与本规定冲突的,以本规定为准。
第四十条 本规定最终解释权归徐州医科大学信息化处。
第四十一条 本规定自发布之日起施行。