为规范我校信息系统(含网站)开发、提高我校信息系统技术质量和安全程度,从而坚实地提升我校网络安全合信息化水平,参照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等系列文件和业界技术的普遍最佳实践,特制定此信息系统部署和开发技术规范,项目甲乙双方应遵行实施。
1. 禁止安装生命周期已结束(End of life)的操作系统版本,如:Windows 2012、Ubuntu 18.04、CentOS 7、Debian 10、openEuler 21.09等。Windows必须使用学校提供的正版ISO安装。禁止安装无授权的Redhat发行版。操作系统必须配置为自动安装(安全)更新,且必须更新为最新。
2. 建议启用动态磁盘扩展功能。Windows使用“动态磁盘”,Linux使用LVM(并把var或opt目录和根目录分开),方便后期扩展磁盘容量。
3. Linux服务器强烈建议使用Ubuntu/Debian发行版,必须使用包管理器安装软件,无充足理由不应编译源代码安装软件。
4. Linux服务器无充足理由不应安装图形界面。
5. 建议启用和配置防火墙。遵循最小化开放原则,一般只开放80/443端口。
6. PHP+MySQL应用应该部署在Linux服务器下,无充足理由不应部署在Windows服务器上。Java应用建议部署在Linux服务器上。.NET应用部署在Windows服务器上。
7. 数据库服务器一般安装在内网IP服务器上,禁止被外网访问。SQL Server必须使用学校提供的正版ISO安装。一般应禁用MySQL/MariaDB、PostgreSQL、SQL Server的远程访问功能,禁止数据库最高权限用户的远程访问功能。Web应用访问数据库服务禁止使用最高权限用户(root/postgres/sa/sys等),应该采取最小权限原则管理。一般不建议使用Oracle数据库。
8. 应该按数据库管理员和运维管理员要求,将数据库和文件备份到指定的目的地。
9. Web服务器日志应该配置rotate机制。尤其是Windows上的IIS日志,必要时将其默认存储路径移至非系统分区。
10. 建议用Git对代码库进行管理和部署,但同时必须在Web服务器上配置禁止访问.git目录。
11. 禁止在服务器上安装QQ、FTP等和生产环境无关的应用软件。
12. 服务器中部署的业务系统必须能随着操作系统的正常重启后自启动、无需人工干预。
13. 鼓励使用国产软硬件部署安装业务系统。如:华为鲲鹏ARM架构CPU;银河麒麟操作系统、阿里龙蜥;阿里PolarDB/达梦/人大金仓数据库等。
14. 鼓励使用基于容器部署业务系统。
15. 服务器部署人员应该将安装部署全过程中的所有操作记录成部署文档(如:执行的命令、更改的配置文件),作为项目文档参与验收。验收文档中的运维部份必须至少包含系统服务启停命令、配置文件路径、日志文件路径。
二、信息系统通用功能规范
16. 基于Web的系统和网站应该选择广为使用、有持续更新的框架以提高Web应用水平和开发效率。PHP可以选用Laravel、Symfony、ThinkPHP等;Python可以选用Django、Flask等;ASP.NET可以选用微软的netcore /MVC技术;Java可以选用Spring Boot等(严禁使用Struts);JavaScript框架可以选用Vue.js、React等;CSS框架可以选用选择Bootstrap、Tailwind、Element、AntDesign等。应该及时升级Web框架本身的安全更新。定制开发代码亦应遵守各框架建议的编码规范。
17. 系统必须有密码复杂度检查机制,密码长度至少8位,至少含有大小写字母和数字,强烈建议含有非字母数字字符。禁止在数据库中明文存放用户密码,需进行带salt的SM3/SHA512/MD5散列之后入库,优先使用国密算法SM3。强烈建议对于多次错误登陆进行封堵。
18. 数据库中存储的个人敏感数据(如:身份证件号、手机号、照片、家庭住址等)必须使用国密算法加密或散列后存储。
19. 系统中如有使用个人信息,应在采集或使用页面明确告知用户采集目的、采集范围和使用方式,允许用户知情同意后方可采集和使用。
20. 系统提供灵活、安全的授权体系,防止信息被越权获取。
21. 对所有上传的附件进行合法性检查,杜绝危险文件上传。对仅供内部访问的业务系统中的附件应有防止匿名用户下载的机制。应该支持中文文件名文件上传和下载,文件名和文件内容禁止出现乱码。
22. 部分侧重文章管理的内容发布系统必须提供敏感词识别与过滤功能,支持系统级别以及站点级别的敏感词库,站点管理员可以扩展自己站点内的敏感词库。
23. Web应用原则上必须使用全站HTTPS访问,且证书安全级别经 https://myssl.com/ 测试后达到B+级。
24. 部分重点业务系统需要对其源代码进行白盒扫描并通过标准后方可上线。
25. 保证系统服务与上线系统一致,无各种调试或报错信息,系统需删除系统默认安装的各种例程、文档及管理程序。
26. 必须兼容主流浏览器:Chrome、Firefox、Safari、Edge、微信内嵌浏览器、华为等国内市场份额靠前的安卓手机自带浏览器等。
27. 禁止使用过时的插件,如EXE/DLL/Flash/Java Web Applet/Silverlight等。
28. 前端开发应该遵守业界通用最佳实践,如:https://learn.microsoft.com/zh-cn/microsoft-edge/devtools/performance/overview/强烈建议Web页面采用响应式设计,或对手机端提供单独优化过的主题。面向师生用户的页面必须支持以上两种方式之一以提供友好的移动端访问用户体验。
29. 应该使用UTF8编码保存应用源代码和展示网页。禁止网页显示出现乱码。
30. 合理考虑多国语言界面和内容功能(i18n),以落实我校国际化办学战略。
三、系统对接规范
31. 面向校内师生用户需要登录后访问的应用,除特殊情况外,必须对接学校统一身份认证,可以选用标准的CAS 3/OAuth 2/SAML 2等协议对接,优先使用CAS协议。
32. 提供面向师生用户的办事流程服务的Web业务系统,必须为每个办事流程提供唯一的入口网址。匿名用户访问该网址时,先跳转至学校统一身份认证页面登录,登录成功后必须跳转回具体办事流程的入口网址页面,禁止跳回业务系统的首页或其他页面。
33. 系统若需要服务于非学校统一身份认证账号用户(如外聘教师)时,除了统一身份认证登录入口外,仍须单独提供此类用户的登录入口。建议提供一个登录入口网址,供用户手动选择“统一身份认证”和“非统一身份认证”入口。无论是哪种登录方式,用户名不可区分字母大小写。
34. 提供面向师生用户的办事流程服务的系统必须对接学校统一消息平台,发送待办事项提醒等通知;若有待办事项功能,应同时调用我校统一待办事项API将事项写入统一待办事项表中。
35. 根据《开云电竞注册流程数据治理管理办法》规定,全校性的管理信息系统应纳入信息化数据资源共享工作范围内统筹建设与管理,必须应在项目验收前完成资源目录编制工作和数据治理平台对接工作,对未编制资源目录和未完成数据治理平台对接工作的项目不予验收。
a) 已纳入学校信息化编码标准类的数据(如:学工号、组织机构、校舍、专业、课程等)须遵守学校的标准进行数据对接。
b) 学校各业务部门应当根据信息化数据资源的性质和特点,选择采用数据治理平台接口或数据库直连或离线文件途径共享数据资源。其中以数据治理平台接口和数据库直连方式为主要途径,如因特殊情况不宜通过数据治理平台接口和数据库直连方式提供,可通过数据治理平台导出离线文件共享。
c) 对于提供用于交换共享的数据,数据生产部门必须提供相应的数据标准信息,包括编码规则、代码表、元数据结构(数据项名、中文含义、数据类型、长度、约束、值空间、说明)、表关系等。
d) 数据生产部门在提供用于交换共享的数据之前,必须对这些数据进行清洗和完善,保证每张表都必须要有主键约束,一些重要数据项如“学工号”、“姓名”不可有空值,对数据表进行去重,完善不完整的数据记录等。
36. 对于核心数据和重要数据(依次对应于《教育数据分类分级指南》种的L5和L4级别),开发测试阶段使用测试性数据,确需真实数据进行开发测试经申请论证后方可使用真实数据进行开发测试。
37. 和其他业务口子或部门的应用有对接交互的,必须提供HTTP API,强烈建议使用RESTful风格甚或OpenAPI规范。
38. 升级或改造系统时,若老系统中已有和其他系统的对接集成(包括但不仅限于通过API和数据同步等方式),升级后不可破坏已有的对接功能(如:新系统开放的数据格式和内容要与老系统保存一致,新系统提供的API应兼容老系统的接口等),或提前和相关各方协商预备好针对已有对接功能的改造适配方案。
四、安全编码规范
39. 保持代码结构简洁清晰,避免过度复杂的嵌套结构,确保代码可读性和可维护性。
40. 提高代码复用率,建立公共函数库供整个系统调用,减少重复代码。
41. 部署前必须删除所有调试代码和测试数据,仅保留生产环境必需代码。
42. 建立统一的输入验证框架,对所有外部输入(包括用户输入、文件、网络、数据库、配置文件等)进行严格验证,采用白名单机制优先于黑名单。
43. 验证输入数据的类型、长度、格式和边界值,拒绝不符合要求的数据,禁止尝试修复验证失败的数据。
44. 对所有输出到前端的数据进行适当转义,防止跨站脚本等注入攻击。
45. 使用参数化查询或预编译语句处理数据库操作,严格区分数据与命令部分。
46. 实施行级别访问控制,确保用户只能访问其权限范围内的数据。
47. 遵循最小权限原则实施严格的身份认证和授权机制,每个账号对应唯一用户。
48. 会话标识符长度不低于128位,设置合理的空闲超时时间,并使用安全Cookie属性保护会话。
49. 统一认证反馈信息,避免通过错误信息泄露系统信息,实施登录尝试频率限制。
50. 密码必须使用加盐哈希存储,定期更新密码策略,禁止在代码中硬编码密码。
51. 对所有函数返回值进行检查并设置相应处理程序,建立统一的错误处理机制。
52. 设计通用错误页面,避免在错误信息中暴露系统内部信息。
53. 使用结构化日志记录系统,建立清晰的日志等级,记录重要安全事件。
54. 日志文件应独立存储于应用程序目录外,设置严格的访问权限,定期审计日志内容。
55. 实施严格的文件系统访问控制,使用全路径名操作文件,创建专用临时目录。
56. 及时释放数据库连接、文件句柄等系统资源,防止资源泄露和内存溢出。
57. 对第三方组件进行安全评估,确保无已知漏洞,及时更新补丁。
58. 建立安全代码审查流程,确保符合安全编码标准。
59. 使用自动化安全测试工具定期扫描代码,及时发现并修复安全漏洞。
60. 定期更新系统和依赖库版本,及时修补已知安全漏洞。
五、其他说明
61. 以上规范将作为项目验收参考技术标准。
62. 请注意本规范中的“必须”、“应该”、“强烈建议”、“建议”、“不可”、“禁止”等措辞。
63. 本规范将根据国家网络安全相关法律法规和业界技术演进现状进行合理修订。
64. 本规范的最终解释权归开云电竞注册流程网络安全和信息化领导小组所有。
网络安全和信息化领导小组
信息技术中心
