河北科技师范学院网站及系统平台发布工作技术要求(通知)
根据《教育部办公厅关于进一步加强网络信息系统安全保障工作的通知》(教办厅函[2011]83号)、教育部国信办《关于进一步加强高等学校网络建设与管理工作的意见》等文件精神要求,为保障我校网站信息安全,规范网站及系统平台的发布管理,经网络与现代教育技术中心研究,结合我校网站安全管理工作实际以及现有网站技术应用情况,对各部门网站(含系统平台)的技术参数作如下要求。
一、自本通知所述网站技术参数发布之日起,申请发布的网站代码及系统平台须满足本通知所述技术参数要求。
二、网站及系统平台须基于B/S架构,即在服务器上发布网站和系统平台Web代码,用户在客户端以浏览器方式访问,发布时不得在服务器端安装任何插件或其他软件。如需开发方协助发布,开发方需专人到机房调试,机房不提供远程桌面或远程协助。
三、在校园网发布的网站应使用如下技术:Html、Asp+Access、Asp.net(C#)+Access、Asp.net(C#)+Sql Server、Asp.net(C#)+Mysql,采用其他语言开发的网站或系统平台暂不支持发布。
四、各部门在网站(含系统平台)开发或购买前需要与网络与现代教育技术中心联系,以确认服务器平台环境是否支持本部门网站语言,防止因平台环境不支持而造成的部门网站无效开发或重复开发。
五、鉴于服务器整体安全性的考虑,发布的网站及系统平台必须充分保证安全性要求:
(1)对有上传要求的网站,一定要限制上传文件的格式、大小及权限等;
(2)密码必须要有加密措施(如:MD5);
(3)防止SQL注入及跨站点脚本攻击;
(4)后台登陆时要有验证码;
(5)后台具有数据及相关文件的备份功能,网站系统管理员能定期备份数据(包括上传文件)并下载到本地计算机中,以备发生突发事件后使用。
六、各级网站发布之前,须经过网络与现代教育技术中心对该网站的安全性能测试。
(1)经检测的网站及系统平台代码不得含有漏洞,测试报告以网络与现代教育技术中心出具的检测报告为准;
(2)凡被测网站显示有软件或硬件漏洞的,未经修复前均不予发布;
(3)需要发布的网站,在通过前期预测试和实机测试后方可发布;
(4)前期测试期间开发者提供的网址,必须保证能被公网访问;
(5)通过前期测试的网站,可发布到学校服务器上做实机测试,测试周期为两周。
七、鉴于网站及系统平台技术的快速发展,网站管理员应定期检查本部门网站及发布信息,预防因系统新漏洞出现等因素造成网页被篡改。
八、网站管理员如发现本部门网站被入侵篡改,需及时与网络与现代教育技术中心联系,以提供技术支持服务,解决相关安全问题。
九、根据有关文件规定,任何单位不得利用网站开设交互型的栏目,如论坛、留言版、博客、文章评论等功能。如经学校有关部门批准,确实需要建设交互功能网站的,需在网络与现代教育技术中心备案。
十、具有交互功能的网站,必须安排专人管理,并且具备实名信息发布、审核等功能。
十一、与网站管理相关的账户、密码须有专人管理,且密码应具有一定的复杂度(例如,设置的密码包括数字、字符等,长度不低于16位;不要采用如“12345678”这样的简单密码)。密码应定期更改,每两周至少修改一次。
十二、网站及系统平台发布流程:
(1)填写《河北科技师范学院二级网站建设及域名申请表》,以确认开发语言、平台支持环境及域名;
(2)提交网站代码及系统进行前期测试、实机测试,符合要求的填写《河北科技师范学院二级网站发布申请及备案表》及《河北科技师范学院二级网站管理单位备案汇总表》。
十三、网站发布以及相关网络服务业务申请工作:
(1)已发布网站如需更新程序,请联系网络中心支持,填写《网站程序更新情况报告表》;
(2)需要网络中心提供主机托管服务的,需提出书面申请,填写《主机托管申请表》。
十四、网站发布和申请网络服务时各阶段所填写表格内容应前后一致。如果出现技术参数、备案信息等重要数据前后不一致的情况,不予发布。
十五、在此之前所发布的有关技术参数与本通知所发布的技术参数不一致的,以本通知为准,2015年7月17日发布的《河北科技师范学院二级网站建设及管理要求》及2015年10月6日发布的《河北科技师范学院网站及系统平台发布工作技术要求(通知)》同时废止。
网络与现代教育技术中心
2016年12月22日
附件: