为进一步加强学校服务器(虚拟服务器和物理服务器)的规范化、制度化管理,保证学校数据中心计算、网络、存储等信息资源的合理使用,保障信息系统运行的稳定和安全,特制定本规定。
一、虚拟服务器的申请
1、学校数据中心为全校各单位提供虚拟服务器运行服务,用于学校教育教学信息化等信息系统的部署。虚拟服务器运行服务包括计算、网络、存储等资源和系统安全防护。
2、各单位网站建设按照《西安工业大学二级网站建设与管理办法》执行。全校各类网站应使用学校网站群系统进行部署,原则上不予分配虚拟服务器。
3、虚拟服务器申请应填写《西安工业大学信息系统入网申请表》,提交信息技术中心审核通过后,3个工作日内分配虚拟服务器运行资源。
4、应根据信息系统所运行业务的网络服务需求,按照最小化原则,在《西安工业大学信息系统入网申请表》中填写面向校园网和互联网开放的网络协议、端口号和用途。
5、虚拟服务器禁止主动向互联网发起访问,以确保信息系统安全。如确有向互联网主动发起访问的需求,应按照最小化原则在《西安工业大学信息系统入网申请表》中填写具体的目的IP、域名以及网络协议、端口等内容。
6、虚拟服务器资源申请一般按照默认资源分配即可满足运行需求,信息技术中心会根据资源使用情况分析及时进行调整。
7、《西安工业大学信息系统入网申请表》一式两份,一份提交信息技术中心,一份由信息系统责任单位留存。
二、虚拟服务器所运行业务系统的部署和上线
1、虚拟服务器所运行业务系统在部署阶段不得对互联网提供网络访问服务。
2、信息系统在部署阶段应进行安全等级保护定级和备案。学校信息系统定级和备案工作由信息技术中心组织并指导各单位完成,信息系统责任单位应提交信息系统定级报告和备案相关材料。
3、信息系统责任单位应制定虚拟服务器所运行业务系统的部署实施方案,并提交信息技术中心审核备案。信息技术中心根据部署实施方案,配置、调整和优化虚拟服务器运行参数及安全策略。
4、以http(https)协议方式提供访问和业务服务的信息系统,应申请学校网络域名。网络域名的申请按照《西安工业大学域名管理办法》执行。
5、虚拟服务器所运行业务系统应实行用户注册和注册审批制度,保证合法用户登录后方可访问信息和使用系统功能,不得直接面向互联网提供信息访问。
6、虚拟服务器所运行业务系统在部署完成后正式上线前,信息系统责任单位应向信息技术中心提出试运行申请,并进行至少一周时间的试运行测试。信息技术中心对试运行的系统进行漏洞扫描等安全检测,并出具漏洞检测结果,信息系统责任单位应对其中的中高危漏洞进行修复,经信息技术中心确认无中高危漏洞后方可正式上线运行。
三、虚拟服务器的运维和安全
1、信息技术中心提供虚拟服务器基本运行环境运维和系统安全服务。基本运行环境运维是指为虚拟服务器安装操作系统、分配、调整运行资源和网络参数,保障虚拟服务器运行稳定、通畅。系统安全服务是指为虚拟服务器提供网络访问控制、防恶意软件、入侵防御、Web漏洞防护、系统(数据)备份和Windows系统补丁更新内网分发等安全服务。
2、信息系统责任单位负责虚拟服务器操作系统及所运行业务系统的运维管理和安全,并承担所运行业务系统的网络安全事件责任。各单位应指定虚拟服务器管理责任人(必须为本单位在职在岗职工),监控虚拟服务器操作系统及所运行业务系统的服务、信息内容、数据等运行和安全状况,及时发现运行问题和安全隐患,并采取有效措施及时处置。
3、虚拟服务器在校园网内默认开放SSH服务或Windows远程桌面服务,用于虚拟服务器的远程登录和控制。虚拟服务器原则上不允许通过互联网进行远程登录和控制。如确需通过互联网远程登录和控制虚拟服务器,应申请学校VPN服务提供远程访问授权,并使用VPN系统进行远程登录和控制。
4、虚拟服务器远程登录账号和初始密码由信息技术中心统一分配。首次登录虚拟服务器后应及时修改登录初始密码,密码应包括大小写字符、数字和特殊字符三种组合且长度不低于8位,并在使用过程中定期修改登录密码。
5、信息技术中心通过部署堡垒机等系统,对虚拟服务器远程登录后的运维操作行为进行安全审计。
6、一旦发现网络安全事件,应立即报告信息技术中心。信息技术中心按照《西安工业大学网络安全事件应急预案》,根据对网络安全事件的分析,对虚拟服务器做相应的技术处理和相关处置措施。
四、虚拟服务器的使用
1、虚拟服务器使用应遵守国家相关法律法规和学校相关规章制度,保证虚拟服务器所运行业务系统合法、合规、合理使用。
2、不得擅自变更、增加虚拟服务器所运行的业务系统,如确需变更或增加,应重新填写《西安工业大学信息系统入网申请表》,提交信息技术中心审核后方可实施。
3、虚拟服务器变更所运行业务系统的网络服务等相关参数,应填写《西安工业大学信息系统开放服务申请表》,提交信息技术中心审核备案;虚拟服务器如需停机或不再使用的,应向信息技术中心提交书面申请。
4、应加强对所运行业务系统用户账号的安全管理,配置用户账号登录安全策略,强制用户设置复杂登录密码并定期进行更改,定期清理超过三个月未使用的用户账号,严格控制业务系统管理员账号的数量和权限。
5、信息技术中心建立虚拟服务器使用台帐,定期组织对各单位虚拟服务器使用情况开展清查,核对更新台帐相关内容。对未按要求开展清查的虚拟服务器使用单位,信息技术中心有权停止其虚拟服务器所运行业务系统的网络服务或进行停机处理,以释放资源,由此造成的后果自负。
6、如因学校停电、设备及网络线路故障等非人为因素影响,造成虚拟服务器关机、网络中断、运行异常且导致业务系统运行故障或数据丢失等损失的,信息技术中心不予承担任何责任。
五、物理服务器的管理
1、物理服务器区别于虚拟服务器,是指物理上实际存在的独立服务器。
2、学校图书馆、保卫处等部门以及有特殊需求的学院,在建设图书信息系统、安防监控系统以及教学、科研等专用系统时,可以申请购置物理服务器。
3、物理服务器应集中放置于专用机房内,指定专人负责运行维护和安全管理。
4、学校数据中心机房面向全校提供物理服务器托管服务。申请物理服务器托管的单位应与信息技术中心签订服务器托管协议。
5、物理服务器所运行业务系统的部署、上线、运维、安全和使用等,参照虚拟服务器管理相关规定执行。
六、信息系统建设、运维和使用过程中的资料管理
1、信息技术中心、财务处、国资处、审计处等相关的信息系统建设立项审批、经费审批、论证招标、项目审计、安全等级保护等职能管理部门,以及信息系统具体建设、管理单位,应按照职能和建设、管理实际,分别建立信息系统建设、运维和使用过程中的管理资料档案,主要包括以下内容:
(1)信息系统相关项目建议书、可行性研究报告、初步设计及相关批复等项目建设资料(含软硬件及配套设施建设);
(2)相关预算批复、财务支付凭证等财务管理资料;
(3)项目招投标文件及软硬件采购合同等采购管理资料;
(4)信息系统等级保护及安全评估等安全管理资料;
(5)项目竣工专家评审、决算草案、审计报告等竣工验收资料;
(6)信息系统使用管理制度、操作使用手册等运维管理资料;
(7)信息系统上线运行前的测试验收文件;
(8)信息系统运行巡检记录、报告;
(9)信息系统网络机房托管协议或合同;
(10)信息系统所属网络拓扑结构及说明资料;
(11)信息系统数据共享方式相关说明资料;
(12)信息系统外包运维服务合同。
2、根据工作需要,信息技术中心定期组织对学校各类信息系统建设、运维和使用过程中的管理资料进行清查和梳理。
信息系统服务