前 言
本规范由中华人民共和国教育部科学技术司提出并归口管理。
本规范起草单位:教育部教育信息化技术标准委员会、清华大学、浙江大学、北京邮电大学、北京工业大学、华中师范大学、华东师范大学、西安电子科技大学、教育部教育管理信息中心。
本规范主要起草人:罗念龙、杜婧、马严、杨宗凯、郑莉、陈文智、张闯、郭煜、吴砥、窦天芳、常志华、李建聪、张小平、杨家海、佟秋利、曾德华、李绯、刘乃嘉、张慧琳、石凌、陈晨、韩丽风、杨慧、曾晓牧、朱莎、钱冬明、陈怀楚、朱晓瑛、徐世东、尹世学、王振华、王臻、谢素萍、刘聪、云霞、陈敏、饶景阳、胡燕、吴战杰、吴晨、钟晓流、徐建、李海霞、宋述强。
引 言
本规范旨在贯彻落实《中国教育现代化2035》和《加快推进教育现代化实施方案(2018-2022年)》的要求,在教育信息化2.0发展中,应对信息技术的迅猛发展和积极发展“互联网+教育”的发展需求,结合高等学校信息化发展实际,以标准规范促进教育信息化支撑引领教育现代化发展,指导全国各高等学校充分利用云计算、大数据、物联网、移动互联网、人工智能等技术,不断改善学校办学条件,营造网络化、数字化、智能化、个性化、终身化的教育教学环境,促进信息技术与高等学校人才培养、科学研究、文化传承与创新、社会服务、国际交流等方面的深度融合和创新应用,提高教育教学质量和科研服务水平,提升科学决策和教育治理能力,培养具有创新精神和实践能力的高素质人才。
高等学校数字校园建设规范
1 范围
本规范给出了高等学校数字校园建设的总体要求和主要组成,规定了基础设施、信息资源、信息素养、应用服务、网络安全和保障体系的通用要求。
本规范适用于高等学校开展数字校园及智慧校园的规划、设计、建设和实施。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
《中华人民共和国网络安全法》
GB/T 2887 计算机场地通用规范
GB 15629.11 信息技术 系统间远程通信和信息交换 局域网和城域网 特定要求 第11部分:无线局域网媒体访问控制和物理层规范
GB/T 20988 信息安全技术 信息系统灾难恢复规范
GB/T 22239 信息安全技术 网络安全等级保护基本要求
GB/T 25058 信息安全技术 信息系统安全等级保护实施指南
GB/T 25068 信息技术 安全技术 网络安全 系列多部分标准
GB/T 28448 信息安全技术 网络安全等级保护测评要求
GB/T 29808 信息技术 学习、教育和培训 高等学校管理信息
GB/T 33782 信息技术 学习、教育和培训 教育管理基础代码
GB/T 35273 信息安全技术 个人信息安全规范
GB/T 35298 信息技术 学习、教育和培训 教育管理基础信息
GB/T 36342 智慧校园总体架构
GB/T 36351.1 信息技术 学习、教育和培训 教育管理数据元素 第一部分:设计与管理规范
GB/T 36351.2 信息技术 学习、教育和培训 教育管理数据元素 第二部分:公共数据元素
GB/T 36354 数字语言学习环境设计要求
GB/T 36447 多媒体教学环境设计要求
GB/T 36449 电子考场系统要求
GB/T 36642 信息技术 学习、教育和培训 在线课程
GB 50174 数据中心设计规范
GB 50462 数据中心基础设施施工及验收规范
GA/T 1396 信息安全技术 网站内容安全检查产品 安全技术要求
JR/T 0025 中国金融集成电路(IC)卡规范
ISO 7816-1 识别卡 接触式集成电路卡 第1部分:物理特性
ISO 7816-2 识别卡 接触式集成电路卡 第2部分:触点尺寸和位置
ISO 7816-3 识别卡 接触式集成电路卡 第3部分:电信号和传输协议
ISO 7816-4 识别卡 接触式集成电路卡 第4部分:行业交换命令
ISO/IEC 14443-1 识别卡 无接触点集成电路卡
《中国人民银行PSAM卡规范》
3 总体要求
3.1 建设目标
高等学校数字校园建设是在《中国教育现代化2035》战略的要求下,对高等学校教学、科研、管理、服务等业务和校园环境进行数字化建设,支撑各业务开展智能化应用的整体工程。高等学校数字校园建设的总体目标是:围绕立德树人根本任务,结合业务需求,充分利用信息技术特别是智能技术,实现高等学校在信息化条件下育人方式的创新性探索、网络安全的体系化建设、信息资源的智能化联通、校园环境的数字化改造、用户信息素养的适应性发展以及核心业务的数字化转型。
3.2 建设原则
各高等学校可根据自身的建设水平、治理体系的特点和需求,在保证达到本规范要求的基础上突出学校特色和智慧应用探索。
高等学校数字校园建设应遵循以下基本原则:
¾ 整体规划、分步实施:高等学校应根据学校事业发展规划,围绕“技术赋能高等教育发展”的思路,以学校整体发展为目标,综合考虑学校人才培养、科学研究、文化传承和社会服务愿景,设置相应的组织机构,协调校内各业务主管单位,针对未来业务需求和技术趋势,在人员和经费方面给予合理保障,制订学校的数字校园规划,用以指导数字校园建设。规划建议3-10年,在实施过程中,应以规划为指导,考虑实际情况,有计划、有步骤地分步实施。
¾ 总体设计、标准引领:高等学校数字校园建设过程中应将数字校园作为一个整体,加强总体设计,保障数字校园基础设施、信息资源、应用系统以及网络安全、保障体系等方面协调发展,避免出现信息孤岛。高等学校应通过管理规范、技术标准建设,加强基础设施利用、信息资源共享和应用系统集成,提高数字校园建设效率和建设水平。
¾ 应用导向、数据驱动:高等学校数字校园的建设应以学校事业发展需求、师生教学科研需求及学校管理服务需求为导向。在数字校园建设运行中,应持续加强信息资源的开发、积累、管理和利用,在继续事务处理型应用系统建设的同时,加强事务分析型应用系统建设,利用大数据技术为用户提供决策支持和智能化服务,促进高等学校数字化转型。
¾ 注重融合、体验优先:高等学校数字校园建设运行中应注意各部分、各系统间的集成和数据融合,发挥数字校园的整体性,为各类用户提供集成化、个性化、智能化的信息和应用服务。重视用户体验、以师生的使用体验作为数字校园建设运行重要的评价指标。
¾ 安全可靠、适度超前:高等学校数字校园应特别注重安全规划、安全实施和安全管理机制建设,构建完整的数字校园安全保障体系,确保数字校园运行安全。高等学校数字校园建设应平衡技术的先进性和实用性,在性能、容量等方面可适度超前,使系统具有良好的可扩展性和灵活性,以保证技术平台能够适应业务需求的变化。
¾ 积极探索、创新应用:信息技术始终处于快速发展中,新技术层出不穷。高等学校在数字校园建设中应积极探索新技术的创新应用,如区块链、边缘计算、智联网等,使信息化能更好地支撑教学、科研、管理、服务等业务创新和高等学校事业发展。
3.3 建设流程
数字校园建设是系统工程,宜从学校战略定位和实际需求出发,从顶层设计入手,全校各业务主管单位协同合作,整体规划数字校园建设目标、建设蓝图和实施步骤。高等学校数字校园的建设可根据实际情况,参考以下建设流程进行:
¾ 整体规划:全面梳理学校对教学、科研、管理、服务、合作等方面的业务模式和现状,从内部愿景出发,分析外部环境和内部战略发展目标对数字校园建设的需求,考虑未来的战略规划,制定或完善数字校园相关的信息化规划。
¾ 总体设计:在学校数字校园相关规划的指导下,结合学校实际情况,总体设计或完善学校数字校园的应用模型和技术架构,用于指导数字校园建设。
¾ 项目建设:在明确规划框架和具体内容的基础上,进一步细化数字校园各业务板块建设目标与内容,形成具体建设步骤和建设项目,有计划地实施落地。
¾ 运行维护:数字校园相关项目的实施应配备运行维护团队,保证项目正常运行与维护更新。
¾ 评价改进:根据项目数据、用户反馈以及业务流程对数字校园建设各部分内容开展建设情况评价,促进数字校园建设的持续更新。
4 主要组成
高等学校数字校园是物理校园的数字化转型和扩展,数字校园应基于校园的具体业务进行流程梳理和实体校园数字化,以提升校园整体的运行效率,实现教学、科研、管理、服务等活动顺利开展。数字校园的总体结构如图1所示。
高等学校数字校园建设内容,主要包括以下部分:
¾ 基础设施主要包括校园网络、数据中心、教学环境等,是数字校园的物理基础。
¾ 信息资源包括以结构化数据为主的基础数据和业务数据,以非结构化数据为主的数字化教学资源、科研资源、文化资源等,是数字校园的核心资源。
¾ 信息素养是数字校园各类用户应具备的运用信息与技术的素养和能力,是充分发挥数字校园功能,获取数字校园服务的基本要求。
¾ 应用服务包括学校统一提供的基础应用服务,各类教学科研、管理服务、校园运行等业务系统与应用,数字校园各类人机交互界面等,为学校各种业务活动提供信息化支持。
¾ 网络安全包括网络基础设施安全、信息系统安全、信息终端安全、数据安全、内容安全及安全管理等,为数字校园提供安全保障。
¾ 保障体系包括组织机构、人员队伍、规章制度、标准规范、经费保障、运维服务和评价体系等,是保障数字校园建设和运行的基本条件。
图1 高等学校数字校园总体结构
5 基础设施
5.1 概述
高等学校数字校园信息化基础设施是承载数字校园的基础和物理形式,一般包括校园网络、数据中心、校园卡、信息化教学环境、信息化育人环境、虚拟空间环境等,基础设施为各类信息化应用提供技术、设备和物理环境支持,是数字校园的基础。基础设施建设的总体要求是:
a) 应根据学校数字校园建设现状和规划,确定适度超前的基础设施建设性能和容量等指标。
b) 应选择主流和相对成熟的技术路线和设备进行基础设施建设。
c) 应重视基础设施安全,安全指标应符合本规范第9章的要求。
d) 同等条件下,应优先选用国产自主可控设备。
e) 各高等学校可以根据学校实际情况,在安全合规的前提下,使用云服务作为高等学校数字校园基础设施的补充。
5.2 校园网络
5.2.1 概述
校园网络的建设目标是构建包含无线网络、有线网络和物联网等多种形式的融合网络,为学校的人、事、物提供随时随地的接入,支撑学校教学、科研、管理、服务和园区运行业务的信息流转。应支持主流用户入网认证方式。
校园网络建设主要包括校园网出口、主干网、有线接入网、无线接入网、校园物联网和校园5G网等。
随着校园网络规模扩大,高等学校校园网络的主机房、各汇聚和接入节点机房的建设也日趋重要,各机房的设计和建设应遵循GB 50174、GB 50462和GB 2887的相关规定。二级单位机房的建设应与校级主机房的配置相适应。
注1:主流用户入网认证方式包括但不限于IEEE802.1x、Portal、MAC等。
5.2.2 校园网出口
a) 应在校园网出口区部署出口路由器和防火墙等安全防护设备。
b) 应采用设备冗余部署等方法保证可靠性。
c) 出口带宽应能满足学校使用需求与发展需求。
5.2.3 校园主干网
a) 应能承载有线、无线、物联网等业务,能够满足学校各种数据终端及传感设备的接入需求。
b) 整体网络架构在性能、容量、高可靠及技术运用等方面应满足学校未来五到十年的整体发展需求。
c) 整体网络架构应能基于覆盖区域、终端数量、业务需求实现按需扩展,无需对架构进行调整。
d) 应支持IPv4与IPv6双栈部署。
e) 应可划分不同的网络区域,适用不同的管理和控制需求。
f) 应避免将重要网络区域部署在互联网边界处,重要网络区域与其他网络区域之间应通过交换机ACL、防火墙、物理网闸等技术进行有效隔离。
g) 应提供通信线路、关键网络设备、关键安全设备、关键计算设备的冗余,保证系统的可用性。
h) 应统一管理有线无线接入网络。校园网用户有线、无线方式接入时,权限及业务连接应保持一致。
i) 应具有对用户和设备的实名认证与登记备案机制。
5.2.4 有线接入网
a) 应进行定期的接入测试,确保接入网络的可用性,确保能容纳预计数量的用户接入和正常使用。
b) 有线接入网络应符合GB/T 15629.3的规定。
5.2.5 无线接入网
a) 应根据校园中不同场景和不同业务的需求,确定建设方案,选择相应的设备进行部署。
b) 无线校园网建设宜覆盖校园全场景,满足师生泛在化教学与学习需求。
c) 应进行定期的接入测试,确保接入网络的可用性,确保能容纳预计数量的用户接入和正常使用。
d) 无线接入网络应符合GB 15629.11-2003的规定。
5.2.6 校园物联网(可选)
a) 校园物联网的设计需考虑技术成熟度、开放性、可扩展性以及与网络基础设施的兼容性。
b) 物联网架构设计可参考物联网感知层、物联网接入层、物联网数据管理层、物联网数据应用层和物联网安全,确保各层之间接口开放解耦、应用数据共享,可以满足未来应用扩展和协议扩展的需求。
注2:本规范中所有标注“(可选)”的条款为建设可选项,全文同。
5.2.7 校园5G网(可选)
5G网络具备大带宽、低时延、广连接等特点,可从时域、空域、受众等方面丰富高等学校各类业务应用和教学科研生活服务场景。
示例:校园5G网络可用于VR/AR教学、仿真实训教学、远程同步课堂、校园活动直播等。
高等学校校园5G网络建设可考虑:
a) 根据教学科研及管理的场景需求,可基于运营商网络、CERNET、高等学校自有校园网等开展建设;
b) 可提出网络切片、混合组网等多种建设方案;
c) 如有数据安全、本地分流、机器视觉等需求,可与边缘计算结合,实现数据安全隔离、多业务承载与多应用融合。
5.3 数据中心
5.3.1 概述
数据中心的建设目标是建设安全、高效、节能的数据中心基础设施,构建安全、稳定、高效的网络、计算(服务器)系统、存储系统、基础软件系统、备份容灾系统等,为信息化应用提供良好的支撑环境。数据中心一般由机房、网络系统、计算(服务器)与存储系统、备份容灾系统、基础软件系统组成。数据中心还可根据需求,建设云计算平台、大数据平台和人工智能平台等。
5.3.2 机房
数据中心机房为集中放置的电子信息设备提供运行环境的建筑场所,建设要求是:
a) 机房一般应包括主机房、辅助区、支持区和行政管理区等。
b) 数据中心机房设计和建设应遵循GB 50174、GB 50462和GB 2887相关规定。
c) 应考虑模块化、近端制冷等节能方案。(可选)
d) 应建立智能化运维管理平台,对IT资产、制冷、供电、空间等进行管理。(可选)
e) 应考虑智能化无人运维措施,降低对运维人员技术要求,提高可靠性。(可选)
5.3.3 网络系统
数据中心网络系统上联至校园网核心网络设备,下联数据中心的主机(服务器)系统、存储系统、数据备份和容灾系统等的网络系统,建设要求是:
a) 为提高网络可靠性和性能可适当考虑堆叠、虚拟化等技术。
b) 数据中心交换机应根据网络流量实际需求进行配置,交换机间宜采用光纤连接。
c) 数据中心综合布线系统应根据服务器及存储设备数量进行设计,服务器和存储设备规模较大时建议使用柜顶式交换机,降低布线数量。
d) 数据中心网络应支持IPv4和IPv6双栈运行架构。
e) 根据安全实际需求,数据中心网络系统宜配置独立的防火墙、Web应用防火墙等安全设备,并分层按需部署。
5.3.4 计算与存储系统
数据中心计算系统是指在网络环境下提供信息处理、资源发布等服务的专用系统和设备。存储系统是指提供信息保存和备份等功能的外置存储系统,一般由存储媒介子系统、控制子系统、连接子系统和存储管理软件子系统等部分构成,建设要求是:
a) 数据中心计算系统宜采用PC服务器,根据应用系统的性能要求可考虑采用虚拟化技术。
b) 计算密度较高时,应采用刀片式服务器,降低布线复杂度。
c) 存储系统可根据实际应用选择存储区域网络(SAN)、网络连接存储(NAS)或混合模式,可以考虑使用支持多协议的统一存储。
d) 根据学校实际情况,可考虑基于超融合架构构建学校内云架构。(可选)
5.3.5 基础软件系统
数据中心基础软件系统包括DNS、NTP、日志服务、监控服务、VPN、配置与管理等基础服务,也包括操作系统软件、Web服务软件、应用服务软件、数据库软件等基础软件,建设要求是:
a) 为保证数据中心内相关业务的稳定运行,建议搭建独立的DNS、NTP服务,数据中心中相关设备均配置内部DNS和NTP服务。
b) 数据中心中所有设备应配置统一的日志服务,采用Syslog等协议统一收集日志,为后期问题核查、安全取证提供支持。
c) 数据中心内部应配置软硬件监控平台,对软硬件运行情况进行统一监控,如有条件也可以对关键业务系统采用第三方监控平台对服务质量进行监控。
d) 数据中心建议配置VPN服务,提供给管理员远程管理数据中心设备的能力。
e) 应根据应用和服务的需求选择适合的基础软件。
f) 应建立常用软件的正版授权服务。
g) 在同等条件下,优先考虑基础软件的国产化替代。
h) 数据中心可建立设备、软件基础配置库,进行统一管理。(可选)
5.3.6 备份容灾系统
备份是指将文件系统或数据库系统中的数据加以复制,一旦发生灾难或错误操作时,得以方便而及时地恢复系统的有效数据和正常运作。当计算机系统在遭受如火灾、水灾、地震、战争等不可抗拒的自然灾难以及计算机犯罪、计算机病毒、掉电、网络/通信失败、硬件/软件错误和人为操作错误等人为灾难时,容灾系统将保证用户数据的安全性,甚至还能提供不间断的应用服务。备份容灾系统的建设可遵循GB/T 20988的规定,建设要求是:
a) 应将数据中心中的系统按照重要性、可间断时间、数据丢失容忍度等进行分级,根据不同级别制定不同的备份和容灾方案设计。
b) 应优先考虑本地备份,备份数据量较大时,可考虑采用分布式集群备份架构。
c) 容灾系统分数据容灾和应用容灾,高等学校数据中心建设中,建议以数据容灾为主。学校存在多校区时,可考虑采用多数据中心容灾解决方案。
5.3.7 云计算平台(可选)
云计算平台使用虚拟化等云计算技术将物理设备抽象成逻辑资源,让一台服务器变为多台相互隔离的虚拟服务器,使硬件变成可以动态管理的“资源池”,提高资源利用率,简化系统管理。建设要求是:
a) 云计算平台架构上应具有可靠性、扩展性和开放性:应支持虚拟机高可用机制,支持备份和容灾服务;平台可采用业界主流的公有云、私有云或混合云设施,支持主流虚拟化技术;应提供SDK包和API接口,供用户进行二次开发。
b) 云计算平台应提供用户自服务功能,可为二级组织分配虚拟数据中心,支持计费。
c) 云计算平台面向管理员应提供云运营管理和云运维能力:运营管理实现对云服务的管理功能,运维管理实现对云的监控功能。
5.3.8 大数据平台(可选)
大数据平台统一管理、集中存储学校的各种数据和资源,为信息资源管理服务平台提供数据存储和计算服务,为上层业务应用提供支撑,建设要求是:
a) 大数据平台应提供多种数据处理技术框架,包括但不限于:批处理计算框架、内存计算框架、流计算框架、图计算框架、批流融合计算框架等。
b) 大数据平台宜采用关系数据库、并行(MPP)数据库、Hadoop等混合存储架构,根据数据的特性、应用场景选择最有效的方式存储;建议硬件上支持根据数据的重要性、访问频率、容量、性能等指标分级存储在不同性能的存储设备上。
c) 大数据平台应该支持集群管理功能和基于时间的服务资源动态调整功能,方便进行集群的规模调整和资源动态调度。
5.3.9 人工智能平台及工具(可选)
人工智能平台及工具提供机器学习、算法服务、模型管理等核心能力,提供人工智能算法的开发、训练、部署、运行和管理能力。高等学校可根据实际情况按需建设。
人工智能平台建设过程中宜遵守以下原则:
a) 平台及工具从架构上应满足开放性、高可靠和可用性,提供统一的服务框架和接口框架。
b) 平台及工具应支持业界主流的人工智能算法、编程模型、计算框架。各模块间的接口应遵循业界常见的架构和协议,兼容主流开源框架的接口。
5.4 校园卡系统
校园卡系统建设目标是依托于校园卡的校内身份认证功能和规范化的收费机制,促进校园信息化应用的整合,为持卡人提供方便、快捷的服务体验。校园卡系统建设应在学校信息化总体设计要求下完成卡片、应用系统和安全体系的建设,建设要求是:
a) 校园卡可选用实体卡或虚拟卡。选用非接触式CPU卡应符合ISO/IEC 14443系列标准。PSAM卡应符合ISO 7816-1/2/3/4标准、JR/T 0025-2005和《中国人民银行PSAM卡规范》相关要求。
b) 卡片应标识持卡人信息,如姓名、性别、证件号、有效期、照片等。可根据管理需求,将校园卡划分为不同的卡类型。
c) 卡内存储信息一般应包括卡片基本信息、持卡人信息、钱包账户信息、应用信息、密钥信息等。
d) 校园卡应用系统应遵循JR/T 0025-2005中对于应用中卡片、终端、交易、安全等相关规范。
e) 面向持卡人服务的消费、门禁、签到等系统应具备联网/脱机自适应能力。
f) 校园卡平台应面向第三方应用系统提供开放服务接口和数据接口,支持对接第三方移动支付等功能。
g) 校园卡密钥的生成、保存、使用等工作应由学校安排专门部门组织负责。
h) 校园卡系统应在学校进行私有化部署,应用系统、数据应由学校自主管理,系统运行基于硬件级的加密设备。
i) 校园卡终端设备应由学校统一进行管理、统一授权,支持挂失、失效等管理功能。
j) 实体校园卡可规划相应的区域支持社会通用应用,如市政公交卡功能。(可选)
5.5 信息化教学环境
高等学校应根据教学需要,分析课堂教学、在线教学、混合式教学等需求,设计或改造信息技术支持的物理学习空间,也应加强建设基于网络的虚拟学习空间。
信息化教学环境的物理学习空间的建设与改造中,音频系统、显示系统、智能化控制系统、供配电系统、照明系统、信息网络及系统集成应遵循GB/T 36447的要求。语言学习型教室的建设应遵循GB/T 36354的要求,电子考场建设应遵循GB/T36449的相关要求。
除了以上基本功能外,高等学校信息化教学环境还可根据教学需要建设以下内容:
a) 提供多种工具和功能支持课堂内外的师生互动。(可选)
示例:师生互动工具和功能包括但不限于:分组显示、无线投屏、在线答题、弹幕、数据分析等。
b) 支持课堂教学与在线学习系统及应用的信息联通和数据融合。(可选)
c) 支持对环境实时数据采集与传输,根据教学需要和环境条件,实现教学环境中相关设备的智能调节控制。(可选)
示例:环境实时数据可包括但不限于自然光、照明、空气质量、温度、湿度、位置等。
5.6 信息化育人环境
除了基础的信息化教学环境外,高等学校还应探索信息技术和人工智能技术在人才培养全过程的应用,建设人技结合的新型育人环境,如智能教学楼、虚拟实验室、智能图书馆、智能体育馆、智能博物馆/展览馆/校史馆,智能化宿舍,智能化实践基地,以及其他智能化环境。
6 信息资源
6.1 概述
信息资源是高等学校信息化过程中产生、使用和积累的各种结构化、半结构化和非结构化数据的统称。信息资源在高等学校数字校园建设中起到关键作用。高等学校在数字校园建设中,应将信息资源建设放在关键位置,逐步形成内容完善、数据准确、组织有序、广泛关联、更新及时、安全可靠、服务优质的全域信息资源库,为学校发展、师生用户以及社会公众提供优质信息服务。信息资源建设的总体要求是:
a) 高等学校应对学校信息资源建设内容、标准规范、建设方案、技术平台等进行总体规划设计。
b) 信息资源的收集、存储、管理和使用应符合国家相关法律法规及相关管理规定的要求。
c) 高等学校信息化工作中应强调信息资源标准,应参照信息资源已有的国家标准和行业标准(如GB/T 29808、GB/T 33782、GB/T36351.1、36351.2等),制定各类信息资源的学校标准,用于指导和规范信息资源的建设、管理和使用;并将相关的标准规范落实到具体的工作流程、业务规范和技术平台中,确保标准规范得到执行。
d) 高等学校应重视信息资源的隐私保护、版权保护和安全保障。
e) 高等学校应加强数据治理,不断提高信息资源质量,提升信息资源价值。
f) 高等学校应采取切实措施,推进和鼓励信息资源的共享和创新应用,充分发挥信息资源的价值。
高等学校信息资源主要包括以结构化数据为主的基础数据和业务数据,以半结构化数据为主的基础设施运行数据,以及以非结构化数据为主的数字化教学资源、科研资源、文化资源和管理服务资源。本章规定基础数据、业务数据、教学资源、科研资源、文化资源这几类主要信息资源的建设要求,并规定信息资源管理服务平台的建设要求。
6.2 基础数据
基础数据包括主数据和参考数据,是学校最重要的信息资源,是其他信息资源进行关联的基础。基础数据的建设应该放在学校信息资源建设最优先的位置。对基础数据的建设要求如下:
a) 应规划建设准确完整的学校基础数据,包括实体校园、人员机构、学科、设备、资产等。对于缺失的基础数据,应通过适当方式,优先补充建设。
注3:实体校园可包括但不限于校园土地、建筑、设施等;人员机构可包括但不限于组织机构、教工、学生、校友等;学科可包括但不限于学科、课程、交叉研究领域等。
b) 应参照国家和行业相关标准,根据学校的具体情况,制订学校基础数据标准,发布基础数据目录并及时更新。
c) 应明确各基础数据的数据源及其主管负责单位,保证基础数据质量,并及时更新,保证基础数据的实时性,为用户和其他应用提供高质量的基础数据服务。
d) 应提供适当的接口规范和服务接口,使基础数据能为获得授权的各类用户和应用提供优质服务。
e) 应加强基础数据的管理透明与共享机制,防止数据滥用、私用、霸用和数据欺骗。
f) 应建立基础数据高可用机制。(可选)
g) 应建设基础数据的历史库,记录基础数据的状态变化。(可选)
h) 应定期对基础数据进行备份,保留不同时间点的基础数据。(可选)
6.3 业务数据
业务数据是指高等学校在进行教学、科研、管理和服务等各项业务活动中产生的数据,记录了高等学校各种业务活动的过程和结果,覆盖学校主要业务活动产生和处理的数据,是高等学校信息资源的重要组成部分。
业务数据的建设要求是:
a) 应尽早梳理学校重要的业务数据状况,规划学校数据和学校的管理服务数据建设内容,编制数据资产目录。对于缺失的重要业务数据,应优先构建信息系统进行数据的采集和管理。
b) 应参考国家和行业标准,根据各级主管部门要求,考虑学校业务活动和数据分析需求,制订业务数据标准并监督实施。
c) 应根据业务数据管理和应用的需求,选择采用适宜的数据建模方法,构建业务数据库。
6.4 数字化教学资源
6.4.1 概述
数字化教学资源是信息化促进优质教育资源共享的核心要素,是指服务于高等学校课程建设、教育教学过程的数字化教学内容资源。高等学校的数字教学资源主要包括:在线课程、数字化教材、实验实践资源、学术报告类资源等。高等学校应根据需要,建设校级教学资源管理及应用平台,有条件的高等学校可建设教学资源知识管理系统,整合各类教学资源,按权限为师生员工提供内容服务。数字化教学资源管理平台应遵循国家相关标准和本校通用的技术规范。
6.4.2 在线课程
高等学校应根据学校实际条件,开展在线课程的规划和资源建设,包括但不限于以下内容:
a) 遴选学科建设中的优质核心课程,采取激励措施,鼓励教师建设在线课程。
b) 可配备技术团队和资源建设环境,支持教师自建或与专业团队合作建设在线课程。
c) 推进各类培训促进教师了解并应用在线教学的各类教学方式方法和信息技术工具平台等。
d) 鼓励教师利用已有的在线课程探索翻转课堂、混合式学习、探究学习、协作学习等教学创新。
e) 遵循或建立一定的技术规范,保证在线课程资源的质量,在线课程建设要素及技术要求应遵循GB/T 36642的要求。
f) 鼓励教学团队利用优秀教师的在线课程,开展教学研究和教师培训。(可选)
6.4.3 数字化教材
高等学校应鼓励教师在编写、修订或引进高水平教材的基础上,积极开发适合本校学生使用的电子课本、网络教材、多媒体教学课件、软件和教学网站等。高等学校应为开发数字化教材的教师提供以下支持:
a) 配备技术支持人员,鼓励以教师为主技术支持人员为辅,共同设计与开发。
b) 推进利用信息技术制作数字化教材的相关技术方法和工具的培训。
c) 建立数字化教材更新机制,保证教材的及时更新。
d) 鼓励教师在教学中使用数字化教材。
e) 提供数字化媒体制作工具或环境,支持教师自助式制作数字化教材。(可选)
6.4.4 实验实践资源
高等学校应根据本校实验实践教育需求,利用信息技术加强实验实践资源的建设。高等学校应从以下方面支持实验实践资源的建设:
a) 配备技术团队,支持实验室信息化建设。
b) 利用信息技术结合学科内容开发线上实验教学资源。
c) 搭建虚拟实验实训资源开发与使用环境。(可选)
d) 鼓励教师和专业团队合作利用虚拟现实与虚拟仿真技术建设沉浸式的实验实践教学资源。(可选)
e) 鼓励教师和相关企业合作建设实验实践教学资源。(可选)
f) 利用通信和物联网技术开展实验设备改造,实现可远程控制的实验系统。(可选)
g) 鼓励教师和相关企业及技术团队合作,推进教学实验系统管理和服务的智能化。(可选)
6.4.5 学术报告类资源
高等学校应及时记录并积累校内各类学术会议、讲座、报告等资源,为人才培养提供通识类、前沿类教学资源的补充。高等学校应鼓励教师向校级教学资源平台中积累有价值、可共享的学术报告类教学资源。
6.5 数字化科研资源
6.5.1 概述
数字化科研资源主要指高等学校科研人员在科研活动过程中产生和使用的各类科研相关的数字化资源,主要包括电子数据库资源、科学数据资源、应用软件资源和机构知识库等。数字化科研资源直接服务于高等学校的科学研究工作,是高等学校信息资源的重要组成部分。
6.5.2 电子数据库资源
电子数据库资源包括图书、期刊正式出版物,也包括没有正式出版的预印本论文及其他阶段性研究成果,可分为学术期刊论文、会议论文、学位论文、著作、专利、标准、政府报告、手册、词典、预印本文献、开放获取资源、数字档案等。建设要求是:
a) 高等学校应根据学校发展目标及学科建设规划,规划建设涵盖本校各专业师生所需的优质数据库,满足科研、教学、人才培养的需要,为师生提供优质服务。
b) 高等学校应统筹数字资源与纸质资源及其他载体资源的协调发展,建立校内外共建共享机制,对各类资源进行科学的组织、揭示和整合,建立检索系统,提高资源的可见度与获取效率。
c) 高等学校应加强电子数据库评价体系建设和使用情况分析评价。
6.5.3 科学数据资源
科学数据资源包括科研人员在科学研究过程中所使用和产生的各类数据,包括实验数据、调查数据、分析数据、测量数据、信息系统产生的数据等。建设要求是:
a) 高等学校应制定科学数据管理规范并推动落实。
b) 科学数据管理应遵循科技领域和研究领域相关的元数据标准。
c) 在符合法律法规和知识产权规定的前提下,高等学校应鼓励科学数据的共享应用。
d) 高等学校应通过技术手段,促进科学数据的收集、存储、管理和共享利用。(可选)
6.5.4 应用软件资源
应用软件资源指科学研究过程中使用的以工具、软件为主的资源,如科研文献管理工具等。建设要求是:
a) 高等学校应根据师生科研需求,充分利用开源软件或购买被广泛利用的商业软件,为本校师生进行科学研究、数据处理、科研创作等提供支撑,提升科研工作效率。
b) 高等学校应为师生提供主流应用软件资源的培训、技术支持服务。(可选)
6.5.5 机构知识库(可选)
机构知识库是基于全球开放理念而形成的一种新型学术交流与资源共享模式,目前已成为保存、管理和传播机构知识资产的重要工具与机制。
a) 高等学校应鼓励将机构知识库建设与科研资源管理相结合,制定相关政策,确保机构知识资产可管理、可发现、可传播、可长期保存。
b) 高等学校应将机构知识库与学校科研管理信息系统对接,形成机构内部科研管理生态。
c) 高等学校应支持对机构知识资源进行不同维度的统计分析,为科研管理部门提供决策支撑。
d) 高等学校的机构知识库应与科研管理流程相结合,实现对科研项目的管理和监控。
e) 高等学校应制定激励政策,鼓励将本校科研人员在接受公共资助的科研活动中的职务产出(研究成果和信息)储存到本机构的知识库中,并重视其他机构知识库的搜集、整理、揭示、关联与共享。
f) 高等学校应鼓励机构知识库之间的数据共享。
6.6 数字化文化资源
数字化文化资源是指高等学校在办学过程中,基于文化传承功能,立足师生文化发展,由师生创建的具备传播性、普适性的数字化资源。主要包括互联网青年文化资源、四史资源、优秀传统文化资源、特色资源等。高等学校应积极探索数字化文化资源的建设、积累和应用。
6.7 信息资源管理服务
高等学校应建设并提供校级信息资源管理服务,可建设系统平台为学校的各类信息资源的汇集、存储、开发、管理和服务提供技术环境。高等学校应在学校规划的指导下,结合学校实际情况,综合考虑基础数据、业务数据、基础设施运行数据、教学资源、科研资源、管理服务资源等不同信息资源,考虑结构化数据、半结构化数据和非结构化数据等不同数据格式,考虑事务处理、事务分析、历史归档等不同应用场景,采用适宜的数据建模方法和技术平台,为学校信息资源的管理运行提供技术保障,并为各类用户和应用提供优质服务。
信息资源管理服务相关系统平台的建设要求是:
a) 支持学校主要信息资源汇集。
b) 支持学校主要信息资源的存储。
c) 支持信息资源开发。
d) 支持信息资源安全管理、数据质量管理、元数据管理等。
e) 具备应用接口和数据接口,支持多种方式的数据共享和数据服务。
7 信息素养
7.1 概述
信息素养是个体恰当利用信息技术来获取、整合、管理和评价信息,理解、建构和创造新知识,发现、分析和解决问题的意识、能力、思维及修养。信息素养培育是高等学校培养高素质、创新型人才的重要内容。高等学校数字校园是复杂的人机结合系统,提升高等学校用户的信息素养有助于提升高等学校数字校园的建设和运行水平。
本规范将从信息素养组成要素和信息素养培养方式两方面进行规定。
7.2 信息素养组成要素
7.2.1 信息意识
高等学校师生员工的信息意识包括:
a) 具有对信息真伪性、实用性、及时性辨别的意识。
b) 根据信息价值合理分配自己的注意力。
c) 具有利用信息技术解决自身学习生活中出现的问题意识。
d) 具有发现并挖掘信息技术及信息在教学、学习、工作和生活中的作用与价值的意识。
e) 具有积极利用信息和信息技术对教学和学习进行优化与创新,实现个人可持续发展的意识。
f) 能够意识到信息技术在教学和学习中应用的限制性条件。
g) 具有勇于面对、积极克服信息化教学和学习中的困难的意识。
h) 具有积极学习新的信息技术,以提升自身信息认知水平的意识。
7.2.2 信息知识
高等学校师生员工的信息知识包括:
a) 了解信息科学与技术的相关概念与基本理论知识。
b) 了解当前信息技术的发展进程、应用现状及发展趋势。
c) 了解信息安全和信息产权的基础知识。
d) 掌握学科领域中信息化教学、学习、科研等相关设备、系统、软件的使用方法。
e) 了解寻求信息专家(如图书馆员、信息化技术支持人员等)指导的渠道。
7.2.3 信息应用能力
高等学校师生员工的信息应用能力包括:
a) 能够选择合适的查询工具和检索策略获取所需信息,并甄别检索结果的全面性、准确性和学术价值。
b) 能够结合自身需求,有效组织、加工和整合信息,解决教学、学习、工作和生活中的问题。
c) 能够使用信息工具将获取的信息和数据进行分类、组织和保存,建立个人资源库。
d) 能够评价、筛选信息,并将选择的信息进行分析归纳、抽象概括,融入自身的知识体系中。
e) 能够根据教学和学习需求,合理选择并灵活调整教学和学习策略。
f) 具备创新创造能力,能够发现和提炼新的教学模式、学习方式和研究问题。
g) 能够基于现实条件,积极创造、改进、发布和完善信息。
h) 能够合理选择在不同场合或环境中交流与分享信息的方式。
i) 具备良好的表达能力,能够准确表达和交流信息。
7.2.4 信息伦理与安全
高等学校师生员工的信息伦理与安全素养包括:
a) 尊重知识,崇尚创新,认同信息劳动的价值。
b) 不浏览和传播虚假消息和有害信息。
c) 信息利用及生产过程中,尊重和保护知识产权,遵守学术规范,杜绝学术不端。
d) 信息利用及生产过程中,注意保护个人和他人隐私信息。
e) 掌握信息安全技能,防范计算机病毒和黑客等攻击。
f) 对重要信息数据进行定期备份。
7.3 信息素养培养方式
7.3.1 总体要求
高等学校应积极开展信息素养培养,融合线上与线下教育方式,不断拓展教育内容,开展以学分课程为主、嵌入式教学和培训讲座为辅、形式多样的信息素养教育活动,帮助用户不断提升利用信息及信息技术开展学习、研究和工作的能力。
7.3.2 教师信息素养培训
a) 高等学校应将教师的信息素养提升纳入师资队伍基本能力建设,并列入继续教育范围,保证教职员工信息素养提升的常态化与持续性。
b) 高等学校应推进教学、科研、管理、服务中常用的信息技术工具设备的培训。
c) 高等学校应培训并鼓励教师利用信息技术探索教学改革、辅助科研创新。
d) 高等学校须加强信息素养教育的师资队伍建设,满足高等学校相应学科的需求。
7.3.3 学生信息素养教育
a) 高等学校应推进学生信息素养教育的普及与深化,系统性、有针对性地提升学生的综合信息素养水平。
b) 高等学校应鼓励教师积极开展信息素养嵌入式教学,促进信息素养知识与专业课或通识课教学内容有机融合,提升学生的专业素质。信息素养课程教师与专业课或通识课教师密切合作,协同完成课程教学。(可选)
8 应用服务
8.1 概述
高等学校数字校园的应用服务建设应遵循应用驱动、数据融合的原则,围绕高等学校改革与发展目标,支撑高等学校的人才培养、教学科研、管理服务、交流合作、文化传承等业务,为师生校园生活提供智能化服务。
应用服务从下到上可分为三层:下层基础应用服务为全校各类业务应用提供校级基础服务;中层业务应用应能支撑校内各单位的业务活动;上层人机交互界面将流程、数据和信息进行集成与融合,为用户提供简洁友好的信息化服务。此外,随着学校信息资源的积累和数据分析相关技术的发展,决策支持类型的应用可纳入数字校园建设的范围。
高等学校数字校园的应用服务建设总体要求是:
a) 应根据学校自身特点和应用需求,统一规划,分步建设安全、稳定、可靠的应用服务。
b) 应覆盖学校教学科研、管理服务和园区运行等主要业务活动。
c) 应适应学校业务发展,重视用户体验,能以用户为中心实现集成、融合与扩展,支持跨领域业务协同,实现应用服务的一站式办理。
d) 应遵循相关技术规范和信息标准,充分利用学校相关信息资源构建应用服务。同时应用服务系统作为相应信息资源的源头,也应做好信息资源的积累。
e) 应满足上级部门信息公开、数据报送和数据共享等要求。
f) 在注重事务处理型业务系统建设的同时,应加强事务分析型应用系统建设,充分利用信息资源和数据分析、人工智能等新兴技术,为用户提供更加智能化的服务。
g) 宜支持移动应用。
h) 能与相关社会和政府信息系统进行集成。(可选)
i) 可根据学校需求,提供国际化支持。(可选)
j) 支持微服务架构及容器技术。(可选)
8.2 基础应用服务
高等学校应在学校层面建设开放统一的基础应用服务平台,加强基础应用服务能力,促进应用系统的快速实施、有效集成和不断创新,更好服务学校各单位和用户。数字校园建设中常见的基础应用服务包含但不限于:身份管理、流程服务、支付服务、消息服务、日历服务、报表服务、音视频服务、位置服务、应用管理等。
a) 身份管理:为各应用提供身份管理和认证服务,支持用户和角色、授权和认证管理,支持常见认证方式,支持应用漫游和应用管理,支持开放授权的业界标准协议。
注4:开放授权的业界标准协议可包括但不限于CAS、SAML、oAuth、OpenID等。
b) 流程服务:为各应用提供流程服务,支持顺序、并行、条件分支、回退、子流程等常见流程模式,支持可视化流程建模和表单设计,支持灵活的权限配置。
c) 支付服务:为各应用提供支付服务,支持主流的支付手段,可与社会主流支付平台对接。
注5:费用支付的业务可包括但不限于学费缴纳、食堂餐饮等。
d) 消息服务:为各应用提供消息服务,支持系统内消息、电子邮箱、短信、即时通信等主流的消息通知渠道,支持授权管理、消息管理、配置管理等。
e) 日历服务:为用户和各应用提供日历服务,支持基本日历功能,支持个人日历、群组日历、公共日历,支持主流日历协议,支持与常用日历客户端的数据同步。
f) 报表服务:为用户和各应用提供数据源接入、数据规则化处理、数据模型建立、可视化分析和大屏展现等能力。
g) 音视频服务:为用户和应用提供音视频会议、直播、点播等服务(可选)。
h) 位置服务:为各应用提供地图和位置服务,宜采用权威地图数据,应严格遵守国家相关法律法规。(可选)
i) 应用管理:对基础应用服务以及校园业务应用系统进行管理,支持应用身份管理和认证,支持应用服务的注册、上下线和权限管理,支持应用运行状态监控,支持应用使用情况的统计分析。
8.3 业务应用
8.3.1 概述
高等学校数字校园中的业务应用对学校的教育教学、科学研究、管理服务和园区运行等业务提供支持,是现代高等学校各项业务活动运行不可或缺的部分。业务应用的建设应该坚持应用需求为导向,支持学校各项业务运行和创新。
8.3.2 教学科研
人才培养和科学研究是高等学校最核心的功能,业务应用系统应为教学和科研提供全过程支持和服务,通常可包括但不限于以下主要业务:
a) 教学活动:支持教师备课授课、信息发布、学生学习、师生交互、作业、测验考试、评价等主要教学活动;支持在线教学、课堂教学、线上线下混合式教学等多种教学方式;支持利用智能技术建设智能学伴、智能助教、虚拟教学环境与空间等。
b) 教学管理:支持教室、课程、教材、课件、成果等教学条件与资源管理;支持培养方案、教学计划、开课、排课、选课、排考、成绩、评价等教学过程与环节管理;支持社会实践、创新创业、学科竞赛、论文训练等活动管理;支持研究生学术培养过程管理。
c) 科研协同:为科学研究提供文献资料、科学数据、科学计算等服务,支持科研团队网上协同,提供消息发布、文档共享、交流交互、活动管理等功能。
d) 科研管理:支持对科学研究的机构、团队、人员、项目、合同、经费、成果、奖励等的管理。
8.3.3 管理服务
业务应用系统为学校的各项管理服务工作提供支持,通常可包括但不限于以下主要业务:
a) 办公宣传:支持学校宣传、办文、办会、办事等日常办公和宣传业务,支持党群、法务、纪检、监察、审计和巡察等党政办公业务。
b) 学生管理:支持招生、迎新、注册、学籍、奖惩、助贷勤补、社团、国际化、学位、就业、毕业离校等的管理。
c) 人力资源管理:支持各类教职工的招聘、入校、合同、调配、薪酬福利、评价考核、职务职级、培养发展、离退休、离职以及档案等的管理。
d) 设备资产管理:支持各类资产设备采购、使用、调配、报废全过程的管理。
e) 实验室管理:支持实验室建制、安全运行、开放服务、特殊用品等的管理。
f) 财务管理:支持账务、预算决算、资金、票据管理、支持各类收费、报销管理,支持各类工资、酬金、福利、补助发放和计税管理。
g) 其他管理服务:支持对外合作、校友、终身教育等工作。
8.3.4 校园运行
校园运行是基于校园互联网、物联网和位置服务等基础设施与基础应用,实现校园园区交通、安全、餐饮、消费、接待、社区管理等后勤保障和生活服务管理,是数字校园建设的重要组成部分。校园运行相关应用通常可包括但不限于以下内容:
a) 支持校园楼宇管理、环境监控、安全管理、交通管理、餐饮服务、消费服务、事务服务、医疗保健服务等校园运行和后勤服务工作。
b) 应充分利用物联网、图像语音识别、数据分析等新兴技术,提供智能化校园园区服务。
c) 支持与数字校园其他应用实现数据共享和业务集成。(可选)
8.4 人机交互界面
高等学校的数字校园应用建设应注重用户体验,重视人机交互界面设计与建设。人机交互设计将业务应用及业务系统提供的信息和服务进行集成、组织和融合,为各类用户提供简洁友好的服务。在数字校园的各种建设项目中,人机交互界面可考虑以下内容:
a) 可综合使用智能门户、办事大厅、移动入口、智能终端设备等方式为用户使用数字校园建设成果提供用户界面。
b) 人机交互界面应以用户为中心组织信息和服务,为用户提供个性化服务,注重用户体验。
c) 用户界面应支持主流的终端。
注6:用户界面主流终端包括但不限于:桌面计算机、笔记本电脑、手机、平板电脑等。
d) 应用界面应支持主流的操作系统和前端界面应用(如主要的浏览器等),并明确标识支持的情况。
e) 学校的主要系统及应用宜保持界面风格相对统一、界面布局相对一致。(可选)
f) 人机交互界面可根据需求,支持国际化交流。(可选)
8.5 决策支持
高等学校数字校园建设中,应在加强建设事务处理型应用的同时,重视事务分析型应用的建设,充分利用高等学校信息资源,构建决策支持类应用,加强对高等学校整体情况、重要业务、关键环节的监控,为学校各类用户的各种决策、高等教育评价改革等提供支持。决策支持类应用的建设要求如下:
a) 应充分利用学校信息资源,构建决策支持系统。
b) 应以应用需求为导向,根据不同用户的决策目标和决策需求,为各类用户构建个性化的决策支持系统。
c) 应根据实际情况,采用适宜的应用方式构建决策支持系统。
9 网络安全
9.1 概述
高等学校网络安全工作应遵守《中华人民共和国网络安全法》并符合网络安全等级保护相关的GB/T 22239、GB/T 28448、GB/T 25070及GB/T 25058的要求。
9.2 基础设施安全
9.2.1 概述
基础设施安全主要包括物理环境安全、有线网络安全、无线网络安全、物联网设施安全、校园私有云平台安全等。校园网所有密码加密技术应采用安全的加密算法,加密证书应是授权机构颁发。
9.2.2 基础设施物理环境安全
高等学校应按照网络安全等级保护相关GB/T 22239、GB/T 28448、GB/T25070、GB/T 25058等标准中关于安全物理环境的要求完成物理环境安全的建设。
9.2.3 有线网络安全
a) 校园有线网络应具备横纵双向维度的监测和防御机制,确保外部威胁和内部攻击不蔓延。
b) 互联网和校园网边界区域应具备网络安全监测和告警能力。
c) 核心交换区域应具备流量检测和用户流量分析能力,核心区域应具备网络流量的基础分析能力为大数据、人工智能技术的使用做数据源支持。
d) 接入区应具备数据采集或数据采样能力,为数据安全预警做基础数据支持。
e) 应加强建设网络分区,根据业务服务对象、业务重要性、业务建设阶段等几个维度进行区分。
f) 应加强网络各个节点的联动性,以网络安全管理为中心加强管理和联动。
9.2.4 无线网络安全
a) 提供移动互联网接入时应提供认证功能,并支持采用认证服务器认证或国家密码机构批准的密码模块进行认证。
b) 应提供措施能够检测非授权无线接入设备和非授权移动终端的接入行为。
c) 应能够检测到针对无线接入设备的网络扫描、DDoS攻击、密码破解、中间人攻击等行为。
d) 无线网络应按照网络安全等级保护要求进行入网实名制认证和网络行为审计留存。同时无线网络控制系统应具备和网络安全管理平台或网络安全态势感知系统进行数据互通(包括控制数据和流量数据),确保数据源的丰富性。
9.2.5 物联网设施安全
a) 物联网的感知节点设备所处的物理环境应不对设备环境进行物理破坏。
b) 感知节点设备在工作状态所处物理环境应能正常反映环境状态。
c) 感知节点设备在工作状态所处物理环境应不对感知节点设备的正常工作造成影响,如强干扰、电磁屏蔽等。
d) 应保证只有授权的感知节点可以接入。
e) 能够限制于感知节点和感知网关的通信,以规避陌生地址的攻击行为。
f) 应按照GB/T 37044(信息安全技术 物联网安全参考模型及通用要求)要求对物联网安全进行部署。
9.2.6 校园私有云平台安全
a) 当远程管理校园网私有云平台中设备时,管理终端和云平台之间应建立双向身份验证机制,虚拟机及平台远程登录,应通过运维堡垒机登录。
b) 校园私有云平台应允许各分校、校区、院系或者独立的业务管理机构可设置不同虚拟机之间的访问控制策略,应保证当虚拟机迁移时,访问控制策略随其迁移。
c) 校园私有云平台应能检测虚拟机之间的资源隔离失效、非授权新建虚拟机或者重新启用虚拟机、恶意代码感染及在虚拟机间蔓延的情况等,并进行告警。
d) 校园网私有云平台应针对重要业务系统提供加固的操作系统镜像或操作系统安全加固服务。
e) 校园网私有云平台应提供虚拟机镜像、快照完整性校验功能,防止虚拟机镜像被恶意篡改。
f) 校园网私有云平台应采取密码技术或其他技术手段防止虚拟机镜像、快照中可能存在的敏感资源被非法访问。
9.3 信息系统安全
9.3.1 概述
信息系统泛指网站、移动应用、业务平台等软件系统。信息系统上线前应按照GB/T 22240要求进行等级保护定级,定级后按照GB/T 22239基本要求进行安全防护。
9.3.2 主机安全
a) 身份鉴别,应对登录操作系统和数据库系统的用户进行身份标识和鉴别。
b) 访问控制,应启动访问控制功能,依据安全策略控制用户对资源的访问;应限制默认账户的访问权限,重命名系统默认账户,修改这些账户默认口令;应及时删除多余、过期的账户,避免共享账户存在。
c) 入侵防范,操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并保持系统补丁及时得到更新。
d) 恶意代码防范,应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库。
e) 校外对校内网络设备、主机、数据库和业务系统进行访问应采用链路加密技术或响应安全设备,如VPN加密技术、专用的点对点加密设备等。
9.3.3 系统及应用安全
a) 身份鉴别,应对信息系统登录用户进行身份标识和鉴别,应具备限制非法登录次数和自动退出机制。
b) 访问控制,应提供访问控制功能控制用户组/用户对信息系统功能和用户数据的访问,应由授权主题配置访问控制策略,并严格限制默认用户访问权限。
c) 通信完整性,应采用约定通信方式的方法保证通信过程中数据的完整性。
d) 软件容错性,应提供数据有效性校验功能和数据有效性保证。
e) 软件易用性,应确保系统和平台交互的友好性及使用的便捷性。
f) 备份恢复,应对重要信息进行备份和恢复。
g) 校园网内、校园网内外之间文件传输,应采用安全协议进行通信。安全区域之间、业务系统之间的数据交互,应采用密码技术进行加密传输。
h) 校园网所有密码加密技术应采用安全的加密算法,加密证书应是授权机构颁发。
9.4 信息终端安全
信息终端泛指一切可以接入网络的计算设备,如个人电脑、移动终端、物联网设备、工控设备等。
a) 所有终端接入网络须进行认证管理,确保终端安全落实责任。
b) 具备通用操作系统的终端,如个人电脑、移动终端等,应安装病毒防护和查杀工具,定期更新系统补丁和查杀病毒。
c) 物联网设备和工控设备等专用设备,需进行定期安全检测和评估,及时维护和更新软件版本,降低安全威胁风险。
d) 应采用技术手段限制移动存储设备在重要终端与服务器内的使用,确需使用的,应先使用抗恶意代码工具对移动存储设备进行病毒查杀。
e) 高等学校内部重要数据及文件处理终端,应采用DLP数据防泄漏系统对重要文件及数据进行加密,对重要文件的处理、传输进行管控。
9.5 数据安全
数字校园相关系统产生的数据量大,且关系到师生的隐私,因此针对数字校园相关系统产生的数据应具备保护措施。
a) 重要数据在传输和存储过程中的完整性应采用校验技术或密码技术保证,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
b) 重要数据在传输和存储过程中的保密性应采用密码技术保证,包括但不限于鉴别数据、重要业务数据和重要个人信息等。
c) 高等学校应提供重要数据的本地数据备份与恢复功能;应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;应提供重要数据处理系统的热冗余,保证系统的高可用性。
d) 高等学校个人信息的收集、存储、使用、共享、转让、公开披露等环节的相关行为应符合GB/T 35273的要求。
e) 高等学校应仅采集和保存业务必需的用户个人信息,应禁止未授权访问和非法使用学校领导、员工、老师、学生等人的个人信息。涉及接触个人信息的第三方公司应与学校签署安全保密协议。
f) 校园网私有云平台应确保所有数据和个人信息等存储于中国境内,如需出境应遵循国家相关规定。
g) 未经学校正式授权,云服务商或第三方不具有云上数据的使用、扩散权限。
h) 虚拟机迁移过程中重要数据的完整性应使用校验码或密码技术确保,并在检测到完整性受到破坏时采取必要的恢复措施。
i) 高等学校应具有密钥管理系统,保证实现数据的加解密过程,密钥应符合国家密码管理局相关标准。
j) 每个校区、分校、院系或者独立的业务管理机构都应在云下本地保存其相关业务数据的备份。
k) 校园网私有云平台应提供查询数据及备份存储位置的能力。
l) 云服务商提供的存储服务应保证数据存在若干个可用的副本,各副本之间的内容应保持一致。
9.6 内容安全
高等学校应建立网络内容发布安全检查机制,宜遵循GA/T 1396-2017相关的要求建立安全管理策略,并根据设定的安全管理策略对违反策略的网站及新媒体进行报警,从而确保网站内容的合规性。
高等学校可采用网站内容检查产品,通过数据采集和分析,对包括网页中的文字、图片、文档、音视频、暗链接和错误链接等对象中包含的信息进行检测、记录和分析,发现违规内容及时进行整改。
9.7 安全管理
9.7.1 总体要求
a) 数字校园的网络安全管理需从两个维度进行防护,纵向安全的防护主要面对校园网络与互联网和教育专网之间的互通,横向安全的防护主要加强校园网内部的安全保障。
b) 数字校园的网络安全管理应从全局布局,从终端、网络、数据中心多个层次进行监测、防护和预警。
c) 网络安全管理和网络运维应从管理和数据流层面进行数据互通,统一管理上下协同。
d) 网络安全管理应充分利用网络中各个节点的数据采集和日志记录能力,将管理层网络和数据流量层网络产生的数据进行关联分析,充分发挥管理价值。
e) 网络安全管理应充分利用新技术,如大数据、人工智能等,对产生的数据充分分析挖掘其中价值,保障数字校园的整体运行安全。
f) 应启动安全审计功能全面覆盖到每个用户,对重要用户行为和重要安全事件进行审计。
g) 审计记录应包括事件的日期、事件、用户、事件类型、事件是否成功和其他与审计相关的信息。
h) 应对系统管理员进行身份鉴别,只允许其通过特定的名录或操作界面进行系统管理操作,并对这些行为进行审计。
i) 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监控。
j) 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理。
k) 应对网络中发生的各类安全事件进行识别、分析、报警、处置。
9.7.2 网络安全风险洞察机制
a) 网络流量、网络设备日志、安全设备日志、数据中心日志进行数据化整合,通过大数据技术进行关联分析,通过统计、交叉、关联等形式挖掘数据价值洞察安全风险。
b) 要具备安全事件预测预警功能。
c) 应具备研判网络安全风险发展趋势能力,能够分析总结网络安全风险演化呈现的叠加、联动、放大、诱导等效应情况。
d) 及时洞察各方面安全风险,特别是高度警惕发生概率小而影响大的“黑天鹅”事件,高度防范发生概率大且影响大的“灰犀牛”事件。
9.7.3 网络安全风险防控机制
网络安全重在预防,加强网络安全风险分析研判和预测,避免发生网络安全事件。一旦发生网络安全事件,应有并启动网络安全应急处置预案,能够及时有效控制网络安全事件和风险不累积、不扩散、不升级。
a) 构建网络安全态势感知平台,强化网络安全风险的预测预判预警预防,实现网络安全防御前置。
b) 构建多层深度智能化动态网络安全保障与防御体系,保障网络安全风险防护与应急处置。
c) 建设网络舆情咨询专家队伍和网络舆情应急处置数据库。
d) 网络安全管理实现统筹协调、部门协同、上下联动。
9.7.4 网络安全风险治理机制
a) 网络安全顶层设计实现网络安全、内容管理和技术防护的全覆盖、无死角、无短板、无缝衔接,构建形成网络安全风险治理的整体框架。
b) 构建形成覆盖学校、院系部门、科室、个人的四级网络安全管理和协同机制,形成统筹协调有力、部门协同高效,上下联动顺畅的网络安全工作机制,网络安全责任制及绩效考核办法得到有效落实。
c) 建成专职网络安全管理和技术队伍,培养提升教职工网络新媒体素养和信息素养,学生网络安全队伍参与,实现社会网络安全力量协同,网络安全竞赛、教育培训、网络安全应急演练实现常态化。
d) 《网络安全法》《信息安全技术网络安全等级保护基本要求》等网络安全法规、条例、标准的宣传与有关工作要求得到有效落实。
10 保障体系
10.1 概述
为了规范高等学校数字校园建设、管理、运维工作,保障信息化建设有序开展,维护网络与信息系统的安全、稳定和可靠,发挥网络与信息系统作为数字校园公共服务体系在教学、科研和管理服务中的重要作用,高等学校应结合实际情况,从组织机构、人员队伍、规章制度(管理)、标准规范(技术)、经费保障、运维服务、综合评价等方面对数字校园保障体系进行规范,通过保障体系的建设,为高等学校信息化工作创造良好的环境。对保障体系建设的总体要求:
a) 应有明确的组织机构及运行机制。
b) 应制定学校统一、完备的规章制度。
c) 应有稳定、专业的技术队伍。
d) 应有统一、规范、科学,具有强制性的技术标准。
e) 应有稳定的经费投入,有规范的经费管理办法。
f) 应有持续、稳定的运维服务。
g) 应有科学完善的评价标准与体系。
10.2 组织机构
高等学校要健全校院两级信息化发展与建设组织机构设置:
a) 设立校级网络安全和信息化工作领导小组作为学校网络安全和信息化工作、数字校园建设的最高管理与决策机构。
b) 明确信息化建设主责二级机构,负责数字校园、网络安全和信息化发展战略、专项规划、项目建设、管理、运维等相关工作,致力于运用信息技术促进学校教育改革和发展,推动数字校园建设,为师生的学习、科研、管理和生活提供信息化公共服务。
10.3 人员队伍
高等学校应建立一支梯队合理、责任心强、稳定可靠的数字校园信息化专业队伍,设立校院两级信息化管理和专业技术岗位,设定明确的岗位职责,支撑开展信息化各项工作,并结合信息化发展和工作需求,不断提高信息化工作人员的专业知识和业务技能水平,保障信息化工作有效推进。
a) 高等学校应建立校院两级网络安全和信息化第一责任人制度,学校网络安全和信息化领导小组组长作为学校网络安全和信息化第一责任人,一般应由学校领导班子主要负责人担任,主要负责学校的网络安全和信息化的规划、决策等工作。
b) 信息化建设主责二级机构人员负责完成高等学校信息化发展的规划、建设、运行、维护、服务等工作。
c) 各高等学校二级机构信息化人员构成应包括二级机构网络安全和信息化第一责任人、网络安全和信息化分管领导、信息化工作联络人、系统管理员等,管理本部门网络安全和信息化工作。
10.4 规章制度
高等学校应全面规范数字校园建设与管理工作,建立健全的规章制度,推动信息化工作合理有序实施和可持续发展。应加强数字校园建设与管理各方面的管理办法的制定,包括但不限于网络与信息安全管理、数据管理、校园网建设与运行管理、校园卡管理、信息化建设项目管理、网站及信息系统管理等方面。
10.5 标准规范
高等学校应制定数字校园建设相关技术标准规范,以保障数字校园建设运行的顺利开展和可持续发展。
a) 数据标准建设应符合GB/T 29808的要求,并参照本规范第6章内容,结合高等学校自身实际需求制定标准。规范定义数据元标准结构,保证数据的一致性,方便数据交换与共享,提高信息处理效率。
b) 网络与信息安全技术规范建设应符合本书第9章的要求,结合高等学校自身的需求,制定学校网络与信息安全技术规范。
c) 数字校园中心机房建设应符合GB 50174的规定,并参照本规范第5章内容,结合高等学校自身的需求,制定标准规范。
d) 网络工程建设应参照本规范第5章内容,结合高等学校自身的需求,制定网络工程规划与设计、设备与材料、施工与布线、安全管理标准规范.
e) 信息化建设项目应在学校信息化整体技术规划框架下,制定信息化建设项目需求分析、设计开发、测试评估、部署实施、验收全流程标准规范。
10.6 经费保障
持续的经费投入是数字校园可持续发展的基本保障,高等学校应保证数字校园建设和运维经费在学校年度经费中的比例,并适度增长。
a) 应明确由信息化建设主责二级机构负责学校数字校园建设经费统一的归口管理,按照统筹、集约、共享原则,避免多头建设、重复建设,提高数字校园建设经费使用效率。
b) 各部门应建立健全信息化工作协调机制,凡涉及数字校园信息化项目建设,均应经过信息化建设主责二级机构的项目前置评审。
c) 应统筹安排数字校园建设与运维经费,并保证运维经费与建设经费按适当比例投入。
10.7 运维服务
运维服务是数字校园建设成果能顺利支撑学校业务、服务师生用户的重要保障。运维服务采取相关的管理办法和技术手段,对运行环境和业务系统等进行维护管理,并面向师生等用户提供技术支持和IT服务。建设要求是:
a) 应对数字校园相关基础设施、信息系统等进行有效维护,保证各系统和设备的稳定运行。
b) 应建立从用户报修、现场处理到事后反馈全流程服务体系,建立稳定的运维服务团队,制订统一的服务规范与服务流程,给用户提供优质、及时的服务。
c) 建设全网络服务信息交互平台,提供多终端、多应用服务;提供运维服务热线电话服务。
d) 提供便捷的线下服务,设立数字校园一站式服务大厅和分布式的自助服务设备,服务场所应统一设置规范标志。
e) 应为数字校园用户提供各类相关培训,培训要具有持续性。
f) 为了给数字校园用户提供更加优质高效的信息化服务,有条件的高等学校应申请ISO、ITIL等标准化运维、服务认证。
10.8 评价体系
数字校园建设是一个持续的过程,制定适当的评价体系,对数字校园建设工作和应用效果进行评价,有助于促进高等学校数字校园建设。
a) 数字校园评价体系设计应遵循客观性、整体性、指导性、科学性、发展性原则,评价和反馈应当贯穿于数字校园的各个阶段,对阶段性建设与应用效果进行有针对性的分析诊断,并提出改进的意见和建议,做到“以评促建,评建结合”。
b) 数字校园评价内容应包括规划、建设、运维服务、用户素养等方面所达到的水平和程度,保障体系的完备性与科学性等。
c) 数字校园评价方式可选择具有先进性、智能性、及时性的方式,可借助人工智能、大数据分析等新的技术手段来辅助实施。