DB6101T3199-2024普通高等學校教師主頁系統(tǒng)建設規(guī)范

ICS35.080CCSL77

6101西 安 市 地 方 標 準DB6101/T3199—2024普通高等學校教師主頁系統(tǒng)建設規(guī)范20242024090320241003西安市市場監(jiān)督管理局??發(fā)布DB6101/T3199DB6101/T3199—2024DB6101/T3199DB6101/T3199—2024目 次前言 II范圍 1規(guī)范性引用文件 1術語和定義 1系統(tǒng)架構 1系統(tǒng)功能 2用戶層 2交互層 2應用層 2支撐層 3數(shù)據(jù)層 4性能 4性能 4部署 5安全 57測試方法 6性能測評 6部署測評 7安全測評 7I前 言本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結(jié)構和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由西安市工業(yè)和信息化局提出。本文件由西安市數(shù)據(jù)局歸口。本文件起草單位：西安博達軟件股份有限公司、西安交通大學、西安電子科技大學。本文件主要起草人：張崇凱、李昭、史炳琪、方濤、張倩、羅軍鋒、洪丹丹、郭濤、史甜。本文件由西安博達軟件股份有限公司負責解釋。本文件首次發(fā)布。本文件在實施中如有疑問或建議，請將咨詢或修改建議等信息反饋至下列單位：單位：西安博達軟件股份有限公司電話址：西安市高新區(qū)錦業(yè)路125號第201幢13層01號郵編：710077IIII普通高等學校教師主頁系統(tǒng)建設規(guī)范范圍本文件規(guī)定了普通高等學校教師主頁系統(tǒng)建設系統(tǒng)架構、系統(tǒng)功能、技術要求和測試方法的要求。本文件適用于普通高等學校教師主頁系統(tǒng)的建設。規(guī)范性引用文件（包括所有的修改單適用于本文件。GB/T39786—2021信息安全技術信息系統(tǒng)密碼應用基本要求術語和定義下列術語和定義適用于本文件。下列術語和定義適用于本文件。普通高等學校教師主頁系統(tǒng)普通高等學校在校園網(wǎng)站上建設展示教師個人、課題組、實驗室團隊等信息的平臺。注：本文件中的“普通高等學校教師主頁系統(tǒng)”簡稱“教師主頁系統(tǒng)”。4系統(tǒng)架構教師主頁系統(tǒng)的系統(tǒng)架構如圖1所示。圖1教師主頁系統(tǒng)架構圖15系統(tǒng)功能用戶層用戶層應包含三類用戶：——訪客類用戶：包括社會公眾和學生，應能在教師主頁系統(tǒng)中輕松檢索并瀏覽教師、實驗室及團隊的相關信息，以滿足其獲取資訊的需求；——管理類用戶：包括系統(tǒng)管理員人員和運維人員，應支持開通教師、實驗室、課題組主頁和審核相關數(shù)據(jù)的職責。交互層教師主頁門戶網(wǎng)站的功應包括但不限于：——基本信息：用戶可獲取教師的教育背景、工作經(jīng)歷、職務職稱等基本信息；——教學信息：詳細展示教師的教學特色、開設課程、教學成果等；——科研信息：集中呈現(xiàn)教師的科研項目、學術論文、研究成果等；——學生信息：展示教師指導的學生名單、學生成果等；——招生信息：提供教師的招生政策、招生名額、招生要求等；——獲獎信息：匯總展示教師所獲得的各類榮譽與獎項；——教師檢索：根據(jù)學院、學科、研究方向等多維度，便捷地檢索教師信息。實驗室主頁門戶網(wǎng)站的功能應包括但不限于：——實驗室基本信息：介紹實驗室的成立時間、所屬機構等基本信息；——實驗室概況：概述實驗室的研究方向、人員構成、設施設備等基本情況；——實驗室研究成果：展示實驗室的科研項目、學術論文、獲獎成果等；——實驗室科研項目：介紹實驗室正在進行或已完成的科研項目；——實驗室獲獎信息：匯總展示實驗室所獲得的榮譽與獎項；——實驗室新聞動態(tài)：發(fā)布實驗室的最新消息、活動通知等；——實驗室交流合作信息：展示實驗室與其他機構或團隊的交流合作情況；——實驗室檢索：根據(jù)實驗室類型、級別、性質(zhì)等多維度，便捷地檢索實驗室信息。團隊主頁門戶網(wǎng)站的功能應包括但不限于：——團隊基本信息：介紹團隊的成立背景、成員構成等基本情況；——團隊概況：概述團隊的研究方向、研究領域、研究成果等；——團隊研究成果：展示團隊的科研項目、學術論文、獲獎成果等；——團隊科研項目：介紹團隊正在進行或已完成的科研項目；——團隊獲獎信息：匯總展示團隊所獲得的榮譽與獎項；——團隊新聞動態(tài)：發(fā)布團隊的最新活動、研究成果等；——團隊交流合作信息：展示團隊與其他機構或團隊的交流合作情況；——團隊檢索：根據(jù)團隊類型、級別、性質(zhì)等多維度，便捷地檢索團隊信息。應用層應用層應為教師個人主頁、實驗室主頁、團隊主頁提供應用服務，功能應包括但不限于：2——首頁管理：顯示用戶主頁基本訪問情況、空間容量、主頁平臺管理端發(fā)送通知等首頁管理服務；——基本信息管理：教師個人主頁、實驗室主頁、團隊主頁等基本信息管理服務；——內(nèi)容管理包括但不限于：學院審核設置，支持選擇審核方式包括設置學院下的主頁用戶在發(fā)布內(nèi)容后是否需要審核，并可對開通的教師進行審核等學院審核服務；對教師中、英文個人主頁科學研究、教學研究、獲獎信息、招生信息、學生信息、我的相冊、教師博客等內(nèi)容管理服務；中、英文主頁，其中包含著作成果、通知公告、新聞動態(tài)、實驗數(shù)據(jù)等實驗室主頁內(nèi)容管理服務；主頁平臺管理同步過來的主頁模板，用戶可以使用、預覽模板等模版管理服務；教師個人主頁、學生個人主頁、課題組主頁、實驗室主頁等欄目管理服務?！庸芾戆ǖ幌抻冢核阉鳌⒉榭?、問題反饋等反饋列表服務；搜索、查看等常見問題管理服務?！到y(tǒng)配置管理包括但不限于：主頁使用模板、主頁名稱、主頁域名、主頁永久地址、主頁開通狀態(tài)、是否默認主頁、版權信息等系統(tǒng)配置服務；操作日志的搜索、查看等服務；對管理員的搜索、新增、移除、選擇、刷新等管理員設置服務；對院系、年紀、班級等類別新增、刪除、編輯、排序等院系設置服務；對學科、課程等類別的新增、刪除、編輯、排序等專業(yè)設置服務。支撐層支撐層提供的功能應包括但不限于：——通知管理：通知發(fā)布、發(fā)布時間設置、修改等通知管理服務；——模版欄目管理包括但不限于：新增、刪除、編輯、排序、預覽等模版管理服務；新增、刪除、編輯、排序等欄目管理服務?！獌?nèi)容數(shù)據(jù)管理包括但不限于：新增、刪除、導入導出、編輯、搜索、模擬登陸、禁用、推薦置頂、訪問主頁、主頁發(fā)布及系統(tǒng)的統(tǒng)一入口等用戶管理服務；對所有用戶的個人信息進行數(shù)據(jù)的篩選搜索、刪除、導入等數(shù)據(jù)管理服務；回收站功能，可對已刪除數(shù)據(jù)進行徹底刪除、還原、刷新等回收站管理服務；對結(jié)構化基礎數(shù)據(jù)的新增、刪除、編輯、排序等基礎數(shù)據(jù)服務；搜索、查看、回復等問題反饋管理服務；中、英文主頁和文獻提取，其中包含論文、通知公告、新聞動態(tài)、課題組風采等課題組主頁內(nèi)容管理服務?！到y(tǒng)展示配置管理包括但不限于：重建指定系統(tǒng)索引、重建全部系統(tǒng)索引等索引管理服務；主頁各個欄目下是否可以創(chuàng)建欄目和是否允許創(chuàng)建多個欄目等欄目及數(shù)據(jù)源設置服務；3業(yè)務數(shù)據(jù)顯示順序個性化設置及不同業(yè)務系統(tǒng)顯示字段分別設置等字段排序設置服務；多語種字段設置，同步數(shù)據(jù)不允許編輯字段等字段設置服務；加密顯示字段設置、不顯示字段設置、授課信息顯示內(nèi)容設置、招生信息顯示內(nèi)容設置等顯示配置服務；資料源標題顯示設置，支持設置資料源顯示的順序與內(nèi)容，可對資料源進行刪除和暫存，并關聯(lián)到對應欄目等資料源管理服務；默認圖片設置、二維碼默認設置、通用版本備案號設置、教師主頁通用鏈接設置等通用配置服務?！到y(tǒng)內(nèi)容配置管理包括但不限于：系統(tǒng)基礎設置、管理員設置、操作日志、接口訪問管理等系統(tǒng)設置服務；選擇性的添加想要的數(shù)據(jù)屬性等內(nèi)容顯示標題設置服務；數(shù)據(jù)在Excel起始行、字段和說明文字等Excel導入可視化配置服務；單點登錄配置、信息配置、主頁系統(tǒng)logo配置、主頁監(jiān)控平臺配置等系統(tǒng)及參數(shù)配置服務；主頁類型。綜合門戶涵蓋教師檢索、科研數(shù)據(jù)查詢、獲獎情況展示、學部、專業(yè)檢索等綜合門戶設置服務；描述主頁平臺系統(tǒng)信息等產(chǎn)品授權服務。數(shù)據(jù)層數(shù)據(jù)庫、索引數(shù)據(jù)庫和文件對象存儲庫。6技術要求性能時間特性時間特性應達到以下要求：——靜態(tài)頁面平均響應時間≤?1.5?s；——動態(tài)頁面平均響應時間≤?2.5?s；——教師主頁平均發(fā)布響應時間＜10?s（web）；——教師主頁對外開放數(shù)據(jù)接口平均響應時間＜3?s。系統(tǒng)容量系統(tǒng)容量應符合以下要求：——最大并發(fā)用戶數(shù)≥?100；——最大并發(fā)請求數(shù)≥?200。兼容性兼容性應符合下列要求：——PCChrome、Firefox、Safari、Edge3604——移動端：應兼容移動端主流操作系統(tǒng)，包括Android系統(tǒng)、HarmonyOS系統(tǒng)及IOS系統(tǒng)。部署系統(tǒng)部署安裝應符合以下要求：——支持多操作系統(tǒng)平臺部署；——支持前后臺分離部署，后臺維護與前臺訪問服務隔離；——支持前后臺服務使用獨立端口，后臺服務僅對可信網(wǎng)絡開放；——交互層使用靜態(tài)化技術，建議以靜態(tài)資源對用戶提供web服務；——靜態(tài)信息資源服務與動態(tài)信息資源服務進行隔離。安全6.3.1系統(tǒng)安全系統(tǒng)安全應包括但不限于：——建立系統(tǒng)安全責任組織機構，對系統(tǒng)安全負責；——按照GB/T39786—2021的要求，對商用密碼進行應用安全性評估；——建立身份認證、授權管理機制，形成集中統(tǒng)一的用戶管理和身份認證體系；——采用多因素身份認證技術，確保接入和訪問安全；——按信息資源分類控制訪問權限，對用戶進行分類授權。數(shù)據(jù)安全數(shù)據(jù)安全存儲安全存儲安全應包括但不限于：——對敏感數(shù)據(jù)進行加密存儲；2——保留1年內(nèi)審計數(shù)據(jù)。傳輸安全傳輸安全應包括但不限于：——對數(shù)據(jù)進行加密傳輸；——支持TLS?1.2及以上版本傳輸加密。應用安全應提供Web應用防護功能，包括但不限于：——至少能夠有效阻止SQL注入、XSS跨站攻擊、密碼暴力破解；——對長時間未登錄管理賬號進行自動封禁；——定時強制用戶修改密碼能力；——提供密碼強度檢測策略，禁止弱密碼。管理安全系統(tǒng)審計5系統(tǒng)應記錄審計的操作日志和安全事件，包括但不限于事件名稱、事件發(fā)生日期時間、源IP地址、操作人、事件描述、操作結(jié)果。安全管理制度安全管理機制應建立安全管理機制，措施包括但不限于：——建立健全教師主頁系統(tǒng)安全組織機構，明確審核責任分工；——通過國家信息安全等級保護三級認證，并納入等級保護工作及重要信息系統(tǒng)范圍；——建立安全審計機制，通過數(shù)據(jù)審計、用戶審計、操作審計、日志審計，保障平臺安全。7測試方法性能測評時間特性時間特性的測試應符合下列要求：——測試方法：使用瀏覽器測試訪問教師主頁靜態(tài)及動態(tài)頁面平均響應時間；使用專用性能測試工具測試教師主頁的數(shù)據(jù)接口平均響應時間；測試數(shù)據(jù)變更到靜態(tài)頁面相應內(nèi)容更新的平均時間。——預期結(jié)果：時間特性應滿足6.1.1的要求?！Y(jié)果判定：實際測試結(jié)果滿足預期結(jié)果則判定為符合，其他情況判定為不符合。系統(tǒng)容量系統(tǒng)容量的測試應符合下列要求：——測試方法：使用專用性能測試工具連接產(chǎn)品的網(wǎng)絡接口；測試產(chǎn)品的HTTP并發(fā)連接數(shù)；測試產(chǎn)品的并發(fā)任務數(shù)?！A期結(jié)果：系統(tǒng)容量應滿足6.1.2中的要求。——結(jié)果判定：實際測試結(jié)果滿足預期結(jié)果則判定為符合，其他情況判定為不符合。兼容性兼容性的測試應符合下列要求：——測試方法：在Chrome、Firefox、Safari、Edge及360極速瀏覽器測試訪問教師主頁web頁面；在Android系統(tǒng)、HarmonyOS系統(tǒng)及IOS系統(tǒng)移動設備測試訪問教師主頁web頁面?！A期結(jié)果：系統(tǒng)兼容性應滿足6.1.3中的要求。6——結(jié)果判定：實際測試結(jié)果滿足預期結(jié)果則判定為符合，其他情況判定為不符合。部署測評部署測評的測試應符合下列要求：——測試方法：在多種操作系統(tǒng)進行教師主頁部署；在兩臺服務器分別部署前后臺服務；驗證一個服務關閉后另一服務是否能夠正常運行，能夠保證基本功能正常?！A期結(jié)果：產(chǎn)品可在多種操作系統(tǒng)進行部署正常運行；產(chǎn)品前后臺服務隔離，在一個服務無法正常工作時另一服務能夠正常運行且提供基本服務?！Y(jié)果判定：實際測試結(jié)果滿足預期結(jié)果則判定為符合，其他情況判定為不符合。安全測評系統(tǒng)安全系統(tǒng)安全的測試應符合下列要求：——測試方法：嘗試登錄待測產(chǎn)品進行管理，是否提示需進行身份鑒別；輸入正確/錯誤的用戶名和對應的口令，進行登錄嘗試；使用已授權管理員登錄產(chǎn)品，嘗試設置管理員口令復雜度、定期更換策略；嘗試設置不滿足復雜度要求的口令；達到口令更換時間時，查看是否提示或強制修改；管理員首次登錄產(chǎn)品，查看是否強制修改默認口令或設置口令；以授權管理員身份登錄待測產(chǎn)品，嘗試創(chuàng)建權限相互制約的不同管理員角色用戶；以新建的管理員用戶登錄，檢測權限是否與角色相匹配；嘗試以非授權管理員身份登錄待測產(chǎn)品訪問審計日志；嘗試刪除、修改、覆蓋審計日志；嘗試設置多因素認證策略；嘗試登錄檢查是否符合多因素登錄策略。——預期結(jié)果：待測產(chǎn)品提示需進行身份鑒別；輸入正確的用戶名和對應的口令能夠登錄待測產(chǎn)品，否則無法登錄；授權管理員能夠設置口令復雜度、定期更換策略；無法設置不滿足復雜度要求的口令；達到口令更換時間時，提示或強制修改口令；管理員首次登錄產(chǎn)品時強制修改默認口令或設置口令；授權管理員能夠成功創(chuàng)建權限相互制約的不同管理員角色用戶；新建管理員用戶權限與角色相匹配；非授權管理員不能訪問審計日志；審計日志不能被非授權刪除、修改或覆蓋；7能夠設置多因素認證策略；登錄時符合所設置多因素認證策略的登錄模式。——結(jié)果判定：實際測試結(jié)果滿足預期結(jié)果則判定為符合，其他情況判定為不符合。數(shù)據(jù)安全存儲安全存儲安全的測試應符合下列要求：——測試方法：對敏感數(shù)據(jù)（如：電話、郵箱等）是否加密存儲進行測試；對系統(tǒng)數(shù)據(jù)備份進行測試；對系統(tǒng)審計數(shù)據(jù)進行測試?！Y(jié)果判定：實際測試結(jié)果滿足預期結(jié)果則判定為符合，其他情況判定為不符合。傳輸安全傳輸安全的測試應符合下列要求：——測試方法：使用專用測試工具請求教師主頁接口；測試請求、響應數(shù)據(jù)是否加密；測試是否支持TLS?1.2及以上版本傳輸加密?！A期結(jié)果：數(shù)據(jù)傳輸安全應滿足中的要求?！Y(jié)果判定：實際測試結(jié)果滿足預期結(jié)果則判定為符合，其他情況判定為不符合。應用安全應用安全的測試應符合下列要求：——測試方法：啟用系統(tǒng)相應防御策略；使用專用測試工具嘗試對系統(tǒng)進行SQL注入、XSS跨站攻擊、密碼暴力破解；測試長時間未登錄的管理賬號是否被系統(tǒng)封禁；測試用戶是否被定期強制修改密碼；測試系統(tǒng)是否提供密碼強度策略配置能力，是否能夠阻止用戶設置弱密碼?！A期結(jié)果：應用安全應滿足6.3.3中的要求?！Y(jié)果判定：實際測試結(jié)果滿足預期結(jié)果則判定為符合，其他情況判定為不符合。管理安全系統(tǒng)審計系統(tǒng)審計的測試應符合下列要求：——測試方法：針對系統(tǒng)嘗試進行用戶登錄和注銷、重要配置變更、增加/刪除/修改用戶等操作行為，測試系統(tǒng)是否針對上述操作生成審計日志；8檢查產(chǎn)品的審計日志是否包括事件名稱、事件發(fā)生日期時間、源IP地址、操作人、事件描述、操作結(jié)果等內(nèi)容；分別以不同用戶身份登錄，查看是否根據(jù)不同身份可查看不同范圍審計日志；以授權用戶身份登錄系統(tǒng)，是