DB6101-T 3199-2024 普通高等学校教师主页系统建设规范

ICS35.080CCSL776101IDB6101/T3199—2024前言 2规范性引用文件 3术语和定义 4系统架构 5系统功能 25.1用户层 25.2交互层 25.3应用层 25.4支撑层 35.5数据层 46技术要求 46.1性能 46.2部署 56.3安全 57测试方法 67.1性能测评 67.2部署测评 77.3安全测评 7DB6101/T3199—2024本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由西安市工业和信息化局提出。本文件由西安市数据局归口。本文件起草单位：西安博达软件股份有限公司、西安交通大学、西安电子科技大学。本文件主要起草人：张崇凯、李昭、史炳琪、方涛、张倩、罗军锋、洪丹丹、郭涛、史甜。本文件由西安博达软件股份有限公司负责解释。本文件首次发布。本文件在实施中如有疑问或建议，请将咨询或修改建议等信息反馈至下列单位：单位：西安博达软件股份有限公司电话址：西安市高新区锦业路125号第201幢13层01号邮编：7100771DB6101/T3199—2024普通高等学校教师主页系统建设规范本文件规定了普通高等学校教师主页系统建设系统架构、系统功能、技术要求和测试方法的要求。本文件适用于普通高等学校教师主页系统的建设。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T39786—2021信息安全技术信息系统密码应用基本要求3术语和定义下列术语和定义适用于本文件。3.1普通高等学校教师主页系统普通高等学校在校园网站上建设展示教师个人、课题组、实验室团队等信息的平台。4系统架构教师主页系统的系统架构如图1所示。图1教师主页系统架构图2DB6101/T3199—20245系统功能5.1用户层用户层应包含三类用户：——访客类用户：包括社会公众和学生，应能在教师主页系统中轻松检索并浏览教师、实验室及团队的相关信息，以满足其获取资讯的需求；——信息维护类用户：包括所有教师，应具备编辑、发布教师基本信息、教学信息、科研信息、招生信息和学生信息功能；——管理类用户：包括系统管理员人员和运维人员，应支持开通教师、实验室、课题组主页和审核相关数据的职责。5.2交互层5.2.1教师主页门户网站的功应包括但不限于：——基本信息：用户可获取教师的教育背景、工作经历、职务职称等基本信息；——教学信息：详细展示教师的教学特色、开设课程、教学成果等；——科研信息：集中呈现教师的科研项目、学术论文、研究成果等；——学生信息：展示教师指导的学生名单、学生成果等；——招生信息：提供教师的招生政策、招生名额、招生要求等；——获奖信息：汇总展示教师所获得的各类荣誉与奖项；——教师检索：根据学院、学科、研究方向等多维度，便捷地检索教师信息。5.2.2实验室主页门户网站的功能应包括但不限于：——实验室基本信息：介绍实验室的成立时间、所属机构等基本信息；——实验室概况：概述实验室的研究方向、人员构成、设施设备等基本情况；——实验室研究成果：展示实验室的科研项目、学术论文、获奖成果等；——实验室科研项目：介绍实验室正在进行或已完成的科研项目；——实验室获奖信息：汇总展示实验室所获得的荣誉与奖项；——实验室新闻动态：发布实验室的最新消息、活动通知等；——实验室交流合作信息：展示实验室与其他机构或团队的交流合作情况；——实验室检索：根据实验室类型、级别、性质等多维度，便捷地检索实验室信息。5.2.3团队主页门户网站的功能应包括但不限于：——团队基本信息：介绍团队的成立背景、成员构成等基本情况；——团队概况：概述团队的研究方向、研究领域、研究成果等；——团队研究成果：展示团队的科研项目、学术论文、获奖成果等；——团队科研项目：介绍团队正在进行或已完成的科研项目；——团队获奖信息：汇总展示团队所获得的荣誉与奖项；——团队新闻动态：发布团队的最新活动、研究成果等；——团队交流合作信息：展示团队与其他机构或团队的交流合作情况；——团队检索：根据团队类型、级别、性质等多维度，便捷地检索团队信息。5.3应用层应用层应为教师个人主页、实验室主页、团队主页提供应用服务，功能应包括但不限于：3DB6101/T3199—2024——首页管理：显示用户主页基本访问情况、空间容量、主页平台管理端发送通知等首页管理服务；——基本信息管理：教师个人主页、实验室主页、团队主页等基本信息管理服务；——内容管理包括但不限于：.学院审核设置，支持选择审核方式包括设置学院下的主页用户在发布内容后是否需要审核，并可对开通的教师进行审核等学院审核服务；.对教师中、英文个人主页科学研究、教学研究、获奖信息、招生信息、学生信息、我的相册、教师博客等内容管理服务；.中、英文主页，其中包含著作成果、通知公告、新闻动态、实验数据等实验室主页内容管理服务；.主页平台管理同步过来的主页模板，用户可以使用、预览模板等模版管理服务；.教师个人主页、学生个人主页、课题组主页、实验室主页等栏目管理服务。——互动管理包括但不限于：.搜索、查看、问题反馈等反馈列表服务；.搜索、查看等常见问题管理服务。——系统配置管理包括但不限于：.主页使用模板、主页名称、主页域名、主页永久地址、主页开通状态、是否默认主页、版权信息等系统配置服务；.操作日志的搜索、查看等服务；.对管理员的搜索、新增、移除、选择、刷新等管理员设置服务；.对院系、年纪、班级等类别新增、删除、编辑、排序等院系设置服务；.对学科、课程等类别的新增、删除、编辑、排序等专业设置服务。5.4支撑层支撑层提供的功能应包括但不限于：——通知管理：通知发布、发布时间设置、修改等通知管理服务；——模版栏目管理包括但不限于：.新增、删除、编辑、排序、预览等模版管理服务；.新增、删除、编辑、排序等栏目管理服务。——内容数据管理包括但不限于：.新增、删除、导入导出、编辑、搜索、模拟登陆、禁用、推荐置顶、访问主页、主页发布及系统的统一入口等用户管理服务；.对所有用户的个人信息进行数据的筛选搜索、删除、导入等数据管理服务；.回收站功能，可对已删除数据进行彻底删除、还原、刷新等回收站管理服务；.对结构化基础数据的新增、删除、编辑、排序等基础数据服务；.搜索、查看、回复等问题反馈管理服务；.中、英文主页和文献提取，其中包含论文、通知公告、新闻动态、课题组风采等课题组主页内容管理服务。——系统展示配置管理包括但不限于：.重建指定系统索引、重建全部系统索引等索引管理服务；.主页各个栏目下是否可以创建栏目和是否允许创建多个栏目等栏目及数据源设置服务；4DB6101/T3199—2024.业务数据显示顺序个性化设置及不同业务系统显示字段分别设置等字段排序设置服务；.多语种字段设置，同步数据不允许编辑字段等字段设置服务；.加密显示字段设置、不显示字段设置、授课信息显示内容设置、招生信息显示内容设置等显示配置服务；.资料源标题显示设置，支持设置资料源显示的顺序与内容，可对资料源进行删除和暂存，并关联到对应栏目等资料源管理服务；.默认图片设置、二维码默认设置、通用版本备案号设置、教师主页通用链接设置等通用配置服务。——系统内容配置管理包括但不限于：.系统基础设置、管理员设置、操作日志、接口访问管理等系统设置服务；.选择性的添加想要的数据属性等内容显示标题设置服务；.数据在Excel起始行、字段和说明文字等Excel导入可视化配置服务；.单点登录配置、信息配置、主页系统logo配置、主页监控平台配置等系统及参数配置服.主页类型。综合门户涵盖教师检索、科研数据查询、获奖情况展示、学部、专业检索等综合门户设置服务；.描述主页平台系统信息等产品授权服务。5.5数据层数据层应为交互层和应用层提供数据服务、数据存储和数据管理。数据层应包括业务数据库、缓存数据库、索引数据库和文件对象存储库。6技术要求6.1性能6.1.1时间特性时间特性应达到以下要求：——静态页面平均响应时间≤1.5s；——动态页面平均响应时间≤2.5s；——教师主页平均发布响应时间＜10s（应用层操作到交互层web页面更新时间间隔——教师主页对外开放数据接口平均响应时间＜3s。6.1.2系统容量系统容量应符合以下要求：——最大并发用户数≥100；——最大并发请求数≥200。6.1.3兼容性兼容性应符合下列要求：——PC端：应兼容Chrome、Firefox、Safari、Edge及360极速浏览器等主流浏览器；5DB6101/T3199—2024——移动端：应兼容移动端主流操作系统，包括Android系统、HarmonyOS系统及IOS系统。6.2部署系统部署安装应符合以下要求：——支持多操作系统平台部署；——支持前后台分离部署，后台维护与前台访问服务隔离；——支持前后台服务使用独立端口，后台服务仅对可信网络开放；——交互层使用静态化技术，建议以静态资源对用户提供web服务；——静态信息资源服务与动态信息资源服务进行隔离。6.3安全6.3.1系统安全系统安全应包括但不限于：——建立系统安全责任组织机构，对系统安全负责；——按照GB/T39786—2021的要求，对商用密码进行应用安全性评估；——建立身份认证、授权管理机制，形成集中统一的用户管理和身份认证体系；——采用多因素身份认证技术，确保接入和访问安全；——按信息资源分类控制访问权限，对用户进行分类授权。6.3.2数据安全存储安全存储安全应包括但不限于：——对敏感数据进行加密存储；——数据有定期备份计划，能够快速恢复，保留不低于2年的备份；——保留1年内审计数据。传输安全传输安全应包括但不限于：——对数据进行加密传输；——支持TLS1.2及以上版本传输加密。6.3.3应用安全应提供Web应用防护功能，包括但不限于：——至少能够有效阻止SQL注入、XSS跨站攻击、密码暴力破解；——对长时间未登录管理账号进行自动封禁；——定时强制用户修改密码能力；——提供密码强度检测策略，禁止弱密码。6.3.4管理安全系统审计6DB6101/T3199—2024系统应记录审计的操作日志和安全事件，包括但不限于事件名称、事件发生日期时间、源IP地址、操作人、事件描述、操作结果。安全管理制度应制定安全管理制度和措施，包括系统运维管理制度、教师主页系统定期备份制度、信息安全等级保护制度。安全管理机制应建立安全管理机制，措施包括但不限于：——建立健全教师主页系统安全组织机构，明确审核责任分工；——通过国家信息安全等级保护三级认证，并纳入等级保护工作及重要信息系统范围；——建立安全审计机制，通过数据审计、用户审计、操作审计、日志审计，保障平台安全。7测试方法7.1性能测评7.1.1时间特性时间特性的测试应符合下列要求：——测试方法：.使用浏览器测试访问教师主页静态及动态页面平均响应时间；.使用专用性能测试工具测试教师主页的数据接口平均响应时间；.测试数据变更到静态页面相应内容更新的平均时间。——预期结果：时间特性应满足6.1.1的要求。——结果判定：实际测试结果满足预期结果则判定为符合，其他情况判定为不符合。7.1.2系统容量系统容量的测试应符合下列要求：——测试方法：.使用专用性能测试工具连接产品的网络接口；.测试产品的HTTP并发连接数；.测试产品的并发任务数。——预期结果：系统容量应满足6.1.2中的要求。——结果判定：实际测试结果满足预期结果则判定为符合，其他情况判定为不符合。7.1.3兼容性兼容性的测试应符合下列要求：——测试方法：.在Chrome、Firefox、Safari、Edge及360极速浏览器测试访问教师主页web页面；.在Android系统、HarmonyOS系统及IOS系统移动设备测试访问教师主页web页面。——预期结果：系统兼容性应满足6.1.3中的要求。7DB6101/T3199—2024——结果判定：实际测试结果满足预期结果则判定为符合，其他情况判定为不符合。7.2部署测评部署测评的测试应符合下列要求：——测试方法：.在多种操作系统进行教师主页部署；.在两台服务器分别部署前后台服务；.验证一个服务关闭后另一服务是否能够正常运行，能够保证基本功能正常。——预期结果：.产品可在多种操作系统进行部署正常运行；.产品前后台服务隔离，在一个服务无法正常工作时另一服务能够正常运行且提供基本服——结果判定：实际测试结果满足预期结果则判定为符合，其他情况判定为不符合。7.3安全测评7.3.1系统安全系统安全的测试应符合下列要求：——测试方法：.尝试登录待测产品进行管理，是否提示需进行身份鉴别；.输入正确/错误的用户名和对应的口令，进行登录尝试；.使用已授权管理员登录产品，尝试设置管理员口令复杂度、定期更换策略；.尝试设置不满足复杂度要求的口令；.达到口令更换时间时，查看是否提示或强制修改；.管理员首次登录产品，查看是否强制修改默认口令或设置口令；.以授权管理员身份登录待测产品，尝试创建权限相互制约的不同管理员角色用户；.以新建的管理员用户登录，检测权限是否与角色相匹配；.尝试以非授权管理员身份登录待测产品访问审计日志；.尝试删除、修改、覆盖审计日志；.尝试设置多因素认证策略；.尝试登录检查是否符合多因素登录策略。——预期结果：.待测产品提示需进行身份鉴别；.输入正确的用户名和对应的口令能够登录待测产品，否则无法登录；.授权管理员能够设置口令复杂度、定期更换策略；.无法设置不满足复杂度要求的口令；.达到口令更换时间时，提示或强制修改口令；.管理员首次登录产品时强制修改默认口令或设置口令；.授权管理员能够成功创建权限相互制约的不同管理员角色用户；.新建管理员用户权限与角色相匹配；.非授权管理员不能访问审计日志；.审计日志不能被非授权删除、修改或覆盖；8DB6101/T3199—2024.能够设置多因素认证策略；.登录时符合所设置多因素认证策略的登录模式。——结果判定：实际测试结果满足预期结果则判定为符合，其他情况判定为不符合。7.3.2数据安全存储安全存储安全的测试应符合下列要求：——测试方法：.对敏感数据（如：电话、邮箱等）是否加密存储进行测试；.对系统数据备份进行测试；.对系统审计数据进行测试。——预期结果：数据存储安全应满足中的要求。——结果判定：实际测试结果满足预期结果则判定为符合，其他情况判定为不符合。传输安全传输安全的测试应符合下列要求：——测试方法：.使用专用测试工具请求教师主页接口；.测试请求、响应数据是否加密；.测试是否支持TLS1.2及以上版本传输加密。——预期结果：数据传输安全应满足中的要求。——结果判定：实际测试结果满足预期结果则判定为符合，其他情况判定为不符合。7.3.3应用安全应用安全的测试应符合下列要求：——测试方法：.启用系统相应防御策略；.使用专用测试工具尝试对系统进行SQL注入、XSS跨站攻击、密码暴力破解；.测试长时间未登录的管理账号是否被系统封禁；.测试用户是否被定期强制修改密码；.测试系统是否提供密码强度策略配置能力，是否能够阻止用户设置弱密码。——预期结果：应用安全应满足6.3.3中的要求。——结果判定：实际测试结果满足预期结果则判定为符合，其他情况判定为不符合。7.3.4管理安全系统审计系统审计的测试应符合下列要求：——测试方法：.针对系统尝试进行用户登录和注销、重要配置变更、增加/删除/修改用户等操作行为，测试系统是否针对上述操作生成审计日志；9DB6101/T3199—2024.检查产品的审计日志是否包括事件名称、事件发生日期时间、源IP地址、操作人、事件描述、操作结果等内容；.分别以不同用户身份登录，查看是否根据不同身份可查看