1. 目的
规范学校各类信息系统数据库的使用与管理,明确教育信息中心与各业务部门的安全职责,防范数据泄露、系统故障等风险,保障教务、学工、财务、一卡通等核心业务数据安全,特制定本规范。
2. 适用范围
适用于学校所有教学、管理、服务类系统的数据库(从建设、使用到备份的全流程),适用于教育信息中心工作人员、各部门负责系统/数据库管理的人员、第三方技术服务人员。
3. 核心定义
校级DBA:教育信息中心专人,负责全校数据库安全标准制定、技术指导和检查。
部门级DBA:各部门指定专人,负责本部门自建系统数据库的日常管理和维护。
自建系统数据库:各部门自己负责建设、管理,用于本部门业务的数据库。
4. 管理职责分工
4.1 教育信息中心职责
制定全校数据库安全规则,指导各部门做好安全管理;
负责学校核心系统(一卡通、财务共享等)数据库的维护和安全保障;
定期检查各部门数据库安全情况,督促整改问题;
组织安全培训,提供技术支持和应急帮助;
统筹全校数据库备份工作,监督各部门落实备份要求。
4.2 各业务部门职责
指定本部门数据库管理员(部门级DBA),报教育信息中心备案;
负责本部门数据库的日常使用、权限管理和故障处理;
按要求做好数据库备份,定期开展恢复测试,将测试结果报教育信息中心;
配合教育信息中心的安全检查,及时整改问题;
部门人员变动时,及时调整数据库账号权限或注销账号,报教育信息中心备案。
4.3 校级/部门级DBA通用职责
负责所管理数据库的日常维护,保障正常运行;
定期检查数据库安全设置和备份情况,发现问题及时处理;
做好操作记录,重要操作需经审批后执行;
处理数据库故障,无法解决时及时联系教育信息中心。
5. 安全管理核心要求
5.1 网络与服务器安全
数据库服务器必须放在校内安全网络,严禁直接连公网;确需校外访问,须经教育信息中心审批,通过学校VPN访问。
服务器只开放必要的数据库端口,限制指定IP访问;各部门服务器端口设置需报教育信息中心备案。
数据库服务器上不安装无关软件(如网页、文件传输工具),避免安全风险。
5.2 账户与权限管理
师生和第三方人员不能直接连接数据库,需通过业务系统访问;特殊情况需直连,须经部门负责人和教育信息中心双重审批。
严格按“最小权限”分配账号,普通用户只给必要的操作权限(如仅查询数据)。
账号命名格式按照学校数据标准统一命名。
数据库密码不少于8位,包含大小写字母、数字和特殊符号,每季度必须更换。
正式使用的数据库与测试用数据库分开,测试环境不能用真实师生数据。
删除数据库默认账号和无用的示例数据,避免漏洞。
身份证号、银行卡号、联系方式等敏感信息,必须加密存储,不能明文保存。
5.4 操作与访问控制
数据库管理员操作数据库,必须通过学校堡垒机进行,操作过程全程记录。
修改数据库结构、批量修改数据等重要操作,需经部门负责人审批;核心系统操作需额外经教育信息中心审批。
5.5 特殊场景管理
教学实验用数据库,仅给师生开放查询权限,使用模拟数据,实验结束后回收账号。
导出数据库数据,需经部门负责人和教育信息中心审批,导出文件加密保存,严禁通过邮件、网盘传播。
临时通数据库访问权限,有效期不超过7天,到期自动失效。
第三方技术人员操作数据库,需签订保密协议,由部门DBA全程陪同,使用临时账号操作。
6. 备份与恢复
校级核心数据库:每天备份增量数据,每周备份全部数据,备份保留至少6个月;重要系统需异地备份。
部门自建数据库:每天备份数据,每周备份全部数据,备份保留至少3个月;重要系统需接入学校异地备份平台。
备份件按“部门_系统_日期_类型”命名(如教务处_教务系统_20250405_全量.bak),做好备份记录,每月报教育信息中心存档。
校级数据库每季度、部门数据库每半年,开展一次备份恢复测试,确保备份可用。
数据库发生故障,先查明原因,提交申请后由DBA进行恢复,做好记录。
7. 监督与考核
教育信息中心每半年检查一次全校数据库安全情况,检查结果纳入各部门年度考核。
对违反本规范的,责令限期整改;逾期未改的,通报批评并扣减考核分数。
8. 附则
本规范由学校教育信息中心负责解释和修订。
违反本规范造成数据泄露或系统故障的,追究部门负责人和直接责任人责任。
