案例分享｜中国人民大学信息系统全生命周期管理-中国教育和科研计算机网CERNET

资讯

校园信息化

技术

资源与应用

产品与装备

信息服务

首页 > 教育信息化 > 校园信息化 > 高等教育

案例分享｜中国人民大学信息系统全生命周期管理

2025-01-21 中国教育网络

　　通过构建信息系统全生命周期备案管理平台，中国人民大学实现了全校近千个信息系统从建设、投入、管理到运维全生命周期的信息备案管理。

　　这些年，中国人民大学（以下简称“人大”）在校园基础设施、教学环境、教学资源、校园管理和服务等教育信息化方面打下了比较完善的建设基础，目前正在开展智慧校园3.0的建设。为进一步夯实网络安全底盘，充分利用“信息化+数字化”的建设成果，蓄力数字化转型，学校建立了信息系统全生命周期备案管理平台，对全校600多个信息系统实现全生命周期的信息备案管理。

把握关键节点

管好信息系统

　　三分技术，七分管理

　　人大为支撑教学科研，服务师生，提高校园信息化和数字化水平，建设了各级各类的信息系统/网站。这些系统/网站的建设、管理和运维分属于各个业务部门，其建设质量、管理投入和运维技术能力以及经费等参差不齐。

　　高校信息系统管理，三分靠技术，七分靠管理。一方面，人大在信息化和数字化建设过程中，一直强调技术只是基础支撑，重要的是人的参与和管理工作，核心是数据。只有管好，才能用好，进而才能使其发挥支撑和服务教学科研及校园生活的作用。另一方面，技术带给师生支撑、便利、变革的同时，网络虚拟空间中来自国际国内的恶意攻击，也为师生带来了安全风险和威胁。如果安全管不好，不但不能发挥作用，还会给师生带来损失。

　　如何才能把全校信息系统管好？一是建立信息系统的全生命周期备案管理机制；二是针对信息系统采用责任、合规、安全、技术、人员、流程、经费及第三方机构等多维度的信息备案管理；三是对全生命周期中的关键节点进行控制审核；四是摸清信息系统建设、投入、管理和运维的家底，汇集信息系统的数据，反馈评估，辅助改进；五是为网络安全应急处理提供准确快速的定位；六是管理业务的数字化转型蓄力。

　　基于平台做好关键节点控制

　　信息系统的全生命周期包含四个关键阶段，即从信息系统规划立项、信息系统建设、信息系统管理运维到信息系统下线退役的全过程。信息系统全生命周期备案管理的目标，是对以上四个关键阶段进行管理和控制，从而保证信息系统建设质量、运行安全，提升可持续性和收益，为改进和决策提供数据依据。

　　人大由学校各个职能部门和院系根据业务需要规划立项、建设、管理和运维信息系统。学校针对信息系统全生命周期备案管理，在明确组织机制、制度保障和安全责任的前提下，建立了信息系统备案管理平台。平台通过对新建、修改、年审、注销四个关键过程节点的控制审核以及针对四个节点中各类信息进行备案，从而实现对信息系统全生命周期的信息备案管理。

　　首先，在组织机制和制度保障方面，学校成立了网络安全和信息化领导小组，制定了《中国人民大学信息化项目管理办法》、《中国人民大学网络与信息技术安全管理办法》、《中国人民大学网站建设管理办法》等。

　　在网络安全责任方面，学校建立了网络安全二级责任机制，职能部门和院系二级部门（以下简称“二级部门”）党政主要领导作为本部门的网络安全主要负责人。

　　在过程控制方面，也建立了二级控制审核机制，新建、修改、年审和注销这四个关键过程环节所对应的备案信息都需要先经二级部门党政主要负责人审批通过后，再进入学校对应的职能主控部门审批。

　　“新建”环节，由学校党政办公室控制审核信息系统建设立项，由学校党委宣传部控制审核信息系统的内容，由学校信息技术中心控制审核网络安全等级保护的定级。

　　“修改”环节，涉及信息修改内容的不同分类，需要部门领导——学校党政办或学校党委宣传部——信息技术中心控制审核。

　　“年审”环节，由学校信息技术中心发起，一方面要求二级部门将停用、弃用的信息系统进行注销申报，一方面从技术层面监控信息系统运行的指标，例如活跃度、访问量等，督促二级部门整合优化信息系统。

　　“注销”环节，由学校信息技术中心发起，对停用、弃用的信息系统进行注销处理，回收相关IT资源，包括域名、IP、虚拟主机等。

梳理备案内容

明确管理维度

　　人大信息系统全生命周期备案管理的信息备案内容，主要涵盖基本信息、技术管理信息、安全管理信息和内容管理信息四个维度。

　　基本信息

　　基本信息主要包括三部分：信息系统基本信息、单位信息、联系人信息。

　　信息系统基本信息包含名称、域名、系统状态、类型、访问范围、类型等10项信息。学校将信息系统分成正常、单非和双非三种类型。其中，正常是指域名使用学校二级域名和IP地址在校园网内；单非是指没有使用学校二级域名或者IP地址不在校内；双非是指没有使用学校二级域名且IP地址不在校内。这样明确标识类型，一是为了能够针对双非和单非网站加强日常安全监控和安全检查，二是为了在发生网络安全事件的情况下能够快速确定处置方法。

　　单位信息主要是指单位党政领导的信息，包括办公地址、办公电话和手机号码等七项。单位党政领导是单位网络安全的负责人。

　　联系人信息主要是指该信息系统的管理人信息，包括办公电话、手机号码以及紧急联系电话等七项。

　　技术管理信息

　　技术管理信息，主要包含信息系统部署信息、支撑环境信息、软件开发信息这三部分；包含应用主机位置、应用主机IP、数据库主机位置、数据库主机 IP、操作系统及版本号、中间件及版本号、数据库类型、对接统一身份认证情况、使用通用软件情况等12大项，部分大项包含细化的信息项。

　　安全管理信息

　　安全管理信息主要包含网络安全等级保护、安全检查和信息系统建设运维三大类。其中，网络安全等级保护信息主要包含定级参考信息、备案信息。定级参考信息包含系统服务的使用对象、系统中断时会造成的损害描述、存储的个人信息数量等九项信息。备案信息主要包括ICP备案号、公安等保备案号等。

　　安全检查信息包括校内安全检查报告上传、第三方（有资质机构）安全检查报告上传。信息系统建设运维信息包含系统建设单位、系统建设经费、年度运维经费、系统建设单位是否签署保密承诺书等八项信息。

　　另外，平台根据各个信息系统的IP、域名等信息，展示信息系统的安全合规性分类，帮助管理员实时了解，有助于管理和整改。例如，信息系统/网站类型列表，显示的是已完成和审核流程到信息中心受理人员的备案信息，分为校内域名、校外IP-反代，校内域名、校外IP-未反代；校外域名、校内IP等。这些备案信息均可以导出为Excel。

　　内容管理信息

图1 人大信息系统全生命周期备案管理后台示意

　　内容管理信息主要包含首页截图、注册用户数、注册方式、改版时间、评论/回复功能、外链网站这六项。

　　人大自2019年开始实施信息系统备案管理，先是确立全生命周期备案管理的建设目标，然后从制定管理办法和管理流程入手，再建立“中国人民大学信息系统备案管理平台”（如图1所示）。经过近五年的不断完善和建设优化，平台已经实现了针对全校近千个信息系统的全生命周期备案管理，达成了预期的目标。

　　来源：《中国教育网络》2024年9月刊

　　作者：葛泓、赵伟（中国人民大学信息技术中心）

　　责编：陈永杰

　　特别声明：本站注明稿件来源为其他媒体的文/图等稿件均为转载稿，本站转载出于非商业性的教育和科研之目的，并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题，请作者在两周内速来电或来函联系。