ICS 35.240.90
CCS L 67 23
黑
龙 江 省 地 方 标 准
DB 23/T 3868.1—2024
教育新型基础设施建设
第 1 部分：高校数字校园建设规范
2024 - 08 - 30 发布
2024 - 09 - 29 实施
黑龙江省市场监督管理局 发 布
DB 23/T 3868.1—2024
前
言
本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定
起草。
本文件是DB23/T 3868《教育新型基础设施建设》的第1部分。DB23/T 3868已经发布了以下部分：
──教育新型基础设施建设 第1部分：高校数字校园建设规范
──教育新型基础设施建设 第2部分：网络安全管理规范
──教育新型基础设施建设 第3部分：业务应用安全规范
──教育新型基础设施建设 第4部分：数据治理规范
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由黑龙江省教育厅提出并归口。
本文件起草单位：黑龙江大学、黑龙江亿林网络股份有限公司、黑龙江哈尔滨财富通科技发展有限
公司、黑龙江省教育厅、黑龙江省教育服务中心、哈尔滨工业大学、哈尔滨工程大学、东北林业大学、
哈尔滨医科大学、哈尔滨师范大学、黑龙江科技大学、哈尔滨金融学院、牡丹江师范学院。
本文件主要起草人：王磊、吕程、李德有、刘行、董海涛、朴杰、辛毅、吴宇平、赵士兵、魏士兵、
邵雅斌、石笑朋、金旭东、孙传友、高忠新、李清锋。
I
DB 23/T 3868.1—2024
教育新型基础设施建设
第 1 部分：高校数字校园建设规范
1 范围
本文件规定了黑龙江省教育新型基础设施建设高等学校数字校园建设中的总体原则、基础设施、信
息资源、网络安全、组织保障等内容。
本文件适用于教育新型基础设施建设中的高校数字校园建设。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，
仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本
文件。
GB/T 2887 计算机场地通用规范
GB/T 15629.3 信息技术 系统间远程通信和信息交换 局域网和城域网 特定要求 第3部分：带碰
撞检测的载波侦听多址访问（CSMA/CD）的访问方法和物理层规范
GB 15629.11 信息技术 系统间远程通信和信息交换 局域网和城域网 特定要求 第11部分：无线
局域网媒体访问控制和物理层规范
GB/T 20988 信息安全技术 信息系统灾难恢复规范
GB/T 22239 信息安全技术 网络安全等级保护基本要求
GB/T 25058 信息安全技术 信息系统安全等级保护实施指南
GB/T 25070 信息安全技术 网络安全等级保护安全设计技术要求
GB/T 28448 信息安全技术 网络安全等级保护测评要求
GB/T 35273 信息安全技术 个人信息安全规范
GB/T 36354 数字语言学习环境设计要求
GB/T 36447 多媒体教学环境设计要求
GB/T 36449 电子考场系统要求
GB/T 36642 信息技术学习、教育和培训在线课程
GB/T 37044 信息安全技术 物联网安全参考模型及通用要求
GB/T 37720 识别卡 金融IC卡芯片技术要求
GB/T 38851 信息技术 识别卡 集成指纹的身份识别卡通用技术要求
GB 50174 数据中心设计规范
GB 50462 数据中心基础设施施工及验收规范
GA/T 1396 信息安全技术 网站内容安全检查产品安全技术要求
3 术语和定义
下列术语和定义适用于本文件。
数字校园
1
DB 23/T 3868.1—2024
利用计算机技术、网络技术以及科学规范的管理对校园内的教学、科研、管理和生活服务等有关信
息资源进行整合、集成和全面的数字化，构成统一用户管理、统一资源管理、统一权限控制的校园。
4 总体原则
整体规划、分步实施；应用导向、数据驱动；注重融合、体验优先；安全可靠、适度超前；积极探
索、创新应用。
5 基础设施
校园网络
5.1.1 网络出口
符合但不限于下列要求：
a) 在校园网出口区部署出口路由器和防火墙等设备；
b) 采用设备冗余部署、多链路等方法；
c) 出口带宽满足学校使用。
5.1.2 校园主干网
符合但不限于下列要求：
a) 支持有线、无线及物联网等多种业务；
b) 设计方案可根据需要扩展，支持 IPv4 与 IPv6 部署；
c) 重要网络区域与其他网络区域之间通过交换机 ACL、防火墙、物理网闸等技术进行有效隔离；
d) 实施冗余策略；
e) 建立用户实名认证及登记备案机制。
5.1.3 有线接入网
符合GB 15629.3的规定，定期进行接入性能测试。
5.1.4 无线接入网
符合GB 15629.11的规定，宜覆盖校园全场景，定期进行接入性能测试。
数据中心
5.2.1 机房
符合但不限于下列要求：
a) 一般包括主机房、辅助区、支持区和行政管理区等；
b) 设计和建设符合 GB 50174、GB 50462 和 GB 2887 及相关规定。
5.2.2 网络系统
符合但不限于下列要求：
a) 宜使用堆叠、虚拟化等性能和可靠性增强技术；
b) 交换机间宜采用光纤连接；
2
DB 23/T 3868.1—2024
c) 数据中心网络应支持 IPv4 和 IPv6 运行；
d) 数据中心网络系统应配置独立的防火墙、Web 应用防火墙等安全设备。
5.2.3 计算与存储系统
符合但不限于下列要求：
a) 根据算力和业务要求，应选取合适的服务器类型、网络架构和存储类型及容量；
b) 根据学校实际情况，宜使用超融合架构。
5.2.4 基础软硬件系统
符合但不限于下列要求：
a) 搭建独立的 DNS、NTP 服务；
b) 设备配置统一的日志服务；
c) 配置软硬件监控平台，监控数据中心运行；
d) 配置 VPN 系统、运维审计系统等。
5.2.5 备份容灾系统
按GB/T 20988的规定执行，还应符合下列要求：
a) 对数据中心系统进行分级，针对不同级别制定相应的备份或容灾计划；
b) 优先考虑本地备份，数据量较大时采用分布式集群备份架构；
c) 定期开展备份恢复或容灾演练，多校区运维实施多数据中心容灾方案等。
校园卡系统
符合但不限于下列要求：
a) 校园卡可选用实体卡或虚拟卡，选用非接触式 CPU 卡应符合 GB/T 37720 规定，选用 PSAM 卡
应符合 GB/T 37720 和 GB/T 38851 规定；
b) 卡片应标识持卡人信息；
c) 卡内存储信息应包括卡片基本信息、持卡人信息、钱包账户信息等；
d) 消费、门禁和签到系统应支持联网和脱机操作；
e) 校园卡平台应开放服务和数据接口，兼容第三方移动支付解决方案；
f) 校园卡密钥管理宜由学校专门部门负责；
g) 校园卡系统应由学校自主管理。
信息化教学环境
符合但不限于下列要求：
a) 音频系统、显示系统、智能化控制系统、供配电系统、照明系统、信息网络及系统集成符合 GB/T
36447 的要求；语言学习型教室的建设符合 GB/T 36354 的要求，电子考场建设符合 GB/T 36449
的要求；
b) 提供多种工具和功能支持课堂内外的师生互动；
c) 课堂教学、在线学习系统及应用，支持信息联通和数据融合；
d) 支持对环境实时数据采集与传输，根据教学需要和环境条件，实现教学环境中相关设备的智能
调节控制。
6 信息资源
3
DB 23/T 3868.1—2024
基础数据
符合但不限于下列要求：
a) 规划建设准确完整的学校基础数据；
b) 补充建设缺失的基础数据；
c) 制订学校内部基础数据标准并监督实施，发布基础数据目录并及时更新；
d) 明确各基础数据的数据源及其主管单位；
e) 提供接口规范和服务。
业务数据
符合但不限于下列要求：
a) 梳理学校业务数据，编制数据目录，并及时补充缺失的业务数据；
b) 制订学校内部业务数据标准并监督实施；
c) 选用适宜的数据建模方法，构建业务数据库；
d) 提供接口规范和服务。
数字化教学资源
6.3.1 在线课程
符合但不限于下列要求：
a) 建设优质在线课程，遴选核心课程；
b) 提供技术支持团队和资源环境，开发在线课程；
c) 通过在线课程推行翻转课堂等教学模式；
d) 课程符合 GB/T 36642 的规定。
6.3.2 数字化教材
符合但不限于下列要求：
a) 建立教师与技术人员合作开发模式；
b) 定期提供相关技术的培训；
c) 建立数字化教材更新机制。
7 网络安全
基础设施安全
7.1.1 物理环境安全
按GB/T 22239、GB/T 28448、GB/T 25070和GB/T 25058的规定执行。
7.1.2 有线网络安全
按GB/T 22239规定执行，还应符合下列要求：
a) 网络安全等级保护要求进行实名制认证和网络行为审计留存；
b) 与网络安全管理平台或网络安全态势感知系统进行数据互通；
c) 有线网络边界具备安全监测和警报功能；
d) 核心交换区域具备流量检测和用户流量分析能力；
e) 接入区支持数据捕获；
4
DB 23/T 3868.1—2024
f) 根据业务服务对象、业务重要性、业务建设阶段等进行网络分区。
7.1.3 无线网络安全
应符合7.1.2的规定，还应符合下列要求：
a) 能检测无线接入设备的网络扫描、密码破解等行为；
b) 能检测非授权无线接入设备和移动终端的接入行为等。
7.1.4 物联网设施安全
应符合但不限于下列要求：
a) 物联网的感知节点设备所处的物理环境不对设备环境进行物理破坏；
b) 感知节点设备在工作状态所处物理环境能正常反映环境状态，不对感知节点设备的正常工作
造成影响；
c) 保证只有授权的感知节点可以接入；
d) 能够限制于感知节点和感知网关的通信；
e) 按照 GB/T 37044 要求对物联网安全进行部署。
7.1.5 校园私有云平台安全
应符合但不限于下列要求：
a) 当远程管理校园网私有云平台设备时，管理终端和云平台之间应建立双向身份验证机制，采用
虚拟机及平台远程登录和运维堡垒机登录；
b) 可允许各分校、校区、院系或者独立的业务管理机构设置不同虚拟机之间的访问控制策略；
c) 能检测虚拟机之间的资源隔离失效、非授权新建虚拟机或者重新启用虚拟机、恶意代码感染及
在虚拟机间蔓延的情况等，并进行告警；
d) 提供虚拟机镜像、快照完整性校验功能；
e) 对虚拟机镜像、快照采取密码或其他防盗取技术手段。
信息系统安全
应符合但不限于下列要求：
a) 实施用户身份标识和鉴别机制，限制非法登录次数并设置自动退出功能；
b) 启动访问控制，依据安全策略管理资源访问；限制、重命名、修改默认账户权限；及时删除过
期账户，避免共享账户；
c) 操作系统应遵循最小安装的原则；
d) 安装并及时更新防恶意代码软件；
e) 选用容错性、易用性的软件，提供数据有效性校验；
f) 实施重要信息备份和恢复机制；
g) 采用链路加密技术或安全设备进行校外访问，使用授权机构颁发的加密证书。
信息终端安全
应符合但不限于下列要求：
a) 对接入网络的终端进行认证管理；
b) 在通用操作系统的终端安装病毒防护工具，定期更新系统和查杀病毒；
c) 物联网和工控设备等定期进行安全检测和评估，及时维护和更新软件；
d) 限制移动存储设备在关键终端和服务器中的使用，使用工具进行病毒查杀；
5
DB 23/T 3868.1—2024
e) 对重要的数据和文件处理终端，采用数据防泄漏系统进行加密和管控。
数据安全
应符合但不限于下列要求：
a) 重要的数据在传输和存储过程中，采用校验技术或密码技术保证完整性，采用密码技术保证保
密性；
b) 学校应提供重要的本地数据备份与恢复功能；
c) 学校个人信息的收集、存储、使用、共享、转让、公开披露等环节的相关行为应符合 GB/T 35273
的要求；
d) 学校应仅采集和保存业务必要的用户个人信息，不应未授权访问和非法使用学校的个人信息；
e) 涉及接触个人信息的第三方公司应与学校签署安全保密协议；
f) 校园网私有云平台应确保所有数据和个人信息等存储于中国境内，如出境应遵循国家相关规
定；
g) 未经学校正式授权，云服务商或第三方不应具有云上数据的使用、扩散权限；
h) 虚拟机迁移过程中重要的数据应使用校验码或密码技术，如发现完整性受到破坏时，采取必要
恢复措施；
i) 云服务商提供的存储服务应保证数据存在若干个可用的副本，各副本之间的内容应保持一致。
内容安全
应建立网络内容发布和安全审查制度，制定安全管理策略，可采用网站内容检查产品，通过数据采
集和分析，对包括网页中的文字、图片、文档、音视频、暗链接和错误链接等对象中包含的信息进行检
测、记录和分析，发现违规内容及时进行整改。
8 组织保障
应符合但不限于下列要求：
a) 设立校级网络安全和信息化工作领导小组作为学校网络安全和信息化工作、数字校园建设的
最高管理与决策机构；
b) 建立健全的规章制度，宜制定数字校园建设与管理各方面的管理办法，包括但不限于网络与信
息安全管理、数据管理、校园网建设与运行管理、校园卡管理、信息化建设项目管理、网站及
信息系统管理等；
c) 建立一支信息化专业队伍，设立校院两级信息化管理和专业技术岗位，设定明确的岗位职责；
d) 定期维护数字校园相关基础设施、信息系统等，建立从用户报修、现场处理到事后反馈全流程
的服务。
6
DB 23/T 3868.1—2024
参 考 文 献
[1] 《中华人民共和国网络安全法》（中华人民共和国主席令第五十三号）
[2] 《中华人民共和国突发事件应对法》（中华人民共和国主席令第六十九号）
[3] 《中华人民共和国数据安全法》（中华人民共和国主席令第八十四号）
[4] 《中华人民共和国个人信息保护法》（中华人民共和国主席令第九十一号）
[5] 《中华人民共和国计算机信息系统安全保护条例》（中华人民共和国国务院令第147号）
[6] 《关键信息基础设施安全保护条例》（中华人民共和国国务院令第745号）
[7] 《互联网安全保护技术措施规定》（公安部令第82号）
[8] 《高等学校数字校园建设规范（试行）》（教科信〔2021〕14 号）
[9] 《关于推进教育新型基础设施建设构建高质量教育支撑体系的指导意见》（教科信〔2021〕
2号 ）
[10] 《黑龙江省教育厅等八部门关于推进教育新型基础设施建设构建高质量教育支撑体系的实
施方案》（黑教规〔2022〕5号）
7