随着学校业务增加，学校系统数据传输已经不仅限于内部传输，更有各个子系统与外部系统之间的数据对接。为保证数据传输的安全，特制定数据传输及加密管理规定，该规定针对我校所有系统内部传输及外部系统对接。

一、数据传输及加密规定

（一）数据传输方式

学校内部业务系统采用socket方式、第三方数据库直连、对象存储服务器方式进行业务数据传输。业务系统与外部系统之间通过标准数据接口，以http、https方式请求数据。

（二）数据加密范围

数据加密范围包括学校掌握和拥有的具有实用性并经学校采取保密措的技术数据和经营数据。

上述包括但不限于：学校所有的项目数据、设计方案、设计文件（含图纸及文档资料）、会议纪要；所有的开发项目和进度；所有的技术资料和程序代码；所有的技术文档资料；所有的人事资料；所有的财务资料等。其他所有与学校相关的技术、管理资料管理工作等学校认为需要保密的数据与信息。

二、职责与权限

（一）岗位分工与职责

不同的数据种类，涉及的管理人员和职责也不同.

（二）数据传输及加密管理部门

1. 所有需进行网络传输的数据均需加密。

2. 数据信息传输安全要求

（1）在对数据信息进行传输时，应该在风险评估的基础上采用合理的加密技术，选择和应用加密技术时，应符合以下规范：

必须符合国家有关加密技术的法律法规；

根据风险评估确定保护级别，并以此确定加密算法的类型、属性，以及所用密钥的长度；

听取研发部的建议，确定合适的保护级别，选择能够提供所需保护的合适的工具。

（2）机密和绝密信息在存储和传输时必须加密，加密方式可以分为：对称加密和不对称加密。

（3）机密和绝密数据的传输过程中必须使用数字签名以确保信息的不可否认性，使用数字签名时应符合以下规范：

充分保护私钥的机密性，防止窃取者伪造密钥持有人的签名。采取保护公钥完整性的安全措施，例如使用公钥证书；确定签名算法的类型、属性以及所用密钥长度；用于数字签名的密钥应不同于用来加密内容的密钥。

德州学院网络安全与信息化领导小组办公室

网络与教育技术中心（代章）

2024年2月3日