大学数据中心机房安全管理办法（试行）

XXXX大学数据中心机房安全管理办法（试行）第一章物理安全第一条数据中心机房工作人员刷卡出入机房，并进行登记。第二条外单位维护人员需要进入机房工作的，需首先填写登记表，并在机房工作人员陪同下进入机房，进入机房应遵守机房管理制度听从机房工作人员指导。严禁其他人员进入机房。第三条进入机房不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品。机房内严禁吸烟、喝水、吃食物、嬉戏和进行剧烈运动，保持机房安静。操作人员注意保持机房整洁，操作结束后整理好有关工具和配件。第四条非数据中心工作人员不得接触和操作数据中心机房内任何设备、设施。严禁外来信息载体（如USB便携硬盘）带入机房，未经允许不准将机器设备和数据带出机房。第五条对应用系统的维护、增删、配置的更改，以及硬件设备设备的添加、更换必需经系统负责人批准后方可进行。数据中心内关键设备的操作实行双人作业制度，严格按照预制操作流程进行。有关过程必须按规定进行详细登记和记录，对各类软件、现场资料、档案整理存档。第六条设备管理员随时监控机房设备运行状况，发现异常情况应立即按照预案规程进行操作，并及时上报和详细记录。值班人员每天巡查数据中心机房，检查数据中心环境支撑设施运行状况。定期对机房内设置的消防器材、监控设备进行检查，以保证其有效性。第二章网络安全第七条数据中心机房配备网络防火墙，用于保护生产运行的服务器及相关设备、信息系统免受非法访问，防范网络攻击。根据信息系统安全等级保护的要求，端口开放及权限控制基于最小配置及最小权限原则，即除系统服务必须开放的网络端口外，其它端口一律关闭。第八条数据中心内的服务器、设备及信息系统，根据系统安全保护等级、系统服务范围等不同情况，实行安全分区管理。数据中心防火墙DMZ区域内服务器或设备（以下简称“DMZ区域内设备”）可以对外提供服务，可相应设置外部访问规则；数据中心防火墙内部私有区域服务器或设备不可对外提供服务，仅可向数据中心DMZ区域内的服务器或设备提供服务。区域内设备的端口分为公共服务端口、受限服务端口、内部管理端口及临时服务端口等4种类型。高安全保障等级DMZ区域内的设备的所有端口缺省为内部管理端口，申请通过后才能成为其他类型端口。第九条公共服务端口可被任何IP地址访问。普通安全保障等级DMZ区域内设备上的http（80）、https（443）端口为普通公共服务端口，只需要完成网站备案无须其他申请即可被任何IP地址访问。普通安全保障等级DMZ区域设备上其他端口原则上不能成为公共服务端口。第十条受限服务端口仅限校内IP地址访问。普通安全保障等级DMZ区域内设备的受限服务端口为ftp（21）、telnet（23）、ssh（22）、mysql（3306）、ms-sql-s（1433）、remote-desktop（3389）。受限服务端口如需校外访问，需经信管处审批，限定IP，限定开放期限。第十一条内部管理端口不对外开放访问，仅限于通过数据中心VPN服务进行访问。数据中心VPN账号的申请人必须为本校教职工和学生。校外单位（厂家或服务商等）因工作需要可通过本校有资格的申请人申请VPN账号。本校申请人需要提供本人工号（或学号）、需要管理的服务服务器或设备信息、联系电话及邮件地址、即时通讯ID，及使用期限。VPN账号最长有效期为三个月（到期后可延期）。在申请审批通过后才可发放数据中心VPN账号。第十二条临时服务端口仅限特定IP地址在一定期限内进行访问。临时服务端口的服务期限最长为一个月，期满可申请延续。第十三条数据中心机房内服务器或设备的负责人，必须根据信息安全等级保护及国家法律规定的网站备案要求，如实申报网络服务端口（以下简称“端口”）的用途、服务对象或使用人等资料。对于不实申报的，一经发现将立即取消所有访问权限，并作为重大安全隐患进行通报；对造成信息安全事故的，按有关规定追究相关人员责任。第十四条原则上，防火墙不为受限服务端口设置其他管理规则。如果DMZ区域内设备需要进一步限制访问的，应在设备上自行配置限制规则。第十五条信息与网络管理处将定期（每月不少于1次）对公共服务端口、受限服务端口、临时服务端口进行扫描，以确保及时发现