大學數(shù)據(jù)中心機房安全管理辦法（試行）

XXXX大學數(shù)據(jù)中心機房安全管理辦法（試行）第一章物理安全第一條數(shù)據(jù)中心機房工作人員刷卡出入機房，并進行登記。第二條外單位維護人員需要進入機房工作的，需首先填寫登記表，并在機房工作人員陪同下進入機房，進入機房應遵守機房管理制度聽從機房工作人員指導。嚴禁其他人員進入機房。第三條進入機房不得攜帶任何易燃、易爆、腐蝕性、強電磁、輻射性、流體物質(zhì)等對設備正常運行構(gòu)成威脅的物品。機房內(nèi)嚴禁吸煙、喝水、吃食物、嬉戲和進行劇烈運動，保持機房安靜。操作人員注意保持機房整潔，操作結(jié)束后整理好有關(guān)工具和配件。第四條非數(shù)據(jù)中心工作人員不得接觸和操作數(shù)據(jù)中心機房內(nèi)任何設備、設施。嚴禁外來信息載體（如USB便攜硬盤）帶入機房，未經(jīng)允許不準將機器設備和數(shù)據(jù)帶出機房。第五條對應用系統(tǒng)的維護、增刪、配置的更改，以及硬件設備設備的添加、更換必需經(jīng)系統(tǒng)負責人批準后方可進行。數(shù)據(jù)中心內(nèi)關(guān)鍵設備的操作實行雙人作業(yè)制度，嚴格按照預制操作流程進行。有關(guān)過程必須按規(guī)定進行詳細登記和記錄，對各類軟件、現(xiàn)場資料、檔案整理存檔。第六條設備管理員隨時監(jiān)控機房設備運行狀況，發(fā)現(xiàn)異常情況應立即按照預案規(guī)程進行操作，并及時上報和詳細記錄。值班人員每天巡查數(shù)據(jù)中心機房，檢查數(shù)據(jù)中心環(huán)境支撐設施運行狀況。定期對機房內(nèi)設置的消防器材、監(jiān)控設備進行檢查，以保證其有效性。第二章網(wǎng)絡安全第七條數(shù)據(jù)中心機房配備網(wǎng)絡防火墻，用于保護生產(chǎn)運行的服務器及相關(guān)設備、信息系統(tǒng)免受非法訪問，防范網(wǎng)絡攻擊。根據(jù)信息系統(tǒng)安全等級保護的要求，端口開放及權(quán)限控制基于最小配置及最小權(quán)限原則，即除系統(tǒng)服務必須開放的網(wǎng)絡端口外，其它端口一律關(guān)閉。第八條數(shù)據(jù)中心內(nèi)的服務器、設備及信息系統(tǒng)，根據(jù)系統(tǒng)安全保護等級、系統(tǒng)服務范圍等不同情況，實行安全分區(qū)管理。數(shù)據(jù)中心防火墻DMZ區(qū)域內(nèi)服務器或設備（以下簡稱“DMZ區(qū)域內(nèi)設備”）可以對外提供服務，可相應設置外部訪問規(guī)則；數(shù)據(jù)中心防火墻內(nèi)部私有區(qū)域服務器或設備不可對外提供服務，僅可向數(shù)據(jù)中心DMZ區(qū)域內(nèi)的服務器或設備提供服務。區(qū)域內(nèi)設備的端口分為公共服務端口、受限服務端口、內(nèi)部管理端口及臨時服務端口等4種類型。高安全保障等級DMZ區(qū)域內(nèi)的設備的所有端口缺省為內(nèi)部管理端口，申請通過后才能成為其他類型端口。第九條公共服務端口可被任何IP地址訪問。普通安全保障等級DMZ區(qū)域內(nèi)設備上的http（80）、https（443）端口為普通公共服務端口，只需要完成網(wǎng)站備案無須其他申請即可被任何IP地址訪問。普通安全保障等級DMZ區(qū)域設備上其他端口原則上不能成為公共服務端口。第十條受限服務端口僅限校內(nèi)IP地址訪問。普通安全保障等級DMZ區(qū)域內(nèi)設備的受限服務端口為ftp（21）、telnet（23）、ssh（22）、mysql（3306）、ms-sql-s（1433）、remote-desktop（3389）。受限服務端口如需校外訪問，需經(jīng)信管處審批，限定IP，限定開放期限。第十一條內(nèi)部管理端口不對外開放訪問，僅限于通過數(shù)據(jù)中心VPN服務進行訪問。數(shù)據(jù)中心VPN賬號的申請人必須為本校教職工和學生。校外單位（廠家或服務商等）因工作需要可通過本校有資格的申請人申請VPN賬號。本校申請人需要提供本人工號（或?qū)W號）、需要管理的服務服務器或設備信息、聯(lián)系電話及郵件地址、即時通訊ID，及使用期限。VPN賬號最長有效期為三個月（到期后可延期）。在申請審批通過后才可發(fā)放數(shù)據(jù)中心VPN賬號。第十二條臨時服務端口僅限特定IP地址在一定期限內(nèi)進行訪問。臨時服務端口的服務期限最長為一個月，期滿可申請延續(xù)。第十三條數(shù)據(jù)中心機房內(nèi)服務器或設備的負責人，必須根據(jù)信息安全等級保護及國家法律規(guī)定的網(wǎng)站備案要求，如實申報網(wǎng)絡服務端口（以下簡稱“端口”）的用途、服務對象或使用人等資料。對于不實申報的，一經(jīng)發(fā)現(xiàn)將立即取消所有訪問權(quán)限，并作為重大安全隱患進行通報；對造成信息安全事故的，按有關(guān)規(guī)定追究相關(guān)人員責任。第十四條原則上，防火墻不為受限服務端口設置其他管理規(guī)則。如果DMZ區(qū)域內(nèi)設備需要進一步限制訪問的，應在設備上自行配置限制規(guī)則。第十五條信息與網(wǎng)絡管理處將定期（每月不少于1次）對公共服務端口、受限服務端口、臨時服務端口進行掃描，以確保及時發(fā)現(xiàn)