大學(xué)數(shù)據(jù)中心機(jī)房安全管理辦法（試行）

XXXX大學(xué)數(shù)據(jù)中心機(jī)房安全管理辦法（試行）第一章物理安全第一條數(shù)據(jù)中心機(jī)房工作人員刷卡出入機(jī)房，并進(jìn)行登記。第二條外單位維護(hù)人員需要進(jìn)入機(jī)房工作的，需首先填寫登記表，并在機(jī)房工作人員陪同下進(jìn)入機(jī)房，進(jìn)入機(jī)房應(yīng)遵守機(jī)房管理制度聽從機(jī)房工作人員指導(dǎo)。嚴(yán)禁其他人員進(jìn)入機(jī)房。第三條進(jìn)入機(jī)房不得攜帶任何易燃、易爆、腐蝕性、強(qiáng)電磁、輻射性、流體物質(zhì)等對(duì)設(shè)備正常運(yùn)行構(gòu)成威脅的物品。機(jī)房?jī)?nèi)嚴(yán)禁吸煙、喝水、吃食物、嬉戲和進(jìn)行劇烈運(yùn)動(dòng)，保持機(jī)房安靜。操作人員注意保持機(jī)房整潔，操作結(jié)束后整理好有關(guān)工具和配件。第四條非數(shù)據(jù)中心工作人員不得接觸和操作數(shù)據(jù)中心機(jī)房?jī)?nèi)任何設(shè)備、設(shè)施。嚴(yán)禁外來信息載體（如USB便攜硬盤）帶入機(jī)房，未經(jīng)允許不準(zhǔn)將機(jī)器設(shè)備和數(shù)據(jù)帶出機(jī)房。第五條對(duì)應(yīng)用系統(tǒng)的維護(hù)、增刪、配置的更改，以及硬件設(shè)備設(shè)備的添加、更換必需經(jīng)系統(tǒng)負(fù)責(zé)人批準(zhǔn)后方可進(jìn)行。數(shù)據(jù)中心內(nèi)關(guān)鍵設(shè)備的操作實(shí)行雙人作業(yè)制度，嚴(yán)格按照預(yù)制操作流程進(jìn)行。有關(guān)過程必須按規(guī)定進(jìn)行詳細(xì)登記和記錄，對(duì)各類軟件、現(xiàn)場(chǎng)資料、檔案整理存檔。第六條設(shè)備管理員隨時(shí)監(jiān)控機(jī)房設(shè)備運(yùn)行狀況，發(fā)現(xiàn)異常情況應(yīng)立即按照預(yù)案規(guī)程進(jìn)行操作，并及時(shí)上報(bào)和詳細(xì)記錄。值班人員每天巡查數(shù)據(jù)中心機(jī)房，檢查數(shù)據(jù)中心環(huán)境支撐設(shè)施運(yùn)行狀況。定期對(duì)機(jī)房?jī)?nèi)設(shè)置的消防器材、監(jiān)控設(shè)備進(jìn)行檢查，以保證其有效性。第二章網(wǎng)絡(luò)安全第七條數(shù)據(jù)中心機(jī)房配備網(wǎng)絡(luò)防火墻，用于保護(hù)生產(chǎn)運(yùn)行的服務(wù)器及相關(guān)設(shè)備、信息系統(tǒng)免受非法訪問，防范網(wǎng)絡(luò)攻擊。根據(jù)信息系統(tǒng)安全等級(jí)保護(hù)的要求，端口開放及權(quán)限控制基于最小配置及最小權(quán)限原則，即除系統(tǒng)服務(wù)必須開放的網(wǎng)絡(luò)端口外，其它端口一律關(guān)閉。第八條數(shù)據(jù)中心內(nèi)的服務(wù)器、設(shè)備及信息系統(tǒng)，根據(jù)系統(tǒng)安全保護(hù)等級(jí)、系統(tǒng)服務(wù)范圍等不同情況，實(shí)行安全分區(qū)管理。數(shù)據(jù)中心防火墻DMZ區(qū)域內(nèi)服務(wù)器或設(shè)備（以下簡(jiǎn)稱“DMZ區(qū)域內(nèi)設(shè)備”）可以對(duì)外提供服務(wù)，可相應(yīng)設(shè)置外部訪問規(guī)則；數(shù)據(jù)中心防火墻內(nèi)部私有區(qū)域服務(wù)器或設(shè)備不可對(duì)外提供服務(wù)，僅可向數(shù)據(jù)中心DMZ區(qū)域內(nèi)的服務(wù)器或設(shè)備提供服務(wù)。區(qū)域內(nèi)設(shè)備的端口分為公共服務(wù)端口、受限服務(wù)端口、內(nèi)部管理端口及臨時(shí)服務(wù)端口等4種類型。高安全保障等級(jí)DMZ區(qū)域內(nèi)的設(shè)備的所有端口缺省為內(nèi)部管理端口，申請(qǐng)通過后才能成為其他類型端口。第九條公共服務(wù)端口可被任何IP地址訪問。普通安全保障等級(jí)DMZ區(qū)域內(nèi)設(shè)備上的http（80）、https（443）端口為普通公共服務(wù)端口，只需要完成網(wǎng)站備案無須其他申請(qǐng)即可被任何IP地址訪問。普通安全保障等級(jí)DMZ區(qū)域設(shè)備上其他端口原則上不能成為公共服務(wù)端口。第十條受限服務(wù)端口僅限校內(nèi)IP地址訪問。普通安全保障等級(jí)DMZ區(qū)域內(nèi)設(shè)備的受限服務(wù)端口為ftp（21）、telnet（23）、ssh（22）、mysql（3306）、ms-sql-s（1433）、remote-desktop（3389）。受限服務(wù)端口如需校外訪問，需經(jīng)信管處審批，限定IP，限定開放期限。第十一條內(nèi)部管理端口不對(duì)外開放訪問，僅限于通過數(shù)據(jù)中心VPN服務(wù)進(jìn)行訪問。數(shù)據(jù)中心VPN賬號(hào)的申請(qǐng)人必須為本校教職工和學(xué)生。校外單位（廠家或服務(wù)商等）因工作需要可通過本校有資格的申請(qǐng)人申請(qǐng)VPN賬號(hào)。本校申請(qǐng)人需要提供本人工號(hào)（或?qū)W號(hào)）、需要管理的服務(wù)服務(wù)器或設(shè)備信息、聯(lián)系電話及郵件地址、即時(shí)通訊ID，及使用期限。VPN賬號(hào)最長(zhǎng)有效期為三個(gè)月（到期后可延期）。在申請(qǐng)審批通過后才可發(fā)放數(shù)據(jù)中心VPN賬號(hào)。第十二條臨時(shí)服務(wù)端口僅限特定IP地址在一定期限內(nèi)進(jìn)行訪問。臨時(shí)服務(wù)端口的服務(wù)期限最長(zhǎng)為一個(gè)月，期滿可申請(qǐng)延續(xù)。第十三條數(shù)據(jù)中心機(jī)房?jī)?nèi)服務(wù)器或設(shè)備的負(fù)責(zé)人，必須根據(jù)信息安全等級(jí)保護(hù)及國(guó)家法律規(guī)定的網(wǎng)站備案要求，如實(shí)申報(bào)網(wǎng)絡(luò)服務(wù)端口（以下簡(jiǎn)稱“端口”）的用途、服務(wù)對(duì)象或使用人等資料。對(duì)于不實(shí)申報(bào)的，一經(jīng)發(fā)現(xiàn)將立即取消所有訪問權(quán)限，并作為重大安全隱患進(jìn)行通報(bào)；對(duì)造成信息安全事故的，按有關(guān)規(guī)定追究相關(guān)人員責(zé)任。第十四條原則上，防火墻不為受限服務(wù)端口設(shè)置其他管理規(guī)則。如果DMZ區(qū)域內(nèi)設(shè)備需要進(jìn)一步限制訪問的，應(yīng)在設(shè)備上自行配置限制規(guī)則。第十五條信息與網(wǎng)絡(luò)管理處將定期（每月不少于1次）對(duì)公共服務(wù)端口、受限服務(wù)端口、臨時(shí)服務(wù)端口進(jìn)行掃描，以確保及時(shí)發(fā)現(xiàn)