常用下载

当前时间:

长安大学数据中心机房安全管理办法(试行)

发布者:张鲁发布时间:2020-11-16浏览次数:584

第一章 物理安全

第一条 数据中心机房工作人员刷卡出入机房,并进行登记。

第二条 外单位维护人员需要进入机房工作的,需首先填写登记表,并在机房工作人员陪同下进入机房,进入机房应遵守机房管理制度听从机房工作人员指导。严禁其他人员进入机房。

第三条 进入机房不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品。机房内严禁吸烟、喝水、吃食物、嬉戏和进行剧烈运动,保持机房安静。操作人员注意保持机房整洁,操作结束后整理好有关工具和配件。

第四条 非数据中心工作人员不得接触和操作数据中心机房内任何设备、设施。严禁外来信息载体(如USB便携硬盘)带入机房,未经允许不准将机器设备和数据带出机房。

第五条 对应用系统的维护、增删、配置的更改,以及硬件设备设备的添加、更换必需经系统负责人批准后方可进行。数据中心内关键设备的操作实行双人作业制度,严格按照预制操作流程进行。有关过程必须按规定进行详细登记和记录,对各类软件、现场资料、档案整理存档。

第六条 设备管理员随时监控机房设备运行状况,发现异常情况应立即按照预案规程进行操作,并及时上报和详细记录。值班人员每天巡查数据中心机房,检查数据中心环境支撑设施运行状况。定期对机房内设置的消防器材、监控设备进行检查,以保证其有效性。


第二章 网络安全

第七条 数据中心机房配备网络防火墙,用于保护生产运行的服务器及相关设备、信息系统免受非法访问,防范网络攻击。根据信息系统安全等级保护的要求,端口开放及权限控制基于最小配置及最小权限原则,即除系统服务必须开放的网络端口外,其它端口一律关闭。

第八条 数据中心内的服务器、设备及信息系统,根据系统安全保护等级、系统服务范围等不同情况,实行安全分区管理。数据中心防火墙DMZ区域内服务器或设备(以下简称“DMZ区域内设备”)可以对外提供服务,可相应设置外部访问规则;数据中心防火墙内部私有区域服务器或设备不可对外提供服务,仅可向数据中心DMZ区域内的服务器或设备提供服务。区域内设备的端口分为公共服务端口、受限服务端口、内部管理端口及临时服务端口等4种类型。高安全保障等级DMZ区域内的设备的所有端口缺省为内部管理端口,申请通过后才能成为其他类型端口。

第九条 公共服务端口可被任何IP地址访问。普通安全保障等级DMZ区域内设备上的http(80)、https(443)端口为普通公共服务端口,只需要完成网站备案无须其他申请即可被任何IP地址访问。普通安全保障等级DMZ区域设备上其他端口原则上不能成为公共服务端口。

第十条 受限服务端口仅限校内IP地址访问。普通安全保障等级DMZ区域内设备的受限服务端口为ftp(21)、telnet(23)、ssh(22)、mysql(3306)、ms-sql-s(1433)、remote-desktop(3389)。受限服务端口如需校外访问,需经信管处审批,限定IP,限定开放期限。

第十一条 内部管理端口不对外开放访问,仅限于通过数据中心VPN服务进行访问。数据中心VPN账号的申请人必须为本校教职工和学生。校外单位(厂家或服务商等)因工作需要可通过本校有资格的申请人申请VPN账号。本校申请人需要提供本人工号(或学号)、需要管理的服务服务器或设备信息、联系电话及邮件地址、即时通讯ID,及使用期限。VPN账号最长有效期为三个月(到期后可延期)。在申请审批通过后才可发放数据中心VPN账号。

第十二条 临时服务端口仅限特定IP地址在一定期限内进行访问。临时服务端口的服务期限最长为一个月,期满可申请延续。

第十三条 数据中心机房内服务器或设备的负责人,必须根据信息安全等级保护及国家法律规定的网站备案要求,如实申报网络服务端口(以下简称“端口”)的用途、服务对象或使用人等资料。对于不实申报的,一经发现将立即取消所有访问权限,并作为重大安全隐患进行通报;对造成信息安全事故的,按有关规定追究相关人员责任。

第十四条 原则上,防火墙不为受限服务端口设置其他管理规则。如果DMZ区域内设备需要进一步限制访问的,应在设备上自行配置限制规则。

第十五条 信息与网络管理处将定期(每月不少于1次)对公共服务端口、受限服务端口、临时服务端口进行扫描,以确保及时发现安全漏洞及隐患。一旦发现高危漏洞,端口类型将转为内部管理端口,限制网络访问,而无需事先通知(仅封锁后通知),直至漏洞修复。

第十六条 本办法由信息与网络管理处负责解释,自发布之日起施行。


关闭