中山大学校园网边界网络端口管理规定

网络〔2014〕14号

        为规范校园网安全管理,共建安全的校园网络环境,根据《信息安全技术——信息系统安全等级保护基本要求》(GB/T 22239—2008)及ISO/IEC 27000系列标准,特制定本规定。
        本规定适合于中山大学数据中心及各校区托管服务器机房(以下简称“数据中心机房”)以外的校园网区域。数据中心机房内服务器或设备的端口管理执行《数据中心防火墙端口管理规定》。
        一、信息安全及保密管理
        1.校园网用户应遵守《中华人民共和国保守国家秘密法》、《计算机信息系统国际联网保密管理规定》等保密法律法规,校园网主机设备一律不得存放和处理涉及国家秘密信息,隐瞒不报或违反规定导致泄露国家秘密的,将自负法律责任。
        2.校园网用户应遵守《计算机信息网络国际联网安全保护管理办法》及《全国人民代表大会常务委员会关于加强网络信息保护的决定》等有关网络信息安全的法律法规,服务器提供的信息服务必须合法合规,不能用于收集或公开单位或个人敏感信息或受法律保护的信息,例如:帐号、密码、用户上网行为、涉及版权或知识产权的信息,更不能用于网络攻击及破解等行为。
        3.校园网用户有责任配合中心安全管理人员进行必要的安全审计检查,检查项目包含但不限于服务器安装的软件和服务、采取的安全防护措施等。中心将定期(一般每月一次)或不定期(如当业界公布重大安全漏洞时)对服务器进行远程安全风险评估。当发现有不合法、不合规或重大安全隐患情况时,中心将根据本规定先限制有关端口,再通知服务器管理人员整改,整改完成再恢复原端口。拒不整改者,终止接入校园网,并监督处理善后事宜。如托管方行为已涉嫌触犯国家法律法规的,将移交公安司法部门处理。
        二、备案管理
        校园网服务器对外提供的服务必须在中心登记备案,中心将根据有关规定向国家、省、市各级安全主管部门代办备案手续,服务器所在单位必须协助提供备案所需的资料及相关费用。中心将定期(一般半年一次)或不定期对服务器进行服务内容审计。当发现提供的服务内容超越备案范围或与备案事实不符的,中心将立即通知整改,多次未整改者将暂停服务器校园网接入,严重者终止校园网接入。
        三、基本端口管理
        4.中山大学校园网向用户提供网络接入服务,支撑用户从事学术、   研究和管理活动。校园网用户必须正确使用校园网服务,并遵守相关管理规定。未经申请与批准,校园网用户不得设立服务器对外提供服务。
        5.校园网边界部署网络防火墙等安全设备用于保护校园网内所有主机设备。校园网边界安全设备执行白名单策略,缺省情况下关闭所有校外IP地址主动发起的、对校园网内任何主机设备的访问。
        6.如工作需要设置服务器对外提供服务的,除具备人员和场所条件外,必须根据信息安全等级保护及国家法律规定的网站备案要求,如实申报网络服务端口(以下简称“端口”)的用途、服务对象或使用人等资料。服务器原则上仅限于教学、科研和学术相关用途,不得用于商业或盈利用途。
        7.根据信息系统安全等级保护的要求,网络端口开放及权限控制必须基于最小配置及最小权限原则。严格禁止为校园网内主机设备配置不受限制的端口访问规则(即,要严格禁止任何IP地址可访问该主机设备的任何端口的规则)。
        8.校园网内主机设备的端口分为公共服务端口、临时服务端口及内部端口等3种类型。公共服务端口适合于IPv4及IPv6的地址类型,而临时服务端口及内部端口仅适用于IPv4地址类型。
        9.校园网边界网络端口开放仅接受学校二级单位(以正式学校文件为准)申请,不接受其他团体和个人的申请。
        四、公共服务端口管理

        10.公共服务端口可被任何IP地址访问。http(80)、https(443)端口为普通公共服务端口,通过网站备案后可被任何IP地址访问。服务器或设备上的ftp(21)、ssh(22)、telnet(23)端口为特殊公共服务端口,须申请通过审批后才能被任何IP地址访问。校园网设备上其他端口原则上不能成为公共服务端口。
        11.原则上,不为公共服务端口设置其他管理规则。校园网内设备需要进一步限制访问的,应在设备上自行配置限制规则。
        五、临时服务端口管理规定
        12.临时服务端口仅限特定IP地址在一定期限内进行访问。临时服务端口的服务期限最长为一周,期满可申请延续,最多可续延一次。
        六、内部端口管理规定
        13.缺省情况下,校园网内主机设备的所有端口为内部端口,仅限校园网内访问。校园网用户在校外可通过学校提供的PPTP VPN或SSL VPN隧道接入方式访问。
        七、本规定由发布之日起执行。
        八、本规定由网络与信息技术中心负责解释。