为规范我院虚拟、托管服务器网段的安全管理,共建安 全的校园网络环境,特制定本管理办法。
第一条 服务器端口申报规定
服务器所属部门必须如实申报服务器所有网络服务监听端口(以下简称“端口”),提供端口用途、服务对象或使用人员等信息。未获批准,不能开放端口访问。
第二条 服务器端口管理办法
根据信息系统安全等级保护的要求,端口开放及权限控制必须基于最小配置及最小权限原则。因此,各单位服务器除已申报且获批准开放的端口,其余端口将在网络与计算中 心防火墙中关闭。
网络与计算中心将定期(每周不少于1次)对服务器端口进行扫描,以确保及时发现安全漏洞及隐患。一旦发现高危漏洞,首次将通知服务器管理员进行修复,若再次扫描发 现漏洞未修复的,端口将封锁,直至漏洞修复为止。
第三条 服务器端口分类与开放原则
服务器端口分为公共服务端口、特殊公共服务端口、受限服务端口及临时服务端口4种类型。
公共服务端口可被任何IP地址访问。http(80)、https
(443)或其它提供www服务的端口为普通公共服务端口,可被任何IP地址访问。
若需向外提供非www服务的服务器须申请特殊公共服务端口,通过审批后才能被任何IP地址访问。
受限服务端口仅限校内IP地址访问。受限服务端口包括ftp(21、20)、telnet(23)、ssh(22)、mysql(3306)、ms-sql-s(1433)和remote-desktop(3389)。受限服务端口在特殊情况下可申请成为特殊受限服务端口,除允许校内IP地址访问外,也可允许校外特定IP地址访问。临时服务端口仅限特定IP地址在一定期限内进行访问。临时服务端口的服务期限最长为一个月,期满可申请延续。
