南昌大学数据中心对外开放端口使用规范

为了加强校园网运行和管理的规范性，维护校园网秩序，保障校园网安全稳定运行，网络与信息中心特制订此规范，南昌大学系统建设单位、外包厂商和个人需遵守此规范。

1.根据学校安全策略，默认情况下禁止外部访问数据中心服务器的所有端口。

2.对于需要对外提供服务的信息系统，可以申请开放系统中WEB服务器端口，默认为443，80端口。推荐使用443端口，我校同时提供数字证书（https）服务。如需开放其他端口优先使用8080-8090。

3.我校将网络分成互联网，校园网，数据中心内网等区域，申请对外端口需要指明开放区域，例如部分服务用户为校内师生，相关端口可以只针对校园网开放（师生在校外可以通过VPN）。

4.一个系统可能涉及多个服务器，这些服务器在数据中心能够互访，无法访问其他服务器。数据库、缓存、文件服务等端口需限制对接端的IP地址。

5.部分系统需要与外部系统进行对接，需要指定内部服务器IP地址和端口、外部服务器的IP地址和端口、端口类型（TCP，UDP）并明确说明对接用途。

6.严禁申请开放高权限、高危端口，例如22、3389、3306、1433、1521等。严禁数据传输端口到互联网，严禁开放校内业务数据传输端口到校园网和互联网。如果需要开启，需要单独申请，并说明原因。

7.网络与信息中心将不定期检查已申请开放端口的服务器所提供的服务以及采取的安全措施，若不符合此规范的要求，将随时中断其网络服务。

8.网络与信息中心每年将对已开放端口服务器进行核查，对于已停止服务的服务器，将关闭其已开放的端口。

9.申请开放端口时必须声明所对外提供的服务，禁止对外提供声明外的其他服务。

10.禁止开设匿名代理类服务，对所提供的服务必须使用安全可靠的身份鉴别机制，非授权用户不得使用所提供的服务，不得为校外用户提供代理类服务。

11.服务系统应配备具有日志记录功能的软件。所有规定需要记录的日志信息，必须保证保存180天以上，出现问题随时可追溯。

12.申请单位承担因违规使用端口造成的网络安全事件相关责任。

凡部署在我校校园网数中心的服务器自分配IP地址之日起需遵守此规范。此规范自2024年7月30日起实施，相关解释权归南昌大学网络与信息中心。

2024年7月30日

网络与信息中心