1.
- 遵守《个人资料(私隐)条例》(PDPO),涉及客户个人信息保存、处理与跨境传输的合规流程。
- 提供者应明确隐私政策、数据保留期与处置机制(建议默认保留期:24个月或按客户合同)。
- 电信及网络服务提供者需关注牌照与监管要求,了解是否涉及传播监管或内容审查义务。
- 日志保留要求:关键安全日志至少保存90天,异常事件日志保留至少1年以备审计。
- 合同中应包含SLA(建议至少99.95%)、责任划分、数据泄露通知时限(建议不超过72小时)。
2.
机房物理安全与基础设施要求
- 访问控制:实施多因素门禁(门禁卡+指纹/面部识别),敏感操作需双人核准并记录。
- 监控与记录:机房需覆盖全时段录像(建议不少于90天循环存储),并对关键事件建档。
- 电力与冷却:双路市电供电、N+1或2N冗余UPS与柴油发电机,环境温湿度监控并告警。
- 防火与排烟:自动气体灭火系统(如FM200或IG-541),烟感联动并支持远程告警。
- 设备上架与资产管理:所有托管设备须有机架编号、资产标签与维护记录,定期巡检周期建议30天一次。
3.
网络架构、BGP与带宽策略
- BGP与多线接入:建议使用至少2条不同ISP的上游(BGP冗余)以降低单点故障风险。
- IPv4/IPv6:提供商应支持IPv6原生路由并准备/64或更大前缀;IPv4按需分配(示例:/29段或按IP数计费)。
- 带宽与计费:常见托管节点端口为1 Gbps独享口,峰值计费或95峰值计费模型需在合同中明确。
- 延迟与抖动:目标内部网络延迟<5ms(香港本地),跨境至中国大陆中转延迟视线路约30–80ms。
- SLA与包丢失:提供商应承诺网络可用性(例:99.95%),并提供链路丢包/延迟监控指标。
4.
DDoS防御、CDN与应用层防护策略
- 清洗能力:托管方或其上游应提供清洗(scrubbing)能力,建议至少200Gbps的总清洗能力或接入云厂商防护。
- Anycast CDN:推荐与Anycast CDN结合,静态内容通过边缘缓存分担源站压力,降低源站带宽消耗。
- WAF与速率限制:配置WAF规则与IP/URI速率限制,阻止常见HTTP应用层攻击与漏洞利用。
- 黑洞与白名单策略:建立自动化触发策略(超阈值流量时临时限流或转向清洗节点),并保留白名单避免误伤关键节点。
- 演练与告警:定期DDoS演练并设定分级告警(INFO/WARNING/CRITICAL),确保运维在攻防发生时可在10分钟内响应。
5.
示例服务器配置与性能数据展示
- 下表为常见托管/租用VPS的配置样例,包含CPU、内存、存储、带宽与备份策略(示例数据仅供参考)。
| 配置项 |
示例值 |
| CPU |
8 cores @ 2.6 GHz (Intel Xeon) |
| 内存 |
32 GB DDR4 |
| 存储 |
1 TB NVMe SSD(RAID1/RAID10可选) |
| 网络 |
1 Gbps 专属端口,月流量含量5 TB |
| 公网IP |
2 x IPv4 (+ IPv6 /64) |
| 虚拟化 |
KVM / OpenVZ(推荐KVM) |
| 备份策略 |
增量每日,完整备份每周,保留14天 |
| SLA |
99.95% 可用性,网络故障4小时内响应 |
- 表中示例可根据业务峰值及预算上下浮动;高峰期(如电商促销)建议升级至10 Gbps或采用弹性带宽池。
6.
备份、监控与补丁管理的具体流程
- 备份计划:采用3-2-1原则(3份数据,2种介质,1份异地),关键数据库每日快照,文件系统采用增量备份。
- 恢复目标:定义RTO与RPO,示例:RTO=1小时,RPO=15分钟(高可用业务);普通网站RTO可设4小时、RPO=1小时。
- 自动化监控:使用Prometheus+Grafana或Zabbix监控CPU、内存、磁盘IO、网络吞吐与应用指标,并设阈值告警。
- 补丁与变更管理:内核/重要服务补丁窗口设定为周二凌晨,变更需经变更单审批并在预发布环境回归测试。
- 日志与SIEM:关键事件集中化到SIEM(例如ELK/Graylog+防篡改),实现实时关联检测并生成合规审计报表。
7.
域名、DNS与证书管理细则
- 域名注册与转移:域名注册信息需与合同一致,启用域名锁(Registrar Lock)并记录WHOIS授权邮箱与2FA。
- DNS冗余:至少两组不同地点的权威DNS服务器,TTL根据业务调整(静态内容可600s以上,活动期间500s以下)。
- DNSSEC与防劫持:对敏感域启用DNSSEC以防缓存投毒,结合监控检测突发解析异常。
- 证书自动化:推荐使用ACME(例如Let's Encrypt)自动签发与续签,生产环境建议官方机构或EV证书并启用OCSP Stapling。
- HSTS与安全头:在HTTPS部署中启用HSTS、Content-Security-Policy等安全头以防止中间人及XSS攻击。
8.
真实案例:香港电商DDoS事件与落地应对清单
- 事件概述:某香港电商在促销时段遭遇流量放大型DDoS,攻击峰值约120 Gbps,主要为UDP与SYN放大混合攻击。
- 应对措施:即时触发CDN降级并转向上游清洗,启用WAF速率限制并黑名单可疑源IP段,启动备用BGP线路分流。
- 结果与数据:经CDN+清洗后到达源站的恶意流量降低至原始峰值的8%(约9.6 Gbps),业务最大中断时间控制在12分钟内,总损失降到最低。
- 教训与改进:事件后将清洗容量从200Gbps提升至300Gbps,增加二条异地BGP线路并在SOP中加入30分钟内启动外部联动流程。
- 实施检查清单(落地步骤):1) 完成法律与SLA校准;2) 配置BGP双上游;3) 部署Anycast CDN与WAF;4) 制定备份恢复演练;5) 建立24/7应急联络与月度演练。
来源:技术运维手册 香港服务器托管的规定是什么需落实的安全措施