1. 明确业务和安全需求
步骤:先列出业务流量峰值、防护等级(如≥100Gbps)、合规需求(如GDPR/韩国PIPA)和可用性(SLA%)。
小分段:1) 统计历史流量与峰值;2) 确定是否需要按流量计费或包月;3) 写成需求文档供供应商对接。
2. 供应商资质与口碑验证
步骤:验证公司营业执照、韩国本地实体、数据中心合作方及客户案例。
小分段:使用whois查域名、在LinkedIn/知乎/社区查口碑,要求供应商提供三家相似行业客户的联系方式做背调。
3. 机房与物理安全检查
步骤:确认机房等级、门禁、视频存档时长和消防系统。要求提供机房平面图与巡检报告。
小分段:询问是否有冗余电源、UPS和发电机、机柜锁类型与访客记录保存期。
4. 网络连通性与路由质量测试
步骤:向供应商索要测试IP,执行ping/traceroute及多点延迟测试。
小分段:命令示例:ping -c 10
;traceroute ;使用mtr或pingplotter进行连续测试,记录丢包与抖动。
5. BGP、ASN与反向路由检查
步骤:查询服务器IP所属ASN与路由公告稳定性。
小分段:使用bgp.he.net或whois查询ASN,检查是否存在频繁改路或被列入黑名单的历史。
6. DDoS防护能力与流程验证
步骤:要求供应商提供防护带宽、清洗策略、触发阈值和应急响应SOP。
小分段:询问是否提供在线清洗/转发、是否自动清洗以及演练频率;确认是否可提供攻击后流量报告。
7. 安全产品与日志保留策略
步骤:确认是否有WAF、IPS/IDS、流量审计与日志中心(SIEM)。
小分段:询问日志保留天数、导出方式(syslog/API)以及是否支持按需提供原始包抓取(pcap)。
8. 管理与访问控制实操检测
步骤:要求演示控制面板权限、API密钥创建与角色管理。
小分段:测试SSH登录方式:只允许密钥登录(ssh-keygen生成并上送公钥),禁用密码;启用2FA或IP白名单。
9. 操作系统与补丁管理
步骤:确认默认镜像、内核版本和补丁策略。要求提供最近补丁更新时间。
小分段:上线后执行 uname -a、cat /etc/os-release、sudo apt update && sudo apt list --upgradable 检查可升级项。
10. SSL/TLS 与证书管理
步骤:检测TLS配置与证书链完整性。
小分段:使用openssl s_client -connect host:443 -showcerts检查;或借助SSL Labs测试,要求支持TLS1.2/1.3并禁用弱加密套件。
11. 备份、快照与灾备恢复演练
步骤:确认备份频率、异地备份与恢复时间目标(RTO/RPO)。进行一次恢复演练并记录时间。
小分段:要求提供备份加密说明、备份保管地与是否支持业务一致性快照。
12. 合同、SLAs 与责任划分
步骤:明确可用性赔偿、数据保密条款、事故响应时间和取证支持。
小分段:加入Penetration test许可条款、日志交付和保留期、终止后数据销毁流程。
13. 上线前的安全验收测试清单
步骤:列出必做的验收项并实际执行:端口扫描、弱口令检测、WAF规则测试等。
小分段:使用nmap -sS -p- 扫描端口,使用Nikto或OWASP ZAP做Web扫描,记录并整改漏洞。
14. 日常运维与监控交接
步骤:确认告警渠道(邮件/SMS/电话/钉钉)和响应等级,导出监控接口。
小分段:配置Prometheus/Datadog或供应商提供的监控API,设定阈值并试触发告警。
15. 迁移与切换步骤
步骤:制定切换时间窗口、回滚计划、DNS低TTL设置与同步数据方法(rsync/数据库replica)。
小分段:演练切换:将TTL降低到60s,先切小流量验证,再全量切换,若异常立即回滚并记录原因。
16. 验证第三方合规与隐私要求
步骤:若处理个人信息,确认PIPA/GDPR要求、数据主权与跨境传输机制。
小分段:查看数据处理协议(DPA),要求供应商提供隐私影响评估(PIA)或合规证书。
17. 常见问题:供应商承诺与现实差异如何核查?
问题:如何验证供应商对外宣称的“100Gbps清洗”或“24/7响应”?
回答:要求历史攻击案例与原始流量/报告,签合同写入SLA并设置第三方审计或演练证明;同时在试用期内发起模拟(与供应商协商)验证响应。
18. 常见问题:上线后若被攻击如何快速处置?
问题:被大流量攻击时企业应立刻做什么?
回答:立即通知供应商触发清洗、开启临时流量转发或黑洞策略;并按预案启用备用IP/节点,开始流量与日志抓取供取证。
19. 常见问题:租用前的最终验收要点有哪些?
问题:签合同前最后必须确认的三项是?
回答:确认防护带宽与触发阈值、日志与数据保留与可导出性、以及合同中明确的SLA赔偿与取证支持流程。
来源:企业选择高硬防韩国服务器租用前的安全性核查清单