高防服务器安全加固Checklist清单目录

本清单涵盖防护架构、服务器配置、业务逻辑、运维管理4大核心维度，共20项关键检查点，可用于日常安全自查或定期加固验证。

 一、防护架构加固（5项）

1. 已通过CDN隐藏服务器真实IP，且域名解析仅指向CDN/高防IP，无公开场景泄露真实IP

2. 高防带宽配置≥日常业务峰值1.5倍，且已开启弹性防护功能应对突发攻击

3. 针对CC攻击配置访问频率限制（如单IP每分钟请求≤60次），核心接口已加人机验证

4. 部署WAF并开启SQL注入、XSS、命令注入等基础拦截规则，定期更新WAF防护策略

5. 核心业务已部署多区域高防节点，搭配负载均衡实现故障自动切换

 二、服务器配置加固（6项）

1. 仅开放业务必需端口（如80/443/3306），非必需端口（如21/23）已通过防火墙屏蔽

2. 操作系统（Windows Server/Linux）已安装近3个月内所有高危安全补丁

3. 服务器默认账号（如guest/root）已删除，管理员账号名称非“admin/root”等易猜名称

4. 所有账号使用“字母+数字+特殊符号”复杂密码（长度≥12位），远程登录开启双因素认证

5. 数据库（MySQL/Redis）仅允许内网访问，或通过IP白名单限制访问来源

6. 已卸载服务器上未使用的软件（如FTP/Telnet），禁用不必要的系统服务

 三、业务逻辑加固（4项）

1. 核心接口（如登录/支付/数据查询）已添加签名验证，防止伪造请求调用

2. 用户输入内容（表单/URL参数）已做过滤处理，禁止特殊字符直接传入系统

3. 用户密码采用BCrypt/SHA-256等不可逆加密存储，传输数据全程使用HTTPS协议

4. 敏感操作（异地登录/多次密码错误/大额支付）已配置风险控制（冻结/人工审核）

 四、运维管理加固（5项）

1. 已开启服务器/高防控制台实时监控，设置流量、负载、访问频率的阈值告警（短信/邮件）

2. 每周使用漏洞扫描工具（Nessus/OpenVAS）排查服务器已知漏洞，且漏洞修复率≥95%

3. 每季度完成1次第三方渗透测试，发现的隐藏漏洞已全部修复并验证

4. 运维人员仅在企业内网或加密网络环境远程登录服务器，操作日志留存≥6个月

5. 近3个月内已开展1次员工安全培训，覆盖钓鱼邮件识别、密码安全、漏洞上报流程

建议每两周对照本清单自查1次，每次检查后标注“已完成”“待修复”状态，待修复项需明确整改责任人及完成时间，确保安全加固措施落地。