一、基础网络安全配置
检查项
检查内容
合规标准
未合规风险
公网访问控制
- 仅对外开放必要端口(80/443 / 业务 API 端口),禁用 22/3306/6379 等端口公网访问;2. 安全组规则仅允许指定 IP 段访问(如办公网 IP)
安全组入站规则遵循 "最小权限",无 0.0.0.0/0 开放高危端口
黑客暴力破解、端口扫描攻击
负载均衡(ELB)配置 - 开启 ELB 健康检查,剔除异常后端节点;>2. 配置会话保持(如需),启用 HTTPS 监听(禁用 HTTP);. 开启 ELB 的 DDoS 基础防护
- HTTPS 采用 TLS 1.2+,配置合规证书;2. 无 HTTP 明文传输
流量劫持、中间人攻击、后端节点异常导致服务不可用
WAF 配置 - 已启用华为云 WAF,关联目标域名 / ELB;. 开启 SQL 注入、XSS、命令注入等核心防护规则;>3. 配置自定义防护规则(如业务特有接口防护)
- WAF 处于 "防护模式"(非观察模式);. 未屏蔽合法测试 / 业务流量
Web 应用层漏洞被利用(如注入、XSS)
DDoS 防护 - 启用华为云 DDoS 高防(按业务规模选择版本);2. 配置流量清洗阈值,设置告警通知
- 防护带宽匹配业务峰值流量;2. 已设置 DDoS 攻击告警
大流量 DDoS 攻击导致服务瘫痪
二、计算资源安全(ECS/K8s)
检查项
检查内容
合规标准
未合规风险
ECS 实例安全
- ECS 操作系统(如 CentOS、Ubuntu)已更新最新安全补丁;>2. 禁用 root 账户 SSH 登录,创建低权限运维账户;>3. SSH 密钥登录启用,禁用密码登录;4. 未安装无用软件 / 中间件,关闭不必要服务
- 无高危系统漏洞(如 CVE-2021-4034);2. 运维账户密码复杂度符合要求(8 位以上含大小写 + 符号)
暴力破解获取 ECS 控制权、系统漏洞被远程利用
K8s 集群安全 - 启用 K8s RBAC 权限控制,未使用集群管理员账户部署应用;2. 禁止 Pod 使用privileged特权模式;>3. 配置 Pod Security Context(如禁止 root 用户运行容器);4. 启用 K8s 审计日志,监控异常 API 操作;5. 容器镜像来自可信仓库,已扫描漏洞(无高危漏洞)
- 无未授权访问 K8s API Server 风险;2. 容器无法逃逸至宿主机;3. 镜像无 Critical 级漏洞
容器逃逸、K8s 集群被接管、恶意镜像植入后门
容器网络安全 - 配置 K8s Network Policy,限制 Pod 间通信(仅允许必要服务访问);>2. 禁用 Pod 共享宿主机网络命名空间
- Pod 隔离策略生效;2. 无 Pod 间越权访问风险
恶意 Pod 横向渗透其他业务 Pod
三、数据存储安全(RDS/Redis/OBS)
检查项
检查内容
合规标准
未合规风险
RDS 数据库安全
- 禁用 RDS 公网访问,仅允许 ECS/K8s 内网连接;2. 开启 RDS 审计日志,记录所有 SQL 操作;. 数据库账户遵循最小权限(如应用账户仅拥有 SELECT/INSERT 权限); 已设置数据库定期备份(至少每日 1 次,保留 7 天以上);5. 开启 RDS 加密(存储加密 + 传输加密)
- 无公网 IP 暴露,无弱口令账户;2. 备份文件加密存储,可正常恢复
数据库被未授权访问、数据泄露、数据丢失无法恢复
Redis 缓存安全 - 绑定内网 IP,禁用公网访问;>2. 设置 Redis 访问密码(复杂度≥12 位);3. 禁用config/flushall等危险命令;>4. 开启 Redis 传输加密(TLS)
- 无未授权访问风险;2. 危险命令无法执行
Redis 被劫持用于挖矿、数据被篡改 / 删除
OBS 对象存储安全 - OBS 存储桶设置为 "私有访问",未配置公共读 / 写权限;>2. 启用 OBS 访问日志,记录所有访问操作;3. 敏感文件(如配置文件、备份)已加密存储;>4. 配置 OBS 跨域访问规则(CORS),仅允许指定域名访问
- 无匿名访问 OBS 桶的权限;2. 跨域规则未过度开放(如不允许 * 所有域名)
存储桶数据泄露(如用户信息、业务数据)、恶意文件上传
四、身份认证与权限安全(IAM)
检查项
检查内容
合规标准
未合规风险
IAM 用户安全
- 每个运维人员使用独立 IAM 用户,未共用账户; 启用 IAM 用户多因素认证(MFA);3. 密码复杂度符合要求(定期更换,如 90 天);. 禁用长期未使用的 IAM 用户
- 无共享账户 / 弱口令;2. 高危操作需二次验证
IAM 账户被盗,导致云资源被篡改 / 删除
权限策略安全 - IAM 用户 / 角色权限遵循 "最小权限"(如开发人员无 ECS 删除权限);2. 未分配AdministratorAccess等超级权限给普通用户;. 临时权限(如临时运维)设置有效期
- 权限范围与用户职责匹配;2. 无过度授权情况
权限滥用、数据泄露(如普通用户访问敏感存储桶)
访问密钥安全 - 定期轮换 IAM 用户访问密钥(如每 90 天);2. 未在代码 / 配置文件中硬编码访问密钥;3. 禁用泄露的访问密钥
- 密钥无长期未轮换情况;. 无密钥泄露风险
访问密钥被窃取,云资源被非法操作
五、应用与中间件安全
检查项
检查内容
合规标准
未合规风险
中间件安全配置
- Nginx/Tomcat/Jetty 等中间件已更新至稳定版本(无高危漏洞);2. 隐藏中间件版本号(如 Nginx 禁用Server响应头);3. 禁用中间件默认页面 / 管理后台(如 Tomcat 的/manager/html)
- 无已知高危漏洞(如 Tomcat CVE-2023-46589);>2. 未暴露中间件敏感信息
中间件漏洞被利用(如远程代码执行)、默认后台被未授权访问
应用配置安全 - 应用程序已禁用调试模式(如 SpringBoot 的debug=false);2. 敏感配置(如数据库密码、API 密钥)存储在华为云 Secrets Manager,而非配置文件;3. 未在日志中打印敏感信息(如用户密码、手机号)
- 无调试信息泄露;2. 敏感信息未明文存储 / 打印
配置泄露、日志泄露导致敏感数据被窃取
HTTPS 配置安全 - 全站启用 HTTPS,禁用 HTTP(或 HTTP 自动跳转 HTTPS);. 配置 HSTS 响应头(Strict-Transport-Security);3. 禁用不安全的 TLS 协议(如 TLS 1.0/1.1),仅启用 TLS 1.2+
- 无明文传输风险;. 符合 HTTPS 安全规范
流量劫持、中间人攻击、敏感数据传输泄露
六、安全监控与审计
检查项
检查内容
合规标准
未合规风险
日志审计配置
- 启用华为云 ActionTrail,记录所有云资源操作日志;2. RDS/Redis/OBS 等核心资源的访问日志已开启; 日志保留时间≥30 天,支持追溯
- 日志完整覆盖核心操作;>2. 日志未被篡改
安全事件无法追溯、攻击行为未被发现
告警配置 - 配置关键安全告警(如异常登录、权限变更、DDoS 攻击、OBS 匿名访问);2. 告警方式已设置(短信 / 邮件 / 企业微信),确保运维人员及时接收
- 无遗漏关键告警场景;2. 告警响应时间≤15 分钟
安全事件未及时发现,导致损失扩大
安全态势感知 - 启用华为云安全中心(态势感知),监控云资源漏洞、异常行为;2. 定期查看安全中心风险告警,及时处理
- 安全中心已关联所有核心资源;2. 高危告警处理率 100%
未发现隐藏风险(如未修复的漏洞、异常访问行为)
检查说明
检查方式:结合华为云控制台(IAM/ECS/RDS/K8s 等服务页面)+ 命令行工具(如nmap扫描端口、curl验证 HTTPS 配置)+ 安全中心告警排查。
优先级:标记 "高危" 的检查项(如公网开放高危端口、RDS 未加密、IAM 弱口令)需优先整改,整改完成后方可上线。
复查周期:上线前全量检查,上线后每月抽查核心项(如权限配置、日志审计),每季度全量复查。