OS安全

端口安全、账户安全、漏洞扫描、入侵检测、最小服务集合、日志审计。

这里面给大家说一下最小服务集合，我们经常会遇到windows服务器或者Linux服务器，它默认会带很多服务，比如说dhcp服务可能不需要，就不要把这些服务提起来。

再就是日志审计，如果服务器受到入侵，黑客会想尽办法去抹除日志，让你查不到行踪，不知道他干了什么事情。所以日志审计一定要有，还要备份相应的时间，再就是审计日志不能删除。

软件安全

最小集合原则、阉割的系统更安全。

为什么阉割的系统更安全？就像最小服务集合一样，我们把一些常用的，容易出漏洞的一些问题规避掉，比如说windows里面不放cmd、command这种命令，那你想入侵的时候就没有办法指定命令行，这时候就会相对安全一些。他猜得透系统的密码，但是猜不透系统里面有什么。

Web中间件安全

修改默认端口，提高入侵门槛，阻止低端扫描。

默认端口大家都知道，只要经过一个Nmap的扫描，就能扫描到这台服务器开了一些什么端口，一打一个准。但是你把端口改了之后，他就需要去猜，这个端口到底是干什么的？比如说我就把数据库故意放到网络端，放到80，让他猜去吧。

DB安全

修改默认端口，补丁及时更新，定期日志审计、备份安全。

DB安全里面备份安全很重要，sever安全检测层面上更要去强调备份，服务器是属于硬件，即使是云服务器，也很难说哪天会突然坏掉，坏了之后就需要把这些安全策略重新构建一遍，如果没有备份，这些安全策略就需要手工去加，特别繁琐，还容易遗漏。

缓存服务安全

性能监控，只开放服务端口，管理端口禁止开放。

现在很多云服务器都被挂了一些叫“挖矿”的木马，原因就是开放了一些默认端口、管理端口之类的，把这些缓存服务管理端口禁止开放，只开放服务端口，加强性能监控，一旦服务器出现异常的性能问题，一般来说它可能出现安全问题。性能和安全是相伴出现的，批量扫描、批量攻击肯定会导致性能突然间就飙上去了。

云主机业务隔离、网络隔离、数据隔离。

这个是很多大公司都在做的，用了几千台几万台云服务器，每个业务、每个数据、每个网络都需要去隔离的，否则就会出现服务器云安全级别的雪崩。