适用对象

本文档适用于刚开始接触阿里云的个人或者中小企业用户。

定期备份数据

数据备份是容灾的基础，可以降低因系统故障、操作失误以及安全问题而导致数据丢失的风险。ECS自带的快照功能可满足大部分用户数据备份的需求。您可根据自身业务需求选择创建快照的方式。具体步骤请参见手动创建快照和执行或取消自动快照策略。

建议您每日创建一次自动快照，每次快照至少保留7天。养成良好的备份习惯，在故障发生时可以迅速恢复重要数据，减少损失。

合理设计安全域

您可以基于VPC专有网络，构建自定义专属网络，隔离企业内部不同安全级别的服务器，避免互通网络环境下受其他服务器影响。

建议您创建一个专有网络，选择自有 IP 地址范围、划分网段、配置路由表和网关等。然后将重要的数据存储在一个跟互联网网络完全隔离的内网环境，日常可以用弹性IP（EIP）或者跳板机的方式对数据进行管理。具体步骤请参见创建专有网络。

设置安全组规则

安全组是重要的网络安全隔离手段，用于设置单台或多台云服务器的网络访问控制。通过设置安全组规则，可以在网络层过滤服务器的主动/被动访问行为，限定服务器对外/对内的端口访问，授权访问地址，从而减少攻击面，保护服务器的安全。

例如：Linux系统默认远程管理端口22，不建议直接向外网开放，可以通过配置ECS公网访问控制，只授权本地固定IP对服务器进行访问。如果您对访问控制有更高要求，可以使用第三方VPN产品对登录行为进行数据加密。

增加口令复杂度

弱口令容易导致数据泄露，因为弱口令是最容易出现和最容易被利用的漏洞之一。因此建议服务器的登录口令至少设置8位以上，从字符种类上增加口令复杂度，如包含大小写字母、数字和特殊字符等，并且要不定时更新口令，养成良好的安全运维习惯。

保护服务器端口安全

服务器给互联网提供服务的同时会暴露对应的服务端口。从安全管理的角度来说，开启的服务端口越多，越不安全。建议只对外提供必要的服务端口，并修改常见端口为高端口（30000以后），再对提供服务的端口做访问控制。

例如：数据库服务尽量在内网环境使用，避免暴露在公网。如果必须要在公网访问，则需要修改默认连接端口3306为高端口，并根据业务授权可访问的客户端地址。

防护系统漏洞

系统漏洞问题是长期存在的安全风险，可以通过系统补丁程序，或者安骑士补丁修复。Windows系统需要一直开启补丁更新，Linux系统要设置定期任务，通过执行yum update -y来更新系统软件包及内核。安骑士如何修复漏洞，请参见安骑士补丁管理。

云盾旗下的安骑士产品具有识别并防御非法破解密码行为的功能，避免被黑客入侵，批量维护服务器安全。安骑士能针对服务器应用软件安全方面提供配置检测和修复方案，提高服务器安全强度。详细功能介绍请参见安骑士产品功能列表。

防护应用漏洞

应用漏洞是指针对Web应用、缓存、数据库、存储等服务，通过利用渗透攻击而非法获取数据的一种安全缺陷。常见应用漏洞包括：SQL注入、XSS跨站、Webshell上传、后门隔离保护、命令注入、非法HTTP协议请求、常见Web服务器漏洞攻击、核心文件非授权访问、路径穿越等。应用漏洞不同于系统漏洞，修复难度很大，需要在设计应用前就充分考虑应用安全基线问题。因此建议通过接入Web应用防火墙（Web Application Firewall，简称 WAF），来轻松应对各类Web应用攻击，确保网站的Web安全与可用性。如何部署并使用WAF，请参见Web应用防火墙。

收集安全风险信息

在互联网安全领域，安全工程师和黑客比拼的就是时间。云安全中心是一种基于大数据的安全服务，即在大规模云计算环境中，对可能引发网络安全威胁的要素进行全面、快速和准确地捕获和分析，然后将客户当前遇到的安全威胁与过去的威胁进行关联、回溯和大数据分析，最终预测未来可能发生的威胁安全的风险事件，并提供一个体系化的安全解决方案。详细信息请参见快速掌握ECS安全态势。

所以，技术人员除了在做好日常安全运维的同时，还要掌握全面的信息，提升预警能力，在发现安全问题后可以及时修复和处理，真正保证云服务器ECS的数据安全闭环。