IT审计关注点香港服务器不备案合法带来的审计风险清单

1

一、总体概述：为什么香港服务器不备案会被IT审计关注

- 香港服务器通常不需要大陆ICP备案，但在跨境服务、面向中国大陆用户或含有敏感数据时，审计会重点审查合规性。
- 审计关注点包括数据主权、跨境传输合同、第三方服务商合规证明与应急响应流程。
- 评估范围还包括网络边界防护（防火墙、WAF）、访问控制（SSH密钥、RDP策略）与日志完整性。
- 技术审计会核对服务器配置（操作系统版本、补丁状态、TLS配置），以及应用层CDN和DDoS防御能力。
- 若组织在大陆有业务线，审计还会核实是否存在内容分发或DNS解析回落到大陆节点的行为，这可能触发监管关注。
- 建议：形成书面风险评估与减缓清单，明确跨境数据流并备齐合同与法律意见书以备审计。

2

二、网络与边界防护风险清单（技术项）

- 防火墙规则过宽：常见问题为开放0.0.0.0/0的管理端口（22/3389），审计视为高风险。
- DDoS防护能力不足：示例数据 — 边缘带宽1Gbps，已启用云厂商免费防护仅10Gbps清洗阈值，若遭遇50Gbps攻击将无法完全缓解。
- CDN与DNS冗余不足：单一DNS供应商或未启用Anycast会降低可用性；审计会要求多供应商与健康检查策略。
- 加密传输缺陷：如未强制TLS1.2+或证书管理混乱（多域名证书过期），属于中高风险。
- 日志与监控缺失：审计要求至少保留90天访问/防护日志并实现告警链路（邮件+Webhook+电话）。
- 建议技术控制：最小权限、防火墙默认拒绝、WAF策略、流量清洗阈值设置与日志不可篡改存储（例如S3或COS带版本）。

3

三、身份与访问管理（IAM）与运维审计点

- SSH/密钥管理：是否使用集中密钥管理（例如Vault、AWS KMS）并禁用密码登录。审计检查密钥轮换周期（建议90天）。
- 管理员账户与审计链：是否存在共享账号，是否开启多因子认证（MFA）以防止凭证泄露。
- 变更管理记录：每次系统、网络或软件变更需有工单与审批记录，审计通常抽查30天内的变更记录。
- 备份与恢复演练：是否有定期演练（建议季度）并记录恢复时间目标（RTO）与恢复点目标（RPO）。
- 运维自动化与最小权限：使用配置管理工具（Ansible/Chef/Puppet）并限制凭据访问，审计会检查自动化脚本是否存储敏感信息。
- 建议：实施集中日志（ELK/Graylog）与IAM审计链，保留操作审计并启用MFA与密钥周期规则。

4

四、域名、CDN与业务可用性审计风险表（量化示例）

- 审计将关注域名WHOIS信息、注册合同、以及SSL证书签发记录；域名与证书不一致会被记为控制缺陷。
- CDN策略审计：是否启用按路径缓存、是否配置了客户端缓存头（Cache-Control, Expires），是否存在回源暴露源站IP的情形。
- 可用性与SLA：是否有SLA证据（例如99.9%可用性）与赔偿条款；审计可能要求服务商提供历史可用性报告。
- 下表示例性风险量化（居中表格，边框1px，文字居中）：

风险项	可能性	影响等级	缓解措施
DDoS超清洗能力	高	严重(5/5)	升级至云厂商30Gbps清洗或接入三方流量清洗
源站IP泄露	中	中(3/5)	启用WAF+回源白名单，隐藏源站
证书或域名到期	中	低(2/5)	实现证书自动续签与监控

5

五、真实案例说明（供审计引用）

- 案例A（电商平台）：某公司将促销站点部署在香港VPS，未与云服务商签署明确跨境数据及DDoS SLA。遭遇30Gbps攻击时，边缘仅能清洗10Gbps，导致主站下线4小时，审计发现缺乏合同与应急演练记录。
- 案例B（SaaS服务）：开发团队将测试数据库备份放在香港主机且未加密，审计发现备份通过FTP传输并未启用TLS，触发高风险整改项并要求立即加密与更换传输方式。
- 案例C（媒体网站）：使用单一DNS且证书使用个人邮箱注册，审计时域名管理员无法提供公司授权信，导致域名管理控制被判定为不合规。
- 教训：在审计前准备好合同、日志、证书记录、恢复演练报告与技术配置快照（配置管理清单）。
- 建议：引入第三方合规意见书并在审计期间提供独立可验证的证据链。

6

六、服务器配置与示例（具体配置数据）

- 示例服务器配置（生产源站）：4 vCPU / 8 GB RAM / 200 GB NVMe / Ubuntu 20.04 LTS；网络：1 Gbps共享带宽，带宽峰值计费。
- 安全相关配置示例：防火墙（iptables/nftables）仅开放80/443，管理端口22仅允许白名单IP；UFW示例规则：默认拒绝入站，允许出站与443/80。
- TLS与证书示例：TLS1.2+、证书由受信任CA签发（有效期1年，启用OCSP Stapling）；自动续签使用certbot定时任务。
- 备份策略示例：增量+全量混合，RPO=4小时、RTO=2小时，备份存储在香港与新加坡多区域。
- DDoS防护参数示例：启用云WAF、流量清洗阈值30Gbps、连接数阈值500k、设置速率限制与地理封锁策略。

7

七、审计准备清单与整改优先级建议

- 证据材料：服务供应商合同、SLA、数据流向图、域名与证书记录、运维与变更工单。
- 技术证明：防火墙规则导出、WAF策略截图、流量清洗报告、日志导出（至少最近90天）。
- 风险优先级：将DDoS清洗能力、源站暴露、账号共享、未加密数据与缺失合同列为高优先级整改项。
- 快速整改建议：临时启用云厂商提升清洗带宽、封锁管理端口、启用TLS并对敏感数据加密、补齐合同与法律意见。
- 长期改进：建立跨境数据治理框架、定期渗透测试、实施灾备演练与持续合规监控。

来源：IT审计关注点香港服务器不备案合法带来的审计风险清单