1.

概述与合同准备清单

- 明确目标：写明用途（网站/业务系统/备份），预计带宽与安全等级。
- 收集资料：提供方名称、数据中心地点（菲律宾具体城市/机房）、技术联系人和SLA模板。
- 步骤：A. 列出必需条款清单；B. 指定合规要求（如PDPA或行业标准）；C. 指定测试与验收时间窗口。

2.

带宽、流量与QoS条款的具体约定

- 指标写法：在合同中写明承诺带宽（例如100Mbps committed）、峰值突发值及计费口径。
- 超额与计费：明确超流量计费公式（每GB多少美元或包月封顶），以及是否自动限速。
- 操作步骤：A. 要求提供商开通测试账号；B. 在测试期用iperf3做持续10分钟带宽测试并截图；C. 要求提供历史带宽利用曲线。

3.

IP与路由责任、反向解析与黑名单处理

- IP归属：合同里写明IP池归属与退租时的回收规则。
- PTR与公告：要求提供商在租用时同步配置PTR记录并在需要时提供WHOIS和RIR记录证明。
- 处理流程：A. 指定黑名单/异常流量通知流程和响应时间（例如1小时内响应）；B. 要求提供清单并规定解除黑名单的配合步骤。

4.

DDoS防护与WAF服务条款细化

- 容量与门槛：写明防护峰值（例如自动清洗100Gbps）和触发阈值（如每秒连接数）。
- 响应与报告：规定检测到攻击后的响应时间（例如15分钟内启动清洗）和事后报告内容。
- 测试步骤：A. 与供应商预约清洗测试窗口；B. 在其监控下进行低强度模拟并记录告警与处置时间；C. 获取清洗前后流量日志。

5.

数据加密、备份与日志保留要求

- 传输/存储加密：合同写明TLS版本、默认启用全盘加密或KMS管理需求。
- 备份策略：明确备份频率（每日/每周）、保留期（30/90/365天）、是否跨区备份。
- 操作步骤：A. 要求演示恢复流程并做一次完整恢复测试；B. 获取备份校验报告与备份日志存取路径。

6.

入侵检测、漏洞响应与信息安全审计条款

- IDS/IPS与补丁：写明是否包含托管IDS/IPS、漏洞扫描频率与补丁窗口。
- 通知与责任：规定安全事件通报时间（如24小时内）和双方责任分界线（应用层 vs 基础设施）。
- 实施步骤：A. 列出允许的安全扫描时间窗口并签署测试白名单；B. 要求每季度审计报告并保留至少12个月日志。

7.

SLA、运维与应急响应流程细化

- 可用率与赔偿：合同写明月度可用率（例如99.95%）与违约赔偿计算方式。
- 工单与升级路线：明确支持时间（工作日/7x24）、响应级别（P1/P2）及联系方式。
- 验证步骤：A. 提交标准P1工单并记录首次响应时间；B. 定期进行桌面演练，验证升级链路。

8.

验收前的实操检查清单（逐项执行）

- 网络测试：1) 使用traceroute/ MTR 检测到目标机房的路径并保存结果；2) 用iperf3做多时段带宽测试并截图；3) 通过speedtest或HTTP下载测延迟与吞吐。
- 安全测试：1) 与供应商书面约定后进行被授权的渗透/扫描；2) 协同进行一次低风险DDoS演练并获取清洗日志。
- 文档交付：要求供应商提供配置导出、操作手册、SLA CSV记录及按步骤验收签字页。

9.

问：如何在合同里明确DDoS赔偿与测试权限？

10.

答：在合同中写明清洗容量/触发阈值、响应SLA（例如15分钟启动）、事后报告时限，并约定年度或入网前的演练窗口以及演练免责条款；同时约定因服务方未按SLA处置导致的赔偿计算方法（按小时/按月账单比例）。

11.

问：如何验证提供商的IP和路由声明属实？

12.

答：要求提供RIR分配证据、BGP公告截图或路由器日志；在签约前用全球looking glass或bgp.he.net查询前缀宣告；并在验收期执行从主要访问点的traceroute与反向解析验证PTR正确。

13.

问：如果要保证数据合规与跨境传输如何约定？

14.

答：在合同中明确数据驻留地、适用法律（如菲律宾PDPA）、加密与KMS责任、数据访问权限审计、以及发生数据泄露时的通知与补救时限；若需跨境传输，写明接收方合规证明与加密传输要求。

来源：菲律宾云服务器租用 网络与安全服务在租用合同中的约定要点