security / compliance

安全与合规

多租户隔离、身份与密钥管理、内容合规、审计日志、数据保留与事件响应建议。

本页从 产品配置 + 组织流程 两端给出可执行建议，适用于培训机构、企业与学校客户的信息安全基线对齐。具体条款以合同与本地化法规为准。

威胁模型：我们在防什么

风险	可能影响	配置/流程对策
账号被盗用	代考、数据篡改、钓鱼	MFA/SSO、异常登录告警、最小权限
过度授权	误删课程、批量导出	分级审批、职责分离
集成密钥泄露	拖库式调用、伪造回调	密钥柜、IP 白名单、定期轮换
内容违规	舆情、监管处罚	UGC 审核、敏感词、举报渠道
日志不足	无法举证、无法定责	审计全覆盖关键操作、留存周期合同化

身份与访问管理（IAM）

管理员账号

个人账号：禁止共享「万能后台账号」；紧急情况临时提权并留痕。
密码策略：长度、周期、重用限制与机构统一目录对齐。
设备：建议后台操作仅在机构管控设备上进行。

学员账号

登录 防暴力：验证码、频控、图形验证（以产品为准）。
批量导入名单时，避免在表格里长期存放 明文密码（若系统支持单点或邀请制优先）。

多租户与数据隔离

组织间 默认不可见：任何「跨组织查询」若出现即 P0。
测试组织定期清理 生产-like 数据，防止误连錯环境。
导出功能应受 角色 + 频次 双重约束，并写入审计。

内容与 UGC 合规

教研发布内容

版权声明：音乐、字体、插图、第三方题库均有授权链。
事实审查：尤其是健康、财经、法律模块。

学员生成内容（讨论、作业、昵称）

敏感词与灰词：分「拦截 / 替换 / 人工复核」多档策略。
未成年人场景：额外保护家长知情权与当地未成年人条例。

集成与密钥生命周期

所有 API Key / Client Secret 在 密钥管理系统 建档：用途、Owner、轮换周期。

预发与生产密钥分离；禁止在 CI 日志打印完整 secret。

员工调岗或离职当天：吊销其个人令牌；业务密钥评估是否需要轮换。

季度：抽查回调 URL、IP 白名单是否仍与当前网络拓扑一致。

审计日志与保留

建议最少记录的信息

谁、何时、从哪（IP/设备指纹若可用）、对什么对象、做了什么、结果成功与否。

保留与归档

合同期内的在线保留 + 定期离线归档（加密存储）。
监管突击检查：定义 30 分钟内 可拉取的标准报表包负责人。

事件响应（简版 playbook）

发现：监控告警、用户举报、渗透测试结果。
遏制：禁用账户、吊销密钥、临时关接口（评估业务影响）。
根除：修补配置、轮换凭据、清后门。
恢复：分阶段切回流量；加强观测。
复盘：根因、时间表、预防项进 backlog。

永远不要在 公共即时通讯、开源截图、工单附件中粘贴 生产密钥、数据库连接串、学员全量导出。如需排错，用脱敏样本与请求 ID。

数据主体权利（如适用）

若适用的隐私法规要求 访问/更正/删除，请与法务确认：

删除学员档案是否会 影响成绩审计链（可能需要匿名化而非硬删）。
导出请求是否在 合理期限 内响应并记录。