安全与治理 可验证页
目标:把“安全可信”从口号变成可检查的工程事实。每个动作都有权限边界,每次访问都有审计证据,每次变更都有追溯记录。
统一安全模型
基础设施层
身份鉴别、设备状态、网络边界;默认零信任。
身份鉴别、设备状态、网络边界;默认零信任。
平台层
RBAC + 标签 + 对象/字段 ACL + 目的绑定访问。
RBAC + 标签 + 对象/字段 ACL + 目的绑定访问。
企业层
接入现有 IdP/审计系统,最小化改造成本。
接入现有 IdP/审计系统,最小化改造成本。
AI 层
Agent 仅在授权字段内运行,工具调用受策略网关约束。
Agent 仅在授权字段内运行,工具调用受策略网关约束。
关键控制项
[Control-01] 对象读取必须记录 who / when / purpose。
[Control-02] 敏感字段默认 deny,按角色和目的单独放行。
[Control-03] 动作回写必须写入 before / after 快照与责任主体。
[Control-04] 越权访问返回统一错误码并触发告警事件。
发布前验收清单
[ ] 至少 3 个角色策略经过模拟越权测试
[ ] 对象与字段 ACL 已在生产策略表中可追溯
[ ] 审计日志可按对象 ID 回放完整行为链
[ ] Agent 工具调用日志与业务动作日志可对齐