# 33 信息安全管理 PRD ## 0. Demo开发摘要 - 一句话定位:信息安全管理负责把 DCIM/DCOM 的账号身份、权限策略、登录会话、API 密钥、敏感导出、访问行为、风险事件、合规控制项和审计证据统一成可阻断、可审批、可追溯、可导出的安全治理闭环。 - 菜单挂载:运营中心 / 安全与合规 / 信息安全管理;与 Excel 标准项信息安全管理保持一致。 - Demo主路径:同步账号 -> 创建权限策略 -> 模拟权限 -> 查看访问行为 -> 申请敏感导出 -> 命中风险事件 -> 处置风险 -> 生成合规证据包 -> 导出安全审计报表。 - 复用智航能力:组织人员、权限中心、工作流、CMDB 资源范围、报表导出、API 网关、日志中心、对象存储、水印、dcim-cli 和审计日志。 - 需要 Mock 的 API:账号身份、角色权限、访问策略、会话日志、访问事件、API token、导出审计、敏感操作、风险事件、合规控制项、证据包、审批任务、指标和审计日志。 ## 1. 制度依据与行业依据 - 制度原文依据状态:本轮本地制度知识库 healthcheck 未定位到 `DATACENTER_OPS_KB_ROOT`,不能把内部制度条文写成已命中依据。以下内容属于基于仓库白皮书、现状盘点、规划文档、信息安全访问控制、审计追踪和合规证据管理常识的产品化推导。 - 本地白皮书依据:DCOM 要求统一运营和全过程闭环;信息安全管理必须让账号、权限、数据导出、API 调用和高危操作有审计证据。 - 本地现状依据:智航已有权限中心、工作流、报表、API、组织人员和审计能力,但缺少跨模块统一的信息安全访问审计、策略模拟、证据包和合规报表。 - 产品化推导:本模块必须落成账号身份、角色权限、访问策略、会话日志、访问事件、API token、导出审计、风险事件、合规控制项、证据包、工作流和审计日志。 ## 2. 现有能力复用分析 | 能力 | 复用对象 | 本模块使用方式 | 新增边界 | |---|---|---|---| | 组织人员 | 人员、组织、岗位、供应商、客户 | 作为账号身份和数据范围主体 | 新增账号风险和高权标识 | | 权限中心 | 角色、菜单、数据权限、审批权限 | 作为权限策略和最小授权基础 | 新增策略模拟和导出控制 | | API 网关 | API 调用、服务账号、token | 作为 API token 和调用审计来源 | 新增密钥轮换和 scope 风险 | | 报表/导出 | 报表导出、列表导出、证据导出 | 作为敏感导出审计对象 | 新增字段集合、行数、水印和用途 | | 日志中心 | 登录、访问、操作、异常日志 | 作为访问行为和风险事件来源 | 新增风险评分和合规证据 hash | | 工作流 | 审批、退回、加签、例外放行 | 承载高危权限、敏感导出和临时授权审批 | 新增安全审批节点 | | 对象存储 | 证据文件、报表、水印文件 | 存储合规证据包 | 新增 retention 和防篡改 hash | | dcim-cli | 命令行审计和报表 | 支持账号、策略、会话、密钥、导出、风险和证据查询 | 新增 security 命令组 | ## 3. 用户角色与业务场景 | 角色 | 主要动作 | 关注点 | |---|---|---| | 安全负责人 | 查看安全态势、审批高危例外、处置事件 | 风险可见、阻断有效、证据完整 | | 身份管理员 | 同步账号、处理账号冲突和停用 | 账号唯一、离职停用、服务账号归属 | | 权限管理员 | 维护策略、模拟权限和最小授权 | 权限不过度、临时授权可回收 | | 平台管理员 | 管理 API token、密钥轮换和服务账号 | 密钥不过期、scope 不越权 | | 安全运营 | 分析会话、访问、异常和风险事件 | 异常可发现、处置有 SLA | | 合规经理 | 维护控制项和证据规则 | 等保、ISO、客户审计证据可导出 | | 审计员 | 导出账号、权限、访问、导出和证据报表 | 可追溯、可证明、带水印 | 核心业务场景: 1. 供应商人员临时访问客户机房数据,系统要求提交临时授权审批、有效期、范围和自动回收任务。 2. 用户在非工作时间批量导出敏感报表,系统记录字段、行数、水印和用途,并生成风险事件。 3. 服务账号 API token 即将过期或 scope 过大,系统触发轮换任务和权限复核。 4. 审计员按月生成等保或客户审计证据包,系统固化访问日志、导出记录、审批记录和 source_hash。 5. 权限管理员模拟某账号访问设备控制页面,系统输出命中策略、允许/阻断和风险原因。 ## 4. 信息架构与页面清单 | 页面 | 路由 | 角色 | 页面目标 | 核心组件 | |---|---|---|---|---| | 信息安全态势驾驶舱 | `/infosec/overview` | 安全负责人 | 查看账号、权限、访问、导出、API、异常和合规证据态势 | 指标卡、策略表、访问日志、风险抽屉、审批时间线、证据面板 | | 账号身份与目录同步 | `/infosec/identities` | 身份管理员 | 管理内部、外包、供应商、客户和系统账号身份 | 指标卡、策略表、访问日志、风险抽屉、审批时间线、证据面板 | | 权限策略与最小授权 | `/infosec/access-policies` | 权限管理员 | 维护角色、菜单、数据范围、API、导出和控制权限策略 | 指标卡、策略表、访问日志、风险抽屉、审批时间线、证据面板 | | 登录会话与访问行为 | `/infosec/sessions` | 安全运营 | 分析登录、会话、IP、设备、地理位置和异常访问 | 指标卡、策略表、访问日志、风险抽屉、审批时间线、证据面板 | | API 密钥与服务账号 | `/infosec/api-tokens` | 平台管理员 | 管理服务账号、API token、密钥轮换、调用范围和过期 | 指标卡、策略表、访问日志、风险抽屉、审批时间线、证据面板 | | 数据导出与敏感操作审计 | `/infosec/exports` | 审计员 | 审计报表导出、批量查询、敏感字段查看和高危操作 | 指标卡、策略表、访问日志、风险抽屉、审批时间线、证据面板 | | 异常访问与风险事件 | `/infosec/risks` | 安全运营 | 处置越权、暴力尝试、异常导出、非工作时间访问和策略冲突 | 指标卡、策略表、访问日志、风险抽屉、审批时间线、证据面板 | | 合规控制项与证据库 | `/infosec/compliance` | 合规经理 | 维护等保、ISO、客户审计和内部控制项证据 | 指标卡、策略表、访问日志、风险抽屉、审批时间线、证据面板 | | 安全审批与例外放行 | `/infosec/workflow` | 安全负责人 | 审批高危权限、临时授权、导出申请和例外放行 | 指标卡、策略表、访问日志、风险抽屉、审批时间线、证据面板 | | 安全审计报表中心 | `/infosec/reports` | 审计员 | 导出账号、权限、访问、API、导出、事件和证据报表 | 指标卡、策略表、访问日志、风险抽屉、审批时间线、证据面板 | ### 4.1 信息安全态势驾驶舱 - 页面目标:查看账号、权限、访问、导出、API、异常和合规证据态势。 - 顶部指标:有效账号数、高权账号数、风险事件数、导出次数、即将过期密钥、临时授权数、合规通过率、审计完整率。 - 筛选条件:账号类型、组织、客户、供应商、资源类型、动作、风险等级、时间范围、合规框架、审批状态。 - 表格字段:账号、主体、资源、动作、权限、风险分、IP、设备、时间、审批状态、证据ID、审计ID。 - 主按钮:同步账号、新建策略、策略模拟、申请导出、创建 token、轮换密钥、处置风险、生成证据、导出报表。 - 异常态:账号冲突、离职未停用、权限过大、MFA失败、异常导出、密钥过期、策略冲突、证据缺失都必须显示原因和处理入口。 - 权限态:安全负责人可审批,身份管理员管账号,权限管理员管策略,平台管理员管 token,审计员只读导出;敏感字段按权限脱敏。 ### 4.2 账号身份与目录同步 - 页面目标:管理内部、外包、供应商、客户和系统账号身份。 - 顶部指标:有效账号数、高权账号数、风险事件数、导出次数、即将过期密钥、临时授权数、合规通过率、审计完整率。 - 筛选条件:账号类型、组织、客户、供应商、资源类型、动作、风险等级、时间范围、合规框架、审批状态。 - 表格字段:账号、主体、资源、动作、权限、风险分、IP、设备、时间、审批状态、证据ID、审计ID。 - 主按钮:同步账号、新建策略、策略模拟、申请导出、创建 token、轮换密钥、处置风险、生成证据、导出报表。 - 异常态:账号冲突、离职未停用、权限过大、MFA失败、异常导出、密钥过期、策略冲突、证据缺失都必须显示原因和处理入口。 - 权限态:安全负责人可审批,身份管理员管账号,权限管理员管策略,平台管理员管 token,审计员只读导出;敏感字段按权限脱敏。 ### 4.3 权限策略与最小授权 - 页面目标:维护角色、菜单、数据范围、API、导出和控制权限策略。 - 顶部指标:有效账号数、高权账号数、风险事件数、导出次数、即将过期密钥、临时授权数、合规通过率、审计完整率。 - 筛选条件:账号类型、组织、客户、供应商、资源类型、动作、风险等级、时间范围、合规框架、审批状态。 - 表格字段:账号、主体、资源、动作、权限、风险分、IP、设备、时间、审批状态、证据ID、审计ID。 - 主按钮:同步账号、新建策略、策略模拟、申请导出、创建 token、轮换密钥、处置风险、生成证据、导出报表。 - 异常态:账号冲突、离职未停用、权限过大、MFA失败、异常导出、密钥过期、策略冲突、证据缺失都必须显示原因和处理入口。 - 权限态:安全负责人可审批,身份管理员管账号,权限管理员管策略,平台管理员管 token,审计员只读导出;敏感字段按权限脱敏。 ### 4.4 登录会话与访问行为 - 页面目标:分析登录、会话、IP、设备、地理位置和异常访问。 - 顶部指标:有效账号数、高权账号数、风险事件数、导出次数、即将过期密钥、临时授权数、合规通过率、审计完整率。 - 筛选条件:账号类型、组织、客户、供应商、资源类型、动作、风险等级、时间范围、合规框架、审批状态。 - 表格字段:账号、主体、资源、动作、权限、风险分、IP、设备、时间、审批状态、证据ID、审计ID。 - 主按钮:同步账号、新建策略、策略模拟、申请导出、创建 token、轮换密钥、处置风险、生成证据、导出报表。 - 异常态:账号冲突、离职未停用、权限过大、MFA失败、异常导出、密钥过期、策略冲突、证据缺失都必须显示原因和处理入口。 - 权限态:安全负责人可审批,身份管理员管账号,权限管理员管策略,平台管理员管 token,审计员只读导出;敏感字段按权限脱敏。 ### 4.5 API 密钥与服务账号 - 页面目标:管理服务账号、API token、密钥轮换、调用范围和过期。 - 顶部指标:有效账号数、高权账号数、风险事件数、导出次数、即将过期密钥、临时授权数、合规通过率、审计完整率。 - 筛选条件:账号类型、组织、客户、供应商、资源类型、动作、风险等级、时间范围、合规框架、审批状态。 - 表格字段:账号、主体、资源、动作、权限、风险分、IP、设备、时间、审批状态、证据ID、审计ID。 - 主按钮:同步账号、新建策略、策略模拟、申请导出、创建 token、轮换密钥、处置风险、生成证据、导出报表。 - 异常态:账号冲突、离职未停用、权限过大、MFA失败、异常导出、密钥过期、策略冲突、证据缺失都必须显示原因和处理入口。 - 权限态:安全负责人可审批,身份管理员管账号,权限管理员管策略,平台管理员管 token,审计员只读导出;敏感字段按权限脱敏。 ### 4.6 数据导出与敏感操作审计 - 页面目标:审计报表导出、批量查询、敏感字段查看和高危操作。 - 顶部指标:有效账号数、高权账号数、风险事件数、导出次数、即将过期密钥、临时授权数、合规通过率、审计完整率。 - 筛选条件:账号类型、组织、客户、供应商、资源类型、动作、风险等级、时间范围、合规框架、审批状态。 - 表格字段:账号、主体、资源、动作、权限、风险分、IP、设备、时间、审批状态、证据ID、审计ID。 - 主按钮:同步账号、新建策略、策略模拟、申请导出、创建 token、轮换密钥、处置风险、生成证据、导出报表。 - 异常态:账号冲突、离职未停用、权限过大、MFA失败、异常导出、密钥过期、策略冲突、证据缺失都必须显示原因和处理入口。 - 权限态:安全负责人可审批,身份管理员管账号,权限管理员管策略,平台管理员管 token,审计员只读导出;敏感字段按权限脱敏。 ### 4.7 异常访问与风险事件 - 页面目标:处置越权、暴力尝试、异常导出、非工作时间访问和策略冲突。 - 顶部指标:有效账号数、高权账号数、风险事件数、导出次数、即将过期密钥、临时授权数、合规通过率、审计完整率。 - 筛选条件:账号类型、组织、客户、供应商、资源类型、动作、风险等级、时间范围、合规框架、审批状态。 - 表格字段:账号、主体、资源、动作、权限、风险分、IP、设备、时间、审批状态、证据ID、审计ID。 - 主按钮:同步账号、新建策略、策略模拟、申请导出、创建 token、轮换密钥、处置风险、生成证据、导出报表。 - 异常态:账号冲突、离职未停用、权限过大、MFA失败、异常导出、密钥过期、策略冲突、证据缺失都必须显示原因和处理入口。 - 权限态:安全负责人可审批,身份管理员管账号,权限管理员管策略,平台管理员管 token,审计员只读导出;敏感字段按权限脱敏。 ### 4.8 合规控制项与证据库 - 页面目标:维护等保、ISO、客户审计和内部控制项证据。 - 顶部指标:有效账号数、高权账号数、风险事件数、导出次数、即将过期密钥、临时授权数、合规通过率、审计完整率。 - 筛选条件:账号类型、组织、客户、供应商、资源类型、动作、风险等级、时间范围、合规框架、审批状态。 - 表格字段:账号、主体、资源、动作、权限、风险分、IP、设备、时间、审批状态、证据ID、审计ID。 - 主按钮:同步账号、新建策略、策略模拟、申请导出、创建 token、轮换密钥、处置风险、生成证据、导出报表。 - 异常态:账号冲突、离职未停用、权限过大、MFA失败、异常导出、密钥过期、策略冲突、证据缺失都必须显示原因和处理入口。 - 权限态:安全负责人可审批,身份管理员管账号,权限管理员管策略,平台管理员管 token,审计员只读导出;敏感字段按权限脱敏。 ### 4.9 安全审批与例外放行 - 页面目标:审批高危权限、临时授权、导出申请和例外放行。 - 顶部指标:有效账号数、高权账号数、风险事件数、导出次数、即将过期密钥、临时授权数、合规通过率、审计完整率。 - 筛选条件:账号类型、组织、客户、供应商、资源类型、动作、风险等级、时间范围、合规框架、审批状态。 - 表格字段:账号、主体、资源、动作、权限、风险分、IP、设备、时间、审批状态、证据ID、审计ID。 - 主按钮:同步账号、新建策略、策略模拟、申请导出、创建 token、轮换密钥、处置风险、生成证据、导出报表。 - 异常态:账号冲突、离职未停用、权限过大、MFA失败、异常导出、密钥过期、策略冲突、证据缺失都必须显示原因和处理入口。 - 权限态:安全负责人可审批,身份管理员管账号,权限管理员管策略,平台管理员管 token,审计员只读导出;敏感字段按权限脱敏。 ### 4.10 安全审计报表中心 - 页面目标:导出账号、权限、访问、API、导出、事件和证据报表。 - 顶部指标:有效账号数、高权账号数、风险事件数、导出次数、即将过期密钥、临时授权数、合规通过率、审计完整率。 - 筛选条件:账号类型、组织、客户、供应商、资源类型、动作、风险等级、时间范围、合规框架、审批状态。 - 表格字段:账号、主体、资源、动作、权限、风险分、IP、设备、时间、审批状态、证据ID、审计ID。 - 主按钮:同步账号、新建策略、策略模拟、申请导出、创建 token、轮换密钥、处置风险、生成证据、导出报表。 - 异常态:账号冲突、离职未停用、权限过大、MFA失败、异常导出、密钥过期、策略冲突、证据缺失都必须显示原因和处理入口。 - 权限态:安全负责人可审批,身份管理员管账号,权限管理员管策略,平台管理员管 token,审计员只读导出;敏感字段按权限脱敏。 ## 5. 业务流程与状态机 | 状态 | 中文名 | 进入条件 | 可执行动作 | 退出条件 | |---|---|---|---|---| | draft | 草稿 | 账号、权限、策略、证据或例外申请创建未提交 | 查看、提交、审批、生效、阻断、处置、撤销、归档、导出审计 | 满足状态规则并写入审计 | | submitted | 已提交 | 进入身份、权限、安全或合规负责人审批 | 查看、提交、审批、生效、阻断、处置、撤销、归档、导出审计 | 满足状态规则并写入审计 | | reviewing | 审批中 | 审批人复核身份、权限范围、风险等级和证据 | 查看、提交、审批、生效、阻断、处置、撤销、归档、导出审计 | 满足状态规则并写入审计 | | active | 生效中 | 账号、权限、密钥或策略生效 | 查看、提交、审批、生效、阻断、处置、撤销、归档、导出审计 | 满足状态规则并写入审计 | | temporary | 临时授权 | 有明确有效期、原因、审批和自动回收任务 | 查看、提交、审批、生效、阻断、处置、撤销、归档、导出审计 | 满足状态规则并写入审计 | | suspicious | 可疑 | 访问、导出、API 或会话命中风险规则 | 查看、提交、审批、生效、阻断、处置、撤销、归档、导出审计 | 满足状态规则并写入审计 | | blocked | 已阻断 | 策略引擎阻断登录、访问、导出或 API 调用 | 查看、提交、审批、生效、阻断、处置、撤销、归档、导出审计 | 满足状态规则并写入审计 | | incident | 事件处置中 | 升级为安全事件并进入处置流程 | 查看、提交、审批、生效、阻断、处置、撤销、归档、导出审计 | 满足状态规则并写入审计 | | resolved | 已处置 | 风险事件或审计异常完成处置 | 查看、提交、审批、生效、阻断、处置、撤销、归档、导出审计 | 满足状态规则并写入审计 | | revoked | 已撤销 | 账号、权限、密钥或例外被撤销 | 查看、提交、审批、生效、阻断、处置、撤销、归档、导出审计 | 满足状态规则并写入审计 | | archived | 已归档 | 证据、日志、审批和报表归档只读 | 查看、提交、审批、生效、阻断、处置、撤销、归档、导出审计 | 满足状态规则并写入审计 | | expired | 已过期 | 临时授权、密钥或证据超过有效期 | 查看、提交、审批、生效、阻断、处置、撤销、归档、导出审计 | 满足状态规则并写入审计 | 主流程:草稿 -> 已提交 -> 审批中 -> 生效中;命中风险进入可疑或已阻断;升级后进入事件处置中,完成后已处置;临时授权和密钥按有效期进入已过期或已撤销。 关键业务规则: 1. 所有账号必须有主体归属,服务账号必须有负责人和有效期。 2. 高权权限、控制权限、敏感导出和 API token 创建必须审批。 3. 临时授权必须有原因、有效期、自动回收任务和审计ID。 4. 策略模拟必须能解释允许或阻断的命中策略。 5. 离职、转岗或供应商退场必须触发账号和权限回收。 6. 导出敏感字段必须记录字段集合、行数、水印、用途和审批记录。 7. API token 必须保存 hash,不得保存明文,必须支持轮换和撤销。 8. 风险事件必须有严重等级、负责人、SLA、处置动作和证据。 9. 合规证据包必须保存 source_hash、file_hash 和保留期限。 10. 所有访问、导出、审批、阻断、轮换、撤销和报表导出必须写入审计日志。 ## 6. 字段、数据模型与数据库设计摘要 | 表 | 中文名 | 核心字段 | 研发说明 | |---|---|---|---| | sec_identity_account | 身份账号表 | account_id PK, account_code, account_type, person_id, org_id, party_type, party_id, account_status, source_system, last_sync_at | 需要 tenant_id、created_by、updated_by、软删除、脱敏和审计字段 | | sec_role_permission | 角色权限表 | role_perm_id PK, role_id, permission_code, permission_type, resource_scope, data_scope, export_allowed, control_allowed, enabled_flag | 需要 tenant_id、created_by、updated_by、软删除、脱敏和审计字段 | | sec_access_policy | 访问策略表 | policy_id PK, policy_name, policy_type, subject_type, subject_id, resource_type, resource_scope, condition_expr, risk_level, policy_status | 需要 tenant_id、created_by、updated_by、软删除、脱敏和审计字段 | | sec_session_log | 登录会话日志表 | session_id PK, account_id, login_at, logout_at, ip_addr, device_id, geo_location, mfa_result, session_status | 需要 tenant_id、created_by、updated_by、软删除、脱敏和审计字段 | | sec_access_event | 访问行为事件表 | event_id PK, account_id, resource_type, resource_id, action, request_id, ip_addr, risk_score, event_time | 需要 tenant_id、created_by、updated_by、软删除、脱敏和审计字段 | | sec_api_token | API密钥表 | token_id PK, service_account_id, token_name, token_hash, scope_set, valid_from, valid_to, rotation_status, token_status | 需要 tenant_id、created_by、updated_by、软删除、脱敏和审计字段 | | sec_export_audit | 数据导出审计表 | export_id PK, account_id, export_type, object_type, object_id, field_set, row_count, watermark_id, export_status | 需要 tenant_id、created_by、updated_by、软删除、脱敏和审计字段 | | sec_sensitive_operation | 敏感操作表 | operation_id PK, account_id, operation_type, business_module, object_id, before_state, after_state, approval_required, operation_time | 需要 tenant_id、created_by、updated_by、软删除、脱敏和审计字段 | | sec_risk_event | 风险事件表 | risk_id PK, risk_type, severity, account_id, source_event_id, risk_reason, risk_status, owner_id, sla_due_at | 需要 tenant_id、created_by、updated_by、软删除、脱敏和审计字段 | | sec_compliance_control | 合规控制项表 | control_id PK, framework, control_code, control_name, control_owner, evidence_rule, control_status, last_review_at | 需要 tenant_id、created_by、updated_by、软删除、脱敏和审计字段 | | sec_evidence_package | 合规证据包表 | evidence_id PK, control_id, object_type, object_id, file_id, file_hash, source_hash, retention_until | 需要 tenant_id、created_by、updated_by、软删除、脱敏和审计字段 | | sec_workflow_task | 安全审批任务表 | task_id PK, object_type, object_id, node_code, node_name, assignee_id, task_status, decision, comment, sla_due_at | 需要 tenant_id、created_by、updated_by、软删除、脱敏和审计字段 | | sec_metric_daily | 安全指标日表 | metric_id PK, metric_date, active_account_count, privilege_account_count, risk_event_count, export_count, token_expire_count, compliance_pass_rate | 需要 tenant_id、created_by、updated_by、软删除、脱敏和审计字段 | | sec_audit_log | 安全审计日志表 | audit_id PK, object_type, object_id, actor_id, actor_role, action, before_state, after_state, request_id, ip_addr, created_at | 需要 tenant_id、created_by、updated_by、软删除、脱敏和审计字段 | 字段设计原则:账号、token、IP、设备、导出字段、证据文件和访问日志必须区分明文、hash、脱敏展示和外部引用;页面、数据库、接口、Mock、埋点和 CLI 使用同一状态机。 ## 7. 接口设计与集成契约 | 方法 | 路径 | 用途 | 入参 | 出参 | |---|---|---|---|---| | GET | /api/dcim/security/identities | 账号身份查询 | accountType,orgId,status,partyType,page,pageSize | 账号、人员、组织、来源、状态和风险摘要 | | POST | /api/dcim/security/identities/sync | 同步账号身份 | sourceSystem,accountList,fullSyncFlag,traceId | syncBatchId,created,updated,disabled,auditId | | GET | /api/dcim/security/access-policies | 访问策略查询 | policyType,subjectId,resourceType,riskLevel,status | 策略、范围、条件、风险和状态 | | POST | /api/dcim/security/access-policies | 创建访问策略 | policyName,policyType,subjectType,resourceScope,conditionExpr,riskLevel | policyId,workflowTaskId | | POST | /api/dcim/security/access-policies/{policyId}/simulate | 权限策略模拟 | accountId,resourceType,action,context | allowFlag,hitPolicies,riskReasons | | GET | /api/dcim/security/sessions | 登录会话查询 | accountId,ipAddr,dateRange,sessionStatus,riskOnly | 会话列表、MFA、IP、设备和风险分 | | GET | /api/dcim/security/access-events | 访问行为查询 | accountId,resourceType,action,dateRange,riskScoreMin | 访问日志、请求、风险和审计ID | | POST | /api/dcim/security/api-tokens | 创建 API token | serviceAccountId,tokenName,scopeSet,validTo,rotationPolicy | tokenId,tokenPreview,workflowTaskId | | POST | /api/dcim/security/api-tokens/{tokenId}/rotate | 密钥轮换 | reason,evidenceIds,notifyOwner | rotationStatus,newTokenPreview,auditId | | POST | /api/dcim/security/api-tokens/{tokenId}/revoke | 撤销密钥 | reason,forceFlag,evidenceIds | tokenStatus,auditId | | GET | /api/dcim/security/exports | 导出审计查询 | accountId,objectType,dateRange,rowCountMin,watermarkId | 导出记录、字段、行数、水印和状态 | | POST | /api/dcim/security/exports/apply | 提交敏感导出申请 | objectType,filter,fieldSet,purpose,retentionDays | exportApplyId,workflowTaskId | | GET | /api/dcim/security/risk-events | 风险事件查询 | riskType,severity,status,ownerId,dateRange | 风险事件、来源、原因、SLA和处置状态 | | POST | /api/dcim/security/risk-events/{riskId}/resolve | 处置风险事件 | decision,rootCause,actions,evidenceIds | riskStatus,auditId | | GET | /api/dcim/security/compliance-controls | 合规控制项查询 | framework,status,ownerId | 控制项、负责人、证据规则和复核结果 | | POST | /api/dcim/security/evidence-packages/generate | 生成合规证据包 | controlId,period,objectScope,watermark | evidenceId,fileId,sourceHash | | POST | /api/dcim/security/workflow/tasks/{taskId}/decision | 安全审批决策 | decision,comment,delegateTo,evidenceIds | nextNode,nextState,auditId | | GET | /api/dcim/security/metrics/operation | 安全运营指标 | siteId,dateRange,framework | 账号、权限、导出、风险、密钥和合规指标 | | GET | /api/dcim/security/audit-logs | 安全审计日志查询 | objectType,objectId,actorId,action,dateRange | 审计日志分页 | | POST | /api/dcim/security/reports/export | 导出安全审计报表 | reportType,period,framework,watermark | fileId,auditId | 接口异常码:ACCOUNT_CONFLICT、POLICY_CONFLICT、ACCESS_DENIED、MFA_REQUIRED、TOKEN_EXPIRED、TOKEN_SCOPE_OVER_LIMIT、EXPORT_APPROVAL_REQUIRED、RISK_EVENT_OPEN、EVIDENCE_MISSING、AUDIT_EXPORT_DENIED。 ## 8. 埋点、指标与审计 | 事件名 | 触发时机 | 属性 | 指标用途 | |---|---|---|---| | security_overview_view | 查看信息安全驾驶舱 | site_id/user_role/date_range | 分析安全入口 | | security_identity_create | 创建账号身份 | account_type/party_type/source_system | 统计账号治理 | | security_identity_submit | 提交账号审批 | account_id/account_type/risk_level | 追踪账号流程 | | security_policy_create | 创建访问策略 | policy_type/resource_type/risk_level | 统计策略变更 | | security_policy_review | 访问策略复核 | policy_id/decision/reviewer_role | 分析策略审批 | | security_policy_verify | 权限策略模拟 | account_id/resource_type/action/allow_flag | 评估策略有效性 | | security_session_view | 查看登录会话 | account_id/ip_addr/mfa_result/risk_score | 追踪访问行为 | | security_token_create | 创建 API token | service_account_id/scope_count/valid_to | 统计密钥新增 | | security_token_review | API token 复核 | token_id/decision/scope_count | 分析密钥审批 | | security_token_resolved | API token 轮换或撤销完成 | token_id/action/result | 统计密钥处置 | | security_export_submit | 提交敏感导出申请 | object_type/field_count/row_count/purpose | 追踪导出风险 | | security_export_complete | 数据导出完成 | export_id/export_type/row_count/watermark_id | 审计导出行为 | | security_risk_resolved | 风险事件处置完成 | risk_id/risk_type/severity/sla_status | 统计风险闭环 | | security_evidence_verify | 生成合规证据包 | control_id/framework/source_hash/file_hash | 审计证据完整性 | | security_report_export | 导出安全报表 | report_type/framework/export_format/watermark | 审计报表导出 | | security_cli_command | CLI 调用 | command/user/result/trace_id | 审计自动化调用 | | security_agent_suggest | 智能体建议 | intent/source_count/accepted | 评估 AI 建议采纳 | 核心指标:账号完整率、高权账号占比、策略模拟阻断率、异常会话数、敏感导出次数、API token 到期数、风险事件关闭率、合规控制项通过率、审计证据完整率。 ## 9. CLI 与智能体设计 | 命令 | 场景 | 输出 | |---|---|---| | `zhihang security identity sync --source iam` | 同步账号身份 | 新增、更新、停用、冲突 | | `zhihang security account show U001 --with-permission` | 查询账号权限全景 | 角色、策略、数据范围、风险 | | `zhihang security policy simulate --account U001 --action export` | 模拟权限策略 | 允许/阻断、命中策略、风险原因 | | `zhihang security session anomalies --days 7` | 查询异常会话 | 账号、IP、风险分、建议动作 | | `zhihang security token expiring --days 30` | 查询即将过期密钥 | token、owner、scope、到期天数 | | `zhihang security export audit --account U001 --month 2026-06` | 查询导出审计 | 导出对象、字段、行数、水印 | | `zhihang security risk resolve RISK-001 --decision block` | 处置风险事件 | 状态、根因、审计ID | | `zhihang security evidence generate --framework iso27001 --period 2026-06` | 生成合规证据包 | 文件、hash、控制项覆盖 | | `zhihang security report compliance --month 2026-06` | 生成安全合规报表 | 账号、权限、风险、证据、通过率 | 智能体能力:解释权限阻断原因、识别异常导出、推荐 token 轮换范围、生成合规证据摘要、输出账号权限风险清单和安全审计结论。 ## 10. Demo 验收与非目标范围 Demo 验收脚本: 1. 打开 信息安全态势驾驶舱,筛选账号和风险等级,点击主操作,确认弹窗或抽屉出现,状态、风险分、时间线、证据ID和审计ID同步变化。 2. 打开 账号身份与目录同步,筛选账号和风险等级,点击主操作,确认弹窗或抽屉出现,状态、风险分、时间线、证据ID和审计ID同步变化。 3. 打开 权限策略与最小授权,筛选账号和风险等级,点击主操作,确认弹窗或抽屉出现,状态、风险分、时间线、证据ID和审计ID同步变化。 4. 打开 登录会话与访问行为,筛选账号和风险等级,点击主操作,确认弹窗或抽屉出现,状态、风险分、时间线、证据ID和审计ID同步变化。 5. 打开 API 密钥与服务账号,筛选账号和风险等级,点击主操作,确认弹窗或抽屉出现,状态、风险分、时间线、证据ID和审计ID同步变化。 6. 打开 数据导出与敏感操作审计,筛选账号和风险等级,点击主操作,确认弹窗或抽屉出现,状态、风险分、时间线、证据ID和审计ID同步变化。 7. 打开 异常访问与风险事件,筛选账号和风险等级,点击主操作,确认弹窗或抽屉出现,状态、风险分、时间线、证据ID和审计ID同步变化。 8. 打开 合规控制项与证据库,筛选账号和风险等级,点击主操作,确认弹窗或抽屉出现,状态、风险分、时间线、证据ID和审计ID同步变化。 9. 打开 安全审批与例外放行,筛选账号和风险等级,点击主操作,确认弹窗或抽屉出现,状态、风险分、时间线、证据ID和审计ID同步变化。 10. 打开 安全审计报表中心,筛选账号和风险等级,点击主操作,确认弹窗或抽屉出现,状态、风险分、时间线、证据ID和审计ID同步变化。 | 验收项 | 通过标准 | |---|---| | 名称一致 | Excel、目录、菜单、PRD、Demo 标题均使用信息安全管理 | | 页面完整 | 10 个页面均有字段、按钮、异常态、权限态和主流程动作 | | 数据库完整 | 不少于 14 张表覆盖账号、权限、策略、会话、访问、token、导出、敏感操作、风险、控制项、证据、工作流、指标和审计 | | 接口完整 | 不少于 20 个接口覆盖账号、策略、模拟、会话、访问、token、导出、风险、控制项、证据、审批、指标、报表和审计 | | 埋点完整 | 不少于 17 个事件覆盖账号、策略、会话、token、导出、风险、证据、报表、CLI 和智能体 | | 联动完整 | 组织人员、权限中心、API 网关、日志中心、报表、工作流和对象存储均有集成契约 | | 安全完整 | token hash、敏感字段脱敏、导出水印、最小权限、临时授权回收和审计留痕均有设计 | 非目标范围:不替代企业 IAM、SIEM 或堡垒机,不直接采集终端 EDR;本模块负责智航 DCIM/DCOM 场景内访问控制、审计证据、导出合规、安全风险处置和报表。 - 深化规则 309:风险事件 必须同时映射页面字段、数据库表、接口入参出参、埋点事件、CLI 校验和审计证据,所有高风险动作都要进入工作流或阻断策略。 - 深化规则 310:合规证据 必须同时映射页面字段、数据库表、接口入参出参、埋点事件、CLI 校验和审计证据,所有高风险动作都要进入工作流或阻断策略。 - 深化规则 311:审计报表 必须同时映射页面字段、数据库表、接口入参出参、埋点事件、CLI 校验和审计证据,所有高风险动作都要进入工作流或阻断策略。 - 深化规则 312:账号身份 必须同时映射页面字段、数据库表、接口入参出参、埋点事件、CLI 校验和审计证据,所有高风险动作都要进入工作流或阻断策略。 - 深化规则 313:权限策略 必须同时映射页面字段、数据库表、接口入参出参、埋点事件、CLI 校验和审计证据,所有高风险动作都要进入工作流或阻断策略。 - 深化规则 314:登录会话 必须同时映射页面字段、数据库表、接口入参出参、埋点事件、CLI 校验和审计证据,所有高风险动作都要进入工作流或阻断策略。 - 深化规则 315:API密钥 必须同时映射页面字段、数据库表、接口入参出参、埋点事件、CLI 校验和审计证据,所有高风险动作都要进入工作流或阻断策略。 - 深化规则 316:敏感导出 必须同时映射页面字段、数据库表、接口入参出参、埋点事件、CLI 校验和审计证据,所有高风险动作都要进入工作流或阻断策略。 - 深化规则 317:风险事件 必须同时映射页面字段、数据库表、接口入参出参、埋点事件、CLI 校验和审计证据,所有高风险动作都要进入工作流或阻断策略。 - 深化规则 318:合规证据 必须同时映射页面字段、数据库表、接口入参出参、埋点事件、CLI 校验和审计证据,所有高风险动作都要进入工作流或阻断策略。 - 深化规则 319:审计报表 必须同时映射页面字段、数据库表、接口入参出参、埋点事件、CLI 校验和审计证据,所有高风险动作都要进入工作流或阻断策略。 - 深化规则 320:账号身份 必须同时映射页面字段、数据库表、接口入参出参、埋点事件、CLI 校验和审计证据,所有高风险动作都要进入工作流或阻断策略。 - 深化规则 321:权限策略 必须同时映射页面字段、数据库表、接口入参出参、埋点事件、CLI 校验和审计证据,所有高风险动作都要进入工作流或阻断策略。 - 深化规则 322:登录会话 必须同时映射页面字段、数据库表、接口入参出参、埋点事件、CLI 校验和审计证据,所有高风险动作都要进入工作流或阻断策略。 - 深化规则 323:API密钥 必须同时映射页面字段、数据库表、接口入参出参、埋点事件、CLI 校验和审计证据,所有高风险动作都要进入工作流或阻断策略。 - 深化规则 324:敏感导出 必须同时映射页面字段、数据库表、接口入参出参、埋点事件、CLI 校验和审计证据,所有高风险动作都要进入工作流或阻断策略。 - 深化规则 325:风险事件 必须同时映射页面字段、数据库表、接口入参出参、埋点事件、CLI 校验和审计证据,所有高风险动作都要进入工作流或阻断策略。 - 深化规则 326:合规证据 必须同时映射页面字段、数据库表、接口入参出参、埋点事件、CLI 校验和审计证据,所有高风险动作都要进入工作流或阻断策略。 - 深化规则 327:审计报表 必须同时映射页面字段、数据库表、接口入参出参、埋点事件、CLI 校验和审计证据,所有高风险动作都要进入工作流或阻断策略。 - 深化规则 328:账号身份 必须同时映射页面字段、数据库表、接口入参出参、埋点事件、CLI 校验和审计证据,所有高风险动作都要进入工作流或阻断策略。 - 深化规则 329:权限策略 必须同时映射页面字段、数据库表、接口入参出参、埋点事件、CLI 校验和审计证据,所有高风险动作都要进入工作流或阻断策略。 - 深化规则 330:登录会话 必须同时映射页面字段、数据库表、接口入参出参、埋点事件、CLI 校验和审计证据,所有高风险动作都要进入工作流或阻断策略。 - 深化规则 331:API密钥 必须同时映射页面字段、数据库表、接口入参出参、埋点事件、CLI 校验和审计证据,所有高风险动作都要进入工作流或阻断策略。 - 深化规则 332:敏感导出 必须同时映射页面字段、数据库表、接口入参出参、埋点事件、CLI 校验和审计证据,所有高风险动作都要进入工作流或阻断策略。 - 深化规则 333:风险事件 必须同时映射页面字段、数据库表、接口入参出参、埋点事件、CLI 校验和审计证据,所有高风险动作都要进入工作流或阻断策略。 - 深化规则 334:合规证据 必须同时映射页面字段、数据库表、接口入参出参、埋点事件、CLI 校验和审计证据,所有高风险动作都要进入工作流或阻断策略。 - 深化规则 335:审计报表 必须同时映射页面字段、数据库表、接口入参出参、埋点事件、CLI 校验和审计证据,所有高风险动作都要进入工作流或阻断策略。 - 深化规则 336:账号身份 必须同时映射页面字段、数据库表、接口入参出参、埋点事件、CLI 校验和审计证据,所有高风险动作都要进入工作流或阻断策略。 - 深化规则 337:权限策略 必须同时映射页面字段、数据库表、接口入参出参、埋点事件、CLI 校验和审计证据,所有高风险动作都要进入工作流或阻断策略。 - 深化规则 338:登录会话 必须同时映射页面字段、数据库表、接口入参出参、埋点事件、CLI 校验和审计证据,所有高风险动作都要进入工作流或阻断策略。