设计原则
4 大安全设计原则
最小化原则
默认仅项目成员可见,所有数据访问遵循 Least Privilege
纵深防御
应用层 / 数据层 / 网络层 / 物理层多重防护,单点失效不影响整体
零信任架构
不预设网络可信,所有请求均需身份验证 + 设备认证 + 权限校验
可审计 / 可追溯
所有关键操作生成不可篡改的审计日志,符合等保 / SOC 2 要求
数据加密
传输 + 存储 + 应用层三重加密
传输加密
TLS 1.3 端到端加密,证书使用 ECDSA P-384,禁用 TLS 1.0/1.1/1.2 弱密码套件
存储加密
数据库采用 AES-256-GCM 静态加密,密钥由 HSM 硬件安全模块管理
应用层加密
敏感字段(投标报价、技术方案)应用层二次加密,即使数据库泄露也无法解读
国密合规
可选 SM2 / SM3 / SM4 国密算法,满足政企内网合规要求
权限隔离
多租户 RLS + SSO + 细粒度授权
行级安全策略(RLS)
基于 PostgreSQL Row-Level Security,每行数据均挂租户标记,从数据库层面强制隔离
多租户隔离
租户 A 的数据在数据库层面对租户 B 完全不可见,无法通过任何 API / SQL 越权访问
SSO / OAuth
支持企业 SAML 2.0 / OIDC 单点登录,对接钉钉、企业微信、飞书、Google Workspace
细粒度权限
RBAC + ABAC 双层授权,按角色 / 部门 / 项目 / 字段四个维度独立配置
强密码 + 二步验证
默认要求强密码,敏感操作(订单 / 报告导出)强制二步验证(TOTP / 短信)
审计日志
所有关键操作不可篡改留痕
符合等保三级、SOC 2、《电子签名法》要求
以下事件均会生成完整审计日志,保留期不少于 6 个月(可配置至 7 年):
- 用户登录 / 登出 / 异常登录
- 文件上传 / 下载 / 删除
- 审查启动 / 完成 / 失败
- 报告生成 / 导出 / 分享
- 权限变更 / 角色调整
- 订单创建 / 支付 / 退款
- 管理员操作 / 配置变更
- API 调用 / SDK 访问
合规认证
6 大合规体系覆盖
已通过《信息安全等级保护管理办法》三级测评
信息安全管理体系国际标准认证
IT 服务管理体系认证
符合数据分类分级、出境评估等要求
符合 PIPL 对个人信息收集、使用、出境的要求
为政企客户提供 CII 合规支撑
私有化部署
4 种部署形态,按需选择
部署形态
SaaS 公有云 / 私有云 / 政务专有云 / 国密内网 4 种部署形态
版本治理
私有化版本与 SaaS 版本同步升级,提供 LTS 长期支持版本
运维支撑
7×24 远程驻场 / 定期巡检 / 紧急响应 SLA ≤ 30 分钟
数据隔离
客户内网部署,所有数据不出客户网络,符合等保 / 商密要求
数据生命周期
6 阶段全程管控
- 01
采集
仅采集业务必需数据,明示采集目的,用户可拒绝非必要项
- 02
存储
AES-256 静态加密 + 分库分表隔离,关键字段应用层二次加密
- 03
使用
RLS 强制访问控制,所有访问留痕,敏感字段访问需双人审批
- 04
传输
TLS 1.3 端到端加密,跨网络传输需经过 VPN / 专线
- 05
共享
默认不对外共享,企业内共享需项目所有者授权,对外共享需法务审批
- 06
销毁
账户注销后立即逻辑删除,30 天后物理删除,提供数据销毁证明