Appearance
风控管理规范 v0.1
Security & Isolation · 管理规范
围绕服务环境、代码库与员工办公环境三个层面,建立统一的隔离与风控标准,确保生产安全、代码资产安全与办公数据安全。
- 生效日期:2026-07-08
- 适用范围:全体技术与办公人员
- 核心原则:绿线 / 非绿线,服务、代码、办公三线隔离
快速理解
- 服务环境 —— 绿线与非绿线业务严格物理隔离,各用各的 AWS 账号,禁止混合部署与网络互通;生产环境走堡垒机、全程审计。
- 代码库 —— 绿线与非绿线各有各的 GitLab,禁止跨线存放;CI 内置密钥扫描,防泄露、防带密上库。
- 办公环境 —— 网络走 VPN 加密通道,办公上远程桌面,本地数据当天用完当天删除。
1. 服务环境的隔离与风控
绿线与非绿线业务严格物理隔离;生产环境是最高安全等级区域,一切访问必须可控、可审计、可回溯。
1.1 总前提:绿线 / 非绿线业务的物理隔离
公司业务分为绿线与非绿线两大部分。两条业务线之间的物理隔离是服务环境的安全底线,优先级高于本节其余全部条款:
- 专属 AWS 账号:绿线与非绿线业务各自拥有专属的 AWS 账号体系,两条线的服务节点只能部署在各自的 AWS 账号内,任何情况下不得混合部署。
- 严格物理隔离:绿线业务的服务节点与非绿线业务的服务节点之间不共享任何计算、存储、网络资源——不共用 EC2 实例、不共用数据库、不共用 VPC。
- 完全禁止网络互通:绿线与非绿线的服务节点之间禁止任何形式的网络互通——不允许 VPC 对等连接、不允许内网打通、也不允许通过 API 接口相互调用,两条线在网络层面完全独立。
- 第三方服务与 SDK 账号同样隔离:业务中使用的所有第三方服务及 SDK(如推送、统计、支付、日志、监控等)也必须绿线、非绿线各用各的账号,不得混用同一个第三方账号服务两条线。
- 新增任何服务、组件或第三方依赖时,第一步先确认其归属线别,并使用对应线别的账号开通与部署。
安全底线
绿线与非绿线的服务节点、AWS 账号、第三方服务及 SDK 账号,必须完全分离、各用各的,禁止任何形式的混合部署、混合使用与网络互通。
1.2 环境分级
| 环境 | 用途 | 访问要求 |
|---|---|---|
| 生产 PROD | 对外提供服务 | 堡垒机 + 审批 + 全程审计,默认无人可直连 |
| 测试 TEST | 功能与集成测试、上线前验证 | 团队内开放,仅允许脱敏数据 |
| 本地开发环境 | 日常开发调试 | 自由使用,与生产网络完全隔离 |
1.3 网络与资源隔离
- 在绿线 / 非绿线各自的 AWS 账号内,各环境再按独立 VPC 划分,生产与非生产网络默认互不连通。
- 生产入口仅保留必要端口,其余一律关闭;内部服务间调用走内网并启用最小化安全组规则。
- 生产数据库不对办公网、测试环境暴露;测试环境仅使用脱敏后的数据副本。
- 跨环境调用(如测试调生产接口)默认禁止,确有必要须走审批并限定白名单。
1.4 访问控制与审计
- 生产访问一律经堡垒机 / 跳板机,绑定个人账号,禁止共享账号与直连 SSH。
- 权限遵循最小必要原则:按角色授权、按需临时提权、到期自动回收。
- 所有生产操作全量审计留痕(who / when / what),日志保留 ≥ 180 天且不可篡改。
- 高危操作(删库、批量删除、改安全组、改核心配置)须双人复核 + 审批。
1.5 密钥与凭证管理
- 数据库密码、API Key、证书统一存放于密钥管理服务(KMS / Vault),禁止硬编码、禁止明文落盘。
- 绿线与非绿线的密钥体系完全独立,分别存放于各自 AWS 账号的密钥服务中,禁止跨线共用任何凭证。
- 各环境使用独立密钥,生产密钥仅对生产运行时可见,研发人员不可直接读取。
- 密钥定期轮换(≤ 90 天);人员变动、疑似泄露时立即轮换。
红线
绿线与非绿线混合部署或混用第三方账号、绕过堡垒机直连生产、共享生产账号、将生产数据同步到非生产环境——一经发现按重大违规处理。
2. 代码库的隔离与风控
绿线与非绿线代码库严格分离;代码是核心资产,防泄露、防篡改、防带密上库。
2.1 总前提:绿线 / 非绿线代码库的隔离
与服务环境的隔离原则一致,代码库的安全底线是:
- 专属 GitLab 代码库:绿线与非绿线项目代码各有各的 GitLab 代码库,两条线的代码库不能混用。
- 绿线项目代码只能存放在绿线 GitLab 中,非绿线项目代码只能存放在非绿线 GitLab 中,禁止跨线存放、跨线复制项目。
- 新建仓库时第一步先确认项目归属线别,在对应线别的 GitLab 中创建。
- CI/CD 流水线与制品库(镜像仓库、包仓库)同样按线别分离:绿线代码只经绿线流水线构建、发布到绿线 AWS 账号,非绿线亦然,禁止交叉。
安全底线
绿线与非绿线各用各的 GitLab 代码库,禁止两条线的代码混放、混用。
2.2 仓库权限分级
| 级别 | 范围 | 权限策略 |
|---|---|---|
| 业务仓库 | 常规业务代码 | 按团队授权,读写分离 |
| 公共仓库 | 工具库、文档、脚手架 | 公司内开放读取,写入走 PR |
- 权限跟随组织架构自动化管理:转岗即调整、离职当日回收全部代码库访问权限。
- 外包 / 第三方人员使用独立账号体系,仅授权其参与的仓库。
2.3 敏感信息防控
- CI 流水线内置密钥扫描(如 gitleaks),检出密钥 / 证书 / 内网地址即阻断合入。
- 已泄露入库的密钥:立即轮换密钥 + 清理历史记录,并复盘泄露路径。
- 配置与代码分离:环境配置注入运行时,仓库中只保留占位模板。
2.4 代码防泄露
- 禁止将公司代码上传至个人 GitHub、网盘、私人设备;禁止整库打包外发。
- 克隆与下载行为纳入审计,异常批量拉取(短时间全量 clone 多仓库)触发告警。
- 使用第三方 AI 工具辅助编码时,遵守公司审批的工具清单,禁止将公司代码投喂未经审批的外部服务。
红线
绿线与非绿线代码库混用、跨线存放项目代码、密钥硬编码入库、向未审批的外部平台上传公司代码——一经发现按重大违规处理。
3. 员工办公环境的风控
原则:网络走加密通道、办公上远程桌面、数据不在本地留存。
3.1 网络接入:VPN 加密通道(基本要求)
- 所有员工办公一律通过自己的 VPN 加密通道接入网络,这是远程办公的基本前提。
- VPN 通道保持常开,禁止在裸连网络下访问公司相关的系统与资源。
3.2 远程办公桌面:VPS(建议)
- 建议员工在 VPN 基础上购买 VPS 搭建远程办公桌面,日常办公操作均在该远程桌面中完成。
- 这样在 VPN 加密通道之外又多了一层防护:本地电脑只作为访问入口,工作内容与本地环境进一步隔离。
- VPS 上同样注意基本安全:设置强密码、及时更新系统、不安装无关软件。
3.3 本地数据不留存(当天用完,当天删除)
- 办公文档、测试用的数据与素材文件,不要在本地电脑暂存太久。
- 原则是当天用完、当天删除,本地电脑不作为任何工作文件的长期存放地。
- 需要留存的文件放到指定的工作环境(如 VPS 远程桌面)中,不在本地落盘积累。
底线
办公必须走 VPN 加密通道;工作文件不在本地电脑长期留存,当天用完当天删除。
风控管理规范 v0.1 · 服务环境 / 代码库 / 办公环境 三线隔离