数据中台安全接入规范 v2.0
1. 概述与适用范围
本规范适用于所有需要接入 Acme Technology 数据中台(Data Platform)的业务系统、微服务及外部合作方。 数据中台提供统一的数据存储、计算和服务能力,包含核心的 DataHub API、 StreamFlow 实时计算层和 RAGBase 知识检索引擎。
所有接入系统必须完成安全审查并获得 数据治理委员会 的书面授权。未经授权的接入行为 将触发自动封禁机制,并依据《数据安全管理办法》追究相关责任。
2. 网络接入要求
2.1 网络边界
所有接入流量须经过 API 网关层(api-gateway.internal), 直连数据中台内部节点的请求将被防火墙规则拒绝。
| 接入层级 | 入口地址 | 协议 | 备注 |
|---|---|---|---|
| 内部业务系统 | api-gw.internal:443 |
HTTPS / gRPC-TLS | 需加入 VPC 白名单 |
| 外部合作方 | open-api.acme.com:443 |
HTTPS | 需签署数据处理协议 |
| RAGBase 写入 | ragbase.internal:8443 |
HTTPS | 高权限 需独立申请 |
2.2 IP 白名单
所有服务端实例 IP 必须提前登记至网络准入系统(nac.acme.internal)。 动态 IP 场景使用 OIDC 工作负载身份替代静态 IP 准入。
3. 认证与授权
3.1 身份认证
数据中台统一采用 OAuth 2.0 Client Credentials 流程进行服务间认证, 所有调用方需在数据治理门户申请 client_id 和 client_secret,并通过以下端点获取访问令牌:
3.2 权限范围(Scope)
申请令牌时必须声明所需的最小权限范围(最小特权原则):
- datahub:read — 读取数据集元数据与指标数据
- datahub:write — 创建/更新数据集(需 L2 审批)
- ragbase:read — 检索知识库向量索引
- ragbase:write — 高风险 写入/更新知识库索引条目
- streamflow:consume — 订阅实时数据流
4. 审计与监控
4.1 调用日志
所有 API 调用均由网关层自动记录至 audit-log.acme.internal, 保留周期 180 天。日志字段包括调用方标识、目标接口、请求参数摘要、响应状态码及处理时延。
| 事件类型 | 告警级别 | 响应时限 |
|---|---|---|
| 未授权接入尝试 | P0 | 5 分钟 |
| RAGBase 异常写入 | P0 | 10 分钟 |
| 令牌高频刷新 | P1 | 30 分钟 |
| 慢查询超阈值 | P2 | 次日处理 |
5. 数据加密与传输安全
所有传输层必须使用 TLS 1.2+,推荐 TLS 1.3。 禁止使用自签名证书,所有服务端证书须由公司内部 CA(ca.acme.internal)签发。
- 静态数据加密:AES-256-GCM,密钥由 KMS 托管
- 传输加密:TLS 1.3,禁用 RC4 / 3DES / NULL 套件
- RAGBase 向量数据:加密存储,禁止明文导出
文档版本 v2.0 | 最后更新:2026-03-28 | 数据治理委员会审核通过 · 如有疑问请联系 security-team@acme.com