安全合规

安全架构

我们的安全体系建立在多层防护的基础上：

• •网络层：多可用区部署、DDoS 防护、Web 应用防火墙（WAF）、网络流量加密。
• •应用层：严格的身份认证、细粒度权限控制、API 速率限制、输入验证与过滤。
• •数据层：AES-256 静态加密、TLS 1.3 传输加密、密钥管理服务（KMS）、数据脱敏。
• •运维层：最小权限原则、变更管理流程、安全事件响应机制、全量审计日志。

合规认证

Aurex 持续投入合规建设，获得并维护以下认证和标准：

• •ISO 27001：信息安全管理体系认证，覆盖全部核心服务。
• •SOC 2 Type II：由独立第三方审计机构出具的服务组织控制报告，涵盖安全性、可用性和机密性。
• •等保三级：符合中国国家信息安全等级保护制度第三级要求。
• •GDPR：遵循欧盟通用数据保护条例要求，保护欧盟用户数据权益。

数据保护

我们对数据保护的承诺：

• •数据隔离：企业客户数据严格隔离，确保租户间数据不可互访。
• •加密存储：所有客户数据均采用 AES-256 加密存储，密钥由专用 KMS 管理。
• •传输安全：所有 API 通信强制使用 TLS 1.3，不支持降级协商。
• •数据备份：自动增量备份，跨区域冗余存储，定期恢复验证。
• •数据删除：客户可随时请求删除数据，我们将在 30 天内完成彻底清除。

访问控制

严格的访问控制策略确保数据安全：

• •基于角色的访问控制（RBAC），支持自定义角色和权限。
• •多因素认证（MFA）保护管理员和敏感操作。
• •API 密钥支持作用域限制和过期策略。
• •所有访问操作均记录完整审计日志，支持实时查询和导出。

安全监控与响应

全天候安全运营保障系统安全：

• •7×24 小时安全运营中心（SOC）监控。
• •自动化威胁检测和异常行为分析。
• •安全事件分级响应机制，严重事件 15 分钟内响应。
• •定期渗透测试和漏洞扫描，及时修复发现的安全问题。
• •安全事件透明通报，通过状态页面和邮件通知受影响客户。

AI 安全

针对 AI 服务的特殊安全保障：

• •提示注入防护：多层过滤机制防止恶意提示攻击。
• •输出审核：敏感内容检测和过滤，确保输出安全合规。
• •模型隔离：不同客户的模型调用完全隔离，防止数据泄露。
• •数据不训练承诺：客户通过 API 传输的数据不会被用于模型训练。

业务连续性

确保服务的高可用性和业务连续性：

• •多可用区部署，单点故障自动切换。
• •99.9% 服务可用性 SLA 承诺。
• •灾难恢复计划（DRP）定期演练。
• •全球 CDN 加速，确保低延迟访问。

安全报告

如果您发现任何安全漏洞或安全相关问题，请立即联系我们的安全团队。我们鼓励负责任的安全漏洞披露，并承诺不会对善意的安全研究者采取法律行动。

安全团队邮箱：security@aurex.com