50 项必须检查的条目,从认证到日志到备份。上线前的最终确认——逐项打勾,一项不落。
点击复选框标记完成项,进度自动更新。
## 上线阻塞项 (CRITICAL) — 任何一项未通过则不应上线
# 检查项 相关页面
── ──────────────────────────────────────── ──────────────────
1 用户认证机制 本页
3 API 密钥不在前端暴露 本页
9 Prompt Injection 检测层 prompt-injection-defense.html
15 有害内容检测 output-filtering.html
16 PII 脱敏 output-filtering.html
20 多租户数据隔离 data-isolation.html
21 数据库查询强制 tenant_id data-isolation.html
25 传输加密 TLS 1.2+ 本页
36 隐私政策已发布 gdpr-compliance.html
41 算法备案(中国) china-compliance.html
44 工具调用权限分级 prompt-injection-defense.html
58 红队测试已完成 ai-red-team.html
共 12 项 CRITICAL — 这些是上线前的硬性要求
## 上线后持续安全计划
### 每日
- 监控安全告警
- 检查异常 API 调用
- 审核新注册用户
### 每周
- 审查安全日志
- 检查依赖更新
- 评估 Prompt Injection 尝试趋势
### 每月
- 运行自动化安全扫描
- 审查访问权限
- 检查加密密钥轮换
- 审核第三方服务变更
### 每季度
- 人工红队测试
- 安全架构审查
- 合规审计
- 更新安全策略
### 事件响应
- 72小时内通知监管机构(GDPR)
- 安全事件响应流程已文档化
- 数据泄露通知模板已准备
- 事故后复盘流程已建立