# 第六章 安全设计

> 版本：V1.0  
> 基于文档：《AIGC-Hub智视码(AVCC)体系建设方案 V2.0》

---

## 6.1 等保三级合规框架

| 等保要求 | 落实措施 | 技术实现 |
|----------|----------|----------|
| **安全物理环境** | 广电云自有数据中心 + 等保三级机房 | 门禁、监控、冗余电力 |
| **安全通信网络** | 专线对接广电总局，公网 TLS 1.3 | Istio mTLS + WAF |
| **安全区域边界** | 分安全域（DMZ/应用/数据/AI/区块链/监管） | 网络策略 + 防火墙 |
| **安全计算环境** | 容器安全扫描、镜像签名、运行时防护 | Harbor + Falco |
| **安全管理中心** | 统一身份管理、集中审计、态势感知 | Vault + ELK + SIEM |
| **身份鉴别** | 多因素认证、最小权限、定期轮换 | RBAC + MFA + HMAC |
| **访问控制** | 零信任网络，细粒度授权 | OPA/Gatekeeper |
| **安全审计** | 全链路审计日志，不可篡改存储 | 审计链 + ELK |
| **数据安全** | 分类分级、加密存储、脱敏展示 | 国密 SM4 + 隐私计算 |

---

## 6.2 数据加密策略

| 数据类型 | 传输加密 | 存储加密 | 密钥管理 |
|----------|----------|----------|----------|
| 用户敏感信息 | TLS 1.3 | SM4-CBC（字段级） | Vault 动态密钥 |
| 视频内容 | HTTPS | MinIO SSE-S3 | KMS 托管密钥 |
| C2PA 水印 | HTTPS | 无（公开凭证） | 签名私钥 HSM |
| 区块链数据 | TLS + mTLS | 链上原生加密 | HSM 托管 |
| 审核报告 | TLS 1.3 | SM4-GCM | Vault |
| API 密钥 | — | bcrypt/scrypt | Vault 自动生成 |

---

## 6.3 隐私计算

针对创作者 prompt 和生成参数的隐私保护需求：

| 场景 | 技术方案 | 说明 |
|------|----------|------|
| prompt 保护 | 联邦学习 + 差分隐私 | 训练数据不上传，仅上传梯度 |
| 生成参数 | 多方安全计算 (MPC) | 参数分片计算，各方不见明文 |
| 版权比对 | 同态加密 + 安全求交 | 平台与版权方比对，不见原始指纹 |
| 链上存证 | 哈希上链，原文本地 | 仅 content_hash 上链，原文存 MinIO |

---

## 6.4 审计日志

| 审计事件 | 记录内容 | 存储位置 | 保留期限 |
|----------|----------|----------|----------|
| 赋码申请 | 申请人、时间、内容哈希、IP | PG + 审计链 | 10年 |
| 审核决策 | 审核员、AI 评分、违规明细 | PG + 审计链 | 10年 |
| API 调用 | 平台、接口、AVCC、耗时、结果 | ClickHouse + 审计链 | 5年 |
| 链上交易 | tx_hash、payload_hash、签名 | 联盟链 | 永久 |
| 管理员操作 | 操作人、时间、对象、变更前后 | PG + 审计链 | 10年 |
| 黑名单变更 | 操作人、目标、原因、证据 | 联盟链 | 永久 |

---

## 6.5 安全事件响应

| 级别 | 事件类型 | 响应时间 | 处置措施 |
|------|----------|----------|----------|
| P0 | 数据泄露 / 核心密钥泄露 | 15分钟 | 立即熔断、通知监管、溯源取证 |
| P1 | 区块链节点异常 / 大规模 API 异常 | 30分钟 | 切换备用节点、限流、告警 |
| P2 | 单服务故障 / 审核队列堆积 | 2小时 | 自动扩缩容、人工介入 |
| P3 | 性能下降 / 非核心告警 | 24小时 | 排期优化、变更窗口 |

---

*上一章：[05-部署与运维架构.md](05-部署与运维架构.md)*  
*下一章：[07-分阶段实施路线图.md](07-分阶段实施路线图.md)*