安全架構文件
Zero Trust 七層安全防護架構 — 企業級資安設計規範
L1邊界防護
WAF + DDoS 防護 + Rate Limiting(100 req/min)
L2身份認證
JWT + OAuth 2.0 + MFA 雙因子驗證
L3授權控制
RBAC + ABAC + Zero Trust 最小權限原則
L4傳輸加密
TLS 1.3 + HSTS + CSP + CORS 嚴格控制
L5資料加密
AES-256-GCM + 欄位級加密 + 金鑰輪換
L6審計日誌
完整操作記錄 + 異常偵測 + 90天保留
L7合規監控
GDPR + PDPA + SOC 2 Type II 合規
API 安全規範
所有 API 請求必須攜帶有效的 Bearer Token(JWT)
Token 有效期限為 1 小時,Refresh Token 為 30 天
敏感操作需要二次驗證(2FA / TOTP)
API 請求速率限制:100 req/min(一般),10 req/min(LLM)
所有 API 日誌保存 90 天,審計日誌保存 1 年
資料傳輸全程使用 TLS 1.3 加密,禁止 HTTP 明文