平台安全运营

文档目标

本文档用于整理平台侧审计、安全信号、高风险动作和异常访问的治理入口，帮助平台管理员先判断风险范围，再决定是继续查审计、撤销令牌、回到联邦页，还是直接进入安全事件处置。

适用角色

• 系统管理员
• 平台安全运营
• 平台运维

适用场景

• 高风险变更复核
• 异常登录或越权疑似排查
• 平台级审计查询
• 令牌、授权或联邦异常触发的安全核查

覆盖范围 / 不覆盖范围

覆盖：

• 审计日志查询与追踪入口
• 高风险动作的核查顺序
• 令牌、授权、联邦与租户安全信号的联动判断
• 平台级安全事件进入正式处置前的运营判断

不覆盖：

• 安全制度、合规制度或外部 SOC 平台配置
• 单租户日常账号锁定、密码重置等普通运营动作
• 研发层面的漏洞修复方案

核心入口与系统落点

• 系统后台：Audit、Operations、Tokens、Authorizations、Federation
• 运维接口：POST /api/system/ops_detail
• 只读运维入口：IDS MCP 运维入口
• 参考文档：运维与健康检查、平台接入与联调参考

建议处理顺序

1. 先确认事件是平台级还是单租户级，是否已经影响多个租户或公共入口。
2. 在 Operations 查看健康、提醒、失败趋势和安全相关异常是否仍在持续。
3. 在 Audit 按对象、操作者、时间范围回溯关键动作。
4. 如果问题涉及会话或令牌，继续到 Tokens 与 Authorizations 判断是否需要撤销活动令牌或核查授权状态。
5. 如果问题由外部身份源或协议链路引起，再到 Federation、SAML 或 SCIM 相关治理入口继续下钻。

常见判断原则

• 当前平台审计已覆盖认证、联邦、供给和高风险自助动作，并支持后台查询、导出和归档能力。
• 当健康检查正常但近期失败快速增长时，优先怀疑安全链路或配置异常，而不是基础依赖故障。
• 当问题集中在活动会话、撤销需求或可疑访问时，应先看 Tokens 与 Authorizations，不要只停留在错误提示本身。
• 如果异常由已禁用租户触发，优先回到 租户治理 确认是否为预期拦截。
• 如果已出现越权、多租户影响或需要立即止损，应直接进入 平台安全事件处置 SOP。

关联文档

• 上游导航：平台运营配置文档
• 关联专题：平台可观测性与健康检查、租户治理
• 执行文档：平台审计排查 SOP、平台安全事件处置 SOP
• 参考文档：运维与健康检查、IDS MCP 运维入口