账号与身?
支持组织人员管理、统一身份、单点登录和账号生命周期管理,减少多套账号带来的管理风险。
查看相关内容数据分类与管理建?
不同数据的敏感程度和保存要求不同,建议在上线前明确管理策略。
| 人员与组织数 | 包括姓名、手机号、部门、岗位、账号和角色,需限制查看和导出权限。 |
|---|---|
| 课程与学习记 | 包括课程进度、学习时长、完成状态和培训档案,可用于培训闭环和合规留痕。 |
| 题库与试卷数 | 包括题干、选项、答案、解析、分类、标签和组卷规则,应设置编辑、审核和导出权限。 |
| 考试与成绩数 | 包括答题记录、阅卷结果、成绩、证书和补考记录,需要确保可追溯、可复核。 |
| 监考与异常数据 | 包括人脸识别、音视频、屏幕录制、异常动作、切屏和复核结论,需要按项目要求保存和授权查看。 |
| 系统运维数据 | 包括登录日志、操作日志、接口日志、备份记录和异常告警,用于问题排查和审计。 |
私有化与内网场景的安全重?
当客户要求数据不出域、内网访问或深度集成时,安全评估需要更细。
部署前确?
- 服务器规格、操作系统、数据库、中间件和浏览器环境。
- 访问范围、域名证书、网络策略、防火墙和端口开放要求。
- 统一身份、组织同步、短信邮件、第三方平台和业务系统接口。
- 监考客户端、摄像头、麦克风、屏幕录制和终端管控策略。
- 数据备份位置、保存周期、恢复流程和运维责任边界。
上线后管?
- 定期检查管理员权限和离职人员账号状态。
- 重点关注题库导出、成绩导出、监考资料下载等敏感动作。
- 保留操作日志和异常处理记录,便于审计和责任追溯。
- 根据业务变化调整组织架构、考试规则和权限范围。
- 重要考试结束后及时归档成绩、证书、监考记录和复核结论。
与相关功能和专题的连?
安全合规不是单点功能,而是贯穿培训、考试、防作弊、部署和运维。
常见问题
围绕客户在评估、采购和上线前经常关心的问题整理。
培训考试系统通常涉及哪些敏感数据?
通常包括人员信息、组织架构、账号信息、课程学习记录、题库内容、答题记录、成绩证书、监考视频、屏幕录制、异常记录和管理员操作日志。
私有化部署是否一定比 SaaS 更安全?
两种模式的安全重点不同。私有化更强调数据边界、内网访问和客户自有运维,SaaS 更强调平台安全和快速开通。客户应根据数据敏感程度、集成要求和运维能力选择。
如何避免管理员权限过大?
可以通过角色权限、部门数据范围、功能授权、导出权限、操作日志和关键动作留痕来降低风险,重要考试建议设置专人复核和分级管理。
国产化适配和安全合规有什么关系?
国产化适配通常涉及操作系统、浏览器、数据库、中间件和服务器环境,和内网部署、权限控制、日志审计、运维可控等要求经常同时出现,需要在方案阶段一起评估。