LITE SOFT DEV
Эксплуатация

Безопасность

Сетевые контуры, обезличивание, WAF, аудит и журналирование.

Приватность встроена в архитектуру: на MVP платформа работает без персональных данных, а серверы разделены жёсткой границей доверия.

Граница доверия

Из интернета доступен только WEB PORTAL. NEURO CORE принимает запросы только от Go-сервиса портала по внутренней сети.

WAF

WAF фильтрует HTTP-запросы до приложения и блокирует:

  • SQL-инъекции и XSS;
  • ботов и автоматические сканеры;
  • аномально частые запросы;
  • подозрительные загрузки.

WAF не заменяет авторизацию и шифрование: права проверяет Go через RBAC, транспорт защищает HTTPS. В MVP — ModSecurity с Nginx или внешний WAF провайдера. Блокировки уходят в Loki, алерты — в Grafana.

Контуры платформы

КонтурГдеДоступ
ПрикладнойКабинеты и Go API на WEB PORTALИнтернет через WAF
Кэш и очередьRedis на WEB PORTALВнутренний
ДанныеMongoDB и Qdrant на NEURO COREТолько локально
ИИvLLM, RAG, модерация на NEURO COREТолько NEURO CORE Service
АдминистрированиеGrafana, мониторинг, CI/CDТолько VPN

Персональные данные

Состав данных MVP

В MVP не собираются ФИО, телефон, электронная почта, адрес и СНИЛС. Используются технический ID, школа, класс, ответы и аналитические теги.

В NEURO CORE передаётся только обезличенный идентификатор и контекст диалога — обезличивание выполняет Go до каждого вызова /v1/chat.

ИИ-безопасность

  • Фильтрация запрещённого — в NEURO CORE Service.
  • Журнал диалогов — MongoDB.
  • Модели работают локально через vLLM: данные не покидают контур.
  • Ограничения диалога (без диагнозов, рекомендации как варианты) — в сценариях RAG.

Журналирование и аудит

СистемаНазначение
LokiТехнические логи и срабатывания WAF
MongoDBБизнес-журналы и аудит действий
GrafanaДашборды и алерты, только VPN

Журналы аудита архивируются после 90 дней и хранятся один год.

Обязательные меры MVP

HTTPS, WAF, RBAC, журналирование, мониторинг, резервные копии, раздельные dev/test/prod-окружения и SSDLC.

On this page