Dify 三模式安全配置清单(数字安全专用)
一、通用全局安全配置(所有模式必开)
1. 基础权限管控
- 关闭匿名访问,全员账号登录
- 开启访问IP白名单,仅内网/办公IP接入
- 接口调用开启请求频率限制,防暴力刷调用
- 密钥分级管理:模型Key、插件Key、数据库Key分开存储
2. 输入安全防护
- 全局开启恶意Prompt拦截
- 配置敏感词库:手机号、身份证、密钥、内网地址、涉密字段
- 强制输入长度限制,截断超长注入语句
- 禁用用户自定义系统提示词,固定管理员统一模板
3. 数据与会话安全
- 会话自动过期:闲置15分钟清空上下文
- 禁止会话长期持久化,关闭全局长期记忆
- 传输强制HTTPS,禁用HTTP明文
- 知识库文件自动脱敏,屏蔽身份证、银行卡、企业涉密信息
4. 日志审计(等保必备)
- 全开调用日志:用户、时间、输入、输出、模型、工具调用记录
- 日志本地留存≥30天,禁止随意删除
- 异常调用告警:高频调用、敏感词汇、外网异常访问自动提醒
5. 模型通用安全
- 统一关闭模型自主改写、越界拓展
- 禁用模型原生联网,统一走可控搜索插件
- 模型响应禁止返回服务器路径、配置信息、内网架构
二、Workflow 工作流 专属安全配置(最高安全等级)
优点回顾
路径固定、无自主思考、注入风险最低、最适合涉密/审批/核心数据
专属安全设置
- 节点强参数校验
每个输入节点设置数据格式、字段范围、内容白名单,非法数据直接拦截 - 流程固化锁定
发布后锁定流程,普通成员不可修改节点逻辑、跳转分支 - 数据单向流转
禁止逆向回传敏感数据,只出不进、分级隔离 - 节点独立脱敏
涉密节点单独配置脱敏规则,走完流程立即清除临时缓存 - 禁用任意工具自由调用
仅开放流程内预设工具,禁止新增临时工具
适用安全场景
财务流程、人事审批、涉密文档整理、内部数据统计、合规表单
三、Chatflow 对话流 专属安全配置(中等安全)
优点回顾
带对话流程、可控多轮、引导式交互、风险适中
专属安全设置
- 对话流程强制锁死
禁止用户跳出预设对话分支,偏离流程直接终止会话 - 上下文分段清理
每完成一轮业务自动裁剪无用历史,避免敏感信息堆叠泄露 - 问答内容边界限制
设定问答范围,超出企业内部业务直接拒绝回答 - 关闭自由闲聊模式,仅业务交互
- 多轮对话开启二次确认,涉及敏感操作必须用户确认
风险短板&封堵
- 防上下文注入:禁止利用多轮对话诱导套取后台配置
- 防话术诱导:拦截试探内网架构、服务器信息、员工隐私提问
适用安全场景
员工手册问答、内部制度咨询、办公流程指引、售后合规咨询
四、Agent 智能体 专属安全配置(高风险·强管控)
优点回顾
自主思考、自动规划、多工具联动、灵活极强
强制安全硬性约束(缺一不可)
- 工具白名单严格限流
只开放业务必需工具,删除文件删除、数据库删改、服务器操作等高权限工具 - 思考过程隔离
禁止把Agent内部推理思考内容返回给前端用户 - 最高权限冻结
Agent仅可读数据,禁止写、改、删、下发指令 - 联网搜索强过滤
SearXNG/全网搜索屏蔽涉密站点、内网地址、高危域名 - 开启人工拦截审核
高风险任务自动暂停,推送管理员审核后再执行 - 限制单轮最大工具调用次数,防止无限越权调用
高危漏洞封堵
- 严防Prompt注入诱导Agent执行危险命令
- 禁止Agent拼接内网IP、端口、数据库账号进行主动探测
- 禁止Agent汇总多渠道零散敏感信息进行整合外泄
适用安全场景
安全日志分析、威胁情报整理、公开资料调研、非涉密资料整合
绝对禁止场景
核心涉密数据处理、内网运维操作、财务资金相关、人员隐私调取
五、三者安全横向极简对照表
| 维度 | 工作流Workflow | 对话流Chatflow | 智能体Agent |
|---|---|---|---|
| 自主决策 | 无,完全固定 | 弱,仅限预设分支 | 强,自主规划步骤 |
| 注入攻击风险 | 极低 | 中 | 极高 |
| 数据泄露概率 | 最小 | 中等 | 最高 |
| 运维审计难度 | 最简单 | 简单 | 极难 |
| 权限管控难度 | 极易 | 容易 | 极难 |
| 数字安全推荐等级 | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐ | ⭐⭐ |
| 企业涉密优先选 | 首选 | 次选 | 尽量不用 |
六、最终企业数字安全落地准则
- 核心涉密业务:只用 Workflow
- 内部咨询问答:优先 Chatflow
- 调研、公开资料、安全运维分析:谨慎用 Agent
- 任何场景禁止Agent直连核心数据库、业务核心接口
- 上线前必做:注入测试、越权调用测试、敏感信息外泄测试