> ## Documentation Index
> Fetch the complete documentation index at: https://manuals.cobo.com/llms.txt
> Use this file to discover all available pages before exploring further.

# 安全检查清单

请在产品配置过程中，确保已遵循以下安全建议，以最大程度保障团队的资产与操作安全。

<Info>如果您希望对团队配置进行更完善的安全检查，请联系[客户支持团队](mailto:help@cobo.com)。</Info>

## 风险控制

Cobo Portal 提供多种风控机制，旨在解决存储、管理和转移数字资产中遇到的挑战。

### 用户角色和权限

用户角色由预定义的规则组成，可用于为团队内的指定成员分配特定权限。

* 配置至少 2 名管理员，可以起到交叉验证、互为备份的作用。其他角色应根据实际需求妥善配置。
* 不建议给同一个成员分配多个角色。

更多详情，请参阅[用户角色和权限](/cn/portal/organization/roles-and-permissions)。

### 交易风控

您可以轻松设置和编辑链下和链上的交易风控，通过设置审批动作来自动处理每笔交易。
<Note>链上交易风控由区块链网络上的智能合约管理，仅适用于智能合约钱包。而链下交易风控由 Cobo Portal 的后端系统管理，适用于所有钱包类型。</Note>

交易风控是您团队的重要安全保障之一，建议您严格配置交易风控策略，特别是在大额提币场景中。应特别注意链下交易风控中的代币转账策略，以避免高风险情况，例如：

* 没有设置风控规则
* 存在未被交易风控覆盖的交易
* 所有交易自动通过
* 同一角色既可提币又可审批

更多详情，请参阅[交易风控简介](/cn/portal/risk-controls/tx-policies-overview)。

### 业务风控

业务风控确定了批准或拒绝某项操作所依据的审批规则。

以下操作为 Cobo Portal 中的重要操作，建议您配置 2 位及以上[管理员](/cn/portal/organization/roles-and-permissions)审批。

* 邀请成员
* 更改成员的用户角色
* 编辑业务风控
* 管理交易风控
* 管理地址列表中的地址
* Cobo Portal Apps 授权
* 变更 Cobo Portal Apps 权限
* 变更 Cobo Portal Apps 审批流
* 管理 API Key

更多详情，请参阅[业务风控介绍](/cn/portal/organization/governance-intro)。

## 管理员身份认证

为提升安全性并降低账户被盗风险，强烈建议所有管理员启用至少两种身份认证方式，其中 Portal Mobile 应作为其中之一。

推荐组合包括：

* Portal Mobile 和 Google Authenticator (GA)
* Portal Mobile 和安全密钥

<Note>建议将 GA 安装在与 Portal Mobile 不同的设备上，以避免因单一设备丢失导致无法访问账户。</Note>

## API Key 设置

管理员和操作员可以在开发者上注册 API Key，并分配特定的用户角色、权限和 IP 白名单。

* 使用长期 API Key，并设置 IP 白名单和配置回调端点。
* 妥善配置钱包范围，尽量避免选择**任何类型钱包**。

更多详情，请参阅[注册 API Key](/cn/portal/developer-console/create-api-key)。

## MPC 钱包相关配置

### 私钥

通过 MPC 技术，私钥分片在不同的安全环境中单独生成、加密，并分配给多个参与方（私钥分片持有者/签名人），这些私钥分片的每一组集合形成一个私钥。

* 除主控私钥外，另外创建至少一个签名私钥和一个恢复私钥，以保证资产的安全性和可恢复。
* 对于主控私钥和恢复私钥，选择组织内高级管理人员作为私钥分片持有者，并建议将其分配为[观察员](/cn/portal/organization/roles-and-permissions)角色，以最大程度减少他们参与日常操作。对于签名私钥，根据运营需求和安全考虑，从组织各层级选择合适的私钥分片持有者。

更多详情，请参阅[私钥概览](/cn/portal/mpc-wallets/ocw/holder-group-overview)。

### 私钥分片备份和恢复

生成私钥分片后，您可以备份私钥分片文件，确保私钥分片的安全性和可恢复性。请妥善保管私钥分片备份的恢复口令和加密数据库密码。如果丢失，您需要使用恢复私钥来恢复私钥分片（如果已经设置了恢复私钥）。

更多详情，请参阅[移动端签名人备份私钥分片说明](/cn/guard/generate-and-back-up-key-shares#%E5%A4%87%E4%BB%BD%E7%A7%81%E9%92%A5%E5%88%86%E7%89%87)和[服务端签名人备份私钥分片说明](https://www.cobo.com/developers/v2_cn/guides/mpc-wallets/server-co-signer/key-shares-backup)。
