iSoftBook全透明加密方案
保护研发数据的安全至关重要。iSoftBook采用创新设计方案,实现研发数据全方位、全透明加密,防止数据被非法获取的同时,消除了数据加密带来的正常使用障碍。
iSoftBook透明加密总体方案:
公私两类秘钥管理体系
研发人员个人私有数据采用研发人员独特秘钥进行加密,该秘钥仅由研发人员本人进行掌控和管理。 资产、项目等组织研发数据采用组织统一管理的秘钥进行加密,其秘钥仅由组织最高层层管理者进行掌控和管理。 iSoftBook实现研发个人数据和组织数据独自加密,是为了充分保障个人私有数据的安全性,鼓励个人私有研发数据资产的发展。
三级秘钥管理体系
iSoftBook实现数据加密密钥(Data Encryption Key,DEK)、密钥加密密钥(Key Encryption Key,KEK)和根密钥(RootKey)三级秘钥管理体系,每个文件、数据库每条关键数据都采用各自的DEK, 每个项目、每项资产都有独立的KEK。RootKey基于随机分割存于安全内存。
iSoftBook平台没有超级秘钥,数据根秘钥仅由数据私有者个人和组织最高层管理者所拥有,确保数据秘钥仅仅牢牢掌握在数据所有者自己手中,除其之外没有任何人能够解密数据。
即用即焚秘钥管理体系
iSoftBook平台秘钥即用即焚,用户私有数据秘钥在用户登录时基于用户登录密码即时提取,用户退出登录时即时销毁。组织数据根秘钥经组织高层管理者者明显设置方可起效,并可随时撤销而封存研发数据。 组织数据的KEK仅在使用时从加密存储中提取,15分钟内不再使用则即时销毁。保障数据秘钥的安全。
全系数据加密体系
iSoftBook实现Git cloud、Git Gallery、Git HTTP、Git LFS、MySQL数据库、Lucene索引、即使消息、Word文档HTML缓存等全系数据 加密,保障个人知识库、组织资产库和项目知识库中每个文件、每条数据、每项索引、每项缓存、每条消息等全加密,实现研发知识无遗漏加密。
AES-128信封加密
iSoftBook平台数据项采用128位秘钥AES CTR模式,运用信封机制加密,提供加密器、解密器、加解密数据的高性能缓存和随机加解密,实现高性能的数据加解和解密。
平台根秘钥管理
仅平台组织管理最高组织的管理员可以管理平台根秘钥。其登录系统后,点击系统顶部导航栏“秘钥”菜单,进入平台根秘钥管理,执行的功能包括:。
- 设置平台根秘钥,查看平台根秘钥设置状态
- 修改平台根秘钥
- 撤销平台根秘钥
- 查看平台根秘钥管理日志
- 注意:妥善保管根秘钥,根秘钥丢失,平台数据不可用。如需频繁设置和取消根秘钥,建议将根秘钥保存于浏览器的“密码管理器”中。
根秘钥管理日志
- 查看管理员管理跟秘钥情况,包括设置、撤销、修改等事件。
根秘钥设置提示
- 用户登录平台,平台自动检测根秘钥是否设置,并进行提示。
- 如未设置平台根秘钥,平台降级运行,用户可以只读个人私有数据,并可访问非加密数据,如查看项目、资产名称、组织信息等。
- 如未设置平台根秘钥,所有涉及研发知识的数据皆不可访问,系统自动取消其操作。并且所访问的任务、磁盘文件等将为乱码而不可读。
