安全概述

简介

印象笔记深受广大用户的信任,将他们的笔记、项目和想法存储在这里。用户的信任源于我们对数据隐私和安全的保护。此概述之目的在于向用户阐述我们如何保护数据。我们会在提高安全能力及升级产品安全性能的同时,持续更新此概述之内容。

安全措施

印象笔记任用了最专业的安全团队,确保你存储在印象笔记中的所有数据的安全性。我们的安全程序主要覆盖以下几个方面:产品安全、基础设施控制(物理和逻辑层面)、政策、员工意识、入侵侦测以及审核机制。

安全团队通过在公司内部推行安全事件响应机制,指导印象笔记员工报告可疑活动。我们的安全事件响应团队拥有可以随时应对安全问题的程序和工具,并不断革新技术,提高针对基础设施、服务和员工的入侵行为的侦测能力。

我们会定期对基础设施和可能会对用户数据安全造成影响的易受攻击或有待修正的应用进行审核。我们的安全团队会反复评估新工具,提高审核的覆盖率和深度。

网络安全

印象笔记通过使用包括负载均衡设备、防火墙以及虚拟专用网络的方式搭建网络架构。我们以此来控制需要接入网络的服务,并将我们的产品网络与我们的其它操作设备分隔开。对于有业务需求的访问者,我们会设置产品基础设施访问权限,并强化访问认证。

我们通过按需缓解服务来应对分布式拒绝服务( DDoS )的攻击,以保护我们的服务器。

帐户安全

印象笔记从未以明文存储过用户的密码。用于验证帐户登录的密码被存储到印象笔记服务器上时,都配有唯一的盐值,并通过 PBKDF2 算法进行安全加密。为了兼顾良好的用户体验和密码破解的复杂度,我们慎重选择了 PBKDF2 算法中的加密迭代次数。

虽然我们不会强制用户设置复杂的密码,但我们的密码强度指示器会鼓励用户选择一个不宜破解的高强度密码。我们会针对同一帐户或来自同一地址的登录尝试次数设限,降低他人破解密码进行登录的风险。

印象笔记为所有帐户提供两步验证(2SV)。我们的两步验证机制是有时间限制的一次性密码算法。所有用户都可以通过使用手机上的应用来生成本地密码,高级帐户和企业用户可以选择将密码以短信的形式发送至手机。

邮件安全

用户可以通过向印象笔记私有邮箱发送邮件的方式创建笔记。为避免用户接收恶意内容,我们会使用商业杀毒扫描引擎对接收的邮件进行扫描。

在用户收到来自印象笔记的邮件时,我们希望用户能确信所有邮件均来自印象笔记。我们使用了强制性 DMARC 策略,便于用户检验收到的邮件是否确实来自印象笔记。所有从 @yinxiang.com 发出的邮件都会使用 DKIM 签名进行加密,并且通过我们在 SPF 记录中公布的 IP 地址发出。

产品安全

对于保护用户数据而言,确保我们接入互联网的网络服务的安全性是至关重要的一环。我们的安全团队使用应用安全程序来提高代码的安全性,并针对以下常见的应用安全性问题定期评估我们的服务:跨站请求伪造、注入攻击(XSS,SQLi)、会话管理、URL重定向及点击劫持。

我们的网络服务使用 OAuth 协议为第三方应用程序提供用户认证。用户无需向第三方应用提供印象笔记登录信息,即可将第三方应用无缝接入印象笔记帐户。用户登录印象笔记并授权后,印象笔记会将授权令牌发送给第三方应用,此后该应用可以凭此授权令牌访问用户的印象笔记帐户,而无需在设备上保存用户的印象笔记用户名及密码信息。

所有与我们的服务对接的客户端应用程序都通过一组规范定义的thrift应用程序编程接口进行操作。由于所有与服务器的通信都经由该接口进行,我们得以将授权检查机制深入建立在应用架构的底层结构中。客户端无法直接访问服务内部的对象,且每次访问服务接口时都要检验其授权令牌,这样就可以保证客户端在访问特定笔记或者笔记本时,确实已通过验证并取得了用户的授权。详情请参阅dev.yinxiang.com

用户区分

印象笔记所采用的服务为多租户模式,不会将你的数据与其他用户的数据相区分。你的数据同其他用户的数据存储在相同的服务器中。我们认为你的数据是私有的,其他用户无权获取,除非你明确进行共享操作。更多关于我们如何对获取和共享内容权限进行验证之内容,请参阅产品安全部分。

数据销毁

印象笔记会保留你的帐户内容,除非你明确进行删除笔记和/或笔记本的操作。停用个人帐户或退出企业帐户并不会自动删除帐户中的内容。

对于个人笔记和笔记本,你可以通过删除笔记本中的所有笔记,然后清空废纸篓来删除帐户中的内容。删除某个笔记本后,与该笔记本相关的所有笔记都会被自动清除到废纸篓中。删除某条笔记后,对该笔记数据的所有引用和连接都会从我们的数据库中删除。

存储媒体处理及销毁

如果存储媒体曾被用来存储用户数据,我们绝不会将其用于我们产品环境之外的其他用途。我们会使用消磁或物理粉碎处理步骤来安全清除存储。

用户帐户准入

同其它云服务一样,印象笔记使用管理控制工具来管理服务。我们的用户支持和平台管理团队使用这一工具来解决用户问题。我们对基于业务需求使用该管理控制工具访问用户数据的权限设限,并强化访问认证。

我们会定期审核员工对用户帐户的访问情况,防止滥用管理权利,并最大限度减少未来访问用户帐户内容的情况。

活动日志

印象笔记通过服务器记录用户活动。其中包括 web 服务器的访问日志,以及通过我们的 API 进行的活动日志。这些日志同时包括成功及未能成功登录的活动事件。鉴于我们的用户/服务器结构性质,我们无法确知同步的笔记是否被浏览过。我们不会自动收集产品客户端的活动日志。用户可以在帐户设置中的访问历史部分查看最近所有与你的帐户相连接的应用的访问时间及 IP 地址。

传输加密

印象笔记使用行业标准的加密方式来保护传输中的用户数据,通常指传输层安全性 (TLS) 或安全套接层 (SSL) 技术。此外,印象笔记服务(app.yinxiang.com)支持 HTTP 严格安全传输(HSTS)协议。我们同时支持多种加密算法及 TLS 协议版本,一方面能在支持高强度加密的浏览器上提供强力保护,另一方面能为较早版本的客户端提供向后兼容,并在两者间取得平衡。印象笔记致力于不断改进传输层安全性,以更好地保护用户数据。

所有输入或输出的邮件均支持 STARTTLS 加密协议。如果你的邮件服务提供商支持 TLS,通过印象笔记服务发出或接收的邮件在发送过程中会被加密。

我们在中国创建了两个数据中心,并使用与互联网相隔离的专用网络链路进行数据中心间的数据传输。同时使用 GCM-AES-128 算法通过 MACsec 协议对该链路上的所有数据流进行加密。

对笔记内文本进行加密

如果你使用印象笔记桌面客户端,如 Windows 或 Mac 版,可以对笔记内的任何文本进行加密,为私人信息提供额外保护。印象笔记使用 128 位密钥的 AES(高级加密标准)对你选中的文本进行加密。

在对文本进行加密时,我们会提示用户输入加密口令。在为用户口令加上唯一的盐值,并使用 PBKDF2 算法进行 50000 次 SHA-256 迭代计算后,会得到一个 128 位的 AES 密钥。然后将该密钥同初始向量一起通过 CBC(加密块链接)模式对用户数据进行加密。

印象笔记绝对不会收到此密钥或用户的口令,也不会使用任何托管机制来恢复用户已加密的数据。这表示用户一旦忘记口令,就无法恢复数据。

灵活性/可用性

为保证在你在需要时能随时随地使用印象笔记,我们采用了具备容错机制的系统和网络架构,其中包括:

  • 多样且冗余的网络连接。
  • 冗余网络架构,包括:网关、路由器、负载均衡设备及防火墙。
  • 由大量笔记服务器构成的可扩展系统架构。笔记服务器相互独立运行,每个笔记服务器只针对固定的一小部分用户提供服务。
  • 笔记服务器运行在互为冗余的成对服务器上,提供在单一服务器发生故障时的热备能力。
  • 服务器配备了冗余电源,冗余网络设备,以及 RAID 冗余存储。

我们的托管方提供的容错设施服务包括:电力供应,暖通空调及防火设备。

我们提供实时及历史状态更新,请前往:http://status.yinxiang.com 查看。

我们每天会对所有用户数据进行至少一次备份,并将这些备份数据通过专有网络链路复制到备用数据中心,确保即使在面对灾难性的数据中心损失时,我们仍可恢复所有的笔记数据。我们不会使用便携或可移动媒体备份数据。

实体安全

用户将笔记同步到我们的服务器后,这些数据会被存储在印象笔记数据中心的一个专属加密区域内。这些数据中心实行全员24x7x365小时监控。进入数据中心至少需要进行两步验证,可能还会包括第三因素-生物识别技术。

我们的所有数据中心均采用 SOC-1 Type 2 认证来进行身份验证,以此对我们的基础设备进行物理保护。只有印象笔记运维人员及数据中心工作人员拥有对这一区域的准入权限,每当有人进入印象笔记专属区域时,运维部门就会收到报警信息,及相关的视频监控资料。

所有印象笔记数据都存储在中国,且在国内有独立的数据备份中心。

隐私及合规

更多内容请参阅隐私条款。我们暂时没有发布服务组织控制(SOC)协议。