问题定义：为什么“批量移交”必须进后台

SafeW 的“零知识”架构决定了文件加密密钥只在员工本地 TEE 内生成，服务器全程不触碰明文私钥。若转岗时仅把文件“复制”给接手人，旧设备仍握有原密钥，既违背最小权限，也让审计链断裂。因此自 v7.4.1 起，SafeW 把权限移交做成独立工单，必须在后台一次性完成“密钥重加密＋归属变更＋链上备案”三步，否则合规基线扫描直接判负。

功能边界：哪些能移，哪些不能移

可移交对象涵盖个人保险箱、部门共享库与临时项目空间内的文件及文件夹；已开启“阅后即焚”的聊天附件、已上链的 DID 凭证、被链上防火墙标为“风险”的合约源码包则绝对禁止。若强行勾选后者，系统会弹窗提示“对象受合规策略保护”并立即终止流程，不留后门。

前置检查：三步确保工单不失败

1. 账号状态

转岗人与接手人均须处于“Active”且已启用生物识别；任一方若显示“Pending-TEE”，需先完成“Tap-2-Warp”初始化，否则后台拉不到公钥，工单无法创建。

2. 配额余量

接手人剩余保险箱容量需 ≥ 待移交总大小的 110%，系统默认预留 10% 作为重加密膨胀缓冲。若触发“Quota Overdraft”红字，管理员可在“组织设置-存储池”里临时上调，无需重启服务。

3. 合规基线

“安全基线漂移热力图”中任一侧出现“Red”，工单会在 41% 卡住并回滚。常见诱因是 UDP 6771 被拦截或 Kyber 密钥同步失败，解决后再点“重试”即可继续。

最短操作路径（分平台）

桌面端：Windows / macOS

浏览器访问 console.safew.eth，验证证书指纹后登录 SafeW Console。
左侧导航依次点“成员管理”→“批量移交”→“新建移交工单”。
在“转出成员”框输入 @旧员工 DID，系统自动列出可移交资源。
勾选目标库或文件夹，点击“添加接收人”并输入 @新员工 DID。
选择“移交模式”：
- 标准模式：重加密后旧密钥失效，可审计。
- 极速模式：仅变更归属，不重加密，30 天内旧设备仍可解密，适合低敏文件。
点击“生成预览”，确认大小、配额、基线状态全绿后提交。
系统返回工单号（格式 TX-20260317-XXXX），复制备用。

移动端：Android / iOS

SafeW App 目前仅提供“只读查看”控制台，无法新建移交。若临时在外，可用浏览器切换至桌面版网页，或在“实验室功能”打开“强制桌面视图”后按上述步骤操作；iOS 18 用户若遇“Tap-2-Warp”配对失败，先在“设置-实验室”关闭“NFC 安全超时”，再贴手机背面 3 秒即可拉起 TEE 通道。

例外与副作用：��么时候不该用极速模式

极速模式可节省约 60% 耗时（经验性观察，视文件大小波动），但旧设备仍保留密钥。若旧电脑需返还供应商或送修，务必改用“标准模式”并勾选“移交后远程擦除旧设备缓存”，否则审计日志会出现“多设备同时持有密钥”警告，导致 SOC 2 类型 II 报告不合规。

验证与回退：如何确认移交成功

1. 实时观测

工单提交后，“批量移交-进行中”卡片会显示进度条。标准模式分三阶段：① 密钥重加密（40%）② 归属写入链上备案（70%）③ 旧密钥失效（100%）。任意阶段失败系统均自动回滚，并邮件通知合规管理员。

2. 手工验证

接手人打开保险箱，文件左下角出现绿色对勾即表示新密钥已生效；转岗人再次访问同一文件应看到“密钥已失效”遮罩。若仍能打开，说明回滚未生效，需在“工单详情”手动点击“强制吊销”。

与第三方归档 Bot 的协同

若企业使用第三方归档机器人将 SafeW 文件同步到外部合规存储，务必把机器人“监听事件”改为“Post-Transfer”，否则机器人可能在移交前就把旧密钥文件拉走，导致外部副本无法解密。验证方法：在机器人日志里搜索工单号，确认时间戳晚于“归属写入链上备案”节点即可。

故障排查：最常见的三红灯

现象	根因	处置
工单卡在 41%，提示 QKY_QKD_UNREACHABLE	UDP 6771 被防火墙拦截	在边界放行 6771 并加 DSCP 46
预览时报“Quota Overdraft”	接手人容量不足	临时上调存储池或分批移交
移交成功但旧设备仍能解密	极速模式未吊销旧密钥	在工单详情点“强制吊销”

适用/不适用场景清单

适用：员工跨部门调岗、团队合并、外包离场、季度权限大轮换。
不适用：涉密级别为“绝密”且需国密算法文件（SafeW 目前仅支持 ChaCha20-Poly1305）、已上链的 DID 凭证、单文件大于 5 TB（经验性观察，超过此大小重加密耗时可能跨越维护窗口）。

最佳实践 6 条

每月第一周做“存储池余量巡检”，提前发现配额瓶颈。
把“标准模式”设为默认策略，仅对非代码类低敏文件开放极速模式。
移交前 24 小时锁定转岗人设备，防止增量文件遗漏。
工单完成后导出 CSV 审计摘要，上传至企业 SIEM，保留 7 年。
对返还设备执行“安全擦除”并拍照存档，避免“极速模式”残留密钥。
在“AI 零信任策略引擎”里把 *.githubcopilot.com 加入 ML 例外，减少误报阻断移交流量。

FAQ：SafeW 批量移交常见疑问

1. 移交后还能恢复吗？

标准模式一旦完成，旧密钥即被彻底擦除，SafeW 服务器无备份，无法恢复；极速模式可在 30 天内通过“撤销”按钮回滚，但需合规管理员审批。

2. 可以跨组织移交吗？

目前仅支持同一组织域（@company.eth）内成员，跨组织需先通过“外部库共享”功能，再走接收方内部移交流程。

3. 移交过程会中断业务吗？

文件读写可正常进行，但转岗人会在 100% 完成瞬间失去解密能力，建议提前通知其保存必要副本；接手人需重新打开文件以触发新密钥缓存。

4. 为什么工单状态显示“等待节点同步”？

链上备案需至少 3 个 Relay 节点签名，若当前网络拥堵或所选节点离线，可能等待数十分钟；可在“站点选择”手动切换到 Hong Kong-ZX 或 Starlink 卫星节点加速。

5. 能否通过 API 批量发起？

SafeW 提供 REST /graphql 端点（/console/api/v2/batch-transfer），但需组织级 API Key 与“合规管理员”角色；调用前仍要完成同样的基线检查，失败返回 412 Precondition Failed。

收尾：下一步行动清单

读完本文，你已了解 SafeW 后台批量转岗权限移交的完整生命周期。建议立即：

打开控制台，跑一遍“存储池余量巡检”，确认未来三个月配额安全。
把“标准模式”设为组织默认策略，关闭全员极速模式入口。
在 SIEM 里新增告警规则：工单状态＝Failed 且错误码≠Quota，实现第一时间感知。

完成这三步，你的下一次批量移交将既快又可审计，轻松通过任何外部合规抽查。

怎么在SafeW后台批量完成转岗员工文件权限移交？