安全

安全

网络安全受到损害可能会对您的个人金融资产构成巨大威胁。 bitwallet 不断制定策略来保护我们的客户免受安全威胁。

bitwallet 遵守改善关键基础设施网络安全的行政命令中写入的行业最佳实践和原则。这使得 bitwallet 能够满足国际安全标准并提高基础设施的弹性。以下是基于美国国家标准技术研究院（NIST）框架的信息安全措施，该框架由三部分组成：框架核心、实施层和框架配置文件。

框架核心

框架核心由五个功能组成——识别、保护、检测、响应、恢复。

1. 识别

（一）提供客户资产的托管和管理

用户的资产在bitwallet上受到安全保护。货币等资产以安全的方式单独管理。

（二）金融机构高层管理

高层金融机构交易商不仅要在系统本身上落实安全措施，还要在组织和流程上进行完善。因此，bitwallet 实现了一个安全框架，能够在检测到异常时触发恢复过程；识别根本原因并及时诊断异常。我们打算实现这个功能，并进一步完善它。

2. 保护

2.1 加密

(1)SSL证书

bitwallet采用SSL加密技术进行数据通信。 SSL 是一种安全证书，可实现我们的平台和服务器之间的安全连接，同时确保所有数据保密。

(2) SSL-VPN证书

我们的网络服务器采用 SSL-VPN 加密，所有数据在传输前都会进行加密，以防止未经授权的第三方访问窃取数据。

2.2 防火墙网络安全

(1) 防火墙

防火墙充当网络和互联网之间的过滤器。防火墙增加了我们服务器的安全性，因为它可以防止恶意软件、病毒等威胁的传播。

(2)Web应用防火墙

bitwallet 使用 Web 应用程序防火墙 (WAF) 来防止恶意企图破坏我们的系统或窃取我们的数据。 bitwallet WAF 阻止针对我们的操作系统、软件和服务的常见攻击模式。

(3)IP任播

Dos（拒绝服务）攻击是试图用无用的流量淹没用户网络，使用垃圾邮件（邮件炸弹）和多个 ping 请求数据包进行攻击，导致计算机或网络关闭，从而使目标用户无法访问。还有 DDoS 攻击会导致网络功能永久崩溃。 bitwallet 使用 IP 任播来重定向请求。

(4)入侵检测系统(IDS)

在接收到服务器的多个网络流量后，IDS 能够监视和检测可疑活动并在其中发出警报。该系统能够对发现的恶意活动和异常流量采取行动。 bitwallet使用两种类型的系统——网络入侵检测系统和主机入侵检测系统。网络入侵检测监视入站和出站流量，而主机入侵检测可以识别来自主机本身的恶意流量。

(5) 统一威胁管理（UTM）

UTM整合了IDS、IPS和其他Web内容等多种安全服务和功能，以保护bitwallet免受安全威胁。

2.3 身份验证

(1) 强密码

重复使用或制作仅包含“比特币”等字母的简单密码会使密码变得脆弱且易于破解。 bitwallet只允许包含长长的大小写字符、数字和标点符号组合的强密码，使其更难被破解。

(2) 账户锁定

如果用户多次尝试登录失败，将被视为第三方未经授权的访问，从而导致帐户被锁定。如果您忘记了密码，请重设密码。只有通过身份认证后，您的账户才会被恢复。

(3) 2 因素身份验证

为了防止第三方未经授权的访问，当您登录 bitwallet 时，双因素身份验证 (2FA) 将充当额外的安全层。用户将需要帐户密码并使用自己的令牌再次登录才能访问其帐户。这使得潜在的入侵者更难获得访问权限，因为他们没有登录令牌。

(4) 监控登录历史记录

每次您从特定设备或通过网络登录时，您的登录历史记录都会保存在服务器中，包括大致位置和 IP 地址。查看它们以查看是否存在任何无法识别的登录。

(5) 会话超时

如果您在登录后一段时间内不活动，您将自动退出帐户，以防止未经授权的访问。

2.4 计划措施

(1) 跨站脚本

跨站点脚本攻击是一种安全攻击，攻击者可能会从其他受信任的网站攻击易受攻击的网站。 bitwallet 经过消毒以防止此类攻击。潜在危险的数据将在此过程中被删除或更改，使其无法执行。

(2) SQL注入

SQL 注入是一种用于与易受攻击的开源数据库进行通信的编程语言。它会向服务器发送命令来泄露用户信息。 bitwallet 使用输入清理来防止恶意命令的执行。数据将被更改为不可执行的SQL语言。

(3) 跨站请求伪造

跨站点请求伪造是一种安全攻击，它迫使用户执行未经身份验证的不需要的操作。 bitwallet 使用安全编码和 WAF 来阻止此类潜在有害攻击，同时监控安全系统。

(4)暴力攻击

暴力破解是一种通过破译各种密码来强行破解您的帐户的试错式密码破解方法。使用强密码并设置 2FA 来加强您的帐户免受此攻击，因为您的帐户将在有限的尝试内被锁定。

(5)密码加密

您输入的密码将被加密并保存到数据库中，通过在密码中添加盐来进行哈希处理，使其难以阅读。

(6)IP白名单

只有列入白名单的IP地址才能以bitwallet进行支付交易。任何无法识别的 IP 地址的使用和访问都将被阻止。

2.5 运行检查

(1) 自拍提交

需提交身份证明文件、居住地址证明及自拍照。自拍已被西方国家用于在线身份验证目的。此类程序的验证目的是防止假身份盗窃的发生。

(2) 邮件或短信验证

如果您想提高信用卡限额，生成的 ID 将通过邮件或短信发送给您进行身份验证。在规定时间内输入ID即可完成身份验证。

(3) 提款银行账户确认

我们的团队每天都会检查是否有错误的账户信息，例如银行名称、分行名称和帐号。

(4) 汇款人账户确认

所有交易信息将在发送前进行验证，并且可能会因检查所需的额外时间而延迟。银行转账时，请在汇款人姓名中注明您的账户识别码（账户 ID + 3 位数字）。

(5) 外包未经授权使用检查

我们聘请了外包服务来监控每个用户的日常使用情况，以防止任何未经授权的使用。

(6) 提现及退款指引

为防止洗钱和滥用信用卡的情况，我们将首先手动审核用户过去的使用历史记录，然后才能进行任何退款和提款交易。这将有助于及时阻止任何信用卡欺诈行为。

3. 检测

(1) 服务器检查

一旦我们的服务器发现任何错误，我们将通过预定的自动服务器检查激活紧急呼叫，关闭所有系统以最大程度地减少可能造成的损失。

(2)数据库加密

您的敏感数据在存储在我们的数据库时将全部被加密。加密数据很难解密。

(3) 独立的欺诈检测系统

公共区块链是由多个节点创建的网络。它是完全开放的，任何人都可以加入并参与网络。节点需要监控其进程和性能。 bitwallet 实现了一个监控服务器，可以实时收集每个笔记的信息，同时保存其日志。这使我们能够使用节点之间的交易验证来检查并采取行动，以尽早发现任何未经授权的访问或交易。

4. 回应

（一）应急预案

已制定应急计划来解决安全故障。通过模仿安全故障的广泛的基于场景的挑战，有效地制定和执行对策和预防措施。

(2)事件分析

bitwallet在开发过程中经过了多次验证测试和分析，发布后将继续进行安全检查。如果检查过程中发现任何安全漏洞，团队将迅速定位并纠正问题。

5. 恢复

(1) 恢复计划

恢复计划已到位，以解决安全故障，并根据故障排除手册中编写的广泛而详细的步骤执行，从而缩短恢复时间。

(2) 工程团队不断致力于提高稳定性并针对新风险制定解决方案

bitwallet团队由加密专家、专业人士和熟练的工程师组成，利用最新技术应对意外风险。

(3)完善安全响应流程

当多个公司之间发生联合安全故障时，信息将被保存并存档以供共享，以提高数据对应性。此外，我们还不断审查和改进应对安全漏洞的响应流程。

实施层

层级反映了组织如何实施核心职能和管理风险。 bitwallet 旨在通过增强的管理流程实现最高级别。

1. 风险管理流程

在 bitwallet 中，安全风险管理措施由管理层批准并制定为政策。我们的团队将把安全措施作为首要任务。

2. 综合风险管理计划

所有 bitwallet 员工均参与与网络安全信息相关的风险管理。

框架简介

该配置文件可帮助 bitwallet 建立路线图以降低网络安全风险并描述我们的当前状态、期望的目标状态和风险管理流程。

bitwallet基于美国行政命令——《改善关键基础设施网络安全框架》，从国际角度结合了行业最佳实践。

---

附加条款

显示的费用将从2018年7月1日开始。

修订

2.5操作检查（1）自拍提交已于2018年8月1日修订。
1. 标识已于2022年1月21日修订。