loading

bitwallet

Search

Language

CN

钱包的安全措施

本公司的安全措施及对策

bitwallet的安全措施

本公司(bitwallet PTE LTD)作为服务运营商,为广大客户保管宝贵资产。本公司结合当前最高级别的在线·离线安全防护措施,并为更加易于客户使用操作,我们每天都在不停地研究及开发功能。本公司,以安全性能和用户思维作为服务的基础,对全体服务人员灌输安全意识,并不断地检讨最新的安全措施并加以完善。

在此之外,我们还清楚地认识到自己作为世界性的钱包服务商,一直在积极地引入反欺诈措施,我们已实施全球标准的AML(反洗钱)·KYC(本人确认)等措施。

以下为,本公司的一部分安全措施。

钱包的安全措施

个人金融资产时刻暴露在网络安全的威胁中。Bitwallet将安全措施作为首要任务,致力于保护您的宝贵资产免受安全威胁。

为此,bitwallet实施了国际上最高标准的安全措施。我们遵循美国颁布的"提升关键基础设施网络安全的框架",应用风险管理及最优方法以提升安全措施和对应柔软性。该信息安全框架由美国国家标准与技术研究院(NIST)所制定,分别由三部分组成:框架核心,框架轮廓和框架实现层级。

  • 框架核心

    框架核心功能定义如下:识别(Identify),保护(Protect),检测(Detect),响应(Respond),恢复(Recover)。

    • 1. 识别(Identify)

      • (1) 通过对资产管理(托管)业务,分别对客户的虚拟货币进行单独管理。

        bitwallet将全力守护您的宝贵资产。因此,bitwallet为了客户钱包的安全考虑,将为客户您单独设立账户并加以管理。此外,还将根据客户账本和块链上的用户余额进行对照以用于管理。

      • (2) 自定义钱包的政策 - 支持Multisig -

        单纯采用冷钱包管理方式的密钥,还是存在泄露密钥的风险。于是我们在冷钱包管理方式之外,还认识到必须支持Multisig功能,从而进行双重保护。在密钥分散管理的理念中,有"Single"和"Multisig"两种方式。Single是将密钥不进行分割分散保管的方法。然而,Multisig是将密钥分成多个并分别保管。因此在Multisig中,即使一个密钥被盗,也会因为没有足够的密钥而被制止操作。在Bitwallet中,同时采用了冷钱包和Multisig技术,以防止密钥被盗导致钱包中的货币损失。

      • (3) 通过离线电子钱包管理客户的资金

        一旦密钥泄露,可能会导致客户资产的损失。因此,密钥的管理安全非常重要。密钥的管理方式被分为"热钱包"和"冷钱包"。热钱包是将密钥保持联网状态的钱包。相反,冷钱包就是密钥不和网络连接的钱包。从安全的考虑出发,离线的冷钱包比热钱包拥有更高的安全性。bitwallet采用冷钱包管理方法,将密匙与网络断开,这样就可以使您的密匙更加安全。

      • (4) 优质的金融商品买卖从业者管理体系

        安全措施仅仅依靠防护系统并不完善。作为优质的金融服务商,您必须得要实时维护组织和流程。bitwallet作为优质的金融服务商,独自开发了一套安全框架。由此我们可以迅速感知异常,调查原因并恢复功能。不仅局限于此,我们还在不停努力寻找漏洞并加以完善该体系。

    • 2. 保护(Protect)

      • 2.1 导入加密技术

        • (1) SSL的应用

          bitwallet应用了SSL进行加密。SSL是一种电子版证书,它可以起到验证本人身份的作用。通过加密处理,从而增加网站的可信度。

        • (2) SSL-VPN的导入

          在虚拟专用网络中引入了SSL-VPN技术,从而将数据进行加密处理后再传输。通过加密处理虚拟专用网络的通信数据,进而防止第三方的篡改和窃听数据。

      • 2.2 防火墙防御

        • (1) 防火墙

          如今存在各种各样的安全威胁,例如计算机病毒和黑客攻击等,为了防止这些情况的发生,我们将会对每个 数据包进行监控,并通过设置防火墙以拦截可疑数据包。

        • (2) Web应用防护系统

          在防火墙之外,我们还启用了 Web应用防护系统,从恶意攻击中有效保护Web应用程序。Web应用防护系统将对利用web漏洞的攻击进行检测,并阻止攻击行为。bitwallet的WAF是通过三种模式(专用设备、软件和服务)来设置并进行保护。

        • (3) IP Anycast的使用

          作为攻击服务器方法代表:DoS攻击(Denial of service)。它拥有多种攻击手段,最为常见的如:汇款大量邮件(mail bomb)或者输入大量ping码(ping flood)等手段。还有一种DDos攻击,它是应用DoS攻击方式,分散化进行攻击。为了对应DoS和DDoS攻击,bitwallet使用了IP Anycast对请求进行了分散和回避措施。

        • (4) 入侵检测系统(IDS)

          当短时间内发生许多访问请求时,仅依靠防火墙并不能准确判断攻击数据包。于是,bitwallet采用了入侵检测系统(IDS)。入侵检测系统是一种检测网络非法入侵的系统。在bitwallet中,作为检测非法入侵的方法,被分为网络和主机两种类型进行了阻拦。网络类型是,将网络上的数据包进行监视和参照,从而检测出非法入侵的行为。主机类型是,安装在监控的服务器上,对文档数据进行监控,检测入侵篡改等行为。

        • (5) 安全网关管理(UTM)

          仅仅使用防火墙,并不能完全阻止可疑数据包之间的传递,无法完全防止可能产生的威胁。于是bitwallet采用了涵盖IDS,IPS和Web内容过滤等多种功能的安全网关管理(UTM)。通过这些,能检测多种威胁并进行全面监控。

      • 2.3 个人身份验证

        • (1) 密码强度

          如果设定的密码过于简单,将导致他人容易地推断出密码,进而使用该帐户进行操作,导致用户遭受损失。所以,不能使用bitcoin等第三方易于推导的密码。我们将会为您检测密码安全程度强弱,密码必须由字母数字和符号组成,并且密码一定要具有一定长度。

        • (2) 锁定帐户

          如果在短时间内密码输入错误超过一定次数时,我们将会判断为第三方尝试登录账户,我们将会对该帐户进行锁定。如果是您本人因为忘记了密码而导致帐户被锁定时,则需要用户通过解除手续进行解锁帐户。

        • (3) 通过二级口令提高安全性

          仅依靠密码作为登录方法时,如果密码被第三方窃取,就可能会导致用户蒙受损失。于是,bitwallet在密码之外,还添加了需要安全密钥的二级口令系统。在二级口令系统中,首先需要您输入密码,之后要输入验证密钥才能顺利登录系统。换句话说,如果您要登录时必须满足以下两个条件,"账户密码信息"和"具有密钥信息的终端"。由此可以有效防止第三方的盗用密码,如果在没有终端的情况下,将无法登陆并操作。在施加两道安全措施后,有效地增强了安全性并且用户可以更安心使用。

        • (4) 登录历史管理

          服务器将会自动记录用户的访问·登陆历史记录。如果发生非授权访问时,我们将会通过访问·登陆历史,对数据进行解析,识别并锁定非法访问的时间和登陆的终端信息。

        • (5) 自动超时登出

          如果您在登录后长时间离开计算机,则可能导致第三方使用、滥用。为了防范风险,我们将在您在登录后离开一定时间时,因超时而自动登出。

      • 2.4 程序对策

        • (1) 跨站脚本攻击措施

          跨站脚本攻击是在网站的外部编写任意脚本,以执行并攻击网站漏洞的方式。Bitwallet中为了防止跨站脚本攻击,采用了防止恶意软件措施。我们将输入数据中的危险字符进行替换或删除,从而使跨站脚本攻击无效化。

        • (2) SQL注入措施

          SQL注入是指,攻击者通过在应用程序中预先定义好的查询语句结尾加上额外的SQL语句元素,欺骗数据库服务器执行非授权的任意查询。bitwallet 的SQL防注入防卫措施为:在设计应用程序时,完全使用参数化查询来实现数据的访问,并且针对所传入的参数进行字符替换。这样就能将具有特殊含义的符号替换为普通字母,以便不执行SQL语句。

        • (3) 跨站伪造请求攻击措施

          跨站伪造请求攻击是将用户的请求篡改伪造,设置陷阱并攻击漏洞的一种方式。bitwallet将建立并遵守安全编码标准,防止因漏洞的产生而被恶意攻击。还会实施定期的安全检查。

        • (4) 防止暴力攻击法对策

          暴力攻击法也是称为蛮力攻击法,通过尝试各种密码以达到破解的目的。对于这种方法,上述个人认证中已经说明,设定更难以揣摩的密码,以及二级口令,并在多于一定密码输入错误次数下,帐户将会自动锁定,以防止通过暴力解锁。

        • (5) 密码保存时的加密化

          当客户输入密码并在数据库中进行保存时,我们将会对其进行加密化,并在其中添加"Salt值",最后进行保存。"Salt值"添加方法为:在密码中按照程序排列自动添加字符。这样操作之后,即使数据库被破解也无法取得密码信息。

        • (6) 注册IP地址以外地区登录将被限制操作

          bitwallet中,只有注册地的IP地址才能进行结算手续操作。因此,即使第三方从另一个终端执行非法操作,他也会因为IP地址限制从而被阻止。

      • 2.5 操作

        • (1) 提交身份信息

          身份信息和住所证明信息以外,我们还要求您提交持证件照自拍照。持证件照自拍照是一种在线身份验证手段,近年来已在欧洲和美国等各个国家推出。具体请参照样本照片,手持记载有本人照片信息的证件,并将本人头像和照片都清晰的拍摄在一张图片内。这样即使通过网络,也能进行本人的确认。

        • (2) 通过邮寄或短信认证

          为了提高卡片支付的额度,我们将通过邮寄或短信验证码的方式,对客户进行身份验证。我们将向客户登记的手机或者住址随机汇款一串验证码,并要求在规定时间内使用该验证码进行本人验证。

        • (3) 确认提款银行账户信息

          我们将对客户所登记的银行账户信息,银行和支店名、以及账户号码等进行一一核实。

        • (4) 确认存款时的汇款来源

          您通过银行进行存款时,我们将会对汇款支付账号信息进行核对,根据情形可能将会对汇款有效性进行验证。客户需在汇款方中填写账户识别编号(账户ID+3位数字),进行本人的有效验证。

        • (5) 和外部机构数据库联合检查违法用户

          为了防止以不当利益为目的的用户,我们将和外部机构合作,每日进行检查。如果检测到违法用户,将立刻实施停止该用户的使用权等措施,以防被害的发生及扩大。

        • (6) 适当的提款·取款流程

          为了防止洗钱和恶意使用信用卡等,在提款·取款时,我们将依据过去的取款记录,对该交易的正当有效性进行确认。即使在卡片丢失等情况下发生取款业务,由于交易需要取款方进行确认,从而有效防止了资金的损失。

    • 3. 检测(Detect)

      • (1) 服务器诊断

        如服务器发生异常时,通过定期的维护措施,紧急求助并强制关闭服务器,将损害降到最小。

      • (2) 客户管理信息DB的加密化

        顾客信息存储入数据库时,将会对个人信息进行加密化。这样操作之后,即使数据库被破解也无法取得个人信息。

      • (3) 添加独立的交易监控服务器

        公共区域链是由多个节点所构成的网络。在这开放的环境中,任何人都可以加入网络。此外,为了实现更加舒适地用户体验,还需要对处理节点的任务和性能进行监视。在bitwallet中设置了监视专用的服务器,以收集每个节点的信息,实时监视它们并保存日志。这样就可以实时监视节点,从而防止非法节点,并且确保处理节点的任务和性能。由此,通过验证节点间的交易,能够早期发现未授权的访问以及非法的交易,并及时处理。

    • 4. 响应(Respond)

      • (1) 故障对策

        为了在发生故障时,能够快速地响应,于是我们拟定了故障对应对策。根据对策,我们起草了对应手册,以发生故障的假想前提下,进行了实际训练,确保能够准确迅速的做出反应。

      • (2) 故障分析

        在bitwallet的开发过程中已执行大量的测试实验。在发布服务后,公司内部也会不断地继续进行安全检查。一旦发现安全漏洞等时,我们将会及时迅速地确定原因。

    • 5. 恢复(Recover)

      • (1) 制定恢复计划

        当发生安全故障时,为了迅速排除故障,我们制定了故障恢复计划。我们将根据故障排查手册,对相应的故障做出回应。在手册中详细记载了相应流程和相应的操作方法,以便我们可以快速地恢复服务。

      • (2) 拥有许多安全工程师,时刻保持提高安全性以及应对新风险

        本公司拥有了多名专业人员和工程师,包括精通密码的安全专家,并积极导入最新的技术。我们通过采取这些措施,建立一个随时能够应对意外风险的体系。

      • (3) 安全响应流程的改善

        当发生安全事故时(包括其他公司),我们将会把相关的知识信息保存在数据库中,以便共享所有信息。我们还在不断地更新相应的手册。为了应对各种安全攻击,我们每天都在不断地改进我们的响应流程。

  • 框架轮廓

    轮廓主要是为了管理安全风险,显示有什么流程正在实施。Bitwallet旨在实现高层次轮廓并不断进行改进流程。

    • 1. 风险管理流程

      在bitwallet安全风险管理中,风险管理对策经由管理经营层批准并作为政策而制定。因此,安全对策也将作为本公司的最优先事项。

    • 2. 综合风险管理计划

      在bitwallet中,安全风险管理不仅由系统维护部门管理维护,而是规定公司全体员工都必须参与并进行管理。因此,网络安全信息管理是所有员工都有参加并知晓的项目。

  • 框架实现层级

    框架实现层级中,bitwallet将制定当前安全级别,以及今后目标安全级别,风险容忍度等。这在考虑最佳实践操作后制定完成,它展示出为了降低服务器风险的路线图。

如上所述,bitwallet是根据美国总统令"提升关键基础设施网络安全的框架",并结合了国际行业内最高水准的安全措施所执行的。

补充规定

  • 该手续费用将于2018年7月1日生效。

修订历史

  • 2018年8月1日2.5操作(1)提交提交身份信息部分修订

需要帮助?
请先联系我们

有关在线支付,请联系我们。

我们的人工服务将会为您解决疑虑。

联系我们

Copyright © 2013-2020 bitwallet PTE LTD. All rights reserved.

BILLMONT LIMITED Level 15&16 Nexxus Building 41 Connaught Road,Central Hong Kong 999077.

BW Systems OU (Registry code:14736644) licensed by Estonian Financial Supervision and Resolution Authority. (License No. FVR000888 and FRK000781) to provide e-wallet service.

BW Development and holdings Pte Ltd is licensed by Singapore Monetary Authority to carry out remittance service.

PCI DSS 3.2 Assessed to Bitwallet Pte. Ltd. by ICMS-PCI 0287, a QSA for the Payment Card Industry Data Security Standard Council.