第一重防护：平台安全防护

防护重点：网站安全漏洞

·业务上线前必须通过安全测试、内部渗透测试

-参数化查询防SQL注入架构

-过滤输入、转义输出，防XSS攻击

-基于refer的CSRF攻击检查

-采用SSL加密并修复了最新的OPENSSL漏洞

·周期性第三方专业安全机构渗透测试已通过

-乌云众测检测

-安全宝渗透检测

-安全联盟检测

·漏洞奖励计划

-对确认的漏洞提交者给予奖励

(漏洞提交邮箱：[email protected])

第二重防护：账户安全防护

防护原则：多重确认与人工审核

·账户暴力破解检测；防止账户被暴力破解

·双重认证以及通知机制；保障用户资金安全

·短信验证码业务分离；减少被钓鱼的可能性

·大额提币实行人工审核

第三重防护：钱包安全防护

防护原则：最小权限

·98%的平台数字资产存放在多重签名的冷钱包中

·冷钱包只允许出币到火币线上钱包

·负责转币的人无法修改出币地址，只做签名动作的执行者

·任何员工没有机会接触到任何一把完整的冷热钱包私钥

·对于钱包工作状态与出币情况设置了实时监控报警

第四重防护：内控管理

防护原则：系统安全性不依赖于人

·环境要求

-关键位置闭路监控

–配备碎纸机

–设置多重门禁

·培训要求

-全体员工必须接受安全专家反社工培训，并通过考核

·员工要求

–要求员工工作必须使用高强度密码

–敏感文件必须存入加密盘

–员工离开电脑必须锁屏

第五重防护：全职安全团队

防护原则：建立反应实时、深入行业、专业能力的安全团队

·负责及时对网络上公布出的漏洞进行检测和修复

·为火币交易所量身定做安全方案

·对比特币协议安全了解深刻，具有丰富的双花攻击、一聪攻击、交易延展性攻击等处理经验

·设有独立的安全与风控办公室

火币相信，安全工作永无休止，只有不断地迭代提升安全水准，才能守护好用户的资产。

白名单机制全面应用于信息系统与钱包设计，不在授权范围内的访问、操作和汇币地址都将被拒绝。

火币从资产安全、数据安全、业务与账户安全、办公网络安全、安全事件管理、内控管理等方面建立了自己的全方位安全防护体系，而上述内容仅仅是火币所有安全防护工作的一小部分。