国际冷链商品交易中心现货交易系统安全管理办法（试行）

第一章 总则

第一条 为规范现货交易系统的安全管理，保护市场交易商和相关当事人的合法权益，营造公平、公正、公开的交易环境，根据国际冷链商品交易中心（以下简称“交易中心”）相关规定，制定本办法。本办法适用于交易中心、结算银行、交易商和软件提供商。

第二条 交易中心、登记结算机构、结算银行、交易商、软件提供商及其工作人员，均应对涉及交易安全的信息进行保密，除国家法律法规另有规定外，不得随意泄露。

第三条 交易中心依照国家法律法规的规定领取营业执照，并到省级通信管理部门办理增值电信业务经营许可备案。

第四条 交易中心为交易商提供良好的服务，定期核验交易商的合法经营凭证和信用程度。交易中心与使用交易系统的交易商签订入市协议，约定双方的权利义务和违约责任。

第五条 交易中心采取数据备份、故障恢复、防病毒、防攻击、漏洞修复等措施，在技术和管理上确保电子交易数据的准确与安全。

第六条 交易系统具备完整的数据安全保护和数据备份措施，确保数据资料的安全，各种数据资料的保存期限不少于二十年。

第七条 交易中心对交易商在交易过程中的信息采取严格的安全保密措施，非经交易商同意，不得向任何第三方泄露或者出售。法律与行政法规另有规定的除外。违背本条规定的交易中心员工，按交易中心的《员工守则》等从重处理，严重者将予以辞退及移送司法机关处理。

第二章 安全管理组织体系

第八条 组织架构

决策层：董事会或主要负责人为安全第一责任人，审批安全策略及重大风险处置方案。

管理层：设立风险控制部门，负责日常监测、风险评估和制度落实。

执行层：技术、业务、结算等岗位人员具体执行安全措施。

第九条 职责分工

1.明确交易安全主管领导，落实交易安全管理部门，指定交易安全执行岗位；

2.设专人负责交易安全工作的实施和监督；

3.通过多种安全培训方式加强人才队伍建设，提高相关工作人员技能水平，增强员工安全意识。

第三章 技术安全保证措施

第十条 登录安全

登录安全是保证用户权益免受损失的重要环节。当登录环节出现安全风险时，会对用户的权益造成损害风险，影响交易平台的正常运营和平台公信力。交易系统在登录安全方面从多方面进行了设计。

（一）密码登录：保护原始密码，安全传输和存储。

（二）支持多因子验证：短信动态验证码，邮箱动态验证码。

（三）信任访问设备：每次用户登录成功后，服务端都会更新用户最后登录成功的设备，认为用户最后登录成功的设备为信任设备。当攻击者通过用户名、密码暴力破解用户密码时，达到一定次数（一般设置为 5 次），则用户锁定，攻击者再进行破解时，不再验证用户密码，直接返回失败。而这时用户通过信任设备依然可以登录成功。

（四）黑白名单策略：主要是针对系统交易协议提供安全防护，防止系统被暴力破解、异常调用。并提供基于用户ID或IP的黑名单/白名单策略。标准的安全产品无法对业务系统的私有协议进行有针对性的策略配置及安全防护，应用防火墙可以针对每个协议、每个用户ID、每个IP以及每个协议请求结果进行策略配置，以实现对核心系统的保护。

（五）防暴力破解设计：攻击者通过用户名、密码暴力破解用户密码时，当达到一定次数（一般设置为 5 次），则用户锁定，攻击者再进行破解时，不再验证用户密码，直接返回失败。

（六）防恶意重试设计：攻击者利用系统防爆力破解设计，重复验证用户密码，可以锁死客户，导致客户不可正常登录。系统通过信任访问设备的方案，解决登录问题。攻击者反复给手机号发送短信，系统可根据手机号、IP地址发送短信的次数限制，拦截攻击者发送短信操作。当攻击者恶意刷单时，系统通过黑名单防护盾解决此类问题。

（七）登录日志：可以显示交易商所有的登录信息，包括交易员代码、登录时间、登录IP、所属地域、设备信息、登录结果等内容。可以按照设定的时间节点进行集中查询，也可以根据交易员代码查询具体某一交易员登录操作的具体情况。

（八）异地登录提醒：当用户在不常用的地域或设备上登录后，会通知到客户，防止因客户密码泄露，他人登录，对客户权益造成损失。

第十一条 通讯安全

通讯安全主要体现在防止通讯数据拦截导致的数据泄露，和数据篡改导致的业务错误执行两个方面。

（一）https加密通信：在数据传输时，电子交易平台采用HTTPS传输协议，比传统的HTTP协议更加安全。

（二）专线网络：一般通过专线与资金结算中心进行连接。

（三）数据签名验签：接口设计规范将包括：通讯数据的加解密方式，数据编码格式（UTF-8/GBK），数据通讯格式（JSON/XML），文件交换方式（Http/Ftp），文件格式（XML/自定义），数据签名方法（SHA1/SHA256/SHA2048），接口协议。

（四）高强度加密算法：针对重要通讯，系统采用数据加密、数据签名验签双重验证，确保数据安全。

（五）网络分区隔离：根据网络系统访问关系划分网段，切断不同用户进入其它应用系统的通路，能够确保系统的安全。在内部网各部门间划分VLAN，保证各部门相对安全性。

第十二条 网络安全

网络安全主要负责拦截他人入侵服务器和端口拦截。

（一）硬件防火墙：采用带有冗余设计的防火墙产品，消除了单点故障，为系统提供了更好的安全稳定性。

（二）端口访问策略：用于保护私有协议，避免外挂、第三方客户端协议下单等。

（三）专线或白名单策略：与银行、清算所、金融机构对接时，一般采取专线链接的方案，本方案为最安全方案，不会出现数据仿造的情况。同时，也可以采取外网链接的方案，为了外网通讯安全，需要双方设置对方的IP为白名单，白名单后，系统只接收指定IP地址发来的指令，确认数据发起方。

（四）Web应用防火墙（WAF）：一般来说，来自Web页面提交的数据都是不可信的。则需要服务对提交的数据进行检查和校验。比如：数据类型合法性、数据长度、是否有常规的Socket攻击、XSS攻击。

（五）网络分区管理：系统部署时，将网络隔离为防火墙、接入层、核心业务层、数据存储层。用户访问必须首先经过防火墙，防火墙对访问进行基础拦截和转发，将数据转发给接入层，接入层进行XSS攻击、SQL注入、跨域访问拦截，验证通过后，进入核心业务层和数据存储。同一层可以相互调用，也可以自上而下一次调用，不可逆向调用，也不允许跳跃式调用。

（六）定期漏洞扫描：工程师定期巡检，消除系统运行隐患，降低故障发生率。巡检服务包括但不限于服务器服务漏洞扫描、端口漏洞扫描、数据监测、服务器运行状态检查等。

第十三条 敏感信息安全

为了避免平台在交易中所产生的相关数据信息被泄露、篡改，确保数据的安全和不可篡改，对交易用户的敏感数据脱敏是必不可少的一个环节。采用金网安泰研发的敏感数据脱敏组件，对用户身份证、手机号、银行卡等敏感数据进行脱敏处理，脱敏完成后将数据持久化存储。脱敏后存储的数据对于没有权限的用户、非法入侵的用户，甚至登录到数据库的合法用户都无法查看用户的信息。因此避免了数据的泄露、丢失，有效地保证了用户信息的安全。

第十四条 存储安全

对于任何一个网络平台来说，数据安全都是至关重要的。保证数据存储安全必不可少。

（一）数据热备份：采用双机热备方式，在数据库处于运行状态下，对数据文件和控制文件进行实时备份。热备份的好处在于一旦发生灾难，可以将系统恢复到故障发生前的任意一个时间点的状态。

（二）定期、增量和全备份：本地备份可以使用定制的备份脚本程序，定时进行备份和打包处理，将数据备份到本地磁盘的备份目录下。对于基础数据类可以在每天收市后进行全量的逻辑备份。对于应用数据类的日志可以每天收市后进行全量的逻辑备份，其它应用数据类可以在变更部署前后进行全量备份，无变更部署每月进行全量备份。对于业务数据每天收市后进行全量逻辑备份。

（三）异地备份：为了确保完整的备份具有多份冗余存储，在一份丢失或破损的情况下，仍然可以通过备份进行有效的系统恢复。远程服务器备份会将本地备份的数据进行拷贝到其他服务器上，同时存储多份，存储一定时间段的每日备份数据，并通过数据校验机制确保数据的完整性、一致性、正确性，通过定期的恢复机制确保数据的可用性。备份的数据可采用存档和增量的方式提升备份效率，节约存储空间。

（四）备份文件加密存储：系统通过公私钥的方式首先对备份数据进行加密，将加密后的文件生成校验码。然后，对加密文件进行压缩。再压缩，压缩后再对压缩文件生成校验码。并将压缩文件及两层校验码分别存储。防止文件被篡改。

（五）数据备份校验机制：当需要使用备份数据时，首先通过校验码校验压缩文件是否有被篡改情况。验证通过后，对文件进行解压，解压后获取加密的备份文件。再对加密文件进行校验码校验。当加密文件校验码也校验通过后，再通过私钥对文件进行解密。解密后文件可执行数据恢复等操作。

第十五条 业务安全

业务安全主要体现在用户操作安全、业务数据一致、用户权限隔离、系统漏洞追溯等几个方面。

（一）事务一致性：系统采用 Spring AOP 模块直接将面向方面的编程功能集成到了 Spring 框架中。所以，可以很容易地使 Spring 框架管理的任何对象支持 AOP。Spring AOP 模块为基于 Spring 的应用程序中的对象提供了事务管理服务。通过使用 Spring AOP，不用依赖 EJB 组件，就可以将声明性事务管理集成到应用程序中。开发人员只要关注业务流程，将事务处理交给成熟稳定的Spring处理，更加安全可靠。

（二）未决交易安全：交易系统统一采用等/问、对账的方式处理未决交易。交易系统和资金系统每日会执行数据对账。如果对账不平，则根据交易系统处理结果处理资金系统数据。

（三）防止重放：服务端做了幂等处理，系统采用查询—>锁定—>验证—>处理四步骤操作进行业务处理，当相同请求进入操作流程，一定是等待上一次流程执行完成后方可进行。当有重放业务发生时，在验证时已经是后续状态，则直接返回成功。同时客户端做了按钮双机限制，当按钮执行一次点击后，必须等到服务端返回才会放开第二次点击，双重保险阻断重放情况。

（四）权限隔离：管理员权限主要针对交易场所后台管理人员，基于角色的权限控制，对他们登录、访问后台系统的权限进行划分和分类管理。不同的管理员拥有不同的权限，各人只能操作自己权限范围内的业务。管理后台能够对管理员进行严格的身份认证，并由有权限管理员灵活定义分配各级权限，实现对岗位职能的分工，明确责任。而对于像客户自主开户审核、参数修改等重要操作步骤发生时，系统会自动审查该操作是否需要复核、是否不符合系统程序设置、是否与其他项目冲突等，若有冲突，系统自动提示重新输入或更改。客户权限管理主要是指管理客户是否具有交易模式和商品的交易权限，从而实现对交易参与者的风险控制。

（五）关键业务审核：针对用户实名、挂牌、出金等重要业务，系统采用申请、审核机制，客户执行申请，待平台审核通过后方可生效。同时，系统针对不同的业务有不同的审核设计。如：用户实名，所有用户实名申请、修改实名信息等，全部都要求平台审核通过后方可生效；客户挂牌则可根据客户等级设置特殊审核流程，针对较大客户或平台可完全信任客户，可设置为不需审核。而客户出金，则可以设置审核范围，如果超出指定范围则需要审核，当然也可以对客户、银行进行特殊设置。

（六）操作日志追溯：系统具有日志及操作审计功能，实现对系统内数据库日志及操作的集中收集、处理、分析、展现、保留、告警等功能，且日志具有唯一性，不可修改。

第十六条 服务可用性安全

系统在一定前提下保证每时每刻是可用的，数据是安全的。

（一）无单点故障：冗余部署，双击互备，集群部署，

（二）负载均衡：随着交易场所参与方数量、交易规模的增加以及业务拓展的需要，可以通过横向扩展交易前置机及提高服务器配置的方式满足系统性能的需求。同时，交易系统设计上支持在多用户高并发运行时，可以确保运行效率不出现明显下降；且支持集群方式管理，支持性能横向拓展，在客户规模扩大的情况下可以通过快速部署新服务器提供支持，自动实现负载均衡和高可用性。

（三）流控：系统通过数据整理、数据清洗、负载均衡、资源池、多路复用器等技术方案，阻断异常数据进入核心服务、限制过高流量同时并发进入核心服务，削峰填谷，使流量平缓地进入核心服务。

第四章 附则

第十七条 软件提供商应严格遵循国家法律法规，如有泄漏交易中心的商业秘密和交易商的隐私等非公开信息，或者利用这些信息从事危害国家安全，损害企业利益的活动，将由政府行政部门依照有关法律法规给予处理；构成犯罪的，依法追究其刑事责任。

第十八条 本办法解释权和修订权属于国际冷链商品交易中心。

第十九条 如交易商与交易中心就本办法各条款的理解、解释、执行等发生争议，应通过协商解决；如协商不一致，交易商提请大连国际仲裁院（大连仲裁委员会）依据届时有效的仲裁规则进行仲裁。

第二十条 本办法自发布之日起实施。