（一）網站安全保障措施

1、設立防火墻，隔離相關網絡，其作用是：

（1）分隔互聯網與交易服務器，防止互聯網用戶的非法入侵。

（2）用于交易服務器與企業內部網的分隔，又小保護企業內部網，同時防止內部網對交易服務器的入侵

2、按照電信機房標準建設，公司機房內有必備的獨立 UPS 不間斷電源、高靈敏度的煙霧探測系統和消防系統，定期進行電力、防火、防潮、防磁和防鼠檢查。除網絡管理員外，任何人不得擅自進入機房，不得擅自接觸機房設備。

3、每天下班時，檢查設備的運轉情況，并填寫日志記錄。

4、網站提供集中式權限管理，針對不同的應用系統、終端、操作人員，由網站系統管理員設置共享數據庫信息的訪問權限，并設置相應的密碼及口令。不同的操作人員設定不同的用戶名，且定期更換，嚴禁操作人員泄漏自己的口令。對操作人員的權限嚴格按照崗位職責設定，并由網站系統管理員定期檢查操作人員權限。

5、服務器平時處于鎖定狀態，并保管好登錄密碼;后臺管理界面設置超級用戶名及密碼，并綁定IP，以防他人登入。

6、制定完善的系統備份計劃。我公司的策略是以一個月為一個周期，一個月進行一次完全備份，每天晚上進行這一天改變的數據備份，即增量備份。這樣做雖然工作量要大，但數據丟失的風險最小。備份完成后，還定期地檢驗備份數據的有效性。避免類似到急需恢復數據時才發現數據損壞等情況的發生，確保數據萬無一失。

7、我公司計劃招聘多名經驗豐富、具有相當理論基礎的外聘專家。并有專職工程師分別負責系統管理、系統實施、系統網絡安全等方面工作。定期組織安全管理人員學習，及時了解網絡安全防護的最新動態和防護知識，只有不斷的學習才能提高在實際工作中運用能力，及時發現問題迅速有效的解決問題。

8、對網絡進行24小時實時安全監控，由于互聯網是一個開放的網絡，客戶在網上傳輸的敏感信息（如密碼、交易指令等）在通訊過程中存在被截獲、破譯、篡改的可能，為了防止此種情況發生，我司將采用SSL數據加密協議來保證安全。

9、病毒防護：包括防病毒軟件的安裝、配置、對軟盤使用、網絡下載等作出的規定等。我公司在病毒防護方面，主要工作有以下幾方面：

（1）阻止病毒的傳播：在防火墻、數據庫服務器、WEB服務器、公司內部的網絡服務器上安裝病毒過濾軟件。

（2）檢查和清除病毒：使用防病毒軟件檢查和清除病毒。

（3）關閉網站系統中暫不使用的服務功能，及相關端口，并及時用補丁修復系統漏洞，定期查殺病毒。

（4）病毒數據庫的升級：病毒數據庫應不斷更新。

我公司已在網站的服務器及工作站上均安裝了正版的防病毒軟件，對計算機病毒、有害電子郵件有整套的防范措施，防止有害信息對網站系統的干擾和破壞。

10、遵守對網站服務信息監視，保存、清除和備份的制度。開展對網絡有害信息的清理整治工作，對違法犯罪案件，報告并協助公安機關查處。

11、如在網上發現反動、黃色的宣傳和出版物，按公司管理辦法立即鎖定數據，依據有關規定處理，如發現泄露國家機密的情況，要及時報市信息管理中心采取措施。對違反規定造成后果的，依據有關規定進行處理。

12、自覺接受公安機關的安全監督、檢查和指導。如實向公安機關提供安全操作的信息、資料及數據文件，協助公安機關查處各項違法犯罪行為。

（二）信息安全保密管理制度

1、為了保障用戶信息安全，特制定信息系統安全保密規定。

2、網絡中心負責指導各部門入網人員的保密技術培訓，落實技術防范措施。

3、各部門要有一名同志主管此項工作，要指定專人負責接入網絡的安全保密管理工作和對上網信息的保密檢查，落實好保密防范措施，對公司人員進行保密教育和管理。

4、用戶涉密信息不得在與國際網絡的計算機系統中存儲，處理和傳輸。

5、凡網站公布的信息，發布前必須進行審查，進行登記，確保用戶機密信息安全。

6、用戶不得利用我公司網站平臺從事危害國家安全，泄露國家機密的活動。

7、網站信息必須在網頁上標明來源(即有關轉載信息都必須標明轉載的地址)

8、相關責任人定期或不定期檢查網站信息內容，實施有效監控，做好安全監督工作；

9、如在網上發現反動、黃色的宣傳和出版物，要保護好現場，及時報向有關部門匯報，依據有關規定處理，如發現泄露用戶機密的情況，要及時報網絡中心采取措施，同時向領導小組報告，對違反規定建設造成后果的，依據有關規定進行處理，并追究部門領導的責任。

10、對于問題突出，管理失控，造成有害信息傳播的網站和網頁，堅決依法預以關閉和清除；對于制度、復制、印發和傳播有害信息的單位和個人要依法移交有關部門處理。

組織結構設置：

設置專門的網絡安全小組，并由法人直接進行監督、凡向國際聯網的站點提供或發布信息，必須經過保密審查批準。保密審批實行部門管理，有關單位應當根據國家保密法規，審核批準后發布，堅持做到來源不名的不發、未經過上級部門批準的不發、內容有問題的不發的三不發制度。

對網站的管理人員，以及領導明確各級人員的責任，管理網站的正常運行，嚴格抓管理工作，實行誰管理誰負責。

（三）用戶信息安全管理制度

1、對用戶需要設置權限，不得擅自進入系統，篡改他人信息。

2、對用戶的信息進行有效管理并保證其信息的安全保密。

3、計算機網絡日志文件要有專人負責、備份等操作，保留日志記錄。

4、建立信息編輯、審核、發布責任制及流程，信息發布之前必須經過相關人員審核。

5、設定網站管理權限，不得越權管理網站信息。

6、一旦發生信息安全事故，必須積極采取有效措施，同時保存記錄并按規定報告給有關部門。

7、對有害的信息進行過濾、對用戶信息進行保密。

8、保存用戶的賬號登錄記錄30天以上，保障用戶賬號安全。

9、用戶登記的私人信息資料，網站不得向外界散發、告知。未經許可，任何單位、團體、個人不得查閱、拷貝、抄錄私人信息資料內容。