一、用戶注冊及會員信息認證規則
1、總則
《中國石油石化商務網用戶注冊及會員認證規則》(以下簡稱“本規則”)是中國石油石化商務網平臺(域名為www.ppbnchina.com,以下簡稱“平臺”)的經營者北京寶油信息技術有限公司(以下簡稱為“平臺經營者”)基于相關法律法規,按照一定標準對平臺用戶注冊和會員認證進行規范管理的基本程序和規定。
2、定義
2.1注冊用戶:在平臺上完成用戶注冊,取得用戶賬號,但未完成平臺會員身份認證的用戶。
2.2平臺會員:注冊用戶代表相關企業或機構,按照平臺有關要求填報注冊信息,經平臺經營者認證通過后,該企業或機構即成為平臺會員,該注冊用戶即成為其平臺會員的管理員。
平臺會員包括供應商會員和采購商會員,也可同時是供應商會員和采購商會員。
2.3會員用戶:包括平臺會員管理員以及該管理員在平臺設置的其他操作用戶。
3、適用范圍
本規則適用主體為注冊用戶、平臺會員、會員用戶,適用范圍為注冊用戶、平臺會員、會員用戶的注冊、身份認證和信息變更。
4、注冊用戶、平臺會員及會員用戶的要求
4.1注冊用戶、平臺會員、會員用戶應具備完全民事權利能力和與所從事民事行為相適應的行為能力的自然人、法人或其他組織。不具備前述主體資格的,平臺有權注銷該注冊用戶、平臺會員、會員用戶賬號,并向相關主體索償。
4.2平臺注冊用戶需同意并遵守《中國石油石化商務網平臺會員及用戶服務協議》(以下簡稱“中國石油石化商務網服務協議”),申請成為平臺供應商會員需同意并遵守《廉潔從業責任書》。
4.3注冊使用的用戶名不得包含違反國家法律法規、涉嫌侵犯他人權利或干擾平臺正常運營秩序的相關信息。
4.4同一注冊用戶只能注冊一個用戶名,注冊后用戶名不可修改。
4.5注冊電子郵箱、注冊手機號碼均需經過有效驗證且未用于其他用戶名的驗證。
4.6注冊后登錄密碼、電子郵箱、手機號碼可申請修改,經平臺系統驗證后予以變更。
4.7按照注冊頁面提示填寫信息、閱讀并同意《中國石油石化商務網平臺會員及用戶服務協議》,在完成全部注冊程序后,可以使用用戶名登錄進入平臺。
4.8未經平臺經營者同意,禁止注冊用戶、平臺會員、會員用戶自行出借或轉讓賬號。否則,平臺經營者可關閉該用戶賬號,轉讓方或出借方必須承擔該賬號下所有行為的法律責任。
4.9 在完成注冊流程時,應當按照法律法規要求,準確提供并及時更新注冊用戶、平臺會員、會員用戶資料,保證真實、及時,完整和準確。未經企業有效授權不得發布企業相關信息。平臺經營者對注冊用戶、平臺會員、會員用戶的信息進行定期核驗、登記、建立登記檔案、更新檔案的,注冊用戶、平臺會員、會員用戶必須依照法律規定予以配合。
4.10平臺經營者如有合理理由懷疑注冊用戶、平臺會員、會員用戶提供的資料錯誤、不實、過期或不完整,有權向注冊用戶、平臺會員、會員用戶發出詢問、要求改正的通知,如在通知期限內未及時響應,平臺經營者有權直接刪除相應資料,并中止或終止向注冊用戶、平臺會員、會員用戶提供部分或全部服務。平臺經營者對此不承擔任何責任,注冊用戶、平臺會員、會員用戶需自行承擔因此產生的任何直接、間接損失和不利后果。
4.11平臺經營者有權關閉涉嫌欺詐等重大違規行為的會員賬號,并刪除該賬號下所有相關信息。
5用戶注冊流程
5.1 平臺訪客登錄平臺首頁,進入注冊程序,閱讀并同意中國石油石化商務網服務協議,按照提示填寫用戶名、電子郵箱,設置登錄密碼。經過郵箱驗證或手機驗證后,成為平臺注冊用戶。
5.2注冊用戶有權利使用自己的用戶名及密碼隨時登錄本平臺。
6、平臺供應商會員身份認證及信息變更流程
6.1 本平臺僅接受企業申請供應商會員,暫不接受個人和其他社會團體申請供應商會員。
6.2 境內供應商是指注冊地點在中華人民共和國范圍內(保稅區、自貿區、香港特別行政區、澳門特別行政區、臺灣除外)的供應商。
境外供應商是指注冊地點在中華人民共和國以外的國家和地區,以及中華人民共和國保稅區、自貿區、香港特別行政區、澳門特別行政區、臺灣的供應商。
6.3注冊用戶登錄平臺會員中心,代表所屬企業或機構填報基本信息,包括企業名稱、組織機構代碼、稅務登記號、營業執照注冊號、企業性質、法定代表人、注冊地址、成立日期、注冊資本、經營范圍、銷售負責人、聯系方式等信息,并上傳稅務登記證、組織機構代碼證、營業執照、平臺管理員證明等圖片(本規則第13條附件會員填報信息清單)。
6.4 平臺經營者按照平臺會員認證標準(本規則第8.1條)對供應商信息進行身份認證認證。認證通過且完成單位代碼配置后,成為平臺供應商會員。認證結果通過本平臺進行公告/通知和電子郵件、短信等方式通知供應商會員。
6.5 基本信息變更。供應商會員的企業名稱、稅務登記號、平臺管理員姓名等基本信息需要變更的,須在會員中心頁面提交供應商基本信息變更申請。平臺經營者認證通過后,予以變更。
6.6 供應商申請采購商身份。管理員賬號登錄會員中心,可申請增加采購商會員類型,按照采購商會員(企業、其他社會團體)認證流程提交信息(本規則第7.2條 、7.3條、7.4條)。
6.7 既是供應商會員又是采購商會員的,平臺會員信息變更按照供應商或采購商會員信息變更流程辦理(本規則第6.5條、7.5條)。
6.8 平臺會員的管理員負責設置在平臺的系統管理員、會員用戶權限,負責更新、管理會員基本信息和其他信息。
7 、采購商會員身份認證及信息變更流程
7.1 本平臺僅接受企業或其他社會團體申請采購商會員,暫不接受個人申請采購商會員。
7.2境內采購商是指注冊地點在中華人民共和國范圍內(保稅區、自貿區、香港特別行政區、澳門特別行政區、臺灣除外)的采購商。
境外采購商是指注冊地點在中華人民共和國以外的國家和地區以及中華人民共和國保稅區、自貿區、包含香港特別行政區、澳門特別行政區、臺灣的采購商。
7.3注冊用戶登錄平臺會員中心,代表所屬企業或機構填報基本信息,包括企業名稱、營業執照注冊號、稅務登記號、組織機構代碼、管理員姓名等信息,并上傳營業執照、稅務登記證、組織機構代碼證、平臺管理員證明等圖片(本規則第13條附件會員填報信息清單)。
7.4平臺經營者按照平臺會員認證標準(本規則第8.2條)對采購商信息進行認證,認證通過且完成單位代碼配置后,成為平臺采購商會員。認證結果通過本平臺進行公告/通知和電子郵件、短信等方式通知該采購商會員。
7.5 基本信息變更。采購商會員的企業名稱、稅務登記號等基本信息需要變更的,須在會員中心頁面提交采購商基本信息變更申請。平臺經營者負責認證,信息變更申請認證通過后,本平臺予以更新。
7.6采購商申請供應商身份。可利用采購商平臺管理員賬號登錄會員中心,申請增加供應商會員類型,按照供應商會員認證流程提交信息(本規則第6.2條、6.3條、6.4條)。
7.7 既是供應商會員又是采購商會員的,平臺會員信息變更按照供應商或采購商會員信息變更流程辦理(本規則第6.5條、7.5條)。
7.8平臺會員的管理員負責設置在平臺的系統管理員、會員用戶權限,負責更新管理會員基本信息和其他信息。
8、平臺會員認證標準
8.1供應商會員認證標準
8.1.1企業名稱是在國家工商部門注冊的公司名稱,與企業營業執照上登記的公司名稱一致,境內供應商公司名稱中的括號需為全角符號。
8.1.2組織機構代碼、稅務登記號、營業執照注冊號與相應證書標注的號碼一致,填寫號碼需為半角數字或字母,字母為大寫字母,長度不超過20位。
三證合一企業的組織機構代碼、營業執照注冊號,填寫統一社會信用代碼,并上傳對應三證合一后的證書;稅務登記號,需與公司財務部門核實發票稅號是否為統一社會信用代碼號;如沿用原有稅務登記號,填寫原有稅務登記號,并上傳對應稅務證書原件掃描件。
8.1.3 平臺管理員授權書,是平臺會員法定代表人對平臺管理員的授權,被授權人姓名需與授權書中填寫授權人姓名保持一致。平臺會員應確保平臺管理員的授權始終合法存續并有效,因故授權情形終止后的五個工作日內,平臺會員應及時補充有效的授權文件,更新平臺管理員的授權狀態。否則平臺有權關閉相關賬號并保留向平臺會員主張損失的權利。
8.1.4 上傳圖片為原件彩色掃描,圖片清晰完整,文件格式jpg、jpeg或pdf,大小在2M以下。嚴禁上傳與平臺會員自身完全不相關的圖片,嚴禁上傳侵權、色情等違法圖片。
8.2 采購商會員認證標準
采購商會員(企業、其他社會團體)認證標準,同本規則第8.1.1-8.1.4條。
8.3平臺會員認證及信息變更認證時限為3個工作日(含系統配碼時間),遇法定節假日順延。
9、會員其他類型信息
平臺會員可根據業務需要自行在會員中心上傳資質信息、管理信息、供應服務能力信息等內容,平臺運營人員根據會員的經營業務進行核查。如行政許可類資質信息真實有效,則推送至平臺會員相關頁面予以展示。
10、賬號安全
10.1注冊用戶、平臺會員、會員用戶須自行負責對用戶名和密碼進行保密,且須對該用戶名和密碼下發生的所有活動(包括但不限于信息披露、發布信息、網上點擊同意或提交各類規則協議、網上續簽協議或購買服務等)承擔責任。
10.2注冊用戶、平臺會員、會員用戶需確保在每個上網時段結束時,以正確步驟離開網站。本平臺不對未能遵守本款規定而發生的任何損失負責。
10.3注冊用戶、平臺會員、會員用戶如發現任何人未經授權使用自己的用戶名和密碼,或發生違反相關保密要求的其他情況,需立即通知平臺經營者。平臺經營者對在采取行動前已經產生的后果(包括但不限于會員用戶的任何損失)不承擔任何責任。
10.4 除非有法律規定或司法裁定,且征得平臺經營者同意,用戶名和密碼不能以任何方式轉讓、贈與或繼承(與賬號相關的財產權益除外)。
11 、終止服務
11.1平臺會員或會員用戶如存在違反法律、行政法規行為,違反商業道德,采取不誠信、采取不正當手段謀取商業利益,未遵守中國石油石化商務網服務協議和平臺相關規則的,經核實后,平臺經營者有權根據法律規定進行公示,并有權決定終止對平臺會員或會員用戶的服務。
11.2 平臺經營者不因終止服務而對相關平臺會員或會員用戶或任何第三方承擔任何責任。
11.3平臺會員或會員用戶有權要求注銷賬號,經平臺運營人員審核,確無未完結業務,在平臺予以公示三十日,到期未接到異議,該賬號完成注銷。
11.4終止服務后,平臺經營者沒有義務保留或向終止服務平臺會員或會員用戶披露賬號中的任何信息,也沒有義務向終止服務平臺會員或會員用戶或第三方轉發任何其賬號下未曾閱讀或發送過的信息,國家法律法規另有規定的情形除外。
11.5平臺會員或會員用戶與平臺經營者的合同關系終止后,在不違反相關法律法規的前提下,平臺會員或會員用戶同意平臺經營者有權繼續保存終止服務平臺會員或會員用戶的相關資料。
11.6被終止服務的平臺會員或會員用戶在使用服務期間存在違法行為或違反平臺規則的行為的,平臺經營者有權向被終止服務的平臺會員或會員用戶的主張權利。
11.7終止服務不影響該平臺會員或會員用戶繼續履行因平臺使用而產生的未完成義務。
12、附則
12.1本規則自2020年1月1日起生效。
12.2本規則解釋權歸平臺經營者所有。
12.3平臺經營者將保留根據經營需要不時修訂本規則或制定補充規則并公示的權利,修訂后的規則或相關補充規則于本網站公示日或公示內容指定日期生效。自生效之日起,本規則對平臺上相關各方均具有法律約束力。
13、附件
二、知識產權保護規則
1 總則
1.1目的
《知識產權保護規則》(以下簡稱“本規則”)是中國石油石化商務網平臺(以下簡稱“平臺”)的經營者北京寶油信息技術有限公司(以下簡稱“平臺經營者”)根據有關法律法規和相關制度制定的規范平臺交易行為,保護注冊會員的知識產權,防止違法、違規交易的基本規則。
1.2定義
本規則中所述的知識產權是指權利人對自己所創造的智力活動成果依法享有的占有、使用、收益和處分的權利,包括但不限于商標權、專利權、著作權和專有技術等。
1.3適用主體及范圍
本規則適用于與平臺各相關方有關的知識產權保護,包括但不限于以下過程中的知識產權保護,即,平臺各相關方進行的各類商品、服務的檢索、發布、詢價、下單等交易行為,及完成貨物實際物權轉移后進行的現場服務、維護保養、技術咨詢等行為。
2 知識產權保護規則
2.1侵犯知識產權的行為
注冊會員以及任何其他相關方不得利用平臺從事任何侵犯他人合法知識產權的行為,侵犯知識產權的行為包括但不僅限于以下行為:
2.1.1一般侵權行為:
(1)未經授權在所發布的商品信息、服務信息或其他公告中不當使用他人商標權、著作權、專利權等權利;
(2)在商品、服務上不當使用他人商標權、著作權、專利權等知識產權權利;
(3)在平臺上所發布的商品信息、服務信息或所使用的其他信息造成其他會員的混淆或誤認;
(4)其他違反適用法律對權利人的權利造成或可能造成直接及間接損害的行為。
2.1.2嚴重侵權行為:
(1)未經注冊商標所有人許可,在同一種商品或服務上使用與他人注冊商標相同的商標或在平臺上銷售明知是假冒注冊商標的商品或服務;
(2)發布、銷售未經著作權人許可復制其作品的圖書、音像制品、軟件;
(3)發布、銷售非商品來源國的注冊商標權利人或其被許可人生產的商品;
(4)其他違法適用法律對權利人的權利造成或可能造成嚴重直接及間接損害的行為。
2.2侵權投訴
知識產權的權利人有權就涉嫌存在侵權的商品、服務、侵權行為、侵權人等進行投訴,通知平臺經營者采取刪除、屏蔽、斷開鏈接、終止交易和服務等必要措施,并應當提供構成侵權的初步證據,如相關司法判決、行政裁定文書、授權書、注冊登記證書、有效進貨證明等。投訴人對其提供證據的真實性、合法性、有效性承擔相應舉證責任。如因虛假投訴盡而導致被投訴人產生任何經濟損失,或導致平臺承擔任何損失,平臺經營者有權追究該等虛假投訴人相應的法律責任。
平臺經營者在收到相關投訴通知后,有權采取其認為必要的措施,包括但不限于暫時屏蔽、斷開涉嫌侵權的商品、服務的鏈接、終止交易。如上述投訴事后被證明不成立,平臺經營者不承擔采取上述必要措施而對被投訴人、被投訴的商品或服務的購買者造成的損失。
2.3投訴告知與回應聲明
平臺經營者收到侵權投訴并經初步審核后,將該投訴轉送被投訴人。被投訴人應在3個工作日內向平臺經營者提交不存在侵權行為的聲明(“聲明”)。聲明應當包括不存在侵權行為的證據。如相關司法判決、行政裁定文書、未侵權的對比材料、授權書、來自權利人的有效進貨證明等。被投訴人對其提供的聲明的材料的真實性、合法性、有效性承擔相應法律責任。到期未能提供聲明的,視為放棄相關解釋權,平臺經營者屆時將有權根據其對相關投訴內容的分析適用第2.5、2.6條的處罰決定。
平臺經營者接到上述聲明后,應將該聲明轉送投訴人,并告知其可以向有關主管部門投訴或者向人民法院起訴。平臺經營者在轉送聲明到達投訴人后十五日內,未收到投訴人已經向相關部門投訴或者起訴的通知(以相關部門受理投訴的書面通知、法院案件受理通知書為準,下同)的,應及時終止第2.2條中對被投訴人采取的必要措施;收到投訴人已經向相關部門投訴或者起訴通知的,可以繼續采取第2.2條中的必要措施。
2.4侵權審查與公示
平臺經營者收到侵權投訴后,在10個工作日內完成對投訴人提供的證據材料的審查,向投訴人反饋審查結果。平臺經營者僅進行證據資料進行形式審查,并以生效司法裁判或有關機關的處理決定為主要依據。平臺經營者將及時公示收到的上述投訴、聲明及處理結果。
2.5一般侵權行為的處理
2.6侵權商品和服務處置
在采取上述處理措施的同時,平臺經營者也可以視情況采取以下措施,并不承擔采取以下措施而對侵權人、侵權商品或服務的購買者造成的損失:
(1)對侵權商品和服務進行下架、刪除、屏蔽、斷開鏈接操作;
(2)在平臺公告區中發出商品下架公告,終止交易和服務;
(3)向發生侵權商品交易和服務的采購商會員發出告知;
2.7其他處理措施
平臺經營者還可采取其他必要措施,包括將有關侵權行為記入會員檔案。
3 附則
3.1本規則自2020年1月1日起生效。
3.2本規則解釋權歸平臺經營者所有。
3.3平臺經營者將保留根據經營需要不時修訂本規則或制定補充規則并公示的權利,修訂后的規則或相關補充規則于公示內容指定日期生效。自生效之日起,本規則對平臺上相關各方均具有法律約束力。
3.4平臺經營者保留按照法律法規、政府行政指令及其他具有法律效力的文書對侵犯知識產權供應商會員及商品或服務采取停止交易、暫停會員資格、信息資訊等有關事項的權利。
三、系統安全保障規則
1 總則
《系統安全保障規則》(以下簡稱“本規則”)是中國石油石化商務網平臺(以下簡稱“平臺”)的運營商北京寶油信息技術有限公司(以下簡稱“平臺運營商”)基于相關法律法規關于信息系統安全管理相關制度制定的保障平臺系統安全的基本程序和措施。
2 基本要求
2.1網絡安全保障措施
2.1.1網絡部署
為了能更有效地抵御來自互聯網安全威脅,平臺出口采用了異構防火墻分層防御的互聯架構,平臺系統遵循“縱向分層、水平分區”的部署原則。“縱向分層”是指隨著從互聯網出口、外部隔離區(外DMZ)、內部隔離區(內DMZ)到內部網絡區域自外而內的不斷深入,提供不斷增強的安全防護能力。“水平分區”是指在同一縱向區域為不同類型應用系統,根據其自身的特點劃分隔離區域有針對性的配置安全策略。系統使用內部IP地址,通過在出口設備上配置IP地址轉換的方式對互聯網提供服務。系統中采用應用發布、內容管理和數據庫等功能模塊分離的架構設計,把不同的功能模塊部署于相應的安全區域。系統各功能模塊在縱向上主要部署于外DMZ區和內DMZ區,結合應用系統特點在水平方向的外DMZ區部署“用戶訪問Web服務”,內DMZ區分為“內容管理區”和“數據區”。
2.1.1.1應用發布模塊部署
應用發布模塊處于系統的最前端接受來自互聯網用戶或應用程序的訪問,其安全防護關注于識別、阻止來自互聯網上的攻擊保證系統的可用性,防止內容被篡改保證其完整性;應用系統的發布模塊部署于外DMZ區。
2.1.1.2業務處理模塊部署
業務處理部署于內DMZ的內容管理區,業務處理模塊用于管理系統對外發布的內容,實現內容上傳、編輯和驗證等統一管理;對業務處理模塊的安全防護關注于對外發布流程的控制、發布人員的身份驗證以及對外發布內容的真實有效性。
2.1.1.3系統數據模塊部署
系統數據模塊部署于內DMZ區的系統數據區,系統數據模塊為應用系統的服務內容提供后臺支撐,或通過特定的服務端口對外提供數據交互;對系統數據模塊的安全防護關注于自身的性能優化、身份驗證、操作審計、防篡改和安全編程等。
2.1.2網絡防護
2.1.2.1邊界控制
系統的安全區域邊界部署防火墻系統實現對系統的訪問控制;邊界訪問控制設備配置默認拒絕的控制策略,僅允許明確允許的數據流通過;系統實現基于連接狀態的訪問控制,阻止低安全區向高安全區的主動連接;邊界訪問控制設備對區域間的訪問控制顆粒度精確到端口級;邊界訪問控制能自動阻斷非活動時間超過5分鐘的會話;可以通過網絡邊界設備根據需要隨時阻斷已經建立連接的會話。
2.1.2.2入侵檢測
系統部署基于網絡或主機的入侵防護系統,實現對網絡攻擊行為的檢測和防護;入侵防護系統能記錄網絡攻擊的源IP、目的IP、類型、攻擊時間等;入侵防護系統能對網絡入侵提供實時報警并根據策略阻斷攻擊行為;系統能定期對入侵防護設備的特征庫進行升級,實現對新的入侵行為的識別和防御;入侵防護系統能產生統計、分析報告,作為對入侵的審計證據和決策依據。
2.1.3業務系統自身安全
平臺系統自身安全側重對應用系統的各組成部分的安全,包含應用軟件自身、中間件、數據庫、操作系統等在內的安全配置和基于系統自身特殊的安全防護需求。
2.1.3.1服務配置
基于最小化安裝原則,僅安裝支撐系統正常運行的功能組件;禁用非必需的系統服務,避免這些服務可能帶來的安全隱患和對資源的占用;對開機啟動項進行控制,僅根據需要加載必要的服務;對需要與外界交互的系統服務進行安全配置,如身份認證和加密等,防止系統資源被濫用及造成信息泄漏。
2.1.3.2賬號口令
根據實際需要分配賬號,避免多人共享使用同一賬號;刪除或停用無效的賬號,對需要保留的默認賬號修改默認口令;賬號口令至少包含字母、數字和特殊字符三種中的兩種,口令長度不得小于8位;定期變更賬號口令,變更周期為90天。
2.1.3.3管理登錄
對連續嘗試登錄失敗次數超過5次的執行賬號鎖定策略,鎖定時間為30分鐘;非必要時不得遠程管理系統,使用安全的通信協議對系統進行遠程管理;限制可對系統進行遠程管理的IP地址范圍和可用于進行遠程管理的系統賬號;對登錄系統后無操作,時長超過10分鐘的,強制退出登錄或鎖定登錄界面。
2.1.3.4權限分配
基于操作員、管理員等角色為不同賬號分配權限;根據需要為管理賬號和業務賬號配置所需要的最小權限;根據需要配置對系統中關鍵目錄、文件、程序的訪問和使用權限。
2.1.3.5日志審計
系統通過審計系統實現對系統本身的審計;審計包括對用戶對系統的重要操作行為以及對系統自身運行狀態的監控;審計記錄的內容包括事件的日期、時間、類型、主體標識、客體標識和結果等;審計系統能對審計結果進行有效保護,防止非預期的訪問、修改或刪除;系統能通過標準協議對外輸出審計日志。
2.1.3.6漏洞防護
系統根據需要安裝必要的系統補丁,安裝補丁前進行安裝測試,完成安裝后對系統及所承載應用的運行狀況進行驗證;定期進行漏洞掃描,漏洞掃描報告能對識別的漏洞信息進行分類、分級和統計,指出可能存在的風險及建議的改進方法;根據漏洞識別結果和安全策略修補系統漏洞,完成漏洞修補后對系統再次掃描確認,直至不可接受的漏洞都被修補。
2.1.3.7病毒防護
在互聯網入口處部署病毒防護設備,實現對來自互聯網的惡意代碼的有效防護;在主機層和網絡層部署不同廠商的病毒防護系統,以提高綜合的防護能力;對病毒庫進行及時升級,并根據需要升級病毒防護系統的版本;采用惡意代碼實時監控和定期查殺相結合的方式對系統進行安全防護。
2.1.3.8代碼安全
系統對動態網頁和靜態網頁的真實性和完整性提供有效防護,防止被非法篡改;后臺數據庫使用參數化查詢,嚴格定義數據庫用戶的角色和權限;系統對用戶提交的所有表單、參數進行有效的合法性判斷和非法字符過濾,防止攻擊者實施SQL語句注入、跨站腳本、XML注入、HTTP Head注入等注入類攻擊;系統對任何用戶輸入數據必須首先校驗其長度,防范由于長度越界引起的緩沖區溢出漏洞,分配內存判斷返回值,內存操作特別是內存拷貝必須檢查長度是否超出分配內存的大小防止內存堆棧溢出漏洞;系統不調用外部命令處理程序,對調用數據要進行驗證,在需要調用外部處理程序時應驗證輸入數據是否合法,防范外部程序調用漏洞;
在源代碼開發中要求遵循安全開發規范,防止目錄、文件名惡意構造性漏洞以及其他常見漏洞。
2.1.3.9數據安全
系統對關鍵數據在存儲、傳輸過程中進行加密處理,其加密算法和密鑰強度應符合相關要求;系統存儲備份規則參見《存儲與備份管理規則》。
2.2運行維護
2.2.1 系統運維應制定安全檢查計劃和方案,對系統進行定期安全檢查,根據檢查結果進行安全整改;
2.2.2 在發生特殊事件或特殊時期對系統進行安全檢查和整改,保障系統的安全穩定運行,當發生重大變更后進行安全檢查和整改,確保安全防護的持續一致性;
2.2.3 安全檢查應根據安全配置基線、漏洞識別等具體要求進行,定期安全檢查和不定期檢查的結果根據檢查內容或日期等相關性進行復用;
2.2.4 對應用系統的運行狀態和安全防護狀態進行監控,運行狀態的監控包括應用系統的可用性和運行負載,安全防護監控包括網絡攻擊、訪問控制、操作審計、病毒防護等;
2.2.5 對應用系統的運行狀態及信息安全事件進行告警、分析和統計。
3 附則
3.1本規則自發布之日起生效。
3.2本規則最終解釋權歸平臺運營商所有。
3.3平臺運營商將保留適時修訂本規則或補充規則并進行公示的權利,修訂后的規則或相關補充規則于本網站公示之日起生效或公示內容中指定的日期生效。自生效之日起,本規則對平臺上相關各方均具有法律約束力。
四、防范和制止違禁信息規則
1 總則
1.1《防范和制止違禁信息規則》(以下簡稱“本規則”)是中國石油石化商務網平臺(以下簡稱“平臺”)的運營商北京寶油信息技術有限公司(以下簡稱“平臺經營者”)根據相關法律法規制定的防范和制止違禁信息發布、處理違法違規信息,維護平臺正常經營秩序的基本程序和規則。
1.2定義
1.2.1違禁信息:指國家法律法規或平臺禁止或限制發布的信息。
1.2.2違禁信息發布:指注冊會員發布國家法律法規或平臺禁止或限制發布的信息行為。
2 違禁信息發布舉報規則
為有效防范和制止違禁信息發布,共同維護平臺經營秩序,平臺歡迎會員或用戶,隨時舉報或投訴平臺上的違禁信息,平臺經營者將及時核實處理。
3 違禁信息發布處理規則
3.1會員發布以下違禁信息的,平臺經營者有權刪除違禁信息,取消該會員交易資格,并在平臺進行公示:
3.1.1含有反動、破壞國家統一、破壞主權及領土完整,宣揚邪教迷信,宣揚宗教、種族歧視等內容的商品信息或言論;
3.1.2槍支、彈藥、軍火及其他危險武器的商品信息;
3.1.3毒品、制毒原料、制毒化學品、致癮性藥物的商品信息;
3.1.4管制類刀具及弓、弩等可能危害他人人身安全的商品信息;
3.1.5可致使他人暫時失去反抗能力,對人身造成重大傷害的產品,如電擊器、射釘槍等的商品信息;
3.1.6軍警器械相關產品,如甩棍、消防槍、手銬等及其相關配件的商品信息;
3.1.7其他國家法律、法規禁止的違禁品的相關信息。
3.2會員發布以下違禁信息的,平臺經營者有權刪除違禁信息,并在平臺進行公示:
3.2.1槍支、彈藥、軍火的相關器材、配件、附屬產品,及仿制品的衍生工藝品等的商品信息;
3.2.2其他可致使他人暫時失去反抗能力,對他人造成傷害的產品,如超長刀、開刃觀賞刀等的商品信息;
3.2.3吸毒工具及配件的商品信息;
3.2.4假貨或盜版產品等侵犯他人知識產權的商品信息;
3.2.5黃色淫穢物品的商品信息;
3.2.6煙花爆竹的商品信息;
3.2.7未經審核,發布劇毒、有腐蝕性的化學物品的商品信息;
3.2.8麻醉、精神類原料藥及成品藥的商品信息;
3.2.9用于預防、治療人體疾病的藥物、血液制品,如有毒類藥品、放射類藥品、計生類藥品、處方藥等的商品信息;
3.2.10涉及催情、迷幻等用途的口服或外用產品的商品信息;
3.2.11臨床試用、試生產階段的醫療器械或國家管制的其他醫療器械的商品信息;
3.2.12人體器官、遺體的商品信息;
3.2.13國家保護類動物、瀕危動物的活體、內臟、任何肢體、皮毛、標本或其他制成品,或已滅絕動物與現有國家二級以上保護動物的化石的商品信息;
3.2.14涉嫌違反《中華人民共和國文物保護法》相關規定的文物的商品信息;
3.2.15國家補助或無償發放的不得私自轉讓的商品信息;
3.2.16非法用途軟件、工具或設備,如間諜、詐騙、偷盜、作弊、賭博、衛星電視器材、水貨類產品等的商品信息;
3.2.17非法服務,如代開票據、代寫論文、色情、偵探服務、金融服務、簽證、勞務輸出、留學中介等的相關信息。
3.2.18 煙草專賣品,如卷煙、雪茄煙、煙絲、復烤煙葉、煙葉、卷煙紙、濾嘴棒、煙用絲束、煙草專用機械等。
3.3會員發布以下違禁信息的,平臺經營者有權刪除違禁信息:
3.3.1發布與平臺業務相沖突的信息,如會員賬號、工業品平臺排名等;
3.3.2國家明令淘汰或停止銷售的商品的有關信息;
3.3.3汽車安全帶扣等具有交通隱患的汽車配件類商品的信息;
3.3.4未取得相關管理部門批準進行網絡銷售,法律法規規定國家實行專營管理的產品的信息,如食用鹽;
3.3.5未取得相關經營資質的產品的信息。
3.4會員發布以下平臺許可產品目錄外信息的,平臺經營者有權刪除違禁信息。
3.4.1超出平臺許可范圍的商品信息。
3.4.2其他平臺認為應不允許銷售的商品信息。
4 申訴
會員對違禁信息發布行為的處理結果有異議的,可以就違禁信息發布行為的處理結果向平臺經營者提出申訴。對違禁信息發布行為處理的申訴,申訴人須在申訴之日起3個工作日內提交相關證明材料,逾期未提交證據、未按流程提交的視為放棄申訴。
5 附則
5.1本規則自2020年1月1日起生效。
5.2本規則解釋權歸平臺經營者所有。
5.3平臺經營者將保留根據經營需要不時修訂本規則或制定補充規則并公示的權利,修訂后的規則或相關補充規則于本網站公示日或公示內容指定日期生效。自生效之日起,本規則對平臺上相關各方均具有法律約束力。