非金融机构支付服务业务系统检测大体要求.docx

非金融机构支付服务业务系统检测大体要求.docx

《非金融机构支付服务业务系统检测大体要求.docx》由会员分享，可在线阅读，更多相关《非金融机构支付服务业务系统检测大体要求.docx（32页珍藏版）》请在冰豆网上搜索。

非金融机构支付服务业务系统检测大体要求

非金融机构支付服务业务系统检测内容大体要求（预付卡部份）

（2011版）

中国人民银行

2011年3月

第一章功能测试

验证支付服务业务系统的业务功能是不是正确实现，测试系统业务处置的准确性，大体要求如下：

1.1.账户治理

1.1.1.客户账户治理

应具有客户账户进行增、删、改、查功能。

1.2.卡片治理

1.1.

1.

1.1.

1.2.

1.2.1.制卡

应具有制卡大体功能，如新增制卡、制卡文件生成等。

1.2.2.卡片发行

应具有对发行的新卡信息进行治理的功能，如售卡、卡片记录等。

1.2.3.卡片激活

新卡必需激活后才能利用。

1.2.4.充值

应能够对卡余额进行充值。

1.2.5.卡片有效期延长

应能对卡片有效期进行延长，能够指定延长期限。

1.2.6.换卡

应付有问题的卡片进行改换。

1.2.7.补卡

应具有卡片补发功能，因某些缘故，如卡片丢失，可补发新卡片。

1.2.8.密码修改

应能够对卡片密码进行修改。

1.2.9.卡片冻结/解冻

能够依照需要对卡片资金进行冻结/解冻。

1.2.10.卡片挂失/解挂

能够依照需要对卡片进行挂失/解挂。

1.2.11.锁卡/解锁

能够对卡片功能进行锁卡/解锁。

1.2.12.退卡

能够退卡返回资金。

1.2.13.销卡

能够对卡片进行注销回收。

1.3.密钥和证书治理

1.3.

1.3.1.认证中心公钥治理

应对认证中心下发的公钥进行有效的治理和操纵。

1.3.2.发卡机构密钥治理

发卡机构应付密钥进行有效的治理和操纵。

1.3.3.IC卡密钥治理

应付IC卡卡片密钥进行有效的治理和操纵。

1.3.4.发卡机构证书治理

发卡机构应付公钥证书进行有效的治理和操纵。

1.3.5.IC卡证书治理

应付IC卡卡片公钥证书进行有效的治理和操纵。

1.4.交易处置

1.4.

1.4.1.联机消费

应实现预付卡联机消费功能。

1.4.2.联机消费撤销

应实现预付卡联机消费撤销功能。

1.4.3.联机余额查询

应实现预付卡联机余额查询功能。

1.4.4.退货

应实现退货功能。

1.4.5.冲正交易

应有效实现冲正交易功能。

1.4.6.异样卡交易

应有效实现对各类异样卡交易的处置功能。

1.4.7.现金充值

应能够通过柜台或自助终端等方式利用现金进行充值交易。

1.4.8.指定账户圈存

应实现指定账户圈存功能。

1.4.9.非指定账户圈存

应实现非指定账户圈存功能。

1.4.10.IC卡脚本通知

应实现向IC卡发送脚本通知指令功能。

1.4.11.圈提

应实现圈提交易功能。

1.4.12.脱机消费

应实现IC卡脱机消费功能。

1.4.13.脱机消费文件处置

应实现对脱机消费文件进行处置的功能。

1.4.14.脱机余额查询

应实现脱机余额查询的功能。

1.4.15.交易查询

应具有在受理平台和终端上进行交易查询的功能。

1.5.资金结算

1.5.

1.5.1.客户结算

应具有客户资金结算功能。

1.6.对账处置

1.6.

1.6.1.发送对账请求

应许诺商户发送对账请求。

1.6.2.生成对账文件

应具有生成对账文件功能。

1.7.过失处置

1.7.

1.7.1.长款/短款处置

应具有长款/短款处置功能。

1.8.统计报表

1.8.

1.8.1.业务类报表

应具有与业务有关的各类业务类型和相关的业务规模等的统计功能。

1.8.2.运行治理类报表

应具有与业务有关的系统运行类的统计报表功能。

第二章风险监控测试

验证支付服务业务系统的账户及交易风险，大体要求如下：

2

2.1.联机交易风险治理

2.

2.1.

2.1.1.联机交易ARQC/ARPC验证

应能够进行联机交易的ARQC/ARPC验证。

2.1.2.联机报文MAC验证

应付联机交易报文进行MAC验证。

2.1.3.卡片状态操纵

应付卡片各类状态进行操纵。

2.1.4.单笔消费限额

超过单笔消费限额的交易应有记录并触发风控规则。

2.1.5.当日累计消费限额

应付当日累计消费额度进行限制。

2.1.6.当日累计消费次数限制

应付当日累计消费次数进行限制。

2.1.7.单笔充值金额最大值

应规定预付卡单笔充值金额最大值，并进行限制或触发风控规则。

2.1.8.账户余额限额

应付预付卡账户余额最大值进行限制。

2.1.9.大额消费商户交易监控

关于大额消费商户的交易应有记录并触发风控规则。

2.1.10.密码错误情形下的交易请求

应能够有效的操纵密码错误情形下的交易请求，并进行记录。

2.1.11.非法卡号交易

应能够有效的操纵非法卡号交易，并进行记录。

2.1.12.卡片有效期检查

联机交易中，应付卡片有效期进行检查，并进行记录。

2.1.13.无磁无密交易

应付无磁无密交易进行操纵并在风险监控系统上应有记录。

2.2.脱机交易风险治理

2.2.

2.2.1.TAC验证

脱机交易中，应进行TAC验证。

2.2.2.MAC验证

脱机交易中，应进行MAC验证。

2.3.终端风险治理

2.3.

2.3.1.POS机申请、参数设置、程序灌装、利用、改换、保护、撤消的治理

POS机的治理应有明确的治理制度和流程，并详细记录可追溯。

2.3.2.POS机密钥和参数的安全治理

对POS机密钥和参数应有严格的治理要求，POS机终端密钥应严格依照“一机一密”安全规范进行治理，POS终端密钥应符合双倍长密钥算法规范。

2.3.3.操纵移动POS机的安装

移动POS机的安装应严格限制，详细记录。

2.3.4.终端安全检测报告

利用的终端应有安全检测报告，报告内容要能反映终端的安全状况。

2.3.5.密码键盘安全检测报告

利用的密码键盘应有安全检测报告，报告内容要能反映终端的安全状况。

2.3.6.终端监控

应成立对受理终端的日常监控巡查机制，重点检查终端是不是被非法改装，避免非法分子窃取账户信息，并保留巡查记录。

第三章性能测试

1.

2.

3.

3.1.系统要求

支付服务业务系统性能大体要求如下：

策略

并发数

CPU平均利用率

并发成功率

交易成功率

稳定并发

比对性能需求表高峰时段并发数

<=80%

100％

>=90%

第四章安全性测试

4.

4.1.网络安全性测试

对支付服务业务系统网络环境进行检测，考察经网络系统传输的数据安全性和网络系统所连接的设备安全性，评估系统网络环境是不是能够避免信息资产的损坏、丢失，灵敏信息的泄漏和业务中断，是不是能够保障业务的持续运营和爱惜信息资产的安全，大体要求如下：

4.1.1.结构安全

4.1.1.1.网络冗余和备份

应保证要紧网络设备的业务处置能力具有冗余空间，知足业务顶峰期需要。

应保证网络各个部份的带宽知足业务顶峰期需要。

4.1.1.2.网络安全路由器

应在业务终端与业务服务器之间进行路由操纵，成立安全的访问路径。

4.1.1.3.网络安全防火墙

应幸免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取靠得住的技术隔离手腕。

4.1.1.4.网络拓扑结构

应绘制与当前运行情形相符的网络拓扑结构图。

4.1.1.5.IP子网划分

应依照各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并依照方便治理和操纵的原则为各子网、网段分派地址段。

4.1.1.6.QoS保证

应依照对业务服务的重要顺序来指定带宽分派优先级别，保证在网络发生拥堵的时候优先爱惜重要主机。

4.1.2.网络访问操纵

4.1.2.1.网络域安全隔离和限制

应在网络边界部署访问操纵设备，启用访问操纵功能。

4.1.2.2.地址转换和绑定

重要网段应采取技术手腕避免地址欺骗。

4.1.2.3.内容过滤

应付进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP等协议命令级的操纵。

4.1.2.4.访问操纵

应能依照会话状态信息为数据流提供明确的许诺/拒绝访问的能力，操纵粒度为端口级。

应按用户和系统之间的访问操纵规则，决定许诺或拒绝用户对受控系统进行资源访问，操纵粒度为单个用户。

4.1.2.5.流量操纵

应限制网络最大流量数及网络连接数。

4.1.2.6.会话操纵

应在会话处于非活跃一按时刻或会话终止后终止网络连接。

4.1.2.7.远程拨号访问操纵和记录

应限制治理用户通过远程拨号对服务器进行远程治理。

4.1.3.网络安全审计

4.1.3.1.日记信息

应付网络系统中的网络设备运行状况、网络流量、用户行为等进行日记记录。

审计记录应包括：

事件的日期和时刻、用户、事件类型、事件是不是成功及其他与审计相关的信息。

4.1.3.2.网络系统故障分析

应付网络系统故障进行分析，查找缘故并形成故障知识库。

4.1.3.3.网络对象操作审计

应能够依照记录数据进行分析，并生成审计报表。

4.1.3.4.日记权限和爱惜

应付审计记录进行爱惜，幸免受到未预期的删除、修改或覆盖等。

4.1.3.5.审计工具

应具有日记审计工具，对日记进行记录、分析和报告。

4.1.4.边界完整性检查

4.1.4.1.内外网非法连接阻断和定位

应能够对非授权设备擅自连接到内部网络的行为进行检查，准确信出位置，并对其进行有效阻断。

应能够对内部网络用户擅自连接到外部网络的行为进行检查，准确信出位置，并对其进行有效阻断。

4.1.5.网络入侵防范

4.1.5.1.网络ARP欺骗解决

应能够有效的防范网络ARP欺骗解决。

4.1.5.2.信息窃取

应采纳防范信息窃取的方法。

4.1.5.3.DOS/DDOS解决

应具有防DOS/DDOS解决设备或技术手腕。

4.1.5.4.网络入侵防范机制

应在网络边界处监视以下解决行为：

端口扫描、强力解决、木马后门解决、拒绝服务解决、缓冲区溢出解决、IP碎片解决和网络蠕虫解决等。

当检测到解决行为时，记录解决源IP、解决类型、解决目的、解决时刻，在发生严峻入侵事件时应提供报警。

4.1.6.歹意代码防范

4.1.6.1.歹意代码防范方法

应在网络边界处对歹意代码进行检测和清除。

4.1.6.2.按时更新

应保护歹意代码库的升级，检测系统的更新。

4.1.7.网络设备防护

4.1.7.1.设备登录设置

应付登录网络设备的用户进行身份辨别。

网络设备用户的标识应唯一。

要紧网络设备应付同一用户选择两种或两种以上组合的辨别技术来进行身份辨别。

4.1.7.2.设备登录口令安全性

身份辨别信息应具有不易被冒用的特点，口令应有复杂度要求并按期改换。

4.1.7.3.登录地址限制

应付网络设备的治理员登录地址进行限制。

4.1.7.4.远程治理安全

当对网络设备进行远程治理时，应采取必要方法避免辨别信息在网络传输进程中被窃听。

4.1.7.5.设备用户设置策略

应具有登录失败处置功能，可采取终止会话、限制非法登录次数和当网络登录连接超时自动退出等方法。

4.1.7.6.权限分离

应实现设备特权用户的权限分离。

4.1.7.7.最小化服务

应实现设备的最小服务配置，并对配置文件进行按期离线备份。

4.1.8.网络安全治理

4.1.8.1.网络设备运维手册

应成立网络安全治理制度，对网络安全配置、日记保留时刻、安全策略、升级与打补丁、口令更新周期等方面做出规定。

应保证所有与外部系统的连接均取得授权和批准。

应按期检查违背规定拨号上网或其他违背网络安全策略的行为。

4.1.8.2.按期补丁安装

应依照厂家提供的软件升级版本对网络设备进行更新，并在更新前对现有的重要文件进行备份。

4.1.8.3.漏洞扫描

应按期对网络系统进行漏洞扫描，对发觉的网络系统安全漏洞进行及时的修补。

4.1.8.4.网络数据传输加密

当对服务器进行远程治理时，应采取必要方法，避免辨别信息在网络传输进程中被窃听。

4.1.9.网络相关人员安全治理

4.1.9.1.网络安全治理人员配备

应指定专人对网络进行治理，负责运行日记、网络监控记录的日常保护和报警信息分析和处置工作。

4.1.9.2.网络安全治理人员责任划分规则

应制定文件明确网络安全治理职位的职责、分工和技术要求。

4.1.9.3.网络安全关键职位人员治理

应从内部人员当选拔从事关键职位的人员，并签署职位安全协议。

应付关键职位的人员进行全面、严格的安全审查和技术考核。

4.2.主机安全性测试

对支付服务业务系统主机安全防护进行检测，考察主机的安全操纵能力，大体要求如下：

4.2.1.身份辨别

4.2.1.1.系统与应用治理员用户设置

应付登录操作系统和数据库系统的用户进行身份标识和辨别。

应为操作系统和数据库系统的不同用户分派不同的用户名，确保用户名具有唯一性。

应采纳两种或两种以上组合的辨别技术对治理用户进行身份辨别。

4.2.1.2.系统与应用治理员口令安全性

操作系统和数据库系统治理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并按期改换。

4.2.1.3.登录策略

应启用登录失败处置功能，可采取终止会话、限制非法登录次数和自动退出等方法。

4.2.2.访问操纵

4.2.2.1.访问操纵范围

应启用访问操纵功能，依据安全策略操纵用户对资源的访问。

应依照治理用户的角色分派权限，实现治理用户的权限分离，仅授予治理用户所需的最小权限。

应实现操作系统和数据库系统特权用户的权限分离。

4.2.2.2.主机信任关系

应幸免没必要要的主机信任关系。

4.2.2.3.默许过时用户

应及时删除多余的、过时的用户，幸免共享用户的存在。

应严格限制默许用户的访问权限，重命名系统默许用户，修改这些用户的默许口令。

4.2.3.安全审计

4.2.3.1.日记信息

审计范围应覆盖到服务器和重要客户端上的每一个操作系统用户和数据库用户。

审计内容应包括重要用户行为、系统资源的异样利用和重要系统命令的利用等系统内重要的安全相关事件。

审计记录应包括事件的日期、时刻、类型、主体标识、客体标识和结果等。

4.2.3.2.日记权限和爱惜

应爱惜审计记录，幸免受到未预期的删除、修改或覆盖等。

应爱惜审计进程，幸免受到未预期的中断。

4.2.3.3.系统信息分析

应能够依照记录数据进行分析，并生成审计报表。

4.2.3.4.用户操作审计

应付所有效户操作进行审计记录。

4.2.4.系统爱惜

4.2.4.1.系统备份

应具有系统备份或系统重要文件备份。

4.2.4.2.故障恢复策略

应具有各类主机故障恢复策略。

4.2.4.3.磁盘空间安全

应付主机磁盘空间进行合理计划，确保磁盘空间利用安全。

4.2.4.4.主机安全加固

应付主机进行安全加固。

4.2.5.剩余信息爱惜

4.2.5.1.过时信息、文档处置

应保证操作系统和数据库系统用户的辨别信息所在的存储空间，被释放或再分派给其他用户前取得完全清除，不管这些信息是寄存在硬盘上仍是在内存中。

应确保系统内的文件、目录和数据库记录等资源所在的存储空间被释放或从头分派给其他用户前取得完全清除。

4.2.6.入侵防范

4.2.6.1.入侵防范记录

应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、解决的类型、解决的目的、解决的时刻，并在发生严峻入侵事件时提供报警。

应能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的方法。

4.2.6.2.关闭服务和端口

应关闭系统没必要要的服务和端口。

4.2.6.3.最小安装原则

操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式维持系统补丁及时取得更新。

4.2.7.歹意代码防范

4.2.7.1.防范软件安装部署

应至少在生产系统中的服务器安装防歹意代码软件。

4.2.7.2.病毒库按时更新

应及时更新防歹意代码软件版本和歹意代码库。

4.2.7.3.防范软件统一治理

应支持防范软件的统一治理。

4.2.8.资源操纵

4.2.8.1.连接操纵

应通过设定终端接入方式、网络地址范围等条件限制终端登录。

应依照安全策略设置登录终端的操作超时锁定。

4.2.8.2.资源监控和预警

应付重要服务器进行监视，包括监视服务器的CPU、硬盘、内存、网络等资源的利用情形。

应限制单个用户对系统资源的最大或最小利用限度。

应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。

4.2.9.主机安全治理

4.2.9.1.主机运维手册

应成立系统安全治理制度，对系统安全策略、安全配置、日记治理和日常操作流程等方面做出具体规定。

4.2.9.2.漏洞扫描

应按期进行漏洞扫描，对发觉的系统安全漏洞及时进行修补。

4.2.9.3.系统补丁

应安装系统的最新补丁程序，在安装系统补丁前，第一在测试环境中测试通过，并对重要文件进行备份后，方可实施系统补丁程序的安装。

4.2.9.4.操作日记治理

应依据操作手册对系统进行保护，详细记录操作日记，包括重要的日常操作、运行保护记录、参数的设置和修改等内容，严禁进行XX的操作。

应按期对运行日记和审计数据进行分析，以便及时发觉异样行为。

4.2.10.主机相关人员安全治理

4.2.10.1.主机安全治理人员配备

应指定专人对系统进行治理，划分系统治理员角色，明确各个角色的权限、责任和风险，权限设定应当遵循最小授权原则。

4.2.10.2.主机安全治理人员责任划分规则

应制定文件明确主机治理职位的职责、分工和技术要求。

4.2.10.3.主机安全关键职位人员治理

应依照业务需求和系统安全分析确信系统的访问操纵策略。

4.3.应用安全性测试

对支付服务业务系统应用安全性检测，要紧检测应用系统对非法访问及操作的操纵能力，大体要求如下：

4.3.1.身份辨别

4.3.1.1.系统与一般用户设置

应提供专用的登录操纵模块对登录用户进行身份标识和辨别，提供系统治理员和一般用户的设置功能。

4.3.1.2.系统与一般用户口令安全性

系统与一般用户口令应具有必然的复杂度。

4.3.1.3.登录访问安全策略

应付同一用户采纳两种或两种以上组合的辨别技术实现用户身份辨别。

4.3.1.4.非法访问警示和记录

应提供登录失败处置功能，可采取终止会话、限制非法登录次数和自动退出等方法。

4.3.1.5.客户端辨别信息安全

客户端辨别信息应不被窃取和冒用。

4.3.1.6.口令有效期限制

应限制口令的有效期限。

4.3.1.7.限制认证会话时刻

应付客户端认证会话时刻进行限制。

4.3.1.8.身份标识唯一性

应提供用户身份标识唯一性和辨别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份辨别信息不易被冒用。

应启用身份辨别、用户身份标识唯一性检查、用户身份辨别信息复杂度检查和登录失败处置功能，并依照安全策略配置相关参数。

4.3.1.9.及时清除辨别信息

会话终止后应及时清除客户端辨别信息。

4.3.2.WEB页面安全

4.3.2.1.登录防穷举

应提供登录防穷举的方法，如图片验证码等。

如预付卡系统为内部利用，不对互联网用户提供服务，该项不适用。

4.3.2.2.安全控件

登录应利用安全控件。

如预付卡系统为内部利用，不对互联网用户提供服务，该项不适用。

4.3.2.3.利用数字证书

应利用数字证书。

如预付卡系统为内部利用，不对互联网用户提供服务，该项不适用。

4.3.2.4.独立的支付密码

应提供独立的支付密码。

如预付卡系统为内部利用，不对互联网用户提供服务，该项不适用。

4.3.2.5.网站页面SQL注入防范

网站页面应采取防范SQL注入风险的方法。

4.3.2.6.网站页面跨站脚本解决防范

网站页面应采取防范跨站脚本解决风险的方法。

4.3.2.7.网站页面源代码暴露防范

网站页面应采取防范源代码暴露的方法。

4.3.2.8.网站页面黑客挂马防范

应采取防范网站页面黑客挂马的机制和方法。

4.3.2.9.网站页面防窜改方法

应采取网站页面防窜改方法。

如预付卡系统为内部利用，不对互联网用户提供服务，该项不适用。

4.3.2.10.网站页面防钓鱼

网站页面应提供防钓鱼网站的防伪信息验证。

如预付卡系统为内部利用，不对互联网用户提供服务，该项不适用。

4.3.3.访问操纵

4.3.3.1.访问权限设置

应提供访问操纵功能，依据安全策略操纵用户对文件、数据库表等客体的访问。

应由授权主体配置访问操纵策略，并严格限制默许用户的访问权限。

应授予不同用户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系。

4.3.3.2.自主访问操纵范围

访问操纵的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作。

4.3.3.3.业务操作日记

应具有所有业务操作日记。

4.3.3.4.关键数据寄存

应严格操纵用户对关键数据的操作。

关键数据如：

灵敏数据、重要业务数据、系统治理数据等。

4.3.3.5.异样中断防护

用户访问异样中断后，应具有防护手腕，保证数据不丢失。

4.3.3.6.数据库安全配置

应具有数据库安全配置手册，并对数据库进行安全配置。

4.3.4.安全审计

4.3.4.1.日记信息

审计记录的内容至少应包括事件的日期、时刻、发起者信息、类型、描述和结果等。

4.3.4.2.日记权限和爱惜

应保证无法单独中断审计进程，无法删除、修改或覆盖审计记录。

4.3.4.3.系统信息查询与分析

应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。

4.3.4.4.对象操作审计

应提供覆盖到每一个用户的安全审计功能，对应用系统重要安全事件进行审计。

4.3.4.5.审计工具

应具有日记审计工具，对日记进行记录、分析和报告。

4.3.4.6.事件报警

应具有交易事件报警功能。

4.3.5.剩余信息爱惜

4.3.5.1.过时信息、文档处置

应付无用的过时信息、文档进行完整删除。

4.3.6.资源操纵

4.3.6.1.连接操纵

应能够依照用户需求，对系统的最大并发会话连接数进行限制。

4.3.6.2.会话操纵

当应用系统的通信两边中的一方在一段时刻内未作任何响应，另一方应能够自动终止会话。

应能够对单个用户的多重并发会话进行限制。

应能够对一个时刻段内可能的并发会话连接数进行限制。

4.3.6.3.进程资源分派

应能够对一个访问用户或一个请求进程占用的资源分派最大限额和最小限额。

应提供服务优先级设定功能，并在安装后依照安全策略设定访问用户或请求进程的优先级，依照优先级分派系统资源。

4.3.6.4.资源监测预警

应能够对系统服务水平降低到预先规定的最小值进行检查和报警。

4.3.7.应用容错

4.3.7.1.数据有效性校验

应提供数据有效性查验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求。

4.3.7.2.容错机制

应提供自动爱惜功能，当故障发生时自动爱惜当前所有状态，保证系统能够进行恢复。

4.3.7.3.故障机制

发生故障后，系统应能够及时恢复。

4.3.7.4.回退机制

应提供回退功能，当故障发生后，能够及时回退到故障发生前的状态。