非金融机构支付服务业务系统检测基本要求银行卡收单部分V1.10329.doc

上传人:文库蛋蛋多 文档编号:2398890 上传时间:2023-02-17 格式:DOC 页数:53 大小:241KB
返回 下载 相关 举报
非金融机构支付服务业务系统检测基本要求银行卡收单部分V1.10329.doc_第1页
第1页 / 共53页
非金融机构支付服务业务系统检测基本要求银行卡收单部分V1.10329.doc_第2页
第2页 / 共53页
非金融机构支付服务业务系统检测基本要求银行卡收单部分V1.10329.doc_第3页
第3页 / 共53页
非金融机构支付服务业务系统检测基本要求银行卡收单部分V1.10329.doc_第4页
第4页 / 共53页
非金融机构支付服务业务系统检测基本要求银行卡收单部分V1.10329.doc_第5页
第5页 / 共53页
点击查看更多>>
资源描述

《非金融机构支付服务业务系统检测基本要求银行卡收单部分V1.10329.doc》由会员分享,可在线阅读,更多相关《非金融机构支付服务业务系统检测基本要求银行卡收单部分V1.10329.doc(53页珍藏版)》请在三一办公上搜索。

1、非金融机构支付服务业务系统检测基本要求(银行卡收单部分)(2011版)中国人民银行2011年3月目 录第一章功能测试61.1. 特约商户管理61.1.1.商户提交资质材料61.1.2.黑名单检查及管理61.1.3.商户信息查询61.1.4.商户操作员管理61.1.5.商户受理业务管理61.1.6.商户信息维护61.1.7.商户冻结、解冻71.1.8.商户退出71.2. 终端机具信息管理71.2.1.机具申领控制71.2.2.机具信息维护71.2.3.机具信息查询71.3. 密钥管理71.3.1.密钥生成71.3.2.密钥分发71.3.3.密钥使用81.3.4.密钥存储81.3.5.密钥更新81

2、.3.6.密钥销毁81.4. 交易处理81.4.1.消费81.4.2.消费撤销81.4.3.余额查询81.4.4.预授权81.4.5.预授权撤销91.4.6.预授权完成91.4.7.预授权完成撤销91.4.8.追加预授权91.4.9.退货91.4.10.指定账户圈存91.4.11.非指定账户圈存91.4.12.现金充值91.4.13.圈提91.4.14.脱机消费101.4.15.IC卡参数下载101.4.16.交易明细查询101.4.17.冲正交易101.5.资金结算101.5.1.银行清算101.5.2.商户结算101.5. 对账处理101.6.1.发送对账请求101.6.2.下载对账文件1

3、01.6. 差错处理111.7.1.拒付管理111.7.2.单笔退款111.7.3.批量退款111.7.4.差错交易查询111.7.5.对账差错处理111.7. 统计报表111.8.1.业务类报表111.8.2.运行管理类报表11第二章风险监控测试122.1. 联机交易管理122.1.1.联机交易ARQC/ARPC验证122.1.2.联机报文MAC验证122.1.3.黑名单管理122.1.4.单笔消费限额122.1.5.大额消费商户交易监控122.1.6.异常交易监控122.1.7.无磁无密交易132.2. 收单风险管理132.2.1.商户资质审核132.2.2.商户签约132.2.3.特约商

4、户日常风险管理132.2.4.合作的第三方机构的风险管理132.2.5.特约商户强制冻结、解冻、解约132.2.6.可疑商户信息共享132.2.7.风险事件报送132.3.终端风险管理142.3.1.POS机申请、参数设置、程序灌装、使用、更换、维护、撤消、回收的管理142.3.2.POS机密钥和参数的安全管理142.3.3.控制移动POS机的安装142.3.4.终端安全检测报告和终端入网检测报告142.3.5.密码键盘安全检测报告142.3.6.终端监控142.4.风控规则152.4.1.风控规则管理152.4.2.风险识别152.4.3.风险事件管理152.4.4.风险报表15第三章性能测

5、试153.1.测试要求153.2.判定原则15第四章 安全性测试164.1.网络安全性测试164.1.1.结构安全164.1.2.网络访问控制174.1.3.网络安全审计184.1.4.边界完整性检查194.1.5.网络入侵防范194.1.6.恶意代码防范204.1.7.网络设备防护204.1.8.网络安全管理214.1.9.网络相关人员安全管理224.2.主机安全性测试224.2.1.身份鉴别224.2.2.访问控制234.2.3.安全审计244.2.4.系统保护244.2.5.剩余信息保护254.2.6.入侵防范254.2.7.恶意代码防范264.2.8.资源控制264.2.9.主机安全管

6、理274.2.10.主机相关人员安全管理284.3.应用安全性测试284.3.1.身份鉴别284.3.2.WEB页面安全294.3.3.访问控制304.3.4.安全审计314.3.5.剩余信息保护324.3.6.资源控制324.3.7.应用容错334.3.8.报文完整性344.3.9.报文保密性344.3.10.抗抵赖344.3.11.编码安全344.3.12.电子认证应用354.3.13.脱机数据认证364.3.14.安全报文364.3.15.终端安全374.3.16.安全机制374.3.17.认可的算法374.4.数据安全性测试384.4.1.数据保护384.4.2.数据完整性384.4.

7、3.交易数据以及客户数据的安全性394.5.运维安全性测试414.5.1.环境管理414.5.2.介质管理424.5.3.设备管理424.5.4.人员管理444.5.5.监控管理454.5.6.变更管理464.5.7.安全事件处置464.5.8.应急预案管理474.6.业务连续性测试474.6.1.业务连续性需求分析484.6.2.业务连续性技术环境484.6.3.业务连续性管理484.6.4.备份和恢复管理494.6.5.日常维护49第五章文档审核505.1.用户文档505.1.1.用户手册505.1.2.操作手册505.2.开发文档505.2.1.需求说明书505.2.2.需求分析文档51

8、5.2.3.总体设计方案515.2.4.数据库设计文档515.2.5.概要设计文档525.2.6.详细设计文档525.2.7.工程实施方案525.3.管理文档525.3.1.测试报告525.3.2.系统运维手册535.3.3.系统应急手册535.3.4.运维管理制度535.3.5.安全管理制度535.3.6.安全审计报告53第一章 功能测试验证支付服务业务系统的业务功能是否正确实现,测试系统业务处理的准确性,基本要求如下:1.1 . 特约商户管理1.1.1. 商户提交资质材料应对特约商户提交的资质材料进行审核。1.1.2. 黑名单检查及管理交易过程中要经过黑名单检查,并支持日常的黑名单管理。1

9、.1.3. 商户信息查询应支持商户信息的查询。1.1.4. 商户操作员管理应对商户控制平台或POS机等的操作员进行管理。1.1.5. 商户受理业务管理应具有商户受理业务的增加、修改和取消功能。1.1.6. 商户信息维护应具有商户信息的增加、修改和删除功能。1.1.7. 商户冻结、解冻具有暂停商户交易和重新恢复商户交易的功能。1.1.8. 商户退出能够永久停止商户交易的功能。1.2 . 终端机具信息管理1.1.1.1.1.1.2.1.2.1. 机具申领控制机具的申领要有控制策略,用于控制申领过程。1.2.2. 机具信息维护应能够对机具的编号、对应商户名称、商户编号进行维护。1.2.3. 机具信息

10、查询能够对机具信息(例如:编号、对应商户名称、商户编号)进行查询。1.3 . 密钥管理1.3.1.3.1. 密钥生成具有密钥生成流程及控制。1.3.2. 密钥分发具有密钥分发流程及控制。1.3.3. 密钥使用具有密钥使用控制流程及控制。1.3.4. 密钥存储具有密钥存储规定及控制。1.3.5. 密钥更新具有密钥更新流程及控制。1.3.6. 密钥销毁具有密钥销毁流程及控制。1.4 . 交易处理1.4.1.4.1. 消费应实现POS等消费功能。1.4.2. 消费撤销应实现消费撤销功能。1.4.3. 余额查询应实现不同渠道的查询功能。1.4.4. 预授权应实现预授权功能。1.4.5. 预授权撤销应实

11、现预授权撤销功能。1.4.6. 预授权完成应实现预授权完成功能。1.4.7. 预授权完成撤销应实现预授权完成撤销功能。1.4.8. 追加预授权应实现追加预授权功能。1.4.9. 退货应实现退货功能。1.4.10. 指定账户圈存应实现指定账户圈存功能。1.4.11. 非指定账户圈存应实现非指定账户圈存功能。1.4.12. 现金充值能够通过柜台或自主终端等方式使用现金进行充值交易。1.4.13. 圈提应实现圈提交易功能。1.4.14. 脱机消费应实现IC卡脱机消费功能。1.4.15. IC卡参数下载应实现IC卡参数下载功能。1.4.16. 交易明细查询应实现在受理平台和终端上的历史交易明细查询的功

12、能。1.4.17. 冲正交易具有在受理平台和终端上的冲正交易的功能。. 1.5. 资金结算1.5.1. 银行清算应能够根据银行的要求正确完成与银行之间的清算。1.5.2. 商户结算应具有商户资金结算功能。1.5 . 对账处理1.6.1.6.1. 发送对账请求允许商户发送对账请求。1.6.2. 下载对账文件应具有商户下载对账文件。1.6 . 差错处理1.7.1.7.1. 拒付管理应具有对于拒付交易的查询、删除等功能。1.7.2. 单笔退款应具有针对单笔交易的退款功能。1.7.3. 批量退款应具有差错处理过程中针对批量交易的退款功能。1.7.4. 差错交易查询应具有对各种差错交易的查询功能。1.7

13、.5. 对账差错处理应具有对账文件出错,对账结果不平等的处理功能。1.7 . 统计报表1.8.1.8.1. 业务类报表应具有与收单业务有关的各种业务类型以及相关的业务规模等统计功能。1.8.2. 运行管理类报表应具有与收单业务有关的终端部署、人员管理类的统计报表功能。第二章 风险监控测试验证支付服务业务系统的账户及交易风险,基本要求如下:22.1 . 联机交易管理2.2.1.2.1.1. 联机交易ARQC/ARPC验证能够进行联机交易的ARQC/ARPC验证。2.1.2. 联机报文MAC验证联机交易的报文的MAC验证失败后要有记录。2.1.3. 黑名单管理使用黑名单内的卡片交易要有记录并触发风

14、控规则。2.1.4. 单笔消费限额超过单笔消费限额的交易有记录并触发风控规则。2.1.5. 大额消费商户交易监控对于大额消费商户的交易要有记录并触发风控规则。2.1.6. 异常交易监控应实现异常交易监控规则的设置,以实现对异常交易的识别和监控,并提供对违反规则的交易进行查询、预警、处理、风险控制等服务。2.1.7. 无磁无密交易对于无磁无密的交易,在风险监控系统上要有记录。2.2 . 收单风险管理2.2.2.2.1. 商户资质审核收单机构要对商户资质进行审核。2.2.2. 商户签约收单机构在与商户合作时,要签订协议。2.2.3. 特约商户日常风险管理要向商户发放风险提示信息,给商户风险培训。2

15、.2.4. 合作的第三方机构的风险管理要对合作的第三方机构进行风险提示和培训。2.2.5. 特约商户强制冻结、解冻、解约遇到问题后,能够强制冻结、解冻商户,甚至和商户解约。2.2.6. 可疑商户信息共享可疑商户的信息要在收单机构间共享。2.2.7. 风险事件报送当出现风险事件时要向上级部门或者主管部门报送。. 2.3. 终端风险管理2.3.1. POS机申请、参数设置、程序灌装、使用、更换、维护、撤消、回收的管理POS机的管理要有明确的流程。2.3.2. POS机密钥和参数的安全管理对POS机密钥和参数有严格的管理要求。POS终端密钥应严格按照“一机一密”安全规范进行管理, POS终端密钥应符

16、合双倍长密钥算法规范。2.3.3. 控制移动POS机的安装移动POS机的安装要严格限制,详细登记。2.3.4. 终端安全检测报告和终端入网检测报告使用的终端要有安全检测报告,报告内容要能反映终端的安全状况;要有终端入网检测报告,报告内容要能明确POS签购单打印格式和要素。2.3.5. 密码键盘安全检测报告使用的密码键盘要有安全检测报告,报告内容要能反映密码键盘的安全状况。2.3.6. 终端监控应建立对受理终端的日常监控巡查机制,重点检查终端是否被非法改装,防止不法份子窃取账户信息,并保留巡查记录。2.4. 风控规则2.4.1. 风控规则管理应确保在相关风险管理制度中是否完整、明确的定义各项风控

17、规则的变更、审核和确认制度。2.4.2. 风险识别应确保在相关风险管理制度中是否完整、明确的定义各种风险类别。2.4.3. 风险事件管理应确保在相关风险管理制度中是否完整、明确的定义各项风险事件处理规则,并保留事件的记录。2.4.4. 风险报表应提供一段时间内的风险事件报表,可以根据自身的情况将“一段时间”细化为“月季年。第三章 性能测试3.1. 系统要求支付服务业务系统性能基本要求如下:策略并发数CPU平均利用率交易成功率稳定并发比对性能需求表高峰时段并发数=90%第四章 安全性测试4.4.1. 网络安全性测试对支付服务业务系统网络环境进行检测,考察经网络系统传输的数据安全性以及网络系统所连

18、接的设备安全性,评估系统网络环境是否能够防止信息资产的损坏、丢失,敏感信息的泄漏以及业务中断,是否能够保障业务的持续运营和保护信息资产的安全,基本要求如下:4.1.1. 结构安全4.1.1.1. 网络冗余和备份应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要。应保证网络各个部分的带宽满足业务高峰期需要。4.1.1.2. 网络安全路由器应在业务终端与业务服务器之间进行路由控制建立安全的访问路径。4.1.1.3. 网络安全防火墙应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段。4.1.1.4. 网络拓扑结构应绘制与当前运行情况相符

19、的网络拓扑结构图。4.1.1.5. IP子网划分应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。4.1.1.6. QoS保证应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。4.1.2. 网络访问控制4.1.2.1. 网络域安全隔离和限制应在网络边界部署访问控制设备,启用访问控制功能。4.1.2.2. 地址转换和绑定重要网段应采取技术手段防止地址欺骗。4.1.2.3. 内容过滤应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP

20、等协议命令级的控制。4.1.2.4. 访问控制应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级。应按用户和系统之间的访问控制规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户。4.1.2.5. 流量控制应限制网络最大流量数及网络连接数。4.1.2.6. 会话控制应在会话处于非活跃一定时间或会话结束后终止网络连接。4.1.2.7. 远程拨号访问控制和记录应限制管理用户通过远程拨号对服务器进行远程管理。4.1.3. 网络安全审计4.1.3.1. 日志信息应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。审计记录应包括:事件的日期和时间、

21、用户、事件类型、事件是否成功及其他与审计相关的信息。4.1.3.2. 网络系统故障分析应对网络系统故障进行分析,查找原因并形成故障知识库。4.1.3.3. 网络对象操作审计应能够根据记录数据进行分析,并生成审计报表。4.1.3.4. 日志权限和保护应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。4.1.3.5. 审计工具应具备日志审计工具,对日志进行记录、分析和报告。4.1.4. 边界完整性检查4.1.4.1. 内外网非法连接阻断和定位应能够对非授权设备私自连接到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断。应能够对内部网络用户私自连接到外部网络的行为进行检查,准确定出位

22、置,并对其进行有效阻断。4.1.5. 网络入侵防范4.1.5.1. 网络ARP欺骗攻击应能够有效的防范网络ARP欺骗攻击。4.1.5.2. 信息窃取应采用防范信息窃取的措施。4.1.5.3. DOS/DDOS攻击应具有防DOS/DDOS攻击设备或技术手段。4.1.5.4. 网络入侵防范机制应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。4.1.6. 恶意代码防范4.1.6.1. 恶意代码防范措施应在网络边界处对恶意代码进

23、行检测和清除。4.1.6.2. 定时更新应维护恶意代码库的升级,检测系统的更新。4.1.7. 网络设备防护4.1.7.1. 设备登录设置应对登录网络设备的用户进行身份鉴别。网络设备用户的标识应唯一。主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别。4.1.7.2. 设备登录口令安全性身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换。4.1.7.3. 登录地址限制应对网络设备的管理员登录地址进行限制。4.1.7.4. 远程管理安全当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。4.1.7.5. 设备用户设置策略应具有登录失败处理

24、功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施。4.1.7.6. 权限分离应实现设备特权用户的权限分离。4.1.7.7. 最小化服务应实现设备的最小服务配置,并对配置文件进行定期离线备份。4.1.8. 网络安全管理4.1.8.1. 网络设备运维手册应建立网络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面做出规定。应保证所有与外部系统的连接均得到授权和批准。应定期检查违反规定拨号上网或其他违反网络安全策略的行为。4.1.8.2. 定期补丁安装应根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重要文件进行备份。4.1

25、.8.3. 漏洞扫描应定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时的修补。4.1.8.4. 网络数据传输加密当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听。4.1.9. 网络相关人员安全管理4.1.9.1. 网络安全管理人员配备应指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作。4.1.9.2. 网络安全管理人员责任划分规则应制定文件明确网络安全管理岗位的职责、分工和技能要求。4.1.9.3. 网络安全关键岗位人员管理应从内部人员中选拔从事关键岗位的人员,并签署岗位安全协议。应对关键岗位的人员进行全面、严格的安全

26、审查和技能考核。4.2. 主机安全性测试对支付服务业务系统主机安全防护进行检测,考察主机的安全控制能力,基本要求如下:4.2.1. 身份鉴别4.2.1.1. 系统与应用管理员用户设置应对登录操作系统和数据库系统的用户进行身份标识和鉴别。应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。4.2.1.2. 系统与应用管理员口令安全性操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换。4.2.1.3. 登录策略应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施

27、。4.2.2. 访问控制4.2.2.1. 访问控制范围应启用访问控制功能,依据安全策略控制用户对资源的访问。应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限。应实现操作系统和数据库系统特权用户的权限分离。4.2.2.2. 主机信任关系应避免不必要的主机信任关系。4.2.2.3. 默认过期用户应及时删除多余的、过期的用户,避免共享用户的存在。应严格限制默认用户的访问权限,重命名系统默认用户,修改这些用户的默认口令。4.2.3. 安全审计4.2.3.1. 日志信息审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户。审计内容应包括重要用户行为、系统资

28、源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。 4.2.3.2. 日志权限和保护应保护审计记录,避免受到未预期的删除、修改或覆盖等。应保护审计进程,避免受到未预期的中断。4.2.3.3. 系统信息分析应能够根据记录数据进行分析,并生成审计报表。4.2.3.4. 用户操作审计应对所有用户操作进行审计记录。4.2.4. 系统保护4.2.4.1. 系统备份应具有系统备份或系统重要文件备份。4.2.4.2. 故障恢复策略应具备各种主机故障恢复策略。4.2.4.3. 磁盘空间安全应对主机磁盘空间进行合理规划,确保磁盘空间使用

29、安全。4.2.4.4. 主机安全加固应对主机进行安全加固。4.2.5. 剩余信息保护4.2.5.1. 过期信息、文档处理应保证操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中。应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。4.2.6. 入侵防范4.2.6.1. 入侵防范记录应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警。应能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具

30、有恢复的措施。4.2.6.2. 关闭服务和端口应关闭系统不必要的服务和端口。4.2.6.3. 最小安装原则操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。4.2.7. 恶意代码防范4.2.7.1. 防范软件安装部署应至少在生产系统中的服务器安装防恶意代码软件。4.2.7.2. 病毒库定时更新应及时更新防恶意代码软件版本和恶意代码库。4.2.7.3. 防范软件统一管理应支持防范软件的统一管理。4.2.8. 资源控制4.2.8.1. 连接控制应通过设定终端接入方式、网络地址范围等条件限制终端登录。应根据安全策略设置登录终端的操作超时锁定

31、。4.2.8.2. 资源监控和预警应对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况。应限制单个用户对系统资源的最大或最小使用限度。应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。4.2.9. 主机安全管理4.2.9.1. 主机运维手册应建立系统安全管理制度,对系统安全策略、安全配置、日志管理和日常操作流程等方面做出具体规定。4.2.9.2. 漏洞扫描应定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补。4.2.9.3. 系统补丁应安装系统的最新补丁程序,在安装系统补丁前,首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系统补丁程序的安装。4

32、.2.9.4. 操作日志管理应依据操作手册对系统进行维护,详细记录操作日志,包括重要的日常操作、运行维护记录、参数的设置和修改等内容,严禁进行未经授权的操作。应定期对运行日志和审计数据进行分析,以便及时发现异常行为。4.2.10. 主机相关人员安全管理4.2.10.1. 主机安全管理人员配备应指定专人对系统进行管理,划分系统管理员角色,明确各个角色的权限、责任和风险,权限设定应当遵循最小授权原则。4.2.10.2. 主机安全管理人员责任划分规则应制定文件明确主机管理岗位的职责、分工和技能要求。4.2.10.3. 主机安全关键岗位人员管理应根据业务需求和系统安全分析确定系统的访问控制策略。4.3

33、. 应用安全性测试对支付服务业务系统应用安全性检测,主要检测应用系统对非法访问及操作的控制能力,基本要求如下:4.3.1. 身份鉴别4.3.1.1. 系统与普通用户设置应提供专用的登录控制模板对登录用户进行身份标识和鉴别,提供系统管理员和普通用户的设置功能。4.3.1.2. 系统与普通用户口令安全性系统与普通用户口令应具有一定的复杂度。4.3.1.3. 登录访问安全策略应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别。4.3.1.4. 非法访问警示和记录应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施。4.3.1.5. 客户端鉴别信息安全客户端鉴别信息应不被

34、窃取和冒用。4.3.1.6. 口令有效期限制应限制口令的有效期限。4.3.1.7. 限制认证会话时间应对客户端认证会话时间进行限制。4.3.1.8. 身份标识唯一性应提供用户身份标识唯一性和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用。应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。4.3.1.9. 及时清除鉴别信息会话结束后应及时清除客户端鉴别信息。4.3.2. WEB页面安全4.3.2.1. 登录防穷举应提供登录防穷举的措施,如图片验证码等。4.3.2.2. 安全控件登录应使用安全控

35、件。4.3.2.3. 使用数字证书应使用数字证书。4.3.2.4. 独立的支付密码应提供独立的支付密码。4.3.2.5. 网站页面SQL注入防范网站页面应采取防范SQL注入风险的措施。4.3.2.6. 网站页面跨站脚本攻击防范网站页面应采取防范跨站脚本攻击风险的措施。4.3.2.7. 网站页面源代码暴露防范网站页面应采取防范源代码暴露的措施。4.3.2.8. 网站页面黑客挂马防范应采取防范网站页面黑客挂马的机制和措施。4.3.2.9. 网站页面防篡改措施应采取网站页面防篡改措施。4.3.2.10. 网站页面防钓鱼网站页面应提供防钓鱼网站的防伪信息验证。4.3.3. 访问控制4.3.3.1. 访

36、问权限设置应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问。应由授权主体配置访问控制策略,并严格限制默认用户的访问权限。应授予不同用户为完成各自承担任务所需的最小权限,并在它们之间形成互相制约的关系。4.3.3.2. 自主访问控制范围访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作。4.3.3.3. 业务操作日志应具有所有业务操作日志。4.3.3.4. 关键数据存放应严格控制用户对关键数据的操作。关键数据如:如敏感数据、重要业务数据、系统管理数据等。4.3.3.5. 异常中断防护用户访问异常中断后,应具有防护手段,保证数据不丢失。4.3.3.6. 数据库安

37、全配置应具有数据库安全配置手册,并对数据库进行安全配置。4.3.4. 安全审计4.3.4.1. 日志信息审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等。4.3.4.2. 日志权限和保护应保证无法单独中断审计进程,无法删除、修改或覆盖审计记录。4.3.4.3. 系统信息查询与分析应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。4.3.4.4. 对象操作审计应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计。4.3.4.5. 审计工具应具备日志审计工具,对日志进行记录、分析和报告。4.3.4.6. 事件报警应具有交易事件报警功能。4.3.5.

38、 剩余信息保护4.3.5.1. 过期信息、文档处理应对无用的过期信息、文档进行完整删除。4.3.6. 资源控制4.3.6.1. 连接控制应能够根据用户需求,对系统的最大并发会话连接数进行限制。4.3.6.2. 会话控制当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话。应能够对单个用户的多重并发会话进行限制。应能够对一个时间段内可能的并发会话连接数进行限制。4.3.6.3. 进程资源分配应能够对一个访问用户或一个请求进程占用的资源分配最大限额和最小限额。应提供服务优先级设定功能,并在安装后根据安全策略设定访问用户或请求进程的优先级,根据优先级分配系统资源。4.3.6

39、.4. 资源监测预警应能够对系统服务水平降低到预先规定的最小值进行检查和报警。4.3.7. 应用容错4.3.7.1. 数据有效性校验应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求。4.3.7.2. 容错机制应提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行恢复。4.3.7.3. 故障机制发生故障后,系统应能够及时恢复。4.3.7.4. 回退机制应提供回退功能,当故障发生后,能够及时回退到故障发生前的状态。4.3.8. 报文完整性4.3.8.1. 通信报文有效性应采用密码技术保证通信过程中数据的完整性。4.3.9. 报文保密性

40、4.3.9.1. 报文或会话加密在通讯时采用安全通道或对报文中敏感信息进行加密。4.3.10. 抗抵赖4.3.10.1. 原发和接收证据应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能。应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。4.3.11. 编码安全4.3.11.1. 源代码审查应对源代码进行安全性审查,提供源代码审查报告。4.3.11.2. 插件安全性审查应对插件进行安全性审查,提供插件审查报告。4.3.11.3. 编码规范约束应按照编码规范进行编码,具有编码规范约束制度。4.3.11.4. 源代码管理应具有源代码管理制度,具有源代码管理记录。4.3.1

41、1.5. 版本管理应具有代码版本管理制度。4.3.12. 电子认证应用4.3.12.1. 第三方电子认证机构证书在对外业务(非内部业务)处理过程中,应使用经过认证的第三方电子认证证书。在内部业务(仅涉及本机构内人员或设备的业务)处理过程中,可以使用自建证书(非第三方电子认证证书)。在条件允许的情况下,建议对所有业务使用经过认证的第三方电子认证证书。4.3.12.2. 关键业务电子认证技术应用关键业务应使用电子认证技术。在条件允许的情况下,建议在所有业务均使用经过认证的第三方电子认证技术。4.3.12.3. 电子签名有效性应使用有效的电子签名。在对外业务(非内部业务)处理过程中,应使用经过第三方

42、认证的电子签名体系。在内部业务(仅涉及本机构内人员或设备的业务)处理过程中,可以使用自建的电子签名体系(非第三方认证的电子签名体系)。在条件允许的情况下,建议对所有业务使用经过认证的第三方电子签名体系。4.3.12.4. 服务器证书私钥保护应对所持有的服务器证书私钥进行有效保护。4.3.13. 脱机数据认证4.3.13.1. 密钥和证书应参考PBOC2.0要求,产生符合业务要求的密钥和证书。4.3.13.2. 静态数据认证 脱机交易是否采用静态数据认证方式。4.3.13.3. 动态数据认证脱机交易是否采用动态数据认证方式。4.3.14. 安全报文4.3.14.1. 报文格式应参考PBOC2.0

43、报文格式。4.3.14.2. 报文完整性验证应对报文完整性进行验证。4.3.14.3. 报文私密性应保证报文私密性。4.3.14.4. 密钥管理应对密钥进行安全管理。4.3.15. 终端安全4.3.15.1. 终端数据安全性要求终端数据安全性应符合PBOC2.0要求。4.3.15.2. 终端设备安全性要求终端设备安全性应符合PBOC2.0要求。4.3.15.3. 终端密钥管理要求终端密钥导入、存储、更新和回收应符合PBOC2.0要求。4.3.16. 安全机制4.3.16.1. 对称加密机制对称加解密应符合PBOC2.0要求。4.3.16.2. 非对称加密机制非对称加解密应符合PBOC2.0要求

44、。4.3.17. 认可的算法4.3.17.1. 对称加密算法应使用认可的对称加密算法,参考PBOC2.0要求。4.3.17.2. 非对称加密算法应使用认可的非对称加密算法,参考PBOC2.0要求。4.3.17.3. 哈希算法应使用认可的哈希算法,参考PBOC2.0要求。4.4. 数据安全性测试对支付服务业务系统数据安全防护进行检测,主要考察数据的传输、存储、备份与恢复安全性,基本要求如下:4.4.1. 数据保护4.4.1.1. 客户身份信息保护应当按规定妥善保管客户身份基本信息,支付机构对客户身份信息的保管期限自业务关系结束当年起至少保存5年。4.4.1.2. 支付业务信息保护应当按规定妥善保管支付业务信息

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 建筑/施工/环境 > 项目建议


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号