非金融機構(gòu)支付服務業(yè)務系統(tǒng)檢測基本要求_銀行卡收單部.doc

非金融機構(gòu)支付服務業(yè)務系統(tǒng)檢測基本要求（銀行卡收單部分）（2011版）中國人民銀行2011年3月目 錄第一章功能測試61.1. 特約商戶管理61.1.1.商戶提交資質(zhì)材料61.1.2.黑名單檢查及管理61.1.3.商戶信息查詢61.1.4.商戶操作員管理61.1.5.商戶受理業(yè)務管理61.1.6.商戶信息維護61.1.7.商戶凍結(jié)、解凍71.1.8.商戶退出71.2. 終端機具信息管理71.2.1.機具申領(lǐng)控制71.2.2.機具信息維護71.2.3.機具信息查詢71.3. 密鑰管理71.3.1.密鑰生成71.3.2.密鑰分發(fā)71.3.3.密鑰使用81.3.4.密鑰存儲81.3.5.密鑰更新81.3.6.密鑰銷毀81.4. 交易處理81.4.1.消費81.4.2.消費撤銷81.4.3.余額查詢81.4.4.預授權(quán)81.4.5.預授權(quán)撤銷91.4.6.預授權(quán)完成91.4.7.預授權(quán)完成撤銷91.4.8.追加預授權(quán)91.4.9.退貨91.4.10.指定賬戶圈存91.4.11.非指定賬戶圈存91.4.12.現(xiàn)金充值91.4.13.圈提91.4.14.脫機消費101.4.15.IC卡參數(shù)下載101.4.16.交易明細查詢101.4.17.沖正交易101.5.資金結(jié)算101.5.1.銀行清算101.5.2.商戶結(jié)算101.5. 對賬處理101.6.1.發(fā)送對賬請求101.6.2.下載對賬文件101.6. 差錯處理111.7.1.拒付管理111.7.2.單筆退款111.7.3.批量退款111.7.4.差錯交易查詢111.7.5.對賬差錯處理111.7. 統(tǒng)計報表111.8.1.業(yè)務類報表111.8.2.運行管理類報表11第二章風險監(jiān)控測試122.1. 聯(lián)機交易管理122.1.1.聯(lián)機交易ARQC/ARPC驗證122.1.2.聯(lián)機報文MAC驗證122.1.3.黑名單管理122.1.4.單筆消費限額122.1.5.大額消費商戶交易監(jiān)控122.1.6.異常交易監(jiān)控122.1.7.無磁無密交易132.2. 收單風險管理132.2.1.商戶資質(zhì)審核132.2.2.商戶簽約132.2.3.特約商戶日常風險管理132.2.4.合作的第三方機構(gòu)的風險管理132.2.5.特約商戶強制凍結(jié)、解凍、解約132.2.6.可疑商戶信息共享132.2.7.風險事件報送132.3.終端風險管理142.3.1.POS機申請、參數(shù)設置、程序灌裝、使用、更換、維護、撤消、回收的管理142.3.2.POS機密鑰和參數(shù)的安全管理142.3.3.控制移動POS機的安裝142.3.4.終端安全檢測報告和終端入網(wǎng)檢測報告142.3.5.密碼鍵盤安全檢測報告142.3.6.終端監(jiān)控142.4.風控規(guī)則152.4.1.風控規(guī)則管理152.4.2.風險識別152.4.3.風險事件管理152.4.4.風險報表15第三章性能測試153.1.測試要求153.2.判定原則15第四章 安全性測試164.1.網(wǎng)絡安全性測試164.1.1.結(jié)構(gòu)安全164.1.2.網(wǎng)絡訪問控制174.1.3.網(wǎng)絡安全審計184.1.4.邊界完整性檢查194.1.5.網(wǎng)絡入侵防范194.1.6.惡意代碼防范204.1.7.網(wǎng)絡設備防護204.1.8.網(wǎng)絡安全管理214.1.9.網(wǎng)絡相關(guān)人員安全管理224.2.主機安全性測試224.2.1.身份鑒別224.2.2.訪問控制234.2.3.安全審計244.2.4.系統(tǒng)保護244.2.5.剩余信息保護254.2.6.入侵防范254.2.7.惡意代碼防范264.2.8.資源控制264.2.9.主機安全管理274.2.10.主機相關(guān)人員安全管理284.3.應用安全性測試284.3.1.身份鑒別284.3.2.WEB頁面安全294.3.3.訪問控制304.3.4.安全審計314.3.5.剩余信息保護324.3.6.資源控制324.3.7.應用容錯334.3.8.報文完整性344.3.9.報文保密性344.3.10.抗抵賴344.3.11.編碼安全344.3.12.電子認證應用354.3.13.脫機數(shù)據(jù)認證364.3.14.安全報文364.3.15.終端安全374.3.16.安全機制374.3.17.認可的算法374.4.數(shù)據(jù)安全性測試384.4.1.數(shù)據(jù)保護384.4.2.數(shù)據(jù)完整性384.4.3.交易數(shù)據(jù)以及客戶數(shù)據(jù)的安全性394.5.運維安全性測試414.5.1.環(huán)境管理414.5.2.介質(zhì)管理424.5.3.設備管理424.5.4.人員管理444.5.5.監(jiān)控管理454.5.6.變更管理464.5.7.安全事件處置464.5.8.應急預案管理474.6.業(yè)務連續(xù)性測試474.6.1.業(yè)務連續(xù)性需求分析484.6.2.業(yè)務連續(xù)性技術(shù)環(huán)境484.6.3.業(yè)務連續(xù)性管理484.6.4.備份和恢復管理494.6.5.日常維護49第五章文檔審核505.1.用戶文檔505.1.1.用戶手冊505.1.2.操作手冊505.2.開發(fā)文檔505.2.1.需求說明書505.2.2.需求分析文檔515.2.3.總體設計方案515.2.4.數(shù)據(jù)庫設計文檔515.2.5.概要設計文檔525.2.6.詳細設計文檔525.2.7.工程實施方案525.3.管理文檔525.3.1.測試報告525.3.2.系統(tǒng)運維手冊535.3.3.系統(tǒng)應急手冊535.3.4.運維管理制度535.3.5.安全管理制度535.3.6.安全審計報告53第一章 功能測試驗證支付服務業(yè)務系統(tǒng)的業(yè)務功能是否正確實現(xiàn)，測試系統(tǒng)業(yè)務處理的準確性，基本要求如下：1.1 . 特約商戶管理1.1.1. 商戶提交資質(zhì)材料應對特約商戶提交的資質(zhì)材料進行審核。1.1.2. 黑名單檢查及管理交易過程中要經(jīng)過黑名單檢查，并支持日常的黑名單管理。1.1.3. 商戶信息查詢應支持商戶信息的查詢。1.1.4. 商戶操作員管理應對商戶控制平臺或POS機等的操作員進行管理。1.1.5. 商戶受理業(yè)務管理應具有商戶受理業(yè)務的增加、修改和取消功能。1.1.6. 商戶信息維護應具有商戶信息的增加、修改和刪除功能。1.1.7. 商戶凍結(jié)、解凍具有暫停商戶交易和重新恢復商戶交易的功能。1.1.8. 商戶退出能夠永久停止商戶交易的功能。1.2 . 終端機具信息管理..2.1. 機具申領(lǐng)控制機具的申領(lǐng)要有控制策略，用于控制申領(lǐng)過程。1.2.2. 機具信息維護應能夠?qū)C具的編號、對應商戶名稱、商戶編號進行維護。1.2.3. 機具信息查詢能夠?qū)C具信息（例如：編號、對應商戶名稱、商戶編號）進行查詢。1.3 . 密鑰管理.1. 密鑰生成具有密鑰生成流程及控制。1.3.2. 密鑰分發(fā)具有密鑰分發(fā)流程及控制。1.3.3. 密鑰使用具有密鑰使用控制流程及控制。1.3.4. 密鑰存儲具有密鑰存儲規(guī)定及控制。1.3.5. 密鑰更新具有密鑰更新流程及控制。1.3.6. 密鑰銷毀具有密鑰銷毀流程及控制。1.4 . 交易處理.1. 消費應實現(xiàn)POS等消費功能。1.4.2. 消費撤銷應實現(xiàn)消費撤銷功能。1.4.3. 余額查詢應實現(xiàn)不同渠道的查詢功能。1.4.4. 預授權(quán)應實現(xiàn)預授權(quán)功能。1.4.5. 預授權(quán)撤銷應實現(xiàn)預授權(quán)撤銷功能。1.4.6. 預授權(quán)完成應實現(xiàn)預授權(quán)完成功能。1.4.7. 預授權(quán)完成撤銷應實現(xiàn)預授權(quán)完成撤銷功能。1.4.8. 追加預授權(quán)應實現(xiàn)追加預授權(quán)功能。1.4.9. 退貨應實現(xiàn)退貨功能。1.4.10. 指定賬戶圈存應實現(xiàn)指定賬戶圈存功能。1.4.11. 非指定賬戶圈存應實現(xiàn)非指定賬戶圈存功能。1.4.12. 現(xiàn)金充值能夠通過柜臺或自主終端等方式使用現(xiàn)金進行充值交易。1.4.13. 圈提應實現(xiàn)圈提交易功能。1.4.14. 脫機消費應實現(xiàn)IC卡脫機消費功能。1.4.15. IC卡參數(shù)下載應實現(xiàn)IC卡參數(shù)下載功能。1.4.16. 交易明細查詢應實現(xiàn)在受理平臺和終端上的歷史交易明細查詢的功能。1.4.17. 沖正交易具有在受理平臺和終端上的沖正交易的功能。. 1.5. 資金結(jié)算1.5.1. 銀行清算應能夠根據(jù)銀行的要求正確完成與銀行之間的清算。1.5.2. 商戶結(jié)算應具有商戶資金結(jié)算功能。1.5 . 對賬處理.1. 發(fā)送對賬請求允許商戶發(fā)送對賬請求。1.6.2. 下載對賬文件應具有商戶下載對賬文件。1.6 . 差錯處理.1. 拒付管理應具有對于拒付交易的查詢、刪除等功能。1.7.2. 單筆退款應具有針對單筆交易的退款功能。1.7.3. 批量退款應具有差錯處理過程中針對批量交易的退款功能。1.7.4. 差錯交易查詢應具有對各種差錯交易的查詢功能。1.7.5. 對賬差錯處理應具有對賬文件出錯，對賬結(jié)果不平等的處理功能。1.7 . 統(tǒng)計報表.1. 業(yè)務類報表應具有與收單業(yè)務有關(guān)的各種業(yè)務類型以及相關(guān)的業(yè)務規(guī)模等統(tǒng)計功能。1.8.2. 運行管理類報表應具有與收單業(yè)務有關(guān)的終端部署、人員管理類的統(tǒng)計報表功能。第二章 風險監(jiān)控測試驗證支付服務業(yè)務系統(tǒng)的賬戶及交易風險，基本要求如下：22.1 . 聯(lián)機交易管理.1.1. 聯(lián)機交易ARQC/ARPC驗證能夠進行聯(lián)機交易的ARQC/ARPC驗證。2.1.2. 聯(lián)機報文MAC驗證聯(lián)機交易的報文的MAC驗證失敗后要有記錄。2.1.3. 黑名單管理使用黑名單內(nèi)的卡片交易要有記錄并觸發(fā)風控規(guī)則。2.1.4. 單筆消費限額超過單筆消費限額的交易有記錄并觸發(fā)風控規(guī)則。2.1.5. 大額消費商戶交易監(jiān)控對于大額消費商戶的交易要有記錄并觸發(fā)風控規(guī)則。2.1.6. 異常交易監(jiān)控應實現(xiàn)異常交易監(jiān)控規(guī)則的設置，以實現(xiàn)對異常交易的識別和監(jiān)控，并提供對違反規(guī)則的交易進行查詢、預警、處理、風險控制等服務。2.1.7. 無磁無密交易對于無磁無密的交易，在風險監(jiān)控系統(tǒng)上要有記錄。2.2 . 收單風險管理.1. 商戶資質(zhì)審核收單機構(gòu)要對商戶資質(zhì)進行審核。2.2.2. 商戶簽約收單機構(gòu)在與商戶合作時，要簽訂協(xié)議。2.2.3. 特約商戶日常風險管理要向商戶發(fā)放風險提示信息，給商戶風險培訓。2.2.4. 合作的第三方機構(gòu)的風險管理要對合作的第三方機構(gòu)進行風險提示和培訓。2.2.5. 特約商戶強制凍結(jié)、解凍、解約遇到問題后，能夠強制凍結(jié)、解凍商戶，甚至和商戶解約。2.2.6. 可疑商戶信息共享可疑商戶的信息要在收單機構(gòu)間共享。2.2.7. 風險事件報送當出現(xiàn)風險事件時要向上級部門或者主管部門報送。. 2.3. 終端風險管理2.3.1. POS機申請、參數(shù)設置、程序灌裝、使用、更換、維護、撤消、回收的管理POS機的管理要有明確的流程。2.3.2. POS機密鑰和參數(shù)的安全管理對POS機密鑰和參數(shù)有嚴格的管理要求。POS終端密鑰應嚴格按照“一機一密”安全規(guī)范進行管理， POS終端密鑰應符合雙倍長密鑰算法規(guī)范。2.3.3. 控制移動POS機的安裝移動POS機的安裝要嚴格限制，詳細登記。2.3.4. 終端安全檢測報告和終端入網(wǎng)檢測報告使用的終端要有安全檢測報告，報告內(nèi)容要能反映終端的安全狀況；要有終端入網(wǎng)檢測報告，報告內(nèi)容要能明確POS簽購單打印格式和要素。2.3.5. 密碼鍵盤安全檢測報告使用的密碼鍵盤要有安全檢測報告，報告內(nèi)容要能反映密碼鍵盤的安全狀況。2.3.6. 終端監(jiān)控應建立對受理終端的日常監(jiān)控巡查機制，重點檢查終端是否被非法改裝，防止不法份子竊取賬戶信息，并保留巡查記錄。2.4. 風控規(guī)則2.4.1. 風控規(guī)則管理應確保在相關(guān)風險管理制度中是否完整、明確的定義各項風控規(guī)則的變更、審核和確認制度。2.4.2. 風險識別應確保在相關(guān)風險管理制度中是否完整、明確的定義各種風險類別。2.4.3. 風險事件管理應確保在相關(guān)風險管理制度中是否完整、明確的定義各項風險事件處理規(guī)則，并保留事件的記錄。2.4.4. 風險報表應提供一段時間內(nèi)的風險事件報表，可以根據(jù)自身的情況將“一段時間”細化為“月季年。第三章 性能測試3.1. 系統(tǒng)要求支付服務業(yè)務系統(tǒng)性能基本要求如下：策略并發(fā)數(shù)CPU平均利用率交易成功率穩(wěn)定并發(fā)比對性能需求表高峰時段并發(fā)數(shù)=90%第四章 安全性測試4.4.1. 網(wǎng)絡安全性測試對支付服務業(yè)務系統(tǒng)網(wǎng)絡環(huán)境進行檢測，考察經(jīng)網(wǎng)絡系統(tǒng)傳輸?shù)臄?shù)據(jù)安全性以及網(wǎng)絡系統(tǒng)所連接的設備安全性，評估系統(tǒng)網(wǎng)絡環(huán)境是否能夠防止信息資產(chǎn)的損壞、丟失，敏感信息的泄漏以及業(yè)務中斷，是否能夠保障業(yè)務的持續(xù)運營和保護信息資產(chǎn)的安全，基本要求如下：4.1.1. 結(jié)構(gòu)安全. 網(wǎng)絡冗余和備份應保證主要網(wǎng)絡設備的業(yè)務處理能力具備冗余空間，滿足業(yè)務高峰期需要。應保證網(wǎng)絡各個部分的帶寬滿足業(yè)務高峰期需要。. 網(wǎng)絡安全路由器應在業(yè)務終端與業(yè)務服務器之間進行路由控制建立安全的訪問路徑。. 網(wǎng)絡安全防火墻應避免將重要網(wǎng)段部署在網(wǎng)絡邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段。. 網(wǎng)絡拓撲結(jié)構(gòu)應繪制與當前運行情況相符的網(wǎng)絡拓撲結(jié)構(gòu)圖。. IP子網(wǎng)劃分應根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段。. QoS保證應按照對業(yè)務服務的重要次序來指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡發(fā)生擁堵的時候優(yōu)先保護重要主機。4.1.2. 網(wǎng)絡訪問控制. 網(wǎng)絡域安全隔離和限制應在網(wǎng)絡邊界部署訪問控制設備，啟用訪問控制功能。. 地址轉(zhuǎn)換和綁定重要網(wǎng)段應采取技術(shù)手段防止地址欺騙。. 內(nèi)容過濾應對進出網(wǎng)絡的信息內(nèi)容進行過濾，實現(xiàn)對應用層HTTP、FTP、TELNET、SMTP、POP等協(xié)議命令級的控制。. 訪問控制應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級。應按用戶和系統(tǒng)之間的訪問控制規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒度為單個用戶。. 流量控制應限制網(wǎng)絡最大流量數(shù)及網(wǎng)絡連接數(shù)。. 會話控制應在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡連接。. 遠程撥號訪問控制和記錄應限制管理用戶通過遠程撥號對服務器進行遠程管理。4.1.3. 網(wǎng)絡安全審計. 日志信息應對網(wǎng)絡系統(tǒng)中的網(wǎng)絡設備運行狀況、網(wǎng)絡流量、用戶行為等進行日志記錄。審計記錄應包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息。. 網(wǎng)絡系統(tǒng)故障分析應對網(wǎng)絡系統(tǒng)故障進行分析，查找原因并形成故障知識庫。. 網(wǎng)絡對象操作審計應能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表。. 日志權(quán)限和保護應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等。. 審計工具應具備日志審計工具，對日志進行記錄、分析和報告。4.1.4. 邊界完整性檢查. 內(nèi)外網(wǎng)非法連接阻斷和定位應能夠?qū)Ψ鞘跈?quán)設備私自連接到內(nèi)部網(wǎng)絡的行為進行檢查，準確定出位置，并對其進行有效阻斷。應能夠?qū)?nèi)部網(wǎng)絡用戶私自連接到外部網(wǎng)絡的行為進行檢查，準確定出位置，并對其進行有效阻斷。4.1.5. 網(wǎng)絡入侵防范. 網(wǎng)絡ARP欺騙攻擊應能夠有效的防范網(wǎng)絡ARP欺騙攻擊。. 信息竊取應采用防范信息竊取的措施。. DOS/DDOS攻擊應具有防DOS/DDOS攻擊設備或技術(shù)手段。. 網(wǎng)絡入侵防范機制應在網(wǎng)絡邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡蠕蟲攻擊等。當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴重入侵事件時應提供報警。4.1.6. 惡意代碼防范. 惡意代碼防范措施應在網(wǎng)絡邊界處對惡意代碼進行檢測和清除。. 定時更新應維護惡意代碼庫的升級，檢測系統(tǒng)的更新。4.1.7. 網(wǎng)絡設備防護. 設備登錄設置應對登錄網(wǎng)絡設備的用戶進行身份鑒別。網(wǎng)絡設備用戶的標識應唯一。主要網(wǎng)絡設備應對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進行身份鑒別。. 設備登錄口令安全性身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要求并定期更換。. 登錄地址限制應對網(wǎng)絡設備的管理員登錄地址進行限制。. 遠程管理安全當對網(wǎng)絡設備進行遠程管理時，應采取必要措施防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽。. 設備用戶設置策略應具有登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和當網(wǎng)絡登錄連接超時自動退出等措施。. 權(quán)限分離應實現(xiàn)設備特權(quán)用戶的權(quán)限分離。. 最小化服務應實現(xiàn)設備的最小服務配置，并對配置文件進行定期離線備份。4.1.8. 網(wǎng)絡安全管理. 網(wǎng)絡設備運維手冊應建立網(wǎng)絡安全管理制度，對網(wǎng)絡安全配置、日志保存時間、安全策略、升級與打補丁、口令更新周期等方面做出規(guī)定。應保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準。應定期檢查違反規(guī)定撥號上網(wǎng)或其他違反網(wǎng)絡安全策略的行為。. 定期補丁安裝應根據(jù)廠家提供的軟件升級版本對網(wǎng)絡設備進行更新，并在更新前對現(xiàn)有的重要文件進行備份。. 漏洞掃描應定期對網(wǎng)絡系統(tǒng)進行漏洞掃描，對發(fā)現(xiàn)的網(wǎng)絡系統(tǒng)安全漏洞進行及時的修補。. 網(wǎng)絡數(shù)據(jù)傳輸加密當對服務器進行遠程管理時，應采取必要措施，防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽。4.1.9. 網(wǎng)絡相關(guān)人員安全管理. 網(wǎng)絡安全管理人員配備應指定專人對網(wǎng)絡進行管理，負責運行日志、網(wǎng)絡監(jiān)控記錄的日常維護和報警信息分析和處理工作。. 網(wǎng)絡安全管理人員責任劃分規(guī)則應制定文件明確網(wǎng)絡安全管理崗位的職責、分工和技能要求。. 網(wǎng)絡安全關(guān)鍵崗位人員管理應從內(nèi)部人員中選拔從事關(guān)鍵崗位的人員，并簽署崗位安全協(xié)議。應對關(guān)鍵崗位的人員進行全面、嚴格的安全審查和技能考核。4.2. 主機安全性測試對支付服務業(yè)務系統(tǒng)主機安全防護進行檢測，考察主機的安全控制能力，基本要求如下：4.2.1. 身份鑒別. 系統(tǒng)與應用管理員用戶設置應對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標識和鑒別。應為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。應采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進行身份鑒別。. 系統(tǒng)與應用管理員口令安全性操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標識應具有不易被冒用的特點，口令應有復雜度要求并定期更換。. 登錄策略應啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施。4.2.2. 訪問控制. 訪問控制范圍應啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問。應根據(jù)管理用戶的角色分配權(quán)限，實現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限。應實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離。. 主機信任關(guān)系應避免不必要的主機信任關(guān)系。. 默認過期用戶應及時刪除多余的、過期的用戶，避免共享用戶的存在。應嚴格限制默認用戶的訪問權(quán)限，重命名系統(tǒng)默認用戶，修改這些用戶的默認口令。4.2.3. 安全審計. 日志信息審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶。審計內(nèi)容應包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件。審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結(jié)果等。 . 日志權(quán)限和保護應保護審計記錄，避免受到未預期的刪除、修改或覆蓋等。應保護審計進程，避免受到未預期的中斷。. 系統(tǒng)信息分析應能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表。. 用戶操作審計應對所有用戶操作進行審計記錄。4.2.4. 系統(tǒng)保護. 系統(tǒng)備份應具有系統(tǒng)備份或系統(tǒng)重要文件備份。. 故障恢復策略應具備各種主機故障恢復策略。. 磁盤空間安全應對主機磁盤空間進行合理規(guī)劃，確保磁盤空間使用安全。. 主機安全加固應對主機進行安全加固。4.2.5. 剩余信息保護. 過期信息、文檔處理應保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中。應確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除。4.2.6. 入侵防范. 入侵防范記錄應能夠檢測到對重要服務器進行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴重入侵事件時提供報警。應能夠?qū)χ匾绦虻耐暾赃M行檢測，并在檢測到完整性受到破壞后具有恢復的措施。. 關(guān)閉服務和端口應關(guān)閉系統(tǒng)不必要的服務和端口。. 最小安裝原則操作系統(tǒng)應遵循最小安裝的原則，僅安裝需要的組件和應用程序，并通過設置升級服務器等方式保持系統(tǒng)補丁及時得到更新。4.2.7. 惡意代碼防范. 防范軟件安裝部署應至少在生產(chǎn)系統(tǒng)中的服務器安裝防惡意代碼軟件。. 病毒庫定時更新應及時更新防惡意代碼軟件版本和惡意代碼庫。. 防范軟件統(tǒng)一管理應支持防范軟件的統(tǒng)一管理。4.2.8. 資源控制. 連接控制應通過設定終端接入方式、網(wǎng)絡地址范圍等條件限制終端登錄。應根據(jù)安全策略設置登錄終端的操作超時鎖定。. 資源監(jiān)控和預警應對重要服務器進行監(jiān)視，包括監(jiān)視服務器的CPU、硬盤、內(nèi)存、網(wǎng)絡等資源的使用情況。應限制單個用戶對系統(tǒng)資源的最大或最小使用限度。應能夠?qū)ο到y(tǒng)的服務水平降低到預先規(guī)定的最小值進行檢測和報警。4.2.9. 主機安全管理. 主機運維手冊應建立系統(tǒng)安全管理制度，對系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面做出具體規(guī)定。. 漏洞掃描應定期進行漏洞掃描，對發(fā)現(xiàn)的系統(tǒng)安全漏洞及時進行修補。. 系統(tǒng)補丁應安裝系統(tǒng)的最新補丁程序，在安裝系統(tǒng)補丁前，首先在測試環(huán)境中測試通過，并對重要文件進行備份后，方可實施系統(tǒng)補丁程序的安裝。. 操作日志管理應依據(jù)操作手冊對系統(tǒng)進行維護，詳細記錄操作日志，包括重要的日常操作、運行維護記錄、參數(shù)的設置和修改等內(nèi)容，嚴禁進行未經(jīng)授權(quán)的操作。應定期對運行日志和審計數(shù)據(jù)進行分析，以便及時發(fā)現(xiàn)異常行為。4.2.10. 主機相關(guān)人員安全管理. 主機安全管理人員配備應指定專人對系統(tǒng)進行管理，劃分系統(tǒng)管理員角色，明確各個角色的權(quán)限、責任和風險，權(quán)限設定應當遵循最小授權(quán)原則。. 主機安全管理人員責任劃分規(guī)則應制定文件明確主機管理崗位的職責、分工和技能要求。. 主機安全關(guān)鍵崗位人員管理應根據(jù)業(yè)務需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略。4.3. 應用安全性測試對支付服務業(yè)務系統(tǒng)應用安全性檢測，主要檢測應用系統(tǒng)對非法訪問及操作的控制能力，基本要求如下：4.3.1. 身份鑒別. 系統(tǒng)與普通用戶設置應提供專用的登錄控制模板對登錄用戶進行身份標識和鑒別，提供系統(tǒng)管理員和普通用戶的設置功能。. 系統(tǒng)與普通用戶口令安全性系統(tǒng)與普通用戶口令應具有一定的復雜度。. 登錄訪問安全策略應對同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實現(xiàn)用戶身份鑒別。. 非法訪問警示和記錄應提供登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施。. 客戶端鑒別信息安全客戶端鑒別信息應不被竊取和冒用。. 口令有效期限制應限制口令的有效期限。. 限制認證會話時間應對客戶端認證會話時間進行限制。. 身份標識唯一性應提供用戶身份標識唯一性和鑒別信息復雜度檢查功能，保證應用系統(tǒng)中不存在重復用戶身份標識，身份鑒別信息不易被冒用。應啟用身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)。. 及時清除鑒別信息會話結(jié)束后應及時清除客戶端鑒別信息。4.3.2. WEB頁面安全. 登錄防窮舉應提供登錄防窮舉的措施，如圖片驗證碼等。. 安全控件登錄應使用安全控件。. 使用數(shù)字證書應使用數(shù)字證書。. 獨立的支付密碼應提供獨立的支付密碼。. 網(wǎng)站頁面SQL注入防范網(wǎng)站頁面應采取防范SQL注入風險的措施。. 網(wǎng)站頁面跨站腳本攻擊防范網(wǎng)站頁面應采取防范跨站腳本攻擊風險的措施。. 網(wǎng)站頁面源代碼暴露防范網(wǎng)站頁面應采取防范源代碼暴露的措施。. 網(wǎng)站頁面黑客掛馬防范應采取防范網(wǎng)站頁面黑客掛馬的機制和措施。. 網(wǎng)站頁面防篡改措施應采取網(wǎng)站頁面防篡改措施。0. 網(wǎng)站頁面防釣魚網(wǎng)站頁面應提供防釣魚網(wǎng)站的防偽信息驗證。4.3.3. 訪問控制. 訪問權(quán)限設置應提供訪問控制功能，依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問。應由授權(quán)主體配置訪問控制策略，并嚴格限制默認用戶的訪問權(quán)限。應授予不同用戶為完成各自承擔任務所需的最小權(quán)限，并在它們之間形成互相制約的關(guān)系。. 自主訪問控制范圍訪問控制的覆蓋范圍應包括與資源訪問相關(guān)的主體、客體及它們之間的操作。. 業(yè)務操作日志應具有所有業(yè)務操作日志。. 關(guān)鍵數(shù)據(jù)存放應嚴格控制用戶對關(guān)鍵數(shù)據(jù)的操作。關(guān)鍵數(shù)據(jù)如：如敏感數(shù)據(jù)、重要業(yè)務數(shù)據(jù)、系統(tǒng)管理數(shù)據(jù)等。. 異常中斷防護用戶訪問異常中斷后，應具有防護手段，保證數(shù)據(jù)不丟失。. 數(shù)據(jù)庫安全配置應具有數(shù)據(jù)庫安全配置手冊，并對數(shù)據(jù)庫進行安全配置。4.3.4. 安全審計. 日志信息審計記錄的內(nèi)容至少應包括事件的日期、時間、發(fā)起者信息、類型、描述和結(jié)果等。. 日志權(quán)限和保護應保證無法單獨中斷審計進程，無法刪除、修改或覆蓋審計記錄。. 系統(tǒng)信息查詢與分析應提供對審計記錄數(shù)據(jù)進行統(tǒng)計、查詢、分析及生成審計報表的功能。. 對象操作審計應提供覆蓋到每個用戶的安全審計功能，對應用系統(tǒng)重要安全事件進行審計。. 審計工具應具備日志審計工具，對日志進行記錄、分析和報告。. 事件報警應具有交易事件報警功能。4.3.5. 剩余信息保護. 過期信息、文檔處理應對無用的過期信息、文檔進行完整刪除。4.3.6. 資源控制. 連接控制應能夠根據(jù)用戶需求，對系統(tǒng)的最大并發(fā)會話連接數(shù)進行限制。. 會話控制當應用系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未作任何響應，另一方應能夠自動結(jié)束會話。應能夠?qū)蝹€用戶的多重并發(fā)會話進行限制。應能夠?qū)σ粋€時間段內(nèi)可能的并發(fā)會話連接數(shù)進行限制。. 進程資源分配應能夠?qū)σ粋€訪問用戶或一個請求進程占用的資源分配最大限額和最小限額。應提供服務優(yōu)先級設定功能，并在安裝后根據(jù)安全策略設定訪問用戶或請求進程的優(yōu)先級，根據(jù)優(yōu)先級分配系統(tǒng)資源。. 資源監(jiān)測預警應能夠?qū)ο到y(tǒng)服務水平降低到預先規(guī)定的最小值進行檢查和報警。4.3.7. 應用容錯. 數(shù)據(jù)有效性校驗應提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設定要求。. 容錯機制應提供自動保護功能，當故障發(fā)生時自動保護當前所有狀態(tài)，保證系統(tǒng)能夠進行恢復。. 故障機制發(fā)生故障后，系統(tǒng)應能夠及時恢復。. 回退機制應提供回退功能，當故障發(fā)生后，能夠及時回退到故障發(fā)生前的狀態(tài)。4.3.8. 報文完整性. 通信報文有效性應采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。4.3.9. 報文保密性. 報文或會話加密在通訊時采用安全通道或?qū)笪闹忻舾行畔⑦M行加密。4.3.10. 抗抵賴. 原發(fā)和接收證據(jù)應具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能。應具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能。4.3.11. 編碼安全. 源代碼審查應對源代碼進行安全性審查，提供源代碼審查報告。. 插件安全性審查應對插件進行安全性審查，提供插件審查報告。. 編碼規(guī)范約束應按照編碼規(guī)范進行編碼，具有編碼規(guī)范約束制度。. 源代碼管理應具有源代碼管理制度，具有源代碼管理記錄。. 版本管理應具有代碼版本管理制度。4.3.12. 電子認證應用. 第三方電子認證機構(gòu)證書在對外業(yè)務（非內(nèi)部業(yè)務）處理過程中，應使用經(jīng)過認證的第三方電子認證證書。在內(nèi)部業(yè)務（僅涉及本機構(gòu)內(nèi)人員或設備的業(yè)務）處理過程中，可以使用自建證書（非第三方電子認證證書）。在條件允許的情況下，建議對所有業(yè)務使用經(jīng)過認證的第三方電子認證證書。. 關(guān)鍵業(yè)務電子認證技術(shù)應用關(guān)鍵業(yè)務應使用電子認證技術(shù)。在條件允許的情況下，建議在所有業(yè)務均使用經(jīng)過認證的第三方電子認證技術(shù)。. 電子簽名有效性應使用有效的電子簽名。在對外業(yè)務（非內(nèi)部業(yè)務）處理過程中，應使用經(jīng)過第三方認證的電子簽名體系。在內(nèi)部業(yè)務（僅涉及本機構(gòu)內(nèi)人員或設備的業(yè)務）處理過程中，可以使用自建的電子簽名體系（非第三方認證的電子簽名體系）。在條件允許的情況下，建議對所有業(yè)務使用經(jīng)過認證的第三方電子簽名體系。. 服務器證書私鑰保護應對所持有的服務器證書私鑰進行有效保護。4.3.13. 脫機數(shù)據(jù)認證. 密鑰和證書應參考PBOC2.0要求，產(chǎn)生符合業(yè)務要求的密鑰和證書。. 靜態(tài)數(shù)據(jù)認證 脫機交易是否采用靜態(tài)數(shù)據(jù)認證方式。. 動態(tài)數(shù)據(jù)認證脫機交易是否采用動態(tài)數(shù)據(jù)認證方式。4.3.14. 安全報文. 報文格式應參考PBOC2.0報文格式。. 報文完整性驗證應對報文完整性進行驗證。. 報文私密性應保證報文私密性。. 密鑰管理應對密鑰進行安全管理。4.3.15. 終端安全. 終端數(shù)據(jù)安全性要求終端數(shù)據(jù)安全性應符合PBOC2.0要求。. 終端設備安全性要求終端設備安全性應符合PBOC2.0要求。. 終端密鑰管理要求終端密鑰導入、存儲、更新和回收應符合PBOC2.0要求。4.3.16. 安全機制. 對稱加密機制對稱加解密應符合PBOC2.0要求。. 非對稱加密機制非對稱加解密應符合PBOC2.0要求。4.3.17. 認可的算法. 對稱加密算法應使用認可的對稱加密算法，參考PBOC2.0要求。. 非對稱加密算法應使用認可的非對稱加密算法，參考PBOC2.0要求。. 哈希算法應使用認可的哈希算法，參考PBOC2.0要求。4.4. 數(shù)據(jù)安全性測試對支付服務業(yè)務系統(tǒng)數(shù)據(jù)安全防護進行檢測，主要考察數(shù)據(jù)的傳輸、存儲、備份與恢復安全性，基本要求如下：4.4.1. 數(shù)據(jù)保護. 客戶身份信息保護應當按規(guī)定妥善保管客戶身份基本信息，支付機構(gòu)對客戶身份信息的保管期限自業(yè)務關(guān)系結(jié)束當年起至少保存5年。. 支付業(yè)務信息保護應當按規(guī)定妥善保管支付業(yè)務信息，支付機構(gòu)對支付業(yè)務信息的保管期限自業(yè)務關(guān)系結(jié)束當年起至少保存5年。. 會計檔案信息保護應當按規(guī)定妥善保管會計檔案，支付機構(gòu)對會計檔案的保管期限適用會計檔案管理辦法（財會字199832號文印發(fā)）相關(guān)規(guī)定。4.4.2. 數(shù)據(jù)完整性. 重要數(shù)據(jù)更改機制應制定重要數(shù)據(jù)更改流程和管理制度。. 數(shù)據(jù)備份記錄應具備數(shù)據(jù)備份記錄。. 保障傳輸過程中的數(shù)據(jù)完整性應能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)在傳輸過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復措施。. 備份數(shù)據(jù)定期恢復定期隨機抽取備份數(shù)據(jù)進行解壓、還原，檢查其內(nèi)容有效性。4.4.3. 交易數(shù)據(jù)以及客戶數(shù)據(jù)的安全性. 數(shù)據(jù)物理存儲安全應具備高可用性的數(shù)據(jù)物理存儲環(huán)境。. 客戶身份認證信息存儲安全不允許保存支付服務業(yè)務系統(tǒng)非必須的客戶身份認證信息（如銀行卡交易密碼、指紋、銀行卡磁道信息、CVN、CVN2等）。. 終端信息采集設備硬加密措施或其它防偽手段如果使用終端信息采集設備則應采取硬加密措施，否則要使用其它手段達到防偽目的。. 同一安全級別和可信賴的系統(tǒng)之間信息傳輸應保證只能在同一安全保護級別、可信賴的系統(tǒng)之間傳輸。. 加密傳輸應采用加密或其他有效措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)傳輸保密性。. 加密存儲應采用加密或其他保護措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)存儲保密性。. 數(shù)據(jù)訪問控制應具備重要數(shù)據(jù)的訪問控制措施。. 在線的存儲備份應具備實時在線的存儲備份設施。. 數(shù)據(jù)備份機制應根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運行的影響，制定數(shù)據(jù)的備份和恢復策略，應指明備份數(shù)據(jù)的備份方式（如增量備份或全備份等）、備份頻度（如每日或每周等）、存儲介質(zhì)、保存期、放置場所、文件命名規(guī)則、介質(zhì)替換頻率和數(shù)據(jù)傳輸方法。0. 本地備份應具有同機房數(shù)據(jù)備份設施。1. 異地備份應提供異地數(shù)據(jù)備份功能，利用通信網(wǎng)絡將關(guān)鍵數(shù)據(jù)定時批量傳送至備用場地。2. 備份數(shù)據(jù)的恢復應具有備份數(shù)據(jù)恢復操作手冊，并提供恢復功能。3. 數(shù)據(jù)銷毀制度和記錄應具有數(shù)據(jù)銷毀制度和相關(guān)記錄。4. 關(guān)鍵鏈路冗余設計應采用冗余技術(shù)設計網(wǎng)絡拓撲結(jié)構(gòu)，避免關(guān)鍵節(jié)點存在單點故障。應提供主要網(wǎng)絡設備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性。4.5. 運維安全性測試對支付服務業(yè)務系統(tǒng)運維安全進行檢測，主要考察運維安全管理制度及運維安全執(zhí)行情況，基本要求如下：4.5.1. 環(huán)境管理. 機房基本設施定期維護應指定專門的部門或人員定期對機房供配電、空調(diào)、溫濕度控制等設施進行維護管理。. 機房的出入管理制度化和文檔化應指定部門負責機房安全，并配備機房安全管理人員，對機房的出入、服務器的開機或關(guān)機等工作進行管理。. 辦公環(huán)境的保密性措施應加強對辦公環(huán)境的保密性管理，規(guī)范辦公環(huán)境人員行為，包括工作人員調(diào)離辦公室應立即交還該辦公室鑰匙、不在辦公區(qū)接待來訪人員、工作人員離開座位應確保終端計算機退出登錄狀態(tài)和桌面上沒有包含敏感信息的紙質(zhì)文件等。. 機房安全管理制度應建立機房安全管理制度，對有關(guān)機房物理訪問，物品帶進、帶出機房和機房環(huán)境安全等方面的管理做出規(guī)定。. 機房進出登記表應具有機房進出登記表。4.5.2. 介質(zhì)管理. 介質(zhì)的存放環(huán)境保護措施應確保介質(zhì)存放在安全的環(huán)境中，對各類介質(zhì)進行控制和保護，并實行存儲環(huán)境專人管理。. 介質(zhì)的使用管理文檔化應建立介質(zhì)安全管理制度，對介質(zhì)的存放環(huán)境、使用、維護和銷毀等方面做出規(guī)定。. 維修或銷毀介質(zhì)之前清除敏感數(shù)據(jù)應對送出維修以及銷毀等進行嚴格的管理，對送出維修或銷毀的介質(zhì)應首先清除介質(zhì)中的敏感數(shù)據(jù)，對保密性較高的存儲介質(zhì)未經(jīng)批準不得自行銷毀。. 介質(zhì)管理記錄應對介質(zhì)在物理傳輸過程中的人員選擇、打包、交付等情況進行控制，對介質(zhì)歸檔和查詢等進行登記記錄，并根據(jù)存檔介質(zhì)的目錄清單定期盤點。. 介質(zhì)的分類與標識應對重要介質(zhì)中的數(shù)據(jù)和軟件采取加密存儲，并根據(jù)所承載數(shù)據(jù)和軟件的重要程度對介質(zhì)進行分類和標識管理。4.5.3. 設備管理. 設備管理的責任人員或部門應對信息系統(tǒng)相關(guān)的各種設備（包括備份和冗余設備）、線路等指定專門的部門或人員進行管理。. 設施、設備定期維護應對信息系統(tǒng)相關(guān)的各種設備（包括備份和冗余設備）、線路等指定專門的部門或人員定期進行維護管理。. 設備選型、采購、發(fā)放等的審批控制應建立基于申報、審批和專人負責的設備安全管理制度，對信息系統(tǒng)的各種軟硬件設備的選型、采購、發(fā)放和領(lǐng)用等過程進行規(guī)范化管理。. 設備配置標準化應建立標準化的設備配置文檔。. 設備的操作規(guī)程應對終端計算機、工作站、便攜機、系統(tǒng)和網(wǎng)絡等設備的操作和使用進行規(guī)范化管理，按操作規(guī)程實現(xiàn)主要設備（包括備份和冗余設備）的啟動/停止、加電/斷電等操作。. 設備的操作日志應具有完整的設備操作日志。. 設備使用管理文檔應對終端計算機、工作站、便攜機、系統(tǒng)和網(wǎng)絡等設備的操作和使用進行規(guī)范化管理，建立相應的管理文檔。. 設備標識應對設備進行分類和標識。4.5.4. 人員管理. 人員錄用應指定或授權(quán)專門的部門或人員負責人員錄用。應嚴格規(guī)范人員錄用過程，對被錄用人的身份、背景、專業(yè)資格和資質(zhì)等進行審查，對其所具有的技術(shù)技能進行考核。應簽署保密協(xié)議。應從內(nèi)部人員中選拔從事關(guān)鍵崗位的人員，并簽署崗位安全協(xié)議。. 人員轉(zhuǎn)崗、離崗應嚴格規(guī)范人員離崗過程，及時終止離崗員工的所有訪問權(quán)限。應取回各種身份證件、鑰匙、徽章等以及機構(gòu)提供的軟硬件設備。應辦理嚴格的調(diào)離手續(xù)，關(guān)鍵崗位人員離崗須承諾調(diào)離后的保密義務后方可離開。. 人員考核應定期對各個崗位的人員進行安全技能及安全認知的考核。應對關(guān)鍵崗位的人員進行全面、嚴格的安全審查和技能考核。應對考核結(jié)果進行記錄并保存。. 安全意識教育和培訓應對各類人員進行安全意識教育、崗位技能培訓和相關(guān)安全技術(shù)培訓。應對安全責任和懲戒措施進行書面規(guī)定并告知相關(guān)人員，對違反安全策略和規(guī)定的人員進行懲戒。應對定期安全教育和培訓進行書面規(guī)定，針對不同崗位制定不同的培訓計劃，對信息安全基礎知識、崗位操作規(guī)程等進行培訓。應對安全教育和培訓的情況和結(jié)果進行記錄并歸檔保存。. 外部人員訪問管理應確保在外部人員訪問受控區(qū)域前先提出書面