非金融机构支付服务业务系统检测规范预付卡部分.docx

非金融机构支付服务业务系统检测规范预付卡部分.docx

《非金融机构支付服务业务系统检测规范预付卡部分.docx》由会员分享，可在线阅读，更多相关《非金融机构支付服务业务系统检测规范预付卡部分.docx（36页珍藏版）》请在冰点文库上搜索。

非金融机构支付服务业务系统检测规范预付卡部分

系统与检测规范内容对应关系说明

银行卡检测中心：

系统的功能、性能、风险监控和文档与《非金融机构支付服务业务系统检测规范_预付卡部分》内容的对应关系说明如下：

功能

说明：

*标记为必测项

编号

检测项

系统实际功能

1.1

账户管理

1.1.1客户支付账户管理*（联机交易类必测项）

卡片发行

卡片激活

卡片冻结解冻

卡片挂失解挂

1.2

卡片管理

1.2.1制卡*（无卡片发行情况不适用）

卡资料管理

1.2.2卡片发行*（无卡片发行情况不适用）

售卡

1.2.3卡片激活*（无卡片发行情况不适用）

售卡激活

1.2.4充值

联机充值

1.2.5卡片有效期延长*（无卡片发行情况不适用）

卡有效期延期

1.2.6更换*（无卡片发行情况不适用）

换卡管理

1.2.7密码修改

卡联机改密

1.2.8卡片冻结/解冻

卡冻结/解冻

1.2.9卡片挂失/解挂

无

1.2.10锁卡/解锁

无

1.2.11退卡

无

1.2.12销卡

无

1.3

密钥和证书管理

1.3.1认证中心公钥管理

无

1.3.2发卡机构密钥管理

1.3.3IC卡密钥管理*（脱机交易类必测项）

无

1.3.4发卡机构证书管理

无

1.3.5IC卡证书管理

无

1.5

交易处理

1.4.1联机消费*（联机交易类必测项）

联机消费

1.4.2联机消费撤销

联机消费撤销

1.4.3联机余额查询*（联机交易类必测项（密码卡不适用））

联机余额查询

1.4.4退货*（密码卡不适用）

联机退货

1.4.5冲正交易*（联机交易类必测项（密码卡不适用））

自动冲正

1.4.6异常卡交易*

异常卡包括激活卡、挂失卡、坏卡、冻结卡等非正常状态卡片

1.4.7现金充值

联机充值

1.4.8指定账户圈存

无

1.4.9非指定账户圈存

无

1.4.10IC卡脚本通知

无

1.4.11圈提

无

1.4.12脱机消费*（脱机交易类必测项）

无

1.4.13脱机消费文件处理*（脱机交易类必测项）

无

1.4.14脱机余额查询*（脱机交易类必测项）

无

1.4.15交易查询*

历史和当前交易查询

1.7

资金结算

1.5.1客户结算

清算批处理

1.8

对账处理

1.6.1发送对账请求

清算批处理

1.6.2生成对账文件

商户，发卡方对账单

1.10

差错处理

1.7.1长款/短款处理*

调帐处理

1.11

统计报表

1.8.1业务类报表*

对账单报表，财务报表，交易统计报表等

1.8.2运行管理类报表*

商户开通报表，机构售卡报表，风控运行报表等

风险监控

说明：

*标记为必测项

编号

检测项

系统情况

2.1

联机交易风险管理

2.1.1联机交易ARQC/ARPC验证

无

2.1.2联机报文MAC验证

MAC校验

2.1.3卡片状态控制

卡激活，挂失，解挂，冻结等

2.1.4单笔消费限额

风控设置

2.1.5当日累计消费限额

风控设置

2.1.6当日累计消费次数限制

风控设置

2.1.7单笔充值金额最大值

风控设置

2.1.8账户余额限额*

卡账户限额（非实名：

1000；实名：

5000）

2.1.9大额消费商户交易监控

风控运行情况查看

2.1.10密码错误情况下的交易请求

用户密码错交易

2.1.11非法卡号交易*

系统pos不支持非协定的卡

2.1.12卡片有效期检查

交易检查卡有效期

2.1.13无磁无密交易

无

2.2

脱机交易风险管理

2.2.1TAC验证*（脱机交易类必测项）

无

2.2.2MAC验证*（脱机交易类必测项）

无

2.4

终端风险管理

2.3.1POS机申请、参数设置、程序灌装、使用、更换、维护、撤消的管理

《POS机管理制度》

《POS机服务作业单》

2.3.2POS机密钥和参数的安全管理

《POS机密钥和参数的安全管理》

2.3.3控制移动POS机的安装

《移动POS安装要求》

2.3.4终端安全检测报告

联迪E550安全检测报告

2.3.5密码键盘安全检测报告

联迪E550安全检测报告

2.3.6终端监控管理

《POS终端巡检制度》

《商户走访记录表》

性能

以下声明的系统指标已经在被测系统中实现。

编号

检测规范要求

系统指标

1

系统实际部署的受理终端数量和发卡量

2

系统高峰时段的联机交易数量

无

3

对可预期的系统生命周期内，受理终端数量和发卡量的增长情况（3年）

pos:

5000

卡：

50000

4

受理终端主要核心业务功能点分布比例。

比如，POS终端系统，联机交易业务占70％，联机余额查询占20％，联机交易明细查询占10％等

消费：

33%

查询余额：

67%

6

一年的业务量（交易笔数，如果交易类型有多种，请分别说明）

查询：

450000

消费：

300000

其他（续期，改密，积分等）：

120000

7

压力解除后系统自恢复时间

1分25秒

8

“日终批处理”对应的系统功能，数据量及响应时间要求

100000条数据

20分15秒

网络安全测试

编号

检测项

对应说明

1

网络访问控制

（1） 未划分核心域、管理域等网络不同区域，核心网边界未进行有效隔离

划分核心区域将测试，监控，生产分开

（2） 未部署入侵检测类安全产品或进行有效的入侵检测防范

未检测到

（3） 日常办公网可访问核心生产服务器和网络设备

使用vpn限制对网络设备访问

（4）数据库服务器与WEB服务器位于同一区域，未合理划分DMZ区

将数据区和web服务器分开

（5） 在路由器或者交换机上未配置QOS，也未做其它网络流量控制

做网络流量限制

（6） 防火墙访问控制规则中未配置默认的拒绝策略

放火墙配置信任访问策略

（7） 未对可登录核心系统主机的主机范围进行限定

控制生产环境的机器是否可访问

（8） 无法对非授权设备私自联到内部网络和内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断

对机器的从内向外或者从外向内访问进行严格限制

（9） 访问生产区服务器的终端机可同时访问互联网

网络设备不允许远程访问

（10） 未进行地址转换，以隐藏内部网络结构

进行地址转换，外部使用转换后地址访问机器

（11）防火墙访问控制规则中存在冗余的允许策略

删除多余的允许策略

（12）系统对Internet提供服务，但访问控制粒度未控制到端口级。

网络设备不提供给外部访问

（13） 在不影响双机切换等情况下，重要服务器在网络设备上未进行MAC和IP的绑定

建议

（14） 允许使用SSH的V1版本

建议

（15） 没有禁止客户端通过telnet协议（明文传输）在内部网络内进行远程管理

建议

（16） 没有禁止客户端通过telnet协议（明文传输）在外部网络内进行远程管理

禁用telnent登陆

2

结构安全

（1） 无链路备份

有主备链路

（2） 核心网络设备缺少冗余

提供网络设备允余配置

（3） 链路使用同一运营商的线路

主备线路使用同一运营商

（4）系统中使用动态路由（包括OSPF、IEGRP等），但动态路由未启用动态路由认证。

使用静态路由不影响检测结果

3

网络设备防护

（1） SNMPcommunity字符串为默认值

设置snmp服务的community为指定的值，或者可不使用snmp服务

（2） 路由器使用默认的enable密码

网络配置enable密码

（3） 未限制口令最小长度、复杂度和更新时间等

设置网络设备登陆

（4） 路由器/防火墙的enable密码未加密存储

设置密码加密

（5） 路由器/防火墙的enable密码存储加密方式不安全，易被破解

设置密码复杂加密

（6）网络设备的口令列表未加密，保存在管理员终端或服务器上

对所有可操作网络设备的密码进行加密处理

（7） 未设置非法登录次数控制参数

网络设备不支持远程登陆

（8） 未设置连接超时等控制参数

建议

（9） 网络设备开启了不必要的服务

建议

（10）主要网络设备及安全设备未采取两种或两种以上组合的鉴别技术进行身份鉴别。

建议

（11）设备存在不需要的用户

删除调试过程中使用的用户

4

网络入侵防范

（1） 没有安装IDS或防恶意代码软件

开启了防火墙（深信服AF1110）IPS功能

（2） 病毒库更新不及时；IDS特征库更新不及时

定时有网络安全人员进行网络病毒库更新

（3） 防范软件未能及时安装补丁

定时有网络安全人员进行补丁安装

（4） 网络设备（防火墙、路由器、交换机和IDS等）无安全配置标准

建议

（5） 未设置DoS/DDoS攻击、网络ARP欺骗攻击等的防护措施

在防火墙（深信服AF1110）开启防火墙ddos攻击。

5

网络安全审计

（1） 数据中心无独立的网络监控设备

数据中心有此设备

（2） 未建立主机、应用的自动化监控平台

建议

（3） 网络设备无审计记录

进行人工审计，每月在进行网络巡检时，进行log查看的人工审计

（4） 对于没有审计工具，但可人工实现，并有相关制度及记录

建议

（5） 未开启日志功能

网络设备开启日志功能

（6） 未使用NTP或类似的技术对关键设备的时间进行同步

建议

（7） 没有专人定时查看并分析日志

建议

（8） 不对审计记录进行备份保存，日志信息循环记录

需要专门的日志服务器

（9）未合理配置日志缓冲区大小

配置网络设备日志缓冲区大小

（10） 没有定期的内部审计安全检查

建议

（11）未提供网络设备故障处理制度及相应记录

建议

（12）针对网络故障未形成知识库

建议

（13）针对网络故障未生成分析文档

文档《网络故障分析表》

6

网络安全管理

（1） 网络设备软件版本过低

建议

（2） 应用协议（如SNMP协议）版本过低

建议

（3） 没有漏洞扫描工具，也没有漏洞扫描记录和报告

Nessus软件进行扫描

（4）网络设备的重要文件（如配置文件等）未进行备份保存

对每次的网络配置文件信息进行抓取和保存备份

7

网络相关人员安全管理

（1） 同一团队/人员负责管理多台网络设备、主机以及其他硬件设备等

建议

（2）未实现管理员帐户唯一性，多人共用同一个管理员帐户。

对可以操作网络设备的人员设置单独的用户权限，用户之间可以协调配合完成网络设备的操作

（3） 安全管理职责由其他人员兼职

已经按照岗位职责划分出独立的网络管理人员

主机安全

序号

检测项

案例

对应说明

1

身份鉴别

（1） 用户密码策略设置不安全（密码长度、过期时间、锁定策略等）

Linux中可以设定

（2） Linux系统引导程序GRUB未设置密码

Linux中设定

（3） Solaris未设置eeprom硬件保护口令

使用CentOs

（4）多人共享root用户口令

Linux设定非全部人能使用root

（5）操作系统存在默认口令及弱口令

设定用户密码复杂度，强制密码更改

（6）Oracletnslsnr没有设置口令

设定tnslsnr密码

（7） 未禁止root用户直接登录

远程登陆限制root直接登陆

（8） 连续错误登录多次未自动锁定账号

设定用户登陆失败锁定策略

（9） root用户存在可疑的路径参数环境变量

清除root用户非使用环境变量

（10） 对root用户的使用没有申请机制

安全管理制度

（11） 主机未更改默认用户登录名

使用主机用户均为按照安全制度新建的应用操作用户

（12） 主机默认显示上一次登录用户名

系统未做此配置

（13） 没有对访问特定服务器的内部终端进行限制

可以配置ip，mac等访问限制

（14） 没有强制注销及超时限制

设定登陆超时时间

（15） 应用中间件控制台登录密码使用默认口令

无中间控制台

（16）服务器操作系统登录未采用双因素认证

建议问题

（17） SSH默认开启了X11转发功能

建议问题

（18） SSH服务端配置文件未指明仅支持协议2

建议问题

（19） 主机远程登录，用户名和密码明文传输

登陆使用ssh

2

访问控制

（1） 无禁用操作系统默认用户（如daemon、bin、sys、adm等）

禁用默认用户

（2）系统存在多余的自建账户（数据库、应用中间件的默认用户未删除或关闭）

删除多余的自建用户

（3） 日志文件权限设置不安全

建议问题

（4） 存在具有SUID/SGID权限的文件

建议问题

（5） 存在全局可写文件/目录

建议问题

（6） 存在具有同组用户可写属性的文件/目录

建议问题

（7） 存在无属主文件

建议问题

（8） 主机重要系统文件的权限设置不安全

Linux文件权限设置

（9） Linux系统/etc/aliaes文件中未禁用无用的别名

建议问题

（10） 核心业务服务器操作系统和数据库系统未安装强制访问控制模块

建议问题

（11） 未采取合理措施进行主机连接控制，如只通过限制服务器系统连接控制数进行限制

建议问题

（12）操作系统与数据库系统的特权用户未分离

进行权限分离

（13）未实现最小权限分配，系统无审计员等安全角色

设定安全角色完成系统审计等功能

3

安全审计

（1） 主机系统未开启系统日志审计功能

建议问题，可以安装日志审计工具软件

（2） Windows主机未配置本地安全审计策略

建议问题

（3） 没有专人定时检查系统日志

建议问题

（4） 主机日志保存时间过短（低于3个月）

建议问题

（5） 未使用日志监控软件或日志服务器

建议问题

（6） 没有单独为应用系统的日志建立文件系统，存在系统日志增长将文件系统耗尽的风险

建议问题

（7）服务器操作系统的时间未同步

建议问题

4

系统保护

（1） 关键主机无备份

使用双机热备对数据库进行热备，同时定是进行数据备份

（2）未提供系统设备故障处理制度及相应记录

建议问题

5

剩余信息保护

（1） 未采用合理措施进行剩余信息保护，也无相关制度进行规定

有文档进行说明《过期信息处理制度及记录》进行说明

（2） 未采用合理措施进行剩余信息保护，但又相关制度规定

建议

6

入侵防范

（1） 存在多种随系统启动的服务（如Telnet、SNMP、Rusersd等）

关闭这些服务

（2）主机系统路由表存在多条未明确用途的路由

删除不使用路由

（3） 服务器等未专用

建议

（4）没有对主机中重要程序的完整性进行检测。

建议

7

恶意代码防范

（1） Windows主机没有安装防恶意代码软件

Linux，windows可以安装恶意代码软件snort

（2） Windows主机病毒库未定期更新

安装杀毒软件定期进行更新

（3）Linux、Aix系统未安装恶意代码防范软件

建议

8

资源控制

（1） 对系统的资源消耗和其他信息没有实时监控和预警机制

安装监控软件进行监控和预警

（2） 对系统关键进程没有实时监控和预警机制

监控软件进行监控和预警

9

主机安全管理

（1） 主机系统未及时安装服务补丁包

建议

（2） OpenSSH远程服务器复制块远程拒绝服务漏洞

不使用openssh，若使用则安装修复补丁

（3） Web服务器Apache拒绝服务漏洞

未使用Apache则安装修复补丁

（4） OpenSSHGSSAPI认证远程代码执行漏洞

未使用此程序

（5） OpenSSHPAM会话内存擦除漏洞

未使用此程序

（6） Solaris10Telnet可绕过认证漏洞

使用CentOs

（7） 可使用个别组件执行任意代码，通过修改httpd配置文件导致内存溢出，从而能够创建恶意的配置文件，执行任意的代码

未使用httpd服务

（8） /usr/local/apache2/cgi-bin/test-cgi会使远程访问者列出webserver的文件，为系统安全留下隐患

未使用apache

（9） 无主机和数据库安全配置标准

建议

（10） 无主机和数据库安全加固制度或标准

建议

（11） 没有漏洞扫描工具，也没有漏洞扫描记录和报告

安装Nessus5.0座安全扫描

10

主机相关人员安全管理

（1） 安全管理职责由其他人员兼职

按照《岗位职责划分》设定人员专门进行

应用安全测试

序号

检测项

案例

对应说明

1

身份鉴别

（1）未采取两种或两种以上组合的鉴别技术进行身份鉴别

密码+图片验证码

（2）未采取两种或两种以上组合的鉴别技术进行身份鉴别（内部管理应用）

密码+图片验证码

（3）普通用户可以通过修改cookie方式得到管理员用户权限

系统web不是用cookie

（4）系统未提供多次登录失败帐户锁定功能

设定登陆失败5次锁定10分钟

（5）在下次登录时未对用户进行提示（提示内容可以是上次登录时间、登录ip、登录失败等内容）

建议

（6）非法用户登录未进行审计

记录用户登陆记录，系统管理员可以查看审计用户登陆

（7）同一用户可重复登录并执行操作，同时在线，未限制并发登录

设定不能并发登陆

（8） 网络客户端日志中包含了明文的交易信息、用户口令、密钥及CVN/CVN2信息

用户密码在传输中使用加密

（9） 未对密码长度、复杂度等做限制

做长度和复杂度限制

（10） 用户修改自己的密码时，没有对密码中包含用户名的内容进行判断和提示

建议

（11）系统提供密码初始化功能的，但首次登录未要求用户修改密码

设置初始密码和强制修改

（12）应用系统平台存在管理员弱口令帐号

设定复杂的管理员口令

（13）未使用图形验证码等机制防范固定密码进行用户名猜测

图片验证码

（14） 登录失败时显示明确的提示信息

提示用户登陆失败原因

2

Web页面安全

（1） 开启危险的HTTP方法，如PUT、DELETE、MOVE、TRACE、CONNECT等

更新session信息

（2） 不安全的会话管理，如会话ID不更新、会话变量泄露等

后台做数据验证

（3） 跨站脚本攻击

后台做数据验证

（4） 跨站脚本攻击（内部管理应用）

管理页面需要通过登陆操作才能访问

（5） 存在可直接访问的管理页面

管理页面需要通过登陆操作才能访问

（6） 存在可直接访问的管理页面（内部管理应用或WAP应用）

对交易日志和系统操作日志都提供记录和查询

（7） 对应用系统没有提供日志记录，例如交易类和系统操作类等日志信息

详细记录日志结果内容

（8） 安全日志记录不全或内容不详细，例如未包括非法访问记录、账户锁定等操作

用户口令等多做加密处理

（9） 错误调试信息中包含了明文的用户口令、指纹信息、磁道信息、密钥及CVN/CVN2信息

用户密码等信息作加密处理

（10）部分页面存在SQL注入漏洞（包括内外平台）

后台做sql语句处理

（11）应用程序错误时在Web页面显示调试信息

不显示调试信息

（12）服务器响应信息中包含内部IP可能泄露内部网络信息

只有公网ip信息

（13）对隐藏目录访问时可收到403消息，可探测目录的存在性

无隐藏目录

（14）没有使用图片验证码方式

使用图片校验码

（15）登录系统后，没有预留信息提示，无法防止网络钓鱼攻击

建议

（16）对于需要输入支付密码、卡的PIN码的输入框未使用安全控件进行保护

使用安全控件

（17）安全控件无法提供第三方检测机构检测报告

安全控件检测报告

（18）安全控件存在缓冲区溢出漏洞，可被利用

无缓冲漏洞

（19）安全控件存在不必要的接口功能，存在写权限等

无这些权限

（20）未提供插件安全性检查报告

安全控件检测报告

3

访问控制

（1） 没有管理员权限或者用户权限控制

权限分离

（2） 未屏蔽没有权限访问的功能菜单

屏蔽无权限菜单

（3）仅采用菜单项控制访问权限，低权限用户可采用绝对地址访问系统，绕过访问控制机制

系统后台有对操作权限做验证，且不能直接使用访问地址访问系统

（4） 点击右键出现菜单，再进行其他操作导致出现不应出现的界面

无此问题

4

安全审计

（1） 应用系统无交易记录模块

有交易日志记录

5

剩余信息保护

（1）过期账户未及时删除

定期进行帐户的清理工作

（2） 登录系统并浏览页面后，浏览器的Cookie信息遗留一些过程文件

不使用cookie

6

资源控制

（1） 对进程资源等没有监控和预警措施

安装监控软件进行监控

（2）未对并发连接的最大数量进行限制

限制最大的并发连接数量

（3）未限制会话超时时间

限制会话（session）超时时间

7

应用容错

（1）对输入做严格检查

进行前台和后台的验证

（2）未对输入做严格检查（内部管理应用）

进行前台和后台的验证

（3）异常的中断导致系统关闭、不能使用或导致敏感信息的泄露

系统有错误处理机制，不会终端系统且不会泄露敏感信息

（4）没有对上传文件的文件格式进行校验，存在上传.exe、.asp、.jsp、shell程序等文件的风险

对上传文件类型进行过滤

（5）没有对上传文件大小进行控制

设置最大的上传文件大小

8

报文保密性

（1）使用HTTP协议，登录信息明文传输

使用https代替http

（2）使用HTTP协议，登录信息明文传输（内部管理应用）

使用https代替http

9

编码安全

（1）存在源代码暴露漏洞

只有访问服务器才能够看到源代码

（2）源代码没有审查流程要求，或者无审查记录

《源代码管理制度》

10

电子认证应用

（1）使用未获得工业和信息化部颁发《电子认证服务许可证》的电子认证机构发放的证书或提供的服务

（2）使用未获得工业和信息化部颁发《电子认证服务许可证》的电子认证机构发放的证书或提供的服务（内部管理应用）

建议

（3）关键业务实现未使用电子认证技术保证交易的完整和抗抵赖

（4）关键业务实现未使用电子认证技术保证交易的完整和抗抵赖（内部管理应用）

建议

（5）电子签名实现不符合《中华人民共和国电子签名法》规定的有效电子签名要求

（6）电子签名实现不符合《中华人民共和国电子签名法》规定的有效电子签名要求（内部管理应用）

建议

（7）关键业务实现未使用服务器证书标示网上应用身份

（8）关键业务实现未使用服务器证书标示网上应用身份（内部管理应用）

建议

（9）关键业务相关插件及客户端程序发布未使用证书签发

（10）关键业务相关插件及客户端程序发布未使