非金融机构支付服务业务系统检测基本要求内容.docx

1、非金融机构支付服务业务系统检测基本要求内容非金融机构支付服务业务系统检测基本要求（银行卡收单部分）（2011版）中国人民银行2011年3月4.5.8.应急预案管理47第一章功能测试第二章验证支付服务业务系统的业务功能是否正确实现，测试系统业务处理的准确性，基本要求如下：1.1. 特约商户管理1.21.1.1.商户提交资质材料1.1.2.应对特约商户提交的资质材料进行审核。1.1.3.黑检查及管理1.1.4.交易过程中要经过黑检查，并支持日常的黑管理。1.1.5.商户信息查询1.1.6.应支持商户信息的查询。1.1.7.商户操作员管理1.1.8.应对商户控制平台或POS机等的操作员进行管理。1.

2、1.9.商户受理业务管理1.1.10.应具有商户受理业务的增加、修改和取消功能。1.1.11.商户信息维护1.1.12.应具有商户信息的增加、修改和删除功能。1.1.13.商户冻结、解冻1.1.14.具有暂停商户交易和重新恢复商户交易的功能。1.1.15.商户退出1.1.16.能够永久停止商户交易的功能。1.3. 终端机具信息管理1.41.1.1.1.1.1.2.1.2.1.机具申领控制1.2.2.机具的申领要有控制策略，用于控制申领过程。1.2.3.机具信息维护1.2.4.应能够对机具的编号、对应商户名称、商户编号进行维护。1.2.5.机具信息查询1.2.6.能够对机具信息（例如：编号、对应

3、商户名称、商户编号）进行查询。1.5. 密钥管理1.61.3.1.3.1.密钥生成1.3.2.具有密钥生成流程及控制。1.3.3.密钥分发1.3.4.具有密钥分发流程及控制。1.3.5.密钥使用1.3.6.具有密钥使用控制流程及控制。1.3.7.密钥存储1.3.8.具有密钥存储规定及控制。1.3.9.密钥更新1.3.10.具有密钥更新流程及控制。1.3.11.密钥销毁1.3.12.具有密钥销毁流程及控制。1.7. 交易处理1.81.4.1.4.1.消费1.4.2.应实现POS等消费功能。1.4.3.消费撤销1.4.4.应实现消费撤销功能。1.4.5.余额查询1.4.6.应实现不同渠道的查询功能

4、。1.4.7.预授权1.4.8.应实现预授权功能。1.4.9.预授权撤销1.4.10.应实现预授权撤销功能。1.4.11.预授权完成1.4.12.应实现预授权完成功能。1.4.13.预授权完成撤销1.4.14.应实现预授权完成撤销功能。1.4.15.追加预授权1.4.16.应实现追加预授权功能。1.4.17.退货1.4.18.应实现退货功能。1.4.19.指定账户圈存1.4.20.应实现指定账户圈存功能。1.4.21.非指定账户圈存1.4.22.应实现非指定账户圈存功能。1.4.23.现金充值1.4.24.能够通过柜台或自主终端等方式使用现金进行充值交易。1.4.25.圈提1.4.26.应实现

5、圈提交易功能。1.4.27.脱机消费1.4.28.应实现IC卡脱机消费功能。1.4.29.IC卡参数下载1.4.30.应实现IC卡参数下载功能。1.4.31.交易明细查询1.4.32.应实现在受理平台和终端上的历史交易明细查询的功能。1.4.33.冲正交易1.4.34.具有在受理平台和终端上的冲正交易的功能。. 1.5.资金结算1.5.1.银行清算1.5.2.应能够根据银行的要求正确完成与银行之间的清算。1.5.3.商户结算1.5.4.应具有商户资金结算功能。1.9. 对账处理1.101.6.1.6.1.发送对账请求1.6.2.允许商户发送对账请求。1.6.3.下载对账文件1.6.4.应具有商

6、户下载对账文件。1.11. 差错处理1.121.7.1.7.1.拒付管理1.7.2.应具有对于拒付交易的查询、删除等功能。1.7.3.单笔退款1.7.4.应具有针对单笔交易的退款功能。1.7.5.批量退款1.7.6.应具有差错处理过程中针对批量交易的退款功能。1.7.7.差错交易查询1.7.8.应具有对各种差错交易的查询功能。1.7.9.对账差错处理1.7.10.应具有对账文件出错，对账结果不平等的处理功能。1.13. 统计报表1.141.8.1.8.1.业务类报表1.8.2.应具有与收单业务有关的各种业务类型以及相关的业务规模等统计功能。1.8.3.运行管理类报表1.8.4.应具有与收单业务

7、有关的终端部署、人员管理类的统计报表功能。第三章风险监控测试第四章验证支付服务业务系统的账户及交易风险，基本要求如下：22.1. 联机交易管理2.22.2.1.2.1.1.联机交易ARQC/ARPC验证2.1.2.能够进行联机交易的ARQC/ARPC验证。2.1.3.联机报文MAC验证2.1.4.联机交易的报文的MAC验证失败后要有记录。2.1.5.黑管理2.1.6.使用黑的卡片交易要有记录并触发风控规则。2.1.7.单笔消费限额2.1.8.超过单笔消费限额的交易有记录并触发风控规则。2.1.9.大额消费商户交易监控2.1.10.对于大额消费商户的交易要有记录并触发风控规则。2.1.11.异常

8、交易监控2.1.12.应实现异常交易监控规则的设置，以实现对异常交易的识别和监控，并提供对违反规则的交易进行查询、预警、处理、风险控制等服务。2.1.13.无磁无密交易2.1.14.对于无磁无密的交易，在风险监控系统上要有记录。2.3. 收单风险管理2.42.2.2.2.1.商户资质审核2.2.2.收单机构要对商户资质进行审核。2.2.3.商户签约2.2.4.收单机构在与商户合作时，要签订协议。2.2.5.特约商户日常风险管理2.2.6.要向商户发放风险提示信息，给商户风险培训。2.2.7.合作的第三方机构的风险管理2.2.8.要对合作的第三方机构进行风险提示和培训。2.2.9.特约商户强制冻

9、结、解冻、解约2.2.10.遇到问题后，能够强制冻结、解冻商户，甚至和商户解约。2.2.11.可疑商户信息共享2.2.12.可疑商户的信息要在收单机构间共享。2.2.13.风险事件报送2.2.14.当出现风险事件时要向上级部门或者主管部门报送。. 2.3.终端风险管理2.3.1.POS机申请、参数设置、程序灌装、使用、更换、维护、撤消、回收的管理2.3.2.POS机的管理要有明确的流程。2.3.3.POS钥和参数的安全管理2.3.4.对POS钥和参数有严格的管理要求。POS终端密钥应严格按照“一机一密”安全规进行管理， POS终端密钥应符合双倍长密钥算法规。2.3.5.控制移动POS机的安装2

10、.3.6.移动POS机的安装要严格限制，详细登记。2.3.7.终端安全检测报告和终端入网检测报告2.3.8.使用的终端要有安全检测报告，报告容要能反映终端的安全状况；要有终端入网检测报告，报告容要能明确POS签购单打印格式和要素。2.3.9.密码键盘安全检测报告2.3.10.使用的密码键盘要有安全检测报告，报告容要能反映密码键盘的安全状况。2.3.11.终端监控2.3.12.应建立对受理终端的日常监控巡查机制，重点检查终端是否被非法改装，防止不法份子窃取账户信息，并保留巡查记录。2.4.风控规则2.5.2.5.1.风控规则管理2.5.2.应确保在相关风险管理制度中是否完整、明确的定义各项风控规

11、则的变更、审核和确认制度。2.5.3.风险识别2.5.4.应确保在相关风险管理制度中是否完整、明确的定义各种风险类别。2.5.5.风险事件管理2.5.6.应确保在相关风险管理制度中是否完整、明确的定义各项风险事件处理规则，并保留事件的记录。2.5.7.风险报表2.5.8.应提供一段时间的风险事件报表，可以根据自身的情况将“一段时间”细化为“月季年。第五章性能测试第六章3.1.系统要求3.2.支付服务业务系统性能基本要求如下：策略并发数CPU平均利用率交易成功率稳定并发比对性能需求表高峰时段并发数=90%第七章安全性测试第八章4.4.1.网络安全性测试4.2.对支付服务业务系统网络环境进行检测，

12、考察经网络系统传输的数据安全性以及网络系统所连接的设备安全性，评估系统网络环境是否能够防止信息资产的损坏、丢失，敏感信息的泄漏以及业务中断，是否能够保障业务的持续运营和保护信息资产的安全，基本要求如下：4.2.1.结构安全4.2.2.4.2.2.1.网络冗余和备份4.2.2.2.应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要。应保证网络各个部分的带宽满足业务高峰期需要。4.2.2.3.网络安全路由器4.2.2.4.应在业务终端与业务服务器之间进行路由控制建立安全的访问路径。4.2.2.5.网络安全防火墙4.2.2.6.应避免将重要网段部署在网络边界处且直接连接外部信息系统，重

13、要网段与其他网段之间采取可靠的技术隔离手段。4.2.2.7.网络拓扑结构4.2.2.8.应绘制与当前运行情况相符的网络拓扑结构图。4.2.2.9.IP子网划分4.2.2.10.应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段。4.2.2.11.QoS保证4.2.2.12.应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。4.2.3.网络访问控制4.2.4.4.2.4.1.网络域安全隔离和限制4.2.4.2.应在网络边界部署访问控制设备，启用访问控制功能。4.2.4.3.

14、地址转换和绑定4.2.4.4.重要网段应采取技术手段防止地址欺骗。4.2.4.5.容过滤4.2.4.6.应对进出网络的信息容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP等协议命令级的控制。4.2.4.7.访问控制4.2.4.8.应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。应按用户和系统之间的访问控制规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户。4.2.4.9.流量控制4.2.4.10.应限制网络最大流量数及网络连接数。4.2.4.11.会话控制4.2.4.12.应在会话处于非活跃一定时间或会话结束后终止网络连接。

15、4.2.4.13.远程拨号访问控制和记录4.2.4.14.应限制管理用户通过远程拨号对服务器进行远程管理。4.2.5.网络安全审计4.2.6.4.2.6.1.日志信息4.2.6.2.应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。4.2.6.3.网络系统故障分析4.2.6.4.应对网络系统故障进行分析，查找原因并形成故障知识库。4.2.6.5.网络对象操作审计4.2.6.6.应能够根据记录数据进行分析，并生成审计报表。4.2.6.7.日志权限和保护4.2.6.8.应对审计记录进行保护，避免

16、受到未预期的删除、修改或覆盖等。4.2.6.9.审计工具4.2.6.10.应具备日志审计工具，对日志进行记录、分析和报告。4.2.7.边界完整性检查4.2.8.4.2.8.1.外网非法连接阻断和定位4.2.8.2.应能够对非授权设备私自连接到部网络的行为进行检查，准确定出位置，并对其进行有效阻断。应能够对部网络用户私自连接到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。4.2.9.网络入侵防4.2.10.4.2.10.1.网络ARP欺骗攻击4.2.10.2.应能够有效的防网络ARP欺骗攻击。4.2.10.3.信息窃取4.2.10.4.应采用防信息窃取的措施。4.2.10.5.DOS

17、/DDOS攻击4.2.10.6.应具有防DOS/DDOS攻击设备或技术手段。4.2.10.7.网络入侵防机制4.2.10.8.应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。4.2.11.恶意代码防4.2.12.4.2.12.1.恶意代码防措施4.2.12.2.应在网络边界处对恶意代码进行检测和清除。4.2.12.3.定时更新4.2.12.4.应维护恶意代码库的升级，检测系统的更新。4.2.13.网络设备防护4.2.14

18、.4.2.14.1.设备登录设置4.2.14.2.应对登录网络设备的用户进行身份鉴别。网络设备用户的标识应唯一。主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别。4.2.14.3.设备登录口令安全性4.2.14.4.身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换。4.2.14.5.登录地址限制4.2.14.6.应对网络设备的管理员登录地址进行限制。4.2.14.7.远程管理安全4.2.14.8.当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。4.2.14.9.设备用户设置策略4.2.14.10.应具有登录失败处理功能，可采取

19、结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施。4.2.14.11.权限分离4.2.14.12.应实现设备特权用户的权限分离。4.2.14.13.最小化服务4.2.14.14.应实现设备的最小服务配置，并对配置文件进行定期离线备份。4.2.15.网络安全管理4.2.16.4.2.16.1.网络设备运维手册4.2.16.2.应建立网络安全管理制度，对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面做出规定。应保证所有与外部系统的连接均得到授权和批准。应定期检查违反规定拨号上网或其他违反网络安全策略的行为。4.2.16.3.定期补丁安装4.2.16.4.应根据厂

20、家提供的软件升级版本对网络设备进行更新，并在更新前对现有的重要文件进行备份。4.2.16.5.漏洞扫描4.2.16.6.应定期对网络系统进行漏洞扫描，对发现的网络系统安全漏洞进行及时的修补。4.2.16.7.网络数据传输加密4.2.16.8.当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听。4.2.17.网络相关人员安全管理4.2.18.4.2.18.1.网络安全管理人员配备4.2.18.2.应指定专人对网络进行管理，负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作。4.2.18.3.网络安全管理人员责任划分规则4.2.18.4.应制定文件明确网络安全管

21、理岗位的职责、分工和技能要求。4.2.18.5.网络安全关键岗位人员管理4.2.18.6.应从部人员中选拔从事关键岗位的人员，并签署岗位安全协议。应对关键岗位的人员进行全面、严格的安全审查和技能考核。4.3.主机安全性测试4.4.对支付服务业务系统主机安全防护进行检测，考察主机的安全控制能力，基本要求如下：4.4.1.身份鉴别4.4.2.4.4.2.1.系统与应用管理员用户设置4.4.2.2.应对登录操作系统和数据库系统的用户进行身份标识和鉴别。应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。4.4.2.3.系

22、统与应用管理员口令安全性4.4.2.4.操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换。4.4.2.5.登录策略4.4.2.6.应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施。4.4.3.访问控制4.4.4.4.4.4.1.访问控制围4.4.4.2.应启用访问控制功能，依据安全策略控制用户对资源的访问。应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限。应实现操作系统和数据库系统特权用户的权限分离。4.4.4.3.主机信任关系4.4.4.4.应避免不必要的主机信任关系。4.4.4.5.默认过期用

23、户4.4.4.6.应及时删除多余的、过期的用户，避免共享用户的存在。应严格限制默认用户的访问权限，重命名系统默认用户，修改这些用户的默认口令。4.4.5.安全审计4.4.6.4.4.6.1.日志信息4.4.6.2.审计围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户。审计容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统重要的安全相关事件。审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。 4.4.6.3.日志权限和保护4.4.6.4.应保护审计记录，避免受到未预期的删除、修改或覆盖等。应保护审计进程，避免受到未预期的中断。4.4.6.5.系统信息分

24、析4.4.6.6.应能够根据记录数据进行分析，并生成审计报表。4.4.6.7.用户操作审计4.4.6.8.应对所有用户操作进行审计记录。4.4.7.系统保护4.4.8.4.4.8.1.系统备份4.4.8.2.应具有系统备份或系统重要文件备份。4.4.8.3.故障恢复策略4.4.8.4.应具备各种主机故障恢复策略。4.4.8.5.磁盘空间安全4.4.8.6.应对主机磁盘空间进行合理规划，确保磁盘空间使用安全。4.4.8.7.主机安全加固4.4.8.8.应对主机进行安全加固。4.4.9.剩余信息保护4.4.10.4.4.10.1.过期信息、文档处理4.4.10.2.应保证操作系统和数据库系统用户的

25、鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在存中。应确保系统的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全清除。4.4.11.入侵防4.4.12.4.4.12.1.入侵防记录4.4.12.2.应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警。应能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施。4.4.12.3.关闭服务和端口4.4.12.4.应关闭系统不必要的服务和端口。4.4.12.5.最小安装原则4.

26、4.12.6.操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。4.4.13.恶意代码防4.4.14.4.4.14.1.防软件安装部署4.4.14.2.应至少在生产系统中的服务器安装防恶意代码软件。4.4.14.3.病毒库定时更新4.4.14.4.应及时更新防恶意代码软件版本和恶意代码库。4.4.14.5.防软件统一管理4.4.14.6.应支持防软件的统一管理。4.4.15.资源控制4.4.16.4.4.16.1.连接控制4.4.16.2.应通过设定终端接入方式、网络地址围等条件限制终端登录。应根据安全策略设置登录终端的操作超时锁定。

27、4.4.16.3.资源监控和预警4.4.16.4.应对重要服务器进行监视，包括监视服务器的CPU、硬盘、存、网络等资源的使用情况。应限制单个用户对系统资源的最大或最小使用限度。应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。4.4.17.主机安全管理4.4.18.4.4.18.1.主机运维手册4.4.18.2.应建立系统安全管理制度，对系统安全策略、安全配置、日志管理和日常操作流程等方面做出具体规定。4.4.18.3.漏洞扫描4.4.18.4.应定期进行漏洞扫描，对发现的系统安全漏洞及时进行修补。4.4.18.5.系统补丁4.4.18.6.应安装系统的最新补丁程序，在安装系统补丁前

28、，首先在测试环境中测试通过，并对重要文件进行备份后，方可实施系统补丁程序的安装。4.4.18.7.操作日志管理4.4.18.8.应依据操作手册对系统进行维护，详细记录操作日志，包括重要的日常操作、运行维护记录、参数的设置和修改等容，严禁进行XX的操作。应定期对运行日志和审计数据进行分析，以便及时发现异常行为。4.4.19.主机相关人员安全管理4.4.20.4.4.20.1.主机安全管理人员配备4.4.20.2.应指定专人对系统进行管理，划分系统管理员角色，明确各个角色的权限、责任和风险，权限设定应当遵循最小授权原则。4.4.20.3.主机安全管理人员责任划分规则4.4.20.4.应制定文件明确

29、主机管理岗位的职责、分工和技能要求。4.4.20.5.主机安全关键岗位人员管理4.4.20.6.应根据业务需求和系统安全分析确定系统的访问控制策略。4.5.应用安全性测试4.6.对支付服务业务系统应用安全性检测，主要检测应用系统对非法访问及操作的控制能力，基本要求如下：4.6.1.身份鉴别4.6.2.4.6.2.1.系统与普通用户设置4.6.2.2.应提供专用的登录控制模板对登录用户进行身份标识和鉴别，提供系统管理员和普通用户的设置功能。4.6.2.3.系统与普通用户口令安全性4.6.2.4.系统与普通用户口令应具有一定的复杂度。4.6.2.5.登录访问安全策略4.6.2.6.应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别。4.6.2.7.非法访问警示和记录4.6.2.8.应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施。4.6.2.9.客户端鉴别信息安全4