1、PAGE 共 NUMPAGES 23頁，第 PAGE 23頁銀行信用卡系統(tǒng)安全性測試技術(shù)規(guī)范目 錄 TOC o 1-3 h z HYPERLINK l _Toc41742559 第一部分 總則 PAGEREF _Toc41742559 h 3 HYPERLINK l _Toc41742560 一、檢測依據(jù) PAGEREF _Toc41742560 h 3 HYPERLINK l _Toc41742561 二、檢測目標(biāo) PAGEREF _Toc41742561 h 4 HYPERLINK l _Toc41742562 三、啟動準(zhǔn)則 PAGEREF _Toc41742562 h 4 HYPERLI

2、NK l _Toc41742563 四、術(shù)語定義 PAGEREF _Toc41742563 h 5 HYPERLINK l _Toc41742564 五、適用范圍 PAGEREF _Toc41742564 h 5 HYPERLINK l _Toc41742565 第二部分 測試內(nèi)容 PAGEREF _Toc41742565 h 6 HYPERLINK l _Toc41742566 一、功能測試 PAGEREF _Toc41742566 h 6 HYPERLINK l _Toc41742567 二、風(fēng)險監(jiān)控測試 PAGEREF _Toc41742567 h 8 HYPERLINK l _Toc4

3、1742568 三、性能測試 PAGEREF _Toc41742568 h 9 HYPERLINK l _Toc41742569 四、安全性測試 PAGEREF _Toc41742569 h 9 HYPERLINK l _Toc41742570 五、文檔測試 PAGEREF _Toc41742570 h 14 HYPERLINK l _Toc41742571 六、聯(lián)網(wǎng)聯(lián)合規(guī)范測試 PAGEREF _Toc41742571 h 16 HYPERLINK l _Toc41742572 第三部分 外包附加測試 PAGEREF _Toc41742572 h 20 HYPERLINK l _Toc417

4、42573 附錄一 測試過程風(fēng)險分析 PAGEREF _Toc41742573 h 22 HYPERLINK l _Toc41742574 附錄二 測試結(jié)果問題分類 PAGEREF _Toc41742574 h 23第一部分 總則一、檢測依據(jù)1.ISO 9564 銀行業(yè)務(wù) 個人識別碼的管理和安全2.GB/T 19584-2004銀行卡磁條信息格式和使用規(guī)范 3.GB/T 17544 信息技術(shù) 軟件包 質(zhì)量要求和測試4.GB/T 16260 軟件工程 產(chǎn)品質(zhì)量5.GB/T 18905 軟件工程 產(chǎn)品評價6.GB/T 15481-2000 檢測和校準(zhǔn)實驗室能力的通用要求7.GB 8567-88 計

5、算機(jī)軟件產(chǎn)品開發(fā)文件編制指南8.GB 9385 計算機(jī)軟件需求說明編寫指南9.GB 9386-88 計算機(jī)軟件測試文件編制規(guī)范10.GB/T 14394-93 計算機(jī)軟件可靠性和可維護(hù)性管理11.JR/T 0055-2009 銀行卡聯(lián)網(wǎng)聯(lián)合技術(shù)規(guī)范12.JR/T 0003-2001銀行卡聯(lián)網(wǎng)聯(lián)合安全規(guī)范13.JR/T 0052-2009 銀行卡卡片規(guī)范14.JR/T 0025-2010中國金融集成電路（IC）卡規(guī)范15.JR/T 0002-2009 銀行卡自動柜員機(jī)(ATM)終端規(guī)范16.JR/T 0001-2009 銀行卡銷售點(POS)終端規(guī)范17.中國人民銀行關(guān)于統(tǒng)一啟用“銀聯(lián)”標(biāo)識及其

6、全息防偽標(biāo)識的通知（銀發(fā)200157號）18.銀行卡業(yè)務(wù)管理辦法（銀發(fā)199917號）19.中國人民銀行關(guān)于進(jìn)一步加強(qiáng)銀行業(yè)金融機(jī)構(gòu)信息安全保障工作的指導(dǎo)意見（銀發(fā)2006123號）20.金融機(jī)構(gòu)計算機(jī)信息系統(tǒng)安全保護(hù)工作暫行規(guī)定（公安部、中國人民銀行公通字199863號）二、檢測目標(biāo)檢測目標(biāo)是在系統(tǒng)版本確定的基礎(chǔ)上，對銀行卡（包括磁條卡和IC卡）系統(tǒng)的功能、風(fēng)險監(jiān)控、性能、安全性、文檔、聯(lián)網(wǎng)聯(lián)合規(guī)范符合性以及第三方外包服務(wù)等各方面進(jìn)行全面的檢測，客觀、公正評估系統(tǒng)是否符合銀行卡聯(lián)網(wǎng)通用政策和人民銀行對銀行卡系統(tǒng)的安全性和技術(shù)標(biāo)準(zhǔn)符合性要求，保障我國銀行卡信息系統(tǒng)的安全穩(wěn)定運行。三、啟動準(zhǔn)則(

7、一)商業(yè)銀行銀行卡技術(shù)標(biāo)準(zhǔn)符合性和系統(tǒng)安全性審核申請已通過 人民銀行初審；(二)商業(yè)銀行提交的銀行卡系統(tǒng)被測版本與生產(chǎn)系統(tǒng)版本一致；(三)商業(yè)銀行銀行卡系統(tǒng)內(nèi)部測試進(jìn)行完畢；(四)檢測機(jī)構(gòu)對商業(yè)銀行銀行卡系統(tǒng)的檢測計劃經(jīng)商業(yè)銀行簽字確認(rèn)，并報人民銀行備案；(五)測試環(huán)境準(zhǔn)備完畢，包括：1.測試環(huán)境與生產(chǎn)環(huán)境基本一致；2.銀行卡系統(tǒng)被測試版本及其它相關(guān)外圍系統(tǒng)和設(shè)備已正確部署并配置;3.測試基礎(chǔ)數(shù)據(jù)（包括功能和性能）準(zhǔn)備完畢；4.測試用機(jī)到位，系統(tǒng)軟件安裝完畢;5.網(wǎng)絡(luò)配置正確，連接通暢，可以滿足測試需求。四、術(shù)語定義1.銀行卡：是指由商業(yè)銀行向社會發(fā)行的具有消費信用、轉(zhuǎn)賬結(jié)算、存取現(xiàn)金等全部或

8、部分功能的信用支付工具。2.信用卡：按是否向發(fā)卡銀行交存?zhèn)溆媒鸱譃橘J記卡和準(zhǔn)貸記卡兩類。貸記卡是指發(fā)卡銀行給予持卡人一定的信用額度，持卡人可在信用額度內(nèi)先消費、后還款的信用卡。準(zhǔn)貸記卡是指持卡人須先按發(fā)卡銀行要求交存一定金額的備用金，當(dāng)備用金賬戶余額不足支付時，可在發(fā)卡銀行規(guī)定的信用額度內(nèi)透支的信用卡。3. 磁條卡：是以液體磁性材料或磁條為信息載體，將液體磁性材料涂覆在卡片上（如存折）或?qū)捈s614mm的磁條壓貼在卡片上（如常見的銀聯(lián)卡）。其具體分類，按材質(zhì)分類：PVC磁卡，金屬磁卡等。按技術(shù)分類：一種是高磁（HICO）卡，即以2750或4000 Oersteds的強(qiáng)度進(jìn)行編碼；另一種是低磁（

9、LOCO）卡，即以300 Oersteds的強(qiáng)度進(jìn)行編碼。4. IC卡：即集成電路卡integrated circuit（s） card，內(nèi)部封裝一個或多個集成電路用于執(zhí)行處理和存儲功能的卡片。五、適用范圍銀行卡系統(tǒng)第三方檢測機(jī)構(gòu)按照本大綱制定商業(yè)銀行銀行卡系統(tǒng)標(biāo)準(zhǔn)符合性和安全性測試方案。商業(yè)銀行銀行卡系統(tǒng)如采用外包方式，還應(yīng)按照本大綱第三部分進(jìn)行附加測試。第二部分 測試內(nèi)容一、功能測試驗證信用卡系統(tǒng)業(yè)務(wù)功能，測試內(nèi)容如下。編號檢測項檢測內(nèi)容有/無是否正確實現(xiàn)賬戶管理開戶黑名單檢查賬戶信息維護(hù)賬戶信息查詢賬戶額度管理銷戶密鑰管理認(rèn)證中心公鑰管理發(fā)卡行密鑰管理IC卡密鑰管理發(fā)卡行證書管理IC卡證

10、書管理卡片管理卡申請（主卡、附卡）黑名單檢查申請審批制卡卡激活卡信息查詢卡交易明細(xì)查詢卡片信息維護(hù)卡參數(shù)維護(hù)卡掛失卡解掛卡補(bǔ)發(fā)卡凍結(jié)卡解凍銷卡密碼功能修改密碼異常卡 異常卡包括：掛失卡、凍結(jié)卡、銷戶銷卡、銷卡未銷戶、不動戶卡。修改密碼密碼錯誤次數(shù)檢查交易處理存款取現(xiàn)余額查詢消費消費撤銷預(yù)授權(quán)預(yù)授權(quán)撤銷預(yù)授權(quán)完成預(yù)授權(quán)完成撤銷追加預(yù)授權(quán)退貨轉(zhuǎn)賬指定賬戶圈存非指定賬戶圈存現(xiàn)金充值圈提IC卡脫機(jī)消費沖正交易異常卡交易單次最高消費限額單日最高消費次數(shù)單次取款限額單日累計取款限額單日取款次數(shù)限制單日累計轉(zhuǎn)賬限額單日轉(zhuǎn)賬次數(shù)限制CVN、CVN2交易驗證賬務(wù)處理會計科目設(shè)置總分賬處理賬務(wù)調(diào)整會計報表賬單處理

11、催收處理催收員屬性定義催收賬戶隊列分配催收賬戶管理二、風(fēng)險監(jiān)控測試編號檢測項檢測內(nèi)容有/無是否正確實現(xiàn)交易欺詐監(jiān)控規(guī)則異常卡的交易連續(xù)卡號交易特店 特店即特約商戶，是指與銀行簽定受理卡業(yè)務(wù)協(xié)議并同意用銀行卡進(jìn)行商務(wù)結(jié)算的商戶。類別代碼群組中的交易在極短的時間內(nèi)發(fā)生在不同地區(qū)或國家的交易無原始交易的更正交易相同卡號不同有效期同一特店同一卡號多筆交易曾在高風(fēng)險國家使用的卡、丟失的卡、不良持卡人的卡風(fēng)險商戶的交易非法卡號交易離線和在線的授權(quán)比率相同金額重復(fù)授權(quán)要求首筆交易金額超過N元的交易單筆交易金額超過N元的交易當(dāng)日交易總金額超過N元的交易同一張卡當(dāng)日累計消費次數(shù)超過N次的交易開卡后的前N筆交易金

12、額之和達(dá)到卡片信用額度的M%開卡后的前N筆預(yù)借現(xiàn)金之和達(dá)到卡片預(yù)借額度的M%一張卡片一天之內(nèi)用卡達(dá)到該卡信用額度N時提醒連續(xù)N天無交易突然單筆交易金額超過M元N天內(nèi)同一張卡的上一筆為拒絕交易的交易N天內(nèi)同一張卡因M次CVN、CVN2錯誤而拒絕的交易風(fēng)險管理密碼錯誤情況下的交易請求賬戶止付狀態(tài)下的交易請求重復(fù)報文交易請求ATM機(jī)風(fēng)險管理POS機(jī)風(fēng)險管理終端異常文件檢測與上面“POS機(jī)風(fēng)險管理”內(nèi)容重復(fù)，建議刪除商戶強(qiáng)制交易聯(lián)機(jī)隨機(jī)選擇聯(lián)機(jī)交易交易日志終端頻度檢查新卡檢查 反洗錢管理大額交易可疑交易同一持卡人大量辦卡頻繁開戶銷戶短期內(nèi)資金分散匯入集中轉(zhuǎn)出風(fēng)險服務(wù)風(fēng)險防控體系風(fēng)險信息共享三、性能測試

13、對信用卡系統(tǒng)性能測試主要有三個目的：一是驗證信用卡系統(tǒng)是否支持業(yè)務(wù)的多用戶并發(fā)操作；二是驗證在規(guī)定的硬件環(huán)境條件和給定的業(yè)務(wù)壓力下，考核系統(tǒng)是否滿足性能需求和壓力解除后系統(tǒng)自恢復(fù)能力；三是測試系統(tǒng)性能極限。根據(jù)以上性能測試目的，并結(jié)合典型交易、復(fù)雜業(yè)務(wù)流程、頻繁的用戶操作、大數(shù)據(jù)量處理等原則，選取以下測試業(yè)務(wù)點：編號檢測項檢測說明消費必測項取現(xiàn)必測項圈存IC卡必測項圈提IC卡必測項存款必測項預(yù)授權(quán)必測項余額查詢必測項主附卡同時申請必測項卡片激活必測項賬單日批處理必測項四、安全性測試1.網(wǎng)絡(luò)安全性測試對系統(tǒng)網(wǎng)絡(luò)環(huán)境進(jìn)行檢測，考察網(wǎng)絡(luò)系統(tǒng)傳輸數(shù)據(jù)的安全性以及網(wǎng)絡(luò)系統(tǒng)所連接設(shè)備的安全性，評估系統(tǒng)網(wǎng)絡(luò)

14、環(huán)境是否能夠防止信息資產(chǎn)的損壞、丟失，敏感信息的泄漏以及業(yè)務(wù)中斷，是否能夠保障業(yè)務(wù)的持續(xù)運營、保護(hù)信息資產(chǎn)安全。主要從以下幾個方面進(jìn)行檢測：編號檢測項檢測內(nèi)容檢測說明結(jié)構(gòu)安全網(wǎng)絡(luò)冗余和備份網(wǎng)絡(luò)安全路由器網(wǎng)絡(luò)安全防火墻網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)IP子網(wǎng)劃分QoS保證必測項網(wǎng)絡(luò)訪問控制 網(wǎng)絡(luò)域安全隔離和限制地址轉(zhuǎn)換和綁定內(nèi)容過濾訪問控制流量控制會話控制必測項撥號訪問控制遠(yuǎn)程撥號訪問控制和記錄必測項網(wǎng)絡(luò)安全審計日志信息網(wǎng)絡(luò)系統(tǒng)故障分析網(wǎng)絡(luò)對象操作審計日志權(quán)限和保護(hù)審計工具必測項邊界完整性檢查內(nèi)外網(wǎng)非法連接阻斷和定位必測項網(wǎng)絡(luò)入侵防范ARP欺騙攻擊信息竊取DoS/DDoS攻擊安全設(shè)備配置網(wǎng)絡(luò)入侵防范設(shè)備必測項惡意代

15、碼防范防范軟件安裝部署定時在線更新控制措施定期安裝必要的補(bǔ)丁必測項網(wǎng)絡(luò)設(shè)備防護(hù)設(shè)備登錄設(shè)置設(shè)備登錄口令安全性登錄地址限制遠(yuǎn)程管理安全設(shè)備用戶設(shè)置策略權(quán)限分離最小化服務(wù)必測項網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)設(shè)備運維手冊網(wǎng)絡(luò)配置變更管理設(shè)備參數(shù)配置網(wǎng)絡(luò)事故管理漏洞掃描網(wǎng)絡(luò)數(shù)據(jù)傳輸加密安全產(chǎn)品管理必測項人員安全管理安全管理人員配備責(zé)任劃分規(guī)則關(guān)鍵崗位人員管理人員錄用管理人員離崗人員變更必測項2.主機(jī)安全性測試對系統(tǒng)主機(jī)安全防護(hù)進(jìn)行檢測，考察主機(jī)的安全控制能力。主要從以下幾個方面進(jìn)行檢測：編號檢測項檢測內(nèi)容檢測說明身份鑒別系統(tǒng)與應(yīng)用管理員用戶設(shè)置系統(tǒng)與應(yīng)用管理員口令安全性登錄策略非法訪問警示必測項自主訪問控制自主訪問

16、控制范圍主機(jī)信任關(guān)系默認(rèn)過期用戶必測項強(qiáng)制訪問控制資源訪問記錄重要系統(tǒng)文件強(qiáng)制訪問控制范圍共享目錄遠(yuǎn)程登錄控制必測項安全審計日志信息日志保護(hù)系統(tǒng)信息分析對象操作審計日志權(quán)限關(guān)鍵數(shù)據(jù)刪除制度和記錄必測項系統(tǒng)保護(hù)系統(tǒng)備份故障恢復(fù)策略安全配置磁盤空間安全主機(jī)加固安全產(chǎn)品管理必測項剩余信息保護(hù)過期信息、文檔處理必測項入侵防范入侵防范記錄關(guān)閉服務(wù)最小安裝原則必測項惡意代碼防范防范軟件安裝部署定時在線更新控制措施定期安裝系統(tǒng)必要的補(bǔ)丁漏洞掃描必測項資源控制連接控制資源監(jiān)控和預(yù)警必測項人員安全管理安全管理人員配備責(zé)任劃分規(guī)則關(guān)鍵崗位人員管理人員錄用管理人員離崗人員變更必測項3.應(yīng)用安全性測試對系統(tǒng)應(yīng)用安全性

17、檢測，主要檢測應(yīng)用系統(tǒng)對非法訪問及操作的控制能力。主要從以下幾個方面進(jìn)行檢測：編號檢測項檢測內(nèi)容檢測說明身份鑒別系統(tǒng)與普通用戶設(shè)置系統(tǒng)與普通用戶口令安全性登錄訪問安全策略非法訪問警示和記錄客戶端鑒別信息安全口令有效期限制限制認(rèn)證會話時間身份標(biāo)識唯一性及時清除鑒別信息必測項訪問控制訪問權(quán)限設(shè)置自主訪問控制范圍業(yè)務(wù)操作日志關(guān)鍵數(shù)據(jù)存放異常中斷防護(hù)數(shù)據(jù)庫安全配置必測項安全審計日志信息日志保護(hù)系統(tǒng)信息查詢與分析對象操作審計日志權(quán)限審計工具事件報警必測項剩余信息保護(hù)過期信息、文檔處理必測項資源控制連接控制會話控制進(jìn)程資源分配資源檢測預(yù)警必測項應(yīng)用容錯數(shù)據(jù)有效性校驗容錯機(jī)制故障機(jī)制回退機(jī)制必測項通信完整性

18、通信報文有效性通信完整性說明必測項通信保密性報文或會話加密通信異常處理必測項抗抵賴原發(fā)和接收證據(jù)必測項編碼安全編碼規(guī)范約束源代碼管理版本管理必測項脫機(jī)數(shù)據(jù)認(rèn)證密鑰和證書靜態(tài)數(shù)據(jù)認(rèn)證動態(tài)數(shù)據(jù)認(rèn)證IC卡必測項應(yīng)用密文和發(fā)卡行認(rèn)證應(yīng)用密文產(chǎn)生發(fā)卡行認(rèn)證密鑰管理IC卡必測項安全報文報文格式報文完整性機(jī)器驗證報文私密性密鑰管理IC卡必測項卡片安全共存應(yīng)用密鑰的獨立性卡片內(nèi)部安全體系卡片中密鑰的種類IC卡必測項終端安全終端數(shù)據(jù)安全性要求終端設(shè)備安全性要求終端密鑰管理要求IC卡必測項密鑰管理體系認(rèn)證中心公鑰管理發(fā)卡行公鑰管理發(fā)卡行對稱密鑰管理IC卡必測項安全機(jī)制對稱加密機(jī)制非對稱加密機(jī)制IC卡必測項認(rèn)可的算

19、法對稱加密算法非對稱加密算法哈希算法IC卡必測項4.數(shù)據(jù)安全性測試對系統(tǒng)數(shù)據(jù)安全防護(hù)進(jìn)行檢測，主要考察數(shù)據(jù)的傳輸、存儲、備份與恢復(fù)能力。主要從以下幾個方面進(jìn)行檢測：編號檢測項檢測內(nèi)容檢測說明數(shù)據(jù)完整性重要數(shù)據(jù)更改機(jī)制對數(shù)據(jù)備份和審計記錄定期進(jìn)行查驗保障傳輸過程中的數(shù)據(jù)完整性安全定期隨機(jī)抽取備份數(shù)據(jù)進(jìn)行解壓、還原，檢查其內(nèi)容有效性必測項交易數(shù)據(jù)以及客戶數(shù)據(jù)的安全性數(shù)據(jù)物理存儲數(shù)據(jù)交換安全性加密傳輸加密存儲數(shù)據(jù)訪問控制數(shù)據(jù)備份機(jī)制本地備份異地備份備份數(shù)據(jù)的恢復(fù)數(shù)據(jù)銷毀制度和記錄必測項五、文檔測試對系統(tǒng)的開發(fā)文檔、用戶文檔、管理文檔的完備性、可維護(hù)性、可管理性，以及是否符合行業(yè)標(biāo)準(zhǔn)，是否遵從更新控制

20、和配置管理的要求等方面進(jìn)行檢測。主要檢測的系統(tǒng)文檔包括：編號檢測項檢測內(nèi)容有/無檢測結(jié)果用戶文檔用戶手冊文檔密級管理文檔登記、借閱和保管的流轉(zhuǎn)跟蹤記錄文檔內(nèi)容：文檔完整性、可操作性、文字描述的準(zhǔn)確性、一致性操作手冊文檔密級管理文檔登記、借閱和保管的流轉(zhuǎn)跟蹤記錄文檔內(nèi)容：文檔完整性、可操作性、文字描述的準(zhǔn)確性、一致性開發(fā)文檔需求說明書文檔密級管理文檔登記、借閱和保管的流轉(zhuǎn)跟蹤記錄文檔內(nèi)容：文檔完整性、可操作性、文字描述的準(zhǔn)確性、一致性需求分析文檔文檔密級管理文檔登記、借閱和保管的流轉(zhuǎn)跟蹤記錄文檔內(nèi)容：文檔完整性、可操作性、文字描述的準(zhǔn)確性、一致性總體設(shè)計方案文檔密級管理文檔登記、借閱和保管的流轉(zhuǎn)

21、跟蹤記錄文檔內(nèi)容：文檔完整性、可操作性、文字描述的準(zhǔn)確性、一致性數(shù)據(jù)庫設(shè)計文檔文檔密級管理文檔登記、借閱和保管的流轉(zhuǎn)跟蹤記錄文檔內(nèi)容：文檔完整性、可操作性、文字描述的準(zhǔn)確性、一致性概要設(shè)計文檔文檔密級管理文檔登記、借閱和保管的流轉(zhuǎn)跟蹤記錄文檔內(nèi)容：文檔完整性、可操作性、文字描述的準(zhǔn)確性、一致性詳細(xì)設(shè)計文檔文檔密級管理文檔登記、借閱和保管的流轉(zhuǎn)跟蹤記錄文檔內(nèi)容：文檔完整性、可操作性、文字描述的準(zhǔn)確性、一致性工程實施方案文檔密級管理文檔登記、借閱和保管的流轉(zhuǎn)跟蹤記錄文檔內(nèi)容：文檔完整性、可操作性、文字描述的準(zhǔn)確性、一致性管理文檔測試報告文檔密級管理文檔登記、借閱和保管的流轉(zhuǎn)跟蹤記錄文檔內(nèi)容：文檔完

22、整性、可操作性、文字描述的準(zhǔn)確性、一致性系統(tǒng)運維手冊文檔密級管理文檔登記、借閱和保管的流轉(zhuǎn)跟蹤記錄文檔內(nèi)容：文檔完整性、可操作性、文字描述的準(zhǔn)確性、一致性系統(tǒng)應(yīng)急手冊文檔密級管理文檔登記、借閱和保管的流轉(zhuǎn)跟蹤記錄文檔內(nèi)容：文檔完整性、可操作性、文字描述的準(zhǔn)確性、一致性運維管理制度文檔密級管理文檔登記、借閱和保管的流轉(zhuǎn)跟蹤記錄文檔內(nèi)容：文檔完整性、可操作性、文字描述的準(zhǔn)確性、一致性安全管理制度文檔密級管理文檔登記、借閱和保管的流轉(zhuǎn)跟蹤記錄文檔內(nèi)容：文檔完整性、可操作性、文字描述的準(zhǔn)確性、一致性安全審計報告文檔密級管理文檔登記、借閱和保管的流轉(zhuǎn)跟蹤記錄文檔內(nèi)容：文檔完整性、可操作性、文字描述的準(zhǔn)確

23、性、一致性六、聯(lián)網(wǎng)聯(lián)合規(guī)范測試依據(jù)銀行卡聯(lián)網(wǎng)聯(lián)合技術(shù)規(guī)范測試系統(tǒng)信息接口是否符合相關(guān)規(guī)范要求。1.交易處理檢測要點編號檢測項檢測內(nèi)容有/無檢測結(jié)果交易處理預(yù)授權(quán)追加預(yù)授權(quán)預(yù)授權(quán)撤銷取現(xiàn)存款預(yù)授權(quán)完成（聯(lián)機(jī)）消費代收代付預(yù)授權(quán)完成撤銷消費撤銷存款撤銷代付撤銷余額查詢沖正預(yù)授權(quán)完成（離線）結(jié)算通知退貨存款確認(rèn)轉(zhuǎn)入確認(rèn)轉(zhuǎn)賬建立/撤銷委托關(guān)系預(yù)授權(quán)撤消交易（手工）預(yù)授權(quán)完成（手工）退貨（手工）指定賬戶圈存非指定賬戶圈存現(xiàn)金充值圈提IC卡脫機(jī)消費管理類交易日切簽到/簽退打開/關(guān)閉線路測試 重置密鑰交易2.報文接口規(guī)范檢測要點編號檢測項檢測內(nèi)容檢測說明報文結(jié)構(gòu)報文頭，報文類型，報文位圖，系列報文域必測項報

24、文頭域說明，正常報文和拒絕報文的報文頭必測項報文類型版本號，報文類型標(biāo)識符必測項報文位圖報文位圖格式必測項報文域報文域，具體報文域說明必測項關(guān)鍵信息域和報文的關(guān)聯(lián)應(yīng)答報文和請求報文的關(guān)聯(lián)沖正交易和原始交易的關(guān)聯(lián)消費撤銷和消費的關(guān)聯(lián)預(yù)授權(quán)撤銷和預(yù)授權(quán)的關(guān)聯(lián)預(yù)授權(quán)完成和預(yù)授權(quán)的關(guān)聯(lián)預(yù)授權(quán)完成撤銷和預(yù)授權(quán)完成的關(guān)聯(lián)轉(zhuǎn)入確認(rèn)和轉(zhuǎn)賬交易的關(guān)聯(lián)退貨和消費交易的關(guān)聯(lián)必測項報文格式金融類聯(lián)機(jī)交易報文管理類聯(lián)機(jī)交易報文必測項3.文件接口規(guī)范檢測要點編號檢測項檢測內(nèi)容檢測說明普通交易明細(xì)文件文件名稱記錄格式必測項轉(zhuǎn)賬交易明細(xì)文件文件名稱記錄格式必測項差錯交易明細(xì)文件文件名稱記錄格式必測項匯總文件文件名稱記錄格式必

25、測項4.數(shù)據(jù)安全傳輸控制規(guī)范檢測要點編號檢測項檢測內(nèi)容檢測說明密鑰的管理和控制使用算法必測項數(shù)據(jù)保密必測項操作人員管理必測項密鑰更新頻率必測項密鑰存放與交易信息的加/解密在什么地方進(jìn)行必測項密鑰的分配過程必測項PIN的加密解密以及轉(zhuǎn)換機(jī)制必測項是否應(yīng)用MAC必測項是否采用點對點的數(shù)據(jù)加解密網(wǎng)絡(luò)機(jī)制必測項硬件加密機(jī)必測項密鑰的層次密鑰層次必測項密鑰之間的關(guān)系必測項聯(lián)機(jī)報文PIN的加密和解密PIN數(shù)據(jù)塊必測項PIN加解密必測項聯(lián)機(jī)報文MAC的加密和解密MAC的格式必測項MAC的計算必測項新舊密鑰的切換切換窗口期間的處理必測項IC卡安全要求發(fā)卡行對卡片的認(rèn)證必測項卡片對發(fā)卡行的認(rèn)證必測項5.通信接口

26、規(guī)范檢測要點編號檢測項檢測內(nèi)容檢測說明網(wǎng)絡(luò)接口采用幾條主干鏈路接入銀行卡網(wǎng)絡(luò)必測項有幾條備份線路必測項通信接口機(jī)構(gòu)與交換中心的聯(lián)機(jī)交易采用何種連接方式，存在幾條連接必測項機(jī)構(gòu)與交換中心的文件傳輸采用何種連接方式，存在幾條連接必測項機(jī)構(gòu)與交換中心的采用何種協(xié)議建立連接必測項機(jī)構(gòu)與交換中心的數(shù)據(jù)傳輸采用什么方式必測項通信接口有無特殊字符和控制字符必測項通信接口是否對業(yè)務(wù)流程有影響必測項是否有相應(yīng)的超時控制必測項報文數(shù)據(jù)的最大長度是多少必測項空閑連接處理是如何進(jìn)行的必測項6.聯(lián)網(wǎng)聯(lián)合安全規(guī)范檢測要點編號檢測項檢測內(nèi)容檢測說明交易渠道依賴性測試ATM、POS、互聯(lián)網(wǎng)、電話終端等的依賴性必測項磁密依賴性

27、測試無磁無密、有磁有密、有磁無密、無磁有密的依賴性必測項硬件加密機(jī)密鑰生成必測項密碼體制、算法以及密鑰長度必測項PIN長度以及格式必測項MAC功能必測項加密機(jī)內(nèi)部保護(hù)必測項密鑰管理密鑰使用必測項密鑰存儲必測項密鑰更新必測項銷毀必測項銀行卡前置設(shè)備信息流控制必測項訪問控制必測項安全審計必測項終端機(jī)具密碼模塊管理必測項密鑰管理必測項登錄控制必測項個人標(biāo)識碼（PIN）PIN的存儲和傳輸必測項網(wǎng)絡(luò)物理安全必測項邏輯安全必測項系統(tǒng)安全必測項聯(lián)網(wǎng)聯(lián)合安全管理信用管理必測項卡片管理必測項商戶管理必測項機(jī)具管理必測項人員管理必測項其他管理必測項第三部分 外包附加測試對于商業(yè)銀行將發(fā)卡業(yè)務(wù)外包給第三方服務(wù)機(jī)構(gòu)的

28、情況，還應(yīng)進(jìn)行附加測試，主要測試以下幾個方面：編號檢測項檢測內(nèi)容檢測說明外包服務(wù)的外包內(nèi)容外包程度及具體內(nèi)容。必測項外包服務(wù)在第三方的處理情況根據(jù)不同的外包程度，評估第三方外包的處理情況所導(dǎo)致的風(fēng)險。必測項安全保密協(xié)議商業(yè)銀行與第三方服務(wù)機(jī)構(gòu)是否有銀行卡業(yè)務(wù)外包的安全保密協(xié)議？協(xié)議中應(yīng)明確寫明第三方服務(wù)機(jī)構(gòu)須保障商業(yè)銀行托管數(shù)據(jù)的安全、可靠，未經(jīng)商業(yè)銀行許可不得向其它機(jī)構(gòu)透露任何托管數(shù)據(jù)信息。在保密協(xié)議中是否明確雙方的責(zé)任？必測項風(fēng)險評估商業(yè)銀行應(yīng)當(dāng)負(fù)責(zé)了解與銀行卡業(yè)務(wù)外包相關(guān)的風(fēng)險，并確保有效的風(fēng)險管理程序能夠到位。必測項外包商的合同義務(wù)和要求。必測項是否有必要的控制和報告程序。必測項對銀行卡外包協(xié)議的持續(xù)評估，以評價是否與銀行戰(zhàn)略目標(biāo)一致以及外包商的工作業(yè)績。必測項是否符合監(jiān)管要求和準(zhǔn)則。必測項是否制定應(yīng)急計劃，以應(yīng)對外包服務(wù)突然終止。必測項外包商資質(zhì)在專業(yè)和技能方面，評估外包商提供銀行卡服務(wù)的經(jīng)驗和能力。必測項評估外包商的硬件資源。必測項外包商的財務(wù)狀況，在外包領(lǐng)域的執(zhí)業(yè)年限和市場份額。必測項外包商的資金構(gòu)成、比例，人員構(gòu)成、是否有主管部門的審批。必測項評估外包商的運維管理制度是否健全和完備。必測項外包模式調(diào)查及其風(fēng)險評估。必測項外包合同是