非金融機構支付服務業務系統檢測

基本要求（銀行卡收單部分）

（2011版）

中國人民銀行

2011年3月

目錄

第一章功能測試5

1.1.特約商戶管理5

1.1.1.商戶提交資質材料5

1.1.2.黑檢查及管理6

1.1.3.商戶信息查詢6

1.1.4.商戶操作員管理6

1.1.5.商戶受理業務管理6

1.1.6.商戶信息維護6

1.1.7.商戶凍結、解凍6

LL8.商戶退出6

1.2.終端機具信息管理6

1.2.1.機具申領控制6

1.2.2.機具信息維護7

1.2.3.機具信息查詢7

1.3.密鑰管理7

1.3.1.密鑰生成7

1.3.2.密鑰分發7

1.3.3.密鑰使用7

1.3.4.密鑰存儲7

1.3.5.密鑰更新7

1.3.6.密鑰銷毀7

1.4.交易處理8

1.4.1.消賽8

1.4.2.消費撤銷8

1.4.3.余額查詢8

1.4.4,預授權8

1.4.5.預授權撤銷8

1.4.6.預授權完成8

1.1.7.預授權完成撤銷8

1.4.8.追加預授權8

1.4.9.退貨9

1.4.10.指定賬戶圈存9

1.4.11,非指定賬戶圖存9

1.4.12.現金充值9

1.4.13.圈提9

1.4.14.脫機消費9

1.4.15.IC卡參數下載9

1.4.16.交易明細查詢9

1.4.17.沖正交易9

1.5.資金結笄10

1.5.I.銀行清算10

1.5.2.商戶結算10

1.5.對賬處理10

1.6.1.發送對賬請求10

1.6.2.下載對賬文件10

1.6.差錯處理10

1.7.1.拒付管理10

1.7.2,單筆退款10

1.7.3.批量退款10

1.7.4.差錯交易查詢10

1.7.5.對賬差錯處理II

1.7.統計報表II

L8.1.業務類報表II

1.8.2.運行管理類報表11

第二章風險監控測試II

2.1.聯機交易管理11

2.1.1.聯機交易ARQC/ARPC驗證11

2.1.2.聯機報文MAC驗證11

2.1.3,黑管理11

2.1.4.單筆消費限額12

2.1.5.大額消費商戶交易監控12

2.1.6.異常交易監控12

2.1.7.無磁無密交易12

2.2.收單風險管理12

2.2.1.商戶資質審核12

2.2.2.商戶簽約12

2.2.3.特約商戶日常風險管理12

2.2.4.合作的第三方機構的風險管理13

2.2.5.特約商戶強制凍結、解凍、解約13

2.2.6.可疑商戶信息共享13

2.2.7.風險事件報送13

2.3.終端風險管理13

2.3.1.P03機申請、參數設置、程序灌裝、使用、更換、維廣、撤消、回收的管理

13

2.3.2.P0SXX鑰和參數的安全管理13

2.3.3.控制移動POS機的安裝13

2.3.4.終端安全檢測報告和終端入網檢測報告14

2.3.5.密碼鍵盤安全檢測報告14

2.3.6.終端監控14

2.4.風控規則14

2.4.1.風控規則管理14

2.4.2.風險識別14

2.4.3.風險事件管理14

2.4.4.風險報表15

第三章性能測試15

3.1.測試要求錯誤!未定義書簽。

3.2.判定原則15

第四章安全性測試15

4.1.網絡安全性測試15

4.1.1.結構安全16

4.1.2.網絡訪問控制17

4.1.3,網絡安全審計18

4.1.4.邊界完整性檢查18

4.1.5.網絡入侵防XI9

4.1.6.惡意代碼防XI9

4.1.7.網絡設備防護19

4.1.8.網絡安全管理20

4.1.9.網絡相關人員安全管理21

4.2.主機安全性測試22

4.2.1.身份鑒別22

4.2.2.訪問控制23

4.2.3.安全審計23

4.2.4.系統保護24

4.2.5.剩余信息保護24

4.2.6.入侵防X25

4.2.7.惡意代碼防X25

4.2.8.資源控制26

4.2.9.主機安全管理26

4.2.10.主機相關人員安全管理27

4.3.應用安全性測試27

4.3.1.身份鑒別28

4.3.2.WEB頁面安全29

4.3.3.訪問控制30

4.3.4,安全審計31

4.3.5.剩余信息保護32

4.3.6.資源控制32

4.3.7.應用容錯33

4.3.8.報文完整性33

4.3.9.報文XX性33

4.3.10.抗抵賴34

4.3.11.編碼安全34

4.3.12.電子認證應用34

4.3.13.脫機數據認證35

4.3.14.安全報文36

4.3.15.終端安全36

4.3.16,安全機制36

4.3.17.認可的算法37

4.4.數據安全性測試37

4.4.1.數據保護37

4.4.2.數據完整性38

4.4.3.交易數據以及客戶數據的安全性38

4.5.運維安全性測試40

4.5.1.環境管理40

4.5.2.介質管理41

4.5.3.設備管理42

4.5.4.人員管理43

4.5.5.監控管理45

4.5.6.變更管理45

4.5.7.安全事件處置46

4.5.8.應急預案管理47

4.6.業務連續性測試47

4.6.1.業務連續性需求分析47

4.6.2.業務連續性技術環境48

4.6.3,業務連續性管理48

4.6.4.備份和恢復管理49

4.6.5.日常維護49

笫五章文檔審核49

5.1.用戶文檔50

5.1.1.用戶手冊50

5.1.2.操作手冊50

5.2.開發文檔50

5.2.1.需求說明書50

5.2.2.需求分析文檔51

5.2.3.總體設計方案51

5.2.4.數據庫設計文檔51

5.2.5.概要設計文檔51

5.2.6.詳細設計文檔52

5.2.7,工程實施方案52

5.3.管理文檔52

5.3.1.測試報告52

5.3.2.系統運維手冊52

5.3.3.系統應急手冊53

5.3.4.運維管理制度53

5.3.5.安全管理制度53

5.3.6.安全審計報告53

第一章功能測試

驗證支付服務業務系統的業務功能是否正確實現，測試系統

業務處理的準確性，基本要求如下：

1.1.特約商戶管理

1.1.1.商戶提交資質材料

應對特約商戶提交的資質材料進行審核。

1.1.2.黑檢查及管理

交易過程中要經過黑檢查，并支持日常的黑管理。

1.1.3.商戶信息查詢

應支持商戶信息的查詢。

1.1.4.商戶操作員管理

應對商戶控制平臺或POS機等的操作員進行管理。

1.1.5.商戶受理業務管理

應具有商戶受理業務的增加、修改和取消功能。

1.1.6.商戶信息維護

應具有商戶信息的增加、修改和刪除功能。

1.1.7.商戶凍結、解凍

具有暫停商戶交易和重新恢復商戶交易的功能。

1.1.8.商戶退出

能夠永久停止商戶交易的功能。

1.2.終端機具信息管理

1.2.1.機具申領控制

機具的申領要有控制策略，用于控制申領過程。

1.2.2.機具信息維護

應能夠對機具的編號、對應商戶名稱、商戶編號進行維護。

1.2.3.機具信息查詢

能夠對機具信息（例如：編號、對應商戶名稱、商戶編號）

進行查詢。

1.3.密鑰管理

1.3.1.密鑰生成

具有密鑰生成流程及控制。

1.3.2.密鑰分發

具有密鑰分發流程及控制。

1.3.3.密鑰使用

具有密鑰使用控制流程及控制。

1.3.4.密鑰存儲

具有密鑰存儲規定及控制。

1.3.5.密鑰更新

具有密鑰更新流程及控制。

1.3.6.密鑰銷毀

具有密鑰銷毀流程及控制。

1.4.交易處理

1.4.1.消費

應實現POS等消費功能。

1.4.2.消費撤銷

應實現消費撤銷功能。

1.4.3.余額查詢

應實現不同渠道的查詢功能。

1.4.4.預授權

應實現預授權功能。

1.4.5.預授權撤銷

應實現預授權撤銷功能。

1.4.6.預授權完成

應實現預授權完成功能。

1.4.7.預授權完成撤銷

應實現預授權完成撤銷功能。

1.4.8.追加預授權

應實現追加預授權功能。

1.4.9.退貨

應實現退貨功能。

1.4.10.指定賬戶圈存

應實現指定賬戶圈存功能。

1.4.11,非指定賬戶圈存

應實現非指定賬戶圈存功能。

1.4.12.現金充值

能夠通過柜臺或自主終端等方式使用現金進行充值交易。

1.4.13.圈提

應實現圈提交易功能。

1.4.14.脫機消費

應實現IC卡脫機消費功能。

1.4.15.IC卡參數下載

應實現IC卡參數下載功能。

1.4.16.交易明細查詢

應實現在受理平臺和終端上的歷史交易明細查詢的功能。

1.4.17.沖正交易

具有在受理平臺和終端上的沖正交易的功能。.

1.5.資金結算銀行清算

應能夠根據銀行的要求正確完成與銀行之間的清算。

1.5.2.商戶結算

應具有商戶資金結算功能。

1.5.對賬處理

1.6.1.發送對賬請求

允許商戶發送對賬請求。

1.6.2.下載對賬文件

應具有商戶下載對賬文件。

1.6.差錯處理

1.7.1.拒付管理

應具有對于拒付交易的查詢、刪除等功能。

1.7.2.單筆退款

應具有針對單筆交易的退款功能。

1.7.3.批量退款

應具有差錯處理過程中針對批量交易的退款功能。

1.7.4.差錯交易查詢

應具有對各種差錯交易的查詢功能。

1.7.5.對賬差錯處理

應具有對賬文件出錯，對賬結果不平等的處理功能。

1.7.統計報表

1.8.1.業務類報表

應具有與收單業務有關的各種業務類型以及相關的業務規

模等統計功能。

1.8.2.運行管理類報表

應具有與收單業務有關的終端部署、人員管理類的統計報表

功能。

第二章風險監控測試

驗證支付服務業務系統的賬戶及交易風險，基本要求如下：

2.1.聯機交易管理

2.1.1.聯機交易ARQC/ARPC驗證

能夠進行聯機交易的ARQC/ARPC驗證。

2.1.2.聯機報文MAC驗證

聯機交易的報文的MAC驗證失敗后要有記錄。

2.1.3.黑管理

使用黑內的卡片交易要有記錄并觸發風控規則。

2.1.4.單筆消費限額

超過單筆消費限額的交易有記錄并觸發風控規則。

2.1.5.大額消費商戶交易監控

對于大額消費商戶的交易要有記錄并觸發風控規則。

2.1.6.異常交易監控

應實現異常交易監控規則的設置，以實現對異常交易的識別

和監控，并提供對違反規則的交易進行查詢、預警、處理、風險

控制等服務。

2.1.7.無磁無密交易

對于無磁無密的交易，在風險監控系統上要有記錄。

2.2.收單風險管理

2.2.1.商戶資質審核

收單機構要對商戶資質進行審核。

2.2.2.商戶簽約

收單機構在與商戶合作時，要簽訂協議。

2.2.3.特約商戶日常風險管理

要向商戶發放風險提示信息，給商戶風險培訓。

2.2.4.合作的第三方機構的風險管理

要對合作的第三方機構進行風險提示和培訓。

2.2.5.特約商戶強制凍結、解凍、解約

遇到問題后，能夠強制凍結、解凍商戶，甚至和商戶解約。

2.2.6.可疑商戶信息共享

可疑商戶的信息要在收單機構間共享。

2.2.7.風險事件報送

當出現風險事件時要向上級部門或者主管部門報送。.

2.3.終端風險管理POS機申請、參數設置、程序灌裝、使用、

更換、維護、撤消、回收的管理

POS機的管理要有明確的流程。

2.3.2.POSXX鑰和參數的安全管理

對POSXX鑰和參數有嚴格的管理要求。POS終端密鑰應嚴格

按照“一機一密”安全規X進行管理，POS終端密鑰應符合雙

倍長密鑰算法規X。

2.3.3.控制移動POS機的安裝

移動POS機的安裝要嚴格限制，詳細登記。

2.3.4.終端安全檢測報告和終端入網檢測報告

使用的終端要有安全檢測報告，報告內容要能反映終端的安

全狀況；要有終端入網檢測報告，報告內容要能明確POS簽購單

打印格式和要素。

2.3.5.密碼鍵盤安全檢測報告

使用的密碼鍵盤要有安全檢測報告，報告內容要能反映密碼

鍵盤的安全狀況。

2.3.6.終端監控

應建立對受理終端的日常監控巡查機制，重點檢查終端是否

被非法改裝，防止不法份子竊取賬戶信息，并保留巡查記錄。

2.4.風控規則

2.4.1.風控規則管理

應確保在相關風險管理制度中是否完整、明確的定義各項風

控規則的變更、審核和確認制度。

2.4.2.風險識別

應確保在相關風險管理制度中是否完整、明確的定義各種風

險類別。

2.4.3.風險事件管理

應確保在相關風險管理制度中是否完整、明確的定義各項風

險事件處理規則，并保留事件的記錄。

2.4.4.風險報表

應提供一段時間內的風險事件報表，可以根據自身的情況將

“一段時間”細化為“月季年。

第三章性能測試

3.1.系統要求

支付服務業務系統性能基本要求如下:

CPU平均利

策略并發數交易成功率

用率

比對性能需

穩定并發求表高峰時<=80%>=90%

段并發數

第四章安全性測試

4.1.網絡安全性測日

對支付服務業務系統網絡環境進行檢測，考察經網絡系統傳

輸的數據安全性以及網絡系統所連接的設備安全性，評估系統網

絡環境是否能夠防止信息資產的損壞、丟失，敏感信息的泄漏以

及業務中斷，是否能夠保障業務的持續運營和保護信息資產的安

全，基本要求如下：

4.1.1.結構安全

4.1.1.1.網絡冗余和備份

應保證主要網絡設備的業務處理能力具備冗余空間，滿足業

務高峰期需要。

應保證網絡各個部分的帶寬滿足業務高峰期需要。

4.1.1.2.網絡安全路由器

應在業務終端與業務服務器之間進行路由控制建立安全的

訪問路徑。

4.1.1.3.網絡安全防火墻

應避免將重要網段部署在網絡邊界處且直接連接外部信息

系統，重要網段與其他網段之間采取可靠的技術隔離手段。

4.1.1.4.網絡拓撲結構

應繪制與當前運行情況相符的網絡拓撲結構圖。

4.1.1.5.IP子網劃分

應根據各部門的工作職能、重要性和所涉及信息的重要程度

等因素，劃分不同的子網或網段，并按照方便管理和控制的原則

為各子網、網段分配地址段。

4.1.1.6.QoS保證

應按照對業務服務的重要次序來指定帶寬分配優先級別，保

證在網絡發生擁堵的時候優先保護重要主機。

4.1.2.網絡訪問控制

4.1.2.1.網絡域安全隔離和限制

應在網絡邊界部署訪問控制設備，啟用訪問控制功能。

4.1.2.2.地址轉換和綁定

重要網段應采取技術手段防止地卅欺騙C

4.1.2.3.內容過濾

應對進出網絡的信息內容進行過濾，實現對應用層HTTP、

FTP、TELNET.SMTP、POP等協議命令級的控制。

4.1.2.4.訪問控制

應能根據會話狀態信息為數據流提供明確的允許/拒絕訪問

的能力，控制粒度為端口級。

應按用戶和系統之間的訪問控制規則，決定允許或拒絕用戶

對受控系統進行資源訪問，控制粒度為單個用戶。

4.1.2.5.流量控制

應限制網絡最大流量數及網絡連接數。

4.1.2.6.會話控制

應在會話處于非活躍一定時間或會話結束后終止網絡連接。

4.1.2.7.遠程撥號訪問控制和記錄

應限制管理用戶通過遠程撥號對服務器進行遠程管理。

4.1.3.網絡安全審計

4.1.3.1.日志信息

應對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為

等進行日志記錄。

審計記錄應包括：事件的日期和時間、用戶、事件類型、事

件是否成功及其他與審計相關的信息。

4.1.3.2.網絡系統故障分析

應對網絡系統故障進行分析，查找原因并形成故障知識庫。

4.1.3.3.網絡對象操作審計

應能夠根據記錄數據進行分析，并生成審計報表。

4.1.3.4,日志權限和保護

應對審計記錄進行保護，避免受到未預期的刪除、修改或覆

蓋等。

4.1.3.5.審計工具

應具備日志審計工具，對日志進行記錄、分析和報告。

4.1.4.邊界完整性檢查

4.1.4.1.內外網非法連接阻斷和定位

應能夠對非授權設備私自連接到內部網絡的行為進行檢查，

準確定出位置，并對其進行有效阻斷。

應能夠對內部網絡用戶私自連接到外的網絡的行為進行檢

查，準確定出位置，并對其進行有效阻斷。

4.1.5.網絡入侵防X

4.1.5.1.網絡ARP欺騙攻擊

應能夠有效的防X網絡ARP欺騙攻擊。

4.1.5.2.信息竊取

應采用防X信息竊取的措施.

4.1.5.3.DOS/DDOS攻擊

應具有防DOS/DDOS攻擊設備或技術手段。

4.1.5.4.網絡入侵防X機制

應在網絡邊界處監視以下攻擊行為：端口掃描、強力攻擊、

木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊

和網絡蠕蟲攻擊等。

當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目

的、攻擊時間，在發生嚴重入侵事件時應提供報警。

4.1.6.惡意代碼防X

4.1.6.1.惡意代碼防X措施

應在網絡邊界處對惡意代碼進行檢測和清除。

4.1.6.2.定時更新

應維護惡意代碼庫的升級，檢測系統的更新。

4.1.7.網絡設備防護

4.1.7.1.設備登錄設置

應對登錄網絡設備的用戶進行身份鑒別。

網絡設備用戶的標識應唯一。

主要網絡設備應對同一用戶選擇兩種或兩種以上組合的鑒

別技術來進行身份鑒別。

4.1.7.2.設備登錄口令安全性

身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要

求并定期更換。

4.1.7.3.登錄地址限制

應對網絡設備的管理員登錄地址進行限制。

4.1.7.4.遠程管理安全

當對網絡設備進行遠程管理時，應采取必要措施防止鑒別信

息在網絡傳輸過程中被竊聽。

4.1.7.5.設備用戶設置策略

應具有登錄失敗處理功能，可采取結束會話、限制非法登錄

次數和當網絡登錄連接超時自動退出等措施。

4.1.7.6.權限分離

應實現設備特權用戶的權限分離。

4.1.7.7.最小化服務

應實現設備的最小服務配置，并對配置文件進行定期離線備

份。

4.1.8.網絡安全管理

4.1.8.1.網絡設備運維手冊

應建立網絡安全管理制度，對網絡安全配置、日志保存時間、

安全策略、升級與打補丁、口令更新周期等方面做出規定。

應保證所有與外部系統的連接均得到授權和批準。

應定期檢查違反規定撥號上網或其他違反網絡安全策略的

行為。

4.1.8.2.定期補丁安裝

應根據廠家提供的軟件升級版本對網絡設備進行更新，并在

更新前對現有的重要文件進行備份。

4.1.8.3.漏洞掃描

應定期對網絡系統進行漏洞掃描，對發現的網絡系統安全漏

洞進行及時的修補。

4.1.8.4.網絡數據傳輸加密

當對服務器進行遠程管理時，應采取必要措施，防止鑒別信

息在網絡傳輸過程中被竊聽。

4.1.9.網絡相關人員安全管理

4.1.9.1.網絡安全管理人員配備

應指定專人對網絡進行管理，負責運行日志、網絡監控記錄

的日常維護和報警信息分析和處理工作。

4.1.9.2.網絡安全管理人員責任劃分規則

應制定文件明確網絡安全管理崗位的職責、分工和技能要

求。

4.1.9.3.網絡安全關鍵崗位人員管理

應從內部人員中選拔從事關鍵崗位的人員，并簽署崗位安全

協議。

應對關鍵崗位的人員進行全面、嚴格的安全審查和技能考

核。

4.2.主機安全性測武

對支的服務業務系統主機安全防護進行檢測，考察主機的安

全控制能力，基本要求如下：

4.2.1.身份鑒別

4.2.1.1.系統與應用管理員用戶設置

應對登錄操作系統和數據庫系統的用戶進行身份標識和鑒

別。

應為操作系統和數據庫系統的不同用戶分配不同的用戶名，

確保用戶名具有唯一性。

應采用兩種或兩種以上組合的鑒別技術對管理用戶進行身

份鑒別。

4.2.1.2.系統與應用管理員口令安全性

操作系統和數據庫系統管理用戶身份標識應具有不易被冒

用的特點，口令應有復雜度要求并定期更換。

4.2.1.3.登錄策略

應啟用登錄失敗處理功能，可采取結束會話、限制非法登錄

次數和自動退出等措施。

4.2.2.訪問控制

4.2.2.1.訪問控制X圍

應啟用訪問控制功能，依據安全策略控制用戶對資源的訪

問。

應根據管理用戶的角色分配權限，實現管理用戶的權限分

離，僅授予管理用戶所需的最小權限。

應實現操作系統和數據庫系統特權用戶的權限分離。

4.2.2.2,主機信任關系

應避免不必要的主機信任關系。

4.2.2.3.默認過期用戶

應及時刪除多余的、過期的用戶，避免共享用戶的存在。

應嚴格限制默認用戶的訪問權限，重命名系統默認用戶，修

改這些用戶的默認口令。

4.2.3.安全審計

4.2.3.1,日志信息

審計X圍應覆蓋到服務器和重要客戶端上的每個操作系統

用戶和數據庫用戶。

審計內容應包括重要用戶行為、系統資源的異常使用和重要

系統命令的使用等系統內重要的安全相關事件。

審計記錄應包括事件的日期、時間、類型、主體標識、客體

標識和結果等。

4.2.3.2.日志權限和保護

應保護審計記錄，避免受到未預期的刪除、修改或覆蓋等。

應保護審計進程，避免受到未預期的中斷。

4.2.3.3.系統信息分析

應能夠根據記錄數據進行分析，并生成審計報表。

4.2.3.4.用戶操作審計

應對所有用戶操作進行審計記錄。

4.2.4.系統保護

4.2.4.1.系統備份

應具有系統備份或系統重要文件備份。

4.2.4.2.故障恢復策略

應具備各種主機故障恢復策略。

4.2.4.3?磁盤空間安全

應對主機磁盤空間進行合理規劃，確保磁盤空間使用安全。

4.2.4.4.主機安全加固

應對主機進行安全加固。

4.2.5.剩余信息保護

4.2.5.1.過期信息、文檔處理

應保證操作系統和數據庫系統用戶的鑒別信息所在的存儲

空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信

息是存放在硬盤上還是在內存中。

應確保系統內的文件、目錄和數據庫記錄等資源所在的存儲

空間，被釋放或重新分配給其他用戶前得到完全清除。

4.2.6.入侵防X

4.2.6.1.入侵防X記錄

應能夠檢測到對重要服務器進行入侵的行為，能夠記錄入侵

的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發生嚴

重入侵事件時提供報警。

應能夠對重要程序的完整性進行檢測，并在檢測到完整性受

到破壞后具有恢復的措施。

4.2.6.2.關閉服務和端口

應關閉系統不必要的服務和端口。

4.2.6.3.最小安裝原則

操作系統應遵循最小安裝的原則，僅安裝需要的組件和應用

程序，并通過設置升級服務器等方式保持系統補丁及時得到更

新。

4.2.7.惡意代碼防X

4.2.7.1.防X軟件安裝部署

應至少在生產系統中的服務器安裝防惡意代碼軟件。

4.2.7.2.病毒庫定時更新

應及時更新防惡意代碼軟件版本和惡意代碼庫。

4.2.7.3.防X軟件統一管理

應支持防X軟件的統一管理。

4.2.8.資源控制

4.2.8.1.連接控制

應通過設定終端接入方式、網絡地址X圍等條件限制終端登

錄。

應根據安全策略設置登錄終端的操作超時鎖定。

4.2.8.2.資源監控和預警

應對重要服務器進行監視，包括監視服務器的CPU、硬盤、

內存、網絡等資源的使用情況。

應限制單個用戶對系統資源的最大或最小使用限度。

應能夠對系統的服務水平降低到預先規定的最小值進行檢

測和報警。

4.2.9.主機安全管理

4.2.9.1.主機運維手冊

應建立系統安全管理制度，對系統安全策略、安全配置、日

志管理和日常操作流程等方面做出具體規定。

4.2.9.2.漏洞掃描

應定期進行漏洞掃描，對發現的系統安全漏洞及時進行修

補。

4.2.9.3.系統補丁

應安裝系統的最新補丁程序，在安裝系統補丁前，首先在測

試環境中測試通過，并對重要文件進行備份后，方可實施系統補

丁程序的安裝。

4.2.9.4.操作日志管理

應依據操作手冊對系統進行維護，詳細記錄操作日志，包括

重要的日常操作、運行維護記錄、參數的設置和修改等內容，嚴

禁進行未經授權的操作。

應定期對運行日志和審計數據進行分析，以便及時發現異常

行為。

4.2.10.主機相關人員安全管理

4.2.10.1.主機安全管理人員配備

應指定專人對系統進行管理，劃分系統管理員角色，明確各

個角色的權限、責任和風險，權限設定應當遵循最小授權原則。

4.2.10.2.主機安全管理人員責任劃分規則

應制定文件明確主機管理崗位的職責、分工和技能要求。

4.2.10.3.主機安全關鍵崗位人員管理

應根據業務需求和系統安全分析確定系統的訪問控制策略。

4.3.應用安全性測試

對支付服務業務系統應用安全性檢測，主要檢測應用系統對

非法訪問及操作的控制能力，基本要求如下:

4.3.1.身份鑒別

4.3.1.1.系統與普通用戶設置

應提供專用的登錄控制模板對登錄用戶進行身份標識和鑒

別，提供系統管理員和普通用戶的設置功能。

4.3.1.2.系統與普通用戶口令安全性

系統與普通用戶口令應具有一定的復雜度。

4.3.1.3.登錄訪問安全策略

應對同一用戶采用兩種或兩種以上組合的鑒別技術實現用

戶身份鑒別。

4.3.1.4.非法訪問警示和記錄

應提供登錄失敗處理功能，可采取結束會話、限制非法登錄

次數和自動退出等措施。

4.3.1.5.客戶端鑒另!信息安全

客戶端鑒別信息應不被竊取和冒用。

4.3.1.6.口令有效期限制

應限制口令的有效期限。

4.3.1.7.限制認證會話時間

應對客戶端認證會話時間進行限制。

4.3.L8.身份標識唯一性

應提供用戶身份標識唯一性和鑒別信息復雜度檢查功能，保

證應用系統中不存在重復用戶身份標識，身份鑒別信息不易被冒

用。

應啟用身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別

信息復雜度檢查以及登錄失敗處理功能，并根據安全策略配置相

關參數。

4.3.1.9.及時清除鑒別信息

會話結束后應及時清除客戶端鑒別信息。

4.3.2.WEB頁面安全

4.3.2.1.登錄防窮舉

應提供登錄防窮舉的措施，如圖片驗證碼等。

4.3.2.2.安全控件

登錄應使用安全控件。

4.3.2.3.使用數字證書

應使用數字證書。

4.3.2.4.獨立的支付密碼

應提供獨立的支付密碼。

4.3.2.5.頁面SQL注入防X

頁面應采取防XSQL注入風險的措施。

4.3.2.6.頁面跨站腳本攻擊防X

頁面應采取防X跨站腳本攻擊風險的措施。

4.3.2.7.頁面源代碼暴露防X

頁面應采取防X源代碼暴露的措施。

4.3.2.8.頁面黑客掛馬防X

應采取防X頁面黑客掛馬的機制和措施。

4.3.2.9.頁面防篡改措施

應采取頁面防篡改措施。

4.3.2.10.頁面防釣魚

頁面應提供防釣魚的防偽信息驗證。

4.3.3.訪問控制

4.3.3.1.訪問權限設置

應提供訪問控制功能，依據安全策略控制用戶對文件、數據

庫表等客體的訪問。

應由授權主體配置訪問控制策略，并嚴格限制默認用戶的訪

問權限。

應授予不同用戶為完成各自承擔任務所需的最小權限，并在

它們之間形成互相制約的關系。

4.3.3.2.自主訪問控制X圍

訪問控制的覆蓋X圍應包括與資源訪問相關的主體、客體及

它們之間的操作。

4.3.3.3.業務操作日志

應具有所有業務操作日志。

4.3.3.4.關鍵數據存放

應嚴格控制用戶對關鍵數據的操作。關犍數據如：如敏感數

據、重要業務數據、系統管理數據等。

4.3.3.5.異常中斷防護

用戶訪問異常中斷后，應具有防護手段，保證數據不丟失。

4.3.3.6.數據庫安全配置

應具有數據庫安全配置手冊，并對數據庫進行安全配置。

4.3.4.安全審計

4.3.4.1.日志信息

審計記錄的內容至少應包括事件的日期、時間、發起者信息、

類型、描述和結果等。

4.3.4.2.日志權限和保護

應保證無法單獨中斷審計進程，無法刪除、修改或覆蓋審計

記錄。

4.3.4.3.系統信息查詢與分析

應提供對審計記錄數據進行統計、查詢、分析及生成審計報

表的功能。

4.3.4.4.對象操作審計

應提供覆蓋到每個用戶的安全審計功能，對應用系統重要安

全事件進行審計。

4.3.4.5.審計工具

應具備日志審計工具，對日志進行記錄、分析和報告。

4.3.4.6.事件報警

應具有交易事件報警功能。

4.3.5.剩余信息保護

4.3.5.1.過期信息、文檔處理

應對無用的過期信息、文檔進行完整刪除。

4.3.6.資源控制

4.3.6.1.連接控制

應能夠根據用戶需求，對系統的最大并發會話連接數進行限

制。

4.3.6.2.會話控制

當應用系統的通信雙方中的一方在一段時間內未作任何響

應，另一方應能夠自動結束會話。

應能夠對單個用戶的多重并發會話進行限制。

應能夠對一個時間段內可能的并發會話連接數進行限制。

4.3.6.3.進程資源分配

應能夠對一個訪問用戶或一個請求進程占用的資源分配最

大限額和最小限額。

應提供服務優先級設定功能，并在安裝后根據安全策略設定

訪問用戶或請求進程的優先級，根據優先級分配系統資源。

4.3.6.4.資源監測預警

應能夠對系統服務水平降低到預先規定的最小值進行檢查

和報警。

4.3.7.應用容錯

4.3.7.1.數據有效性校驗

應提供數據有效性檢驗功能，保證通過人機接口輸入或通過

通信接口輸入的數據格式或長度符合系統設定要求。

4.3.7.2.容錯機制

應提供自動保護功能，當故障發生時自動保護當前所有狀

態，保證系統能夠進行恢復。

4.3.7.3.故障機制

發生故障后，系統應能夠及時恢復。

4.3.7.4.回退機制

應提供回退功能，當故障發生后，能夠及時回退到故障發生

前的狀態。

4.3.8.報文完整性

4.3.8.1.通信報文有效性

應采用密碼技術保證通信過程中數據的完整性。

4.3.9.報文XX性

4.3.9.1.報文或會話加密

在通訊時采用安全通道或對報文中敏感信息進行加密。

4.3.10.抗抵賴

4.3.10.1.原發和接收證據

應具有在請求的情況下為數據原發者或接收者提供數據原

發證據的功能。

應具有在請求的情況下為數據原發者或接收者提供數據接

收證據的功能。

4.3.11.編碼安全

4.3.11.1.源代碼審查

應對源代碼進行安全性審查，提供源代碼審查報告。

4.3.11.2.插件安全性審查

應對插件進行安全性審查，提供插件審查報告。

4.3.11.3.編碼規M約束

應按照編碼規X進行編碼，具有編碼規X約束制度。

4.3.11.4.源代碼管理

應具有源代碼管理制度，具有源代碼管理記錄。

4.3.11.5.版本管理

應具有代碼版本管理制度。

4.3.12.電子認證應用

4.3.12.1.第三方電子認證機構證書

在對外業務（非內部業務）處理過程中，應使用經過認證的

第三方電子認證證書。在內部業務（僅涉及本機構內人員或設備

的業務）處理過程中，可以使用自建證書（非第三方電子認證證

書）。在條件允許的情況下，建議對所有業務使用經過認證的第

三方電子認證證書。

4.3.12.2.關鍵業務電子認證技術應用

關鍵業務應使用電子認證技術。在條件允許的情況下，建議

在所有業務均使用經過認證的第三方電子認證技術。

4.3.12.3.電子簽名有效性

應使用有效的電子簽名。在對外業務（非內部業務）處理過

程中，應使用經過第三方認證的電子簽名體系。在內部業務（僅

涉及本機構內人員或設備的業務）處理過程中，可以使用自建的

電子簽名體系（非第三方認證的電子簽名體系）。在條件允許的

情況下，建議對所有業務使用經過認證的第三方電子簽名體系。

4.3.12.4.服務器證書私鑰保護

應對所持有的服務器證書私鑰進行有效保護。

4.3.13.脫機數據認證

4.3.13.1.密鑰和證書

應參考PB0C2.0要求，產生符合業務要求的密鑰和證書。

4.3.13.2.靜態數據認證

脫機交易是否采用靜態數據認證方式。

4.3.13.3.動態數據認證

脫機交易是否采用動態數據認證方式。

4.3.14.安全報文

4.3.14.1.報文格式

應參考PB0C2.0報文格式。

4.3.14.2.報文完整性驗證

應對報文完整性進行驗證。

4.3.14.3.報文私密性

應保證報文私密性。

4.3.14.4.密鑰管理

應對密鑰進行安全管理。

4.3.15.終端安全

4.3.15.1.終端數據安全性要求

終端數據安全性應符合PB0C2.0要求。

4.3.15.2.終端設備安全性要求

終端設備安全性應符合PB0C2.0要求。

4.3.15.3.終端密鑰管理要求

終端密鑰導入、存儲、更新和回收應符合PB0C2.0要求。

4.3.16.安全機制

4.3.16.1.對稱加密機制

對稱加解密應符合PB0C2.0要求。

4.3.16.2.非對稱加密機制

非對稱加解密應符合PB0C2.0要求。

4.3.17.認可的算法

4.3.17.1.對稱加密算法

應使用認可的對稱加密算法，參考PB0C2.0要求。

4.3.17.2.非對稱加密算法

應使用認可的非對稱加密算法，參考PB0C2.0要求.

4.3.17.3.哈希算法

應使用認可的哈希算法，參考PB0C2.0要求。

4.4.數據安全性測試

對支付服務業務系統數據安全防護進行檢測，主要考察數據

的傳輸、存儲、備份與恢復安全性，基本要求如下：

4.4.1.數據保護

4.4.1.1.客戶身份信息保護

應當按規定妥善保管客戶身份基本信息，支付機構對客戶身

份信息的保管期限自業務關系結束當年起至少保存5年。

4.4.1.2.支付業務信息保護

應當按規定妥善保管支付業務信息，支付機構對支付業務信

息的保管期限自業務關系結束當年起至少保存5年。

4.4.1.3.會計檔案信息保護

應當按規定妥善保管會計檔案，支付機構對會計檔案的保管

期限適用《會計檔案管理辦法》(財會字(1998)32號文印發)

相關規定。

4.4.2.數據完整性

4.4.2.1.重要數據更改機制

應制定重要數據更改流程和管理制度。

4.4.2.2.數據備份記錄

應具備數據備份記錄g

4.4.2.3.保障傳輸過程中的數據完整性

應能夠檢測到系統管理數據、鑒別信息和重要業務數據在傳

輸過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的

恢復措施。

4.4.2.4.備份數據定期恢復

定期隨機抽取備份數據進行解壓、還原，檢查其內容有效性。

4.4.3.交易數據以及客戶數據的安全性

4.4.3.1.數據物理存儲安全

應具備高可用性的數據物理存儲環境。

4.4.3.2.客戶身份認證信息存儲安全

不允許保存支付服務業務系統非必須的客戶身份認證信息

（如銀行卡交易密碼、指紋、銀行卡磁道信息、CVN、CVN2等）。

4.4.3.3.終端信息采集設備硬加密措施或其它防偽手段

如果使用終端信息采集設備則應采取硬加密措施，否則要使

用其它手段達到防偽目的。

4.4.3.4.同一安全級別和可信賴的系統之間信息傳輸

應保證只能在同一安全保護級別、可信賴的系統之間傳輸。

4.4.3.5.加密傳輸

應采用加密或其他有效措施實現系統管理數據、鑒別信息和

重要業務數據傳輸XX性。

4.4.3.6.加密存儲

應采用加密或其他保護措施實現系統管理數據、鑒別信息和

重要業務數據存儲XX性。

4.4.3.7.數據訪問控制

應具備重要數據的訪問控制措施。

4.4.3.8.在線的存儲備份

應具備實時在線的存儲備份設施。

4.4.3.9.數據備份機制

應根據數據的重要性和數據對系統運行的影響，制定數據的

備份和恢復策略，應指明備份數據的備份方式（如增量備份或全

備份等）、備份頻度（如每日或每周等）、存儲介質、保存期、放

置場所、文件命名規則、介質替換頻率和數據傳輸方法。

4.4.3.10.本地備份

應具有同機房數據備份設施。

4.4.3.11.異地備份

應提供異地數據備份功能，利用通信網絡將關鍵數據定時批

量傳送至備用場地。

4.4.3.12.備份數據的恢復

應具有備份數據恢復操作手冊，并提供恢復功能。

4.4.3.13.數據銷毀制度和記錄

應具有數據銷毀制度和相關記錄。

4.4.3.14.關鍵鏈路冗余設計

應采用冗余技術設計網絡拓撲結構，避免關鍵節點存在單點

故障。

應提供主要網絡設備、通信線路和數據處理系統的硬件冗

余，保證系統的高可用性。

4.5.運維安全性測減

對支付服務業務系統運維安全進行檢測，主要考察運維安全

管理制度及運維安全執行情況，基本要求如下：

4.5.1.環境管理

4.5.1.1.機房基本設施定期維護

應指定專門的部門或人員定期對機房供配電、空調、溫濕度

控制等設施進行維護管理。

4.5.1.2.機房的出入管理制度化和文檔化

應指定部門負責機房安全，并配備機房安全管理人員，對機

房的出入、服務器的開機或關機等工作進行管理。

4.5.1.3.辦公環境的XX性措施

應加強對辦公環境的XX性管理，規X辦公環境人員行為，

包括工作人員調離辦公室應立即交還該辦公室鑰匙、不在辦公區

接待來訪人員、工作人員離開座位應確保終端計算機退出登錄狀

態和桌面上沒有包含敏感信息的紙質文件等。

4.5.1.4.機房安全管理制度

應建立機房安全管理制度，對有關機房物理訪問，物品帶進、

帶出機房和機房環境安全等方面的管理做出規定。

4.5.1.5.機房進出登記表

應具有機房進出登記表。

4.5.2.介質管理

4.5.2.1.介質的存放環境保護措施

應確保介質存放在安全的環境中，對各類介質進行控制和保

護，并實行存儲環境專人管理。

4.5.2.2.介質的使用管理文檔化

應建立介質安全管理制度，對介質的存放環境、使用、維護

和銷毀等方面做出規定。

4.5.2.3.維修或銷毀介質之前清除敏感數據

應對送出維修以及銷毀等進行嚴格的管理，對送出維修或銷

毀的介質應首先清除介質中的敏感數據，對XX性較高的存儲介

質未經批準不得自行銷毀。

4.5.2.4.介質管理記錄

應對介質在物理傳輸過程中的人員選擇、打包、交付等情況

進行控制，對介質歸檔和查詢等進行登記記錄，并根據存檔介質

的目錄清單定期盤點。

4.5.2.5.介質的分類與標識

應對重要介質中的數據和軟件采取加密存儲，并根據所承載

數據和軟件的重要程度對介質進行分類和標識管理。

4.5.3.設備管理

4.5.3.1.設備管理的責任人員或部門

應對信息系統相關的各種設備（包括備份和冗余設備）、線

路等指定專門的部門或人員進行管理。

4.5.3.2.設施、設備定期維護

應對信息系統相關的各種設備（包括備份和冗余設備）、線

路等指定專門的部門或人員定期進行維護管理。

4.5.3.3.設備選型、采購、發放等的審批控制

應建立基于申報、審批和專人負責的設備安全管理制度，對

信息系統的各種軟硬件設備的選型、采購、發放和領用等過程進

行規X化管理。

4.5.3.4.設備配置標準化

應建立標準化的設備配置文檔。

4.5.3.5.設備的操作規程

應對終端計算機、工作站、便攜機、系統和網絡等設備的操

作和使用進行規X化管理，按操作規程實現主要設備（包括備份

和冗余設備）的啟動/停止、加電/斷電等操作。

4.5.3.6.設備的操作日志

應具有完整的設備操作日志。

4.5.3.7.設備使用管理文檔

應對終端計算機、工作站、便攜機、系統和網絡等設備的操

作和使用進行規X化管理，建立相應的管理文檔。

4.5.3.8.設備標識

應對設備進行分類和標識。

4.5.4.人員管理

4.5.4.1.人員錄用

應指定或授權專門的部門或人員負責人員錄用。

應嚴格規X人員錄用過程，對被錄用人妁身份、背景、專業

資格和資質等進行審查，對其所具有的技術技能進行考核。

應簽署XX協議。

應從內部人員中選拔從事關鍵崗位的人員，并簽署崗位安全

協議。

4.5.4.2.人員轉崗、離崗

應嚴格規X人員離崗過程，及時終止離崗員工的所有訪問權

限。

應取回各種XX件、鑰匙、徽章等以及機構提供的軟硬件設

備。

應辦理嚴格的調離手續，關鍵崗位人員離崗須承諾調離后的

XX義務后方可離開。

4.5.4.3.人員考核

應定期對各個崗位的人員進行安全技能及安全認知的考核。

應對關鍵崗位的人員進行全面、嚴格的安全審查和技能考

核。

應對考核結果進行記錄并保存。

4.5.4.4.安全意識教育和培訓

應對各類人員進行安全意識教育、崗位技能培訓和相關安全

技術培訓。

應對安全責任和懲戒措施進行書面規定并告知相關人員，對

違反安全策略和規定的人員進行懲戒。

應對定期安全教育和培訓進行書面規定，針對不同崗位制定

不同的培訓計劃，對信息安全基礎知識、崗位操作規程等進行培

訓。

應對安全教育和培訓的情況和結果進行記錄并歸檔保存。

4.5.4.5.外部人員訪問管理

應確保在外部人員訪問受控區域前先提出書面申請，批準后

由專人全程陪同或監督，并登記備案。

對外部人員允許訪問的區域、系統、設備、信息等內容應進

行書面的規定，并按照規定執行。

4.5.4.6.職責分離

關鍵崗位人員應職責分離。

4.5.5.監控管理

4.5.5.1.主要網絡設備的各項指標監控情況

應對通信線路、網絡設備的運行狀況、網絡流量、用戶行為

等進行監測和報警，形成記錄并妥善保存。

4.5.5.2.主要服務器的各項指標監控情況

應對主機的運行狀況、用戶行為等進行監測和報警，形成記

錄并妥善保存。

4.5.5.3.應用運行各項指標監控情況

應對應用軟件的運行狀況進行監測和報警，形成記錄并妥善

保存。

4.5.5.4.異常處理機制

應組織相關人員定期對監測和報警記錄進行分析、評審，發

現可疑行為，形成分析報告，并采取必要的應對措施。

4.5.6.變更管理

4.5.6.1.變更方案

應確認系統中要發生的變更，并制定變更方案。

4.5.6.2.變更制度化管理

應建立變更管理制度，系統發生變更前，向主管領導申請，

變更申請和變更方案須經過評審、審批后方可實施變更，并在實

施后將變更情況向相關人員通告。

4.5.6.3.重要系統變更的批準

應建立變更控制的申報和審批文件化程序，對變更影響進行

分析并文檔化，變更內容中要有變更失敗后的回退方案等，記錄

變更實施過程，并妥善保存所有文檔和記錄。

4.5.6.4.重要系統變更的通知

重要系統變更前，應通過相關單位、部門和人員。

4.5.7.安全事件處置

4.5.7.1.安全事件報告和處置

應制定安全事件報告和處置管理制度，明確安全事件的類

型，規定安全事件的現場處理、事件報告和后期恢復的管理職責。

應制定安全事件報告和響應處理程序，確定事件的報告流

程，響應和處置的X圍、程度，以及處理方法等。

4.5.7.2.安全事件的分類和分級

應根據國家相關管理部門對計算機安全事件等級劃分方法

和安全事件對本系統產生的影響，對本系統計算機安全事件進行

等級劃分。

4.5.7.3.安全事件記錄和采取的措施

應在安全事件報告和響應處理過程中，分析和鑒定事件產生

的原因，收集證據，記錄處理過程，總結經驗教訓，制定防止再

次發生的補救措施，過程形成的所有文件和記錄均應妥善保存。

對造成系統中斷和造成信息泄密的安全事件應采用不同的

處理程序和報告程序。

4.5.8.應急預案管理

4.5.8.1.制定不同事件的應急預案

應在統一的應急預案框架下制定不同事件的應急預案，應急

預案框架應包括啟動應急預案的條件、應急處理流程、系統恢復

流程、事后教育和培訓等內容。

4.5.8.2.相關人員應急預案培訓

應對系統相關的人員進行應急預案培訓，應急預案的培訓應

至少每年舉辦一次。

4.5.8.3.定期演練

應制定演練計劃，根據不同的應急恢復為容，確定演練的周

期。對應急預案演練中暴露出的問題進行總結并及時整改。

4.6.業務連續性測減

對支付服務業務系統業務連續性進行檢測，主要考察系統是

否具備業務連續性管理并達到設計目標，基本要求如下：

4.6.1.業務連續性需求分析

4.6.1.1.業務中斷影響分析

應進行業務中斷影響分析。

4.