非金融机构支付服务业务系统检测规范预付卡部分

系统与检测规范内容对应关系说明银行卡检测中心：系统的功能、性能、风险监控和文档与《非金融机构支付服务业务系统检测规范_预付卡部分》内容的对应关系说明如下：功能说明：*标记为必测项编号检测项系统实际功能账户管理客户支付账户管理*（联机交易类必测项）卡片发行卡片激活卡片冻结解冻卡片挂失解挂卡片管理制卡*（无卡片发行情况不适用）卡资料管理卡片发行*（无卡片发行情况不适用）售卡卡片激活*（无卡片发行情况不适用）售卡激活充值联机充值卡片有效期延长*（无卡片发行情况不适用）卡有效期延期更换*（无卡片发行情况不适用）换卡管理密码修改卡联机改密卡片冻结/解冻卡冻结/解冻卡片挂失/解挂无锁卡/解锁无退卡无销卡无密钥和证书管理认证中心公钥管理无发卡机构密钥管理IC卡密钥管理*（脱机交易类必测项）无发卡机构证书管理无IC卡证书管理无交易处理联机消费*（联机交易类必测项）联机消费联机消费撤销联机消费撤销联机余额查询*（联机交易类必测项（密码卡不适用））联机余额查询退货*（密码卡不适用）联机退货冲正交易*（联机交易类必测项（密码卡不适用））自动冲正异常卡交易*异常卡包括激活卡、挂失卡、坏卡、冻结卡等非正常状态卡片现金充值联机充值指定账户圈存无非指定账户圈存无IC卡脚本通知无圈提无脱机消费*（脱机交易类必测项）无脱机消费文件处理*（脱机交易类必测项）无脱机余额查询*（脱机交易类必测项）无交易查询*历史和当前交易查询资金结算1.5.1客户结算清算批处理对账处理发送对账请求清算批处理生成对账文件商户，发卡方对账单差错处理1.7.1长款/短款处理*调帐处理统计报表业务类报表*对账单报表，财务报表，交易统计报表等运行管理类报表*商户开通报表，机构售卡报表，风控运行报表等风险监控说明：*标记为必测项编号检测项系统情况联机交易风险管理联机交易ARQC/ARPC验证无联机报文MAC验证MAC校验卡片状态控制卡激活，挂失，解挂，冻结等单笔消费限额风控设置当日累计消费限额风控设置当日累计消费次数限制风控设置单笔充值金额最大值风控设置账户余额限额*卡账户限额（非实名：1000；实名：5000）大额消费商户交易监控风控运行情况查看密码错误情况下的交易请求用户密码错交易非法卡号交易*系统pos不支持非协定的卡卡片有效期检查交易检查卡有效期无磁无密交易无脱机交易风险管理TAC验证*（脱机交易类必测项）无MAC验证*（脱机交易类必测项）无终端风险管理POS机申请、参数设置、程序灌装、使用、更换、维护、撤消的管理《POS机管理制度》《POS机服务作业单》POS机密钥和参数的安全管理《POS机密钥和参数的安全管理》控制移动POS机的安装《移动POS安装要求》终端安全检测报告联迪E550安全检测报告密码键盘安全检测报告联迪E550安全检测报告终端监控管理《POS终端巡检制度》《商户走访记录表》性能以下声明的系统指标已经在被测系统中实现。编号检测规范要求系统指标1系统实际部署的受理终端数量和发卡量2系统高峰时段的联机交易数量无3对可预期的系统生命周期内，受理终端数量和发卡量的增长情况（3年）pos:5000卡：500004受理终端主要核心业务功能点分布比例。比如，POS终端系统，联机交易业务占70％，联机余额查询占20％，联机交易明细查询占10％等消费：33%查询余额：67%6一年的业务量（交易笔数，如果交易类型有多种，请分别说明）查询：450000消费：300000其他（续期，改密，积分等）：1200007压力解除后系统自恢复时间1分25秒8“日终批处理”对应的系统功能，数据量及响应时间要求100000条数据20分15秒网络安全测试编号检测项对应说明1网络访问控制(1)

未划分核心域、管理域等网络不同区域，核心网边界未进行有效隔离划分核心区域将测试，监控，生产分开(2)

未部署入侵检测类安全产品或进行有效的入侵检测防范未检测到(3)

日常办公网可访问核心生产服务器和网络设备使用vpn限制对网络设备访问(4)数据库服务器与WEB服务器位于同一区域，未合理划分DMZ区将数据区和web服务器分开(5)

在路由器或者交换机上未配置QOS，也未做其它网络流量控制做网络流量限制(6)

防火墙访问控制规则中未配置默认的拒绝策略放火墙配置信任访问策略(7)

未对可登录核心系统主机的主机范围进行限定控制生产环境的机器是否可访问(8)

无法对非授权设备私自联到内部网络和内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断对机器的从内向外或者从外向内访问进行严格限制(9)

访问生产区服务器的终端机可同时访问互联网网络设备不允许远程访问(10)

未进行地址转换，以隐藏内部网络结构进行地址转换，外部使用转换后地址访问机器(11)防火墙访问控制规则中存在冗余的允许策略删除多余的允许策略(12)系统对Internet提供服务，但访问控制粒度未控制到端口级。网络设备不提供给外部访问(13)

在不影响双机切换等情况下，重要服务器在网络设备上未进行MAC和IP的绑定建议(14)

允许使用SSH的V1版本建议(15)

没有禁止客户端通过telnet协议（明文传输）在内部网络内进行远程管理建议(16)

没有禁止客户端通过telnet协议（明文传输）在外部网络内进行远程管理禁用telnent登陆2结构安全(1)

无链路备份有主备链路(2)

核心网络设备缺少冗余提供网络设备允余配置(3)

链路使用同一运营商的线路主备线路使用同一运营商(4)系统中使用动态路由（包括OSPF、IEGRP等），但动态路由未启用动态路由认证。使用静态路由不影响检测结果3网络设备防护(1)

SNMPcommunity字符串为默认值设置snmp服务的community为指定的值，或者可不使用snmp服务(2)

路由器使用默认的enable密码网络配置enable密码(3)

未限制口令最小长度、复杂度和更新时间等设置网络设备登陆(4)

路由器/防火墙的enable密码未加密存储设置密码加密(5)

路由器/防火墙的enable密码存储加密方式不安全，易被破解设置密码复杂加密(6)网络设备的口令列表未加密，保存在管理员终端或服务器上对所有可操作网络设备的密码进行加密处理(7)

未设置非法登录次数控制参数网络设备不支持远程登陆(8)

未设置连接超时等控制参数建议(9)

网络设备开启了不必要的服务建议(10)主要网络设备及安全设备未采取两种或两种以上组合的鉴别技术进行身份鉴别。建议(11)设备存在不需要的用户删除调试过程中使用的用户4网络入侵防范(1)

没有安装IDS或防恶意代码软件开启了防火墙（深信服AF1110）IPS功能(2)

病毒库更新不及时；IDS特征库更新不及时定时有网络安全人员进行网络病毒库更新(3)

防范软件未能及时安装补丁定时有网络安全人员进行补丁安装(4)

网络设备（防火墙、路由器、交换机和IDS等）无安全配置标准建议(5)

未设置DoS/DDoS攻击、网络ARP欺骗攻击等的防护措施在防火墙(深信服AF1110)开启防火墙ddos攻击。5网络安全审计(1)

数据中心无独立的网络监控设备数据中心有此设备(2)

未建立主机、应用的自动化监控平台建议(3)

网络设备无审计记录进行人工审计，每月在进行网络巡检时，进行log查看的人工审计(4)

对于没有审计工具，但可人工实现，并有相关制度及记录建议(5)

未开启日志功能网络设备开启日志功能(6)

未使用NTP或类似的技术对关键设备的时间进行同步建议(7)

没有专人定时查看并分析日志建议(8)

不对审计记录进行备份保存，日志信息循环记录需要专门的日志服务器(9)未合理配置日志缓冲区大小配置网络设备日志缓冲区大小(10)

没有定期的内部审计安全检查建议(11)未提供网络设备故障处理制度及相应记录建议(12)针对网络故障未形成知识库建议(13)针对网络故障未生成分析文档文档《网络故障分析表》6网络安全管理(1)

网络设备软件版本过低建议(2)

应用协议（如SNMP协议）版本过低建议(3)

没有漏洞扫描工具，也没有漏洞扫描记录和报告Nessus软件进行扫描(4)网络设备的重要文件（如配置文件等）未进行备份保存对每次的网络配置文件信息进行抓取和保存备份7网络相关人员安全管理(1)

同一团队/人员负责管理多台网络设备、主机以及其他硬件设备等建议(2)未实现管理员帐户唯一性，多人共用同一个管理员帐户。对可以操作网络设备的人员设置单独的用户权限，用户之间可以协调配合完成网络设备的操作(3)

安全管理职责由其他人员兼职已经按照岗位职责划分出独立的网络管理人员主机安全序号检测项案例对应说明1身份鉴别(1)

用户密码策略设置不安全（密码长度、过期时间、锁定策略等）Linux中可以设定(2)

Linux系统引导程序GRUB未设置密码Linux中设定(3)

Solaris未设置eeprom硬件保护口令使用CentOs(4)多人共享root用户口令Linux设定非全部人能使用root(5)操作系统存在默认口令及弱口令设定用户密码复杂度，强制密码更改(6)Oracletnslsnr没有设置口令设定tnslsnr密码(7)

未禁止root用户直接登录远程登陆限制root直接登陆(8)

连续错误登录多次未自动锁定账号设定用户登陆失败锁定策略(9)

root用户存在可疑的路径参数环境变量清除root用户非使用环境变量(10)

对root用户的使用没有申请机制安全管理制度(11)

主机未更改默认用户登录名使用主机用户均为按照安全制度新建的应用操作用户(12)

主机默认显示上一次登录用户名系统未做此配置(13)

没有对访问特定服务器的内部终端进行限制可以配置ip，mac等访问限制(14)

没有强制注销及超时限制设定登陆超时时间(15)

应用中间件控制台登录密码使用默认口令无中间控制台(16)服务器操作系统登录未采用双因素认证建议问题(17)

SSH默认开启了X11转发功能建议问题(18)

SSH服务端配置文件未指明仅支持协议2建议问题(19)

主机远程登录，用户名和密码明文传输登陆使用ssh2访问控制(1)

无禁用操作系统默认用户（如daemon、bin、sys、adm等）禁用默认用户(2)系统存在多余的自建账户（数据库、应用中间件的默认用户未删除或关闭）删除多余的自建用户(3)

日志文件权限设置不安全建议问题(4)

存在具有SUID/SGID权限的文件建议问题(5)

存在全局可写文件/目录建议问题(6)

存在具有同组用户可写属性的文件/目录建议问题(7)

存在无属主文件建议问题(8)

主机重要系统文件的权限设置不安全Linux文件权限设置(9)

Linux系统/etc/aliaes文件中未禁用无用的别名建议问题(10)

核心业务服务器操作系统和数据库系统未安装强制访问控制模块建议问题(11)

未采取合理措施进行主机连接控制，如只通过限制服务器系统连接控制数进行限制建议问题(12)操作系统与数据库系统的特权用户未分离进行权限分离(13)未实现最小权限分配，系统无审计员等安全角色设定安全角色完成系统审计等功能3安全审计(1)

主机系统未开启系统日志审计功能建议问题，可以安装日志审计工具软件(2)

Windows主机未配置本地安全审计策略建议问题(3)

没有专人定时检查系统日志建议问题(4)

主机日志保存时间过短（低于3个月）建议问题(5)

未使用日志监控软件或日志服务器建议问题(6)

没有单独为应用系统的日志建立文件系统，存在系统日志增长将文件系统耗尽的风险建议问题(7)服务器操作系统的时间未同步建议问题4系统保护(1)

关键主机无备份使用双机热备对数据库进行热备，同时定是进行数据备份(2)未提供系统设备故障处理制度及相应记录建议问题5剩余信息保护(1)

未采用合理措施进行剩余信息保护，也无相关制度进行规定有文档进行说明《过期信息处理制度及记录》进行说明(2)

未采用合理措施进行剩余信息保护，但又相关制度规定建议6入侵防范(1)

存在多种随系统启动的服务（如Telnet、SNMP、Rusersd等）关闭这些服务(2)主机系统路由表存在多条未明确用途的路由删除不使用路由(3)

FTP/WEB服务器等未专用建议(4)没有对主机中重要程序的完整性进行检测。建议7恶意代码防范(1)

Windows主机没有安装防恶意代码软件Linux，windows可以安装恶意代码软件snort(2)

Windows主机病毒库未定期更新安装杀毒软件定期进行更新(3)Linux、Aix系统未安装恶意代码防范软件建议8资源控制(1)

对系统的资源消耗和其他信息没有实时监控和预警机制安装监控软件进行监控和预警(2)

对系统关键进程没有实时监控和预警机制监控软件进行监控和预警9主机安全管理(1)

主机系统未及时安装服务补丁包建议(2)

OpenSSH远程服务器复制块远程拒绝服务漏洞不使用openssh，若使用则安装修复补丁(3)

Web服务器Apache拒绝服务漏洞未使用Apache则安装修复补丁(4)

OpenSSHGSSAPI认证远程代码执行漏洞未使用此程序(5)

OpenSSHPAM会话内存擦除漏洞未使用此程序(6)

Solaris10Telnet可绕过认证漏洞使用CentOs(7)

可使用个别组件执行任意代码，通过修改httpd配置文件导致内存溢出，从而能够创建恶意的配置文件，执行任意的代码未使用httpd服务(8)

/usr/local/apache2/cgi-bin/test-cgi会使远程访问者列出webserver的文件，为系统安全留下隐患未使用apache(9)

无主机和数据库安全配置标准建议(10)

无主机和数据库安全加固制度或标准建议(11)

没有漏洞扫描工具，也没有漏洞扫描记录和报告安装Nessus5.0座安全扫描10主机相关人员安全管理(1)

安全管理职责由其他人员兼职按照《岗位职责划分》设定人员专门进行应用安全测试序号检测项案例对应说明1身份鉴别(1)未采取两种或两种以上组合的鉴别技术进行身份鉴别密码+图片验证码(2)未采取两种或两种以上组合的鉴别技术进行身份鉴别（内部管理应用）密码+图片验证码(3)普通用户可以通过修改cookie方式得到管理员用户权限系统web不是用cookie(4)系统未提供多次登录失败帐户锁定功能设定登陆失败5次锁定10分钟(5)在下次登录时未对用户进行提示（提示内容可以是上次登录时间、登录ip、登录失败等内容）建议(6)非法用户登录未进行审计记录用户登陆记录，系统管理员可以查看审计用户登陆(7)同一用户可重复登录并执行操作，同时在线，未限制并发登录设定不能并发登陆(8)

网络客户端日志中包含了明文的交易信息、用户口令、密钥及CVN/CVN2信息用户密码在传输中使用加密(9)

未对密码长度、复杂度等做限制做长度和复杂度限制(10)

用户修改自己的密码时，没有对密码中包含用户名的内容进行判断和提示建议(11)系统提供密码初始化功能的，但首次登录未要求用户修改密码设置初始密码和强制修改(12)应用系统平台存在管理员弱口令帐号设定复杂的管理员口令(13)未使用图形验证码等机制防范固定密码进行用户名猜测图片验证码(14)

登录失败时显示明确的提示信息提示用户登陆失败原因2Web页面安全(1)

开启危险的HTTP方法，如PUT、DELETE、MOVE、TRACE、CONNECT等更新session信息(2)

不安全的会话管理，如会话ID不更新、会话变量泄露等后台做数据验证(3)

跨站脚本攻击后台做数据验证(4)

跨站脚本攻击（内部管理应用）管理页面需要通过登陆操作才能访问(5)

存在可直接访问的管理页面管理页面需要通过登陆操作才能访问(6)

存在可直接访问的管理页面（内部管理应用或WAP应用）对交易日志和系统操作日志都提供记录和查询(7)

对应用系统没有提供日志记录，例如交易类和系统操作类等日志信息详细记录日志结果内容(8)

安全日志记录不全或内容不详细，例如未包括非法访问记录、账户锁定等操作用户口令等多做加密处理(9)

错误调试信息中包含了明文的用户口令、指纹信息、磁道信息、密钥及CVN/CVN2信息用户密码等信息作加密处理(10)部分页面存在SQL注入漏洞（包括内外平台）后台做sql语句处理(11)应用程序错误时在Web页面显示调试信息不显示调试信息(12)服务器响应信息中包含内部IP可能泄露内部网络信息只有公网ip信息(13)对隐藏目录访问时可收到403消息，可探测目录的存在性无隐藏目录(14)没有使用图片验证码方式使用图片校验码(15)登录系统后，没有预留信息提示，无法防止网络钓鱼攻击建议(16)对于需要输入支付密码、卡的PIN码的输入框未使用安全控件进行保护使用安全控件(17)安全控件无法提供第三方检测机构检测报告安全控件检测报告(18)安全控件存在缓冲区溢出漏洞，可被利用无缓冲漏洞(19)安全控件存在不必要的接口功能，存在写权限等无这些权限(20)未提供插件安全性检查报告安全控件检测报告3访问控制(1)

没有管理员权限或者用户权限控制权限分离(2)

未屏蔽没有权限访问的功能菜单屏蔽无权限菜单(3)仅采用菜单项控制访问权限，低权限用户可采用绝对地址访问系统，绕过访问控制机制系统后台有对操作权限做验证，且不能直接使用访问地址访问系统(4)

点击右键出现菜单，再进行其他操作导致出现不应出现的界面无此问题4安全审计(1)

应用系统无交易记录模块有交易日志记录5剩余信息保护(1)过期账户未及时删除定期进行帐户的清理工作(2)

登录系统并浏览页面后，浏览器的Cookie信息遗留一些过程文件不使用cookie6资源控制(1)

对进程资源等没有监控和预警措施安装监控软件进行监控(2)未对并发连接的最大数量进行限制限制最大的并发连接数量(3)未限制会话超时时间限制会话（session）超时时间7应用容错(1)对输入做严格检查进行前台和后台的验证(2)未对输入做严格检查（内部管理应用）进行前台和后台的验证(3)异常的中断导致系统关闭、不能使用或导致敏感信息的泄露系统有错误处理机制，不会终端系统且不会泄露敏感信息(4)没有对上传文件的文件格式进行校验，存在上传.exe、.asp、.jsp、shell程序等文件的风险对上传文件类型进行过滤(5)没有对上传文件大小进行控制设置最大的上传文件大小8报文保密性(1)使用HTTP协议，登录信息明文传输使用https代替http(2)使用HTTP协议，登录信息明文传输（内部管理应用）使用https代替http9编码安全(1)存在源代码暴露漏洞只有访问服务器才能够看到源代码(2)源代码没有审查流程要求，或者无审查记录《源代码管理制度》10电子认证应用(1)使用未获得工业和信息化部颁发《电子认证服务许可证》的电子认证机构发放的证书或提供的服务(2)使用未获得工业和信息化部颁发《电子认证服务许可证》的电子认证机构发放的证书或提供的服务（内部管理应用）建议(3)关键业务实现未使用电子认证技术保证交易的完整和抗抵赖(4)关键业务实现未使用电子认证技术保证交易的完整和抗抵赖（内部管理应用）建议(5)电子签名实现不符合《中华人民共和国电子签名法》规定的有效电子签名要求(6)电子签名实现不符合《中华人民共和国电子签名法》规定的有效电子签名要求（内部管理应用）建议(7)关键业务实现未使用服务器证书标示网上应用身份(8)关键业务实现未使用服务器证书标示网上应用身份（内部管理应用）建议(9)关键业务相关插件及客户端程序发布未使用证书签发(10)关键业务相关插件及客户端程序发布未使用证书签发（内部管理应用）建议(11)未对所持有的服务器证书私钥进行有效保护，存在服务器证书私钥泄漏风险建议11中间件安全(1)服务器应答包含目录内容，存在目录列举漏洞服务器不返回具体的目录信息(2)MicrosoftIISWebDav目录列举漏洞未使用IIS(3)Tomcat等应用服务器的配置文件可以通过外网获取不允许通过外网之间管理tomcat(4)MicrosoftIISWebDAV远程拒绝服务漏洞未使用IIS12WAP页面安全(1)缺少登录防穷举措施有登陆失败锁定策略(2)未采用数字证书技术实施SSL加密使用ssl进行加密(3)存在SQL注入漏洞后台对sql进行处理(4)存在跨站脚本漏洞后台对传入数据进行校验数据安全性测试序号检测项案例对应说明1数据保护(1)敏感信息明文传输和存储使用vpn进行数据传输(2)客户敏感信息保护不完善，可以被随意拷贝、删除等服务器安全管理(3)保存年限等不满足要求定期处理客户信息2数据完整性(1)未提供数据备份恢复记录或未建立相应记录体系《备份记录和定期恢复测试记录V1.0》(2)未提供数据备份记录或未建立相应记录体系《备份记录和定期恢复测试记录V1.0》(3)未提供重要重要数据更改记录或未建立相应记录体系《备份记录和定期恢复测试记录V1.0》(4)无数据备份数据的恢复验证机制《系统备份恢复规范》(5)未进行过数据恢复测试使用介质（光盘或者磁单等进行备份恢复测试）(6)未采取措施检查传输过程中的管理数据、鉴别信息和重要的业务数据的完整性，仅对传输数据采用SSL通道或加密技术加密传输。建议(7)未制定备份数据恢复操作手册。《数据备份及灾难恢复制度V1.0》(8)缺少本地数据备份与恢复功能提供数据库备份功能(9)主要网络设备、通信线路和数据处理系统的硬件缺少冗余未检测到(10)

未制定严格的数据更改制度/流程《重要数据变更机制》(11)数据更改不是双人操作，无专人复核《重要数据变更机制》(12)

数据在处理过程中没有进行完整性校验《重要数据变更机制》(13)采用短信支付而未采用密码技术保证通信过程中数据的完整性未检测到3交易数据及客户数据的安全性(1)测试环境使用生产数据划分测试区域和生产区域(2)备份机房和生产机房间距在10KM以内灾备机房与生产机房距离(3)未建立同城应用级备份机房建立灾备机房(4)未建立数据销毁制度《数据销毁制度》(5)对数据的销毁方式不安全，如对磁盘未采用消磁或物理破坏的方式销毁，对纸质介质未严格粉碎处理等《数据销毁制度》(6)系统保存了支付服务业务系统非必须的客户身份认证信息（如银行卡交易密码、指纹信息等）不保存客户敏感信息运维安全性测试序号检测项案例对应说明1环境管理(1)未建立机房访问登记、设备管理等制度。《机房进出登记表》《设备管理制度》(2)机房出入无登记表《机房进出登记表》2介质管理(1)缺少介质安全管理措施，缺少介质的存放环境、使用、维护和销毁措施，送出维修或销毁的介质未执行清除介质中的敏感数据《移动存储介质管理制度》3设备管理(1)设备选型、采购、发放等审批控制不规范《设备管理制度》(2)未规定网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期，网络设备升级前未对重要文件备份，网络设备漏洞扫描与修补的制度和落实记录，没有定期进行网络扫描《网络设备操作手册》，《端口开放维护手册_V1.0》(3)未明确系统安全策略、安全配置、日志管理和日常操作流程，缺少专人负责系统安全管理工作网络设备开启日志服务，有专门人员进行定期的备份操作(4)无网络设备、主机设备等日常巡检记录《机房巡检管理制度》(5)未建立网络设备、主机设备、终端设备等安全加固手册《主机安全加固手册》(6)未对网络设备、服务器等的使用操作进行记录，无设备的操作日志开启日志服务记录日志4人员管理(1)未在人员管理制度中规定人员转岗、离岗时的访问权限及软硬件设备移交等内容，离岗离职相关记录不全《人员制度V1.0》(2)未要求关键岗位人员签署保密协议要求人员签署保密协议(3)未进行人员培训、考核、安全意识教育《安全教育培训制度》(4)无人员培训、考核、安全意识教育的相关记录《培训记录表》5监控管理(1)

未规范主要服务器的各项资源监控指标设置监控的各项资源的阀值(2)未指定专人对网络和主机进行恶意代码检测并保存检测记录，开发过程中和投入使用前未检测恶意代码制定专人对网络和主机进行检测并记录6变更管理(1)

重要系统变更管理