非金融机构支付服务业务系统检测基本要求_银行卡收单部分V1.1_20110329

非金融机构支付服务业务系统检测基本要求_银行卡收单部分V1.1_20110329 非金融机构支付服务业务系统检测基本要求(银行卡收单部分) ,2011版, 中国人民银行 2011年3月 1 目 录 第一章 功能测试 ............................................................................................................... 6 1.1 . 特约商户管理 ..................................................................................................... 6 1.1.1. 商户提交资质材料 ........................................................................................... 6 1.1.2. 黑名单检查及管理 ........................................................................................... 6 1.1.3. 商户信息查询 ................................................................................................... 6 1.1.4. 商户操作员管理 ............................................................................................... 6 1.1.5. 商户受理业务管理 ........................................................................................... 6 1.1.6. 商户信息维护 ................................................................................................... 6 1.1.7. 商户冻结、解冻 ............................................................................................... 7 1.1.8. 商户退出 ........................................................................................................... 7 1.2 . 终端机具信息管理 ............................................................................................. 7 1.2.1. 机具申领控制 ................................................................................................... 7 1.2.2. 机具信息维护 ................................................................................................... 7 1.2.3. 机具信息查询 ................................................................................................... 7 1.3 . 密钥管理 ............................................................................................................. 7 1.3.1. 密钥生成 ........................................................................................................... 7 1.3.2. 密钥分发 ........................................................................................................... 7 1.3.3. 密钥使用 ........................................................................................................... 8 1.3.4. 密钥存储 ........................................................................................................... 8 1.3.5. 密钥更新 ........................................................................................................... 8 1.3.6. 密钥销毁 ........................................................................................................... 8 1.4 . 交易处理 ............................................................................................................. 8 1.4.1. 消费 ................................................................................................................... 8 1.4.2. 消费撤销 ........................................................................................................... 8 1.4.3. 余额查询 ........................................................................................................... 8 1.4.4. 预授权 ............................................................................................................... 8 1.4.5. 预授权撤销 ....................................................................................................... 9 1.4.6. 预授权完成 ....................................................................................................... 9 1.4.7. 预授权完成撤销 ............................................................................................... 9 1.4.8. 追加预授权 ....................................................................................................... 9 1.4.9. 退货 ................................................................................................................... 9 1.4.10. 指定账户圈存 ................................................................................................. 9 1.4.11. 非指定账户圈存 ............................................................................................. 9 1.4.12. 现金充值 ......................................................................................................... 9 1.4.13. 圈提 ................................................................................................................. 9 1.4.14. 脱机消费 ....................................................................................................... 10 1.4.15. IC卡参数下载 .............................................................................................. 10 1.4.16. 交易明细查询 ............................................................................................... 10 1.4.17. 冲正交易 ....................................................................................................... 10 1.5. 资金结算 ......................................................................................................... 10 1.5.1. 银行清算 ......................................................................................................... 10 2 1.5.2. 商户结算 ......................................................................................................... 10 1.5 . 对账处理 ........................................................................................................... 10 1.6.1. 发送对账请求 ................................................................................................. 10 1.6.2. 下载对账文件 ................................................................................................. 10 1.6 . 差错处理 ........................................................................................................... 11 1.7.1. 拒付管理 ......................................................................................................... 11 1.7.2. 单笔退款 ......................................................................................................... 11 1.7.3. 批量退款 ......................................................................................................... 11 1.7.4. 差错交易查询 ................................................................................................. 11 1.7.5. 对账差错处理 ................................................................................................. 11 1.7 . 统计报表 ........................................................................................................... 11 1.8.1. 业务类报表 ..................................................................................................... 11 1.8.2. 运行管理类报表 ............................................................................................. 11 第二章 风险监控测试 ..................................................................................................... 12 2.1 . 联机交易管理 ................................................................................................... 12 2.1.1. 联机交易ARQC/ARPC验证 ............................................................................. 12 2.1.2. 联机报文MAC验证 ......................................................................................... 12 2.1.3. 黑名单管理 ..................................................................................................... 12 2.1.4. 单笔消费限额 ................................................................................................. 12 2.1.5. 大额消费商户交易监控 ................................................................................. 12 2.1.6. 异常交易监控 ................................................................................................. 12 2.1.7. 无磁无密交易 ................................................................................................. 13 2.2 . 收单风险管理 ................................................................................................... 13 2.2.1. 商户资质审核 ................................................................................................. 13 2.2.2. 商户签约 ......................................................................................................... 13 2.2.3. 特约商户日常风险管理 ................................................................................. 13 2.2.4. 合作的第三方机构的风险管理 ..................................................................... 13 2.2.5. 特约商户强制冻结、解冻、解约 ................................................................. 13 2.2.6. 可疑商户信息共享 ......................................................................................... 13 2.2.7. 风险事件报送 ................................................................................................. 13 2.3. 终端风险管理 ................................................................................................. 14 2.3.1. POS机申请、参数设臵、程序灌装、使用、更换、维护、撤消、回收的管 理 14 2.3.2. POS机密钥和参数的安全管理 ...................................................................... 14 2.3.3. 控制移动POS机的安装 ................................................................................. 14 2.3.4. 终端安全检测报告和终端入网检测报告 ..................................................... 14 2.3.5. 密码键盘安全检测报告 ................................................................................. 14 2.3.6. 终端监控 ......................................................................................................... 14 2.4. 风控规则 ................................................................................................................. 15 2.4.1. 风控规则管理 ................................................................................................. 15 2.4.2. 风险识别 ......................................................................................................... 15 2.4.3. 风险事件管理 ................................................................................................. 15 2.4.4. 风险报表 ......................................................................................................... 15 第三章 性能测试 ............................................................................................................. 15 3 3.1. 测试要求 ............................................................................. 错误～未定义书签。15 3.2. 判定原则 ................................................................................................................. 15 第四章 安全性测试 ........................................................................................................... 16 4.1. 网络安全性测试 ..................................................................................................... 16 4.1.1. 结构安全 ......................................................................................................... 16 4.1.2. 网络访问控制 ................................................................................................. 17 4.1.3. 网络安全审计 ................................................................................................. 18 4.1.4. 边界完整性检查 ............................................................................................. 19 4.1.5. 网络入侵防范 ................................................................................................. 19 4.1.6. 恶意代码防范 ................................................................................................. 20 4.1.7. 网络设备防护 ................................................................................................. 20 4.1.8. 网络安全管理 ................................................................................................. 21 4.1.9. 网络相关人员安全管理 ................................................................................. 22 4.2. 主机安全性测试 ..................................................................................................... 22 4.2.1. 身份鉴别 ......................................................................................................... 22 4.2.2. 访问控制 ......................................................................................................... 23 4.2.3. 安全审计 ......................................................................................................... 24 4.2.4. 系统保护 ......................................................................................................... 24 4.2.5. 剩余信息保护 ................................................................................................. 25 4.2.6. 入侵防范 ......................................................................................................... 25 4.2.7. 恶意代码防范 ................................................................................................. 26 4.2.8. 资源控制 ......................................................................................................... 26 4.2.9. 主机安全管理 ................................................................................................. 27 4.2.10. 主机相关人员安全管理 ............................................................................... 27 4.3. 应用安全性测试 ..................................................................................................... 28 4.3.1. 身份鉴别 ......................................................................................................... 28 4.3.2. WEB页面安全 .................................................................................................. 29 4.3.3. 访问控制 ......................................................................................................... 30 4.3.4. 安全审计 ......................................................................................................... 31 4.3.5. 剩余信息保护 ................................................................................................. 32 4.3.6. 资源控制 ......................................................................................................... 32 4.3.7. 应用容错 ......................................................................................................... 33 4.3.8. 报文完整性 ..................................................................................................... 34 4.3.9. 报文保密性 ..................................................................................................... 34 4.3.10. 抗抵赖 ........................................................................................................... 34 4.3.11. 编码安全 ....................................................................................................... 34 4.3.12. 电子认证应用 ............................................................................................... 35 4.3.13. 脱机数据认证 ............................................................................................... 36 4.3.14. 安全报文 ....................................................................................................... 36 4.3.15. 终端安全 ....................................................................................................... 36 4.3.16. 安全机制 ....................................................................................................... 37 4.3.17. 认可的算法 ................................................................................................... 37 4.4. 数据安全性测试 ..................................................................................................... 37 4.4.1. 数据保护 ......................................................................................................... 37 4 4.4.2. 数据完整性 ..................................................................................................... 38 4.4.3. 交易数据以及客户数据的安全性 ................................................................. 39 4.5. 运维安全性测试 ..................................................................................................... 40 4.5.1. 环境管理 ......................................................................................................... 41 4.5.2. 介质管理 ......................................................................................................... 41 4.5.3. 设备管理 ......................................................................................................... 42 4.5.4. 人员管理 ......................................................................................................... 43 4.5.5. 监控管理 ......................................................................................................... 45 4.5.6. 变更管理 ......................................................................................................... 46 4.5.7. 安全事件处臵 ................................................................................................. 46 4.5.8. 应急预案管理 ................................................................................................. 47 4.6. 业务连续性测试 ..................................................................................................... 48 4.6.1. 业务连续性需求分析 ..................................................................................... 48 4.6.2. 业务连续性技术环境 ..................................................................................... 48 4.6.3. 业务连续性管理 ............................................................................................. 49 4.6.4. 备份和恢复管理 ............................................................................................. 49 4.6.5. 日常维护 ......................................................................................................... 49 第五章 文档审核 ............................................................................................................. 50 5.1. 用户文档 ................................................................................................................. 50 5.1.1. 用户 ......................................................................................................... 50 5.1.2. 操作手册 ......................................................................................................... 50 5.2. 开发文档 ................................................................................................................. 51 5.2.1. 需求 ..................................................................................................... 51 5.2.2. 需求分析文档 ................................................................................................. 51 5.2.3. 总体设计方案 ................................................................................................. 51 5.2.4. 数据库设计文档 ............................................................................................. 51 5.2.5. 概要设计文档 ................................................................................................. 52 5.2.6. 详细设计文档 ................................................................................................. 52 5.2.7. 工程实施方案 ................................................................................................. 52 5.3. 管理文档 ................................................................................................................. 53 5.3.1. 测试报告 ......................................................................................................... 53 5.3.2. 系统运维手册 ................................................................................................. 53 5.3.3. 系统应急手册 ................................................................................................. 53 5.3.4. 运维#管理制度# ................................................................................................. 53 5.3.5. 安全管理制度 ................................................................................................. 53 5.3.6. 安全审计报告 ................................................................................................. 53 5 第一章 功能测试 验证支付服务业务系统的业务功能是否正确实现～测试系统业务处理的准确性～基本要求如下: 1.1 . 特约商户管理 1.1.1. 商户提交资质材料 应对特约商户提交的资质材料进行审核。 1.1.2. 黑名单检查及管理 交易过程中要经过黑名单检查～并支持日常的黑名单管理。 1.1.3. 商户信息查询 应支持商户信息的查询。 1.1.4. 商户操作员管理 应对商户控制平台或POS机等的操作员进行管理。 1.1.5. 商户受理业务管理 应具有商户受理业务的增加、修改和取消功能。 1.1.6. 商户信息维护 应具有商户信息的增加、修改和删除功能。 6 1.1.7. 商户冻结、解冻 具有暂停商户交易和重新恢复商户交易的功能。 1.1.8. 商户退出 能够永久停止商户交易的功能。 1.2 . 终端机具信息管理 1.2.1. 机具申领控制 机具的申领要有控制策略～用于控制申领过程。 1.2.2. 机具信息维护 应能够对机具的编号、对应商户名称、商户编号进行维护。 1.2.3. 机具信息查询 能够对机具信息,例如:编号、对应商户名称、商户编号,进行查询。 1.3 . 密钥管理 1.3.1. 密钥生成 具有密钥生成流程及控制。 1.3.2. 密钥分发 具有密钥分发流程及控制。 7 1.3.3. 密钥使用 具有密钥使用控制流程及控制。 1.3.4. 密钥存储 具有密钥存储规定及控制。 1.3.5. 密钥更新 具有密钥更新流程及控制。 1.3.6. 密钥销毁 具有密钥销毁流程及控制。 1.4 . 交易处理 1.4.1. 消费 应实现POS等消费功能。 1.4.2. 消费撤销 应实现消费撤销功能。 1.4.3. 余额查询 应实现不同渠道的查询功能。 1.4.4. 预授权 应实现预授权功能。 8 1.4.5. 预授权撤销 应实现预授权撤销功能。 1.4.6. 预授权完成 应实现预授权完成功能。 1.4.7. 预授权完成撤销 应实现预授权完成撤销功能。 1.4.8. 追加预授权 应实现追加预授权功能。 1.4.9. 退货 应实现退货功能。 1.4.10. 指定账户圈存 应实现指定账户圈存功能。 1.4.11. 非指定账户圈存 应实现非指定账户圈存功能。 1.4.12. 现金充值 能够通过柜台或自主终端等方式使用现金进行充值交易。 1.4.13. 圈提 应实现圈提交易功能。 9 1.4.14. 脱机消费 应实现IC卡脱机消费功能。 1.4.15. IC卡参数下载 应实现IC卡参数下载功能。 1.4.16. 交易明细查询 应实现在受理平台和终端上的历史交易明细查询的功能。 1.4.17. 冲正交易 具有在受理平台和终端上的冲正交易的功能。. 1.5. 资金结算银行清算 应能够根据银行的要求正确完成与银行之间的清算。 1.5.2. 商户结算 应具有商户资金结算功能。 1.5 . 对账处理 1.6.1. 发送对账请求 允许商户发送对账请求。 1.6.2. 下载对账文件 应具有商户下载对账文件。 10 1.6 . 差错处理 1.7.1. 拒付管理 应具有对于拒付交易的查询、删除等功能。 1.7.2. 单笔退款 应具有针对单笔交易的退款功能。 1.7.3. 批量退款 应具有差错处理过程中针对批量交易的退款功能。 1.7.4. 差错交易查询 应具有对各种差错交易的查询功能。 1.7.5. 对账差错处理 应具有对账文件出错～对账结果不平等的处理功能。 1.7 . 统计报表 1.8.1. 业务类报表 应具有与收单业务有关的各种业务类型以及相关的业务规模等统计功能。 1.8.2. 运行管理类报表 应具有与收单业务有关的终端部署、人员管理类的统计报表功能。 11 第二章 风险监控测试 验证支付服务业务系统的账户及交易风险～基本要求如下: 2.1 . 联机交易管理 2.1.1. 联机交易ARQC/ARPC验证 能够进行联机交易的ARQC/ARPC验证。 2.1.2. 联机报文MAC验证 联机交易的报文的MAC验证失败后要有记录。 2.1.3. 黑名单管理 使用黑名单内的卡片交易要有记录并触发风控规则。 2.1.4. 单笔消费限额 超过单笔消费限额的交易有记录并触发风控规则。 2.1.5. 大额消费商户交易监控 对于大额消费商户的交易要有记录并触发风控规则。 2.1.6. 异常交易监控 应实现异常交易监控规则的设臵～以实现对异常交易的识别和监控～并提供对违反规则的交易进行查询、预警、处理、风险控制等服务。 12 2.1.7. 无磁无密交易 对于无磁无密的交易～在风险监控系统上要有记录。 2.2 . 收单风险管理 2.2.1. 商户资质审核 收单机构要对商户资质进行审核。 2.2.2. 商户签约 收单机构在与商户合作时～要签订协议。 2.2.3. 特约商户日常风险管理 要向商户发放风险提示信息～给商户风险培训。 2.2.4. 合作的第三方机构的风险管理 要对合作的第三方机构进行风险提示和培训。 2.2.5. 特约商户强制冻结、解冻、解约 遇到问题后～能够强制冻结、解冻商户～甚至和商户解约。 2.2.6. 可疑商户信息共享 可疑商户的信息要在收单机构间共享。 2.2.7. 风险事件报送 当出现风险事件时要向上级部门或者主管部门报送。. 13 2.3. 终端风险管理POS机申请、参数设臵、程序灌装、使用、 更换、维护、撤消、回收的管理 POS机的管理要有明确的流程。 2.3.2. POS机密钥和参数的安全管理 对POS机密钥和参数有严格的管理要求。POS终端密钥应严格按照“一机一密”安全进行管理～ POS终端密钥应符合双倍长密钥算法规范。 2.3.3. 控制移动POS机的安装 移动POS机的安装要严格限制～详细登记。 2.3.4. 终端安全检测报告和终端入网检测报告 使用的终端要有安全检测报告～报告内容要能反映终端的安全状况,要有终端入网检测报告～报告内容要能明确POS签购单打印格式和要素。 2.3.5. 密码键盘安全检测报告 使用的密码键盘要有安全检测报告～报告内容要能反映密码键盘的安全状况。 2.3.6. 终端监控 应建立对受理终端的日常监控巡查机制～重点检查终端是否被非法改装～防止不法份子窃取账户信息～并保留巡查记录。 14 2.4. 风控规则 2.4.1. 风控规则管理 应确保在相关风险管理制度中是否完整、明确的定义各项风控规则的变更、审核和确认制度。 2.4.2. 风险识别 应确保在相关风险管理制度中是否完整、明确的定义各种风险类别。 2.4.3. 风险事件管理 应确保在相关风险管理制度中是否完整、明确的定义各项风险事件处理规则～并保留事件的记录。 2.4.4. 风险报表 应提供一段时间内的风险事件报表～可以根据自身的情况将“一段时间”细化为“月季年。 第三章 性能测试 3.1. 系统要求 支付服务业务系统性能基本要求如下: CPU平均利 策略 并发数 交易成功率 用率 稳定并发 比对性能需<=80% >=90% 15 求表高峰时 段并发数 第四章 安全性测试 4.1. 网络安全性测试 对支付服务业务系统网络环境进行检测～考察经网络系统传输的数据安全性以及网络系统所连接的设备安全性～评估系统网络环境是否能够防止信息资产的损坏、丢失～敏感信息的泄漏以及业务中断～是否能够保障业务的持续运营和保护信息资产的安全～基本要求如下: 4.1.1. 结构安全 4.1.1.1. 网络冗余和备份 应保证主要网络设备的业务处理能力具备冗余空间～满足业务高峰期需要。 应保证网络各个部分的带宽满足业务高峰期需要。 4.1.1.2. 网络安全路由器 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径。 4.1.1.3. 网络安全防火墙 应避免将重要网段部署在网络边界处且直接连接外部信息 16 系统～重要网段与其他网段之间采取可靠的技术隔离手段。 4.1.1.4. 网络拓扑结构 应绘制与当前运行情况相符的网络拓扑结构图。 4.1.1.5. IP子网划分 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素～划分不同的子网或网段～并按照方便管理和控制的原则为各子网、网段分配地址段。 4.1.1.6. QoS保证 应按照对业务服务的重要次序来指定带宽分配优先级别～保证在网络发生拥堵的时候优先保护重要主机。 4.1.2. 网络访问控制 4.1.2.1. 网络域安全隔离和限制 应在网络边界部署访问控制设备～启用访问控制功能。 4.1.2.2. 地址转换和绑定 重要网段应采取技术手段防止地址欺骗。 4.1.2.3. 内容过滤 应对进出网络的信息内容进行过滤～实现对应用层HTTP、 TELNET、SMTP、POP等协议命令级的控制。 FTP、 4.1.2.4. 访问控制 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力～控制粒度为端口级。 应按用户和系统之间的访问控制规则～决定允许或拒绝用户 17 对受控系统进行资源访问～控制粒度为单个用户。 4.1.2.5. 流量控制 应限制网络最大流量数及网络连接数。 4.1.2.6. 会话控制 应在会话处于非活跃一定时间或会话结束后终止网络连接。 4.1.2.7. 远程拨号访问控制和记录 应限制管理用户通过远程拨号对服务器进行远程管理。 4.1.3. 网络安全审计 4.1.3.1. 日志信息 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。 审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 4.1.3.2. 网络系统故障分析 应对网络系统故障进行分析～查找原因并形成故障知识库。 4.1.3.3. 网络对象操作审计 应能够根据记录数据进行分析～并生成审计报表。 4.1.3.4. 日志权限和保护 应对审计记录进行保护～避免受到未预期的删除、修改或覆盖等。 4.1.3.5. 审计工具 应具备日志审计工具～对日志进行记录、分析和报告。 18 4.1.4. 边界完整性检查 4.1.4.1. 内外网非法连接阻断和定位 应能够对非授权设备私自连接到内部网络的行为进行检查～准确定出位臵～并对其进行有效阻断。 应能够对内部网络用户私自连接到外部网络的行为进行检查～准确定出位臵～并对其进行有效阻断。 4.1.5. 网络入侵防范 4.1.5.1. 网络ARP欺骗攻击 应能够有效的防范网络ARP欺骗攻击。 4.1.5.2. 信息窃取 应采用防范信息窃取的措施。 4.1.5.3. DOS/DDOS攻击 应具有防DOS/DDOS攻击设备或技术手段。 4.1.5.4. 网络入侵防范机制 应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。 当检测到攻击行为时～记录攻击源IP、攻击类型、攻击目的、攻击时间～在发生严重入侵事件时应提供报警。 19 4.1.6. 恶意代码防范 4.1.6.1. 恶意代码防范措施 应在网络边界处对恶意代码进行检测和清除。 4.1.6.2. 定时更新 应维护恶意代码库的升级～检测系统的更新。 4.1.7. 网络设备防护 4.1.7.1. 设备登录设臵 应对登录网络设备的用户进行身份鉴别。 网络设备用户的标识应唯一。 主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别。 4.1.7.2. 设备登录口令安全性 身份鉴别信息应具有不易被冒用的特点～口令应有复杂度要求并定期更换。 4.1.7.3. 登录地址限制 应对网络设备的管理员登录地址进行限制。 4.1.7.4. 远程管理安全 当对网络设备进行远程管理时～应采取必要措施防止鉴别信息在网络传输过程中被窃听。 4.1.7.5. 设备用户设臵策略 应具有登录失败处理功能～可采取结束会话、限制非法登录 20 次数和当网络登录连接超时自动退出等措施。 4.1.7.6. 权限分离 应实现设备特权用户的权限分离。 4.1.7.7. 最小化服务 应实现设备的最小服务配臵～并对配臵文件进行定期离线备份。 4.1.8. 网络安全管理 4.1.8.1. 网络设备运维手册 应建立网络安全管理制度～对网络安全配臵、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面做出规定。 应保证所有与外部系统的连接均得到授权和批准。 应定期检查违反规定拨号上网或其他违反网络安全策略的行为。 4.1.8.2. 定期补丁安装 应根据厂家提供的软件升级版本对网络设备进行更新～并在更新前对现有的重要文件进行备份。 4.1.8.3. 漏洞扫描 应定期对网络系统进行漏洞扫描～对发现的网络系统安全漏洞进行及时的修补。 4.1.8.4. 网络数据传输加密 当对服务器进行远程管理时～应采取必要措施～防止鉴别信息在网络传输过程中被窃听。 21 4.1.9. 网络相关人员安全管理 4.1.9.1. 网络安全管理人员配备 应指定专人对网络进行管理～负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作。 4.1.9.2. 网络安全管理人员责任划分规则 应制定文件明确网络安全管理岗位的职责、分工和技能要求。 4.1.9.3. 网络安全关键岗位人员管理 应从内部人员中选拔从事关键岗位的人员～并签署岗位安全协议。 应对关键岗位的人员进行全面、严格的安全审查和技能考核。 4.2. 主机安全性测试 对支付服务业务系统主机安全防护进行检测～考察主机的安全控制能力～基本要求如下: 4.2.1. 身份鉴别 4.2.1.1. 系统与应用管理员用户设臵 应对登录操作系统和数据库系统的用户进行身份标识和鉴别。 应为操作系统和数据库系统的不同用户分配不同的用户名～确保用户名具有唯一性。 22 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。 4.2.1.2. 系统与应用管理员口令安全性 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点～口令应有复杂度要求并定期更换。 4.2.1.3. 登录策略 应启用登录失败处理功能～可采取结束会话、限制非法登录次数和自动退出等措施。 4.2.2. 访问控制 4.2.2.1. 访问控制范围 应启用访问控制功能～依据安全策略控制用户对资源的访问。 应根据管理用户的角色分配权限～实现管理用户的权限分离～仅授予管理用户所需的最小权限。 应实现操作系统和数据库系统特权用户的权限分离。 4.2.2.2. 主机信任关系 应避免不必要的主机信任关系。 4.2.2.3. 默认过期用户 应及时删除多余的、过期的用户～避免共享用户的存在。 应严格限制默认用户的访问权限～重命名系统默认用户～修改这些用户的默认口令。 23 4.2.3. 安全审计 4.2.3.1. 日志信息 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户。 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。 4.2.3.2. 日志权限和保护 应保护审计记录～避免受到未预期的删除、修改或覆盖等。 应保护审计进程～避免受到未预期的中断。 4.2.3.3. 系统信息分析 应能够根据记录数据进行分析～并生成审计报表。 4.2.3.4. 用户操作审计 应对所有用户操作进行审计记录。 4.2.4. 系统保护 4.2.4.1. 系统备份 应具有系统备份或系统重要文件备份。 4.2.4.2. 故障恢复策略 应具备各种主机故障恢复策略。 24 4.2.4.3. 磁盘空间安全 应对主机磁盘空间进行合理规划～确保磁盘空间使用安全。 4.2.4.4. 主机安全加固 应对主机进行安全加固。 4.2.5. 剩余信息保护 4.2.5.1. 过期信息、文档处理 应保证操作系统和数据库系统用户的鉴别信息所在的存储空间～被释放或再分配给其他用户前得到完全清除～无论这些信息是存放在硬盘上还是在内存中。 应确保系统内的文件、目录和数据库记录等资源所在的存储空间～被释放或重新分配给其他用户前得到完全清除。 4.2.6. 入侵防范 4.2.6.1. 入侵防范记录 应能够检测到对重要服务器进行入侵的行为～能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间～并在发生严重入侵事件时提供报警。 应能够对重要程序的完整性进行检测～并在检测到完整性受到破坏后具有恢复的措施。 4.2.6.2. 关闭服务和端口 应关闭系统不必要的服务和端口。 25 4.2.6.3. 最小安装原则 操作系统应遵循最小安装的原则～仅安装需要的组件和应用程序～并通过设臵升级服务器等方式保持系统补丁及时得到更新。 4.2.7. 恶意代码防范 4.2.7.1. 防范软件安装部署 应至少在生产系统中的服务器安装防恶意代码软件。 4.2.7.2. 病毒库定时更新 应及时更新防恶意代码软件版本和恶意代码库。 4.2.7.3. 防范软件统一管理 应支持防范软件的统一管理。 4.2.8. 资源控制 4.2.8.1. 连接控制 应通过设定终端接入方式、网络地址范围等条件限制终端登录。 应根据安全策略设臵登录终端的操作超时锁定。 4.2.8.2. 资源监控和预警 应对重要服务器进行监视～包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况。 应限制单个用户对系统资源的最大或最小使用限度。 应能够对系统的服务水平降低到预先规定的最小值进行检 26 测和报警。 4.2.9. 主机安全管理 4.2.9.1. 主机运维手册 应建立系统安全管理制度～对系统安全策略、安全配臵、日志管理和日常操作流程等方面做出具体规定。 4.2.9.2. 漏洞扫描 应定期进行漏洞扫描～对发现的系统安全漏洞及时进行修补。 4.2.9.3. 系统补丁 应安装系统的最新补丁程序～在安装系统补丁前～首先在测试环境中测试通过～并对重要文件进行备份后～方可实施系统补丁程序的安装。 4.2.9.4. 操作日志管理 应依据操作手册对系统进行维护～详细记录操作日志～包括重要的日常操作、运行维护记录、参数的设臵和修改等内容～严禁进行未经授权的操作。 应定期对运行日志和审计数据进行分析～以便及时发现异常行为。 4.2.10. 主机相关人员安全管理 4.2.10.1. 主机安全管理人员配备 应指定专人对系统进行管理～划分系统管理员角色～明确各 27 个角色的权限、责任和风险～权限设定应当遵循最小授权原则。 4.2.10.2. 主机安全管理人员责任划分规则 应制定文件明确主机管理岗位的职责、分工和技能要求。 4.2.10.3. 主机安全关键岗位人员管理 应根据业务需求和系统安全分析确定系统的访问控制策略。 4.3. 应用安全性测试 对支付服务业务系统应用安全性检测～主要检测应用系统对非法访问及操作的控制能力～基本要求如下: 4.3.1. 身份鉴别 4.3.1.1. 系统与普通用户设臵 应提供专用的登录控制模板对登录用户进行身份标识和鉴别～提供系统管理员和普通用户的设臵功能。 4.3.1.2. 系统与普通用户口令安全性 系统与普通用户口令应具有一定的复杂度。 4.3.1.3. 登录访问安全策略 应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别。 4.3.1.4. 非法访问警示和记录 应提供登录失败处理功能～可采取结束会话、限制非法登录次数和自动退出等措施。 28 4.3.1.5. 客户端鉴别信息安全 客户端鉴别信息应不被窃取和冒用。 4.3.1.6. 口令有效期限制 应限制口令的有效期限。 4.3.1.7. 限制认证会话时间 应对客户端认证会话时间进行限制。 4.3.1.8. 身份标识唯一性 应提供用户身份标识唯一性和鉴别信息复杂度检查功能～保证应用系统中不存在重复用户身份标识～身份鉴别信息不易被冒用。 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能～并根据安全策略配臵相关参数。 4.3.1.9. 及时清除鉴别信息 会话结束后应及时清除客户端鉴别信息。 4.3.2. WEB页面安全 4.3.2.1. 登录防穷举 应提供登录防穷举的措施～如图片验证码等。 4.3.2.2. 安全控件 登录应使用安全控件。 4.3.2.3. 使用数字证书 应使用数字证书。 29 4.3.2.4. 独立的支付密码 应提供独立的支付密码。 4.3.2.5. 网站页面SQL注入防范 网站页面应采取防范SQL注入风险的措施。 4.3.2.6. 网站页面跨站脚本攻击防范 网站页面应采取防范跨站脚本攻击风险的措施。 4.3.2.7. 网站页面源代码暴露防范 网站页面应采取防范源代码暴露的措施。 4.3.2.8. 网站页面黑客挂马防范 应采取防范网站页面黑客挂马的机制和措施。 4.3.2.9. 网站页面防篡改措施 应采取网站页面防篡改措施。 4.3.2.10. 网站页面防钓鱼 网站页面应提供防钓鱼网站的防伪信息验证。 4.3.3. 访问控制 4.3.3.1. 访问权限设臵 应提供访问控制功能～依据安全策略控制用户对文件、数据库表等客体的访问。 应由授权主体配臵访问控制策略～并严格限制默认用户的访问权限。 应授予不同用户为完成各自承担任务所需的最小权限～并在它们之间形成互相制约的关系。 30 4.3.3.2. 自主访问控制范围 访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作。 4.3.3.3. 业务操作日志 应具有所有业务操作日志。 4.3.3.4. 关键数据存放 应严格控制用户对关键数据的操作。关键数据如:如敏感数据、重要业务数据、系统管理数据等。 4.3.3.5. 异常中断防护 用户访问异常中断后～应具有防护手段～保证数据不丢失。 4.3.3.6. 数据库安全配臵 应具有数据库安全配臵手册～并对数据库进行安全配臵。 4.3.4. 安全审计 4.3.4.1. 日志信息 审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等。 4.3.4.2. 日志权限和保护 应保证无法单独中断审计进程～无法删除、修改或覆盖审计记录。 4.3.4.3. 系统信息查询与分析 应提供对审计记录数据进行统计、查询、分析及生成审计报 31 表的功能。 4.3.4.4. 对象操作审计 应提供覆盖到每个用户的安全审计功能～对应用系统重要安全事件进行审计。 4.3.4.5. 审计工具 应具备日志审计工具～对日志进行记录、分析和报告。 4.3.4.6. 事件报警 应具有交易事件报警功能。 4.3.5. 剩余信息保护 4.3.5.1. 过期信息、文档处理 应对无用的过期信息、文档进行完整删除。 4.3.6. 资源控制 4.3.6.1. 连接控制 应能够根据用户需求～对系统的最大并发会话连接数进行限制。 4.3.6.2. 会话控制 当应用系统的通信双方中的一方在一段时间内未作任何响应～另一方应能够自动结束会话。 应能够对单个用户的多重并发会话进行限制。 应能够对一个时间段内可能的并发会话连接数进行限制。 32 4.3.6.3. 进程资源分配 应能够对一个访问用户或一个请求进程占用的资源分配最大限额和最小限额。 应提供服务优先级设定功能～并在安装后根据安全策略设定访问用户或请求进程的优先级～根据优先级分配系统资源。 4.3.6.4. 资源监测预警 应能够对系统服务水平降低到预先规定的最小值进行检查和报警。 4.3.7. 应用容错 4.3.7.1. 数据有效性校验 应提供数据有效性检验功能～保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求。 4.3.7.2. 容错机制 应提供自动保护功能～当故障发生时自动保护当前所有状态～保证系统能够进行恢复。 4.3.7.3. 故障机制 发生故障后～系统应能够及时恢复。 4.3.7.4. 回退机制 应提供回退功能～当故障发生后～能够及时回退到故障发生前的状态。 33 4.3.8. 报文完整性 4.3.8.1. 通信报文有效性 应采用密码技术保证通信过程中数据的完整性。 4.3.9. 报文保密性 4.3.9.1. 报文或会话加密 在通讯时采用安全通道或对报文中敏感信息进行加密。 4.3.10. 抗抵赖 4.3.10.1. 原发和接收证据 应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能。 应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。 4.3.11. 编码安全 4.3.11.1. 源代码审查 应对源代码进行安全性审查～提供源代码审查报告。 4.3.11.2. 插件安全性审查 应对插件进行安全性审查～提供插件审查报告。 4.3.11.3. 编码规范约束 应按照编码规范进行编码～具有编码规范约束制度。 34 4.3.11.4. 源代码管理 应具有源代码管理制度～具有源代码管理记录。 4.3.11.5. 版本管理 应具有代码版本管理制度。 4.3.12. 电子认证应用 4.3.12.1. 第三方电子认证机构证书 在对外业务,非内部业务,处理过程中～应使用经过认证的第三方电子认证证书。在内部业务,仅涉及本机构内人员或设备的业务,处理过程中～可以使用自建证书,非第三方电子认证证书,。在条件允许的情况下～建议对所有业务使用经过认证的第三方电子认证证书。 4.3.12.2. 关键业务电子认证技术应用 关键业务应使用电子认证技术。在条件允许的情况下～建议在所有业务均使用经过认证的第三方电子认证技术。 4.3.12.3. 电子签名有效性 应使用有效的电子签名。在对外业务,非内部业务,处理过程中～应使用经过第三方认证的电子签名体系。在内部业务,仅涉及本机构内人员或设备的业务,处理过程中～可以使用自建的电子签名体系,非第三方认证的电子签名体系,。在条件允许的情况下～建议对所有业务使用经过认证的第三方电子签名体系。 4.3.12.4. 服务器证书私钥保护 应对所持有的服务器证书私钥进行有效保护。 35 4.3.13. 脱机数据认证 4.3.13.1. 密钥和证书 应参考PBOC2.0要求～产生符合业务要求的密钥和证书。 4.3.13.2. 静态数据认证 脱机交易是否采用静态数据认证方式。 4.3.13.3. 动态数据认证 脱机交易是否采用动态数据认证方式。 4.3.14. 安全报文 4.3.14.1. 报文格式 应参考PBOC2.0报文格式。 4.3.14.2. 报文完整性验证 应对报文完整性进行验证。 4.3.14.3. 报文私密性 应保证报文私密性。 4.3.14.4. 密钥管理 应对密钥进行安全管理。 4.3.15. 终端安全 4.3.15.1. 终端数据安全性要求 终端数据安全性应符合PBOC2.0要求。 4.3.15.2. 终端设备安全性要求 终端设备安全性应符合PBOC2.0要求。 36 4.3.15.3. 终端密钥管理要求 终端密钥导入、存储、更新和回收应符合PBOC2.0要求。 4.3.16. 安全机制 4.3.16.1. 对称加密机制 对称加解密应符合PBOC2.0要求。 4.3.16.2. 非对称加密机制 非对称加解密应符合PBOC2.0要求。 4.3.17. 认可的算法 4.3.17.1. 对称加密算法 应使用认可的对称加密算法～参考PBOC2.0要求。 4.3.17.2. 非对称加密算法 应使用认可的非对称加密算法～参考PBOC2.0要求。 4.3.17.3. 哈希算法 应使用认可的哈希算法～参考PBOC2.0要求。 4.4. 数据安全性测试 对支付服务业务系统数据安全防护进行检测～主要考察数据的传输、存储、备份与恢复安全性～基本要求如下: 4.4.1. 数据保护 4.4.1.1. 客户身份信息保护 应当按规定妥善保管客户身份基本信息～支付机构对客户身 37 份信息的保管期限自业务关系结束当年起至少保存5年。 4.4.1.2. 支付业务信息保护 应当按规定妥善保管支付业务信息～支付机构对支付业务信息的保管期限自业务关系结束当年起至少保存5年。 4.4.1.3. 会计档案信息保护 应当按规定妥善保管会计档案～支付机构对会计档案的保管期限适用《会计档案管理办法》,财会字„1998?32号文印发,相关规定。 4.4.2. 数据完整性 4.4.2.1. 重要数据更改机制 应制定重要数据更改流程和管理制度。 4.4.2.2. 数据备份记录 应具备数据备份记录。 4.4.2.3. 保障传输过程中的数据完整性 应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏～并在检测到完整性错误时采取必要的恢复措施。 4.4.2.4. 备份数据定期恢复 定期随机抽取备份数据进行解压、还原～检查其内容有效性。 38 4.4.3. 交易数据以及客户数据的安全性 4.4.3.1. 数据物理存储安全 应具备高可用性的数据物理存储环境。 4.4.3.2. 客户身份认证信息存储安全 不允许保存支付服务业务系统非必须的客户身份认证信息,如银行卡交易密码、指纹、银行卡磁道信息、CVN、CVN2等,。 4.4.3.3. 终端信息采集设备硬加密措施或其它防伪手段 如果使用终端信息采集设备则应采取硬加密措施～否则要使用其它手段达到防伪目的。 4.4.3.4. 同一安全级别和可信赖的系统之间信息传输 应保证只能在同一安全保护级别、可信赖的系统之间传输。 4.4.3.5. 加密传输 应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性。 4.4.3.6. 加密存储 应采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据存储保密性。 4.4.3.7. 数据访问控制 应具备重要数据的访问控制措施。 4.4.3.8. 在线的存储备份 应具备实时在线的存储备份设施。 39 4.4.3.9. 数据备份机制 应根据数据的重要性和数据对系统运行的影响～制定数据的备份和恢复策略～应指明备份数据的备份方式,如增量备份或全备份等,、备份频度,如每日或每周等,、存储介质、保存期、放臵场所、文件命名规则、介质替换频率和数据传输方法。 4.4.3.10. 本地备份 应具有同机房数据备份设施。 4.4.3.11. 异地备份 应提供异地数据备份功能～利用通信网络将关键数据定时批量传送至备用场地。 4.4.3.12. 备份数据的恢复 应具有备份数据恢复操作手册～并提供恢复功能。 4.4.3.13. 数据销毁制度和记录 应具有数据销毁制度和相关记录。 4.4.3.14. 关键链路冗余设计 应采用冗余技术设计网络拓扑结构～避免关键节点存在单点故障。 应提供主要网络设备、通信线路和数据处理系统的硬件冗余～保证系统的高可用性。 4.5. 运维安全性测试 对支付服务业务系统运维安全进行检测～主要考察运维安全管理制度及运维安全执行情况～基本要求如下: 40 4.5.1. 环境管理 4.5.1.1. 机房基本设施定期维护 应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理。 4.5.1.2. 机房的出入管理制度化和文档化 应指定部门负责机房安全～并配备机房安全管理人员～对机房的出入、服务器的开机或关机等工作进行管理。 4.5.1.3. 办公环境的保密性措施 应加强对办公环境的保密性管理～规范办公环境人员行为～包括工作人员调离办公室应立即交还该办公室钥匙、不在办公区接待来访人员、工作人员离开座位应确保终端计算机退出登录状态和桌面上没有包含敏感信息的纸质文件等。 4.5.1.4. 机房安全管理制度 应建立机房安全管理制度～对有关机房物理访问～物品带进、带出机房和机房环境安全等方面的管理做出规定。 4.5.1.5. 机房进出登记表 应具有机房进出登记表。 4.5.2. 介质管理 4.5.2.1. 介质的存放环境保护措施 应确保介质存放在安全的环境中～对各类介质进行控制和保护～并实行存储环境专人管理。 41 4.5.2.2. 介质的使用管理文档化 应建立介质安全管理制度～对介质的存放环境、使用、维护和销毁等方面做出规定。 4.5.2.3. 维修或销毁介质之前清除敏感数据 应对送出维修以及销毁等进行严格的管理～对送出维修或销毁的介质应首先清除介质中的敏感数据～对保密性较高的存储介质未经批准不得自行销毁。 4.5.2.4. 介质管理记录 应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制～对介质归档和查询等进行登记记录～并根据存档介质的目录清单定期盘点。 4.5.2.5. 介质的分类与标识 应对重要介质中的数据和软件采取加密存储～并根据所承载数据和软件的重要程度对介质进行分类和标识管理。 4.5.3. 设备管理 4.5.3.1. 设备管理的责任人员或部门 应对信息系统相关的各种设备,包括备份和冗余设备,、线路等指定专门的部门或人员进行管理。 4.5.3.2. 设施、设备定期维护 应对信息系统相关的各种设备,包括备份和冗余设备,、线路等指定专门的部门或人员定期进行维护管理。 42 4.5.3.3. 设备选型、采购、发放等的审批控制 应建立基于申报、审批和专人负责的设备安全管理制度～对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理。 4.5.3.4. 设备配臵化 应建立标准化的设备配臵文档。 4.5.3.5. 设备的操作规程 应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理～按操作规程实现主要设备,包括备份和冗余设备,的启动/停止、加电/断电等操作。 4.5.3.6. 设备的操作日志 应具有完整的设备操作日志。 4.5.3.7. 设备使用管理文档 应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理～建立相应的管理文档。 4.5.3.8. 设备标识 应对设备进行分类和标识。 4.5.4. 人员管理 4.5.4.1. 人员录用 应指定或授权专门的部门或人员负责人员录用。 应严格规范人员录用过程～对被录用人的身份、背景、专业资格和资质等进行审查～对其所具有的技术技能进行考核。 43 应签署保密协议。 应从内部人员中选拔从事关键岗位的人员～并签署岗位安全协议。 4.5.4.2. 人员转岗、离岗 应严格规范人员离岗过程～及时终止离岗员工的所有访问权限。 应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。 应办理严格的调离手续～关键岗位人员离岗须承诺调离后的保密义务后方可离开。 4.5.4.3. 人员考核 应定期对各个岗位的人员进行安全技能及安全认知的考核。 应对关键岗位的人员进行全面、严格的安全审查和技能考核。 应对考核结果进行记录并保存。 4.5.4.4. 安全意识教育和培训 应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训。 应对安全责任和惩戒措施进行书面规定并告知相关人员～对违反安全策略和规定的人员进行惩戒。 应对定期安全教育和培训进行书面规定～针对不同岗位制定不同的培训～对信息安全基础知识、岗位操作规程等进行培 44 训。 应对安全教育和培训的情况和结果进行记录并归档保存。 4.5.4.5. 外部人员访问管理 应确保在外部人员访问受控区域前先提出书面申请～批准后由专人全程陪同或监督～并登记备案。 对外部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定～并按照规定执行。 4.5.4.6. 职责分离 关键岗位人员应职责分离。 4.5.5. 监控管理 4.5.5.1. 主要网络设备的各项指标监控情况 应对通信线路、网络设备的运行状况、网络流量、用户行为等进行监测和报警～形成记录并妥善保存。 4.5.5.2. 主要服务器的各项指标监控情况 应对主机的运行状况、用户行为等进行监测和报警～形成记录并妥善保存。 4.5.5.3. 应用运行各项指标监控情况 应对应用软件的运行状况进行监测和报警～形成记录并妥善保存。 4.5.5.4. 异常处理机制 应组织相关人员定期对监测和报警记录进行分析、评审～发 45 现可疑行为～形成分析报告～并采取必要的应对措施。 4.5.6. 变更管理 4.5.6.1. 变更方案 应确认系统中要发生的变更～并制定变更方案。 4.5.6.2. 变更制度化管理 应建立变更管理制度～系统发生变更前～向主管领导申请～变更申请和变更方案须经过评审、审批后方可实施变更～并在实施后将变更情况向相关人员通告。 4.5.6.3. 重要系统变更的批准 应建立变更控制的申报和审批文件化程序～对变更影响进行分析并文档化～变更内容中要有变更失败后的回退方案等～记录变更实施过程～并妥善保存所有文档和记录。 4.5.6.4. 重要系统变更的通知 重要系统变更前～应通过相关单位、部门和人员。 4.5.7. 安全事件处臵 4.5.7.1. 安全事件报告和处臵 应制定安全事件报告和处臵管理制度～明确安全事件的类型～规定安全事件的现场处理、事件报告和后期恢复的管理职责。 应制定安全事件报告和响应处理程序～确定事件的报告流程～响应和处臵的范围、程度～以及处理方法等。 46 4.5.7.2. 安全事件的分类和分级 应根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响～对本系统计算机安全事件进行等级划分。 4.5.7.3. 安全事件记录和采取的措施 应在安全事件报告和响应处理过程中～分析和鉴定事件产生的原因～收集证据～记录处理过程～总结经验教训～制定防止再次发生的补救措施～过程形成的所有文件和记录均应妥善保存。 对造成系统中断和造成信息泄密的安全事件应采用不同的处理程序和报告程序。 4.5.8. 应急预案管理 4.5.8.1. 制定不同事件的应急预案 应在统一的应急预案框架下制定不同事件的应急预案～应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容。 4.5.8.2. 相关人员应急预案培训 应对系统相关的人员进行应急预案培训～应急预案的培训应至少每年举办一次。 4.5.8.3. 定期演练 应制定演练计划～根据不同的应急恢复内容～确定演练的周期。对应急预案演练中暴露出的问题进行总结并及时整改。 47 4.6. 业务连续性测试 对支付服务业务系统业务连续性进行检测～主要考察系统是 否具备业务连续性管理并达到设计目标～基本要求如下: 4.6.1. 业务连续性需求分析 4.6.1.1. 业务中断影响分析 应进行业务中断影响分析。 4.6.1.2. 灾难恢复时间目标和恢复点目标 应具备灾难恢复时间目标和恢复点目标。 4.6.2. 业务连续性技术环境 4.6.2.1. 备份机房 应具备备份机房。 4.6.2.2. 网络双链路 应具备双链路。 4.6.2.3. 网络设备和服务器备份 应具有同城应用级备份设施。 4.6.2.4. 高可靠的磁盘阵列 应使用高可靠的磁盘阵列。 4.6.2.5. 远程数据库备份 应具备远程备份数据库。 48 4.6.3. 业务连续性管理 4.6.3.1. 业务连续性管理制度 应具备业务连续性管理制度。 4.6.3.2. 应急响应流程 应具备应急响应流程。 4.6.3.3. 恢复预案 应具备不同场景恢复预案～同时具备应用级恢复预案。 4.6.3.4. 数据备份和恢复制度 应具备数据备份和恢复管理制度。 4.6.4. 备份和恢复管理 4.6.4.1. 备份数据范围和备份频率 应具备备份数据范围和备份频率清单。 4.6.4.2. 备份和恢复手册 应具备数据备份和恢复手册。 4.6.4.3. 备份记录和定期恢复测试记录 应具备备份记录和定期恢复测试记录。 4.6.4.4. 定期数据备份恢复性测试 应进行定期数据备份恢复性测试。 4.6.5. 日常维护 4.6.5.1. 每年业务连续性演练 应每年进行业务连续性演练。 49 4.6.5.2. 定期业务连续性培训 应定期进行业务连续性培训并具有培训记录。 第五章 文档审核 对支付服务业务系统的用户文档、开发文档、管理文档的完备性、一致性、正确性、规范性～以及是否符合行业标准～是否遵从更新控制和配臵管理的要求等方面进行检测～基本要求如下: 5.1. 用户文档 5.1.1. 用户手册 用户手册应描述手工操作该软件的用户应如何安装和使用一个软件系统。它还包括软件操作的一些特别的方面～诸如～关于特定岗位或任务的指令等。用户手册是为由用户操作的软件而开发的～具有要求联机用户输人或解释输出显示的用户界面。 5.1.2. 操作手册 操作手册应提供操作指定的设备所需的信息。本手册侧重设备自身～而不是运行在其上的特定的软件。操作手册主要针对一些新开发的设备、专用设备、无现成的商用操作手册或其他操作手册可用的其他的设备。 50 5.2. 开发文档 5.2.1. 需求说明书 需求说明书应从以下几方面描述一个建议的系统:说明它能满足用户什么需要～它与现有系统或过程的关系～以及它的使用方式等。需求说明书旨在需方、开发方、支持方和用户代理之间对所建议的系统的运行机理取得共识。取决于使用的目的～需求说明书可专注于向开发者表述用户的需求～或专注于向用户或其他感兴趣的对象表达开发者的思路。 5.2.2. 需求分析文档 需求分析文档应描述对计算机软件系统的需求～及确保每个需求得以满足所使用的方法。需求分析文档应涉及该系统外部接口的需求。 5.2.3. 总体设计方案 总体设计方案应描述系统或子系统的系统级或子系统级设计与体系结构设计。总体设计方案还要用《概要设计文档》和《数据库设计文档》加以补充。总体设计方案连同相关的概要和数据库设计文档是构成进一步系统实现的基础。 5.2.4. 数据库设计文档 数据库设计文档应描述数据库的设计。所谓数据库指存储在一个或多个计算机文件中的相关数据的集合～它们可由用户或计 51 算机程序通过数据库管理系统加以访问。数据库设计文档还描述了存取或操纵数据所使用的软件配臵项。数据库设计文档是实现数据库及相关软件配臵项的基础。它向需方提供了设计的可视性～为软件支持提供了所需要的信息。数据库设计文档是否单独成册或与详细设计文档合为一份资料视情况繁简而定。 5.2.5. 概要设计文档 概要设计文档应描述计算机软件系统的设计。它描述了系统级设计决策、系统体系结构设计, 概要设计和数据库设计是否单独成册抑或与详细设计合为一份资料视情况繁简而定。 5.2.6. 详细设计文档 详细设计文档应描述计算机软件系统的设计。它描述了子系统级设计决策、系统体系结构设计和实现该软件所需的详细设计。概要设计和数据库设计是否单独成册抑或与详细设计合为一份资料视情况繁简而定。 5.2.7. 工程实施方案 工程实施方案应描述开发者实施软件开发工作的计划～包括新开发、修改、重用、再工程、维护和由软件产品引起的其他所有的活动。工程实施方案是向需求方提供了解和监督软件开发过程、所使用的方法、每项活动的途径、项目的安排、组织及资源的一种手段。 52 5.3. 管理文档 5.3.1. 测试报告 测试报告应是对计算机软件、软件系统或子系统～或与软件相关项目执行合格性测试的记录。通过测试报告～需方能够评估所执行的合格性测试及其测试结果。 5.3.2. 系统运维手册 系统运维手册应是对系统运维管理中用到的环境、资产、介质、设备等进行维护、升级、漏洞扫描等操作的详细描述。 5.3.3. 系统应急手册 应根据不同的事件～制定应急预案～形成系统应急手册 5.3.4. 运维管理制度 运维管理制度应包含但不限于机房管理制度、介质管理制度、设备管理制度、人员管理制度、监控巡检管理制度、变更管理制度、安全事件处理制度等。 5.3.5. 安全管理制度 安全管理制度应是对负责安全管理机构的设臵与人员等资源的配备描述～以及保证其正常实施安全管理工作的管理制度。 5.3.6. 安全审计报告 应由专业审计人员根据有关的法律法规、财产所有者的委托 53 和管理当局的授权,对计算机网络环境下的有关活动或行为进行 系统的、独立的检查验证,并做出相应评价报告。 54