非金融机构支付服务业务系统检测评估准则.docx

非金融机构支付服务业务系统检测评估准则.docx

《非金融机构支付服务业务系统检测评估准则.docx》由会员分享，可在线阅读，更多相关《非金融机构支付服务业务系统检测评估准则.docx（31页珍藏版）》请在冰豆网上搜索。

非金融机构支付服务业务系统检测评估准则

非金融机构支付服务业务系统检测

评估准则

（2011版）

中国人民银行

2011年3月

目录

一、问题等级分类3

二、检测结果判定4

三、问题等级分类判例7

一、问题等级分类

问题等级分为严重性问题、一般性问题和建议性问题。

问题等级的分类标准如下：

1．严重性问题

与相关法律法规、标准规范有明显冲突；系统不满足业务需求；主要业务流程不正确；存在安全风险，会对客户利益造成严重的损害。

2.一般性问题

局部功能无法正常使用，但不影响系统整体流程的实现；存在安全风险，会对客户利益造成直接或潜在的损害。

3．建议性问题

功能能够正常使用，但系统易用性差；存在安全风险，但不会对客户利益造成直接或潜在的损害。

序号

等级

检测类

问题等级的分类标准

1

严重性问题

功能测试

（1）系统崩溃、死机、异常退出

（2）功能模块失效

（3）数据发生不可挽救的丢失或损坏

（4）数据处理错误

（5）主要业务流程出现断点

（6）未提供必备的功能，或者必备的功能未正确实现

风险监控测试

（1）未提供必备的风险监控措施

（2）必备的风险监控措施未正确实现

性能测试

（1）性能未满足业务需求

（2）系统出现异常，且无法自动恢复

安全性测试

（1）敏感数据泄漏、丢失或者篡改。

敏感数据包括但不限于：

密钥、密码、身份信息、账户信息、银行卡信息、交易信息等

（2）系统核心配置文件、源代码泄漏、丢失或者篡改

（3）影响交易数据完整性

（4）导致越权访问

（5）影响支付业务连续性，导致系统无法恢复

外包测试

（1）未与第三方服务机构签订支付服务系统外包合同和安全保密协议

（2）未对外包服务建立风险评估制度

（3）未对第三方服务机构资质建立认定制度

（4）未对外包服务建立控制和监督制度

2

一般性问题

功能测试

（1）必测项功能实现不完善，但不影响业务功能使用，或者有替代方法

（2）存在非必测项功能，但未正确实现

（3）未对关键数据域进行校验，或者校验不严格

（4）提示信息错误

（5）用户界面错误

风险监控测试

（1）风险监控功能不完善

安全性测试

（1）非敏感数据泄漏、丢失或者篡改

（2）系统一般的配置文件泄漏、丢失或者篡改

（3）影响支付业务连续性，导致系统无法及时恢复

文档测试

（1）文档缺失

（2）文档自身、文档之间或者文档与实际情况不一致

（3）文档内容不完整

外包测试

（1）外包合同内容不完善

（2）未对外包服务进行持续、有效的控制和监督

3

建议性问题

功能测试

（1）系统出现偶发性错误，但不影响正常业务使用

（2）系统操作不方便

（3）人机交互界面不友好

安全性测试

（1）影响支付业务连续性，但系统能够及时恢复

文档测试

（1）文档格式不统一，不易于浏览，文档内容不容易理解

（2）文档管理不规范

二、检测结果判定

（一）检测项结果判定原则

●不符合

在检测过程中，发现严重性问题和一般性问题，该检测项的检测结果判定为“不符合”。

●符合

在检测过程中，未发现问题或仅发现建议性问题，该检测项的检测结果判定为“符合”。

●不适用

在功能类、性能类、风险监控类检测过程中，根据厂商声明，被检测系统未提供的非必测项判定为“不适用”。

在安全类检测过程中，检测要求对抗的威胁在被测系统中不存在，该检测项判定为“不适用”。

判定为不适用的安全类检测项需说明原因和带来的安全影响，但不计入检测项数量统计中

（二）检测类结果判定原则

●不符合

该检测类中存在因严重问题导致的“不符合”检测项，则该检测类的检测结果判定为“不符合”。

该检测类中存在因一般问题导致的“不符合”检测项，如果“不符合”率为以下情况的，则该检测类的检测结果判定为“不符合”：

（1）属于功能类的检测项，其检测结果中“不符合”率大于15%。

（2）属于风险监控类的检测项，其检测结果中“不符合”率大于15%。

（3）属于性能类的检测项，其检测结果中“不符合”率大于15%。

（4）属于安全类的检测项，其检测结果中“不符合”率大于15%。

（5）属于文档类的检测项，其检测结果中“不符合”率大于15%。

（6）属于外包类的检测项，其检测结果中“不符合”率大于15%。

●符合

该检测类中检测项的检测结果全部为“符合”，则该检测类的检测结果判定为“符合”。

该检测类中存在因一般问题导致的“不符合”检测项，如果“不符合”率为以下情况的，则该检测类的检测结果判定为“符合”：

（1）属于功能类的检测项，其检测结果中“不符合”率小于或等于15%。

（2）属于风险监控类的检测项，其检测结果中“不符合”率小于或等于15%。

（3）属于性能类的检测项，其检测结果中“不符合”率小于或等于15%。

（4）属于安全类的检测项，其检测结果中“不符合”率小于或等于15%。

（5）属于文档类的检测项，其检测结果中“不符合”率小于或等于15%。

（6）属于外包类的检测项，其检测结果中“不符合”率小于或等于15%。

（三）检测报告结果判定原则

●不符合

检测类的检测结果存在“不符合”，检测报告结果判定为“不符合”。

●符合

其他情况检测报告结果判定为“符合”。

三、问题等级分类判例

1．功能测试

序号

问题

案例

问题等级

1

业务流程异常中断

（1）由于系统设计问题导致系统异常中断，无法继续交易

严重

（2）撤销交易无法完成，出现异常

严重

3

对账处理错误

（1）无法正确生成对账文件

严重

4

交易处理出错

（1）消费金额与实际扣款金额不符

严重

（2）对已经消费撤销的交易还可以再次消费撤销

一般

（3）同一商品可以重复退货

严重

（4）积分兑换未成功后，积分减少

一般

8

处理交易数据的相关功能错误

（1）金额位数没有控制，造成数据溢出

严重

（2）交易处理过程中，金额等信息显示不正确

严重

（3）冲正处理后手续费未按规定返还

严重

11

功能不合理

（1）账户可交易金额只精确到元，不能精确到角、分

一般

（2）密码错误次数被累计（输入错误密码后，再输入正确密码，但是前面的错误计数未归零）

建议

13

系统输入参数校验不严格

（1）对必填项无校验或校验不严格

一般

（2）系统对身份证件号码无基本校验

一般

15

界面不友好或部分功能使用不便捷

（1）界面出现错别字、字体不统一等

建议

（2）界面汉化错误或不准确

建议

（3）信息提示不正确

一般

（4）界面有多余的工具栏/按钮

建议

（5）某些操作不支持手工录入

建议

20

查询功能未正确实现

（1）查询结果信息不正确

严重

（2）查询结果信息不完整

一般

22

存在预授权功能但没有正确实现

（1）预授权按照消费交易实现

严重

23

存在预授权撤销功能但没有正确实现

（1）预授权撤销按照消费撤销的交易实现

严重

2．风险监控测试

序号

问题

案例

问题等级

1

客户资金与公司自有资金未分开管理

（1）客户资金没有单独管理，没有与公司的自有资金分开管理

严重

2

未提供交易监控及预警功能

（1）未对客户的交易实施有效的监控，以及对客户的异常交易没有正确的预警响应机制

严重

3

必备的交易查询结果有误

（1）交易查询结果不正确

严重

（2）交易查询结果不完整

一般

3．性能测试

序号

问题

案例

问题等级

1

性能需求指标未达标

（1）性能测试结果表明系统未达到性能需求指标（例如：

并发用户数、吞吐量等）

严重

2

性能测试过程中系统出现异常

（1）出现系统异常退出、宕机

严重

3

性能测试过程中系统堵塞且不可恢复

（1）测试压力释放后，系统一直处理队列中交易，不能恢复正常状态

严重

4．安全性测试

（1）网络安全性测试

序号

问题

案例

问题等级

1

网络安全域划分不明确

（1）未划分核心域、管理域等网络不同区域，核心网边界未进行有效隔离

严重

（2）未部署入侵检测类安全产品或进行有效的入侵检测防范

一般

（3）日常办公网可访问核心生产服务器和网络设备

严重

4

网络未作流量控制

（1）在路由器或者交换机上未配置QOS，也未做其它网络流量控制

建议

5

网络冗余和备份

（1）无链路备份

一般

（2）核心网络设备缺少冗余

严重

（3）链路使用同一运营商的线路

建议

8

口令控制不严格

（1）SNMPcommunity字符串为默认值

一般

（2）路由器使用默认的enable密码

一般

（3）未限制口令最小长度、复杂度和更新时间等

一般

11

密码未加密存储或加密方式不安全

（1）路由器/防火墙的enable密码未加密存储

一般

（2）路由器/防火墙的enable密码存储加密方式不安全，易被破解

一般

13

登录策略不严格

（1）未设置非法登录次数控制参数

一般

（2）未设置连接超时等控制参数

建议

15

防范软件未安装或更新不及时

（1）没有安装IDS或防恶意代码软件

一般

（2）病毒库更新不及时；IDS特征库更新不及时

一般

（3）防范软件未能及时安装补丁

一般

18

监控、审计功能/设备未开启或不严格

（1）数据中心无独立的网络监控设备

一般

（2）未建立主机、应用的自动化监控平台

建议

（3）网络设备无审计记录

一般

21

日志未开启或时间控制不严格

（1）未开启日志功能

一般

（2）未使用NTP或类似的技术对关键设备的时间进行同步

建议

（3）没有专人定时查看并分析日志

建议

（4）不对审计记录进行备份保存，日志信息循环记录

一般

25

系统或协议版本低

（1）网络设备软件版本过低

建议

（2）应用协议（如SNMP协议）版本过低

建议

27

网络访问控制策略不严格

（1）防火墙访问控制规则中未配置默认的拒绝策略

一般

（2）未对可登录核心系统主机的主机范围进行限定

一般

（3）无法对非授权设备私自联到内部网络和内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断

一般

（4）访问生产区服务器的终端机可同时访问互联网

一般

（5）未进行地址转换，以隐藏内部网络结构

一般

32

未进行地址绑定

（1）在不影响双机切换等情况下，重要服务器在网络设备上未进行MAC和IP的绑定

建议

33

系统或协议参数配置不安全

（1）允许使用SSH的V1版本

建议

34

使用不安全的登录协议

（1）没有禁止客户端通过telnet协议（明文传输）在内部网络内进行远程管理

建议

（2）没有禁止客户端通过telnet协议（明文传输）在外部网络内进行远程管理

一般

36

未定期进行漏洞扫描

（1）没有漏洞扫描工具，也没有漏洞扫描记录和报告

一般

37

无安全配置标准

（1）网络设备（防火墙、路由器、交换机和IDS等）无安全配置标准

建议

38

网络入侵防范不完善

（1）未设置DoS/DDoS攻击、网络ARP欺骗攻击等的防护措施

一般

39

最小化服务

（1）网络设备开启了不必要的服务

建议

40

职责未分离

（1）同一团队/人员负责管理多台网络设备、主机以及其他硬件设备等

建议

41

安全审计不充分

（1）没有定期的内部审计安全检查

建议

42

安全人员配备

（1）安全管理职责由其他人员兼职

一般

（2）主机安全性测试

序号

问题

案例

问题等级

1

无系统备份

（1）关键主机无备份

严重

2

口令策略不严格

（1）用户密码策略设置不安全（密码长度、过期时间、锁定策略等）

一般

（2）Linux系统引导程序GRUB未设置密码

一般

（3）Solaris未设置eeprom硬件保护口令

一般

5

登录策略不严格

（1）未禁止root用户直接登录

一般

（2）连续错误登录多次未自动锁定账号

一般

（3）root用户存在可疑的路径参数环境变量

一般

（4）对root用户的使用没有申请机制

一般

（5）主机未更改默认用户登录名

一般

（6）主机默认显示上一次登录用户名

一般

（7）没有对访问特定服务器的内部终端进行限制

一般

（8）没有强制注销及超时限制

一般

（9）应用中间件控制台登录密码使用默认口令

严重

14

未最小化服务或配置

（1）存在多种随系统启动的服务（如Telnet、SNMP、Rusersd等）

一般

（2）无禁用操作系统默认用户（如daemon、bin、sys、adm等）

一般

（3）主机系统路由表存在多条未明确用途的路由

一般

17

补丁更新不及时

（1）主机系统未及时安装服务补丁包

建议

18

服务器未专用

（1）FTP/WEB服务器等未专用

建议

19

未安装防范软件或更新不及时

（1）（Windows主机）没有安装防恶意代码软件

严重

（2）（Windows主机）病毒库未定期更新

一般

21

无系统资源监控机制

（1）对系统的资源消耗和其他信息没有实时监控和预警机制

一般

22

安全人员配备

（1）安全管理职责由其他人员兼职

一般

23

拒绝服务漏洞

（1）OpenSSH远程服务器复制块远程拒绝服务漏洞

一般

（2）Web服务器Apache拒绝服务漏洞

一般

25

远程代码执行漏洞

（1）OpenSSHGSSAPI认证远程代码执行漏洞

一般

26

内存擦除漏洞

（1）OpenSSHPAM会话内存擦除漏洞

一般

27

绕过认证漏洞

（1）Solaris10Telnet可绕过认证漏洞

一般

28

异常处理漏洞

（1）可使用个别组件执行任意代码，通过修改httpd配置文件导致内存溢出，从而能够创建恶意的配置文件，执行任意的代码

严重

（2）/usr/local/apache2/cgi-bin/test-cgi会使远程访问者列出webserver的文件，为系统安全留下隐患

一般

30

日志或审计功能未开启

（1）主机系统未开启系统日志审计功能

建议

（2）Windows主机未配置本地安全审计策略

建议

（3）没有专人定时检查系统日志

建议

33

无安全配置和加固

（1）无主机和数据库安全配置标准

建议

（2）无主机和数据库安全加固制度或标准

建议

35

未定期进行漏洞扫描

（1）没有漏洞扫描工具，也没有漏洞扫描记录和报告

一般

36

文件权限控制不严格

（1）日志文件权限设置不安全

建议

（2）存在具有SUID/SGID权限的文件

建议

（3）存在全局可写文件/目录

建议

（4）存在具有同组用户可写属性的文件/目录

建议

（5）存在无属主文件

建议

（6）主机重要系统文件的权限设置不安全

一般

（7）Linux系统/etc/aliaes文件中未禁用无用的别名

建议

43

服务弱配置

（1）SSH默认开启了X11转发功能

建议

（2）SSH服务端配置文件未指明仅支持协议2

建议

45

使用不安全的登录协议

（1）主机远程登录，用户名和密码明文传输

一般

46

日志保护不严格

（1）主机日志保存时间过短（低于3个月）

建议

（2）未使用日志监控软件或日志服务器

建议

（3）没有单独为应用系统的日志建立文件系统，存在系统日志增长将文件系统耗尽的风险

建议

49

未安装强制访问控制模块

（1）核心业务服务器操作系统和数据库系统未安装强制访问控制模块

建议

50

安全人员配备

（1）安全管理职责由其他人员兼职

一般

51

关键进程监测和预警

（1）对系统关键进程没有实时监控和预警机制

一般

（3）应用安全性测试

序号

问题

案例

问题等级

1

存储明文敏感信息或日志中包含敏感信息

（1）系统保存了支付服务业务系统非必须的客户身份认证信息（如银行卡交易密码、指纹信息等）

严重

（2）系统以明文存储了用户口令

严重

（3）错误调试信息中包含了明文的用户口令、指纹信息、磁道信息、密钥及CVN/CVN2信息

严重

（4）网络客户端日志中包含了明文的交易信息、用户口令、密钥及CVN/CVN2信息

严重

5

敏感信息明文传输

（1）使用HTTP协议，登录信息明文传输

严重

6

无交易记录功能

（1）应用系统无交易记录模块

严重

7

无权限控制

（1）没有管理员权限或者用户权限控制

严重

8

应用容错性差

（1）未对输入做严格检查

一般

（2）未对输入做严格检查（内部管理应用）

建议

（3）异常的中断导致系统关闭、不能使用或导致敏感信息的泄露

严重

11

口令安全策略不严格

（1）未对密码长度、复杂度等做限制

一般

（2）用户修改自己的密码时，没有对密码中包含用户名的内容进行判断和提示

建议

13

14

上传文件检查不严格

（1）没有对上传文件的文件格式进行校验，存在上传.exe等可执行文件的风险

一般

（2）没有对上传文件大小进行控制

建议

16

资源控制不严格

（1）对连接数、进程资源等没有监控和预警措施

一般

17

SQL注入漏洞

（1）部分页面存在SQL注入漏洞

严重

18

显示内部敏感信息

（1）应用程序错误时在Web页面显示调试信息

一般

（2）服务器响应信息中包含内部IP可能泄露内部网络信息

一般

（3）对隐藏目录访问时可收到403消息，可探测目录的存在性

一般

（4）对隐藏目录访问时可收到403消息，可探测目录的存在性（内部管理应用）

一般

（5）未限制会话超时时间

一般

（6）登录失败时显示明确的提示信息

一般

（7）没有使用图片验证码方式

建议

25

右键未屏蔽

（1）点击右键出现菜单，再进行其他操作导致出现不应出现的界面

建议

26

保存Cookie信息

（1）登录系统并浏览页面后，浏览器的Cookie信息遗留一些过程文件

建议

27

权限控制不严格

（1）未屏蔽没有权限访问的功能菜单

一般

28

目录列举漏洞

（1）服务器应答包含目录内容，存在目录列举漏洞

一般

（2）MicrosoftIISWebDav目录列举漏洞

一般

30

拒绝服务漏洞

（1）MicrosoftIISWebDAV远程拒绝服务漏洞

一般

31

没有预留信息提示

（1）登录系统后，没有预留信息提示，无法防止网络钓鱼攻击

建议

32

电子认证应用

（1）使用未获得工业和信息化部颁发《电子认证服务许可证》的电子认证机构发放的证书或提供的服务

一般

（2）使用未获得工业和信息化部颁发《电子认证服务许可证》的电子认证机构发放的证书或提供的服务（内部管理应用）

建议

（3）关键业务实现未使用电子认证技术保证交易的完整和抗抵赖

一般

（4）关键业务实现未使用电子认证技术保证交易的完整和抗抵赖（内部管理应用）

建议

（5）电子签名实现不符合《中华人民共和国电子签名法》规定的有效电子签名要求

严重

（6）电子签名实现不符合《中华人民共和国电子签名法》规定的有效电子签名要求（内部管理应用）

一般

（7）关键业务实现未使用服务器证书标示网上应用身份

严重

（8）关键业务实现未使用服务器证书标示网上应用身份（内部管理应用）

一般

（9）关键业务相关插件及客户端程序发布未使用证书签发

一般

（10）关键业务相关插件及客户端程序发布未使用证书签发（内部管理应用）

建议

（11）未对所持有的服务器证书私钥进行有效保护，存在服务器证书私钥泄漏风险

严重

43

Web页面安全

（1）开启危险的HTTP方法，如PUT、DELETE、MOVE、TRACE、CONNECT等

建议

（2）不安全的会话管理，如会话ID不更新、会话变量泄露等

一般

（3）跨站脚本攻击

严重

（4）跨站脚本攻击（内部管理应用）

一般

（5）存在可直接访问的管理页面

严重

（6）存在可直接访问的管理页面（内部管理应用或WAP应用）

一般

（7）对应用系统日志没有记录或粒度不够详细

一般

44

WAP页面安全

（1）缺少登录防穷举措施

一般

（2）未采用数字证书技术实施SSL加密

严重

（3）存在SQL注入漏洞

严重

（4）存在跨站脚本漏洞

一般

（5）存在源代码暴露漏洞

一般

（4）数据安全性测试

序号

问题

案例

问题等级

1

敏感信息未加密

（1）敏感信息明文传输和存储

严重

2

数据备份和恢复功能不完善

（1）缺少本地数据备份与恢复功能

严重

（2）主要网络设备、通信线路和数据处理系统的硬件缺少冗余

一般

4

数据更改机制

（1）未制定严格的数据更改制度/流程

一般

（2）数据更改不是双人操作，无专人复核

一般

6

完整性校验

（1）数据在处理过程中没有进行完整性校验

一般

7

数据销毁不严格

（1）未建立数据销毁制度

一般

（2）对数据的销毁方式不安全，如对磁盘未采用消磁或物理破坏的方式销毁，对纸质介质未严格粉碎处理等

一般

9

数据库补丁安装不及时

（1）未定期安装必要安全补丁

建议

10

数据库口令控制不严格

（1）数据库口令设置过于简单易被破解

严重

11

数据库用户权限控制不严格

（1）授予用户CREATE_NOT_FENCED权限

建议

（2）Public组用户权限设置不当

建议

（3）使用了WITHGRANTOPTION授予对象权限

建议

（4）权限授予给用户，应授予给角色

建议

（5）存在缺省表空间为SYSTEM的用户

建议

（6）存在关联到DEFAULTprofile的用户

建议

（7）非DBA用户可访问属于SYS或者DBA的视图

建议

18

数据库审计功能未开启

（1）未启用数据库审计功能

建议

19

数据库认证参数和其他安全参数配置不严格

（1）未启用SQL92_SECURITY参数

建议

（2）ORACLE的OS_AUTHENT_PREFLX参数为OPS$

建议

（3）ORACLE使用了外部过程组件extproc，且未限制TCP的地址；Oracle数据库口令策略采用默认设置，没有启用oraclenetmanager的加密传输

建议

（4）O