非金融机构支付服务系统测试准备工作清单网络支付部分.docx
《非金融机构支付服务系统测试准备工作清单网络支付部分.docx》由会员分享,可在线阅读,更多相关《非金融机构支付服务系统测试准备工作清单网络支付部分.docx(13页珍藏版)》请在冰豆网上搜索。
非金融机构支付服务系统测试准备工作清单网络支付部分
非金融机构支付服务系统测试准备工作清单
(网络支付部分)
1按照人行要求,非金融机构提交的支付服务系统已上线,且被测版本与上线版本一致。
2填写“5.附件一非金融机构支付服务系统基本情况问卷”。
3功能测试部分
3.1填写“6.附件二系统功能与检测指标对应关系表(网络支付部分)”。
3.2文档准备
编号
检测项
有/无
对应文档名称
1
相关的功能测试报告(电子版或者纸质版复印件)
4风险监控测试
4.1文档准备
编号
检测项
有/无
对应文档名称
1
风险监控规则描述文档
2
风险测试报告
4.2请填写下表第三列(风险监控基本方式)
编号
检测项
监控方式
1
账户风险管理
转移备付金
描述风险监控系统的相应功能或人工处理流程,如果暂无功能或流程,则写无。
多种用户身份鉴别方式
……
甄别可疑交易
2
交易监控
监控规则管理
当日交易查询
历史交易查询
实时交易监控
异常交易监控
交易事件报警
4
交易审核
系统自动审核
人工审核
6
风控规则
风控规则管理
黑名单
风险识别
事件管理
风险报表
5性能测试
5.1填写“7.附件三系统性能测试需求表(网络支付部分)”。
5.2文档准备
编号
检测项
有/无
对应文档名称
1
性能测试报告
5.3数据准备
准备内容
准备状态
配置好系统运行的基础参数,主要业务流程及功能项正确
准备性能测试所需要的数据
测试环境(测试工具和测试脚本),包含登陆、提现、交易明细查询、支付。
6安全性测试
6.1网络安全性测试
6.1.1文档准备
编号
检测项
有/无
对应文档名称
1
网络设备的操作手册
2
网络设备运维管理制度
3
网络设备最新的配置文件
4
网络设备的巡检记录
5
网络设备日志管理制度
6
网络设备变更管理制度
7
网络设备变更审批单样张
8
安全事件处理制度
9
网络设备安全审计报告
10
网络安全关键岗位人员管理制度
11
网络设备补丁管理制度
6.1.2策略描述
Ø结构安全
(1)请描述网络冗余和备份措施。
(2)请描述系统子网划分的规则。
(3)请描述QoS保证措施。
Ø网络访问控制
(1)请描述内网、DMZ区、互联网三者之间的访问权限。
Ø拨号访问控制
(1)是否通过远程拨号的方式管理网络设备?
如果有,请描述远程拨号访问控制措施。
Ø网络安全审计
(1)网络设备是否都启用了日志服务?
日志信息都包含哪些内容?
(2)如果启用了日志服务,请描述日志的存储、备份、定期审核、访问审批等的措施或流程。
(3)是否有审计认证系统,请描述审计认证系统的功能。
Ø网络入侵防范
(1)是否部署了入侵检测/入侵防御系统?
具体的型号是?
(2)是否定期进行安全测试?
如果是,多长时间一次?
并提供测试报告的样板。
Ø恶意代码防范
(1)是否部署恶意代码防范设备或软件?
请描述其更新策略。
Ø网络设备防护
(1)请描述网络设备登录口令的复杂度策略。
(2)请描述网络设备的变更审批流程,并提供审批单样张。
6.2主机安全性测试
6.2.1文档准备
编号
检测项
有/无
对应文档名称
1
主机服务器的操作手册
2
主机服务器运维管理制度
3
主机服务器最新的配置文件
4
主机服务器的巡检记录
5
主机服务器日志管理制度
6
主机服务器变更管理制度
7
主机服务器变更审批单样张
8
安全事件处理制度
9
主机服务器安全审计报告
10
主机安全关键岗位人员管理制度
11
操作系统补丁管理制度
6.2.2数据准备
准备主机的IP地址和root权限,及扫描设备接入的方式。
6.2.3策略描述
Ø安全审计
(4)主机服务器是否都启用了日志服务?
日志信息都包含哪些内容?
(5)如果启用了日志服务,请描述日志的存储、备份、定期审核、访问审批等的措施或流程。
(6)是否有审计认证系统,请描述审计认证系统的功能。
Ø系统保护
(1)请描述主机服务器的备份方式,包括备份的地点等。
(2)是否部署监控设备?
请描述监控设备的名称、型号、监控的内容、报警方式等。
Ø恶意代码防范
(1)是否部署恶意代码防范设备或软件?
请描述其更新策略。
6.3应用安全性测试
6.3.1文档准备
编号
检测项
有/无
对应文档名称
1
应用系统口令安全性策略制度
2
应用系统数据备份和恢复制度
3
应用系统过期信息文档处理流程
4
应用系统补丁管理制度
5
编码规范及源代码管理制度
6
终端管理制度
6.3.2策略描述
Ø身份鉴别
(1)应用系统用户分为哪几类?
权限如何划分?
(2)请描述用户账号的添加、删除、修改审批流程。
ØWEB页面安全
(1)提供网站ICP备案号。
Ø数据安全
(1)请描述应用系统的数据的备份机制。
Ø应用容错
(1)请描述应用系统数据有效性校验机制、容错机制、故障恢复机制、回退机制。
Ø编码安全
(1)请提供编码规范,以及源代码管理制度。
Ø密钥管理
(1)请详细描述应用系统密钥管理体系(必填项)。
6.4数据安全性测试
6.4.1文档准备
编号
检测项
有/无
对应文档名称
1
客户权益数据保护制度
2
客户身份信息保护制度
3
支付业务信息保护制度
4
会计档案信息保护制度
5
数据访问控制制度
6
数据备份机制
7
备份数据的恢复策略
8
数据销毁制度和记录
6.5运维安全性测试
6.5.1文档准备
编号
检测项
有/无
对应文档名称
1
机房管理制度
2
机房进出登记表
3
介质的管理制度(存放、维修、销毁)
4
设备管理制度
5
人员管理制度(录用、转岗、考核、安全培训、岗位职责)
6
安全事件处理制度
7
应急预案
8
变更管理制度
9
设备监控记录单
6.6业务连续性测试
6.6.1文档准备
编号
检测项
有/无
对应文档名称
1
业务中断影响分析
2
业务连续性管理制度
3
备份数据范围和备份频率清单
4
备份记录和定期恢复测试记录
5
业务连续性培训记录
7文档测试
提供下列文档,要求:
完善文档密级管理,进行分类,在封面注明机密、秘密、内部、公开等;注明分发范围;确保文档的完整性、可操作性、文字描述的准确性、一致性。
编号
检测项
有/无
对应文档名称
1
网络支付系统用户手册
2
网络支付系统操作手册
3
网络支付系统需求说明书
4
网络支付系统需求分析文档
5
网络支付系统总体设计方案
6
网络支付系统数据库设计文档
7
网络支付系统概要设计文档
8
网络支付系统详细设计文档
9
网络支付系统工程实施方案
10
网络支付系统功能测试报告
11
网络支付系统运维手册
12
网络支付系统应急手册
13
网络支付系统运维管理制度
14
网络支付系统安全管理制度
15
网络支付系统安全审计报告
8外包附加测试
8.1文档准备
如果没有外包(开发外包、运维外包等),则可以不填写下表。
编号
检测项
有/无
对应文档名称
1
外包服务的外包内容
2
安全保密协议
3
外包合同
4
控制和监督策略
5
外包交付流程
8.2策略描述
(1)请描述如何进行风险评估和对外包商资质进行审核。
9配合人员和办公场所
准备内容
状态(完毕/准备中)
准备启动会议(结束会议)会议室,并安放投影仪
邀请公司高层参与启动会议
通知所有测试配合人员参与启动会议
准备可供4-6人工作,进行访谈的办公场所