第三方机构接入安全的符合性自评估表.docx

1、第三方机构接入安全的符合性自评估表附件十第三方机构接入安全的符合性自评估表序号安全要求实际控制情况如本项为“否”或“不适用”请说明原因是否不适用1、机房安全（本要求适用于第三方机构放置涉及银联卡交易的网络设备和系统设备的机房，涉及银联卡交易既包括直接传输或处理银联卡交易，也包括为银联卡交易提供支持服务。）（1）应按国家标准电子计算机场地通用规范（GB 2887-2000）和计算机场地安全要求GB 9361-2000的相关规定，采用消防、空调、防潮、防静电、防雷击、供电安全等措施。（2）应建立并实行出入安全管理制度，采用专人值守或电子门禁方式，对人员进出机房情况进行日常监控。（3）应建立值班制度

2、，配备值班人员，对机房内各类设备运行情况进行日常监控，并处置突发事件。（4）非授权工作人员或来访人员因工作需要需进入机房，必须经过申请、审批和登记，并由授权人员授权专人全程陪同。（5）电子设备或存储介质进出机房，须经审批并登记。（6）机房需合理配置供电系统，提供足够的、持续的电源供给。如配备双回路供电系统（来自于不同的变电站），可持续供电时间不低于3小时的UPS，或发电机。2、网络安全2.1 通讯方式（本要求适用于第三方机构与银联网络之间的连接，即第三方机构系统平台、终端与银联网络之间的连接，也适用于第三方机构内部涉及银联卡交易的连接，如终端与其系统平台，不同地点系统平台之间的连接。）（1）应

3、使用接入方式：专线（主要有ADSL、SDH、帧中继、DDN、ATM 、电话拨号等）、基于专网的MPLS（接入方式的定义见附件1：各类现有的接入方式）。（2）使用基于MPLS（Internet）的IPSEC/SSL、基于Internet的MPLS、应充分考虑、接受相关风险，并遵循相关安全要求（附件2）。（3）使用基于Internet的IPSEC/SSL，须充分考虑、接受相关风险、遵循相关安全要求。第三方系统终端和平台使用基于Internet的IPSEC/SSL接入银联网络时，须接入到银联总公司。（4）禁止接入方式：Internet。（5）终端与中国银联（或第三方机构系统平台）之间的通讯，如需先经

4、过商户的网络或系统，第三方机构应对敏感信息（主要有磁道信息、卡片验证码、个人标识代码及卡片有效期）加密或督促商户采取安全措施，确保银联卡账户敏感信息不被泄漏。（6）终端采用GPRS/CDMA方式接入银联网络（或第三方机构系统平台）时需对敏感信息加密。2.2 生产网络安全（本要求适用于第三方机构涉及银联卡交易信息的网络（以下简称为生产网络），其包括直接传输或处理银联卡交易的系统和为银联卡交易提供支持服务的系统，但不包括终端。）（1）第三方机构与银联网络直接连接的，传输或处理银联卡交易信息的网络（以下简称为生产网络）应与不涉及银联卡交易信息的网络（如办公网络）必须做到逻辑隔离。（2）第三方机构应对

5、互联网接入本单位生产网络严格审批，如因业务需要必须接入，须在互联网接入处布放防火墙和入侵检测（防御）设备。（3）应建立对所有的路由配置和防火墙策略的批准、测试和变更的正式流程，路由配置和防火墙策略在每次变更后须及时归档须归档。（4）定期对路由配置和防火墙策略进行检查，对路由器和防火墙的事件日志、入侵检测（防御）设备的告警事件进行分析和处理。（5）对登录网络及网络安全设备的用户进行身份鉴别，严格控制可以修改网络及网络安全设备配置的账号。（6）及时进行网络及网络安全设备的补丁安装和版本升级，及时更新入侵检测（防御）系统的防护知识库。（7）如果有拨号访问网络方式，要对拨号用户严格访问控制，每个用户须

6、设置不同口令，口令不得少于8位，并应定期修改；不允许外部公司拨号或其他方式的远程维护连接。（8）定期或在网络发生重大变更后，对安全控制措施、网络连接和限制措施进行渗透性测试或漏洞扫描，对网络及网络安全设备系统设置、补丁配置和已知的漏洞进行检查，并确认没有生产网络用户私自连接到外部网络，外部访问不能非授权进入生产网络。（9）应在网络边界处布防入侵检测（防御）设备，监视可能的攻击行为，记录入侵事件的发生，并报警正在发生的入侵事件。3、受理银联卡的终端设备安全要求（1）POS类终端应通过中国银联“销售点终端产品认证”。（2）银联卡受理终端须符合中国银联PIN输入设备安全评估指南的要求。（须填写并提供

7、PIN输入设备安全评估指南附录表格）。（3）终端通过银联指定的检测机构的检测。（4）终端的软硬件设计须保证只有授权人员才能查询、修改存储在终端的敏感参数和数据，非授权人员不能通过物理或逻辑的攻击来获取或修改敏感参数和数据。（5）终端程序及其升级版本须经第三方机构或中国银联测试，必要时须经银联指定的检测机构的检测。（6）终端安装维护人员与终端程序开发人员要职责分离，终端维护每次都应留下书面记录。（7）终端应被监控和定期巡查，须重点检查终端读卡器、键盘等重要部件，及时发现并防范终端遭非法改装、移机和偷窃等。4、主机系统安全（本要求适用于第三方机构涉及银联卡交易的主机系统，包括直接传输或处理银联卡交

8、易的主机系统和在第三方机构生产网络内，为银联卡交易提供支持服务的主机系统。）（1）根据“知所必需”原则，严格进行对软件和系统的访问控制，禁用不必要的缺省账户。定期对用户访问文件、目录、数据库等权限进行检查，加强用户管理。剔除不需用户，防止用户权限过大。（2）参考国际通行的相关安全规范要求，制订用户口令密码使用、管理和更新制度和措施。加强系统身份认证等关键数据传输加密，防止口令泄露。（3）遵照行业认可的系统加固标准，对系统进行安全加固。如禁用所有不必要的、不安全的服务、协议和应用程序；设定系统安全参数以防止误用/滥用，删除默认设置；严禁下载或使用免费软件或共享软件；移除系统或应用程序中不必要、不

9、安全的功能等。（4）在软件补丁安装以前，须在测试系统中进行严格测试，确保测试通过后再进行安装。（5）制定软件补丁管理制度和流程，对所有生产系统安装必须的操作系统和应用系统补丁。（6）厂商定期维护活动需进行审批并记录，维护人员进出需专人陪同并记录相关操作。（7）对服务器和终端设备应安装恶意代码（主要是病毒和木马）防护系统，对恶意代码（主要是病毒和木马）进行检测和清除。（8）开启必要的审计接口，定期分析并处理系统内重要的安全相关事件，包括重要用户行为、系统资源的异常使用和重要系统命令的使用。（9）应进行主机运行监控，监控主机的CPU、硬盘、内存、网络等资源的使用情况，监控特定进程（主要的系统进程）

10、的状态，限制对重要账户的添加和更改。5、应用系统安全（本要求适用于第三方机构涉及银联卡交易的应用系统，包括直接传输或处理银联卡交易的应用系统和在第三方机构生产网络内，为银联卡交易提供支持服务的应用系统。）（1）应用系统用户应进行用户身份鉴别,并须根据“知所必需”原则，严格进行访问控制。（2）须建立口令管理规则，设定各类口令长度（不得小于6位）、复杂度（必须包含数字和字符）、修改周期（不得长于3个月）、不可明文传输、应加密存储等要求。（3）应根据安全策略控制用户对客体的访问，实现最小授权原则，分别授予不同用户各自完成自己承担任务所需的最小权限，实现应用系统用户的权限分离。（4）应用系统设计中应留

11、有审计接口，以便进行系统事件审计，如重要用户行为、重要系统功能的执行、不成功的鉴别尝试等。（5）审计日志应受到保护，仅接受授权用户的访问，审计日志需至少保存三个月。（6）按安全规范编写代码，如在关键应用系统开发中，不能在程序中写入固定的口令。应在关键应用系统上线前，对程序代码进行代码复审，识别可能的恶意代码和可能的安全漏洞，如缓冲区溢出漏洞等。（7）应保证所有开发，测试或审计中所用的账户，口令在进入生产环境前都已经更改。（8）应保证软件开发人员与运维人员的职责分离。生产系统操作由操作员按权限控制要求执行，不允许软件开发人员等其他人员对生产系统的所有实质性操作。（9）大容量存储介质在实施外包数据

12、恢复时，应确保数据安全；在更换或废弃时，应对其中数据彻底销毁，确保数据不可恢复。在需要废弃、销毁含重要信息的介质时，应严格报批手续，做好登记，由双人负责实施，在保卫人员的监督下，采用物理破坏盘片的形式予以彻底销毁。6、托管设备在银联机房的安全要求（1）第三方机构应与银联签订设备托管协议，以明确双方的权利和职责。（2）第三方机构的托管设备物理上应与银联机房生产区隔离，第三方机构应做好隔离区的防火、防潮和防尘工作。（3）第三方机构人员进出银联机房应向银联机房运维部门提出申请，经审批和登记后方可进入，并须由银联机房运维部门人员全程陪同。（4）第三方机构托管设备应隔离在银联防火墙外，并严格遵循访问控制

13、规则，只允许交易应用报文的通行。（5）第三方机构对托管在银联机房设备的增加、撤离、上电、网络拓扑调整等操作应事先与银联机房运维部门协商一致，变更操作须在0点至6点进行。7、账户信息安全和密钥管理涉及账户信息类第三方机构:（1）应遵循中国银联银联卡账户信息与交易数据安全管理规则、银联卡收单机构账户信息安全标准等账户信息安全管理规定。其中重点落实如下工作要求：与中国银联签订书面合作协议，并在协议中明确账户信息安全保密条款；接入系统只能存储用于交易清分、差错处理所必需的最基本的账户信息，不得存储银联卡磁道信息、卡片验证码、个人标识代码（PIN）的明文和密文及卡片有效期；交易处理如涉及对个人标识代码（

14、PIN）进行加解密操作的，应配备经权威部门安全认证的硬件加密设备，并采用双倍长密钥算法加解密。（2）严格控制存有账户信息的数据库系统的访问权限，对系统管理员和应用系统专用账号外或其他用户应进行必要的系统审计。（3）应用系统专用账号仅供应用程序访问数据库使用，不将其作为访问账号向用户提供。正常情况下数据库操作应通过交易或应用程序访问的方式进行，关闭非必须的访问数据库应用工具。（4）存在交易监控的第三方机构，监控屏应屏蔽持卡人敏感数据，如帐号（全部），磁道信息、卡片验证码、个人标识代码及卡片有效期。（5）应遵循中国银联密钥管理规定：银联卡密钥安全管理规则、银行卡联网联合安全规范第五部分“联网联合安

15、全技术应用”、银行卡联网联合技术规范第四部分“数据安全传输控制规范”的相关要求。不涉及账户信息类第三方机构:（1）必须使用硬件加密机来产生交易信息相关的各种密钥。（2）密钥明文传输应采用信息拆分，分人分段负责的方法。（3）密钥的不同部分应保存在不同地点，并且不能由一个人保管。（4）密钥保存如果是电子形式，不能以明文方式写入在程序代码或保存在存储介质中。（5）密钥的备份和注入须双人复核。（6）过期的密钥应及时销毁，应在双人控制下销毁，保证无法被恢复，且密钥组件不被泄露。（7）在密钥的生成、注入、启动、传输、删除与销毁等生命周期各环节都应进行详细记录，相关人员须签名确认。第三方机构技术安全指导性要

16、求1、安全管理（1）第三方机构需建立信息安全制度，并指定专人负责信息安全制度的建立、分发、复查和培训。（2）第三方机构需每年复查信息安全制度，重新评估安全控制及过程。（3）第三方机构中员工，需定期接受适当的安全培训，培训内容包括各类安全制度、信息系统运维手册和应急预案等。安全培训后，需留有书面培训记录。（4）第三方机构需审查录用员工的技术能力和背景资料，并签署适当的保密协议。（5）第三方机构需建立不同类别信息安全事件的报告程序，所有相关员工需知道安全事件的报告程序。（6）第三方机构所有相关员工都需注意及报告系统或服务任何可疑的安全弱点或威胁。（7）第三方机构需对报告的安全事件建立相应的安全机制

17、来处理。（8）第三方机构需知道银联公司生产运行值班台的联系方式，发生与银链卡交易相关的安全事件应及时通知银联公司。2、机房安全（本要求适用于第三方机构放置涉及银联卡交易的网络设备和系统设备的机房。）（1）机房需划分区域进行管理，区域和区域之间设置物理隔离装置，各区分别实行不同的防护措施。（2）机房需使用人工或闭路电视监控系统监视敏感区域。3、网络安全3.1 生产网络安全（1）为阻止非授权用户对内部网络中敏感数据的访问，需采取划分VLAN的方式分隔不同的用户和信息系统。（2）建立VLAN后，创建访问控制列表对数据包进行过滤、阻止非法访问。（3）对VLAN进行访问控制的列表需被测试、审批，并且定时

18、查阅、更新。（4）定期进行对网络和网络安全设备的内部或外部审计，来验证其配置或策略是否适合于第三方机构的安全要求。（5）应在网络边界及核心业务网段处对恶意代码（主要是病毒和木马）进行检测或清除。4、系统与应用安全（本要求适用于第三方机构涉及银联卡交易的主机及应用系统。）（1）需定义硬件的非正常状态，并在故障持续预设定时间后，作为安全事件进行报告。（2）需定期对设备进行检查，确保运行安全，并确认关键的生产设备都在维护期内；设备维护需建立维护记录制度。（3）主机和应用系统采用两种以上组合的鉴别技术实现用户身份鉴别。（4）软件或系统的配置更改，补丁安装以及升级需受内部变更管理控制，需保留相应的日志。

19、（5）需记录并定期查阅生产系统设备中的所有软件名称及版本，并对关键软件的参数配置以及安装文件进行备份进行备份以防止意外损坏。（6）需建立生产系统变更操作的审批和实施流程。需制定变更计划，按计划实施变更；在变更实施前制定、评审并测试变更方案；在变更实施时，要求双人复核。（7）需对各类信息系统基础设施和应用系统制定运维手册，并定期补充更新。（8）只有授权的用户才可以获取应用软件源代码。5、恶意代码防护（本要求适用于第三方机构生产网络或涉及银联卡处理的主机。）（1）需配备相应的人员负责恶意代码防护工作的日常管理及维护，监控计算机系统恶意代码防护情况，定期察看恶意代码威胁日志，并对日志中的威胁记录进行

20、处理。（2）用户在装载外部介质上的数据和程序之前必须对外部介质进行扫描以防止病毒。6、账户信息和密钥管理涉及账户信息类第三方机构（1）应参考银联卡账户信息与交易数据安全管理指南采取账户信息安全保护措施。不涉及账户信息类第三方机构（1）应参照银联卡密钥安全管理规则、银行卡联网联合安全规范第五部分“联网联合安全技术应用”、银行卡联网联合技术规范第四部分“数据安全传输控制规范”中规定的相关文档。7、应急预案、数据备份和业务持续性计划（本要求适用于第三方机构生产网络或涉及银联卡处理的主机或应用系统。）（1）第三方机构需制定信息系统运行安全应急预案和应用系统安全应急预案，并指定相关员工的责任。（2）应急

21、预案需包括病毒感染、网络攻击、数据丢失或被篡改、业务连续性被破坏等事件发生后的应急处置步骤。（3）应急预案需进行定期查阅并更新，以保证反映业务的变动。（4）对每次应急处置需有书面记录，并事后总结并更新应急预案。（5）需定期进行应急演练，并进行书面记录。（6）涉及银联卡交易的应用系统数据需每日进行增量备份，定期进行全备份。备份的数据需定期进行同城异处存放。（7）需定期进行备份数据恢复，以检验备份数据的有效性。（8）需将数据备份与恢复的策略和操作说明制定相关文档。（9）重要的生产系统服务器需采用双机备份的设计，其所连接的磁盘阵列需为冗余阵列。（10）防火墙、路由器、交换机等网络设备均需有热备份，接入银联网络的通信线路需有备份，并且备份线路与主线路采用不同运营商提供的路由。