非金融机构支付服务业务系统检测评估准则.docx

1、非金融机构支付服务业务系统检测评估准则非金融机构支付服务业务系统检测评估准则（2011版）中国人民银行2011年3月目 录一、问题等级分类 3二、检测结果判定 4三、问题等级分类判例 7一、问题等级分类问题等级分为严重性问题、一般性问题和建议性问题。问题等级的分类标准如下：1严重性问题 与相关法律法规、标准规范有明显冲突；系统不满足业务需求；主要业务流程不正确；存在安全风险，会对客户利益造成严重的损害。2. 一般性问题 局部功能无法正常使用，但不影响系统整体流程的实现；存在安全风险，会对客户利益造成直接或潜在的损害。3建议性问题功能能够正常使用，但系统易用性差；存在安全风险，但不会对客户利益造

2、成直接或潜在的损害。序号等级检测类问题等级的分类标准1严重性问题功能测试(1) 系统崩溃、死机、异常退出(2) 功能模块失效(3) 数据发生不可挽救的丢失或损坏(4) 数据处理错误(5) 主要业务流程出现断点(6) 未提供必备的功能，或者必备的功能未正确实现风险监控测试(1) 未提供必备的风险监控措施(2) 必备的风险监控措施未正确实现性能测试(1) 性能未满足业务需求(2) 系统出现异常，且无法自动恢复安全性测试(1) 敏感数据泄漏、丢失或者篡改。敏感数据包括但不限于：密钥、密码、身份信息、账户信息、银行卡信息、交易信息等(2) 系统核心配置文件、源代码泄漏、丢失或者篡改(3) 影响交易数据

3、完整性(4) 导致越权访问(5) 影响支付业务连续性，导致系统无法恢复外包测试(1) 未与第三方服务机构签订支付服务系统外包合同和安全保密协议(2) 未对外包服务建立风险评估制度(3) 未对第三方服务机构资质建立认定制度(4) 未对外包服务建立控制和监督制度2一般性问题功能测试(1) 必测项功能实现不完善，但不影响业务功能使用，或者有替代方法(2) 存在非必测项功能，但未正确实现(3) 未对关键数据域进行校验，或者校验不严格(4) 提示信息错误(5) 用户界面错误风险监控测试(1) 风险监控功能不完善安全性测试(1) 非敏感数据泄漏、丢失或者篡改 (2) 系统一般的配置文件泄漏、丢失或者篡改(

4、3) 影响支付业务连续性，导致系统无法及时恢复文档测试(1) 文档缺失(2) 文档自身、文档之间或者文档与实际情况不一致(3) 文档内容不完整外包测试(1) 外包合同内容不完善(2) 未对外包服务进行持续、有效的控制和监督3建议性问题功能测试(1) 系统出现偶发性错误，但不影响正常业务使用(2) 系统操作不方便(3) 人机交互界面不友好安全性测试(1) 影响支付业务连续性，但系统能够及时恢复文档测试(1) 文档格式不统一，不易于浏览，文档内容不容易理解(2) 文档管理不规范二、检测结果判定（一）检测项结果判定原则 不符合在检测过程中，发现严重性问题和一般性问题，该检测项的检测结果判定为“不符合

5、”。 符合在检测过程中，未发现问题或仅发现建议性问题，该检测项的检测结果判定为“符合”。 不适用在功能类、性能类、风险监控类检测过程中，根据厂商声明，被检测系统未提供的非必测项判定为“不适用”。 在安全类检测过程中，检测要求对抗的威胁在被测系统中不存在，该检测项判定为“不适用”。判定为不适用的安全类检测项需说明原因和带来的安全影响，但不计入检测项数量统计中（二）检测类结果判定原则 不符合该检测类中存在因严重问题导致的“不符合”检测项，则该检测类的检测结果判定为“不符合”。该检测类中存在因一般问题导致的“不符合”检测项，如果“不符合”率为以下情况的，则该检测类的检测结果判定为“不符合”：（1）属

6、于功能类的检测项，其检测结果中“不符合”率大于15%。（2）属于风险监控类的检测项，其检测结果中“不符合”率大于15%。（3）属于性能类的检测项，其检测结果中“不符合”率大于15%。（4）属于安全类的检测项，其检测结果中“不符合”率大于15%。（5）属于文档类的检测项，其检测结果中“不符合”率大于15%。（6）属于外包类的检测项，其检测结果中“不符合”率大于15%。 符合该检测类中检测项的检测结果全部为“符合”，则该检测类的检测结果判定为“符合”。该检测类中存在因一般问题导致的“不符合”检测项，如果“不符合”率为以下情况的，则该检测类的检测结果判定为“符合”：（1）属于功能类的检测项，其检测结

7、果中“不符合”率小于或等于15%。（2）属于风险监控类的检测项，其检测结果中“不符合”率小于或等于15%。（3）属于性能类的检测项，其检测结果中“不符合”率小于或等于15%。（4）属于安全类的检测项，其检测结果中“不符合”率小于或等于15%。（5）属于文档类的检测项，其检测结果中“不符合”率小于或等于15%。（6）属于外包类的检测项，其检测结果中“不符合”率小于或等于15%。（三）检测报告结果判定原则 不符合检测类的检测结果存在“不符合”，检测报告结果判定为“不符合”。 符合 其他情况检测报告结果判定为“符合”。三、问题等级分类判例1功能测试序号问题案例问题等级1 业务流程异常中断(1) 由于

8、系统设计问题导致系统异常中断，无法继续交易严重(2) 撤销交易无法完成，出现异常严重3 对账处理错误(1) 无法正确生成对账文件严重4 交易处理出错(1) 消费金额与实际扣款金额不符严重(2) 对已经消费撤销的交易还可以再次消费撤销一般(3) 同一商品可以重复退货严重(4) 积分兑换未成功后，积分减少一般8 处理交易数据的相关功能错误(1) 金额位数没有控制，造成数据溢出严重(2) 交易处理过程中，金额等信息显示不正确严重(3) 冲正处理后手续费未按规定返还严重11 功能不合理(1) 账户可交易金额只精确到元，不能精确到角、分一般(2) 密码错误次数被累计（输入错误密码后，再输入正确密码，但是

9、前面的错误计数未归零）建议13 系统输入参数校验不严格(1) 对必填项无校验或校验不严格一般(2) 系统对身份证件号码无基本校验一般15 界面不友好或部分功能使用不便捷(1) 界面出现错别字、字体不统一等建议(2) 界面汉化错误或不准确建议(3) 信息提示不正确一般(4) 界面有多余的工具栏/按钮建议(5) 某些操作不支持手工录入建议20 查询功能未正确实现(1) 查询结果信息不正确严重(2) 查询结果信息不完整一般22 存在预授权功能但没有正确实现(1) 预授权按照消费交易实现严重23 存在预授权撤销功能但没有正确实现(1) 预授权撤销按照消费撤销的交易实现严重2风险监控测试序号问题案例问题

10、等级1 客户资金与公司自有资金未分开管理(1) 客户资金没有单独管理，没有与公司的自有资金分开管理严重2 未提供交易监控及预警功能(1) 未对客户的交易实施有效的监控，以及对客户的异常交易没有正确的预警响应机制严重3 必备的交易查询结果有误(1) 交易查询结果不正确严重(2) 交易查询结果不完整一般3性能测试序号问题案例问题等级1 性能需求指标未达标(1) 性能测试结果表明系统未达到性能需求指标（例如：并发用户数、吞吐量等）严重2 性能测试过程中系统出现异常(1) 出现系统异常退出、宕机严重3 性能测试过程中系统堵塞且不可恢复(1) 测试压力释放后，系统一直处理队列中交易，不能恢复正常状态严重

11、4安全性测试（1）网络安全性测试序号问题案例问题等级1 网络安全域划分不明确(1) 未划分核心域、管理域等网络不同区域，核心网边界未进行有效隔离严重(2) 未部署入侵检测类安全产品或进行有效的入侵检测防范一般(3) 日常办公网可访问核心生产服务器和网络设备严重4 网络未作流量控制(1) 在路由器或者交换机上未配置QOS，也未做其它网络流量控制建议5 网络冗余和备份(1) 无链路备份一般(2) 核心网络设备缺少冗余严重(3) 链路使用同一运营商的线路建议8 口令控制不严格(1) SNMP community 字符串为默认值一般(2) 路由器使用默认的enable密码一般(3) 未限制口令最小长度

12、、复杂度和更新时间等一般11 密码未加密存储或加密方式不安全(1) 路由器/防火墙的enable密码未加密存储一般(2) 路由器/防火墙的enable密码存储加密方式不安全，易被破解一般13 登录策略不严格(1) 未设置非法登录次数控制参数一般(2) 未设置连接超时等控制参数建议15 防范软件未安装或更新不及时(1) 没有安装IDS或防恶意代码软件一般(2) 病毒库更新不及时；IDS特征库更新不及时一般(3) 防范软件未能及时安装补丁一般18 监控、审计功能/设备未开启或不严格(1) 数据中心无独立的网络监控设备一般(2) 未建立主机、应用的自动化监控平台建议(3) 网络设备无审计记录一般21

13、 日志未开启或时间控制不严格(1) 未开启日志功能一般(2) 未使用NTP或类似的技术对关键设备的时间进行同步建议(3) 没有专人定时查看并分析日志建议(4) 不对审计记录进行备份保存，日志信息循环记录一般25 系统或协议版本低(1) 网络设备软件版本过低建议(2) 应用协议（如SNMP协议）版本过低建议27 网络访问控制策略不严格(1) 防火墙访问控制规则中未配置默认的拒绝策略一般(2) 未对可登录核心系统主机的主机范围进行限定一般(3) 无法对非授权设备私自联到内部网络和内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断一般(4) 访问生产区服务器的终端机可同时访

14、问互联网一般(5) 未进行地址转换，以隐藏内部网络结构一般32 未进行地址绑定(1) 在不影响双机切换等情况下，重要服务器在网络设备上未进行MAC和IP的绑定建议33 系统或协议参数配置不安全(1) 允许使用SSH的V1版本建议34 使用不安全的登录协议(1) 没有禁止客户端通过telnet 协议（明文传输）在内部网络内进行远程管理建议(2) 没有禁止客户端通过telnet 协议（明文传输）在外部网络内进行远程管理一般36 未定期进行漏洞扫描(1) 没有漏洞扫描工具，也没有漏洞扫描记录和报告一般37 无安全配置标准(1) 网络设备（防火墙、路由器、交换机和IDS等）无安全配置标准建议38 网络

15、入侵防范不完善(1) 未设置DoS/DDoS攻击、网络ARP欺骗攻击等的防护措施一般39 最小化服务(1) 网络设备开启了不必要的服务建议40 职责未分离(1) 同一团队/人员负责管理多台网络设备、主机以及其他硬件设备等建议41 安全审计不充分(1) 没有定期的内部审计安全检查建议42 安全人员配备(1) 安全管理职责由其他人员兼职一般（2）主机安全性测试序号问题案例问题等级1 无系统备份(1) 关键主机无备份严重2 口令策略不严格(1) 用户密码策略设置不安全（密码长度、过期时间、锁定策略等）一般(2) Linux系统引导程序GRUB未设置密码一般(3) Solaris 未设置eeprom硬

16、件保护口令一般5 登录策略不严格(1) 未禁止root用户直接登录一般(2) 连续错误登录多次未自动锁定账号一般(3) root用户存在可疑的路径参数环境变量一般(4) 对root 用户的使用没有申请机制一般(5) 主机未更改默认用户登录名一般(6) 主机默认显示上一次登录用户名一般(7) 没有对访问特定服务器的内部终端进行限制一般(8) 没有强制注销及超时限制一般(9) 应用中间件控制台登录密码使用默认口令严重14 未最小化服务或配置(1) 存在多种随系统启动的服务（如Telnet、SNMP、Rusersd等）一般(2) 无禁用操作系统默认用户（如daemon、bin、sys、adm等）一般

17、(3) 主机系统路由表存在多条未明确用途的路由一般17 补丁更新不及时(1) 主机系统未及时安装服务补丁包建议18 服务器未专用(1) FTP/WEB服务器等未专用建议19 未安装防范软件或更新不及时(1) （Windows主机）没有安装防恶意代码软件严重(2) （Windows主机）病毒库未定期更新一般21 无系统资源监控机制(1) 对系统的资源消耗和其他信息没有实时监控和预警机制一般22 安全人员配备(1) 安全管理职责由其他人员兼职一般23 拒绝服务漏洞(1) OpenSSH远程服务器复制块远程拒绝服务漏洞一般(2) Web服务器Apache拒绝服务漏洞一般25 远程代码执行漏洞(1)

18、OpenSSHGSSAPI认证远程代码执行漏洞一般26 内存擦除漏洞(1) OpenSSH PAM会话内存擦除漏洞一般27 绕过认证漏洞(1) Solaris 10 Telnet可绕过认证漏洞一般28 异常处理漏洞(1) 可使用个别组件执行任意代码，通过修改httpd配置文件导致内存溢出，从而能够创建恶意的配置文件，执行任意的代码严重(2) /usr/local/apache2/cgi-bin/test-cgi会使远程访问者列出webserver的文件，为系统安全留下隐患一般30 日志或审计功能未开启(1) 主机系统未开启系统日志审计功能建议(2) Windows主机未配置本地安全审计策略建议

19、(3) 没有专人定时检查系统日志建议33 无安全配置和加固(1) 无主机和数据库安全配置标准建议(2) 无主机和数据库安全加固制度或标准建议35 未定期进行漏洞扫描(1) 没有漏洞扫描工具，也没有漏洞扫描记录和报告一般36 文件权限控制不严格(1) 日志文件权限设置不安全建议(2) 存在具有SUID/SGID权限的文件建议(3) 存在全局可写文件/目录建议(4) 存在具有同组用户可写属性的文件/目录建议(5) 存在无属主文件建议(6) 主机重要系统文件的权限设置不安全一般(7) Linux系统/etc/aliaes文件中未禁用无用的别名建议43 服务弱配置(1) SSH默认开启了X11转发功能

20、建议(2) SSH服务端配置文件未指明仅支持协议2建议45 使用不安全的登录协议(1) 主机远程登录，用户名和密码明文传输一般46 日志保护不严格(1) 主机日志保存时间过短（低于3个月）建议(2) 未使用日志监控软件或日志服务器建议(3) 没有单独为应用系统的日志建立文件系统，存在系统日志增长将文件系统耗尽的风险建议49 未安装强制访问控制模块(1) 核心业务服务器操作系统和数据库系统未安装强制访问控制模块建议50 安全人员配备(1) 安全管理职责由其他人员兼职一般51 关键进程监测和预警(1) 对系统关键进程没有实时监控和预警机制一般（3）应用安全性测试序号问题案例问题等级1 存储明文敏感

21、信息或日志中包含敏感信息(1) 系统保存了支付服务业务系统非必须的客户身份认证信息（如银行卡交易密码、指纹信息等）严重(2) 系统以明文存储了用户口令严重(3) 错误调试信息中包含了明文的用户口令、指纹信息、磁道信息、密钥及CVN/CVN2信息严重(4) 网络客户端日志中包含了明文的交易信息、用户口令、密钥及CVN/CVN2信息严重5 敏感信息明文传输(1) 使用HTTP协议，登录信息明文传输严重6 无交易记录功能(1) 应用系统无交易记录模块严重7 无权限控制(1) 没有管理员权限或者用户权限控制严重8 应用容错性差(1) 未对输入做严格检查一般(2) 未对输入做严格检查（内部管理应用）建议

22、(3) 异常的中断导致系统关闭、不能使用或导致敏感信息的泄露严重11 口令安全策略不严格(1) 未对密码长度、复杂度等做限制一般(2) 用户修改自己的密码时，没有对密码中包含用户名的内容进行判断和提示建议13 14 上传文件检查不严格(1) 没有对上传文件的文件格式进行校验，存在上传.exe 等可执行文件的风险一般(2) 没有对上传文件大小进行控制建议16 资源控制不严格(1) 对连接数、进程资源等没有监控和预警措施一般17 SQL注入漏洞(1) 部分页面存在SQL注入漏洞严重18 显示内部敏感信息(1) 应用程序错误时在Web页面显示调试信息一般(2) 服务器响应信息中包含内部IP可能泄露内

23、部网络信息一般(3) 对隐藏目录访问时可收到403消息，可探测目录的存在性一般(4) 对隐藏目录访问时可收到403消息，可探测目录的存在性（内部管理应用）一般(5) 未限制会话超时时间一般(6) 登录失败时显示明确的提示信息一般(7) 没有使用图片验证码方式建议25 右键未屏蔽(1) 点击右键出现菜单，再进行其他操作导致出现不应出现的界面建议26 保存Cookie信息(1) 登录系统并浏览页面后，浏览器的Cookie 信息遗留一些过程文件建议27 权限控制不严格(1) 未屏蔽没有权限访问的功能菜单一般28 目录列举漏洞(1) 服务器应答包含目录内容，存在目录列举漏洞一般(2) Microsof

24、t IIS WebDav 目录列举漏洞一般30 拒绝服务漏洞(1) Microsoft IIS WebDAV远程拒绝服务漏洞一般31 没有预留信息提示(1) 登录系统后，没有预留信息提示，无法防止网络钓鱼攻击建议32 电子认证应用(1) 使用未获得工业和信息化部颁发电子认证服务许可证的电子认证机构发放的证书或提供的服务一般(2) 使用未获得工业和信息化部颁发电子认证服务许可证的电子认证机构发放的证书或提供的服务（内部管理应用）建议(3) 关键业务实现未使用电子认证技术保证交易的完整和抗抵赖一般(4) 关键业务实现未使用电子认证技术保证交易的完整和抗抵赖（内部管理应用）建议(5) 电子签名实现不

25、符合中华人民共和国电子签名法规定的有效电子签名要求严重(6) 电子签名实现不符合中华人民共和国电子签名法规定的有效电子签名要求（内部管理应用）一般(7) 关键业务实现未使用服务器证书标示网上应用身份严重(8) 关键业务实现未使用服务器证书标示网上应用身份（内部管理应用）一般(9) 关键业务相关插件及客户端程序发布未使用证书签发一般(10) 关键业务相关插件及客户端程序发布未使用证书签发（内部管理应用）建议(11) 未对所持有的服务器证书私钥进行有效保护，存在服务器证书私钥泄漏风险严重43 Web页面安全(1) 开启危险的HTTP方法，如PUT、DELETE、MOVE、TRACE、CONNECT

26、等建议(2) 不安全的会话管理，如会话ID不更新、会话变量泄露等一般(3) 跨站脚本攻击严重(4) 跨站脚本攻击（内部管理应用）一般(5) 存在可直接访问的管理页面严重(6) 存在可直接访问的管理页面（内部管理应用或WAP应用）一般(7) 对应用系统日志没有记录或粒度不够详细一般44 WAP页面安全(1) 缺少登录防穷举措施一般(2) 未采用数字证书技术实施SSL加密严重(3) 存在SQL注入漏洞严重(4) 存在跨站脚本漏洞一般(5) 存在源代码暴露漏洞一般（4）数据安全性测试序号问题案例问题等级1 敏感信息未加密(1) 敏感信息明文传输和存储严重2 数据备份和恢复功能不完善(1) 缺少本地数

27、据备份与恢复功能严重(2) 主要网络设备、通信线路和数据处理系统的硬件缺少冗余一般4 数据更改机制(1) 未制定严格的数据更改制度/流程一般(2) 数据更改不是双人操作，无专人复核一般6 完整性校验(1) 数据在处理过程中没有进行完整性校验一般7 数据销毁不严格(1) 未建立数据销毁制度一般(2) 对数据的销毁方式不安全，如对磁盘未采用消磁或物理破坏的方式销毁，对纸质介质未严格粉碎处理等一般9 数据库补丁安装不及时(1) 未定期安装必要安全补丁建议10 数据库口令控制不严格(1) 数据库口令设置过于简单易被破解严重11 数据库用户权限控制不严格(1) 授予用户CREATE_NOT_FENCED

28、权限建议(2) Public组用户权限设置不当建议(3) 使用了WITH GRANT OPTION授予对象权限建议(4) 权限授予给用户，应授予给角色建议(5) 存在缺省表空间为SYSTEM的用户建议(6) 存在关联到DEFAULT profile的用户建议(7) 非DBA用户可访问属于SYS或者DBA的视图建议18 数据库审计功能未开启(1) 未启用数据库审计功能建议19 数据库认证参数和其他安全参数配置不严格(1) 未启用SQL92_SECURITY参数建议(2) ORACLE的OS_AUTHENT_PREFLX参数为OPS$建议(3) ORACLE使用了外部过程组件extproc，且未限制TCP的地址；Oracle数据库口令策略采用默认设置，没有启用oracle net manager的加密传输建议(4) O