非金融机构支付服务系统测试准备工作清单网络支付部分.docx

1、非金融机构支付服务系统测试准备工作清单网络支付部分非金融机构支付服务系统测试准备工作清单（网络支付部分）1 按照人行要求，非金融机构提交的支付服务系统已上线，且被测版本与上线版本一致。2 填写“5.附件一 非金融机构支付服务系统基本情况问卷”。3 功能测试部分3.1 填写“6.附件二 系统功能与检测指标对应关系表（网络支付部分）”。3.2 文档准备编号检测项有/无对应文档名称1 相关的功能测试报告（电子版或者纸质版复印件）4 风险监控测试4.1 文档准备编号检测项有/无对应文档名称1 风险监控规则描述文档2 风险测试报告4.2 请填写下表第三列（风险监控基本方式）编号检测项监控方式1 账户风险

2、管理转移备付金描述风险监控系统的相应功能或人工处理流程,如果暂无功能或流程，则写无。多种用户身份鉴别方式甄别可疑交易2 交易监控监控规则管理当日交易查询历史交易查询实时交易监控异常交易监控交易事件报警4 交易审核系统自动审核人工审核6 风控规则风控规则管理黑名单风险识别事件管理风险报表5 性能测试5.1 填写“7.附件三 系统性能测试需求表（网络支付部分）”。5.2 文档准备编号检测项有/无对应文档名称1 性能测试报告5.3 数据准备准备内容准备状态配置好系统运行的基础参数，主要业务流程及功能项正确准备性能测试所需要的数据测试环境（测试工具和测试脚本），包含登陆、提现、交易明细查询、支付。6

3、安全性测试6.1 网络安全性测试6.1.1 文档准备编号检测项有/无对应文档名称1 网络设备的操作手册2 网络设备运维管理制度3 网络设备最新的配置文件4 网络设备的巡检记录5 网络设备日志管理制度6 网络设备变更管理制度7 网络设备变更审批单样张8 安全事件处理制度9 网络设备安全审计报告10 网络安全关键岗位人员管理制度11 网络设备补丁管理制度6.1.2 策略描述 结构安全(1) 请描述网络冗余和备份措施。 (2) 请描述系统子网划分的规则。 (3) 请描述QoS保证措施。 网络访问控制(1) 请描述内网、DMZ区、互联网三者之间的访问权限。 拨号访问控制(1) 是否通过远程拨号的方式管

4、理网络设备？如果有，请描述远程拨号访问控制措施。 网络安全审计(1) 网络设备是否都启用了日志服务？日志信息都包含哪些内容？ (2) 如果启用了日志服务，请描述日志的存储、备份、定期审核、访问审批等的措施或流程。 (3) 是否有审计认证系统，请描述审计认证系统的功能。 网络入侵防范(1) 是否部署了入侵检测/入侵防御系统？具体的型号是？ (2) 是否定期进行安全测试？如果是，多长时间一次？并提供测试报告的样板。 恶意代码防范(1) 是否部署恶意代码防范设备或软件？请描述其更新策略。 网络设备防护(1) 请描述网络设备登录口令的复杂度策略。 (2) 请描述网络设备的变更审批流程，并提供审批单样张

5、。 6.2 主机安全性测试6.2.1 文档准备编号检测项有/无对应文档名称1 主机服务器的操作手册2 主机服务器运维管理制度3 主机服务器最新的配置文件4 主机服务器的巡检记录5 主机服务器日志管理制度6 主机服务器变更管理制度7 主机服务器变更审批单样张8 安全事件处理制度9 主机服务器安全审计报告10 主机安全关键岗位人员管理制度11 操作系统补丁管理制度6.2.2 数据准备准备主机的IP地址和root权限，及扫描设备接入的方式。6.2.3 策略描述 安全审计(4) 主机服务器是否都启用了日志服务？日志信息都包含哪些内容？ (5) 如果启用了日志服务，请描述日志的存储、备份、定期审核、访问

6、审批等的措施或流程。 (6) 是否有审计认证系统，请描述审计认证系统的功能。 系统保护(1) 请描述主机服务器的备份方式，包括备份的地点等。 (2) 是否部署监控设备？请描述监控设备的名称、型号、监控的内容、报警方式等。 恶意代码防范(1) 是否部署恶意代码防范设备或软件？请描述其更新策略。 6.3 应用安全性测试6.3.1 文档准备编号检测项有/无对应文档名称1 应用系统口令安全性策略制度2 应用系统数据备份和恢复制度3 应用系统过期信息文档处理流程4 应用系统补丁管理制度5 编码规范及源代码管理制度6 终端管理制度6.3.2 策略描述 身份鉴别(1) 应用系统用户分为哪几类？权限如何划分？

7、 (2) 请描述用户账号的添加、删除、修改审批流程。 WEB页面安全(1) 提供网站ICP备案号。 数据安全(1) 请描述应用系统的数据的备份机制。 应用容错(1) 请描述应用系统数据有效性校验机制、容错机制、故障恢复机制、回退机制。 编码安全(1) 请提供编码规范，以及源代码管理制度。 密钥管理(1) 请详细描述应用系统密钥管理体系（必填项）。 6.4 数据安全性测试6.4.1 文档准备编号检测项有/无对应文档名称1 客户权益数据保护制度2 客户身份信息保护制度3 支付业务信息保护制度4 会计档案信息保护制度5 数据访问控制制度6 数据备份机制7 备份数据的恢复策略8 数据销毁制度和记录6.

8、5 运维安全性测试6.5.1 文档准备编号检测项有/无对应文档名称1 机房管理制度2 机房进出登记表3 介质的管理制度（存放、维修、销毁）4 设备管理制度5 人员管理制度（录用、转岗、考核、安全培训、岗位职责）6 安全事件处理制度7 应急预案8 变更管理制度9 设备监控记录单6.6 业务连续性测试6.6.1 文档准备编号检测项有/无对应文档名称1 业务中断影响分析2 业务连续性管理制度3 备份数据范围和备份频率清单4 备份记录和定期恢复测试记录5 业务连续性培训记录7 文档测试提供下列文档，要求：完善文档密级管理，进行分类，在封面注明机密、秘密、内部、公开等；注明分发范围；确保文档的完整性、可

9、操作性、文字描述的准确性、一致性。编号检测项有/无对应文档名称1 网络支付系统用户手册2 网络支付系统操作手册3 网络支付系统需求说明书4 网络支付系统需求分析文档5 网络支付系统总体设计方案6 网络支付系统数据库设计文档7 网络支付系统概要设计文档8 网络支付系统详细设计文档9 网络支付系统工程实施方案10 网络支付系统功能测试报告11 网络支付系统运维手册12 网络支付系统应急手册13 网络支付系统运维管理制度14 网络支付系统安全管理制度15 网络支付系统安全审计报告8 外包附加测试8.1 文档准备 如果没有外包（开发外包、运维外包等），则可以不填写下表。编号检测项有/无对应文档名称1 外包服务的外包内容2 安全保密协议3 外包合同4 控制和监督策略5 外包交付流程8.2 策略描述(1) 请描述如何进行风险评估和对外包商资质进行审核。 9 配合人员和办公场所准备内容状态（完毕/准备中）准备启动会议（结束会议）会议室，并安放投影仪邀请公司高层参与启动会议通知所有测试配合人员参与启动会议准备可供4-6人工作，进行访谈的办公场所