编号 检测项 (1) 连接控制 (2) 会话控制 (3) 进程资源分配 (4) 资源检测预警 检测内容 检测说明 必测项 5 资源控制 (1) 数据有效性校验 6 应用容错 (2) 容错机制 (3) 故障机制 (4) 回退机制 (1) 通信报文有效性 (2) 通信完整性说明 (1) 报文或会话加密 (2) 通信异常处理 (1) 原发和接收证据 (1) 编码规范约束 10 编码安全 (2) 源代码管理 (3) 版本管理 (1) 密钥和证书 11 脱机数据认证 (2) 静态数据认证 (3) 动态数据认证 (1) 应用密文产生 12 应用密文和发卡行认证 (2) 发卡行认证 (3) 密钥管理 (1) 报文格式 13 安全报文 (2) 报文完整性机器验证 (3) 报文私密性 (4) 密钥管理 (1) 共存应用 (2) 密钥的独立性 (3) 卡片内部安全体系 (4) 卡片中密钥的种类 (1) 终端数据安全性要求 15 终端安全 (2) 终端设备安全性要求 (3) 终端密钥管理要求 (1) 认证中心公钥管理 (2) 发卡行公钥管理 (3) 发卡行对称密钥管理 (1) 对称加密机制 (2) 非对称加密机制 (1) 对称加密算法 (2) 非对称加密算法 (3) 哈希算法 必测项 7 8 9 通信完整性 通信保密性 抗抵赖 必测项 必测项 必测项 必测项 IC卡必测项 IC卡必测项 IC卡必测项 IC卡必测项 14 卡片安全 IC卡必测项 IC卡必测项 16 密钥管理体系 17 安全机制 IC卡必测项 IC卡必测项 18 认可的算法 共23页,第13页
4.数据安全性测试
对系统数据安全防护进行检测,主要考察数据的传输、存储、备份与恢复能力。主要从以下几个方面进行检测:
编号 检测项 检测内容 (1) 重要数据更改机制 检测说明 必测项 1 数据完整性 (2) 对数据备份和审计记录定期进行查验 (3) 保障传输过程中的数据完整性安全 (4) 定期随机抽取备份数据进行解压、还原,检查其内容有效性 (1) 数据物理存储 (2) 数据交换安全性 (3) 加密传输 必测项 2 (4) 加密存储 交易数据以及客户数据的安全(5) 数据访问控制 性 (6) 数据备份机制 (7) 本地备份 (8) 异地备份 (9) 备份数据的恢复 (10) 数据销毁制度和记录 五、文档测试
对系统的开发文档、用户文档、管理文档的完备性、可维护性、可管理性,以及是否符合行业标准,是否遵从更新控制和配置管理的要求等方面进行检测。主要检测的系统文档包括:
编号 用户文档 (1) 文档密级管理 1 用户手册 (2) 文档登记、借阅和保管的流转跟踪记录 (3) 文档内容:文档完整性、可操作性、文字描述的准确性、一致性 (1) 文档密级管理 (2) 文档登记、借阅和保管的流转跟踪记2 操作手册 录 (3) 文档内容:文档完整性、可操作性、文字描述的准确性、一致性 开发文档 3 需求说明书 (1) 文档密级管理 共23页,第14页
检测项 检测内容 有/无 检测结果 编号 检测项 检测内容 (2) 文档登记、借阅和保管的流转跟踪记录 (3) 文档内容:文档完整性、可操作性、文字描述的准确性、一致性 (1) 文档密级管理 (2) 文档登记、借阅和保管的流转跟踪记有/无 检测结果 4 需求分析文档 录 (3) 文档内容:文档完整性、可操作性、文字描述的准确性、一致性 (1) 文档密级管理 (2) 文档登记、借阅和保管的流转跟踪记录 (3) 文档内容:文档完整性、可操作性、文字描述的准确性、一致性 (1) 文档密级管理 (2) 文档登记、借阅和保管的流转跟踪记 5 总体设计方案 6 数据库设计文档 录 (3) 文档内容:文档完整性、可操作性、文字描述的准确性、一致性 (1) 文档密级管理 (2) 文档登记、借阅和保管的流转跟踪记 7 概要设计文档 录 (3) 文档内容:文档完整性、可操作性、文字描述的准确性、一致性 (1) 文档密级管理 (2) 文档登记、借阅和保管的流转跟踪记录 (3) 文档内容:文档完整性、可操作性、文字描述的准确性、一致性 (1) 文档密级管理 (2) 文档登记、借阅和保管的流转跟踪记录 (3) 文档内容:文档完整性、可操作性、文字描述的准确性、一致性 8 详细设计文档 9 工程实施方案 管理文档 (1) 文档密级管理 (2) 文档登记、借阅和保管的流转跟踪记10 测试报告 录 (3) 文档内容:文档完整性、可操作性、文字描述的准确性、一致性 (1) 文档密级管理 11 系统运维手册 (2) 文档登记、借阅和保管的流转跟踪记录 (3) 文档内容:文档完整性、可操作性、文字描述的准确性、一致性 共23页,第15页
编号 检测项 检测内容 (1) 文档密级管理 (2) 文档登记、借阅和保管的流转跟踪记有/无 检测结果 12 系统应急手册 录 (3) 文档内容:文档完整性、可操作性、文字描述的准确性、一致性 (1) 文档密级管理 (2) 文档登记、借阅和保管的流转跟踪记录 (3) 文档内容:文档完整性、可操作性、文字描述的准确性、一致性 (1) 文档密级管理 (2) 文档登记、借阅和保管的流转跟踪记 13 运维管理制度 14 安全管理制度 录 (3) 文档内容:文档完整性、可操作性、文字描述的准确性、一致性 (1) 文档密级管理 (2) 文档登记、借阅和保管的流转跟踪记录 (3) 文档内容:文档完整性、可操作性、文字描述的准确性、一致性 15 安全审计报告
六、联网联合规范测试
依据《银行卡联网联合技术规范》测试系统信息接口是否符合相关规范要求。
1.交易处理检测要点
编号 检测项 预授权 追加预授权 预授权撤销 取现 1 交易处理 存款 预授权完成(联机) 消费 代收 代付 预授权完成撤销 消费撤销 共23页,第16页
检测内容 有/无 检测结果
相关推荐:
loading