编号 6 日志备份及删除机制 资源控制 不重点考评 检测项 (1) 连接控制 (2) 会话控制 (3) 进程资源分配 (4) 资源检测预警 应用容错 (1) 数据有效性校验 正确的错误信息提示(2) 容错机制 及流程 (3) 故障机制 (4) 回退机制 报文完整性 (1)通信报文有效性 是否有相应的措施并落实 报文保密性 (1)报文或会话加密 是否有相应的措施并落实 抗抵赖 (1)原发和接收证据 交易来源强认证;交易过程日志完备 编码安全 (1) 源代码审查 源代码管理机制及其(2) 插件安全性审查 落实程度 (3) 编码规范约束 (4) 源代码管理 (5) 版本管理 电子认证应用 (1) 第三方电子认证机构 系统与用户端的交易(2) 关键业务电子认证技术应用 数据传输必须具备专(3) 电子签名有效性 门的认证手段(PSAM(4) 服务器证书私钥保护 卡物理认证、第三方证书、密码机、动态口令卡等) 脱机数据认证 (1) 密钥和证书 (2) 静态数据认证 (3) 动态数据认证 应用密文和发卡机构(1) 应用密文产生 认证 (2) 发卡机构认证 管理手段及落实程度 (3) 密钥管理 安全报文 (1) 报文格式 管理手段及落实程度 (2) 报文完整性验证 (3) 报文私密性 (4) 密钥管理 卡片安全 (1) 共存应用 管理手段及落实程度 (2) 密钥的独立性 (3) 卡片内部安全体系 (4) 卡片中密钥的种类 检测说明 必测项 7 必测项 8 必测项 9 必测项 10 必测项 11 必测项 12 必测项 13 脱机交易类必测项 脱机交易类必测项 脱机交易类必测项 14 15 16 脱机交易类必测项
编号 17 终端安全 管理手段及落实程度 密钥管理体系 管理手段及落实程度 安全机制 认可的算法 检测项 (1) 终端数据安全性要求 (2) 终端设备安全性要求 (3) 终端密钥管理要求 (1) 认证中心公钥管理 (2) 发卡机构公钥管理 (3) 发卡机构对称密钥管理 (1) 对称加密机制 (2) 非对称加密机制 (1) 对称加密算法 (2) 非对称加密算法 (3) 哈希算法 检测说明 脱机交易类必测项 脱机交易类必测项 脱机交易类必测项 脱机交易类必测项 18 19 20 4.数据安全性测试
对支付服务业务系统数据安全防护进行检测,主要考察数据的传输、存储、备份与恢复安全性。检测内容如下:
编号 1 检测项 (1) 客户身份信息保护 (2) 支付业务信息保护 客户个性化信息加密传输 (3)会计档案信息保护 存储; 数据保护 业务数据、会计数据备份、保管机制及落实程度 2 (1) 重要数据更改机制 (2) 数据备份记录 数据库管理安全保障机制(3) 保障传输过程中的数据完整性 (4) 备份数据定期恢复 及其落实; 数据完整性 数据备份、 3 交易数据以及客户数据的(1) 数据物理存储安全 必测项 (2) 客户身份认证信息存储安全 安全性 (3) 终端信息采集设备硬加密措施或其它防伪手段 (4) 同一安全级别和可信赖的系统之间信息传输 (5) 加密传输 (6) 加密存储 (7) 数据访问控制 (8) 在线的存储备份 (9) 数据备份机制 必测项 检测项目 必测项
编号 检测项 (10)本地备份 (11)异地备份 (12)备份数据的恢复 (13)数据销毁制度和记录 (14)关键链路冗余设计 检测项目 5.运维安全性测试
对支付服务业务系统运维安全进行检测,主要考察运维安全管理制度及运维安全执行情况。检测内容如下:
编号 1 检测项 环境管理 (1) 机房基础设施定期维护 (2) 机房的出入管理制度化和文档化 (3) 办公环境的保密性措施 (4) 机房安全管理制度 (5) 机房进出登记表 介质管理 (1) 介质的存放环境保护措施 (2) 介质的使用管理文档化 (3) 维修或销毁介质之前清除敏感数据 (4) 介质管理记录 (5) 介质的分类与标识 设备管理 (1) 设备管理的责任人员或部门 (2) 设施、设备定期维护 (3) 设备选型、采购、发放等的审批控制 (4) 设备配置标准化 (5) 设备的操作规程 (6) 设备的操作日志 (7) 设备使用管理文档 (8) 设备标识 人员管理 (1) 人员录用 (2) 人员转岗、离岗 (3) 人员考核 (4) 安全意识教育和培训 (5) 外部人员访问管理 (6) 职责分离 监控管理 (1) 主要网络设备的各项指标监控情况 (2) 主要服务器的各项指标监控情况 (3) 应用运行各项指标监控情况 (4) 异常处理机制 变更管理 (1) 变更方案 (2) 变更制度化管理 (3) 重要系统变更的批准 (4) 重要系统变更的通知 安全事件处(1) 安全事件报告和处置 检测项目 必测项 2 必测项 3 必测项 4 必测项 5 必测项 6 必测项 7 必测项
编号 置 8 检测项 (2) 安全事件的分类和分级 (3) 安全事件记录和采取的措施 应急预案管(1) 制定不同事件的应急预案 理 (2) 相关人员应急预案培训 (3) 定期演练 检测项目 必测项 6.业务连续性测试
对支付服务业务系统业务连续性进行检测,主要考察系统是否具备业务连续性管理并达到设计目标。检测内容如下:
编号 1 2 业务连续性需求分析 检测项 (1) 业务中断影响分析 (2) 灾难恢复时间目标和恢复点目标 业务连续性技术环境 (1) 备份机房 (2) 网络双链路 (3) 网络设备和服务器备份 (4) 高可靠的磁盘阵列 (5) 远程数据库备份 3 业务连续性管理 (1) 业务连续性管理制度 (2) 应急响应流程 (3) 恢复预案 (4) 数据备份和恢复制度 4 备份与恢复管理 (1) 备份数据范围和备份频率 (2) 数据备份和恢复手册 (3) 备份记录和定期恢复测试记录 (4) 定期数据备份恢复性测试 5 日常维护 (1) 每年业务连续性演练 (2) 定期业务连续性培训 必测项 必测项 必测项 必测项 检测说明 必测项
五、文档测试
对支付服务业务系统的用户文档、开发文档、管理文档的完备性、一致性、正确性、规范性,以及是否符合行业标准,是否遵从更新控制和配置管理的要求等方面进行检测。检测内容如下:
相关推荐:
loading