非金融机构支付服务业务系统检测规范 第1部分：互联网支付(V3.0) - 图文

编号 检测项 面安全/网站页面跨站脚本攻击防范 4.3.2.7 应用安必测全/ 项 WEB页面安全/网站页面源代码暴露防范 4.3.2.8 应用安必测全/ 项 WEB页面安全/网站页面黑客挂马防范 4.3.2.9 应用安必测全/ 项 WEB页面安全/网站页面防篡改措施 4.3.2.10 应用安必测全/ 项 WEB页面安全/网站页面防钓鱼 业务系统、管理系统应无源代码暴露漏洞。 检测说明 技术要求细化 检测方法及步骤 洞。 预期结果及判定 本漏洞。 类别 通过Web扫描软件及手工测试，查看系统是否存在源代码暴露漏洞。 通过Web扫描软件及手工测试，未发现系统存在源代码暴露漏洞。 技术类 应采取防范网站页面黑客挂马的机制和措施。 1.检查网站是否存在黑客挂马情况； 2.根据Web扫描软件及手工测试，是否发现网站有被黑客挂马的风险； 3.查看系统是否使用了网页防篡改系统。 访谈系统管理员，询问是否部署了网站页面防篡改措施或设备。 1.通过检测，未发现系统存在黑客挂马情况； 2.通过检测，未发现网站存在被黑客挂马的风险； 3.系统使用了网页防篡改系统防止黑客挂马。 技术类 应部署防篡改措施或设备。 部署了网站页面防技篡改措施或设备。 术类 1.网站页面应支持用户设置预留防伪信息； 2.防伪信息应能够正确显示。 1.访谈系统管理员，询问网站是否配置了用户预留防伪信息功能； 2.检查预留防伪信息功能，并尝试对其进行配置； 3.用户登陆后能正确显示预留的防伪信1.网站支持用户设技置预留防伪信息； 术2.防伪信息能够正类 确显示。 41

编号 检测项 检测说明 技术要求细化 检测方法及步骤 息。 4.3.3.1 应用安全/访问控制/访问权限设置 必测项 1.应提供访问控制功能； 2.控制粒度应达到文件、数据库级； 3.访问控制策略的授权主体； 4.如设置默认用户，其权限有应被严格限制； 5.各用户权限划分应依据最小权限原则，相互之间应存在制约关系。 1.应访谈应用系统管理员，询问应用系统是否提供访问控制措施，以及具体措施和访问控制策略有哪些，访问控制的粒度如何； 2.应检查应用系统，查看访问控制的粒度是否达到主体为用户级，客体为文件、数据库表级；查看其是否有由授权用户设置其它用户访问系统功能和用户数据的权限的功能，是否限制默认用户的访问权限； 3.应检查应用系统，查看系统是否授予不同账户为完成各自承担任务所需的最小权限，特权用户的权限是否分离，权限之间是否相互制约； 4.应测试应用系统，可通过以不同权限的用户登录系统，查看其拥有的权限是否与系统赋予的权限一致，验证应用系统访问控制功能是否有效； 5.应测试应用系统，可通过以默认用户登录系统，并进行一些合法和非法操作，验证系统是否严格限制了默认账户的访问权1.系统提供了访问技控制功能，控制粒术度主体为用户级，类 客体为文件、数据库表级； 2.访问控制措施由授权主体设置，并限制了默认用户的访问权限； 3.各用户按照最小权限原则进行权限划分，并在相互之间形成制约关系。 预期结果及判定 类别 42

编号 检测项 检测说明 技术要求细化 检测方法及步骤 限； 6.在不登录的情况下，或通过低权限用户登录后通过URL直接跳转到高权限用户的功能模块，验证是否得到限制。 4.3.3.2 应用安必测全/访项 问控制/自主访问控制范围 访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作。 应检查应用系统，查看其访问控制的覆盖范围是否包括与信息安全直接相关的主体、客体及它们之间的操作，如对客体的增、删、改、查等操作。 访问控制的覆盖范围包括了与资源访问相关的主体、客体及它们之间的操作。 技术类 预期结果及判定 类别 4.3.3.3 应用安全/访问控制/业务操作日志 必测项 应提供业务操作审计功能。 1.应访谈安全审计系统具有对所有业员，系统是否具备对务操作进行日志记所有业务操作的审计录的功能。 功能； 2.应检查应用系统，查看系统是否记录了所有业务操作日志； 3.应测试应用系统，可通过业务操作产生相关审计日志，并查看是否能够正确记录。 1.访谈系统管理员，系统内关键数据有哪些，是否配置了针对关键数据的访问控制策略； 2.应渗透测试应用系统，进行试图绕过访问控制的操作，验证应用系统的访问控制功能是否不存在明显的弱点。 1.应访谈系统管理员，用户访问异常中严格控制了用户对关键数据的操作，无法绕过访问控制对其进行操作。 技术类 4.3.3.4 应用安必测全/访项 问控制/关键数据操作控制 应严格控制用户对关键数据的操作。关键数据如：敏感数据、重要业务数据、系统管理数据等。 技术类 4.3.3.5 应用安全/访必测项 1.应提供用户访问中断的保护措施； 用户访问异常中断后，能够保证用户技术43

编号 检测项 问控制/异常中断防护 检测说明 技术要求细化 检测方法及步骤 预期结果及判定 数据不丢失。 类别 类 2.应保证数据不丢失。 断的防护手段有哪些； 2.应测试应用系统，在用户访问异常中断后，查看用户数据是否丢失。 必测项 1.应具备数据库安全配置手册； 2.对数据库进行安全配置。 1.应查看是否编制了数据库安全配置手册； 2.应依据安全手册检查数据库是否按照手册进行了相关安全配置。 1.应访谈安全审计员，询问应用系统是否有安全审计功能； 2.应检查应用系统，查看其审计记录信息是否包括事件发生的日期与时间、触发事件的主体与客体、事件的类型、事件成功或失败、身份鉴别事件中请求的来源、事件的结果等内容； 3.应测试应用系统，在应用系统上试图产生一些重要的安全相关事件（如用户登录、修改用户权限等），查看应用系统是否对其进行了审计；如果进行了审计则查看审计记录内容是否包含事件的日期、时间、发起者信息、类型、描述和结果等。 1.应访谈安全审计员，对审计日志的保护措施有哪些； 4.3.3.6 应用安全/访问控制/数据库安全配置 4.3.4.1 应用安全/安全审计/日志信息 1.具备数据库安全配置手册； 2.按照手册进行了相关安全配置。 技术类 必测项 1.应具备安全审计功能； 2.审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等。 1.系统具备安全审技计功能； 术2.审计要素包括了类 事件的日期、时间、发起者信息、类型、描述和结果等。 4.3.4.2 应用安全/安全审计必测项 1.应保证无法单独中断审计进程； 2.无法删除、修改或覆1.无法单独中断审计进程； 2.提供了审计记录技术类 44