現在位置: 首頁 > 支付法規 > 正文

規范性文件-非金融機構支付服務業務系統現場檢查基本要求

本文作者: 2年前 (2018-03-31)

卡神小組(www.kashenpos.cn)是中國國內唯一信融職業人培訓機構-卡神小組為有夢想、有干勁、敢于挑 […]

卡神小組(www.kashenpos.cn)是中國國內唯一信融職業人培訓機構-卡神小組為有夢想、有干勁、敢于挑戰的創業者提供較低門檻的創業平臺,卡神小組會與有信心的你一起奮斗前進!

想成為信融職業人的朋友們請點擊登入官網了解更多訊息卡神小組官方網站www.kashenpos.cn

規范性文件-非金融機構支付服務業務系統現場檢查基本要求

頒布日期:2011-11-01

實施日期:2011-11-01

時 效 性:-1

發文文號:

頒布單位:-1

非金融機構支付服務業務系統現場檢查基本要求

1.機房物理環境

編號 檢查項 檢查點 基本要求
1 場地選擇 周圍強電磁環境 須避開強電磁場干擾。
周圍易燃、易爆等隱患 須遠離易燃、易爆場所等危險區域。
周圍危險建筑 周圍須無危險建筑。
自身建筑情況 機房自身須不為危險建筑。
機房在建筑物中的位置 機房場地須避免設在建筑物的高層或地下室,以及用水設備的下層或隔壁。
備份機房 須具有備份機房。
主、備機房距離 宜保持合理距離(>10公里),避免同時遭受同類風險。
建筑物內獨立區域 機房在建筑物內須為獨立區域。
2 門禁系統 個人身份識別措施 ?門禁系統應具有個人身份識別措施。
權限劃分 門禁系統應分區域進行訪問權限設置。
門禁記錄 重要區域應配置電子門禁系統,控制、鑒別和記錄進入的人員。
門禁系統應急措施 應具有完善的門禁系統應急措施。
門禁監控 宜具有門禁監控措施。
3 災害預防措施和設備 滅火系統 機房應具有自動消防系統,能夠自動監測火情。
自動預警消防系統 應具有自動預警消防系統。
排風系統 宜具有排風系統。
消防聯動 宜具有消防聯動機制。
消防監控 應具有消防監控設施。
消防救生門 面積大于100平米機房宜配置消防救生門。
手動消防器材數量和位置 應配備一定數量的消防器材且布局合理。
區域隔離措施 應將重要設備與其他設備隔離開。
建筑材料的耐火等級 機房及相關的工作房間和輔助房間應采用具有耐火等級的建筑材料。
應急照明設備 應配備應急照明設備。
防雷擊措施 須具有避雷裝置,且設置交流電源地線。
防水防潮措施 應具有防水防潮措施。
防靜電措施 應具有防靜電措施。
防塵 機房宜具有防塵措施。
防鼠害 機房宜具有防鼠害措施。
4 供電系統 供電異常報警裝置 應具有供電異常報警裝置。
發電機配備 宜配備與UPS功率相匹配的發電機設備。
UPS負荷情況 負載不應超過UPS額定功率的60%。
供電部門保障協議 宜與供電部門簽訂保障協議。
電路冗余 應設置冗余或并行的電力電纜線路為計算機系統供電。
穩壓器和過電壓防護設備 應具有穩壓器和過電壓防護設備。
供電通信線纜隔離 應隔離電源線纜和通信線纜。
設備電磁屏蔽 宜對關鍵設備和磁介質實施電磁屏蔽。
市電雙回路供電 宜配備市電雙回路供電。
5 綜合布線 走線方式 走線應合理。
布線規整 布線應規整。
統一標識 布線應采用統一標識。
6 機房分區 機房區域劃分情況 應對機房劃分區域進行管理,區域和區域之間設置物理隔離裝置,在重要區域前設置交付或安裝等過渡區域。
7 空調系統 專用空調 應配備專用空調。
不間斷運行能力 空調系統應具有不間斷運行能力。
異常報警 應具有異常報警機制。
機房溫度 冬季溫度范圍應滿足20±2℃,夏季溫度范圍應滿足23±2℃。
機房濕度 機房濕度范圍宜為40%-55%。
空調冗余 應具有一定的冗余空調設備。
統一監控 宜具有統一的監控措施。
漏水報警 應具有漏水報警功能。
8 機房訪問人員控制 人員進入審批 應確保在外部人員訪問受控區域前先提出申請,經身份核實批準后由專人全程陪同或監督,并登記備案。
身份核實
專人陪同
訪問記錄
9 機房所在地安保 進出人員身份核實 應對進出人員進行身份核實。
外來人員登記 應對外來人員進行登記。
視頻監控系統 應配備視頻監控系統。
雙人值守 應采取雙人值守。
報警措施 應利用光、電等技術設置防盜報警系統。
應急處理流程 應具有完善的應急處理流程。
10 設備安全管理 設備擺放及標記 應將設備或主要部件進行固定,并設置明顯的不易除去的標記。
介質的分類管理 應對介質分類標識,存儲在介質庫或檔案室中。
設備的監控 設備或存儲介質攜帶出工作環境時,應有監控和記錄。
11 安全管理制度 機房安全管理制度 應具有完備的機房安全管理制度。
落實情況 應認真落實機房安全管理制度。
操作規程 宜具有詳細的操作規程。
12 機房設備維護 維護制度 應具有完備的維護制度。
維護記錄 應具有詳細的維護記錄。

2.網絡安全

編號 檢查項 檢查點 基本要求
1 結構安全 網絡冗余和備份 應保證主要網絡設備的業務處理能力和網絡各個部分的帶寬滿足業務高峰期需要。應保證關鍵的網絡設備和通信線路具有冗余備份。
路由器安全控制 應在業務終端與業務服務器之間進行路由控制,建立安全的訪問路徑。
防火墻安全控制 須避免將重要網段部署在網絡邊界處且直接連接外部信息系統,重要網段與其他網段之間須采取可靠的技術隔離手段。
網絡拓撲結構 應繪制與當前運行情況相符的網絡拓撲結構圖。
IP子網劃分 應根據各部門的工作職能、重要性和所涉及信息的重要程度等因素,劃分不同的子網或網段,并按照方便管理和控制的原則為各子網、網段分配地址段。
QoS保證 宜按照對業務服務的重要次序來指定帶寬分配優先級別,保證在網絡發生擁堵的時候優先保護重要主機。
2 網絡訪問控制 網絡域安全隔離和限制 應在網絡邊界部署訪問控制設備,啟用訪問控制功能。
地址轉換和綁定 重要網段宜采取技術手段防止地址欺騙。
內容過濾 宜對進出網絡的信息內容進行過濾,實現對應用層常用協議命令級的控制。
訪問控制 應能根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力,控制粒度為端口級。
流量控制 宜限制網絡最大流量數及網絡連接數。
會話控制 宜在會話處于非活躍一定時間或會話結束后終止網絡連接。
3 撥號訪問控制 遠程撥號訪問控制和記錄 應限制具有撥號訪問權限的用戶數量,對遠程訪問用戶進行安全用戶認證和記錄。
4 網絡安全審計 日志信息 應對網絡系統中的網絡設備運行狀況、用戶行為等進行日志記錄,內容應包括:事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。
日志權限和保護 應對日志記錄進行保護,避免受到未預期的刪除、修改或覆蓋等。
網絡對象操作審計 宜根據記錄數據進行分析,并生成審計報表。
審計工具 宜具備日志審計工具,對日志進行記錄、分析和報告。
5 邊界完整性檢查 內外網非法連接阻斷和定位 應能夠對非授權設備私自連接到內部網絡的行為進行檢查,準確定出位置,并對其進行有效阻斷。

應能夠對內部網絡用戶私自連接到外部網絡的行為進行檢查,準確定出位置,并對其進行有效阻斷。

6 網絡入侵防范 網絡ARP欺騙攻擊 宜具備有效防范網絡ARP欺騙攻擊的措施。
信息竊取 宜采用有效的手段,防范信息竊取。
DOS/DDOS攻擊 應具有防DOS/DDOS攻擊設備或技術手段。
安全設備配置 宜具有安全設備配置標準。
網絡入侵防范設備 應在網絡邊界處監視以下攻擊行為:端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等。

當檢測到攻擊行為時,記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間,在發生嚴重入侵事件時應提供報警。

7 網絡設備防護 設備登錄設置 應對登錄網絡設備的用戶進行身份鑒別。

網絡設備用戶的標識應唯一。

設備登錄口令安全性 身份鑒別信息應具有不易被冒用的特點,口令應有復雜度要求并定期更換。
登錄地址限制 應對網絡設備的管理員登錄地址進行限制。
遠程管理安全 對網絡設備進行遠程管理時,宜采取必要措施防止鑒別信息在網絡傳輸過程中被竊取。
設備用戶設置策略 應具有登錄失敗處理功能,可采取結束會話、限制非法登錄次數和當網絡登錄連接超時自動退出等措施。
最小化服務 應實現設備的最小服務配置。
配置文件離線備份 應對設備配置文件定期進行離線備份。
8 網絡安全管理 網絡設備運維制度 應建立網絡安全管理制度,對網絡安全配置、日志保存時間、安全策略、升級與打補丁、口令更新周期等方面做出規定。

應保證所有與外部系統的連接均得到授權和批準。

應定期檢查違反規定撥號上網或其他違反網絡安全策略的行為。

網絡配置變更管理 應具有網絡配置變更管理流程和制度。
設備參數配置 宜具有設備參數配置標準手冊。
網絡事故管理 應具有網絡事故管理制度。
網絡關鍵數據傳輸加密 應對網絡關鍵數據傳輸進行加密。

3.主機安全

編號 檢查項 檢查點 基本要求
1 身份鑒別 系統與應用管理員用戶設置 應分別設置專用的系統和應用管理員用戶。
系統與應用管理員口令安全性 系統與應用管理員口令應具有一定的復雜度,并定期更換。
登錄策略 宜對同一用戶采用兩種或以上組合的鑒別技術實現用戶身份鑒別。
非法訪問警示 應具有登錄失敗處理功能,可采取結束會話、限制非法登錄次數和自動退出等措施。
2 自主訪問控制 主機信任關系 宜控制主機信任關系。
默認過期用戶 應清除默認過期用戶。
用戶最小授權原則 應按照最小授權原則分配用戶權限。
3 強制訪問控制 重要系統文件強制訪問控制范圍 應控制重要系統文件權限。
共享目錄 應保證共享目錄安全。
遠程登錄控制 應控制遠程登錄。
4 安全審計 日志信息 日志記錄的內容至少應包括事件的日期、時間、發起者信息、類型、描述和結果等。
日志權限和保護 應對日志記錄進行保護,避免受到未預期的刪除、修改或覆蓋等。
系統信息分析 提供對審計記錄數據進行統計、查詢、分析及生成審計報表的功能。
對象操作審計 宜提供覆蓋到每個用戶的安全審計功能,對應用系統重要安全事件進行審計。
關鍵數據刪除制度和記錄 應對無用的過期信息、文檔進行完整刪除,并建立數據刪除制度、保留刪除記錄。
5 系統保護 系統備份 應具有系統備份。
故障恢復策略 應具有故障恢復策略。
安全配置 應具有安全配置標準,并進行安全配置。
磁盤空間安全 宜具有磁盤空間分配策略。
主機加固 應具有主機加固標準,并對主機進行加固。
6 剩余信息保護 過期信息、文檔處理 應保證操作系統和數據庫系統用戶的鑒別信息所在的存儲空間,被釋放或再分配給其他用戶前得到完全清除,無論這些信息是存放在硬盤上還是在內存中;

應確保系統內的文件、目錄和數據庫記錄等資源所在的存儲空間,被釋放或重新分配給其他用戶前得到完全清除。

7 入侵防范 入侵防范記錄 應能夠檢測到對重要服務器進行入侵的行為,能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間,并在發生嚴重入侵事件時提供報警。
關閉服務 應關閉系統不必要的服務和端口。
最小安裝原則 操作系統應遵循最小安裝的原則,僅安裝需要的組件和應用程序。
8 惡意代碼防范 及時更新 應及時更新防惡意代碼軟件版本和惡意代碼庫。
控制措施 防惡意代碼軟件宜具有統一的控制措施。
及時安裝系統必要的補丁 宜及時安裝系統必要的補丁。
漏洞掃描 宜定期進行漏洞掃描。
9 資源控制 連接控制 應通過設定終端接入方式、網絡地址范圍等條件限制終端登錄。

應根據安全策略設置登錄終端的操作超時鎖定或退出。

資源監控和預警 應對重要服務器進行監視,包括監視服務器的CPU、硬盤、內存、網絡等資源的使用情況。

應能夠對系統的服務水平降低到預先規定的最小值進行監測和報警。

4.數據安全

編號 檢查項 檢查點 基本要求
1 數據存儲 存儲方式 須采用有效措施保障存儲數據的安全。
存儲內容 存儲內容應至少包括系統管理數據、鑒別信息、重要業務數據等內容。
2 數據存儲設備 設備類型 應采用安全、高可用性的數據存儲設備。
設備型號 設備型號應滿足備份策略要求。
設備供應商 應選擇正規可靠的設備供應商。
設備安全性 應采取相應制度、措施保障設備安全性。
3 數據備份 備份周期 須定期進行數據備份。
備份介質 應采用高可用性的備份介質。
備份方式 應采用合理的備份方式。
備份內容 備份內容應至少包括系統管理數據、鑒別信息、重要業務數據等內容。
異地備份 應定期進行異地數據備份。
備份數據有效性檢驗 應進行備份數據有效性檢驗。
4 數據備份介質管理 介質保存方式 應在高可用性的物理環境中保存介質。
備份介質的安全 應確保介質存放在安全的環境中,對各類介質進行控制和保護,并實行存儲環境專人管理。
備份介質的銷毀 應制定備份介質銷毀制度,保留銷毀記錄。
5 數據備份恢復管理制度 恢復制度 應具有恢復制度。
恢復演練 應具有恢復演練計劃和演練記錄。
恢復記錄 應具有恢復記錄。

5.管理安全

編號 檢查項 檢查點 基本要求
1 安全管理部門設置 專職部門 應具有專職安全管理部門。
專用崗位 應設置專用安全管理崗位。
指導委員會 宜設置安全管理指導委員會。
2 安全管理制度 安全管理制度設置 應建立完備的安全管理制度。
3 安全管理人員配備 信息安全專業人員 應安排信息安全專業人員。
關鍵崗位人員 應建立關鍵崗位人員管理制度。
人員離崗/變動管理 應建立人員離崗/變動管理制度。
4 設備管理 專人管理 應對安全設備進行專人管理。
設備登記、維護、報廢制度 應建立設備登記、維護、報廢制度。
5 代碼管理 代碼訪問權限控制 應進行代碼訪問權限控制。
代碼訪問流程 應建立代碼訪問流程制度。
安全測試 應對代碼進行安全測試。
代碼版本管理 宜建立代碼版本管理制度。
測試驗收流程 應建立測試驗收流程制度。
6 審計 審計制度 應建立審計制度。
內部審計 應定期進行內部審計。
外部審計 宜定期進行外部審計。
7 變更、備份與故障恢復 變更流程 應建立變更流程制度。
備份流程 應建立備份流程制度。
故障恢復流程 宜建立故障恢復流程制度。
故障恢復演練 宜定期進行故障恢復演練。
8 業務持續性管理 業務持續性計劃 須建立業務持續性計劃,設置災難恢復時間目標和恢復點目標。
單點故障 應建立單點故障處理機制。
系統冗余 須具有系統冗余設施,保障業務連續性。
異地災備 宜建立異地災備設施。
9 密鑰安全管理 密鑰生成 具有密鑰生成流程及控制。
密鑰使用 具有密鑰使用流程及控制。
密鑰存儲 具有密鑰存儲流程及控制。
密鑰更新 具有密鑰更新流程及控制。
密鑰銷毀 具有密鑰銷毀流程及控制。
加密存儲 對密鑰進行加密存儲。
硬件加密機(國產) 采用國產硬件加密機。
10 事件、事故報告機制 報告制度 應具有事件、事故報告制度。
報告流程 應具有詳細事件、事故報告流程。
11 外包管理 外包管理制度 須具備外包管理制度。
外包合同 須與外包服務機構簽訂外包服務合同。
保密協議 須與外包服務機構簽訂保密協議。

6.應急管理

編號 檢查項 檢查點 基本要求
1 應急預案管理 機房環境應急預案 須制定機房環境應急預案。
網絡應急預案 須制定網絡應急預案。
系統應急預案 須制定系統應急預案。
應急預案評估 應定期進行應急預案評估。
應急預案更新 應及時進行應急預案更新。
2 應急演練對象 機房環境應急演練 應開展機房環境應急演練。
網絡應急演練 應開展網絡應急演練。
系統應急演練 應開展系統應急演練。
3 應急演練制度 應急演練方案 應具有應急演練方案。
應急演練組織 應具有應急演練組織。
應急演練計劃 宜具有應急演練計劃。
應急演練培訓 宜進行應急演練培訓。
4 應急演練實施 風險評估 應在應急演練前對應急演練進行風險評估。
應急演練記錄 應具有應急演練記錄。
應急演練報告 應具有應急演練報告。
問題整改報告 應具有問題整改報告。

 

朋友們如覺得這篇文章不錯,歡迎朋友們轉發!

卡神小組官方網站www.kashenpos.cn

卡神小組-合作企業聯盟聚合導航網-www.kashenpos.com

星環俱樂部www.ansaclub.com

168POS機信息大全網www.168pos.cn

360卡卡信用卡信息網www.360kaka.com

我是烏日娜www.iwurina.com

時翠書齋www.ishicui.com

蟹艷生態大閘蟹www.ixieyan.com

規范性文件-非金融機構支付服務業務系統現場檢查基本要求

規范性文件-非金融機構支付服務業務系統現場檢查基本要求

贊: (0)
打賞 掃一掃

關于作者

文章數:1524 篇郵箱地址:[email protected]

相關文章

大航海时代4遗迹攻略
mg游戏网页游戏修改器 龙门加拿大pc蛋蛋28计划 北京pk赛车技巧 重庆时时彩2期全天计划 杭州爱彩人合法吗 重庆时时彩5星人工计划 手机二人斗地主 pk10个人经验 麻将二八杠叫法顺口溜 湖南快乐十分计划软件手机版 850通比牛牛作弊手法 高博国际游戏网址 重庆欢乐生肖官网 伯爵注册娱乐 老时时彩三星走势 江西时时闹剧