網(wǎng)絡(luò)支付系統(tǒng)安全要求

1、第1章安 全性需求1.1說明本需求主要根據(jù)中國(guó)人民銀行非金融機(jī)構(gòu)支付服務(wù)業(yè)務(wù)系統(tǒng)檢測(cè)規(guī)范的安全性檢測(cè)編制，內(nèi)容包括卡系統(tǒng)和網(wǎng)絡(luò)支付要求的安全性規(guī)范。本需求只針對(duì)應(yīng)用程序的開發(fā)和操作部署，不含網(wǎng)絡(luò)和運(yùn)維安全需求，同 時(shí)參考各 銀行的網(wǎng)銀、支付寶等支付系統(tǒng)的成功經(jīng)驗(yàn)作為補(bǔ)充制定此文檔。1.2應(yīng)用安全身份鑒別密碼管理.密碼強(qiáng)度：系統(tǒng)默認(rèn)生成密碼后，客片修改密碼應(yīng)具有一定的復(fù)雜度檢查，如長(zhǎng)度不少于8位，必須字母數(shù)字結(jié)合，開始 3個(gè)字符不能完全一致。系統(tǒng)默 認(rèn)生成的密碼也 許滿足要求.登錄密碼有效期：密碼必須有一定的有效期，可設(shè)置，一般為半年，過期 登錄后必須修改密碼.支付密碼：為客片設(shè)置獨(dú)立的支付密碼

2、登錄處理.黑名單：對(duì)非法來源的ip、用片id等登錄實(shí)行黑名單管理，加入黑名單的客尸拒絕登錄和交易，統(tǒng)計(jì)出黑名單后可宜接在防火墻處理.失敗次數(shù)處理：登錄失敗超過指定次數(shù)（3次），凍結(jié)此賬片1天，并記錄 失敗日志，供統(tǒng)計(jì)分析.單點(diǎn)登錄：每個(gè)賬號(hào)同時(shí)只能在一個(gè)地方登錄，系統(tǒng)中同時(shí)只能有一個(gè)sessi on多種認(rèn)證方式除密碼外，為增加安全性，在關(guān)鍵業(yè)務(wù)（支付或重要信息修改）或登錄時(shí)采用 多重認(rèn)證方式，以完善整個(gè)安全體系。.動(dòng)態(tài)口令卡：生成二位矩陣的數(shù)字電子卡片，每次使用一組密碼，客尸下 載口令 卡到電腦或手機(jī)，使用時(shí)隨機(jī)輸入提示的一組密碼與服務(wù)器認(rèn)證，口令卡 有一定的使用次數(shù)限制.隨機(jī)碼短信確認(rèn)：由服

3、務(wù)器發(fā)送一個(gè)隨機(jī)驗(yàn)證碼的短信到客尸手機(jī)，客尸在網(wǎng)頁(yè)輸入此驗(yàn)證碼和服務(wù)器確認(rèn)，保證此業(yè)務(wù)為客尸本人提交的3四字證書簽名：發(fā)送關(guān)鍵業(yè)務(wù)都必須簽名后發(fā)送服務(wù)器，防止傳輸過程中的篡改,以及檢查發(fā)送方不可抵賴4. u-key :同數(shù)字證書簽名，并更安全，由于發(fā)放不方便，可受理用尸范圍 有限客戶連接管理.最大連接數(shù)：為防止服務(wù)器負(fù)載過大實(shí)行最大連接數(shù)管理，可配置客六連接數(shù).連接有效時(shí)間：根據(jù)設(shè)置的客尸會(huì)話有效時(shí)間，對(duì)超過有效時(shí)間的客尸自動(dòng)退出，并清理相關(guān)連接資源121.5說明.為保證登錄安全性，最好使用密碼 +多種認(rèn)證方式中的至少一種，即雙重 認(rèn)證。.支付業(yè)務(wù)必須執(zhí)行數(shù)字簽名1.2.2程序安全保護(hù)Web

4、頁(yè)面.圖片驗(yàn)證碼：登錄和支付等關(guān)鍵業(yè)務(wù)使用圖片驗(yàn)證碼，以防止被程序重復(fù)攻擊，圖片生成的隨機(jī)驗(yàn)證碼必須有高強(qiáng)度的干擾，以防ocr識(shí)別.正確網(wǎng)頁(yè)域名提示：topframe中顯示本網(wǎng)站正確的域名，以及工商局ICP備案標(biāo)示，加大宣傳力度，減少客尸被釣魚網(wǎng)站干擾.密碼安全控件：開發(fā)密碼安全控件，防止在輸入賬號(hào)和密碼時(shí)使用默認(rèn)的表單控件時(shí)被記錄鍵盤事件以及通過消息機(jī)制獲取密碼。除能通過OC欣裝包自動(dòng)安裝外，還需要提供宜接 exe的下載安裝包4激字簽名控件：執(zhí)行數(shù)字簽名的ocx,也需提供下載安裝包密碼保護(hù).密碼問題保護(hù)：注冊(cè)時(shí)輸入三個(gè)問題以及答案，修改時(shí)必須正確回答此三個(gè)隨機(jī)書序的問題.短信確認(rèn)：發(fā)送驗(yàn)證碼

5、短信，手工錄入到網(wǎng)頁(yè).密碼重置：業(yè)務(wù)人員在收到客尸申請(qǐng)并獲得授權(quán)后重置密碼，并通知客片新密碼并登錄修改.加密保存：所有密碼不能明文保存私鑰證書保護(hù)不同用途的服務(wù)器私鑰證書加密保護(hù)，防止被盜后非法使用。交易時(shí)驗(yàn)證對(duì)方證書的有效性，包括有效期、掛失列表等。安全軟件防釣魚防欺詐：類似網(wǎng)盾之類的獨(dú)立安裝軟件運(yùn)行于客片電腦中，監(jiān)控并阻止客尸被登錄釣魚網(wǎng)站安全檢測(cè)對(duì)系統(tǒng)程序進(jìn)行各種安全性技術(shù)檢測(cè)，主要為以下方面：.網(wǎng)站頁(yè)面SQL注入防范.網(wǎng)站頁(yè)面跨站腳本攻擊 （xss）.網(wǎng)站頁(yè)面是否存在源代碼暴露.網(wǎng)站頁(yè)面是否存在黑客掛馬.網(wǎng)站頁(yè)面是否采用防篡改措施.網(wǎng)站頁(yè)面是否提供防釣魚網(wǎng)站的防偽信息驗(yàn)證123數(shù)據(jù)加密

6、123.1應(yīng)用部署程序根據(jù)安全性要求分為 3個(gè)區(qū)域部署：如下圖Internet防火墻DMZ防火堵應(yīng)用區(qū)防火墻核心區(qū)DMZ:部署web程序，只提供in ternet 接入，不提供到數(shù)據(jù)庫(kù)的連接,與應(yīng)用通過 網(wǎng)絡(luò)tcp/ip 連接應(yīng)用區(qū)：部署電子支付平臺(tái)的業(yè)務(wù)應(yīng)用系統(tǒng)和DB核心區(qū)：部署電子支付平臺(tái)的支付業(yè)務(wù)系統(tǒng)和DB123.2網(wǎng)頁(yè)連接配置web服務(wù)器ssl ,客片登錄強(qiáng)制使用 https登錄加解密和簽名.平臺(tái)內(nèi)各應(yīng)用節(jié)點(diǎn)間傳輸數(shù)據(jù)和報(bào)文必須加密，節(jié)點(diǎn)包括客尸端、web服務(wù)器、業(yè)務(wù)平臺(tái)、支付平臺(tái)等.與外部系統(tǒng)連接，報(bào)文必須加密并數(shù)字簽名，以防抵賴和篡改.對(duì)關(guān)鍵數(shù)據(jù)的加解密只是使用端到端加密，如交易密

7、碼只能在客尸輸入點(diǎn) 加密和 在認(rèn)證服務(wù)器能驗(yàn)證，中間傳輸節(jié)點(diǎn)都是密文傳輸不能解密和查看。配置數(shù)據(jù)各應(yīng)用服務(wù)器上部署的程序，應(yīng)對(duì)如數(shù)據(jù)庫(kù)密碼、 ftp密碼等關(guān)鍵數(shù)據(jù)，在 配置文件 或數(shù)據(jù)庫(kù)表中加密保存密鑰強(qiáng)度對(duì)稱加密使用128位以上長(zhǎng)度密鑰 非對(duì)稱加密1024位以上長(zhǎng)度密鑰123.6認(rèn)可的算法分為對(duì)稱加密算法、非對(duì)稱加密算法、哈希算法三類，請(qǐng)參考PBOC2.0標(biāo)準(zhǔn)中對(duì)此三類算法的要求1.2.4訪問控制參照人行支付系統(tǒng)檢測(cè)標(biāo)準(zhǔn)1.241訪問權(quán)限設(shè)置應(yīng)提供訪問控制功能，依據(jù)安全策略控制用尸對(duì)文件、數(shù)據(jù)庫(kù)表等客體的訪問。應(yīng)由授權(quán)主體配置訪問控制策略，并嚴(yán)格限制默認(rèn)帳尸的訪問權(quán)限。應(yīng)授予不同帳片為完成各

8、自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成互相制約的關(guān)系。自主訪問控制范圍訪問控制的覆蓋范圍應(yīng)包括與資源訪問相關(guān)的主體、客體及它們之間的操作。業(yè)務(wù)操作日志應(yīng)具有所有業(yè)務(wù)操作日志1.244關(guān)鍵數(shù)據(jù)存放應(yīng)具有對(duì)重要信息資源設(shè)置敏感標(biāo)記的功能。應(yīng)依據(jù)安全策略嚴(yán)格控制用尸對(duì)有敏感標(biāo)記重要信息資源的操作。異常中斷防護(hù)用尸訪問異常中斷后，應(yīng)具有防護(hù)手段，保證數(shù)據(jù)不丟失。數(shù)據(jù)庫(kù)安全配置應(yīng)具有數(shù)據(jù)庫(kù)安全配置手冊(cè)，并對(duì)數(shù)據(jù)庫(kù)進(jìn)行安全配置1.2.5應(yīng)用容錯(cuò)參照人行支付系統(tǒng)檢測(cè)標(biāo)準(zhǔn)125.1數(shù)據(jù)有效性校驗(yàn)應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過人機(jī)接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長(zhǎng)度符合系統(tǒng)設(shè)定要求。邊界容錯(cuò)提供可

9、靠的邊界檢查控制，保證不存在超過邊界限制的邏輯數(shù)據(jù)在交易中出現(xiàn)，并對(duì)重要的邊界檢查失敗交易寫入日志系統(tǒng)，提供告警信息，便于監(jiān)控人 員分析是否是惡意攻擊等125.3容錯(cuò)機(jī)制應(yīng)提供自動(dòng)保護(hù)功能，當(dāng)故障發(fā)生時(shí)自動(dòng)保護(hù)當(dāng)前所有狀態(tài)，保證系統(tǒng)能 夠進(jìn)行恢復(fù)。125.4故障機(jī)制發(fā)生故障后，系統(tǒng)應(yīng)能夠及時(shí)恢復(fù)。回退機(jī)制應(yīng)提供回退功能，當(dāng)故障發(fā)生后，能夠及時(shí)回退到故障發(fā)生前的狀態(tài)。1.2.6代碼安全126.1源代碼審查應(yīng)對(duì)源代碼進(jìn)行安全性審查插件安全性審查應(yīng)對(duì)插件進(jìn)行安全性審查編碼規(guī)范約束應(yīng)按照編碼規(guī)范進(jìn)行編碼，具有編碼規(guī)范約束制度。版本管理代碼版本管理工具，配置不同文檔和代碼操作權(quán)限126.5建議部署程序加

10、密1.2.7第三方認(rèn)證第三方認(rèn)為了使客片對(duì)使用的網(wǎng)站信任，需要網(wǎng)站的服務(wù)器根證書必須經(jīng)過權(quán)威的 證，才能獲得客尸信任。認(rèn)證機(jī)構(gòu)CFCA :較便宜，幾百元一年，但是瀏覽器沒有默認(rèn)安裝，缺少知名度VeriSign :貴，幾千元一年，最權(quán)威的認(rèn)證機(jī)構(gòu)，客戶體驗(yàn)好3?簽發(fā)主題：本網(wǎng)站的域名使用模塊證，默.網(wǎng)站ssl配置：IE7以后的瀏覽器如果服務(wù)器的 ssl證書沒有經(jīng)過權(quán)威認(rèn) 認(rèn)會(huì)被攔截，因此ssl配置需要認(rèn)證過的根證書.簽名/密碼控件：瀏覽器默認(rèn)安裝 ocx時(shí)，簽名未認(rèn)證的控件不能安裝， 需要用第三方認(rèn)證過的可信根證書簽名發(fā)布的所有OCX空件信根證.發(fā)布的客尸證書：本網(wǎng)站發(fā)布的客片和商尸證書，需要用

11、第三方認(rèn)證過可書簽發(fā)所屬客尸和商尸的所有證書1.2.8安全審計(jì)資源報(bào)告分析.統(tǒng)計(jì)分析每日、各時(shí)間段內(nèi)，一定客六連接數(shù)對(duì)應(yīng)的各種資源的利用率（cpu、內(nèi)存、網(wǎng)絡(luò)帶寬等），根據(jù)報(bào)告決定是否需要增加更多機(jī)器或帶寬.根據(jù)區(qū)域和運(yùn)營(yíng)商分析接入客尸的分布情況，提供增加對(duì)應(yīng)資源的依據(jù)失敗登錄分析統(tǒng)計(jì)各種登錄失敗的原因，使操作員根據(jù)不同的原因作對(duì)應(yīng)的處理。人操作女口：重復(fù)并多日從同一 ip密碼登錄失敗，則聯(lián)系此客尸，如果不是客尸本 則為惡意登錄，把此ip加入黑名單。128.3事件報(bào)告使用和處對(duì)影響系統(tǒng)穩(wěn)定的重要事件，寫入事件日志，并提供事件報(bào)告供監(jiān)控人員理：1?網(wǎng)絡(luò)不穩(wěn)定，常斷開的線路連接寫入事件日志. 一定

12、時(shí)間內(nèi)大M失敗的交易.對(duì)系統(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢查和報(bào)警 日志分析根據(jù)記錄的詳細(xì)日志，提供日志分類查詢和統(tǒng)計(jì)功能1.2.9其他補(bǔ)充129.1防止人為篡改數(shù)據(jù)為防止黑客通過數(shù)據(jù)庫(kù)或內(nèi)部人員修改數(shù)據(jù)，應(yīng)有以下系統(tǒng)的防范或檢查 措施，保證或發(fā)現(xiàn)系統(tǒng)業(yè)務(wù)安全運(yùn)行的邏輯安全體系設(shè)計(jì)：防止黑客攻擊或內(nèi)部人員人為通過宜接修改數(shù)據(jù)庫(kù)中資金余額、交易金額等關(guān)鍵數(shù)據(jù)，而不被發(fā)覺并能正常交易和資金轉(zhuǎn)移。防止彩票業(yè)務(wù)數(shù)據(jù)在提交交易到兌獎(jiǎng)后的整個(gè)時(shí)間段，交易數(shù)據(jù)沒有被人為修改而不能被發(fā)覺。129.2通知提醒通知方式主要有短信，郵件，站內(nèi)頁(yè)面通知，客片人工等方式。所有關(guān)鍵業(yè)務(wù)執(zhí)行成功后，都應(yīng)該通過各種通知

13、方式提醒客尸，使客尸對(duì)可疑交易確認(rèn)和相應(yīng)處理?？筛鶕?jù)通知方式所需的成本，對(duì)不同重要性的業(yè)務(wù)執(zhí)行不同的通知。如支付和修改密碼等必須短信和郵件通知,其他修改和普通業(yè)務(wù)開通只需郵件通知即可。對(duì)于監(jiān)控到的可疑交易，或者需要盡快確認(rèn)的問題，業(yè)務(wù)人員宜接電話溝通，同時(shí)電話需要錄音O1.3數(shù)據(jù)安全數(shù)據(jù)保存客戶身份信息應(yīng)按規(guī)定妥善保管客尸身份基本信息，支付機(jī)構(gòu)對(duì)客尸身份信息的保管期限自業(yè)務(wù)關(guān)系結(jié)束當(dāng)年起至少保存5年支付業(yè)務(wù)信息應(yīng)按規(guī)定妥善保管支付業(yè)務(wù)信息，支付機(jī)構(gòu)對(duì)支付業(yè)務(wù)信息的保管期限自結(jié)束當(dāng)年起至少保存 5年會(huì)計(jì)檔案信息應(yīng)按規(guī)定妥善保管會(huì)計(jì)檔案，支付機(jī)構(gòu)對(duì)會(huì)計(jì)檔案的保管期限適用會(huì)計(jì) 辦法（財(cái)會(huì)字19983

14、2號(hào)文印發(fā)）相關(guān)規(guī)定1.3.2數(shù)據(jù)安全性物理存儲(chǔ)具備高可用性的數(shù)據(jù)物理存儲(chǔ)環(huán)境，實(shí)時(shí)在線的存儲(chǔ)備份設(shè)施，提供異地?cái)?shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時(shí)批M傳送至備用場(chǎng)客戶身份認(rèn)證信息存儲(chǔ)安全業(yè)務(wù)關(guān)系檔案管理密碼、指不允許保存支付服務(wù)業(yè)務(wù)系統(tǒng)非必須的客尸身份認(rèn)證信息（如銀行卡交易 紋、銀行卡磁道信息、CVN CVN等）1.323終端信息米集設(shè)備硬加密措施或其它防偽手段如果使用終端信息采集設(shè)備則應(yīng)采取硬加密措施，否則要使用其它手段達(dá)到防偽目的1.324 數(shù)據(jù)訪問控制.服務(wù)器數(shù)據(jù)的權(quán)限訪問控制，分級(jí)訪問主機(jī)和文件目錄.敏感業(yè)務(wù)數(shù)據(jù)（卡號(hào)、余額等）的權(quán)限訪問控制，主要是程序控制和目錄權(quán)限控制，如果能