商业银行银行卡系统标准符合性和系统安全性测试技术大纲试行_信用卡部分

商业银行银行卡系统标准符合性和系统安全性测试技术大纲试行_信用卡部分内容摘要：

（ 5） 流量控制 （ 6） 会话控制 必测项 3 拨号访问控制 （ 1） 远程拨号访问控制和记录 必测项 4 网络安全审计 （ 1） 日志信息 （ 2） 网络系统故障分析 （ 3） 网络对 象操作审计 （ 4） 日志权限和保护 （ 5） 审计工具 必测项 5 边界完整性检查 （ 1） 内外网非法连接阻断和定位 必测项 6 网络入侵防范 （ 1） ARP 欺骗攻击 （ 2） 信息窃取 （ 3） DoS/DDoS 攻击 （ 4） 安全设备配置 （ 5） 网络入侵防范设备 必测项 7 恶意代码防范 （ 1） 防范软件安装部署 （ 2） 定时在线更新 （ 3） 控制措施 （ 4） 定期安装必要的补丁 必测项 8 网络设备防护 （ 1） 设备登录设置 （ 2） 设备登录口令安全性 （ 3） 登录地址限制 （ 4） 远程管理安全 （ 5） 设备用户设置策略 （ 6） 权限分离 （ 7） 最小化服务 必测项 9 网络安全管理 （ 1） 网络设备运维手册 （ 2） 网络配置变更管理 （ 3） 设备参数配置 （ 4） 网络事故管理 （ 5） 漏洞扫描 （ 6） 网络数据传输加密 （ 7） 安全产品管理 必测项 10 网络安全人员管理 （ 1） 网络安全管理人员配备 （ 2） 网络安全管理人员责任划分规则 （ 3） 网络安全关键岗位人员管理 必测项 对系统主机安全防护进行检测，考察主机的安全控制能力。 主要从以下共 22 页，第 11 页 几个方面进行检测： 编号 检测项 检测内容 检测说明 1 身份鉴别 （ 1） 系统与应用管理员用户设置 （ 2） 系统与应用管理员口令安全性 （ 3） 登录策略 （ 4） 非法访问警示 必测项 2 自主访问控制 （ 1） 自主访问控制范围 （ 2） 主机信任关系 （ 3） 默认过期用户 必测项 3 强制访问控制 （ 1） 资源访问记录 （ 2） 重要系统文件强制访 问控制范围 （ 3） 共享目录 （ 4） 远程登录控制 必测项 4 安全审计 （ 1） 日志信息 （ 2） 日志保护 （ 3） 系统信息分析 （ 4） 对象操作审计 （ 5） 日志权限 （ 6） 关键数据删除制度和记录 必测项 5 系统保护 （ 1） 系统备份 （ 2） 故障恢复策略 （ 3） 安全配置 （ 4） 磁盘空间安全 （ 5） 主机加固 （ 6） 安全产品管理 必测项 6 剩余信息保护 （ 1） 过期信息、文档处理 必测项 7 入侵防范 4. 入侵防范记录 5. 关闭服务 6. 最小安装原则 必测项 8 恶意代码防范 （ 1） 防范软件安装部署 （ 2） 定时在线更新 （ 3） 控制措施 （ 4） 定期安装系统必要的补丁 （ 5） 漏洞扫描 必测项 9 资源控制 （ 1） 连接控制 （ 2） 资源监控和预警 必测项 10 主机安全人 员管理 （ 1） 主机安全管理人员配备 （ 2） 主机安全管理人员责任划分规则 （ 3） 主机安全关键岗位人员管理 必测项 对系统应用安全性检测，主要检测应用系统对非法访问及操作的控制能共 22 页，第 12 页 力。 主要从以下几个方面进行检测： 编号 检测项 检测内容 检测说明 1 身份鉴别 （ 1） 系统与普通用户设置 （ 2） 系统与普通用户口令安全性 （ 3） 登录访问安全策略 （ 4） 非法访问警示和记录 （ 5） 客户端鉴别信息安全 （ 6） 口令有效期限制 （ 7） 限制认证会话时间 （ 8） 身份标识唯一性 （ 9） 及时清除鉴别信息 必测项 2 访问控制 （ 1） 访问权限设置 （ 2） 自主访问控制范围 （ 3） 业务操作日志 （ 4） 关键数据存放 （ 5） 异常中断防护 （ 6） 数据库安全配置 必测项 3 安全审计 （ 1） 日志信息 （ 2） 日志保护 （ 3） 系统信息查询与分析 （ 4） 对象操作审计 （ 5） 日志权限 （ 6） 审计工具 （ 7） 事件报警 必测项 4 剩余信息保护 （ 1） 过期信息、文档处理 必测项 5 资源控制 （ 1） 连接控制 （ 2） 会话控制 （ 3） 进程资源分配 （ 4） 资源检测预警 必测项 6 应用容错 （ 1） 数据有效性校验 （ 2） 容错机制 （ 3） 故障机制 （ 4） 回退机制 必测项 7 通信完整性 （ 1） 通信报文有效性 （ 2） 通信完整性说明 必测项 8 通信保密性 （ 1） 报文或会话加密 （ 2） 通信异常处理 必测项 9 抗抵赖 （ 1） 原发和接收证据 必测项 10 编码安全 （ 1） 编码规范约 束 （ 2） 源代码管理 （ 3） 版本管理 必测项 11 脱机数据认证 （ 1） 密钥和证书 （ 2） 静态数据认证 （ 3） 动态数据认证 IC 卡系统必测项 共 22 页，第 13 页 编号 检测项 检测内容 检测说明 12 应用密文和发卡行认证 （ 1） 应用密文产生 （ 2） 发卡行认证 （ 3） 密钥管理 IC 卡系统必测项 13 安全报文 （ 1） 报文格式 （ 2） 报文完整性机器验证 （ 3） 报文私密性 （ 4） 密钥管理 IC 卡系统必测项 14 卡片安全 （ 1） 共存应用 （ 2） 密钥的独立性 （ 3） 卡片内部安全体系 （ 4） 卡片中密钥的种类 IC 卡系统必测项 15 终端安全 （ 1） 终端数据安全性要求 （ 2） 终端设备安全性要求 （ 3） 终端密钥管理要求 IC 卡系统必测项 16 密钥管理体系 （ 1） 认证中心公钥管理 （ 2） 发卡行公钥管理 （ 3） 发卡 行对称密钥管理 IC 卡系统必测项 17 安全机制 （ 1） 对称加密机制 （ 2） 非对称加密机制 IC 卡系统必测项 18 认可的算法 （ 1） 对称加密算法 （ 2） 非对称加密算法 （ 3） 哈希算法 IC 卡系统必测项 对系统数据安全防护进行检测，主要考察数据的传输、存储、备份与恢复能力。 主要从以下几个方面进行检测： 编号 检测项 检测内容 检测说明 1 数据完整性 （ 1） 重要数据更改机制 （ 2） 对数据备份和审计记录定期进行查验 （ 3） 保障传输过程中的数据完整性安全 （ 4） 定期随机抽取备份数据进行解压、还原，检查其内容有效性 必测项。