网络支付系统安全要求
15页1、第1章 安全性需求第1章1.1 说明本需求主要根据中国人民银行非金融机构支付服务业务系统检测规范 的安全性检测编制,内容包括卡系统和网络支付要求的安全性规范。本需求只针对应用程序的开发和操作部署,不含网络和运维安全需求,同 时参考各银行的网银、支付宝等支付系统的成功经验作为补充制定此文档。1.2 应用安全1.2.1 身份鉴别1.2.1.1 密码管理1. 密码强度:系统默认生成密码后,客户修改密码应具有一定的复杂度检查, 如长度不少于 8 位,必须字母数字结合,开始 3 个字符不能完全一致。系统默 认生成的密码也许满足要求2. 登录密码有效期:密码必须有一定的有效期,可设置,一般为半年,过期 登录后必须修改密码3. 支付密码:为客户设置独立的支付密码1.2.1.2 登录处理1黑名单:对非法来源的ip、用户id等登录实行黑名单管理,加入黑名单的客户拒绝登录和交易,统计出黑名单后可直接在防火墙处理2. 失败次数处理:登录失败超过指定次数(3 次),冻结此账户1 天,并记录 失败日志,供统计分析3. 单点登录:每个账号同时只能在一个地方登录,系统中同时只能有一个 session1.2.1.3
2、多种认证方式除密码外,为增加安全性,在关键业务(支付或重要信息修改)或登录时采用 多重认证方式,以完善整个安全体系。1. 动态口令卡:生成二位矩阵的数字电子卡片,每次使用一组密码,客户下 载口令卡到电脑或手机,使用时随机输入提示的一组密码与服务器认证,口令卡 有一定的使用次数限制2. 随机码短信确认:由服务器发送一个随机验证码的短信到客户手机,客户 在网页输入此验证码和服务器确认,保证此业务为客户本人提交的3. 数字证书签名:发送关键业务都必须签名后发送服务器,防止传输过程中 的篡改,以及检查发送方不可抵赖4. u-key :同数字证书签名,并更安全,由于发放不方便,可受理用户范围 有限1.2.1.4 客户连接管理1. 最大连接数:为防止服务器负载过大实行最大连接数管理,可配置客户连 接数2. 连接有效时间:根据设置的客户会话有效时间,对超过有效时间的客户自动退出,并清理相关连接资源1.2.1.5 说明1. 为保证登录安全性,最好使用密码+多种认证方式中的至少一种,即双重 认证。2. 支付业务必须执行数字签名1.2.2 程序安全保护1.2.2.1 Web 页面1. 图片验证码:登录和支
3、付等关键业务使用图片验证码,以防止被程序重复 攻击,图片生成的随机验证码必须有高强度的干扰,以防 ocr 识别2正确网页域名提示:topframe中显示本网站正确的域名,以及工商局ICP备案标示,加大宣传力度,减少客户被钓鱼网站干扰3密码安全控件:开发密码安全控件,防止在输入账号和密码时使用默认的 表单控件时被记录键盘事件以及通过消息机制获取密码。除能通过 ocx 安装包 自动安装外,还需要提供直接 exe 的下载安装包4数字签名控件:执行数字签名的ocx,也需提供下载安装包1.2.2.2 密码保护1密码问题保护:注册时输入三个问题以及答案,修改时必须正确回答此三个随机书序的问题2短信确认:发送验证码短信,手工录入到网页3. 密码重置:业务人员在收到客户申请并获得授权后重置密码,并通知客户新密码并登录修改4. 加密保存:所有密码不能明文保存1.2.2.3 私钥证书保护 不同用途的服务器私钥证书加密保护,防止被盗后非法使用。交易时验证对方证书的有效性,包括有效期、挂失列表等。1.2.2.4 安全软件防钓鱼防欺诈:类似网盾之类的独立安装软件运行于客户电脑中,监控并阻止客户被登录钓鱼网站1.
4、2.2.5 安全检测对系统程序进行各种安全性技术检测,主要为以下方面:1. 网站页面 SQL 注入防范2. 网站页面跨站脚本攻击(xss)3. 网站页面是否存在源代码暴露4. 网站页面是否存在黑客挂马5. 网站页面是否采用防篡改措施6. 网站页面是否提供防钓鱼网站的防伪信息验证1.2.3 数据加密1.2.3.1 应用部署程序根据安全性要求分为 3 个区域部署:如下图:DMZ :部署web程序,只提供internet接入,不提供到数据库的连接, 与应用通过网络 tcp/ip 连接应用区:部署电子支付平台的业务应用系统和 DB核心区:部署电子支付平台的支付业务系统和 DB1.2.3.2 网页连接配置web服务器ssl,客户登录强制使用https登录1.2.3.3 加解密和签名1. 平台内各应用节点间传输数据和报文必须加密,节点包括客户端、 web 服务器、业务平台、支付平台等2. 与外部系统连接,报文必须加密并数字签名,以防抵赖和篡改3. 对关键数据的加解密只是使用端到端加密,如交易密码只能在客户输入点 加密和在认证服务器能验证,中间传输节点都是密文传输不能解密和查看。1.2.3.4 配置
《网络支付系统安全要求》由会员桔****分享,可在线阅读,更多相关《网络支付系统安全要求》请在金锄头文库上搜索。
工程宝因你而简便
从“制造”到“智造”聊城制造业两化融合的特色
农贸市场可行性报告完整版
事故隐患日周月排查治理制度实施方案(4篇)
大学计算机专业毕业论文-一种远程管理Linux系统工具的设计与实现设计与实现
大学物理上册作业题
人教版小学语文生字表一二123456年级
2023医院护士个人工作计划标准模板(3篇).doc
体育教师教学工作计划范文
庆祝六一儿童节的绕口令
学校物理实验室计划
小燕子回家小学作文
通用离婚协议书经典版(六篇).doc
投标文件格式范本
唯美哀痛签名集合88句
通风工程课程设计(共14页)
渠道衬砌工程施工设计方案
通识类(超星)操作流程
山东省师范大学附属中学高三数学第十一次模拟试题文
2023年公司人事工作计划安排格式版(四篇).doc
2023-10-04 40页
2022-09-21 4页
2022-07-31 26页
2023-04-13 14页
2023-11-03 2页
2022-10-15 23页
2023-06-09 25页
2023-12-21 11页
2023-05-04 22页
2023-11-14 7页