网络支付系统安全要求

第1章安全性需求

1.1说明

本需求主要根据中国人民银行《非金融机构支付服务业务系统检测规范》的安全性检测编制，内容包括卡系统和网络支付要求的安全性规范。

本需求只针对应用程序的开发和操作部署，不含网络和运维安全需求，同时参考各银行的网银、支付宝等支付系统的成功经验作为补充制定此文档。

1.2应用安全

1.2.1身份鉴别

121.1 密码管理

1.密码强度：系统默认生成密码后，客户修改密码应具有一定的复杂度检查，如长度不少于8位，必须字母数字结合，开始3个字符不能完全一致。系统默认生成的密码也许满足要求

2.登录密码有效期：密码必须有一定的有效期，可设置，一般为半年，过期登录后必须修改密码

3.支付密码：为客户设置独立的支付密码

1.2.1.2 登录处理

1.黑名单：对非法来源的ip、用户id等登录实行黑名单管理，加入黑名单的客户

拒绝登录和交易，统计出黑名单后可直接在防火墙处理

2.失败次数处理：登录失败超过指定次数（3次），冻结此账户1天，并记录失败日志，供统计分析

3.单点登录：每个账号同时只能在一个地方登录，系统中同时只能有一个sessi on 1.2.1.3多种认证方式

除密码外，为增加安全性，在关键业务（支付或重要信息修改）或登录时采用多重认证方式，以完善整个安全体系。

1.动态口令卡：生成二位矩阵的数字电子卡片，每次使用一组密码，客户下载口令卡到电脑或手机，使用时随机输入提示的一组密码与服务器认证，口令卡有一定的使用次数限制

2.随机码短信确认：由服务器发送一个随机验证码的短信到客户手机，客户在网页输入此验证码和服务器确认，保证此业务为客户本人提交的

3•数字证书签名：发送关键业务都必须签名后发送服务器，防止传输过程中的篡改，以及检查发送方不可抵赖

4.u-key :同数字证书签名，并更安全，由于发放不方便，可受理用户范围有限1.2.1.4客户连接管理

1.最大连接数：为防止服务器负载过大实行最大连接数管理，可配置客户连接数

2.连接有效时间：根据设置的客户会话有效时间，对超过有效时间的客户自

动退出，并清理相关连接资源

121.5 说明

1.为保证登录安全性，最好使用密码+多种认证方式中的至少一种，即双重认证。

2.支付业务必须执行数字签名

1.2.2程序安全保护

1.2.2.1Web 页面

1.图片验证码：登录和支付等关键业务使用图片验证码，以防止被程序重复

攻击，图片生成的随机验证码必须有高强度的干扰，以防ocr识别

2.正确网页域名提示：topframe中显示本网站正确的域名，以及工商局ICP 备案标示，加大宣传力度，减少客户被钓鱼网站干扰

3.密码安全控件：开发密码安全控件，防止在输入账号和密码时使用默认的

表单控件时被记录键盘事件以及通过消息机制获取密码。除能通过OCX安装包

自动安装外，还需要提供直接exe的下载安装包

4•数字签名控件：执行数字签名的ocx，也需提供下载安装包

1.2.2.2密码保护

1.密码问题保护：注册时输入三个问题以及答案，修改时必须正确回答此三个随机书序的问题

2.短信确认：发送验证码短信，手工录入到网页

3.密码重置：业务人员在收到客户申请并获得授权后重置密码，并通知客户新密码

并登录修改

4.加密保存：所有密码不能明文保存

1.223 私钥证书保护

不同用途的服务器私钥证书加密保护，防止被盗后非法使用。

交易时验证对方证书的有效性，包括有效期、挂失列表等。

1.2.2.4安全软件

防钓鱼防欺诈：类似网盾之类的独立安装软件运行于客户电脑中，监控并阻止客户被登录钓鱼网站

1.2.2.5安全检测

对系统程序进行各种安全性技术检测，主要为以下方面：

1.网站页面SQL注入防范

2.网站页面跨站脚本攻击（xss）

3.网站页面是否存在源代码暴露

4.网站页面是否存在黑客挂马

5.网站页面是否采用防篡改措施

6.网站页面是否提供防钓鱼网站的防伪信息验证

123数据加密

123.1 应用部署

程序根据安全性要求分为3个区域部署：如下图:

DMZ :部署web程序，只提供in ternet接入，不提供到数据库的连接, 与应用通过

网络tcp/ip连接

应用区：部署电子支付平台的业务应用系统和DB

核心区：部署电子支付平台的支付业务系统和DB

123.2 网页连接

配置web服务器ssl，客户登录强制使用https登录

1.2.3.3加解密和签名

1.平台内各应用节点间传输数据和报文必须加密，节点包括客户端、web

服务器、业务平台、支付平台等

2.与外部系统连接，报文必须加密并数字签名，以防抵赖和篡改

3.对关键数据的加解密只是使用端到端加密，如交易密码只能在客户输入点加密和在认证服务器能验证，中间传输节点都是密文传输不能解密和查看。

1.2.3.4配置数据

各应用服务器上部署的程序，应对如数据库密码、ftp密码等关键数据，在配置文件或数据库表中加密保存

1.2.3.5密钥强度

对称加密使用128位以上长度密钥

非对称加密1024位以上长度密钥

123.6 认可的算法

分为对称加密算法、非对称加密算法、哈希算法三类，请参考PBOC2.0标

准中对此三类算法的要求

1.2.4访问控制

参照人行支付系统检测标准

1.241 访问权限设置

应提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问。

应由授权主体配置访问控制策略，并严格限制默认帐户的访问权限。

应授予不同帐户为完成各自承担任务所需的最小权限，并在它们之间形成互相制约的关系。

1.2.4.2自主访问控制范围

访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作。1.2.4.3业务操作日志

应具有所有业务操作日志

1.244 关键数据存放

应具有对重要信息资源设置敏感标记的功能。

应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。