非金融机构第三方机构支付服务系统技术安全检测技巧.ppt

检测内容及分析—风险控制测试 交易监控管理 监控规则管理（完整、明确定义各类交易监控规则） 当日交易查询 历史交易查询 实时交易监控（提供实时交易查询、预警、处理等） 异常交易监控（提供异常交易查询、预警、处理等） 交易事件报警 检测内容及分析—风险控制测试 交易审核 系统自动审核（交易审核规则的设置、系统根据交易规则自动进行交易审核） 人工审核 检测内容及分析—风险控制测试 风控规则 风控规则管理 黑名单（实现黑名单的管理功能、对黑名单中的客户交易进行风险监控） 风险识别 事件管理 风险报表 检测内容及分析—风险控制测试 联机交易风险管理 圈存交易ARQC/QRPC验证 联机报文MAC验证 黑名单管理 单笔圈存、消费等交易限额；当日累计消费、圈存金额限制；当日累计圈存、消费 次数限制 大额消费商户交易监控 卡片状态控制、非法卡号交易 账户余额限制 密码错误情况下的交易请求（应有效控制并记录） 检测内容及分析—安全性测试 应用安全性测试（ ） 考察应用系统对非法访问及操作的控制能力 身份鉴别（系统与普通用户设置及口令安全性、登录访问安全控制、非法访问警示及记 录、口令有效期限制等） web页面安全性（图片校验码、安全控件、使用数字证书、独立的支付密码等） 访问控制（访问权限设置、业务操作日志、关键数