非金融机构支付服务业务系统测试要点与测试方法分析

发表于:2011-10-09来源:中国软件评测中心作者:赵亮点击数: 标签:
引言 为加强非金融机构支付服务业务的信息安全管理与技术风险防范,保障非金融机构支付服务业务系统检测认证工作规范有序开展,中国人民银行日前发布实施《非金融机构支付服务业务系统检测认证管理规定》(以下简称为《管理规定》),《管理规定》自发布之日起

  引言

  为加强非金融机构支付服务业务的信息安全管理与技术风险防范,保障非金融机构支付服务业务系统检测认证工作规范有序开展,中国人民银行日前发布实施《非金融机构支付服务业务系统检测认证管理规定》(以下简称为《管理规定》),《管理规定》自发布之日起实施。

  非金融机构支付服务,即第三方支付服务,是指非金融机构在收付款人之间作为中介机构提供下列部分或全部货币资金转移服务,包括互联网支付、预付卡的发行与受理、银行卡收单、移动支付等。

  在本文中,我们结合央行检测认证的相关规定和管理办法,首先分析《管理规定》所规定的业务系统检测基本要求,阐述了业务系统检测要点,然后基于检测的内容,详细分析了在各项检测中使用的策略、方法与技术。

  一. 第三方支付服务系统检测内容与要点

  为加强非金融机构支付服务业务的信息安全管理与技术风险防范,保障非金融机构支付服务业务系统检测认证工作规范有序开展,中国人民银行日前发布实施《管理规定》,通过对《管理规定》的分析,可以知道中国人民银行对于第三方支付服务系统检测的内容及要求。本节从《管理规定》要求出发,详细介绍了第三方支付服务系统的检测内容,检测的基本内容包括功能功能测试、风险监控测试性能测试、安全性测试、文档审核等。

  1. 功能测试内容

  第三方支付服务系统的功能测试的目标是验证业务系统的功能是否正确实现,测试其业务处理的准确性。根据中国人民银行对第三方支付服务的分类,被测的系统包括互联网支付、预付卡的发行与受理、银行卡收单、远程移动支付和近场移动支付等第三方支付服务系统,不同类型的系统所包含的功能测试点也有所不同。具体如下:

  表1:功能测试内容:

  2. 风险监控测试

  《管理规定》对第三方支付系统风险监控检测的目的和内容作了如下说明:“评估业务系统的风险监控、预警和管理措施,测试其业务系统异常交易、大额交易、非法卡号交易、密码错误交易等风险的监测和防范能力”。

  通过对风险监控测试内容理解,可知风险监控测试主要是对交易管理和异常交易的监控测试。同时,由于各类支付服务的业务系统在交易过程中参与的角色不同,风险监控测试的内容也不一样,如在银行卡收单类业务系统中,交易过程中需要POS机参与,因此在风险监控测试中,银行卡收单的风险监控测试包含有终端风险管理和联机交易风险管理测试,而互联网支付类业务系统则是通过互联网平台进行交易,因此风险监控测试中交易监控和交易审核测试。具体的各类风险监控测试重点如下:

  表2:风险监控测试内容:

  3. 性能测试

  《管理规定》对第三方支付系统性能检测的目的和内容作了如下说明:“验证业务系统是否满足业务需求的多用户并发操作,是否满足业务性能需求,评估压力解除后的自恢复能力,测试系统性能极限”。通过《管理规定》中对性能检测的描述,支付服务业务系统性能的检测主要包括以下三方面内容:一是系统的并发能力验证;二是压力解除后系统自恢复能力;三是系统性能极限验证。

  系统的并发能力验证应包含两方面检测内容:一是验证系统是否支持业务的多用户并发操作;二是结合典型交易检验各测试点在给定并发用户数下,系统各项性能指标是否满足用户性能需求。

  系统自恢复能力验证的内容主要是在系统并发能力验证和系统性能极限验证的同时,记录各测试点在加压和压力解除前后系统资源的使用情况及资源恢复所用的时间。

  系统性能极限验证的内容主要是对典型交易采用极限测试策略,通过逐步增加系统负载的方式,测试系统性能的变化,并最终确定在什么负载条件下系统性能处于失效状态,同时记录此时系统所能承受的最大并发用户数。

  4. 安全性测试

  《管理规定》对第三方支付系统安全性检测的目的和内容作了如下说明:“评估业务系统在网络安全、主机安全、应用安全、数据安全、运行维护安全、电子认证安全、业务连续性等方面的能力及管理措施,评价其业务系统的安全防控和安全管理水平”。同时在该管理规定第十条中,明确说明“检测应严格遵守中国人民银行制定的技术标准和检测规范,真实反映非金融机构或支付机构业务系统技术标准符合性和安全性状况,保证非金融机构或支付机构业务系统符合国家信息系统安全等级保护第三级的基本要求”。

  通过《管理规定》中对安全性检测的理解,安全性检测要依据国家信息系统安全等级保护第三级的基本要求同时根据被测系统类型不同有适当修改,检测的主要内容包括网络安全性测试、主机安全性测试、应用安全性测试、数据安全性测试、运维安全性测试和业务连续性测试。

  5. 文档审核

  《管理规定》对第三方支付系统文档审核的目的和内容作了如下说明:“验证业务系统的用户文档、开发文档、管理文档等是否完整、有效、一致,是否符合相关标准并遵从更新控制和配置管理的要求”。

  通过《管理规定》中对文档审核内容的理解,文档审核内容包括:用户文档、开发文档和管理文档。其中审核的用户文档包括用户手册和操作手册,开发文档包括需求说明书、需求分析文档、总体设计方案、数据库设计文档、概要设计文档、详细设计文档、工程实施方案,管理文档包括测试报告、系统运维手册、系统应急手册、运维管理制度、安全管理制度、安全审计报告。同时对这些文档的密级管理,文档登记和保管,文档完整性、可操作性、文字描述的准确性、一致性进行检测。

  二. 第三方支付服务测试的方法与技术

  在上节中,我们从《管理规定》要求出发,详细介绍了第三方支付服务系统的检测内容。在本节中,我们将基于检测的内容详细介绍在功能测试、风险监控测试、性能测试、安全性测试、文档审核中所采用的检测方法与技术。

原文转自:http://www.ltesting.net