《第三方非金融支付机构检测规范培训最新》由会员分享,可在线阅读,更多相关《第三方非金融支付机构检测规范培训最新(89页珍藏版)》请在金锄头文库上搜索。
1、非非金融支付金融支付机构检测标准机构检测标准及常见问题情况介绍及常见问题情况介绍提纲提纲21 1 1 1新新标准解读标准解读4 4 4 4常见问题常见问题3 3 3 3误区解惑误区解惑5 5 5 5技术建议技术建议2 2 2 2技术检测趋势技术检测趋势提纲提纲31 1 1 1新新标准解读标准解读4 4 4 4常见问题常见问题3 3 3 3误区解惑误区解惑5 5 5 5技术建议技术建议2 2 2 2技术检测趋势技术检测趋势一、新标准解读一、新标准解读4 基本情况基本情况基本情况基本情况规范变化非金融机构支付服务业务系统检测系列规范(V2.0)银科技201294号中国人民银行公告2010第17号中
2、国人民银行科技司关于发布非金融机构支付服务业务系统检测系列规范V1.0的通知(银科技) 2011123号非金融机构支付业务设施技术非金融机构支付业务设施技术要求(即将发布)要求(即将发布)非金融机构支付服务业务系统检测非金融机构支付服务业务系统检测规范规范(即将发布)(即将发布)一、新标准解读一、新标准解读5 基本情况基本情况基本情况基本情况非金融机构支付服务业务系统检测评估准则非金融机构支付服务业务系统检测评估准则非金融机构支付服务业务系统检测操作规程非金融机构支付服务业务系统检测操作规程非金融机构支付服务业务系统检测内容基本要求非金融机构支付服务业务系统检测内容基本要求非金检测一、新标准解
3、读一、新标准解读6基本情况基本情况基本情况基本情况数字电视支付数字电视支付数字电视支付数字电视支付预付卡的发行与受理预付卡的发行与受理预付卡的发行与受理预付卡的发行与受理固定电话支付固定电话支付固定电话支付固定电话支付银行卡收单银行卡收单银行卡收单银行卡收单互联网支付互联网支付互联网支付互联网支付移动电话支付移动电话支付移动电话支付移动电话支付(远程支付)(远程支付)(远程支付)(远程支付)移动电话支付移动电话支付移动电话支付移动电话支付(近场支付)(近场支付)(近场支付)(近场支付)网络支付网络支付预付预付卡的发行与受理卡的发行与受理银行卡收单银行卡收单一、新标准解读一、新标准解读7 基本情
4、况基本情况基本情况基本情况功能功能测试测试风险风险监控监控测试测试性能性能测试测试安全性安全性测试测试文档文档测试测试外包外包测试测试检测大类没有变化u功能测试u风险监控测试u性能测试u安全性测试u文档测试u外包测试一、新标准解读一、新标准解读8 基本情况基本情况基本情况基本情况功能功能测试测试风险风险监控监控测试测试性能性能测试测试安全性安全性测试测试文档文档测试测试外包外包测试测试验证支付服务业务系统的业务功能是否正确实现,测试系统业务处理的准确性一、新标准解读一、新标准解读9 基本情况基本情况基本情况基本情况功能功能测试测试风险风险监控监控测试测试性能性能测试测试安全性安全性测试测试文档
5、文档测试测试外包外包测试测试验证支付服务业务系统的账户及交易风险一、新标准解读一、新标准解读10 基本情况基本情况基本情况基本情况功能功能测试测试风险风险监控监控测试测试性能性能测试测试安全性安全性测试测试文档文档测试测试外包外包测试测试对支付服务业务系统性能测试的主要目的是验证系统是否满足未来三年业务运行的性能需求。测试内容包括以下三个方面:一是验证系统是否支持业务的多用户并发操作;二是验证在规定的硬件环境条件和给定的业务压力下,考核系统是否满足性能需求和压力解除后系统自恢复能力;三是测试系统性能极限。一、新标准解读一、新标准解读11 基本情况基本情况基本情况基本情况功能功能测试测试风险风险
6、监控监控测试测试性能性能测试测试安全性安全性测试测试文档文档测试测试外包外包测试测试u网络安全性测试u主机安全性测试u应用安全性测试u数据安全性测试u运维安全性测试u业务连续性测试一、新标准解读一、新标准解读12 基本情况基本情况基本情况基本情况功能功能测试测试风险风险监控监控测试测试性能性能测试测试安全性安全性测试测试文档文档测试测试外包外包测试测试u网络安全性测试对支付服务业务系统网络环境进行检测,考察经网络系统传输的数据安全性以及网络系统所连接的设备安全性,评估系统网络环境是否能够防止信息资产的损坏、丢失,敏感信息的泄漏以及业务中断,是否能够保障业务的持续运营和保护信息资产的安全。一、新
7、标准解读一、新标准解读13 基本情况基本情况基本情况基本情况功能功能测试测试风险风险监控监控测试测试性能性能测试测试安全性安全性测试测试文档文档测试测试外包外包测试测试u主机安全性测试对支付服务业务系统主机安全防护进行检测,考察主机的安全控制能力。一、新标准解读一、新标准解读14 基本情况基本情况基本情况基本情况功能功能测试测试风险风险监控监控测试测试性能性能测试测试安全性安全性测试测试文档文档测试测试外包外包测试测试u应用安全性测试对支付服务业务系统应用安全性检测,主要检测应用系统对非法访问及操作的控制能力。一、新标准解读一、新标准解读15 基本情况基本情况基本情况基本情况功能功能测试测试风
8、险风险监控监控测试测试性能性能测试测试安全性安全性测试测试文档文档测试测试外包外包测试测试u数据安全性测试对支付服务业务系统数据安全防护进行检测,主要考察数据的传输、存储、备份与恢复安全性。一、新标准解读一、新标准解读16 基本情况基本情况基本情况基本情况功能功能测试测试风险风险监控监控测试测试性能性能测试测试安全性安全性测试测试文档文档测试测试外包外包测试测试u运维安全性测试对支付服务业务系统运维安全进行检测,主要考察运维安全管理制度及运维安全执行情况。一、新标准解读一、新标准解读17 基本情况基本情况基本情况基本情况功能功能测试测试风险风险监控监控测试测试性能性能测试测试安全性安全性测试测
9、试文档文档测试测试外包外包测试测试u业务连续性测试对支付服务业务系统业务连续性进行检测,主要考察系统是否具备业务连续性管理并达到设计目标。一、新标准解读一、新标准解读18 基本情况基本情况基本情况基本情况功能功能测试测试风险风险监控监控测试测试性能性能测试测试安全性安全性测试测试文档文档测试测试外包外包测试测试对支付服务业务系统的用户文档、开发文档、管理文档的完备性、一致性、正确性、规范性,以及是否符合行业标准,是否遵从更新控制和配置管理的要求等方面进行检测。一、新标准解读一、新标准解读19 基本情况基本情况基本情况基本情况功能功能测试测试风险风险监控监控测试测试性能性能测试测试安全性安全性测
10、试测试文档文档测试测试外包外包测试测试对于非金融机构将支付服务业务系统相关运维外包给第三方服务机构的情况,还应进行外包附加测试。一、新标准解读一、新标准解读20 基本情况基本情况基本情况基本情况业务系统业务系统功能测功能测试试风险监控风险监控测试测试性能测性能测试试安全性测安全性测试试文档审查文档审查外包附件外包附件测试测试总计总计互联网支付35145197157273移动电话支付(远程支付)51295211157318移动电话支付(近场支付)36405223157326固定电话支付42146196157280数字电视支付37145197157275预付卡的发行与受理3921822215731
11、2银行卡收单一、新标准解读一、新标准解读21 技术要求及检测规范技术要求及检测规范技术要求及检测规范技术要求及检测规范非非金融机构支付业务金融机构支付业务设施技术要求设施技术要求非金融机构支付业务设施技术要求本要求包括基本要求和增强要求两部分;增强要求在本要求中做出了具体的规定。本要求根据现有技术的发展水平,提出和规定了非金融机构支付业务设施技术认证相应级别的的最低要求,即基本要求,基本要求包括技术标准符合性和系统安全性要求。达到本要求要求可以实现系统的基本技术符合和相对安全。非非金融机构支付服务金融机构支付服务业务系统检测规范业务系统检测规范检测目标是在系统版本确定的基础上,对非金融机构支付
12、服务业务(互联网支付)系统功能、风险监控、性能、安全性、文档和外包六项检测类进行测试,客观、公正评估系统是否符合中国人民银行对支付服务业务系统的技术标准符合性和安全性要求,保障我国支付业务设施的安全稳定运行。一、新标准解读一、新标准解读22 技术要求及检测规范技术要求及检测规范技术要求及检测规范技术要求及检测规范非非金融机构支付业务金融机构支付业务设施技术要求设施技术要求非非金融机构支付服务金融机构支付服务业务系统检测规范业务系统检测规范银行卡收单业务管理办法银行卡收单业务管理办法支付机构预付卡业务管理办法支付机构预付卡业务管理办法互联网支付业务风险防范指引互联网支付业务风险防范指引一、新标准
13、解读一、新标准解读23非金融机构支付业务设施技术非金融机构支付业务设施技术非金融机构支付业务设施技术非金融机构支付业务设施技术要求(即将发布)要求(即将发布)要求(即将发布)要求(即将发布)非金融机构支付业务设施技术要求定义及内容定义及内容互联网支付互联网支付internet paymentinternet payment 是指依托互联网实现收付款方之间货币资金转移的行为。移动电话支付(近场支付)移动电话支付(近场支付)Mobile Payment(Near-field payment) 是指移动终端上内嵌的智能卡通过非接触方式和支付受理终端进行通讯,实现货币支付与资金转移的行为。移动电话支付
14、(远程支付)移动电话支付(远程支付)Mobile Payment(remote payment) 是指移动终端(通常指手机)以短信、WAP、客户端软件以及客户端软件加智能卡等方式,通过无线通信网络发出支付指令,实现货币支付与资金转移的行为。一、新标准解读一、新标准解读24非金融机构支付业务设施技术要求(即将发布)非金融机构支付业务设施技术要求(即将发布)非金融机构支付业务设施技术要求(即将发布)非金融机构支付业务设施技术要求(即将发布)非金融机构支付业务设施技术要求定义及内容定义及内容固定电话支付固定电话支付 fixed telephone payment 是指电话通过语音IVR方式,使用电话
15、线路发出支付指令,实现货币支付与资金转移的行为。数字电视支付数字电视支付 Digital TV payment 是指依托交互机顶盒等数字电视支付终端发起的,使用IC卡或网络实现支付交易的行为。数字电视支付业务不涉及IC卡的发行和管理。预付卡的发行与受理预付卡的发行与受理Prepaid cards 是指发卡机构以特定载体和形式发行的、可在发卡机构之外购买商品或服务的预付价值。预付卡分为记名预付卡和不记名预付卡。记名预付卡是指预付卡业务处理系统中记载持卡人身份信息的预付卡。不记名预付卡是指预付卡业务处理系统中不记载持卡人身份信息的预付卡。银行卡收单银行卡收单bank card acceptance
16、 是指通过销售点(POS)终端等为银行卡特约商户代收货币资金的行为。一、新标准解读一、新标准解读25非金融机构支付业务设施技术要求(即将发布)非金融机构支付业务设施技术要求(即将发布)非金融机构支付业务设施技术要求(即将发布)非金融机构支付业务设施技术要求(即将发布)非金融机构支付业务设施技术要求基本要求和增强要求基本要求和增强要求非金融机构支付业务设施技术要求包括基本要求和增强要求两部分;增强要求在本要求中做出了具体的规定。根据现有技术的发展水平,提出和规定了非金融机构支付业务设施技术认证相应级别的的最低要求,即基本要求,基本要求包括技术标准符合性和系统安全性要求。达到本要求要求可以实现系统
17、的基本技术符合和相对安全。一、新标准解读一、新标准解读26非金融机构支付业务设施技术要求(即将发布非金融机构支付业务设施技术要求(即将发布非金融机构支付业务设施技术要求(即将发布非金融机构支付业务设施技术要求(即将发布)非金融机构支付业务设施技术要求基本要求和增强要求基本要求和增强要求考虑到非金融机构支付业务设施的实际技术应用现状,也考虑到金融行业对于业务的规范化要求,以及将来的发展需要,对未来一段时间内行业的发展水平进行合理的预估,提出增强要求。增强要求高于当前的平均水平。一、新标准解读一、新标准解读27 非金融机构支付服务业务系统检测非金融机构支付服务业务系统检测非金融机构支付服务业务系统
18、检测非金融机构支付服务业务系统检测规范(即将发布规范(即将发布规范(即将发布规范(即将发布)非金融机构支付服务非金融机构支付服务业务系统检测规范业务系统检测规范定义及内容定义及内容分为分为5 5个部分:个部分:第1部分:互联网支付;第2部分:预付卡的发行与受理;第3部分:银行卡收单; 第4部分:固定电话支付;第5部分:数字电视支付;一、新标准解读一、新标准解读28非金融机构支付服务业务系统检测规范(即将发布非金融机构支付服务业务系统检测规范(即将发布非金融机构支付服务业务系统检测规范(即将发布非金融机构支付服务业务系统检测规范(即将发布)非金融机构支付服务非金融机构支付服务业务系统检测规范业务
19、系统检测规范名词定义名词定义 管理类管理类 技术类技术类一、新标准解读一、新标准解读29非金融机构支付服务业务系统检测规范(即将发布非金融机构支付服务业务系统检测规范(即将发布非金融机构支付服务业务系统检测规范(即将发布非金融机构支付服务业务系统检测规范(即将发布)非金融机构支付服务非金融机构支付服务业务系统检测规范业务系统检测规范名词定义名词定义 非必测项非必测项 必测项必测项一、新标准解读一、新标准解读30非金融机构支付服务业务系统检测规范(即将发布非金融机构支付服务业务系统检测规范(即将发布非金融机构支付服务业务系统检测规范(即将发布非金融机构支付服务业务系统检测规范(即将发布)非金融机
20、构支付服务非金融机构支付服务业务系统检测规范业务系统检测规范名词定义名词定义 技术要求细化技术要求细化明确基本要求明确基本要求定义定义区分技术类与区分技术类与管理类管理类增加基本要求与增加基本要求与增强要求增强要求适应行业发展适应行业发展一、新标准解读一、新标准解读31 总结总结总结总结提纲提纲321 1 1 1新标准解读新标准解读4 4 4 4常见问题常见问题3 3 3 3误区解惑误区解惑5 5 5 5技术建议技术建议2 2 2 2技术检测趋势技术检测趋势二二、技术检测趋势、技术检测趋势33 行业现状行业现状行业现状行业现状首批发放牌照首批发放牌照目前目前二二、技术检测趋势、技术检测趋势34
21、 技术检测技术检测技术检测技术检测 标准符合性标准符合性测试测试流程优化测试风险评估测试安全渗透测试软硬件相结合二二、技术检测趋势、技术检测趋势35 技术检测技术检测技术检测技术检测标准符合性测试注重标准符合性,能否提供人民银行要求的基本注重标准符合性,能否提供人民银行要求的基本功能要求,业务类型与申请牌照是否一致功能要求,业务类型与申请牌照是否一致基础硬件设施是否能够满足要求基础硬件设施是否能够满足要求性能能否满足未来业务发展需求性能能否满足未来业务发展需求二二、技术检测趋势、技术检测趋势36 技术检测技术检测技术检测技术检测安全渗透测试外部系统是否存在漏洞,导致用户信息及资金的外部系统是否
22、存在漏洞,导致用户信息及资金的泄露泄露内部系统是否存在安全漏洞,内部安全风险更可内部系统是否存在安全漏洞,内部安全风险更可怕怕支付产品安全性支付产品安全性二二、技术检测趋势、技术检测趋势37 技术检测技术检测技术检测技术检测风险评估测试风风控系统能够切实起到风险防范控系统能够切实起到风险防范安全意识培训是否开展到位安全意识培训是否开展到位多个漏洞同时存在时是否会带来更大的风险多个漏洞同时存在时是否会带来更大的风险二二、技术检测趋势、技术检测趋势38 技术检测技术检测技术检测技术检测流程优化测试管理制度是否到位管理制度是否到位功能功能流程是否存在安全漏洞流程是否存在安全漏洞监管执行是否到位监管执
23、行是否到位二二、技术检测趋势、技术检测趋势39 技术检测技术检测技术检测技术检测软硬件相结合流程能否导致欺诈流程能否导致欺诈风险风险专利技术风险专利技术风险信息泄露风险信息泄露风险二二、技术检测趋势、技术检测趋势40 技术检测技术检测技术检测技术检测趋势趋势 更细更细更深更深 更全更全提纲提纲411 1 1 1新新标准解读标准解读4 4 4 4常见问题常见问题3 3 3 3误区解惑误区解惑5 5 5 5技术建议技术建议2 2 2 2技术检测趋势技术检测趋势三、误区解惑三、误区解惑42客户用户客户应包括用户和商户有些检测项的要求不仅对于用户适用,有些要求同样对于商户适用。三、误区解惑三、误区解惑
24、43测试环境性能差生产环境性能好支付机构性能处理能力不仅取决于硬件的性能,有时性能问题的瓶颈出现在程序逻辑上。当在测试环境发现性能不能够满足要求时,应更换测试环境或查找原因,使得测试环境能够满足性能需求。三、误区解惑三、误区解惑44内外网隔离内网绝对安全内网安全同样需要重视,存在内部人员作案风险及由其他区域带来的安全隐患三、误区解惑三、误区解惑45信息安全安全设备信息安全不等同于安全设备,他是一个需要多方面配合而完整的过程,需要设计到硬件、软件、人员和管理等多方面因素,而安全设备仅仅是其中之一三、误区解惑三、误区解惑46业务类报表对账统计表业务类报表包含很多方面,如新增用户数,新增商户数,当日
25、流水金额等多方面业务指标,而不是单指流水统计汇总表,而应该是能够反应整体业务增减情况的报表。三、误区解惑三、误区解惑47实名认证实名登记实名认证是指通过公安实名认证平台,核实用户提供的身份信息是否真实,而不是第三方自己对用户进行实名等级三、误区解惑三、误区解惑48商户注销商户暂停商户注销是一个不可逆的过程,对于注销的商户如果想要重新开通业务,需从新走审批三、误区解惑三、误区解惑49异常交易处理交易拒绝异常交易处理,并不仅仅只拒绝非正常的交易,如密码错等,而是应该首先记录下来密码错误的交易记录,进而再次与后续交易关联,筛选出可以交易,判断出是否存在尝试密码等风险行为。三、误区解惑三、误区解惑50
26、敏感数据用户密码支付机构存有用户的很多信息,像身份证、电话号码等,都应该进行妥善保管,同时对于用户信用卡的CVN2、有效期等,都属于敏感数据,按照要求不能够留存。三、误区解惑三、误区解惑51交易监控订单查询交易监控不仅仅指能够通过订单查询的方式查询出目前发生的交易情况,而是通过监控平台,对发生的交易进行统一监控,对失败的交易及风险交易进行及时预警。三、误区解惑三、误区解惑52终端入网检测报告终端安全检测报告入网检测报告是对机具功能、通讯协议的检测,不能够体现终端能够保证用户输入敏感信息的安全。使用的机具应提供入网检测报告及安全检测报告。三、误区解惑三、误区解惑53双因素认证密码加动态验证码所知
27、道的、所拥有的、所具备的。如密码加动态令牌,密码加指纹等三、误区解惑三、误区解惑54不安装补丁无无补丁安装策略为保证系统稳定运行,不打系统补丁但应定期检查服务提供商发布的系统补丁,在有重大漏洞更新时,应确保不影响业务正常运行的情况下进行补丁的更新。三、误区解惑三、误区解惑55数据备份备份数据可用数据备份是对生产重要数据的备份,在保证数据及时进行备份的同时,应保证备份数据的可用性,定期对备份数据进行恢复性测试。三、误区解惑三、误区解惑56应急演练主备机房切换演练应急演练应包括业务,系统两部分,主备机房切换演练是其中系统的重要部分之一,但在灾难发生时,同时要考虑到由于业务中断而带来的社会舆论影响等
28、多方面问题。提纲提纲571 1 1 1新新标准解读标准解读4 4 4 4常见问题常见问题3 3 3 3误区解惑误区解惑5 5 5 5技术建议技术建议2 2 2 2技术检测趋势技术检测趋势四四、常见问题、常见问题58严重问题一般问题局部功能无法正常使用,但不影响系统整体流程局部功能无法正常使用,但不影响系统整体流程的实现;的实现;存在安全风险,会对客户利益造成存在安全风险,会对客户利益造成直接直接或或潜在潜在的的损害。损害。建议问题功能能够正常使用,但系统易用性差;功能能够正常使用,但系统易用性差;存在安全风险,但存在安全风险,但不会不会对客户利益造成直接或潜对客户利益造成直接或潜在的损害。在的
29、损害。与相关法律法规、标准规范有明显冲突;与相关法律法规、标准规范有明显冲突;系统不满足业务需求;系统不满足业务需求;主要业务流程不正确;主要业务流程不正确;存在安全风险,会对客户利益造成存在安全风险,会对客户利益造成严重严重的损害。的损害。四四、常见问题、常见问题59检测项符合严重性问题一般性问题建议性问题检测项不符合未发现问题四四、常见问题、常见问题60检测类符合存在有严重问题的检测项检测项“不符合”率大于1515%(一般问题)检测项“不符合”率小于或等于15%(一般问题)检测类不符合检测项全部为“符合”四四、常见问题、常见问题61结果结果符合检测类的检测结果存在“不符合”结果不符合检测类
30、的检测结果不存在“不符合”四四、常见问题、常见问题621 12 23 34 45 5安全设备投入不足安全设备投入不足安全设备投入不足安全设备投入不足产品设计不完善产品设计不完善产品设计不完善产品设计不完善风控系统无法发挥应有作用风控系统无法发挥应有作用风控系统无法发挥应有作用风控系统无法发挥应有作用业务连续性演练不足业务连续性演练不足业务连续性演练不足业务连续性演练不足内部审计制度不完善内部审计制度不完善内部审计制度不完善内部审计制度不完善常见问题四四、常见问题、常见问题631 1安全设备投入不足安全设备投入不足安全设备投入不足安全设备投入不足u成本限制u双因素限制无法实现u日志信息保护不完善
31、u缺少审计工具u堡垒机审计u缺少专职安全管理人员u异地备份机制及设施有待完善四四、常见问题、常见问题642 2产品设计不完善产品设计不完善产品设计不完善产品设计不完善u黑名单功能不正确u支付硬件产品安全程度欠佳u系统交互不友好四四、常见问题、常见问题653 3风控系统无法发挥应有作用风控系统无法发挥应有作用风控系统无法发挥应有作用风控系统无法发挥应有作用u黑名单功能不完善(缺少卡片、商户黑名单)u风险报表不完善u主动预警功能不完善u交易监控规则定义较少四四、常见问题、常见问题664 4内部审计制度不完善内部审计制度不完善内部审计制度不完善内部审计制度不完善u执行缺少记录u配置手册不够详细u双人
32、监督执行不到位u无法实现专人专岗四四、常见问题、常见问题675 5业务连续性演练不足业务连续性演练不足业务连续性演练不足业务连续性演练不足u演练不全面,涉及部门较少u恢复目标设定不合理,实际无法达到四四、常见问题、常见问题685 5业务连续性演练不足业务连续性演练不足业务连续性演练不足业务连续性演练不足u演练不全面,涉及部门较少u恢复目标设定不合理,实际无法达到四四、常见问题、常见问题69【问题描述】同一商品允许重复退货【问题等级】严重四四、常见问题、常见问题70【问题描述】账户可交易金额只精确到元,不能精确到角、分【问题等级】一般四四、常见问题、常见问题71【问题描述】系统未提供黑名单管理功
33、能,例如:POS机具进行签到,并下载黑名单信息后,黑名单卡仍可完成消费【问题等级】严重四四、常见问题、常见问题72【问题描述】对于现金充值没有单笔充值最大限额限制【问题等级】严重四四、常见问题、常见问题73【问题描述】PIN密钥使用单倍长密钥、终端不是一机一密机制,多台终端共享同一个主密钥【问题等级】严重四四、常见问题、常见问题74【问题描述】核心网络设备缺少冗余【问题等级】严重四四、常见问题、常见问题75【问题描述】没有管理员权限或者用户权限控制【问题等级】严重四四、常见问题、常见问题76【问题描述】敏感信息明文传输和存储【问题等级】严重四四、常见问题、常见问题77【问题描述】未建立同城应用
34、级备份机房【问题等级】严重提纲提纲781 1 1 1新新标准解读标准解读4 4 4 4常见问题常见问题3 3 3 3误区解惑误区解惑5 5 5 5技术建议技术建议2 2 2 2技术检测趋势技术检测趋势五、技术建议五、技术建议79 支付机构支付机构支付机构支付机构网络安全网络安全人员管理人员管理数据安全数据安全风险监控风险监控物理安全物理安全应用安全应用安全五、技术建议五、技术建议80 网络安全五、技术建议五、技术建议81 网络安全l访问控制l安全漏洞l攻击监控l加密通讯l会话认证l链路冗余五、技术建议五、技术建议82 应用安全l应用系统安全是动态变化的l直接影响数据和信息的安全性,增加对用户提
35、交信息的过滤五、技术建议五、技术建议83 物理安全l物理安全环境(通风系统、电源系统、防雷防火系统、机房温湿度环境条件等)l机柜上锁l主机USB接口控制l加密通讯l会话认证l链路冗余五、技术建议五、技术建议84 数据安全l数据保密,磁盘阵列l数据完整性l数据防护l数据备份l数据处理l机密性、完整性、可用性五、技术建议五、技术建议85 人员管理l防范社会工程学l安全意识培训l岗位技能培训l双人控制l监督管理五、技术建议五、技术建议86 风险监控交易数据增加一条规则举例举例五、技术建议五、技术建议87 风险监控l实时防控预警l丰富的风控规则88 Q&AQ&A89Thanks for Your Attention谢谢!谢谢!王睿超王睿超电话电话:+86 18610025964邮箱邮箱:地址:地址:北京市丰台区科学城中核路5号
