非金融機(jī)構(gòu)支付服務(wù)業(yè)務(wù)系統(tǒng)檢測(cè)規(guī)范移動(dòng)電話支付(遠(yuǎn)程支付)部分v2.0

1、非金融機(jī)構(gòu)支付服務(wù)業(yè)務(wù)系統(tǒng)檢測(cè)規(guī)范 （移動(dòng)電話支付(遠(yuǎn)程支付)部分） （v2.0v2.0 版）版） 中國人民銀行 2012 年 4 月 目目 錄錄 第一部分第一部分 總則總則.2 一、檢測(cè)依據(jù).2 二、檢測(cè)目標(biāo).3 三、啟動(dòng)準(zhǔn)則.3 四、術(shù)語定義.3 五、適用范圍.4 第二部分第二部分 檢測(cè)內(nèi)容檢測(cè)內(nèi)容.5 一、功能測(cè)試.5 二、風(fēng)險(xiǎn)監(jiān)控測(cè)試.6 三、性能測(cè)試.7 四、安全性測(cè)試.8 五、文檔審核.15 第三部分第三部分 外包附加測(cè)試外包附加測(cè)試.17 附錄附錄 檢測(cè)過程風(fēng)險(xiǎn)分析檢測(cè)過程風(fēng)險(xiǎn)分析.18 第一部分 總則 一、檢測(cè)依據(jù) 1. gb/t 25000.51-2010 軟件工程 軟件產(chǎn)品

2、質(zhì)量要求與評(píng)價(jià) （square） 商業(yè)現(xiàn)貨（cots）軟件產(chǎn)品的質(zhì)量要求和測(cè)試細(xì)則 2. gb/t 16260-2006 軟件工程 產(chǎn)品質(zhì)量 3. gb/t 17544-1998 信息技術(shù) 軟件包 質(zhì)量要求和測(cè)試 4. gb/t 18905-2002 軟件工程 產(chǎn)品評(píng)價(jià) 5. gb/t 27025-2008 檢測(cè)和校準(zhǔn)實(shí)驗(yàn)室能力的通用要求 6. gb/t 8567-2006 計(jì)算機(jī)軟件文檔編制規(guī)范 7. gb/t 9385-2008 計(jì)算機(jī)軟件需求規(guī)格說明規(guī)范 8. gb/t 9386-2008 計(jì)算機(jī)軟件測(cè)試文檔編制規(guī)范 9. gb/t 14394-2008 計(jì)算機(jī)軟件可靠性和可維護(hù)性管理

3、10. gb/t 15332-2008 計(jì)算機(jī)軟件測(cè)試規(guī)范 11. gb/t 20271-2006 信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求 12. gb/t 18336-2008 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則 13. gb 17859-1999 計(jì)算機(jī)信息系統(tǒng) 安全保護(hù)等級(jí)劃分準(zhǔn)則 14. 非金融機(jī)構(gòu)支付服務(wù)管理辦法 （中國人民銀行令2010第 2 號(hào)） 15. 非金融機(jī)構(gòu)支付服務(wù)管理辦法實(shí)施細(xì)則 （中國人民銀行公告 2010第 17 號(hào)） 16. 非金融機(jī)構(gòu)支付服務(wù)業(yè)務(wù)系統(tǒng)檢測(cè)認(rèn)證管理規(guī)定 （中國人民銀 行公告2011第 14 號(hào)） 二、檢測(cè)目標(biāo) 檢測(cè)目標(biāo)是在系統(tǒng)版本確定的基礎(chǔ)

4、上，對(duì)非金融機(jī)構(gòu)支付服務(wù)業(yè)務(wù) （移動(dòng)電話支付(遠(yuǎn)程支付)）系統(tǒng)功能、風(fēng)險(xiǎn)監(jiān)控、性能、安全性、文檔 和外包六項(xiàng)檢測(cè)類進(jìn)行測(cè)試，客觀、公正評(píng)估系統(tǒng)是否符合中國人民銀行 對(duì)支付服務(wù)業(yè)務(wù)系統(tǒng)的技術(shù)標(biāo)準(zhǔn)符合性和安全性要求，保障我國支付業(yè)務(wù) 設(shè)施的安全穩(wěn)定運(yùn)行。 三、啟動(dòng)準(zhǔn)則 1非金融機(jī)構(gòu)提交的支付服務(wù)業(yè)務(wù)系統(tǒng)被測(cè)版本與生產(chǎn)版本一致； 2非金融機(jī)構(gòu)支付服務(wù)業(yè)務(wù)系統(tǒng)內(nèi)部測(cè)試進(jìn)行完畢； 3系統(tǒng)需求說明書、系統(tǒng)設(shè)計(jì)說明書、用戶手冊(cè)、安裝手冊(cè)等相關(guān)文 檔準(zhǔn)備完畢； 4測(cè)試環(huán)境準(zhǔn)備完畢，具體包括： （1）測(cè)試環(huán)境與生產(chǎn)環(huán)境一致或者基本一致，其中網(wǎng)絡(luò)安全性、主機(jī) 安全性、數(shù)據(jù)安全性和運(yùn)維安全性測(cè)試盡量在生產(chǎn)環(huán)境下進(jìn)行

5、； （2）支付服務(wù)業(yè)務(wù)系統(tǒng)被測(cè)版本及其他相關(guān)外圍系統(tǒng)和設(shè)備已完成部 署并配置正確； （3）用于功能和性能測(cè)試的基礎(chǔ)數(shù)據(jù)準(zhǔn)備完畢； （4）測(cè)試用機(jī)到位，系統(tǒng)及軟件安裝完畢； （5）測(cè)試環(huán)境網(wǎng)絡(luò)配置正確，連接通暢，可以滿足測(cè)試需求。 四、術(shù)語定義 1. 非金融機(jī)構(gòu)支付服務(wù)：是指非金融機(jī)構(gòu)在收付款人之間作為中介機(jī) 構(gòu)提供下列部分或全部貨幣資金轉(zhuǎn)移服務(wù)： （1） 貨幣匯兌 （2） 互聯(lián)網(wǎng)支付 （3） 移動(dòng)電話支付 （4） 固定電話支付 （5） 數(shù)字電視支付 （6） 預(yù)付卡的發(fā)行與受理 （7） 銀行卡收單 （8） 中國人民銀行確定的其他支付服務(wù) 2.移動(dòng)電話支付(遠(yuǎn)程支付)：是指移動(dòng)終端（通常指手機(jī)）以

6、短信、 wap、客戶端軟件以及客戶端軟件加智能卡等方式，通過無線通信網(wǎng)絡(luò)發(fā)出 支付指令，實(shí)現(xiàn)貨幣支付與資金轉(zhuǎn)移的行為。 五、適用范圍 第三方檢測(cè)機(jī)構(gòu)按照本規(guī)范制定支付服務(wù)業(yè)務(wù)系統(tǒng)技術(shù)標(biāo)準(zhǔn)符合性和 安全性檢測(cè)方案。 第二部分 檢測(cè)內(nèi)容 一、功能測(cè)試 驗(yàn)證支付服務(wù)業(yè)務(wù)系統(tǒng)的業(yè)務(wù)功能是否正確實(shí)現(xiàn)，測(cè)試系統(tǒng)業(yè)務(wù)處理 的準(zhǔn)確性，測(cè)試內(nèi)容如下： 編號(hào)編號(hào)檢測(cè)項(xiàng)檢測(cè)項(xiàng)檢測(cè)說明檢測(cè)說明 1.1.1 客戶信息登記及管理必測(cè)項(xiàng) 1.1.2 終端設(shè)備關(guān)聯(lián) 1.1.3 商業(yè)銀行管理 1.1.4 客戶證書管理 1.1 客戶管理 1.1.5 客戶審核必測(cè)項(xiàng) 1.2.1 客戶支付賬戶管理必測(cè)項(xiàng) 1.2.2 客戶支付賬戶管理

7、審核 1.2.3 銀行卡關(guān)聯(lián) 1.2.4 客戶支付賬戶查詢必測(cè)項(xiàng) 1.2 賬戶管理 1.2.5 客戶支付賬戶資金審核 1.3.1 制卡 必測(cè)項(xiàng)（無卡片發(fā)行情 況不適用） 1.3.2 卡片發(fā)行 必測(cè)項(xiàng)（無卡片發(fā)行情 況不適用） 1.3.3 卡片激活 必測(cè)項(xiàng)（無卡片發(fā)行情 況不適用） 1.3.4 卡片個(gè)人化 必測(cè)項(xiàng)（無卡片發(fā)行情 況不適用） 1.3.5 更換 必測(cè)項(xiàng)（無卡片發(fā)行情 況不適用） 1.3.6 密碼修改 1.3.7 掛失/解掛 1.3.8 鎖定/解鎖 1.3 卡片管理 1.3.9 注銷 1.4.1 認(rèn)證中心公鑰管理 1.4.2 支付機(jī)構(gòu)密鑰管理 1.4.3 卡片密鑰管理 必測(cè)項(xiàng)（無卡片發(fā)

8、行情 況不適用） 1.4.4 支付機(jī)構(gòu)證書管理 1.4 密鑰和證書管理 1.4.5 卡片證書管理 1.5.1 一般支付 1 一般支付類必測(cè)項(xiàng) 1.5 交易處理 1.5.2 擔(dān)保支付 2 擔(dān)保支付類必測(cè)項(xiàng) 1一般支付：指客戶在商戶提供的平臺(tái)上選購商品或服務(wù)，并在支付服務(wù)方確認(rèn)付款的支付交易流程。本交易的特點(diǎn)為：客戶 在支付服務(wù)方進(jìn)行身份認(rèn)證、支付工具確認(rèn)等，并且支付服務(wù)方不對(duì)交易雙方提供交易擔(dān)保。 編號(hào)編號(hào)檢測(cè)項(xiàng)檢測(cè)項(xiàng)檢測(cè)說明檢測(cè)說明 1.5.3 協(xié)議支付 3 協(xié)議支付類必測(cè)項(xiàng) 1.5.4 訂單撤銷必測(cè)項(xiàng) 1.5.5 轉(zhuǎn)賬 1.5.6 預(yù)存 1.5.7 提現(xiàn) 1.5.8 積分查詢 1.5.9 積

9、分兌換 1.5.10 積分兌換撤銷 1.5.11 交易糾紛處理 1.5.12 交易明細(xì)查詢必測(cè)項(xiàng) 1.5.13 交易明細(xì)下載 1.5.14 邀請(qǐng)其他人代付 1.6 資金結(jié)算1.6.1 客戶結(jié)算必測(cè)項(xiàng) 1.7.1 發(fā)送對(duì)賬請(qǐng)求 1.7 對(duì)賬處理 1.7.2 生成對(duì)賬文件 1.8.1 長款/短款處理必測(cè)項(xiàng) 1.8.2 單筆退款必測(cè)項(xiàng) 1.8 差錯(cuò)處理 1.8.3 批量退款 1.9.1 業(yè)務(wù)類報(bào)表必測(cè)項(xiàng) 1.9 統(tǒng)計(jì)報(bào)表 1.9.2 運(yùn)行管理類報(bào)表必測(cè)項(xiàng) 1.10.1 運(yùn)營人員權(quán)限管理必測(cè)項(xiàng) 1.10.2 提現(xiàn)風(fēng)控處理 1.10.3 提現(xiàn)財(cái)務(wù)處理 1.10.4 退款風(fēng)控處理必測(cè)項(xiàng) 1.10 運(yùn)營管理

10、 1.10.5 退款財(cái)務(wù)處理必測(cè)項(xiàng) 二、風(fēng)險(xiǎn)監(jiān)控測(cè)試 驗(yàn)證支付服務(wù)業(yè)務(wù)系統(tǒng)的賬戶及交易風(fēng)險(xiǎn)，測(cè)試內(nèi)容如下： 編號(hào)編號(hào)檢測(cè)項(xiàng)檢測(cè)項(xiàng)檢測(cè)說明檢測(cè)說明 2.1.1 實(shí)名認(rèn)證 2.1.2 業(yè)務(wù)范圍短信支付、wap 支付必 測(cè)項(xiàng) 2.1.3 手機(jī)號(hào)碼與賬戶綁定短信支付必測(cè)項(xiàng) 2.1 賬戶風(fēng)險(xiǎn)管理 2.1.4 賬戶變更必測(cè)項(xiàng) 2.2.1 監(jiān)控規(guī)則管理必測(cè)項(xiàng) 2擔(dān)保支付：指在一般支付中，由支付服務(wù)方為支付的雙方提供交易擔(dān)保，支付成功時(shí)支付服務(wù)方把付款人的資金暫存在一個(gè) 中間賬戶，由付款人在確認(rèn)收到貨物（服務(wù)）后或者在指定期限付款人未進(jìn)行收貨確認(rèn)時(shí)，把資金劃轉(zhuǎn)到收款人賬戶的一種 業(yè)務(wù)。 3協(xié)議支付：指客戶、商

11、戶、支付服務(wù)方事前簽約，在支付時(shí)商戶根據(jù)簽約憑證直接向支付服務(wù)方發(fā)起扣款交易。協(xié)議支付要 求客戶信任商戶能夠保障自己的資金安全。 編號(hào)編號(hào)檢測(cè)項(xiàng)檢測(cè)項(xiàng)檢測(cè)說明檢測(cè)說明 2.2.2 當(dāng)日交易查詢必測(cè)項(xiàng) 2.2.3 歷史交易查詢必測(cè)項(xiàng) 2.2.4 實(shí)時(shí)交易監(jiān)控必測(cè)項(xiàng) 2.2.5 可疑交易處理必測(cè)項(xiàng) 2.2.6 交易事件報(bào)警必測(cè)項(xiàng) 2.3.1 單筆充值上限必測(cè)項(xiàng)（無卡片發(fā)行 情況不適用） 2.3.2 單筆消費(fèi)上限必測(cè)項(xiàng) 2.3.3 單日、單月累計(jì)消費(fèi)上限必測(cè)項(xiàng) 2.3.4 當(dāng)日累計(jì)消費(fèi)次數(shù)限制必測(cè)項(xiàng) 2.3 交易風(fēng)險(xiǎn)管理 2.3.5 賬戶資金余額上限必測(cè)項(xiàng)（無卡片發(fā)行 情況不適用） 2.4.1 系統(tǒng)

12、自動(dòng)審核必測(cè)項(xiàng) 2.4 交易審核 2.4.2 人工審核必測(cè)項(xiàng) 2.5.1 風(fēng)控規(guī)則管理必測(cè)項(xiàng) 2.5.2 黑名單必測(cè)項(xiàng) 2.5.3 風(fēng)險(xiǎn)識(shí)別必測(cè)項(xiàng) 2.5.4 事件管理必測(cè)項(xiàng) 2.5 風(fēng)控規(guī)則 2.5.5 風(fēng)險(xiǎn)報(bào)表必測(cè)項(xiàng) 2.6.1 商戶資質(zhì)審核必測(cè)項(xiàng) 2.6.2 商戶簽約必測(cè)項(xiàng) 2.6.3 特約商戶日常風(fēng)險(xiǎn)管理必測(cè)項(xiàng) 2.6.4 合作的第三方機(jī)構(gòu)的風(fēng)險(xiǎn)管理 2.6.5 特約商戶強(qiáng)制凍結(jié)、解凍、解約必測(cè)項(xiàng) 2.6.6 可疑商戶信息共享 2.6 商戶風(fēng)險(xiǎn)管理 2.6.7 風(fēng)險(xiǎn)事件報(bào)送必測(cè)項(xiàng) 三、性能測(cè)試 對(duì)支付服務(wù)業(yè)務(wù)系統(tǒng)性能測(cè)試的主要目的是驗(yàn)證系統(tǒng)是否滿足未來三 年業(yè)務(wù)運(yùn)行的性能需求。 測(cè)試內(nèi)

13、容包括以下三個(gè)方面：一是驗(yàn)證系統(tǒng)是否支持業(yè)務(wù)的多用戶并 發(fā)操作；二是驗(yàn)證在規(guī)定的硬件環(huán)境條件和給定的業(yè)務(wù)壓力下，考核系統(tǒng) 是否滿足性能需求和壓力解除后系統(tǒng)自恢復(fù)能力；三是測(cè)試系統(tǒng)性能極限。 根據(jù)以上性能測(cè)試內(nèi)容，并結(jié)合典型交易、復(fù)雜業(yè)務(wù)流程、頻繁的用 戶操作、大數(shù)據(jù)量處理等原則，選取以下測(cè)試業(yè)務(wù)點(diǎn)： 編號(hào)編號(hào)檢測(cè)項(xiàng)檢測(cè)項(xiàng)檢測(cè)說明檢測(cè)說明 3.1 3.1.1支付必測(cè)項(xiàng) 3.2 3.2.1預(yù)存 3.3 3.3.1轉(zhuǎn)賬 3.4 3.4.1交易明細(xì)查詢必測(cè)項(xiàng) 3.5 3.5.1日終批處理 四、安全性測(cè)試 1.網(wǎng)絡(luò)安全性測(cè)試 對(duì)支付服務(wù)業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)環(huán)境進(jìn)行檢測(cè)，考察經(jīng)網(wǎng)絡(luò)系統(tǒng)傳輸?shù)臄?shù)據(jù) 安全性以及網(wǎng)絡(luò)系

14、統(tǒng)所連接的設(shè)備安全性，評(píng)估系統(tǒng)網(wǎng)絡(luò)環(huán)境是否能夠防 止信息資產(chǎn)的損壞、丟失，敏感信息的泄漏以及業(yè)務(wù)中斷，是否能夠保障 業(yè)務(wù)的持續(xù)運(yùn)營和保護(hù)信息資產(chǎn)的安全。檢測(cè)內(nèi)容如下： 編號(hào)編號(hào)檢測(cè)項(xiàng)檢測(cè)項(xiàng)檢測(cè)說明檢測(cè)說明 4.1.1.1 網(wǎng)絡(luò)冗余和備份必測(cè)項(xiàng) 4.1.1.2 網(wǎng)絡(luò)安全路由器必測(cè)項(xiàng) 4.1.1.3 網(wǎng)絡(luò)安全防火墻必測(cè)項(xiàng) 4.1.1.4 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)必測(cè)項(xiàng) 4.1.1.5 ip 子網(wǎng)劃分必測(cè)項(xiàng) 4.1.1 結(jié)構(gòu)安全 4.1.1.6 qos 保證必測(cè)項(xiàng) 4.1.2.1 網(wǎng)絡(luò)域安全隔離和限制必測(cè)項(xiàng) 4.1.2.2 地址轉(zhuǎn)換和綁定必測(cè)項(xiàng) 4.1.2.3 內(nèi)容過濾必測(cè)項(xiàng) 4.1.2.4 訪問控制必測(cè)項(xiàng) 4

15、.1.2.5 流量控制必測(cè)項(xiàng) 4.1.2.6 會(huì)話控制必測(cè)項(xiàng) 4.1.2 網(wǎng)絡(luò)訪問控制 4.1.2.7 遠(yuǎn)程撥號(hào)訪問控制和記錄必測(cè)項(xiàng) 4.1.3.1 日志信息必測(cè)項(xiàng) 4.1.3.2 網(wǎng)絡(luò)系統(tǒng)故障分析必測(cè)項(xiàng) 4.1.3 網(wǎng)絡(luò)安全審計(jì) 4.1.3.3 網(wǎng)絡(luò)對(duì)象操作審計(jì)必測(cè)項(xiàng) 編號(hào)編號(hào)檢測(cè)項(xiàng)檢測(cè)項(xiàng)檢測(cè)說明檢測(cè)說明 4.1.3.4 日志權(quán)限和保護(hù)必測(cè)項(xiàng) 4.1.3.5 審計(jì)工具必測(cè)項(xiàng) 4.1.4 邊界完整性檢查4.1.4.1 內(nèi)外網(wǎng)非法連接阻斷和定位必測(cè)項(xiàng) 4.1.5.1 網(wǎng)絡(luò) arp 欺騙攻擊必測(cè)項(xiàng) 4.1.5.2 信息竊取必測(cè)項(xiàng) 4.1.5.3 dos/ddos 攻擊必測(cè)項(xiàng) 4.1.5 網(wǎng)絡(luò)入侵防

16、范 4.1.5.4 網(wǎng)絡(luò)入侵防范機(jī)制必測(cè)項(xiàng) 4.1.6.1 惡意代碼防范措施必測(cè)項(xiàng) 4.1.6 惡意代碼防范 4.1.6.2 定時(shí)更新必測(cè)項(xiàng) 4.1.7.1 設(shè)備登錄設(shè)置必測(cè)項(xiàng) 4.1.7.2 設(shè)備登錄口令安全性必測(cè)項(xiàng) 4.1.7.3 登錄地址限制必測(cè)項(xiàng) 4.1.7.4 遠(yuǎn)程管理安全必測(cè)項(xiàng) 4.1.7.5 設(shè)備用戶設(shè)置策略必測(cè)項(xiàng) 4.1.7.6 權(quán)限分離必測(cè)項(xiàng) 4.1.7 網(wǎng)絡(luò)設(shè)備防護(hù) 4.1.7.7 最小化服務(wù)必測(cè)項(xiàng) 4.1.8.1 網(wǎng)絡(luò)設(shè)備運(yùn)維手冊(cè)必測(cè)項(xiàng) 4.1.8.2 定期補(bǔ)丁安裝必測(cè)項(xiàng) 4.1.8.3 漏洞掃描必測(cè)項(xiàng) 4.1.8 網(wǎng)絡(luò)安全管理 4.1.8.4 網(wǎng)絡(luò)數(shù)據(jù)傳輸加密必測(cè)項(xiàng) 4

17、.1.9.1 網(wǎng)絡(luò)安全管理人員配備必測(cè)項(xiàng) 4.1.9.2 網(wǎng)絡(luò)安全管理人員責(zé)任劃分規(guī)則必測(cè)項(xiàng) 4.1.9 網(wǎng)絡(luò)相關(guān)人員安全 管理 4.1.9.3 網(wǎng)絡(luò)安全關(guān)鍵崗位人員管理必測(cè)項(xiàng) 2.主機(jī)安全性測(cè)試 對(duì)支付服務(wù)業(yè)務(wù)系統(tǒng)主機(jī)安全防護(hù)進(jìn)行檢測(cè)，考察主機(jī)的安全控制能 力。檢測(cè)內(nèi)容如下： 編號(hào)編號(hào)檢測(cè)項(xiàng)檢測(cè)項(xiàng)檢測(cè)說明檢測(cè)說明 4.2.1.1 系統(tǒng)與應(yīng)用管理員用戶設(shè)置必測(cè)項(xiàng) 4.2.1.2 系統(tǒng)與應(yīng)用管理員口令安全性必測(cè)項(xiàng) 4.2.1 身份鑒別 4.2.1.3 登錄策略必測(cè)項(xiàng) 4.2.2.1 訪問控制范圍必測(cè)項(xiàng) 4.2.2.2 主機(jī)信任關(guān)系必測(cè)項(xiàng) 4.2.2 訪問控制 4.2.2.3 默認(rèn)過期用戶必測(cè)項(xiàng)

18、編號(hào)編號(hào)檢測(cè)項(xiàng)檢測(cè)項(xiàng)檢測(cè)說明檢測(cè)說明 4.2.3.1 日志信息必測(cè)項(xiàng) 4.2.3.2 日志權(quán)限和保護(hù)必測(cè)項(xiàng) 4.2.3 安全審計(jì) 4.2.3.3 系統(tǒng)信息分析必測(cè)項(xiàng) 4.2.4.1 系統(tǒng)備份必測(cè)項(xiàng) 4.2.4.2 故障恢復(fù)策略必測(cè)項(xiàng) 4.2.4.3 磁盤空間安全必測(cè)項(xiàng) 4.2.4 系統(tǒng)保護(hù) 4.2.4.4 主機(jī)安全加固必測(cè)項(xiàng) 4.2.5 剩余信息保護(hù)4.2.5.1 剩余信息保護(hù)必測(cè)項(xiàng) 4.2.6.1 入侵防范記錄必測(cè)項(xiàng) 4.2.6.2 關(guān)閉服務(wù)和端口必測(cè)項(xiàng) 4.2.6 入侵防范 4.2.6.3 最小安裝原則必測(cè)項(xiàng) 4.2.7.1 防范軟件安裝部署必測(cè)項(xiàng) 4.2.7.2 病毒庫定時(shí)更新必測(cè)項(xiàng) 4

19、.2.7 惡意代碼防范 4.2.7.3 防范軟件統(tǒng)一管理必測(cè)項(xiàng) 4.2.8.1 連接控制必測(cè)項(xiàng) 4.2.8 資源控制 4.2.8.2 資源監(jiān)控和預(yù)警必測(cè)項(xiàng) 4.2.9.1 主機(jī)運(yùn)維手冊(cè)必測(cè)項(xiàng) 4.2.9.2 漏洞掃描必測(cè)項(xiàng) 4.2.9.3 系統(tǒng)補(bǔ)丁必測(cè)項(xiàng) 4.2.9 主機(jī)安全管理 4.2.9.4 操作日志管理必測(cè)項(xiàng) 4.2.10.1 主機(jī)安全管理人員配備必測(cè)項(xiàng) 4.2.10.2 主機(jī)安全管理人員責(zé)任劃分規(guī)則必測(cè)項(xiàng) 4.2.10 主機(jī)相關(guān)人員安全 管理 4.2.10.3 主機(jī)安全關(guān)鍵崗位人員管理必測(cè)項(xiàng) 3.應(yīng)用安全性測(cè)試 對(duì)支付服務(wù)業(yè)務(wù)系統(tǒng)應(yīng)用安全性檢測(cè)，主要檢測(cè)應(yīng)用系統(tǒng)對(duì)非法訪問 及操作的控制

20、能力。檢測(cè)內(nèi)容如下： 編號(hào)編號(hào)檢測(cè)項(xiàng)檢測(cè)項(xiàng) 檢測(cè)說明檢測(cè)說明 4.3.1.1 系統(tǒng)與普通用戶設(shè)置 必測(cè)項(xiàng) 4.3.1.2 系統(tǒng)與普通用戶口令安全性 必測(cè)項(xiàng) 4.3.1.3 登錄訪問安全策略 必測(cè)項(xiàng) 4.3.1.4 非法訪問警示和記錄 必測(cè)項(xiàng) 4.3.1.5 客戶端鑒別信息安全 必測(cè)項(xiàng) 4.3.1 身份鑒別 4.3.1.6 口令有效期限制 必測(cè)項(xiàng) 編號(hào)編號(hào)檢測(cè)項(xiàng)檢測(cè)項(xiàng) 檢測(cè)說明檢測(cè)說明 4.3.1.7 限制認(rèn)證會(huì)話時(shí)間 必測(cè)項(xiàng) 4.3.1.8 身份標(biāo)識(shí)唯一性 必測(cè)項(xiàng) 4.3.1.9 及時(shí)清除鑒別信息 必測(cè)項(xiàng) 4.3.2.1 登錄防窮舉 必測(cè)項(xiàng) 4.3.2.2 安全控件 必測(cè)項(xiàng) 4.3.2.3 使

21、用數(shù)字證書 必測(cè)項(xiàng) 4.3.2.4 獨(dú)立的支付密碼 必測(cè)項(xiàng) 4.3.2.5 網(wǎng)站頁面 sql 注入防范 必測(cè)項(xiàng) 4.3.2.6 網(wǎng)站頁面跨站腳本攻擊防范 必測(cè)項(xiàng) 4.3.2.7 網(wǎng)站頁面源代碼暴露防范 必測(cè)項(xiàng) 4.3.2.8 網(wǎng)站頁面黑客掛馬防范 必測(cè)項(xiàng) 4.3.2.9 網(wǎng)站頁面防篡改措施 必測(cè)項(xiàng) 4.3.2 web 頁面安全 4.3.2.10 網(wǎng)站頁面防釣魚 必測(cè)項(xiàng) 4.3.3.1 登錄防窮舉 必測(cè)項(xiàng) 4.3.3.2 使用數(shù)字證書 必測(cè)項(xiàng) 4.3.3.3 獨(dú)立的支付密碼 必測(cè)項(xiàng) 4.3.3.4 網(wǎng)站頁面 sql 注入防范 必測(cè)項(xiàng) 4.3.3.5 網(wǎng)站頁面跨站腳本攻擊防范 必測(cè)項(xiàng) 4.3.3.

22、6 網(wǎng)站頁面源代碼暴露防范 必測(cè)項(xiàng) 4.3.3.7 網(wǎng)站頁面防篡改措施 必測(cè)項(xiàng) 4.3.3 wap 頁面安全 4.3.3.8 網(wǎng)站頁面防釣魚 必測(cè)項(xiàng) 4.3.4.1 客戶端程序保護(hù) 必測(cè)項(xiàng)(適用于采 用客戶端進(jìn)行移動(dòng) 支付方式) 4.3.4.2 客戶端配置文件保護(hù) 必測(cè)項(xiàng)(適用于采 用客戶端進(jìn)行移動(dòng) 支付方式) 4.3.4.3 獨(dú)立的支付密碼 必測(cè)項(xiàng)(適用于采 用客戶端進(jìn)行移動(dòng) 支付方式) 4.3.4.4 密碼保護(hù) 必測(cè)項(xiàng)(適用于采 用客戶端進(jìn)行移動(dòng) 支付方式) 4.3.4 客戶端程序安全 4.3.4.5 程序安全檢測(cè)與升級(jí) 必測(cè)項(xiàng)(適用于采 用客戶端進(jìn)行移動(dòng) 支付方式) 4.3.5.1 訪問

23、權(quán)限設(shè)置 必測(cè)項(xiàng) 4.3.5 訪問控制 4.3.5.2 自主訪問控制范圍 必測(cè)項(xiàng) 編號(hào)編號(hào)檢測(cè)項(xiàng)檢測(cè)項(xiàng) 檢測(cè)說明檢測(cè)說明 4.3.5.3 業(yè)務(wù)操作日志 必測(cè)項(xiàng) 4.3.5.4 關(guān)鍵數(shù)據(jù)操作控制 必測(cè)項(xiàng) 4.3.5.5 異常中斷防護(hù) 必測(cè)項(xiàng) 4.3.5.6 數(shù)據(jù)庫安全配置 必測(cè)項(xiàng) 4.3.6.1 日志信息 必測(cè)項(xiàng) 4.3.6.2 日志權(quán)限和保護(hù) 必測(cè)項(xiàng) 4.3.6.3 系統(tǒng)信息查詢與分析 必測(cè)項(xiàng) 4.3.6.4 對(duì)象操作審計(jì) 必測(cè)項(xiàng) 4.3.6.5 審計(jì)工具 必測(cè)項(xiàng) 4.3.6 安全審計(jì) 4.3.6.6 事件報(bào)警 必測(cè)項(xiàng) 4.3.7 剩余信息保護(hù)4.3.7.1 過期信息、文檔處理 必測(cè)項(xiàng) 4.3

24、.8.1 連接控制 必測(cè)項(xiàng) 4.3.8.2 會(huì)話控制 必測(cè)項(xiàng) 4.3.8.3 進(jìn)程資源分配 必測(cè)項(xiàng) 4.3.8 資源控制 4.3.8.4 資源檢測(cè)預(yù)警 必測(cè)項(xiàng) 4.3.9.1 數(shù)據(jù)有效性校驗(yàn) 必測(cè)項(xiàng) 4.3.9.2 容錯(cuò)機(jī)制 必測(cè)項(xiàng) 4.3.9.3 故障機(jī)制 必測(cè)項(xiàng) 4.3.9 應(yīng)用容錯(cuò) 4.3.9.4 回退機(jī)制 必測(cè)項(xiàng) 4.3.10 報(bào)文完整性 4.3.10.1 通信報(bào)文有效性 必測(cè)項(xiàng) 4.3.11 報(bào)文保密性 4.3.11.1 報(bào)文或會(huì)話加密 必測(cè)項(xiàng)(短信支付不適 用) 4.3.12 抗抵賴 4.3.12.1 原發(fā)和接收證據(jù) 必測(cè)項(xiàng) 4.3.13.1 源代碼審查 必測(cè)項(xiàng) 4.3.13.2

25、插件安全性審查 必測(cè)項(xiàng) 4.3.13.3 編碼規(guī)范約束 必測(cè)項(xiàng) 4.3.13.4 源代碼管理 必測(cè)項(xiàng) 4.3.13 編碼安全 4.3.13.5 版本管理 必測(cè)項(xiàng) 4.3.14.1 第三方電子認(rèn)證機(jī)構(gòu) 必測(cè)項(xiàng) 4.3.14.2 關(guān)鍵業(yè)務(wù)電子認(rèn)證技術(shù)應(yīng)用 必測(cè)項(xiàng) 4.3.14.3 電子簽名有效性 必測(cè)項(xiàng) 4.3.14 電子認(rèn)證應(yīng)用 4.3.14.4 服務(wù)器證書私鑰保護(hù) 必測(cè)項(xiàng) 4.數(shù)據(jù)安全性測(cè)試 對(duì)支付服務(wù)業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全防護(hù)進(jìn)行檢測(cè)，主要考察數(shù)據(jù)的傳輸、 存儲(chǔ)、備份與恢復(fù)安全性。檢測(cè)內(nèi)容如下： 編號(hào)編號(hào)檢測(cè)項(xiàng)檢測(cè)項(xiàng)檢測(cè)說明檢測(cè)說明 4.4.1.1 客戶身份信息保護(hù)必測(cè)項(xiàng) 4.4.1.2 支付業(yè)務(wù)

26、信息保護(hù)必測(cè)項(xiàng) 4.4.1 數(shù)據(jù)保護(hù) 4.4.1.3 會(huì)計(jì)檔案信息保護(hù)必測(cè)項(xiàng) 4.4.2.1 重要數(shù)據(jù)更改機(jī)制必測(cè)項(xiàng) 4.4.2.2 銀行卡和移動(dòng)終端設(shè)備關(guān)聯(lián)保護(hù)必測(cè)項(xiàng) 4.4.2.3 數(shù)據(jù)備份記錄必測(cè)項(xiàng) 4.4.2.4 保障傳輸過程中的數(shù)據(jù)完整性必測(cè)項(xiàng) 4.4.2 數(shù)據(jù)完整性 4.4.2.5 備份數(shù)據(jù)定期恢復(fù)必測(cè)項(xiàng) 4.4.3.1 數(shù)據(jù)物理存儲(chǔ)安全必測(cè)項(xiàng) 4.4.3.2 客戶身份認(rèn)證信息存儲(chǔ)安全必測(cè)項(xiàng) 4.4.3.3 卡內(nèi)數(shù)據(jù)安全必測(cè)項(xiàng)(sim 卡不適用) 4.4.3.4 終端信息采集設(shè)備硬加密措施或其它防偽手 段 必測(cè)項(xiàng) 4.4.3.5 同一安全級(jí)別和可信賴的系統(tǒng)之間信息傳輸 必測(cè)項(xiàng) 4.

27、4.3.6 加密傳輸必測(cè)項(xiàng) 4.4.3.7 加密存儲(chǔ)必測(cè)項(xiàng) 4.4.3.8 數(shù)據(jù)訪問控制必測(cè)項(xiàng) 4.4.3.9 在線的存儲(chǔ)備份必測(cè)項(xiàng) 4.4.3.10 數(shù)據(jù)備份機(jī)制必測(cè)項(xiàng) 4.4.3.11 本地備份必測(cè)項(xiàng) 4.4.3.12 異地備份必測(cè)項(xiàng) 4.4.3.13 備份數(shù)據(jù)的恢復(fù)必測(cè)項(xiàng) 4.4.3.14 數(shù)據(jù)銷毀制度和記錄必測(cè)項(xiàng) 4.4.3 交易數(shù)據(jù)以及客戶 數(shù)據(jù)的安全性 4.4.3.15 關(guān)鍵鏈路冗余設(shè)計(jì)必測(cè)項(xiàng) 5.運(yùn)維安全性測(cè)試 對(duì)支付服務(wù)業(yè)務(wù)系統(tǒng)運(yùn)維安全進(jìn)行檢測(cè)，主要考察運(yùn)維安全管理制度 及運(yùn)維安全執(zhí)行情況。檢測(cè)內(nèi)容如下： 編號(hào)編號(hào)檢測(cè)項(xiàng)檢測(cè)項(xiàng)檢測(cè)說明檢測(cè)說明 4.5.1.1 機(jī)房基礎(chǔ)設(shè)施定期維

28、護(hù)必測(cè)項(xiàng) 4.5.1.2 機(jī)房的出入管理制度化和文檔化必測(cè)項(xiàng) 4.5.1.3 辦公環(huán)境的保密性措施必測(cè)項(xiàng) 4.5.1環(huán)境管理 4.5.1.4 機(jī)房安全管理制度必測(cè)項(xiàng) 編號(hào)編號(hào)檢測(cè)項(xiàng)檢測(cè)項(xiàng)檢測(cè)說明檢測(cè)說明 4.5.1.5 機(jī)房進(jìn)出登記表必測(cè)項(xiàng) 4.5.2.1 介質(zhì)的存放環(huán)境保護(hù)措施必測(cè)項(xiàng) 4.5.2.2 介質(zhì)的使用管理文檔化必測(cè)項(xiàng) 4.5.2.3 維修或銷毀介質(zhì)之前清除敏感數(shù)據(jù)必測(cè)項(xiàng) 4.5.2.4 介質(zhì)管理記錄必測(cè)項(xiàng) 4.5.2介質(zhì)管理 4.5.2.5 介質(zhì)的分類與標(biāo)識(shí)必測(cè)項(xiàng) 4.5.3.1 設(shè)備管理的責(zé)任人員或部門必測(cè)項(xiàng) 4.5.3.2 設(shè)施、設(shè)備定期維護(hù)必測(cè)項(xiàng) 4.5.3.3 設(shè)備選型、采

29、購、發(fā)放等的審批控制必測(cè)項(xiàng) 4.5.3.4 設(shè)備配置標(biāo)準(zhǔn)化必測(cè)項(xiàng) 4.5.3.5 設(shè)備的操作規(guī)程必測(cè)項(xiàng) 4.5.3.6 設(shè)備的操作日志必測(cè)項(xiàng) 4.5.3.7 設(shè)備使用管理文檔必測(cè)項(xiàng) 4.5.3設(shè)備管理 4.5.3.8 設(shè)備標(biāo)識(shí)必測(cè)項(xiàng) 4.5.4.1 人員錄用必測(cè)項(xiàng) 4.5.4.2 人員轉(zhuǎn)崗、離崗必測(cè)項(xiàng) 4.5.4.3 人員考核必測(cè)項(xiàng) 4.5.4.4 安全意識(shí)教育和培訓(xùn)必測(cè)項(xiàng) 4.5.4.5 外部人員訪問管理必測(cè)項(xiàng) 4.5.4 人員管理 4.5.4.6 職責(zé)分離必測(cè)項(xiàng) 4.5.5.1 主要網(wǎng)絡(luò)設(shè)備的各項(xiàng)指標(biāo)監(jiān)控情況必測(cè)項(xiàng) 4.5.5.2 主要服務(wù)器的各項(xiàng)指標(biāo)監(jiān)控情況必測(cè)項(xiàng) 4.5.5.3 應(yīng)用運(yùn)

30、行各項(xiàng)指標(biāo)監(jiān)控情況必測(cè)項(xiàng) 4.5.5監(jiān)控管理 4.5.5.4 異常處理機(jī)制必測(cè)項(xiàng) 4.5.6.1 變更方案必測(cè)項(xiàng) 4.5.6.2 變更制度化管理必測(cè)項(xiàng) 4.5.6.3 重要系統(tǒng)變更的批準(zhǔn)必測(cè)項(xiàng) 4.5.6變更管理 4.5.6.4 重要系統(tǒng)變更的通知必測(cè)項(xiàng) 4.5.7.1 安全事件報(bào)告和處置必測(cè)項(xiàng) 4.5.7.2 安全事件的分類和分級(jí)必測(cè)項(xiàng) 4.5.7安全事件處置 4.5.7.3 安全事件記錄和采取的措施必測(cè)項(xiàng) 4.5.8.1 制定不同事件的應(yīng)急預(yù)案必測(cè)項(xiàng) 4.5.8.2 相關(guān)人員應(yīng)急預(yù)案培訓(xùn)必測(cè)項(xiàng) 4.5.8應(yīng)急預(yù)案管理 4.5.8.3 定期演練必測(cè)項(xiàng) 6業(yè)務(wù)連續(xù)性測(cè)試 對(duì)支付服務(wù)業(yè)務(wù)系統(tǒng)業(yè)務(wù)

31、連續(xù)性進(jìn)行檢測(cè)，主要考察系統(tǒng)是否具備業(yè) 務(wù)連續(xù)性管理并達(dá)到設(shè)計(jì)目標(biāo)。檢測(cè)內(nèi)容如下： 編號(hào)編號(hào)檢測(cè)項(xiàng)檢測(cè)項(xiàng)檢測(cè)說明檢測(cè)說明 4.6.1.1 業(yè)務(wù)中斷影響分析必測(cè)項(xiàng) 4.6.1 業(yè)務(wù)連續(xù)性需求分 析 4.6.1.2 災(zāi)難恢復(fù)時(shí)間目標(biāo)和恢復(fù)點(diǎn)目標(biāo)必測(cè)項(xiàng) 4.6.2.1 備份機(jī)房必測(cè)項(xiàng) 4.6.2.2 網(wǎng)絡(luò)雙鏈路必測(cè)項(xiàng) 4.6.2.3 網(wǎng)絡(luò)設(shè)備和服務(wù)器備份必測(cè)項(xiàng) 4.6.2.4 高可靠的磁盤陣列必測(cè)項(xiàng) 4.6.2 業(yè)務(wù)連續(xù)性技術(shù)環(huán) 境 4.6.2.5 遠(yuǎn)程數(shù)據(jù)庫備份必測(cè)項(xiàng) 4.6.3.1 業(yè)務(wù)連續(xù)性管理制度必測(cè)項(xiàng) 4.6.3.2 應(yīng)急響應(yīng)流程必測(cè)項(xiàng) 4.6.3.3 恢復(fù)預(yù)案必測(cè)項(xiàng) 4.6.3業(yè)務(wù)連續(xù)性

32、管理 4.6.3.4 數(shù)據(jù)備份和恢復(fù)制度必測(cè)項(xiàng) 4.6.4.1 備份數(shù)據(jù)范圍和備份頻率必測(cè)項(xiàng) 4.6.4.2 備份和恢復(fù)手冊(cè)必測(cè)項(xiàng) 4.6.4.3 備份記錄和定期恢復(fù)測(cè)試記錄必測(cè)項(xiàng) 4.6.4 備份與恢復(fù)管理 4.6.4.4 定期數(shù)據(jù)備份恢復(fù)性測(cè)試必測(cè)項(xiàng) 4.6.5.1 每年業(yè)務(wù)連續(xù)性演練必測(cè)項(xiàng) 4.6.5 日常維護(hù) 4.6.5.2 定期業(yè)務(wù)連續(xù)性培訓(xùn)必測(cè)項(xiàng) 五、文檔審核 對(duì)支付服務(wù)業(yè)務(wù)系統(tǒng)的用戶文檔、開發(fā)文檔、管理文檔的完備性、一 致性、正確性、規(guī)范性，以及是否符合行業(yè)標(biāo)準(zhǔn)，是否遵從更新控制和配 置管理的要求等方面進(jìn)行檢測(cè)。檢測(cè)內(nèi)容如下： 編號(hào)編號(hào)檢測(cè)項(xiàng)檢測(cè)項(xiàng)檢測(cè)說明檢測(cè)說明 5.1.1 用

33、戶手冊(cè) 必測(cè)項(xiàng) 5.1 用戶文檔 5.1.2 操作手冊(cè) 必測(cè)項(xiàng) 5.2.1 需求說明書 必測(cè)項(xiàng) 5.2.2 需求分析文檔 必測(cè)項(xiàng) 5.2 開發(fā)文檔 5.2.3 總體設(shè)計(jì)方案 必測(cè)項(xiàng) 編號(hào)編號(hào)檢測(cè)項(xiàng)檢測(cè)項(xiàng)檢測(cè)說明檢測(cè)說明 5.2.4 數(shù)據(jù)庫設(shè)計(jì)文檔 必測(cè)項(xiàng) 5.2.5 概要設(shè)計(jì)文檔 必測(cè)項(xiàng) 5.2.6 詳細(xì)設(shè)計(jì)文檔 必測(cè)項(xiàng) 5.2.7 工程實(shí)施方案 必測(cè)項(xiàng) 5.3.1 測(cè)試報(bào)告 必測(cè)項(xiàng) 5.3.2 系統(tǒng)運(yùn)維手冊(cè) 必測(cè)項(xiàng) 5.3.3 系統(tǒng)應(yīng)急手冊(cè) 必測(cè)項(xiàng) 5.3.4 運(yùn)維管理制度 必測(cè)項(xiàng) 5.3.5 安全管理制度 必測(cè)項(xiàng) 5.3 管理文檔 5.3.6 安全審計(jì)報(bào)告 必測(cè)項(xiàng) 第三部分 外包附加測(cè)試

34、對(duì)于非金融機(jī)構(gòu)將支付服務(wù)業(yè)務(wù)系統(tǒng)相關(guān)運(yùn)維外包給第三方服務(wù)機(jī)構(gòu) 的情況，還應(yīng)進(jìn)行外包附加測(cè)試，主要測(cè)試以下幾個(gè)方面： 編號(hào)編號(hào)檢測(cè)項(xiàng)檢測(cè)項(xiàng)檢測(cè)說明檢測(cè)說明 6.1 外包服務(wù)的外包內(nèi) 容 6.1.1 外包程度及具體內(nèi)容 必測(cè)項(xiàng) 6.2.1 簽署外包安全保密協(xié)議必測(cè)項(xiàng) 6.2.2 保障托管數(shù)據(jù)的安全、可靠必測(cè)項(xiàng) 6.2 安全保密協(xié)議 6.2.3 明確雙方責(zé)任必測(cè)項(xiàng) 6.3.1 評(píng)估業(yè)務(wù)外包相關(guān)風(fēng)險(xiǎn)必測(cè)項(xiàng) 6.3.2 外包商的合同義務(wù)和要求必測(cè)項(xiàng) 6.3.3 控制和報(bào)告程序必測(cè)項(xiàng) 6.3.4 外包協(xié)議的持續(xù)評(píng)估必測(cè)項(xiàng) 6.3.5 符合監(jiān)管要求和準(zhǔn)則必測(cè)項(xiàng) 6.3 風(fēng)險(xiǎn)評(píng)估 6.3.6 外包服務(wù)應(yīng)急計(jì)劃

35、必測(cè)項(xiàng) 6.4.1 外包商提供支付服務(wù)的經(jīng)驗(yàn)和能力評(píng)估必測(cè)項(xiàng) 6.4.2 外包商硬件資源評(píng)估必測(cè)項(xiàng) 6.4.3 外包商的財(cái)務(wù)狀況評(píng)估必測(cè)項(xiàng) 6.4.4 外包商的資金構(gòu)成、人員構(gòu)成以及主管部門的 審批 必測(cè)項(xiàng) 6.4.5 外包商的運(yùn)維管理制度評(píng)估必測(cè)項(xiàng) 6.4 外包商資質(zhì) 6.4.6 外包模式調(diào)查及風(fēng)險(xiǎn)評(píng)估必測(cè)項(xiàng) 6.5.1 明確規(guī)定有關(guān)各方的權(quán)利和義務(wù)必測(cè)項(xiàng) 6.5.2 明確外包商最低的服務(wù)水平必測(cè)項(xiàng) 6.5.3 規(guī)定保守信息資源機(jī)密必測(cè)項(xiàng) 6.5 外包合同 6.5.4 規(guī)定爭議解決辦法必測(cè)項(xiàng) 6.6.1 對(duì)外包業(yè)務(wù)的管理和監(jiān)督必測(cè)項(xiàng) 6.6.2 定期評(píng)估外包商的財(cái)務(wù)狀況必測(cè)項(xiàng) 6.6 控制和

36、監(jiān)督 6.6.3 定期審查合同條款的履行必測(cè)項(xiàng) 6.7.1 制定詳細(xì)的系統(tǒng)交付清單必測(cè)項(xiàng) 6.7 外包交付 6.7.2 技術(shù)人員的業(yè)務(wù)培訓(xùn)必測(cè)項(xiàng) 附錄 檢測(cè)過程風(fēng)險(xiǎn)分析 為保證檢測(cè)實(shí)施的順利進(jìn)行，必須在檢測(cè)方案中分析支付服務(wù)業(yè)務(wù)系 統(tǒng)在檢測(cè)過程中出現(xiàn)的風(fēng)險(xiǎn)，并提出相應(yīng)的應(yīng)對(duì)措施： 風(fēng)險(xiǎn)編號(hào)風(fēng)險(xiǎn)編號(hào)風(fēng)險(xiǎn)描述風(fēng)險(xiǎn)描述 風(fēng)險(xiǎn)發(fā)生風(fēng)險(xiǎn)發(fā)生 可能性可能性 風(fēng)險(xiǎn)對(duì)測(cè)試或風(fēng)險(xiǎn)對(duì)測(cè)試或 項(xiàng)目的影響項(xiàng)目的影響 責(zé)任人責(zé)任人規(guī)避方法規(guī)避方法 1 應(yīng)用服務(wù)器或數(shù)據(jù)庫服務(wù)器在測(cè) 試中出現(xiàn)無法預(yù)料的未知錯(cuò)誤， 導(dǎo)致測(cè)試失敗 高高被檢測(cè)方 對(duì)應(yīng)用服務(wù)器、數(shù)據(jù)庫 服務(wù)器進(jìn)行性能的預(yù)先 評(píng)估，調(diào)整測(cè)試計(jì)劃， 預(yù)留調(diào)優(yōu)時(shí)間直至

37、延長 測(cè)試時(shí)間 2 被檢測(cè)方技術(shù)支持人員不到位中高被檢測(cè)方 充分的溝通與協(xié)調(diào)人力 資源，保證檢測(cè)活動(dòng)的 順利進(jìn)行 3 測(cè)試環(huán)境受到干擾，比如數(shù)據(jù)庫 服務(wù)器或應(yīng)用服務(wù)器被臨時(shí)征用， 不能專職為本測(cè)試服務(wù) 低高被檢測(cè)方 暫停測(cè)試，等待測(cè)試環(huán) 境恢復(fù)正常，推遲測(cè)試 計(jì)劃 4 測(cè)試數(shù)據(jù)準(zhǔn)備不成功低高被檢測(cè)方 由支付服務(wù)業(yè)務(wù)系統(tǒng)開 發(fā)人員幫助解決 5 性能測(cè)試方面的疲勞度不足，長 時(shí)間運(yùn)行情況不確定 中中檢測(cè)方 保證測(cè)試進(jìn)程的順利進(jìn) 行，適當(dāng)時(shí)候能延長測(cè) 試周期 6 在對(duì)服務(wù)器加壓方面有欠缺低中檢測(cè)方 加深對(duì)系統(tǒng)的了解，盡 量全面地覆蓋系統(tǒng)業(yè)務(wù) 功能點(diǎn) 7 工具缺陷，測(cè)試工具和監(jiān)控工具 無法全部支持的所有 it 系統(tǒng)的測(cè) 試和監(jiān)控 中高檢測(cè)方 盡量在測(cè)試前能夠準(zhǔn)備 充分，能提前使用系統(tǒng) 以便對(duì)測(cè)試工具調(diào)試 8 測(cè)試環(huán)境及條件制約，環(huán)境復(fù)雜 多變，造成真正的測(cè)試加壓時(shí)