安全生产_第三方机构接入中国银联的技术安全要求

第三方第三方机构机构接入接入中国银联中国银联 的的技术安全技术安全要求要求 中国中国银联银联 技术管理部技术管理部 20201212 年年 6 6 月月 版本控制信息 版版 本本 控控 制制 信信 息息 版本版本 日期日期 拟稿和修改拟稿和修改 说明说明 0.1 2007-08-24 王晓芸 初稿 0.2 2007-09-14 王晓芸 根据室内反馈修改 0.35 2007-10-08 王晓芸、李煜 根据公司内第一次征求意见修改 0. 2007-12-4 王晓芸、李煜 根据技术规划交流会的意见修改 0.6 2007-12-26 王晓芸、李煜 根据公司内第二次征求意见修改 0.7 2009-03-25 王晓芸、李煜 根据十七大银行回复意见修改 0.8 2009-5-20 张威 根据技术专家委员会委员函审意见修改 1.1 2012-4-16 夏蕊 文档定期评审修订 2.0 2012-6-25 夏蕊 根据各部门反馈意见修改完善 本文档中的所有内容为银联股份有限公司的机密和专属所有。未经银联股份有限公司的明 确书面许可，任何组织或个人不得以任何目的、任何形式及任何手段复制或传播本文档部 分或全部内容。 目录 I 目目 录录 1 概述概述 - 3 - 1.1 范围 . - 3 - 1.2 规范性引入文件 . - 3 - 1.3 术语和缩略语 . - 4 - 2 第三方机构接入强制性安全要求第三方机构接入强制性安全要求 - 5 - 2.1 安全管理 . - 5 - 2.2 机房安全 . - 5 - 2.3 网络安全要求 . - 6 - 2.4 受理银联卡终端安全要求 . - 8 - 2.5 主机系统安全要求 . - 9 - 2.6 应用系统安全要求 . - 10 - 2.7 托管设备在银联机房的安全要求 . - 11 - 2.8 账户信息安全和密钥管理要求 . - 12 - 3 第三方机构技术安全指导性要求第三方机构技术安全指导性要求 - 15 - 3.1 安全管理 . - 15 - 3.2 机房安全 . - 15 - 3.3 网络安全 . - 16 - 3.4 系统与应用安全 . - 16 - 3.5 恶意代码防护 . - 17 - 3.6 账户信息和密钥管理 . - 18 - 3.7 应急预案、数据备份和业务持续性计划 . - 18 - 附件附件 1：各类现有的接入方式：各类现有的接入方式 . - 20 - 附件附件 2：使用：使用 VPN 接入的安全要求接入的安全要求 . - 21 - 附件附件 3：第三方机构接入安全的符合性自评估表：第三方机构接入安全的符合性自评估表 . - 24 - 第三方机构接入银联网络的技术安全要求 II 前前 言言 本文档规定了第三方机构接入中国银联强制性安全要求和指导 性安全要求，同时规定了第三方机构接入中国银联的申请审批和日 常管理流程。 本文档第 2 节规定了第三方机构接入中国银联的强制性安全要 求，第三方机构在接入中国银联前必须达到，如不满足，银联可限 制第三方机构业务开展的种类、范围等，甚至拒绝第三方机构接入 中国银联。第 3 节作为指导性安全要求，用于指导第三方机构采取 相关安全措施，降低自身信息系统和给银联卡业务带来的安全风险， 不作强制要求。第 4 节描述了对第三方机构接入中国银联的申请审 批和日常管理流程。 第三方机构接入银联网络的技术安全要求 - 3 - 1 1 概述概述 1.11.1 范围范围 本文档适用对象为系统平台或终端接入中国银联的第三方机 构。这里的“第三方机构”是指受中国银联成员机构委托，为中国 银联成员机构收单和发卡业务提供终端运营、接入渠道、系统运营 等服务的机构，包括为其他成员机构提供服务的成员机构。第三方 机构分为业务涉及银联卡账户信息的处理、传输或存储和业务不涉 及银联卡账户信息的处理、传输或存储的两类。前者简称为涉及账 户信息类，后者简称为不涉及账户信息类。 1.21.2 规范性引入文件规范性引入文件 下列文件中的条款通过本标准的引用而成为本规范的条款。 GB 2887-2000 电子计算机场地通用规范 GB 9361-2000 计算机场地安全要求 银联卡受理终端安全规范 中国银联移动终端支付应用软件安全规范 银联卡账户信息与交易数据安全管理规则 银联卡收单机构账户信息安全标准 银联卡账户信息与交易数据安全管理指南 银联卡密钥安全 管理规则 银行卡联网联合安全规范 第五部分 “联网联合安全技术应用” 银行卡联网联合技术规范 第四部分 “数据安全传输控制规范” GB/T22239-2008 信息安全技术 信息系统安全等级保护基本要 第三方机构接入银联网络的技术安全要求 - 4 - 求 1.31.3 术语和缩略语术语和缩略语 ADSL 非对称数字用户线路 ATM 异步传输模式 CDMA 码分多址无线通信技术 DDN 数字数据网 GPRS 通用分组无线服务技术 IPSEC IP 数据安全结构 PIN 个人标识码 POS 销售点终端 MPLS 多协议标签交换 SSL 安全套接层 帧中继 连接计算及系统的面向分组的通信方法 第三方机构接入银联网络的技术安全要求 - 5 - 2 2 第三方机构接入第三方机构接入强制性强制性安全要求安全要求 本节提出了第三方机构接入中国银联强制性技术安全要求，第 三方机构如不能达到以下相关安全，中国银联可限制第三方机构业 务开展的种类、范围等，甚至拒绝第三方机构接入中国银联。 2.12.1 安全管理安全管理 （1）第三方机构需建立信息安全制度，并通过有效而正式的方式进 行发布。 （2）第三方机构应对安全制度中不适用或需改进的地方进行修订。 （3）第三方机构中员工需接受适当的安全培训；系统运维人员须熟 知各类安全制度、信息系统运维手册和应急预案等。 （4）第三方机构需建立安全事件报告流程及应急处理预案。 （5）第三方机构需知道中国银联生产运行值班台的联系方式。 2.22.2 机房安全机房安全 本要求适用于第三方机构放置涉及银联卡交易的网络设备和系 统设备的机房，涉及银联卡交易既包括直接传输或处理银联卡交 易，也包括为银联卡交易提供支持服务。 （1） 应按国家标准电子计算机场地通用规范 （GB 2887-2000） 和 计算机场地安全要求（GB 9361-2000） 的相关规定，采取消防、 空调、防潮、防静电、防雷击、供电安全等措施。 （2） 应建立并实行出入安全管理制度，采用专人值守或电子门禁 方式，对人员进出机房情况进行日常监控。 （3）应建立值班制度，配备值班人员，对机房内各类设备运行情况 第三方机构接入银联网络的技术安全要求 - 6 - 进行日常监控，并处置突发事件。 （4）非授权工作人员或来访人员因工作需要需进入机房，必须经过 申请、审批和登记，并由授权人员授权专人全程陪同。 （5）电子设备或存储介质进出机房，须经审批并登记。 （6）机房需合理配置供电系统，提供足够的、持续的电源供给。如 配备双回路供电系统（来自于不同的变电站） ，可持续供电时间不低 于 3 小时的 UPS，或发电机。 2.32.3 网络安全要求网络安全要求 2.3.12.3.1 通讯方式通讯方式 本要求适用于第三方机构与中国银联之间的连接，即第三方机 构系统平台、终端与中国银联之间的连接，也适用于第三方机构内 部涉及银联卡交易的连接，如终端与其系统平台，不同地点系统平 台之间的连接。 （1）接入方式应使用：专线（主要有 ADSL、SDH、帧中继、DDN、 ATM 、电话拨号等） 、基于专网的 MPLS （接入方式的定义见附件 1： 各类现有的接入方式）。 （2）使用基于 MPLS（Internet）的 IPSEC/SSL、基于 Internet 的 MPLS、应充分考虑、接受相关风险，并遵循相关安全要求（附件 2: 使用 VPN 接入的安全要求）。 (3) 使用基于 Internet 的 IPSEC/SSL，须充分考虑、接受相关风 险、遵循相关安全要求。第三方系统终端和平台使用基于 Internet 的 IPSEC/SSL 接入中国银联时，须接入到银联总公司（附件 2:使用 第三方机构接入银联网络的技术安全要求 - 7 - VPN 接入的安全要求）。 （4）禁止接入方式：Internet。 2.3.22.3.2 生产网络安全生产网络安全 本要求适用于第三方机构涉及银联卡交易信息的网络（以下简 称为生产网络），其包括直接传输或处理银联卡交易的系统和为银 联卡交易提供支持服务的系统，但不包括终端。 （1）接入银联的第三方机构生产网络应与不涉及银联卡交易信息的 网络（如办公网络）必须做到逻辑隔离或物理隔离。 （2）第三方机构应对互联网接入本单位生产网络严格审批，如因业 务需要必须接入，须在互联网接入处布放防火墙和入侵检测（防御） 设备等安全设备，监视可能的攻击行为，记录入侵事件的发生，并 报警正在发生的入侵事件。 （3）应建立对所有的路由配置和防火墙策略的批准、测试和变更的 正式流程，路由配置和防火墙策略在每次变更后须及时归档。 （4）定期对路由配置和防火墙策略进行检查，对路由器和防火墙的 事件日志、入侵检测（防御）设备的告警事件进行分析和处理。 （5）对登录网络及网络安全设备的用户进行身份鉴别，严格控制可 以修改网络及网络安全设备配置的账号。 （6）及时进行网络及网络安全设备的补丁安装和版本升级，及时更 新入侵检测（防御）系统的防护知识库。 （7）如果有拨号访问网络方式，要对拨号用户严格访问控制，每个 用户须设置不同口令，口令不得少于 8 位，并应每三个月定期修 改；不允许外部公司拨号或其他方式的远程维护连接。 第三方机构接入银联网络的技术安全要求 - 8 - （8）定期（至少每年一次）或在网络发生重大变更（生产骨干网络 的重大结构变更、参数调整、接入方式的重大调整等）后，对安全 控制措施、网络连接和限制措施进行渗透性测试或漏洞扫描，对网 络及网络安全设备系统设置、补丁配置和已知的漏洞进行检查，并 确认没有生产网络用户私自连接到外部网络，外部访问不能非授权 进入生产网络。 2.42.4 受理银联卡终端安全要求受理银联卡终端安全要求 （1）布放的银联卡受理终端符合银联卡受理终端安全规范中对 各类终端的技术要求，并按照要求通过中国银联的安全认证。 （2）布放的银联卡受理信息系统符合银联卡受理终端安全规范 中对受理信息系统的技术要求，并选择通过中国银联认证的供应 商。 （3）供个人使用的终端符合银联卡受理终端安全规范中对个人 支付终端的技术要求，并按照要求通过中国银联的安全认证。 （4）终端到第三方机构系统平台之间，应对敏感信息（PIN、磁条 信息、有效期、CVN 等）进行端到端的加密。 （5）每终端安装唯一的终端主密钥，终端主密钥不可被应用读取。 （6）移动 POS 终端关闭漫游功能。 （7）终端安装维护人员与终端程序开发人员要职责分离，终端维护 每次都应留下书面记录。 （8）终端应被监控和定期巡查，须重点检查终端读卡器、密码键盘 等重要部件，及时发现并防范终端遭非法改装、移机和偷窃等。 第三方机构接入银联网络的技术安全要求 - 9 - 2.52.5 主机系统安全要求主机系统安全要求 本要求适用于第三方机构涉及银联卡交易的主机系统，包括直 接传输或处理银联卡交易的主机系统和在第三方机构生产网络内， 为银联卡交易提供支持服务的主机系统。 （1）根据“知所必需”原则，严格进行对软件和系统的访问控制， 禁用不必要的缺省账户。定期对用户访问文件、目录、数据库等权 限进行检查，加强用户管理。剔除不需用户，防止用户权限过大。 （2）参考国际通行的相关安全规范要求，制订用户口令密码使用、 管理和更新制度和措施。加强系统身份认证等关键数据传输加密， 防止口令泄露。 （3）遵照行业认可的系统加固标准，对系统进行安全加固。如禁用 所有不必要的、不安全的服务、协议和应用程序；设定系统安全参 数以防止误用/滥用，删除默认设置；严禁下载或使用免费软件或 共享软件；移除系统或应用程序中不必要、不安全的功能等。 （4）在软件补丁安装以前，须在测试系统中进行严格测试，确保测 试通过后再进行安装。 （5）制定软件补丁管理制度和流程，对所有生产系统安装必须的操 作系统和应用系统补丁。 （6）厂商定期维护活动须进行审批并记录，维护人员进出须专人陪 同并记录相关操作。 （7）Windows 平台的服务器和终端设备应安装恶意代码（主要是病 毒和木马）防护系统，如防病毒软件、主机防火墙等。 （8）开启必要审计接口，定期分析并处理系统内重要的安全相关事 第三方机构接入银联网络的技术安全要求 - 10 - 件，包括重要用户行为、系统资源的异常使用和重要系统命令的使 用。 （9）应进行主机运行监控，监控主机的 CPU、硬盘、内存、网络等 资源的使用情况，监控特定进程（主要的系统进程）的状态，限制 对重要账户的添加和更改。 2.62.6 应用系统安全要求应用系统安全要求 本要求适用于第三方机构涉及银联卡交易的应用系统，包括直 接传输或处理银联卡交易的应用系统和在第三方机构生产网络内， 为银联卡交易提供支持服务的应用系统。 （1）应用系统用户应进行用户身份鉴别,并须根据“知所必需”原 则，严格进行访问控制。 （2）须建立口令管理规则，设定各类口令长度（不得小于 6 位）、 复杂度（必须包含数字和字符）、修改周期（不得长于 3 个月）、 不可明文传输、应加密存储等要求。 （3）应根据安全策略控制用户对客体的访问，实现最小授权原则， 分别授予不同用户各自完成自己承担任务所需的最小权限，实现应 用系统用户的权限分离。 （4）应用系统设计中应留有审计接口或记录日志，以便进行系统事 件审计，如重要用户行为、重要系统功能的执行、不成功的鉴别尝 试等。 （5）审计日志应受到保护，仅接受授权用户的访问，审计日志需至 少保存三个月。 （6）按安全规范编写代码，如在关键应用系统开发中，不能在程序 第三方机构接入银联网络的技术安全要求 - 11 - 中写入固定的口令。应在关键应用系统上线前，对程序代码进行代 码复审，识别可能的恶意代码和可能的安全漏洞，如缓冲区溢出漏 洞等。 （7）应保证所有开发，测试或审计中所用的账户在进入生产环境前 都已经删除或禁用。 （8）应保证软件开发人员与运维人员的职责分离。生产系统操作由 操作员按权限控制要求执行，不允许软件开发人员等其他人员对生 产系统的所有实质性操作。 （9）大容量存储介质在实施外包数据恢复时，应确保数据安全；在 更换或废弃时，应对其中数据彻底销毁，确保数据不可恢复。在需 要废弃、销毁含重要信息的介质时，应严格报批手续，做好登记， 由双人负责实施，在保卫人员的监督下，采用物理破坏盘片的形式 予以彻底销毁。银联生产相关数据不得直接在第三方机构的测试环 境中使用。 （10）应用系统必须支持多条逻辑链路与银联系统进行连接，且具 备负载均衡能力。 （11）生产系统要必须具备高可用性，以便出现故障能快速恢复。 （12）需有独立的测试环境，用于日常软件版本升级及配合银联系 统的变更而进行的验证和联调测试。 （13）需严格区分测试环境和生产环境，不得在生产环境做各类非 生产交易测试。 2.72.7 托管设备在银联机房的安全要求托管设备在银联机房的安全要求 (1) 第三方机构应与银联签订设备托管协议，以明确双方的权利和 第三方机构接入银联网络的技术安全要求 - 12 - 职责。 (2) 第三方机构的托管设备物理上应与银联机房生产区隔离，第三 方机构应做好隔离区的防火、防潮和防尘工作。 (3) 第三方机构人员进出银联机房应向银联机房运维部门提出申 请，经审批和登记后方可进入，并须由银联机房运维部门人员全程 陪同。 (4) 第三方机构托管设备应隔离在银联防火墙外，并严格遵循访问 控制规则，只允许交易应用报文的通行。 (5) 第三方机构对托管在银联机房设备的增加、撤离、上电、网络 拓扑调整等操作应事先与银联机房运维部门协商一致，变更操作须 在 0 点至 6 点进行。 2.82.8 账户信息安全和密钥管理账户信息安全和密钥管理要求要求 涉及账户信息类第三方机构： （1） 应遵循中国银联 银联卡账户信息与交易数据安全管理规则 、 银联卡收单机构账户信息安全标准等账户信息安全管理规定， 其中重点落实如下工作要求： 与中国银联签订书面合作协议，并在协议中明确账户信息安 全保密条款； 收单第三方系统只能存储用于交易清分、差错处理所必需的 最基本的账户信息，不得存储银联卡磁道信息、卡片验证码、 个人标识代码（PIN）的明文和密文及卡片有效期； 交易处理如涉及对个人标识代码（PIN）进行加解密操作的， 第三方机构接入银联网络的技术安全要求 - 13 - 应配备经权威部门（商密办）安全认证的硬件加密设备，并采 用双倍长密钥算法加解密。 （2）严格控制存有账户信息的数据库系统的访问权限，对系统管理 员和应用系统专用账号外或其他用户应进行必要的系统审计。 （3）应用系统专用账号仅供应用程序访问数据库使用，不将其作为 访问账号向用户提供。正常情况下数据库操作应通过交易或应用程 序访问的方式进行，关闭非必须的访问数据库应用工具。 （4）存在交易监控的第三方机构，监控屏应屏蔽持卡人敏感数据， 如帐号（屏蔽帐号校验位前的后 4 位），磁道信息、卡片验证码、 个人标识代码及卡片有效期。 （5） 应遵循中国银联密钥管理规定： 银联卡密钥安全管理规则 、 银行卡联网联合安全规范第五部分“联网联合安全技术应 用”、银行卡联网联合技术规范第四部分“数据安全传输控制 规范”的相关要求。 不涉及账户信息类第三方机构： （1）必须使用硬件加密机产生交易信息相关的各种密钥。 （2）密钥明文传输应采用信息拆分，分人分段负责的方法。 （3）密钥的不同部分应保存在不同地点，并且不能由一个人保管。 （4）密钥保存如果是电子形式，不能以明文方式写入在程序代码或 保存在存储介质中。 （5）密钥的备份和注入须双人复核。 （6）过期的密钥应及时销毁，应在双人控制下销毁，保证密钥无法 第三方机构接入银联网络的技术安全要求 - 14 - 被恢复，且密钥组件不被泄露。 （7）在密钥的生成、注入、启动、传输、删除与销毁等生命周期各 环节都应进行详细记录，相关人员须签名确认。 第三方机构接入银联网络的技术安全要求 - 15 - 3 3 第三方机构技术安全指导性要求第三方机构技术安全指导性要求 除第 2 节提出的接入中国银联强制性技术安全要求外，第三方 机构还应该参照以下方面的指导性要求，采取相关措施，降低自身 信息系统和给银联卡业务带来的安全风险。 3.13.1 安全管理安全管理 （1）第三方机构需指定专人负责信息安全制度的建立、分发、复查 和培训。 （2）第三方机构需每年复查信息安全制度，重新评估安全控制及过 程。 （3）第三方机构需对员工定期（每年至少一次）开展安全制度培训 和安全意识培训。安全培训后，需留有书面培训记录。 （4）第三方机构需审查录用员工的技术能力和背景资料，并签署适 当的保密协议。 （5）第三方机构需建立不同类别信息安全事件的报告程序，所有相 关员工需知道安全事件的报告程序。 （6）第三方机构所有相关员工都需注意及报告系统或服务任何可疑 的安全弱点或威胁。 （7）一旦发生与银联卡交易相关的安全事件，第三方机构应在发现 事故的 20 分钟内及时通知中国银联。 3.23.2 机房机房安全安全 本要求适用于第三方机构放置涉及银联卡交易的网络设备和系 统设备的机房。 第三方机构接入银联网络的技术安全要求 - 16 - （1） 机房需划分区域进行管理， 区域和区域之间设置物理隔离装置， 各区分别实行不同的防护措施。 （2）机房需使用人工或闭路电视监控系统监视敏感区域。 3.33.3 网络安全网络安全 3.3.13.3.1 生产网络安全生产网络安全 （1）为阻止非授权用户对内部网络中敏感数据的访问，需采取物理 隔离、划分 VLAN、主机路由等方式分隔不同的用户和信息系统。 （2）建立 VLAN 后，创建访问控制列表对数据包进行过滤、阻止非 法访问。 （3）对 VLAN 进行访问控制的列表需被测试、审批，并且定时查阅、 更新。 （4）定期（至少每年一次）进行对网络和网络安全设备的内部或外 部审计，来验证其配置或策略是否适合于第三方机构的安全要求。 （5）需在网络边界及核心业务网段处对恶意代码（主要是病毒和木 马）进行检测或清除。 （6）第三方机构应对生产网络与办公网络之间的连接进行严格管 控，如因业务需要必须接入，须在边界处布放防火墙和入侵检测 （防御）设备等安全设备，监控可能的攻击事件。 3.43.4 系统系统与应用安全与应用安全 本要求适用于第三方机构涉及银联卡交易的主机及应用系统。 （1）需定义硬件的非正常状态，并在故障持续预设定时间后，作为 安全事件进行报告。 第三方机构接入银联网络的技术安全要求 - 17 - （2）需定期对设备进行检查，确保运行安全，并确认关键的生产设 备都在维护期内；设备维护需建立维护记录制度。 （3）主机和应用系统采用两种以上组合的鉴别技术实现用户身份鉴 别。 （4）软件或系统的配置更改，补丁安装以及升级需受内部变更管理 控制，需保留相应的日志。 （5）需记录并定期查阅生产系统设备中的所有软件名称及版本，并 对关键软件的参数配置以及安装文件进行备份以防止意外损坏。 （6） 需建立生产系统变更操作的审批和实施流程。 需制定变更计划， 按计划实施变更；在变更实施前制定、评审并测试变更方案；在变 更实施时，要求双人复核。 （7）需对各类信息系统基础设施和应用系统制定运维手册，并定期 补充更新。 （8）只有授权的用户才可以获取应用软件源代码。 （9）移动终端支付应用软件须符合中国银联移动终端支付应用软 件安全规范中的安全要求。 3.53.5 恶意代码恶意代码防护防护 本要求适用于第三方机构生产网络或涉及银联卡处理的主机。 （1）需配备相应的人员负责恶意代码防护工作的日常管理及维护， 监控计算机系统恶意代码防护情况，定期察看恶意代码威胁日志， 并对日志中的威胁记录进行处理。 （2）用户在装载外部介质上的数据和程序之前必须对外部介质进行 扫描以防止病毒。 第三方机构接入银联网络的技术安全要求 - 18 - 3.63.6 账户账户信息和密钥管理信息和密钥管理 涉及账户信息类第三方机构： （1）应参考银联卡账户信息与交易数据安全管理指南采取账户 信息安全保护措施。 不涉及账户信息类第三方机构： （1）应参照银联卡密钥安全管理规则、银行卡联网联合安全 规范第五部分“联网联合安全技术应用”、银行卡联网联合技 术规范第四部分“数据安全传输控制规范”中规定的相关文档。 3.73.7 应急应急预案预案、数据备份和业务持续性、数据备份和业务持续性计划计划 本要求适用于第三方机构生产网络或涉及银联卡处理的主机或 应用系统。 （1）第三方机构需制定信息系统运行安全应急预案和应用系统安全 应急预案，并指定相关员工的责任。 （2）应急预案需包括病毒感染、网络攻击、数据丢失或被篡改、业 务连续性被破坏等事件发生后的应急处置步骤。 （3）应急预案需进行定期查阅并更新，以保证反映业务的变动。 （4）对每次应急处置需有书面记录，并事后总结并更新应急预案。 （5）需定期进行应急演练，并进行书面记录。 （6）涉及银联卡交易的应用系统数据需每日进行增量备份，定期 （至少每周一次）进行全备份。备份的数据需定期进行同城异处存 放。 第三方机构接入银联网络的技术安全要求 - 19 - （7）需定期进行备份数据恢复，以检验备份数据的有效性。 （8）需将数据备份与恢复的策略和操作说明制定相关文档。 （9）重要的生产系统服务器需采用双机备份的设计，其所连接的磁 盘阵列需为冗余阵列。 （10）防火墙、路由器、交换机等网络设备均需有热备份。接入银 联网络的通信的物理线路需有备份，并且备份线路与主线路采用不 同运营商提供的路由，其中对于接入银联核心转接系统的备份线路 必须为热备，主备同时启用。 附件：各类现有的接入方式 - 20 - 附件附件 1 1：各类现有的接入方式各类现有的接入方式 专线：主要有 ADSL、SDH、帧中继、DDN、ATM 等，包括电话拨 号。 基于 Internet 的 MPLS：建立在 Internet 网络上的 MPLS 网络， 其与 Internet 网络物理上是一个网络，在该网络内既有标记交换， 也提供传统的 IP 报文交换。这种接入方式，本文中称为基于 Internet 的 MPLS。 基于专网的 MPLS：有部分运营商在骨干网或城域内建立了独立 的 MPLS 网络，只提供给企业用户进行 MPLS 方式的接入，在该网络 内只有标记交换，没有传统的 IP 报文交换。这样的接入方式在本文 中称为基于专网的 MPLS。 IPSEC VPN、SSL VPN 是由用户自行选择设备，自行构建，并且 通过加密的机制来保证数据的安全性。IPSEC VPN、SSL VPN 可以构 建在专线，Internet 和 MPLS VPN 上，形成四种接入方案：IPSEC 、 SSL Over 专线， IPSEC、SSL Over Internet、IPSEC、SSL Over MPLS （Internet） 、IPSEC、SSL Over MPLS（专网） 。 无线接入方式：CDMA 2000 1x、GPRS、3G。 附件：使用 VPN 接入的安全建议 - 21 - 附件附件 2 2：使用使用 VPNVPN 接入的安全接入的安全要求要求 1 1、采用、采用 MPLS Over InternetMPLS Over Internet 方案的安全方案的安全要求要求 （1）选择有资质并技术能力强的通信运营商。 （2）与通信运营商签署服务等级协议，数据的可用性作为服务要求 之一。 （3）在企业内网入口，须布放防火墙，对从 VPN 来的报文进行访问 控制。 （4）应采用 IPSEC、SSL Over MPLS 方案，自行建立 IPSEC、SSL 隧 道来保证传输数据的机密性和完整性。 （5） 采用 IPSEC、SSL Over MPLS 方案时，参考本节使用 IPSEC、SSL VPN 设备的安全要求。 （6）为降低因特网接入带来的网络安全风险，在双方设立逻辑独立 的因特网接入功能区，设立 DMZ 区域实现应用落地. 2 2、使用使用 IPSECIPSEC VPNVPN 设设备的备的安全安全要求要求 2.12.1 IPSEC VPNIPSEC VPN 设备选型设备选型要求要求 （1）推荐选择硬件实现 VPN 网关。 （2） 选择 VPN 客户端硬件方式接入， 避免选择 VPN 客户端软件接入。 （3）选择提供 VPN 客户端访问控制的产品。 （4）选择支持 128 位密钥加密以上的产品。 （5）选择提供使用双因素验证方式进行用户身份认证的产品，如增 加动态口令验证方式。 （6）选择提供客户端是否安装防火墙和防病毒软件检查的产品。 附件：使用 VPN 接入的安全建议 - 22 - （7）选择提供客户端访问统计和审计功能的产品。 2.22.2 IPSEC VPNIPSEC VPN 设备安全运维设备安全运维要求要求 （1）严格限制具有 VPN 管理权限的用户，记录增加、修改和删除 VPN 合法用户的操作，定期查阅相关记录。 （2）建立口令策略，对口令进行控制，设定口令最短长度，最小复 杂度，要求口令定期更换。 （3）采用双因素方式验证用户身份；对令牌，证书等验证方式设定 令牌，证书的更新周期。 （4）对 VPN 客户端按照“最小权限”的原则进行严格访问控制，对 VPN 客户端的权限进行定期审查。 （5）VPN 产品如果不能实现访问控制能力，建议在 VPN 网关后串联 防火墙进行访问控制。 （6）定期查阅统计和审计事件记录，查阅是否有违规和不安全事件 发生。 （7）VPN 客户端要求安装个人防火墙和防病毒软件。 （8）VPN 客户端一段时间不用后，须断开 VPN 连接，最好同时断开 Internet 连接。 （9） 与 VPN 厂商保持紧密联系或购买维护服务， 及时升级安全补丁。 3 3、使用、使用 SSL VPNSSL VPN 设备的安全设备的安全要求要求 3.13.1 SSL VPNSSL VPN 设备选型要求设备选型要求 （1）选择硬件实现 VPN 网关。 附件：使用 VPN 接入的安全建议 - 23 - （2）选择支持 128 位密钥加密以上的产品。 （3）选择提供使用双因素验证方式进行用户身份认证的产品，如增 加动态口令验证方式。 （4）选择提供客户端是否安装防火墙和防病毒软件检查的产品。 （5）选择提供客户端访问统计和审计功能的产品。 （6）选择提供客户端数据保护功能的产品。 3.23.2 SSL VPNSSL VPN 安全运维安全运维要求要求 （1）严格限制具有 VPN 管理权限的用户，记录增加、修改和删除 VPN 合法用户的操作，定期查阅相关记录。 （2）建立口令策略，对口令进行控制，设定口令最短长度，最小复 杂度，要求口令定期更换。 （3）采用双因素方式验证用户身份；对令牌，证书等验证方式设定 令牌，证书的更新周期。 （4）对 VPN 客户端按照“最小权限”的原则进行严格访问控制，对 VPN 客户端的权限进行定期审查。 （5）定期查阅统计和审计事件记录，查阅是否有违规和不安全事件 发生。 （6）VPN 客户端要求安装个人防火墙和防病毒软件。 （7）VPN 客户端一段时间不用后，必须断开 VPN 连接，最好同时断 开 Internet 连接。 （8） 与 VPN 厂商保持紧密联系或购买维护服务， 及时升级安全补丁。 附件 3：第三方机构接入安全的符合性自评估表 - 24 - 附件附件 3 3：第三方第三方机构机构接入接入安全安全的符合性的符合性自评估表自评估表 序号序号 安全要求安全要求 实际控制情况实际控制情况 如控制情况非“完全符合”请如控制情况非“完全符合”请 说明原因说明原因 完全符合完全符合 部分部分符合符合 不符不符 合合 不适不适 用用 1、安全管理 （1） 第三方机构需建立信息安全制度，并通过有效而正式的方式进行发 布。 （2） 第三方机构应对安全制度中不适用或需改进的地方进行修订。 （3） 第三方机构中员工需接受适当的安全培训；系统运维人员须熟知各类 安全制度、信息系统运维手册和应急预案等。 （4） 第三方机构需建立安全事件报告流程及应急处理预案。 （5） 第三方机构需知道银联公司生产运行值班台的联系方式。 2、机房安全 （本要求适用于第三方机构放置涉及银联卡交易的网络设备和系统设备的机房，涉及银联卡交易既包括直接传输或处理银联卡交易，也包括为银联卡交 易提供支持服务。 ） 附件 3：第三方机构接入安全的符合性自评估表 - 25 - 序号序号 安全要求安全要求 实际控制情况实际控制情况 如控制情况非“完全符合”请如控制情况非“完全符合”请 说明原因说明原因 完全符合完全符合 部分部分符合符合 不符不符 合合 不适不适 用用 （1） 应按国家标准电子计算机场地通用规范 （GB 2887-2000）和计 算机场地安全要求GB 9361-2000 的相关规定，采用消防、空调、防 潮、防静电、防雷击、供电安全等措施。 （2） 应建立并实行出入安全管理制度，采用专人值守或电子门禁方式，对 人员进出机房情况进行日常监控。 （3） 应建立值班制度，配备值班人员，对机房内各类设备运行情况进行日 常监控，并处置突发事件。 （4） 非授权工作人员或来访人员因工作需要需进入机房，必须经过申请、 审批和登记，并由授权人员授权专人全程陪同。 （5） 电子设备或存储介质进出机房，须经审批并登记。 （6） 机房需合理配置供电系统，提供足够的、持续的电源供给。如配备双 回路供电系统（来自于不同的变电站） ，可持续供电时间不低于 3 小 时的 UPS，或发电机。 3、网络安全 附件 3：第三方机构接入安全的符合性自评估表 - 26 - 序号序号 安全要求安全要求 实际控制情况实际控制情况 如控制情况非“完全符合”请如控制情况非“完全符合”请 说明原因说明原因 完全符合完全符合 部分部分符合符合 不符不符 合合 不适不适 用用 3.1 通讯方式 （本要求适用于第三方机构与银联网络之间的连接，即第三方机构系统平台、终端与银联网络之间的连接，也适用于第三方机构内部涉及银联卡交易的 连接，如终端与其系统平台，不同地点系统平台之间的连接。 ） （1） 应使用接入方式：专线（主要有 ADSL、SDH、帧中继、DDN、ATM 、电 话拨号等） 、基于专网的 MPLS（接入方式的定义见附件 1： 各类现有 的接入方式 ） 。 （2） 使用基于 MPLS（Internet）的 IPSEC/SSL、基于 Internet 的 MPLS、 应充分考虑、接受相关风险，并遵循相关安全要求（附件 2） 。 （3） 使用基于 Internet 的 IPSEC/SSL，须充分考虑、接受相关风险、遵循 相关安全要求。第三方系统终端和平台使用基于 Internet 的 IPSEC/SSL 接入银联网络时，须接入到银联总公司。 （4） 禁止接入方式：Internet。 3.2 生产网络安全 （本要求适用于第三方机构涉及银联卡交易信息的网络（以下简称为生产网络） ，其包括直接传输或处理银联卡交易的系统和为银联卡交易提供支持服务 的系统，但不包括终端。 ） 附件 3：第三方机构接入安全的符合性自评估表 - 27 - 序号序号 安全要求安全要求 实际控制情况实际控制情况 如控制情况非“完全符合”请如控制情况非“完全符合”请 说明原因说明原因 完全符合完全符合 部分部分符合符合 不符不符 合合 不适不适 用用 （1） 第三方机构与银联网络直接连接的，传输或处理银联卡交易信息的网 络（以下简称为生产网络）应与不涉及银联卡交易信息的网络（如办 公网络）必须做到逻辑隔离或物理隔离。 （2） 第三方机构应对互联网接入本单位生产网络严格审批，如因业务需要 必须接入，须在互联网接入处布放防火墙和入侵检测（防御）设备等 安全设备，监视可能的攻击行为，记录入侵事件的发生，并报警正在 发生的入侵事件。 （3） 应建立对所有的路由配置和防火墙策略的批准、测试和变更的正式流 程，路由配置和防火墙策略在每次变更后须及时归档须归档。 （4） 定期对路由配置和防火墙策略进行检查，对路由器和防火墙的事件日 志、入侵检测（防御）设备的告警事件进行分析和处理。 （5） 对登录网络及网络安全设备的用户进行身份鉴别，严格控制可以修改 网络及网络安全设备配置的账号。 （6） 及时进行网络及网络安全设备的补丁安装和版本升级，及时更新入侵 检测（防御）系统的防护知识库。 附件 3：第三方机构接入安全的符合性自评估表 - 28 - 序号序号 安全要求安全要求 实际控制情况实际控制情况 如控制情况非“完全符合”请如控制情况非“完全符合”请 说明原因说明原因 完全符合完全符合 部分部分符合符合 不符不符 合合 不适不适 用用 （7） 如果有拨号访问网络方式，要对拨号用户严格访问控制，每个用户须 设置不同口令，口令不得少于 8 位，并应定期修改；不允许外部公司 拨号或其他方式的远程维护连接。 （8） 定期或在网络发生重大变更后，对安全控制措施、网络连接和限制措 施进行渗透性测试或漏洞扫描，对网络及网络安全设备系统设置、补 丁配置和已知的漏洞进行检查，并确认没有生产网络用户私自连接到 外部网络，外部访问不能非授权进入生产网络。 4、受理银联卡的终端设备安全要求 （1） 布放的银联卡受理终端符合银联卡受理终端安全规范中对各类终 端的技术要求，并按照要求通过中国银联的安全认证。 （2） 布放的银联卡受理信息系统符合银联卡受理终端安全规范中对受 理信息系统的技术要求，并选择通过中国银联认证的供应商。 （3） 供个人使用的终端符合银联卡受理终端安全规范中对个人支付终 端的技术要求，并按照要求通过中国银联的安全认证。 附件 3：第三方机构接入安全的符合性自评估表 - 29 - 序号序号 安全要求安全要求 实际控制情况实际控制情况 如控制情况非“完全符合”请如控制情况非“完全符合”请 说明原因说明原因 完全符合完全符合 部分部分符合符合 不符不符 合合 不适不适 用用 （4） 终端到第三方机构系统平台之间，应对敏感信息（PIN、磁条信息、 有效期、CVN 等）进行端到端的加密。 （5） 每终端安装唯一的终端主密钥，终端主密钥不可被应用读取。 (6) 移动 POS 终端关闭漫游功能。 （7） 终端安装维护人员与终端程序开发人员要职责分离，终端维护每次都 应留下书面记录。 （8） 终端应被监控和定期巡查，须重点检查终端读卡器、密码键盘等重要 部件，及时发现并防范终端遭非法改装、移机和偷窃等。 5、主机系统安全 （本要求适用于第三方机构涉及银联卡交易的主机系统，包括直接传输或处理银联卡交易的主机系统和在第三方机构生产网络内，为银联卡交易提供支 持服务的主机系统。 ） （1） 根据“知所必需”原则，严格进行对软件和系统的访问控制，禁用不 必要的缺省账户。定期对用户访问文件、目录、数据库等权限进行检 查，加强用户管理。剔除不需用户，防止用户权限过大。 附件 3：第三方机构接入安全的符合性自评估表 - 30 - 序号序号 安全要求安全要求 实际控制情况实际控制情况 如控制情况非“完全符合”请如控制情况非“完全符合”请 说明原因说明原因 完全符合完全符合 部分部分符合符合 不符不符 合合 不适不适 用用 （2） 参考国际通行的相关安全规范要求，制订用户口令密码使用、管理和 更新制度和措施。加强系统身份认证等关键数据传输加密，防止口令 泄露。 （3） 遵照行业认可的系统加固标准，对系统进行安全加固。如禁用所有不 必要的、不安全的服务、协议和应用程序；设定系统安全参数以防止 误用/滥用，删除默认设置；严禁下载或使用免费软件或共享软件； 移除系统或应用程序中不必要、不安全的功能等。 （4） 在软件补丁安装以前，须在测试系统中进行严格测试，确保测试通过 后再进行安装。 （5） 制定软件补丁管理制度和流程，对所有生产系统安装必须的操作系统 和应用系统补丁。 （6） 厂商定期维护活动需进行审批并记录，维护人员进出需专人陪同并记 录相关操作。 （7） 对服务器和终端设备应安装恶意代码 （主要是病毒和木马） 防护系统， 对恶意代码（主要是病毒和木马）进行检测和清除。 附件 3：第三方机构接入安全的符合性自评估表 - 31 - 序号序号 安全要求安全要求 实际控制情况实际控制情况 如控制情况非“完全符合”请如控制情况非“完全符合”请 说明原因说明原因 完全符合完全符合 部分部分符合符合 不符不符 合合 不适不适 用用 （8） 开启必要的审计接口，定期分析并处理系统内重要的安全相关事件， 包括重要用户行为、系统资源的异常使用和重要系统命令的使用。 （9） 应进行主机运行监控，监控主机的 CPU、硬盘、内存、网络等资源的 使用情况，监控特定进程（主要的系统进程）的状态，限制对重要账 户的添加和更改。 6、应用系统安全 （本要求适用于第三方机构涉及银联卡交易的应用系统，包括直接传输或处理银联卡交易的应用系统和在第三方机构生产网络内，为银联卡交易提供支 持服务的应用系统。 ） （1） 应用系统用户应进行用户身份鉴别,并须根据“知所必需”原则，严 格进行访问控制。 （2） 须建立口令管理规则，设定各类口令长度（不得小于 6 位） 、复杂度 （必须包含数字和字符） 、修改周期（不得长于 3 个月） 、不可明文传 输、应加密存储等要求。 附件 3：第三方机构接入安全的符合性自评估表 - 32 - 序号序号 安全要求安全要求 实际控制情况实际控制情况 如控制情况非“完全符合”请如控制情况非“完全符合”请 说明原因说明原因 完全符合完全符合 部分部分符合符合 不符不符 合合 不适不适 用用 （3） 应根据安全策略控制用户对客体的访问，实现最小授权原则，分别授 予不同用户各自完成自己承担任务所需的最小权限，实现应用系统用 户的权限分离。 （4） 应用系统设计中应留有审计接口，以便进行系统事件审计，如重要用 户行为、重要系统功能的执行、不成功的鉴别尝试等。 （5） 审计日志应受到保护，仅接受授权用户的访问，审计日志需至少保存 三个月。 （6） 按安全规范编写代码，如在关键应用系统开发中，不能在程序中写入 固定的口令。应在关键应用系统上线前，对程序代码进行代码复审， 识别可能的恶意代码和可能的安全漏洞，如缓冲区溢出漏洞等。 （7） 应保证所有开发，测试或审计中所用的账户，口令在进入生产环境前 都已经更改。 （8） 应保证软件开发人员与运维人员的职责分离。生产系统操作由操作员 按权限控制要求执行，不允许软件开发人员等其他人员对生产系统的 所有实质性操作。 附件 3：第三方机构接入安全的符合性自评估表 - 33 - 序号序号 安全要求安全要求 实际控制情况实际控制情况 如控制情况非“完全符合”请如控制情况非“完全符合”请 说明原因说明原因 完全符合完全符合 部分部分符合符合 不符不符 合合 不适不适 用用 (9) 大容量存储介质在实施外包数据恢复时，应确保数据安全；在更换或 废弃时，应对其中数据彻底销毁，确保数据不可恢复。在需要废弃、 销毁含重要信息的介质时，应严格报批手续，做好登记，由双人负责 实施， 在保卫人员的监督下， 采用物理破坏盘片的形式予以彻底销毁。 (10) 应用系统必须支持多条逻辑链路与银联系统进行连接，且具备负载均 衡能力。 （11） 生产系统要必须具备高可用性，以便出现故障能快速恢复。 （12） 需有独立的测试环境，用于日常软件版本升级及配合银联系统重大变 更而进行的验证和联调测试。 （13） 需严格区分测试环境和生产环境，不得在生产环境做各类非生产交 易测试。 7、托管设备在银联机房的安全要求 （1） 第三方机构应与银联签订设备托管协议，以明确双方的权利和职责。 附件 3：第三方机构接入安全的符合性自评估表 - 34 - 序号序号 安全要求安全要求 实际控制情况实际控制情况 如控制情况非“完全符合”请如控制情况非“完全符合”请 说明原因说明原因 完全符合完全符合 部分部分符合符合 不符不符 合合 不适不适 用用 （2） 第三方机构的托管设备物理上应与银联机房生产区隔离，第三方机构 应做好隔离区的防火、防潮和防尘工作。 （3） 第三方机构人员进出银联机房应向银联机房运维部门提出申请，经审 批和登记后方可进入，并须由银联机房运维部门人员全程陪同。 （4） 第三方机构托管设备应隔离在银联防火墙