非金融機構支付服務業務系統測試要點與測試方法分析

　　引言

　　為加強非金融機構支付服務業務的信息安全管理與技術風險防范，保障非金融機構支付服務業務系統檢測認證工作規范有序開展，中國人民銀行日前發布實施《非金融機構支付服務業務系統檢測認證管理規定》(以下簡稱為《管理規定》)，《管理規定》自發布之日起實施。

　　非金融機構支付服務，即第三方支付服務，是指非金融機構在收付款人之間作為中介機構提供下列部分或全部貨幣資金轉移服務，包括互聯網支付、預付卡的發行與受理、銀行卡收單、移動支付等。

　　在本文中，我們結合央行檢測認證的相關規定和管理辦法，首先分析《管理規定》所規定的業務系統檢測基本要求，闡述了業務系統檢測要點，然后基于檢測的內容，詳細分析了在各項檢測中使用的策略、方法與技術。

　　一. 第三方支付服務系統檢測內容與要點

　　為加強非金融機構支付服務業務的信息安全管理與技術風險防范，保障非金融機構支付服務業務系統檢測認證工作規范有序開展，中國人民銀行日前發布實施《管理規定》，通過對《管理規定》的分析，可以知道中國人民銀行對于第三方支付服務系統檢測的內容及要求。本節從《管理規定》要求出發，詳細介紹了第三方支付服務系統的檢測內容，檢測的基本內容包括功能功能測試、風險監控測試、性能測試、安全性測試、文檔審核等。

　　1. 功能測試內容

　　第三方支付服務系統的功能測試的目標是驗證業務系統的功能是否正確實現，測試其業務處理的準確性。根據中國人民銀行對第三方支付服務的分類，被測的系統包括互聯網支付、預付卡的發行與受理、銀行卡收單、遠程移動支付和近場移動支付等第三方支付服務系統，不同類型的系統所包含的功能測試點也有所不同。具體如下：

　　表1：功能測試內容：

　　2. 風險監控測試

　　《管理規定》對第三方支付系統風險監控檢測的目的和內容作了如下說明：“評估業務系統的風險監控、預警和管理措施，測試其業務系統異常交易、大額交易、非法卡號交易、密碼錯誤交易等風險的監測和防范能力”。

　　通過對風險監控測試內容理解，可知風險監控測試主要是對交易管理和異常交易的監控測試。同時，由于各類支付服務的業務系統在交易過程中參與的角色不同，風險監控測試的內容也不一樣，如在銀行卡收單類業務系統中，交易過程中需要POS機參與，因此在風險監控測試中，銀行卡收單的風險監控測試包含有終端風險管理和聯機交易風險管理測試，而互聯網支付類業務系統則是通過互聯網平臺進行交易，因此風險監控測試中交易監控和交易審核測試。具體的各類風險監控測試重點如下：

　　表2：風險監控測試內容：

　　3. 性能測試

　　《管理規定》對第三方支付系統性能檢測的目的和內容作了如下說明：“驗證業務系統是否滿足業務需求的多用戶并發操作，是否滿足業務性能需求，評估壓力解除后的自恢復能力，測試系統性能極限”。通過《管理規定》中對性能檢測的描述，支付服務業務系統性能的檢測主要包括以下三方面內容：一是系統的并發能力驗證;二是壓力解除后系統自恢復能力;三是系統性能極限驗證。

　　系統的并發能力驗證應包含兩方面檢測內容：一是驗證系統是否支持業務的多用戶并發操作;二是結合典型交易檢驗各測試點在給定并發用戶數下，系統各項性能指標是否滿足用戶性能需求。

　　系統自恢復能力驗證的內容主要是在系統并發能力驗證和系統性能極限驗證的同時，記錄各測試點在加壓和壓力解除前后系統資源的使用情況及資源恢復所用的時間。

　　系統性能極限驗證的內容主要是對典型交易采用極限測試策略，通過逐步增加系統負載的方式，測試系統性能的變化，并最終確定在什么負載條件下系統性能處于失效狀態，同時記錄此時系統所能承受的最大并發用戶數。

　　4. 安全性測試

　　《管理規定》對第三方支付系統安全性檢測的目的和內容作了如下說明：“評估業務系統在網絡安全、主機安全、應用安全、數據安全、運行維護安全、電子認證安全、業務連續性等方面的能力及管理措施，評價其業務系統的安全防控和安全管理水平”。同時在該管理規定第十條中，明確說明“檢測應嚴格遵守中國人民銀行制定的技術標準和檢測規范，真實反映非金融機構或支付機構業務系統技術標準符合性和安全性狀況，保證非金融機構或支付機構業務系統符合國家信息系統安全等級保護第三級的基本要求”。

　　通過《管理規定》中對安全性檢測的理解，安全性檢測要依據國家信息系統安全等級保護第三級的基本要求同時根據被測系統類型不同有適當修改，檢測的主要內容包括網絡安全性測試、主機安全性測試、應用安全性測試、數據安全性測試、運維安全性測試和業務連續性測試。

　　5. 文檔審核

　　《管理規定》對第三方支付系統文檔審核的目的和內容作了如下說明：“驗證業務系統的用戶文檔、開發文檔、管理文檔等是否完整、有效、一致，是否符合相關標準并遵從更新控制和配置管理的要求”。

　　通過《管理規定》中對文檔審核內容的理解，文檔審核內容包括：用戶文檔、開發文檔和管理文檔。其中審核的用戶文檔包括用戶手冊和操作手冊，開發文檔包括需求說明書、需求分析文檔、總體設計方案、數據庫設計文檔、概要設計文檔、詳細設計文檔、工程實施方案，管理文檔包括測試報告、系統運維手冊、系統應急手冊、運維管理制度、安全管理制度、安全審計報告。同時對這些文檔的密級管理，文檔登記和保管，文檔完整性、可操作性、文字描述的準確性、一致性進行檢測。

　　二. 第三方支付服務測試的方法與技術

　　在上節中，我們從《管理規定》要求出發，詳細介紹了第三方支付服務系統的檢測內容。在本節中，我們將基于檢測的內容詳細介紹在功能測試、風險監控測試、性能測試、安全性測試、文檔審核中所采用的檢測方法與技術。

原文轉自：http://www.anti-gravitydesign.com